Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
![]() 前 |
![]() 次 |
Access Manager Webコンポーネントのインストール用にホスト・コンピュータを準備する方法とステップは、具体的なWebサーバーとプラットフォームによって異なります。
Access Managerでリバース・プロキシ機能を使用するには、configureコマンドにプロキシ・モジュールを含める必要があります。
「ApacheおよびIBM HTTPリバース・プロキシ・サーバーについて」を参照してください。
「Apache v2およびIHS v2のリバース・プロキシの起動」を参照してください。
タスクの概要: Webサーバーの準備とAccess Managerのインストール
ノート:
次のすべての手順では、パス名変数、モジュール、およびオプションはステップを説明するためだけに提供されている例です。ご使用の環境とは異なります。詳細は、ご使用のWebサーバーのドキュメントを参照してください。
IHS v2 WebサーバーでIHS v2用のWebgateを受け入れて使用できるようにするには、環境や要件に応じて、次の手順の1つ以上を完了する必要があります。
該当する手順を完了すると、IHS v2用のWebgateをインストールする準備が整います。
IHS Webサーバーのインストールするには、この手順を完了してホスト・コンピュータを設定しておく必要があります。
「IHS2 Webサーバーの要件」を参照してください。
「Apache v2 Webサーバーの要件」を参照してください。
この例ではAIX 5.1へのインストールを示します。ご使用の環境とは異なることがあります。
IHS v2のインストールの準備手順
次の手順は一般的なIBM HTTP Webサーバーのインストールを紹介するものです。かわりにサイレント・インストールの実行を選ぶこともできます。
その場合は、java -jar setup.jar
-silent -options silent.resコマンドで、silent.resファイルを使用します。silent.resテキスト・ファイルを編集することで、サイレント・インストール・オプションをカスタマイズできます。デフォルト設定では、すべてのオプションがTrueに設定されています。オプションを無効にするには、値をFalseに設定します。
Apache v2によって稼働されるIBM HTTP Webサーバーのインストール手順
IHS v2用のWebgateのインストール前または後に、複数のモードでIHS v2 Webサーバーを構成できます。
SSL機能を設定する必要がある場合は、IHS v2用のWebgateのインストール前または後に次の手順を使用してください。
デフォルト構成ファイルを使用したIHS v2用のSSLの設定手順
Linux上のApacheまたはOracle HTTP ServerにWebgateをインストールする場合、Webサーバーを実行しているユーザーとしてインストールするように促されます。
httpd.confファイルのUserおよびGroupディレクティブを参照してください。
ベンダーがバンドルしたRed Hat Enterprise Linux 4上のApache v2用にAccess Manager Webgateをインストールする場合は、すべてのWebgateがWebサーバーのユーザーおよびグループ(デフォルト: apache)用にインストールされていることを確認してください。
「Access Manager用のApache/IHS v2 Webgateのチューニング」を参照してください。
ノート:
Linux上では、Oracle HTTP Server 11g用のWebgateではNPTLのみが使用され、LinuxThreadsライブラリは使用できません。この場合は、環境変数LD_ASSUME_KERNELを2.4.19に設定しないでください。
WindowsおよびLinuxプラットフォーム上のOracle HTTP Server v2用にWebgateを使用する場合、PerlモジュールとPHPモジュールの両方を、httpd.conf内でコメント・アウトしておく必要があります。
ノート:
Oracle HTTP Server 11gでは、どのプラットフォームでもWebgate用のモジュールをコメント・アウトする必要はありません。
cert_decodeおよびcredential_mapping認証モジュールを使用する場合、Oracle HTTP Server Webサーバーの構成ファイル内の既存のSSLオプションに、+EarlierEnvVars
および+ExportCertData
を追加して、SSL対応のOracle HTTP Serverでクライアント証明書認証スキームが正しく機能することを確認する必要があります。
次に例を示します。
credential_mapping:
obMappingBase="o=company,c=us",obMappingFilter= "(&(objectclass=InetOrgPerson)(mail=%certSubject.E%))"
ssl.confには次を含める必要があります。
