33.6 単一のIIS 7インスタンスでの複数の10g WebGatesのインストールおよび構成

同じIIS 7 Webサーバー・インスタンス上の異なるWebサイトに複数のWebゲートをインストールして構成できます。いくつかのステップは手動で行い、1つのIISインスタンスに1つのWebgateをインストールする際に実行するステップとは異なります。

1つのIISインスタンスに対して複数のWebgateをインストールする場合、次のようになります。

• webgate.dllは、デフォルト(上位)Webサーバー・レベルではなく個々のWebサイト・レベルでISAPIフィルタとして構成する必要があります。

• /access仮想ディレクトリは、Webサイト・レベルで、Webgateインストールのそれぞれの/accessディレクトリにマップされます。

複数のWebgateの偽装DLLを構成する場合、オペレーティング・システムとして機能するようにユーザーを構成する必要があります。

タスクの概要: 1つのIIS 7インスタンスに対する複数のWebgateのインストールと構成:

1. 複数のWebgateシナリオにおける各IIS 7 Webgateのインストール
2. 複数のIIS 7 Webgateに対する偽装DLLの設定
3. 複数のIIS 7 Webgateに対するクライアント認証の有効化
4. パススルー機能のためのIIS 7 Webgateの構成
5. IIS 7 Webgateのインストールの確認
6. 次のタスクを実行します。このタスクはIIS Webサーバー・インスタンスごとにインストールするWebgateの数に関係なく同じです。

   • 「ISAPIフィルタの並替え」

   • 「IISへのWebgateのインストールの確認」

   関連項目:

   「複数のWebgateのインストールの確認」

33.6.1 複数のWebgateシナリオにおける各IIS 7 Webgateのインストール

ISAPI Webgateをインストールした後で、次に説明する手動のステップをいくつか実行します。デフォルトでは、webgate.dllはホスト名(上位)レベルでISAPIフィルタとして構成されます。複数のWebgateを1つのIIS 7インスタンスに対してインストールしているときは、各Webgateインストールの後で、上位レベルからそれぞれのwebgate.dllを削除して、個々の適切なWebサイトで構成する必要があります。

1つのIIS 7インスタンスに対して複数のWebゲートがある場合に各Webゲートをインストールするには:

1. ISAPI 7 Webゲートをインストールします。

   「Access Manager 11gを使用する10g Webゲートの登録および管理」を参照してください。

2. 保護するWebサイトに移動し、次のステップを使用してwebgate.dllをISAPIフィルタとして構成します。

   1. インターネット・インフォメーション・サービス(IIS)マネージャを起動します(「スタート」→「管理ツール」→「Internet Information Services (IIS) Manager」をクリックします)。

   2. 「Connections」ペインでhostnameを選択します。

   3. hostnameの「Home」ペインで「ISAPI Filters」をダブルクリックし、Webgate.dllを検索します。存在する場合は選択して、「Action」ペインの「Remove」をクリックします。

   4. 「Connection」ペインの「Sites」の下で、Webgateフィルタを構成するWebサイト名をクリックします。

   5. 「Home」ペインで「ISAPI Filters」をダブルクリックします。

   6. 「Actions」ペインで「Add…」をクリックします。

   7. 「Add ISAPI Filter」ダイアログ・ボックスの「Filter name」テキスト・ボックスに、ISAPIフィルタの名前としてWebgateと入力します。

   8. 「Executable」ボックスにWebgate ISAPIフィルタ・ファイルのファイル・システム・パスを入力するか、省略記号ボタン(...)をクリックしてWebgate.dll ISAPIフィルタ・ファイルを含むフォルダに移動し、「OK」をクリックします。

      Webgate_install_dir\access\oblix\apps\webgate\bin\webgate.dll
      

3. 仮想ディレクトリの作成:

   1. 「Sites」ペインを開き、ISAPIフィルタ(Webgate.dll)を構成したばかりのWebサイトを選択します。

   2. 「Action」ペインで「View Virtual Directories」をクリックし、「Add Virtual Directory」を選択します。

   3. 「Alias」テキスト・ボックスにaccessを指定し、Webgateのaccessフォルダの物理パスを指定するか、省略記号(...)をクリックしてaccessフォルダに移動して「OK」をクリックします。

