| Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
|
前 |
次 |
ノート:
MDCパートナ・プロファイルは、各データ・センターが公開するものであり、他のデータ・センターがそのデータ・センターとの通信に使用します。MDCパートナの登録は、2ステップのプロセスです。1つのMDCに3つのデータ・センターがあるとします。DC1で、10gまたは11g Webゲートを作成することによってMDCパートナ・プロファイルを公開します(DC1_MDC_Partner)。次に、DC1_MDC_PartnerをDC2およびDC3で、addPartnerForMultiDataCentreを使用して登録します。詳細は、「addPartnerForMultiDataCentre」を参照してください。
次の各項では、セキュリティ・モードについて詳しく説明します。
OPENセキュリティ・モードは、Access Managerデプロイメントのデフォルトのモードです。構成は必要ありません。
次に示すのは、WLSTのaddPartnerForMultiDataCentreコマンドで使用するためのサンプルの入力プロパティ・ファイルです。
remoteDataCentreClusterId= <CLUSTER ID OF REMOTE DC FOR WHICH THE AGENT IS BEING ADDED> oamMdcAgentId= <AGENT ID OF THE REGISTERED PARTNER IN datacenter ABOVE> PrimaryHostPort=<fully-qualified-host-name:OAM-port> for example:PrimaryHostPort=adc.example.com:5575 SecondaryHostPort=<fully-qualified-host-name:OAM-port> for example:SecondaryHostPort=adc.example.com:5577 AccessClientPasswd=<ACCESS CLIENT PASSWORD OF oamMdcAgentId IN datacenter> oamMdcSecurityMode=OPEN agentVersion=<WEBGATE AGENT VERSION 10g or 11g> #NA ----> Not Applicable trustStorePath=NA keyStorePath=NA globalPassPhrase=NA keystorePassword=NA
次に示すのは、WLSTのaddPartnerForMultiDataCentreコマンドで使用するためのサンプルの入力プロパティ・ファイルです。
remoteDataCentreClusterId= <CLUSTER ID OF REMOTE DC FOR WHICH THE AGENT IS BEING ADDED> oamMdcAgentId=<AGENT ID OF THE REGISTERED PARTNER IN datacenter ABOVE> PrimaryHostPort=<fully-qualified-host-name:OAM-port> for example:PrimaryHostPort=adc.example.com:5575 SecondaryHostPort=<fully-qualified-host-name:OAM-port> for example:SecondaryHostPort=adc.example.com:5577 AccessClientPasswd=<ACCESS CLIENT PASSWORD OF oamMdcAgentId IN datacenter> oamMdcSecurityMode=SIMPLE agentVersion=<WEBGATE AGENT VERSION 10g or 11g> #Copy the oamclient-truststore.jks & oamclient-keystore.jks from #<DOMAIN_HOME>/output/webgate-ssl/ from 'datacenter with cluster ID #remoteDataCentreClusterId' above into the local DC say /scratch/MDCArtifacts/ and #refer them in the below parameters trustStorePath=</scratch/MDCArtifacts/oamclient-truststore.jks> keyStorePath=</scratch/MDCArtifacts/oamclient-keystore.jks> #Use the online WLST command displaySimpleModeGlobalPassphrase() to list #the global passphrase in SIMPLE mode. Admins can also update this in the UI #@ System Configuration-->Access Manager-->Access Manager Settings--> #Access Protocol-->Simple Mode Configuration-->Global Passphrase. #globalPassPhrase & keystorePassword are the same for SIMPLE mode globalPassPhrase=<passphrase resulted in using the above steps> keystorePassword=<same as globalPassPhrase>
clientTrustStore.jksキーストアおよびclientKeyStore.jksキーストアを生成します。
MDC設定では、各クローン・データ・センターはマスター・データ・センターのレプリカです。新しくクローンされたデータ・センターが、CERTモードで既存のデータ・センターと通信するために、生成されたキーストアはデータ・センター間で再利用できます。ただし、ドメインを複数のノードに渡って構成する際には(新しいホストに新しいOAMサーバーを追加するなど)、新しいホストのファイル・システムで、AdminServerノードのディレクトリ構造と同じディレクトリ構造に必要なアーティファクトが格納されていることを確認します。