SSLOptions +StdEnvVars +ExportCertData +EarlierEnvVars
Oracle HTTP Serverにsslオプションを追加する手順
ここでは、Solaris、UNIX、LinuxおよびAIXを含むUNIXプラットフォーム上のでAccess Manager用のApache v2 HTTP Webサーバーの準備の概要とステップを説明します。
「AIX上でのApache v2 SSL Webサーバーの準備」も参照してください。
Apache v2はプレーンまたはSSL対応で構成、構築、およびインストールできます。Apacheソース・ファイルのダウンロードおよび解凍後、スクリプト(UNIX上のconfigureスクリプト、およびWindows用のmakefile.win makeスクリプト)を使用して、ご使用の環境に合ったソース・ツリーをコンパイルします。
ノート:
プラットフォームに関係なく、基本的な要件は同じです。ただし、ここでの以降の説明や手順はUNIXプラットフォームを中心としています。詳細は、「AIX上でのApache v2 SSL Webサーバーの準備」も参照してください。
UNIXプラットフォーム上でApache v2を構成する場合、 -prefix=
オプションを./configure
コマンドに使用して、インストール・ディレクトリ・パス名を指定します。構成中に、環境に適したモジュールを有効にできます。たとえば、コンパイルに動的モジュールが含まれている場合は、サーバーに自動的にmod_soが含まれます。ただし、-enable-so
オプションをconfigureコマンドに含んで、サーバーがDSOのロードが行えることを確認できます。複数のPerlインタプリタをインストールしている場合は、構成中に正しいインタプリタが選択されるように、-with-perlオプションを含むことができます。
configureコマンドには、mod_sslを有効にして、MPMを起動するためのオプションも含むことができます。構成後、./httpd -l
を使用してサーバーにコンパイルされた各モジュールをリストし、選択したMPMを検証できます。
Apacheの構成が終了すると、makeコマンドを使用してApacheパッケージを構成する各種の部品を構築し、構成中に-prefix=
オプションで指定したインストール・ディレクトリにパッケージをインストールします。
ステップや例については、次の手順とご使用のApacheのドキュメントを参照してください。
次の手順では、パス名変数、モジュール、およびオプションはステップを説明するためだけに提供されている例です。ご使用の環境とは異なります。詳細は、ご使用のWebサーバーのドキュメントを参照してください。Apache v2.0.48とv2.0.52では構築手順に違いはありません。
UNIX用のプレーンApache v2 Webサーバーを準備できます。
次の手順では、SSL対応のApache v2 WebサーバーをUNIX上で準備する方法を説明します。Apacheのmod_sslはロード可能ですが、このインストールではSSL/TLS用のOpen Sourceツールキットが必要です。また、必要な場合は、必ずPerlをダウンロードしてください。使用しているプラットフォームがAIXの場合は、「AIX上でのApache v2 SSL Webサーバーの準備」で必ず詳細を確認してください。
Apache v2 SSL Webサーバーの構築中に、OpenSSLライブラリlibssl.aからの記号がApacheのhttpd実行可能ファイルにエクスポートされます。
Access ManagerがOpenSSLライブラリから必要な記号は次のとおりです。
SSL_get_peer_certificate( )
i2d_X509( )
AIXプラットフォーム上でのリンクとバインド中に、未使用または参照されていない記号は削除されます。したがってAccess Managerが必要とする2つの記号が、httpd実行可能ファイルには含まれません。
AIX上でのコンパイルにはopenssl-0.9.7dを使用する必要があります(AIX上ではopenssl-0.9.7eはコンパイルしません)。以降のステップはUNIXopenssl-0.9.7dの場合と同じです。
クライアント証明書認証: AIXプラットフォームでクライアント証明書認証を使用している場合は、AIX上でのdlsymの問題に対する次のホット・フィックスが適用されたAIX 5.2 Maintenance Level 4を必ず使用してください。
http://www-1.ibm.com/support/docview.wss?uid=isg1IY63366
Apache v2用のAIXプラットフォームの準備手順
ここで、OpenSSL_Symbols.expは必要な2つの記号が含まれたファイルです。記号は次のように、エクスポート・ファイルだけを使用してエクスポートする必要があります。
ノート:
次の方法でAIX上に記号をエクスポートしないでください。-bnog: 記号のガベージ・コレクションを抑制 -bexpal: すべての記号のエクスポート -uSymbolName: 特定の記号のエクスポート。
以降では、Windows上のApache v2とUNIX上のApache v2のインストールと構成の違いについて、詳細に説明しています。