      Webgate_install_dir\access\
      

   4. これらの変更を保存して適用します。

4. 仮想ディレクトリの権限の設定:

   1. ステップ3で作成したaccess仮想ディレクトリを選択します。

   2. accessの「Home」ペインで「Handler Mappings」をダブルクリックします。「Action」ペインで「Edit Feature Permissions…」を選択します。

   3. 「Read」、「Script」および「Execute」の横のボックスを選択してから、「OK」をクリックします。

5. Webgateのディレクトリ権限の設定:

   1. エクスプローラで、Webgateインストール・ディレクトリWebgate_install_dir\accessを右クリックし、「プロパティ」を選択します。

   2. 「セキュリティ」タブをクリックし、「編集」ボタンをクリックします。

   3. ユーザー「IUSR」を追加し、「変更」について「許可」を選択します。

   4. ユーザー「IIS_IUSRS」を追加し、「変更」について「許可」を選択します。

   5. ユーザー「NETWORK」を追加し、「変更」について「許可」を選択します。

   6. ユーザー「NETWORK SERVICE」を追加し、「変更」について「許可」を選択します。

   7. グループ「Administrators」では、「変更」について「許可」を選択します。

6. 簡易モードまたは証明書モードのWebgate:

   1. ファイル・システムで、Webgate_install_dir\access\oblix\config\password.xmlのpassword.xmlファイルを探して右クリックし、「プロパティ」を選択します。

   2. 「セキュリティ」タブをクリックします。

   3. 「読取り」権限の「許可」をユーザー「IUSR」、「NETWORK SERVICE」、「IIS_WPG」、「IIS_IUSRS」に指定します。

7. 上位レベル(hostnameのレベル)にはwebgate.dllがないことを確認します。

8. 次の項目の手順に従い次の一連のタスクを実行します。

   1. 「複数のIIS 7 Webgateに対する偽装DLLの設定」

   2. 「複数のIIS 7 Webgateに対するクライアント認証の有効化」

9. IISインスタンスに対して次のWebgateをインストールするには、これらのステップを繰り返します。

33.6.2 複数のIIS 7 Webgateに対する偽装DLLの設定

クライアントのアクセス・トークンは偽装トークンとも呼ばれます。偽装トークンでは、クライアント、クライアントのグループおよびクライアントの権限が識別されます。トークン内の情報は、スレッドがクライアントのかわりにリソースへのアクセスをリクエストする際に、アクセス・チェックに使用されます。

Access Managerによってユーザーの認証および認可が行われます。ワイルドカード拡張機能のAccess ManagerのIISImpersonationExtension.dllは、Webサーバーへの各リクエストのフィルタのように機能します。Access Managerでは、「アクセス・ゲート構成」ページの偽装ユーザー名/パスワードを使用して、別のユーザーを偽装する権限を持つ特別なユーザーを構成することでユーザーを指定します。指定されたユーザーにはオペレーティング・システムとして機能する権限が必要です。DLLは、Access Managerによって認証および認可されたユーザーを偽装し、偽装トークンを生成します。

次のステップを実行し、1つのIIS 7 Webサーバー・インスタンスのWebサイトを保護する各Webgateに偽装DLLを設定します。これは、前述の項のインストール・タスクの直後に行うことも、まとめて一度に実行することもできます。

ノート:

このタスクは、1つのIIS Webサーバー・インスタンスの個々のWebサイトを保護する各Webgateに対して実行する必要があります。

個々のWebサイトのIIS 7構成に偽装DLLを追加するには:

1. 必要に応じてインターネット・インフォメーション・サービス(IIS)マネージャを起動します(「スタート」→「管理ツール」→「Internet Information Services (IIS) Manager」をクリックします)。

