Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
![]() 前 |
![]() 次 |
同じIIS 7 Webサーバー・インスタンス上の異なるWebサイトに複数のWebゲートをインストールして構成できます。いくつかのステップは手動で行い、1つのIISインスタンスに1つのWebgateをインストールする際に実行するステップとは異なります。
1つのIISインスタンスに対して複数のWebgateをインストールする場合、次のようになります。
webgate.dllは、デフォルト(上位)Webサーバー・レベルではなく個々のWebサイト・レベルでISAPIフィルタとして構成する必要があります。
/access仮想ディレクトリは、Webサイト・レベルで、Webgateインストールのそれぞれの/accessディレクトリにマップされます。
複数のWebgateの偽装DLLを構成する場合、オペレーティング・システムとして機能するようにユーザーを構成する必要があります。
タスクの概要: 1つのIIS 7インスタンスに対する複数のWebgateのインストールと構成:
1つのIIS 7インスタンスに対して複数のWebゲートがある場合に各Webゲートをインストールするには:
ISAPI 7 Webゲートをインストールします。
保護するWebサイトに移動し、次のステップを使用してwebgate.dllをISAPIフィルタとして構成します。
インターネット・インフォメーション・サービス(IIS)マネージャを起動します(「スタート」→「管理ツール」→「Internet Information Services (IIS) Manager」をクリックします)。
「Connections」ペインでhostnameを選択します。
hostnameの「Home」ペインで「ISAPI Filters」をダブルクリックし、Webgate.dllを検索します。存在する場合は選択して、「Action」ペインの「Remove」をクリックします。
「Connection」ペインの「Sites」の下で、Webgateフィルタを構成するWebサイト名をクリックします。
「Home」ペインで「ISAPI Filters」をダブルクリックします。
「Actions」ペインで「Add…」をクリックします。
「Add ISAPI Filter」ダイアログ・ボックスの「Filter name」テキスト・ボックスに、ISAPIフィルタの名前としてWebgateと入力します。
「Executable」ボックスにWebgate ISAPIフィルタ・ファイルのファイル・システム・パスを入力するか、省略記号ボタン(...)をクリックしてWebgate.dll ISAPIフィルタ・ファイルを含むフォルダに移動し、「OK」をクリックします。
Webgate_install_dir\access\oblix\apps\webgate\bin\webgate.dll
仮想ディレクトリの作成:
「Sites」ペインを開き、ISAPIフィルタ(Webgate.dll)を構成したばかりのWebサイトを選択します。
「Action」ペインで「View Virtual Directories」をクリックし、「Add Virtual Directory」を選択します。
「Alias」テキスト・ボックスにaccessを指定し、Webgateのaccessフォルダの物理パスを指定するか、省略記号(...)をクリックしてaccessフォルダに移動して「OK」をクリックします。
Webgate_install_dir\access\
これらの変更を保存して適用します。
仮想ディレクトリの権限の設定:
ステップ3で作成したaccess仮想ディレクトリを選択します。
accessの「Home」ペインで「Handler Mappings」をダブルクリックします。「Action」ペインで「Edit Feature Permissions…」を選択します。
「Read」、「Script」および「Execute」の横のボックスを選択してから、「OK」をクリックします。
Webgateのディレクトリ権限の設定:
エクスプローラで、Webgateインストール・ディレクトリWebgate_install_dir
\access
を右クリックし、「プロパティ」を選択します。
「セキュリティ」タブをクリックし、「編集」ボタンをクリックします。
ユーザー「IUSR」を追加し、「変更」について「許可」を選択します。
ユーザー「IIS_IUSRS」を追加し、「変更」について「許可」を選択します。
ユーザー「NETWORK」を追加し、「変更」について「許可」を選択します。
ユーザー「NETWORK SERVICE」を追加し、「変更」について「許可」を選択します。
グループ「Administrators」では、「変更」について「許可」を選択します。
簡易モードまたは証明書モードのWebgate:
ファイル・システムで、Webgate_install_dir\access\oblix\config\password.xmlのpassword.xmlファイルを探して右クリックし、「プロパティ」を選択します。
「セキュリティ」タブをクリックします。
「読取り」権限の「許可」をユーザー「IUSR」、「NETWORK SERVICE」、「IIS_WPG」、「IIS_IUSRS」に指定します。
上位レベル(hostnameのレベル)にはwebgate.dllがないことを確認します。
次の項目の手順に従い次の一連のタスクを実行します。
IISインスタンスに対して次のWebgateをインストールするには、これらのステップを繰り返します。
Access Managerによってユーザーの認証および認可が行われます。ワイルドカード拡張機能のAccess ManagerのIISImpersonationExtension.dllは、Webサーバーへの各リクエストのフィルタのように機能します。Access Managerでは、「アクセス・ゲート構成」ページの偽装ユーザー名/パスワードを使用して、別のユーザーを偽装する権限を持つ特別なユーザーを構成することでユーザーを指定します。指定されたユーザーにはオペレーティング・システムとして機能する権限が必要です。DLLは、Access Managerによって認証および認可されたユーザーを偽装し、偽装トークンを生成します。
次のステップを実行し、1つのIIS 7 Webサーバー・インスタンスのWebサイトを保護する各Webgateに偽装DLLを設定します。これは、前述の項のインストール・タスクの直後に行うことも、まとめて一度に実行することもできます。
ノート:
このタスクは、1つのIIS Webサーバー・インスタンスの個々のWebサイトを保護する各Webgateに対して実行する必要があります。
個々のWebサイトのIIS 7構成に偽装DLLを追加するには:
