C.5 Access Managerの簡易モード通信の構成

トランスポート・セキュリティ通信モードはOAMのインストール中に選択されます。簡易モードのとき、インストーラは最初にランダムなグローバル・パスフレーズを生成しますが、これは後で必要に応じて編集できます。

ノート:

エージェントとサーバー間の通信は、Webゲート・モードがOAMサーバー・モードと同じか、それ以上であれば動作します。

OAMエージェントまたは新しいOAMサーバーを登録する際には、簡易モードを指定できます。ただし、グローバル・パスフレーズの変更には、簡易モードを使用するすべてのエージェントと新しいグローバル・パスフレーズの再構成が必要です。

ノート:

エージェントの登録中に、少なくとも1つのOAMサーバー・インスタンスがエージェントと同じモードで実行していることが必要です。そうでないと、登録は失敗します。ただし、エージェントの登録後、OAMサーバーの通信モードを変更できます。

最高レベルのセキュリティは「証明書」モードで、最も低いのは「オープン」モードです。エージェント・モードは高くても問題ありませんが、低くしないでください。たとえば、「オープン」モードは、「簡易」または「証明書」に更新できます。

この項では、簡易モード通信の構成に必要な情報を提供します。

タスク概要: 簡易モード通信の構成には次のことが含まれます

1. 次の内容の確認:

   • 簡易モード、暗号化およびキーについて

   • Importcertツール

2. 簡易モード用のグローバル・パスフレーズの取得

3. 簡易モード用Webゲート登録の更新

4. 簡易モード構成の検証

C.5.1 簡易モード、暗号化およびキーについて

簡易モード暗号化の場合、Access Managerには認証局がその固有の秘密キーとともに含まれ、すべてのWebゲートおよびOAMサーバーにインストールされます。

インストール中に、OAMサーバーの秘密キー-公開キーのペアが生成され、保存されます。OAMエージェントのインストールでも同様にOracle認証局がインストールされます。

インストーラは最初にランダムなグローバル・パスフレーズを生成しますが、これは必要に応じて編集または表示できます。エージェントがSIMPLE(簡易)モードで登録されていると、次のクライアント証明書が生成され、クライアントにより使用されます。

• aaa_key.pem: 秘密キーが含まれています

• aaa_cert.pem: 署名された証明書

• password.xml: ランダムなグローバル・パスフレーズが不明瞭化された形式で含まれています

ノート:

グローバル・パスフレーズを変更すると、「簡易」モードですでに構成されているすべてのエージェントの再構成が必要になります。

C.5.2 簡易モード用のグローバル・パスフレーズの取得

インストール中に「簡易」モード通信用にAccess Managerによって生成されたランダムなグローバル・パスフレーズを取得します。

「簡易」モード通信用のランダムなグローバル・パスフレーズを取得する手順

1. Oracle Access Managementコンソールが実行中であることを確認します。
2. Oracle Access Managementコンソールをホストしているコンピュータで、次のパスにあるWebLogic Scripting Toolを探します。次に例を示します。

   $ORACLE_IDM_HOME/common/bin
   

   ここで、$ORACLE_IDM_HOMEはベース・インストール・ディレクトリで、/common/binはスクリプト・ツールが置かれているパスです。

3. WebLogic Scripting Toolを起動します。次に、UNIXシステムの例を示します。

   ./ wlst.sh
   

4. WLSTシェルで、接続するコマンドを入力してからリクエスト情報を入力します。次に例を示します。

   wls:/offline> connect()
   Please enter your username [weblogic] :
   Please enter your password [weblogic] :
   Please enter your server URL [t3://localhost:7001] :
   wls:/base_domain/serverConfig>
   

5. 次のコマンドを入力して、場所を読取り専用のdomainRuntimeツリーに変更します(ヘルプを表示するにはhelp(domainRuntime)を使用します)。次に例を示します。

   wls:/OAM_AC>domainRuntime()
   

6. 次のコマンドを入力して、グローバル・パスフレーズを表示します。次に例を示します。

   wls:/OAM_AC> displaySimpleModeGlobalPassphrase()
   

7. 「簡易モード用Webゲート登録の更新」に進みます。

C.5.3 簡易モード用Webゲート登録の更新

簡易セキュリティ・モード用に生成されたアーティファクトはグローバル・パスフレーズを使用し、変更はWebゲートに伝播される必要があります。

簡易モード用に既存のWebゲート登録を更新するには、Oracle Access Managementコンソールを使用してWebゲート登録をいったん削除してから、再登録できます(簡易モードを指定し、ポリシーの自動生成を無効にします)。または、ここで説明するように、Webゲート登録を編集してから、アーティファクトをコピーすることもできます。

関連項目:

• コンソール内のOAMエージェント登録ページの表示または編集

簡易モード用WebGate登録を更新する手順

1. Oracle Access Managementコンソールで、ウィンドウの上部にある「アプリケーション・セキュリティ」をクリックします。
2. 「起動パッド」タブで、「エージェント」をクリックします。
3. 「検索」ページで、「Webゲートの検索コントロール」の説明に従って、検索基準を定義して目的のエージェント登録を開きます。
4. 登録ページで「セキュリティ」オプションを探して「簡易」をクリックします。
5. 「適用」をクリックして変更を送信します。
6. 更新したWebゲート・ファイルを、次のようにコピーします。

   11g Webゲート:

   • ObAccessClient.xml
   • cwallet.sso (11g Webゲートのみ)
   • password.xml

   • コピー元: $WLS_DOMAIN_HOME/output/AGENT_NAME (OAM AdminServerがインストールされているWebLogicドメイン・ホーム)

   • コピー先: $OHS_INSTANCE_HOME/config/OHS/ohs2/webgate/config

   10g Webゲート: ObAccessClient.xml

   • コピー元: $WLS_DOMAIN_HOME/output/AGENT_NAME

   • コピー先: $WebGate_install_dir/oblix/lib

   10g Webゲート: password.xml

   • コピー元: $WLS_DOMAIN_HOME/output/AGENT_NAME

   • コピー先: $WebGate_install_dir/oblix/config

7. 次のファイルを、Webゲート・リリースでの指示に従ってコピーします。
   • aaa_key.pem
   • aaa_cert.pem

   11g Webゲート:

   • コピー元: $IDM_DOMAIN_HOME/output/AGENT_NAME

   • コピー先: $OHS_INSTANCE_HOME/config/OHS/ohs2/webgate/config/simple

   10g Webゲート:

   • コピー元: $IDM_DOMAIN_HOME/output/AGENT_NAME

   • コピー先: $WebGate_install_dir/oblix/config/simple

8. OAMサーバーおよびOracle HTTP Serverインスタンスを再起動します。

C.5.4 「簡易」モード構成の検証

「簡易」モードへの変更をインスタンス化して結果を検証するためにWebサーバーを再起動します

簡易モードの変更を検証するには:

1. コマンドライン・ウィンドウからWebサーバーを再起動します。次の例を参照してください。
   11g Webgateの場合:

   d:\middleware\ohs_home\instances\ohs_webgate11g\bin
   opmnctl stopall
   opmnctl startall

   12c Webgateの場合:

   $(Oracle_Home)/user_projects/domains/base_domain/bin/stopComponent.sh ohs1
   ( stopComponent.sh ohs1 ) $(Oracle_Home)/user_projects/domains/base_domain/bin/startComponent.sh ohs1

2. ブラウザ・ウィンドウで、簡易モードを使用してWebGateにより保護されているリソースへのURLを入力します。
3. 求められたら、ログイン資格証明を入力します。
4. リソースが実行中であることを確認してください。