詳細はご使用のApacheのドキュメントを参照してください。
インストール中: 選択したインストール・ディレクトリを反映するように、Apacheによって\confサブディレクトリ内のファイルが構成されます。このディレクトリ内のいずれかの構成ファイルが既存の場合、対応するファイルの新しいコピーが拡張子.ORIGで書き込まれます。たとえば、\conf\httpd.conf.ORIGです。
インストール後: \confサブディレクトリ内のファイルを使用して、Apacheが構成されます。これらはUNIXバージョンの構成に使用するものと同じファイルです。ただしいくつかの違いがあります。
\confサブディレクトリの構成ファイルを編集して、環境に合わせてApacheをカスタマイズする必要があります。これらのファイルはインストール中に構成され、htdocsサブディレクトリのドキュメント・サーバーとともに、インストール・ディレクトリのApacheを実行する準備が整います。Apacheの使用開始前に設定する必要があるオプションが多数あります。たとえば、構成ファイルでListenディレクティブを変更するか、現在のユーザー専用にApacheをインストールしないかぎり、Apacheはポート80をリッスンします。
マルチスレッド化: Windows用のApacheはマルチスレッド化されており、これはUNIX上でのApacheの各リクエストに個別のプロセスは使用しないことを意味しています。かわりに、通常は親プロセスとリクエストを処理する子プロセスという、2つのApacheプロセスだけが実行しています。子プロセス内では、各リクエストが個別のスレッドとして処理されます。
UNIX形式の名前: Apacheは内部でUNIX形式の名前を使用します。引数としてファイル名を受け付けるディレクティブは、UNIXファイル名ではなくWindowsファイル名を使用する必要があります。ただし、バック・スラッシュではなく、フォワード・スラッシュを使用する必要があります。ドライブ文字は使用できます。ただし、ドライブ文字を省略する場合は、Apacheの実行可能ファイルのドライブが適用されます。
LoadModuleディレクティブ: Windows用のApacheには、サーバーの再コンパイルを行わなくても、実行時にモジュールをロードする機能が含まれています。Apacheが正しくコンパイルされれば、\Apache2\modulesディレクトリ内にオプションのモジュールがいくつかインストールされます。これらのモジュールやその他のモジュールを起動するには、LoadModuleディレクティブを使用する必要があります。たとえば、statusモジュールを起動するには、次を使用します(access.conf内のステータス起動ディレクティブに加え)。
LoadModule status_moduleモジュール/mod_status.so
UNIXでは、ロードされたコードは通常、共有オブジェクト・ファイル(.soの拡張子)からのもので、Windowsでは.soまたは.dllの拡張子が付いています。
プロセス管理ディレクティブ: これらのディレクティブもWindows上のApacheでは異なります。
エラー・ロギング: Apacheの起動中に、エラーがWindowsイベント・ログに記録され、これがerror.logファイルのバックアップを提供します。詳細はご使用のApacheのドキュメントを参照してください。
Apacheサービス・モニター: ApacheにはApache Service Monitorユーティリティが含まれています。これによって、ネットワーク上の任意のコンピュータ上にあるインストール済のすべてのApacheサービスの状態を表示および管理できます。モニターでApacheサービスを管理するには、最初にサービスをインストール必要があります。ApacheはWindows上のサービスとして実行できます。詳細はご使用のApacheのドキュメントを参照してください。
起動、再起動、シャットダウン: Apacheをサービスとして実行する方法をお薦めします。Apacheサービスは通常、Apache Service MonitorやNET START Apache2およびNET STOP Apache2などのコマンドを使用して起動、再起動、およびシャットダウンします。標準のWindowsサービス管理も使用できます。
apacheコマンドを使用して、コマンド行からApacheを使用できます。Control-Cを押して停止するまで、Apacheは実行を継続します。インストール中に開始メニューからApacheを実行することもできます。
ノート:
Control-Cを押しても、Apacheは現在実行中の操作の終了と正常なクリーンアップを行えません。
Apacheサービス・アカウント: デフォルト設定では、すべてのApacheサービスはシステム・ユーザー(LocalSystemアカウント)として実行するように登録されています。LocalSystemアカウントには、Windowsセキュアなメカニズムによって、ネットワーク権限がありません。ただしLocalSystemアカウントは、ローカルでは広範な特権があります。1つ以上のApacheサービスを実行するための個別アカウント作成の詳細は、ご使用のApacheのドキュメントを参照してください。