必要に応じてインターネット・インフォメーション・サービス(IIS)マネージャを起動します(「スタート」→「管理ツール」→「Internet Information Services (IIS) Manager」をクリックします)。
必要なWebサイトにワイルドカード・スクリプト・マップとしてIISImpersonationExtension.dllを追加します。
接続ペインで「Sites」を開きます。
IISImpersonationExtension.dllを追加するWebサイト名をクリックします。
選択したWebサイトの「home」ペインで「Handler Mappings」をダブルクリックします。
「Action」ペインで「Add Wildcard Script Map」をクリックします。
「Add Wildcard Script Map」ダイアログ・ボックスの「Name」テキスト・ボックスに、dllの名前としてOracle Impersonation Pluginと入力します。
「Executable」ボックスにWebgate IISImpersonationExtension.dllのファイル・システム・パスを入力するか、省略記号ボタン(...)をクリックしてIISImpersonationExtension.dllを含むフォルダに移動し、「OK」をクリックします。
Webgate_install_dir/access/oblix/apps/Webgate/bin/
IISImpersonationExtension.dll
この例ではデフォルトのパスを表しています。この場合、Webgate_install_dirが、該当のWebgateをインストールしたファイル・システムのディレクトリになります。
次のように進めます。
クライアント証明書認証: 「複数のIIS 7 Webgateに対するクライアント認証の有効化」
このタスクを実行し、1つのIIS 7 Webサーバー・インスタンスのWebサイトを保護する各Webgateに有効なクライアント認証を設定します。
これは、偽装DLLを個々のWebサイトに追加した直後に行うことも、まとめて一度に実行することもできます。
ノート:
Webgateのクライアント認証を構成する前に、SSLをWebサイトで有効にしておく必要があります。WebサイトをSSL対応にしてから次のステップを実行します。
設定中にクライアント証明書認証を選択する場合、各WebサイトのISAPIフィルタの1つとしてcert_authn.dllを有効にして追加する必要があります。
IIS 7 Webサーバーでcert_authn.dllを有効化するには:
必要に応じてインターネット・インフォメーション・サービス(IIS)マネージャを起動します(「スタート」→「管理ツール」→「Internet Information Services (IIS) Manager」をクリックします)。
接続ペインで「Sites」を開きます。
Webサイトを開き、\access\oblix\apps\webgate\binを表示します。
binディレクトリを右クリックし、「Switch To Content View」を選択します。
cert_authn.dllを右クリックし、ドロップダウン・メニューで「Switch To Feature View」を選択します。
cert_authn.dllの「Home」ペインで「SSL Settings」をダブルクリックします。
「SSL Settings」ペインで「Require SSL」チェックボックスを選択し、「Accept from Client Certificates」を選択します。
「Action」ペインで「Apply」を選択します。
このホストにインストールしたWebgateのうち、クライアント認証を有効にする各Webgateに対して同じ処理を繰り返します。
IIS 7 Webサーバーを再起動します。
次のタスク「ISAPI v7フィルタとしてcert_authn.dllを追加する手順」に進みます。
ISAPI v7フィルタとしてcert_auth.dllを追加するには:
ここでは、必要なWebサイトにワイルドカード・スクリプト・マップとしてWebgate.dllを追加します。
パススルー機能で動作するようにWebgateを構成する際には、WebgateをインストールするWebサイトの物理パスが異なるようにする必要があります。そうしないと、ハンドラ・マッピングの変更が、同じ物理パスを共有するすべてのWebサイトに反映されます。
ノート:
物理パスは、Webサイトの作成時に指定するパスです。Webサイトの作成後にこのパスをチェックするには、「Action」ペインで「Basic Settings」をクリックすると、Webサイトの物理パスを示すウィンドウが表示されます。
Webサイト名をクリックします。
「Action」ペインで「Basic Settings」をクリックします。
パス・スルー機能のために構成するには:
必要に応じてインターネット・インフォメーション・サービス(IIS)マネージャを起動します(「スタート」→「管理ツール」→「Internet Information Services (IIS) Manager」をクリックします)。
接続ペインで「Sites」を開きます。
パス・スルーを有効にするWebサイトの名前をクリックします。
選択したWebサイトの「home」ペインで「Handler Mappings」をダブルクリックします。
「Action」ペインで「Add Wildcard Script Map」をクリックします。
「Add Wildcard Script Map」ダイアログ・ボックスの「Name」テキスト・ボックスに、ISAPIフィルタの名前としてWebgateと入力します。
「Executable」ボックスにWebgate ISAPIフィルタ・ファイル(Webgate.dll)のファイル・システム・パスを入力するか、省略記号ボタン(...)をクリックしてWebgate.dll ISAPIフィルタ・ファイルを含むフォルダに移動し、「OK」をクリックします。
Webgate_install_dir/access/oblix/apps/Webgate/bin/Webgate.dll
アクセス・システム・コンソールで次の操作を実行します。
WebGateプロファイルを探して「Modify」をクリックします。
「User Defined Parameters」の下に次のパラメータと値を入力します。
UseWebGateExtForPassthrough
true
プロファイルを保存します。
このホストにインストールしたWebgateのうち、パススルーを有効にする各Webgateに対して同じ処理を繰り返します。
IIS 7 Webサーバーを再起動します。
次のタスク「IIS 7 Webgateのインストールの確認」に進みます。