2. 必要なWebサイトにワイルドカード・スクリプト・マップとしてIISImpersonationExtension.dllを追加します。

   1. 接続ペインで「Sites」を開きます。

   2. IISImpersonationExtension.dllを追加するWebサイト名をクリックします。

   3. 選択したWebサイトの「home」ペインで「Handler Mappings」をダブルクリックします。

   4. 「Action」ペインで「Add Wildcard Script Map」をクリックします。

   5. 「Add Wildcard Script Map」ダイアログ・ボックスの「Name」テキスト・ボックスに、dllの名前としてOracle Impersonation Pluginと入力します。

   6. 「Executable」ボックスにWebgate IISImpersonationExtension.dllのファイル・システム・パスを入力するか、省略記号ボタン(...)をクリックしてIISImpersonationExtension.dllを含むフォルダに移動し、「OK」をクリックします。

      Webgate_install_dir/access/oblix/apps/Webgate/bin/ 
      IISImpersonationExtension.dll
      

      この例ではデフォルトのパスを表しています。この場合、Webgate_install_dirが、該当のWebgateをインストールしたファイル・システムのディレクトリになります。

3. 次のように進めます。

   • クライアント証明書認証: 「複数のIIS 7 Webgateに対するクライアント認証の有効化」

   • 「IIS 7 Webgateのインストールの確認」。

33.6.3 複数のIIS 7 Webgateに対するクライアント認証の有効化

このタスクを実行し、1つのIIS 7 Webサーバー・インスタンスのWebサイトを保護する各Webgateに有効なクライアント認証を設定します。

これは、偽装DLLを個々のWebサイトに追加した直後に行うことも、まとめて一度に実行することもできます。

ノート:

Webgateのクライアント認証を構成する前に、SSLをWebサイトで有効にしておく必要があります。WebサイトをSSL対応にしてから次のステップを実行します。

設定中にクライアント証明書認証を選択する場合、各WebサイトのISAPIフィルタの1つとしてcert_authn.dllを有効にして追加する必要があります。

IIS 7 Webサーバーでcert_authn.dllを有効化するには:

1. 必要に応じてインターネット・インフォメーション・サービス(IIS)マネージャを起動します(「スタート」→「管理ツール」→「Internet Information Services (IIS) Manager」をクリックします)。

2. 接続ペインで「Sites」を開きます。

3. Webサイトを開き、\access\oblix\apps\webgate\binを表示します。

4. binディレクトリを右クリックし、「Switch To Content View」を選択します。

5. cert_authn.dllを右クリックし、ドロップダウン・メニューで「Switch To Feature View」を選択します。

6. cert_authn.dllの「Home」ペインで「SSL Settings」をダブルクリックします。

7. 「SSL Settings」ペインで「Require SSL」チェックボックスを選択し、「Accept from Client Certificates」を選択します。

8. 「Action」ペインで「Apply」を選択します。

9. このホストにインストールしたWebgateのうち、クライアント認証を有効にする各Webgateに対して同じ処理を繰り返します。

10. IIS 7 Webサーバーを再起動します。

11. 次のタスク「ISAPI v7フィルタとしてcert_authn.dllを追加する手順」に進みます。

ISAPI v7フィルタとしてcert_auth.dllを追加するには:

1. 必要に応じてインターネット・インフォメーション・サービス(IIS)マネージャを起動します(「スタート」→「管理ツール」→「Internet Information Services (IIS) Manager」をクリックします)。
2. 接続ペインで「Sites」を開きます。
3. cert_authn.dllを追加するWebサイト名をクリックします。
4. 「Home」ペインで「ISAPI Filters」をダブルクリックします。
5. 「Actions」ペインで「Add」をクリックします。
6. 「Add ISAPI Filter」ダイアログ・ボックスの「Filter name」ボックスに、ISAPIフィルタの名前としてOracle Certification Authentication Pluginと入力します。
7. 「Executable」ボックスにWebgate cert_authn.dllのファイル・システム・パスを入力するか、省略記号ボタン(...)をクリックしてcert_authn.dllを含むフォルダに移動し、「OK」をクリックします。

