| Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
|
前 |
次 |
Oracle Virtual Directoryを使用していてもグローバル・カタログを備えたActive Directoryを使用していても、この項は、ユーザーが実行できるステップを含む次のトピックを提供します。
有効なOracle Access Management管理者の資格証明を持つユーザーは、Windowsネイティブ認証用のアプリケーションを保護するポリシーで使用する認証スキームを定義できます。
開始する前に、次の項のいずれかを完了してください: 「KerberosPluginとOracle Virtual Directoryの統合」または「KerberosPluginと検索フェイルオーバーの統合」。
アプリケーション・ドメインおよびポリシーを編集(または作成)し、Windowsネイティブ認証のリソースを保護します。
開始する前に、「Windowsネイティブ認証用の認証スキームの作成」を完了してください。
Oracle Access Managementコンソールで、ウィンドウの上部にある「アプリケーション・セキュリティ」をクリックします。
「Access Manager」セクションで、「アプリケーション・ドメイン」をクリックします。
「コンソールを使用したアプリケーション・ドメインの管理」の説明に従って、必要なアプリケーション・ドメインを開きます(または作成します)。
リソース定義: 「ポリシー・リソース定義の追加および管理」の説明に従って、リソース定義をドメインに追加します。
認証ポリシー:
「認証ポリシー」ノードを開き、次の属性を含む必要な認証ポリシーを開きます(または作成します)。
認証スキーム: KerbScheme。更新したKerberosPluginが含まれていることを確認します。
認証スキームとしてKerbSchemeを選択し、更新したKerberosPluginが含まれていることを確認します。
「適用」をクリックして、「確認」ウィンドウを閉じます。
認証ポリシーのリソース: 『Oracle Fusion Middleware Oracle Access Management管理者ガイド』の説明に従って、リソースを認証ポリシーに追加します。
必要なレスポンスを加えて認証ポリシーを完了します。
認可ポリシー: 「特定のリソースの認可ポリシーの定義」の説明に従って、必要なレスポンスまたは条件を加えて認証ポリシーを完成します。
NTLMトークンの受信時にWNAフォールバック認証を使用するようにAccess Managerを構成できます。
詳細は、「Access Manager WNAログインおよびフォール・バック認証の理解」を参照してください。
構成するには、次のようにします。
OAM管理対象サーバーを停止します。
次のファイルを安全な場所にバックアップします。
<WLS domain>/config/fmwconfig/oam-config.xml
<WLS domain>/config/fmwconfig/oam-config.xmlを次のように変更します。
次の行を探します。
<Setting Name="CredentialCollector" Type="htf:map">
この行の後に、次の要素を追加します(まだ存在していない場合)。
--------------------------------------------------------------------------
<Setting Name="WNAOptions" Type="htf:map">
<Setting Name="HandleNTLMResponse" Type="xsd:string">BASIC</Setting>
</Setting>
--------------------------------------------------------------------------
次のパラメータがすでに存在する場合:
<Setting Name="HandleNTLMResponse" Type="xsd:string">DEFAULT</Setting>
HandleNTLMResponseの値を、DEFAULTからBASICに変更します。次に例を示します。
<Setting Name="HandleNTLMResponse" Type="xsd:string">BASIC</Setting>
OAMサーバー・プロセスを再起動します。
ノート:
トラブルシューティングの詳細は、「2つのBASIC認証のプロンプトが表示される」を参照してください。
FORMベース認証スキームへのWNAフォールバックは、認証前ルールの設定に依存しています。WNA FORMフォールバック・メカニズムをサポートするOAM_WNA_OPT_OUT cookieを確認する認証前ルールを作成してください。OAM_WNA_OPT_OUT cookieの値がTRUEに設定されている場合は、認証スキームがFORMベース認証に切り替えられます。
OAM管理対象サーバーを停止します。
<WLS domain>/config/fmwconfig/oam-config.xmlファイルを安全な場所にバックアップしてください。
次のように<WLSドメイン>/config/fmwconfig/oam-config.xmlを編集します。
<Setting Name="WNAOptions" Type="htf:map"> <Setting Name="HandleNTLMResponse" Type="xsd:string">FORM</Setting> </Setting>
NTLMおよびKerberos認証がブラウザ(ドメインにアタッチされていないブラウザなど)で機能しない場合は、OAMサーバーがレスポンスの本文に認証エラー(403)およびHTMLコンテンツを設定して応答します。OAMのデフォルトでは、「ログイン」ボタンがある認証エラー・ページが表示されます。ユーザーは、カスタマイズされたページの「ログイン」ボタンをクリックして、FORMベースの認証へのWNAのフォールバックを起動する必要があります。オプションで、CustomOptOutPageまたはIsOptOutPersistentパラメータをoam-config.xmlに構成して、エラー・ページをカスタマイズできます。
oam-config.xmlファイルからすべてのHTMLコンテンツを生成するには、次のようにカスタム・オプト・アウト・ページを構成します。カスタマイズされたページのボタンがクリックされると、JavaScript関数optOut()が起動されます。次に、OAMがJavaScript関数optOut()を生成します。
<Setting Name="CustomOptOutPage" Type="xsd:string">/home/custom.html</Setting>
<Setting Name="IsOptOutPersistent" Type="xsd:boolean">false</Setting>
str(request.requestMap['Cookie']).lower().find('oam_wna_opt_out=true') >= 0
OAMサーバー・プロセスを再起動します。
Access Manager構成ファイルoam-config.xmlを確認できます。
次の例に示すように、oam-config.xmlファイルに次の情報が指定されていることを確認します。
krb5.confファイルへのパス
keytabファイルへのパス
KDCに接続するプリンシパル
oam-config.xml
<Setting Name="KerberosModules" Type="htf:map">
<Setting Name="6DBSE52C" Type="htf:map">
<Setting Name="principal" Type="xsd:string">HTTP/oam11g.example.com@LM.EXAMPLE.COM
</Setting>
<Setting Name="name" Type="xsd:string">XYZKerberosModule</Setting>
<Setting Name="keytabfile" Type="xsd:string">/refresh/home/oam.keytab
</Setting>
<Setting Name="krbconfigfile" Type="xsd:string">/etc/krb5.conf</Setting>
</Setting>
</Setting>