   Webgate_install_dir/access/oblix/apps/Webgate/bin/cert_authn.dll 
   

   この例ではデフォルトのパスを表しています。この場合、Webgate_install_dirが、該当のWebgateをインストールしたファイル・システムのディレクトリになります。

8. 「Action」ペインの「View Ordered List」をクリックし、上矢印と下矢印を使用して次のようにフィルタを並べ替えます。

   cert_authn.dll webgate.dll

9. 「Action」ペインで「Apply」を選択します。
10. このホストにインストールしたWebgateのうち、クライアント認証を有効にする各Webgateに対して同じ処理を繰り返します。
11. IIS 7 Webサーバーを再起動します。
12. デプロイメントのニーズに合せて次の手順に進みます。

    • 「パススルー機能のためのIIS 7 Webgateの構成」

33.6.4 パススルー機能のためのIIS 7 Webgateの構成

ここでは、必要なWebサイトにワイルドカード・スクリプト・マップとしてWebgate.dllを追加します。

パススルー機能で動作するようにWebgateを構成する際には、WebgateをインストールするWebサイトの物理パスが異なるようにする必要があります。そうしないと、ハンドラ・マッピングの変更が、同じ物理パスを共有するすべてのWebサイトに反映されます。

ノート:

物理パスは、Webサイトの作成時に指定するパスです。Webサイトの作成後にこのパスをチェックするには、「Action」ペインで「Basic Settings」をクリックすると、Webサイトの物理パスを示すウィンドウが表示されます。

• Webサイト名をクリックします。

• 「Action」ペインで「Basic Settings」をクリックします。

パス・スルー機能のために構成するには:

1. 必要に応じてインターネット・インフォメーション・サービス(IIS)マネージャを起動します(「スタート」→「管理ツール」→「Internet Information Services (IIS) Manager」をクリックします)。

2. 接続ペインで「Sites」を開きます。

3. パス・スルーを有効にするWebサイトの名前をクリックします。

4. 選択したWebサイトの「home」ペインで「Handler Mappings」をダブルクリックします。

5. 「Action」ペインで「Add Wildcard Script Map」をクリックします。

6. 「Add Wildcard Script Map」ダイアログ・ボックスの「Name」テキスト・ボックスに、ISAPIフィルタの名前としてWebgateと入力します。

7. 「Executable」ボックスにWebgate ISAPIフィルタ・ファイル(Webgate.dll)のファイル・システム・パスを入力するか、省略記号ボタン(...)をクリックしてWebgate.dll ISAPIフィルタ・ファイルを含むフォルダに移動し、「OK」をクリックします。

   Webgate_install_dir/access/oblix/apps/Webgate/bin/Webgate.dll
   

8. アクセス・システム・コンソールで次の操作を実行します。

   1. WebGateプロファイルを探して「Modify」をクリックします。

   2. 「User Defined Parameters」の下に次のパラメータと値を入力します。

      UseWebGateExtForPassthrough

      true

   3. プロファイルを保存します。

9. このホストにインストールしたWebgateのうち、パススルーを有効にする各Webgateに対して同じ処理を繰り返します。

10. IIS 7 Webサーバーを再起動します。

11. 次のタスク「IIS 7 Webgateのインストールの確認」に進みます。

33.6.5 IIS 7 Webgateのインストールの確認

IIS 7 Webgateのインストールを確認できます。

IIS 7 Webgateのインストールを確認するには:

1. 次のURLに移動します。

        http(s)://hostname:port/access/oblix/apps/webgate/bin/webgate.dll?progid=1
   

   ここで、hostnameはWebgateをホストするコンピュータ名、portはWebサーバー・インスタンスのポート番号です。

2. Webgateの診断ページが表示されます。

   • 成功: WebGateの診断ページが表示された場合、WebGateは正しく機能しているので、ページを閉じることができます。

   • 失敗した場合: Webgateの診断ページが表示されない場合、Webgateが正常に機能していません。この場合、Webgateをアンインストールしてから再インストールする必要があります。Access Managerの削除の詳細は、第22章を参照してから、Webゲートのインストールに関する章に戻ってください。