次のopensslコマンドをLinuxコマンド・プロンプトから実行してaaa_key.pemおよびaaa_req.pemを生成します。
openssl req -new -keyout aaa_key.pem -out aaa_req.pem -utf8
certreqコマンドを使用して証明書とチェーンを生成します。
次の手順を使用してaaa_cert.pemを作成します。
aaa_req.pemをテキスト・エディタで開いて内容をコピーします。
末尾のスペースは除外して選択します。
コピーしたテキストをSigncsrに貼り付けます。
「-----BEGIN CERTIFICATE REQUEST-----および-----END CERTIFICATE REQUEST-----」も含めます。
出力をテキスト・エディタにコピーし、aaa_cert.pemとして保存します。
次の手順を使用してaaa_chainを作成します。
certreqを開きます。
chain.pemをクリックし、内容をコピーしてテキスト・エディタに貼り付け、aaa_chain.pemとして保存します。
先頭と末尾のスペースは除外して選択します。
次のコマンドを使用して秘密キー(aaa_key.pem)を暗号化します。
openssl rsa -in aaa_key.pem -passin pass: -out aaa_key.pem -passout pass:Welcome1 -des
このコマンドで使用されるパスワードは、アクセス・クライアント・パスワードまたはエージェント・キー・パスワードとしてMDCパートナの登録時に定義される必要があります。
aaa_key.pem、aaa_cert.pemおよびaaa_chain.pemを一時的な場所にコピーします。
たとえば、/tmp/clientCertArtifacts/です。
次のコマンドのいずれかを使用してaaa_cert.pemおよびaaa_key.pemをDER形式に変換します。
-openssl x509 -in /tmp/clientCertArtifatcs/aaa_cert.pem -inform PEM -out /tmp/clientCertArtifatcs/aaa_cert.der -outform DER;
-openssl pkcs8 -topk8 -nocrypt -in /tmp/clientCertArtifatcs/aaa_key.pem -inform PEM -out /tmp/clientCertArtifatcs/aaa_key.der -outform DER;
次のステップを使用して、aaa_key.derおよびaaa_cert.derをclientKeyStore.jksにインポートし、aaa_chain.pemをclientTrustStore.jksにインポートします。
-cd $IDM_HOME/oam/server/tools/importcert/; -unzip importcert.zip; -java -cp importcert.jar oracle.security.am.common.tools.importcerts.CertificateImport -keystore /tmp/clientCertArtifatcs/clientKeyStore.jks -privatekeyfile /tmp/clientCertArtifatcs/aaa_key.der -signedcertfile /tmp/clientCertArtifatcs/aaa_cert.der -storetype jks -genkeystore yes -keytool -importcert -file /tmp/clientCertArtifatcs/aaa_chain.pem -trustcacerts -keystore /tmp/clientCertArtifatcs/clientTrustStore.jks -storetype JKS
指示に従ってキーストアのパスワードを入力します。パスワードは、WLSTのaddPartnerForMultiDataCentreコマンドの入力プロパティ・ファイルでも定義されている必要があります。
Webゲートの証明書作成時に行わなかった場合は、前のステップで使用したのと同じ、Oracle提供のimportcert.jarを使用して、aaa_key.derおよびaaa_cert.der形式の証明書を.oamkeystoreにインポートします。
-java -cp importcert.jar oracle.security.am.common.tools.importcerts.CertificateImport -keystore /scratch/Oracle/Middleware/domains/ base_domain/config/fmwconfig/.oamkeystore -privatekeyfile /tmp/clientCertArtifacts/aaa_key.der -signedcertfile /tmp/clientCertArtifacts/aaa_cert.der -alias mycertmode1 -storetype JCEKS
aliasは、Access ManagerでCERTモード設定時に定義された別名です。
次に示すのは、WLSTのaddPartnerForMultiDataCentreコマンドで使用するためのサンプルの入力プロパティ・ファイルです。
remoteDataCentreClusterId= <CLUSTER ID OF REMOTE DC FOR WHICH THE AGENT IS BEING ADDED> oamMdcAgentId=<AGENT ID OF THE REGISTERED PARTNER IN datacenter ABOVE> PrimaryHostPort=<fully-qualified-host-name:OAM-port> for example:PrimaryHostPort=adc.example.com:5575 SecondaryHostPort=<fully-qualified-host-name:OAM-port> for example:SecondaryHostPort=adc.example.com:5577 AccessClientPasswd=<ACCESS CLIENT PASSWORD OF oamMdcAgentId IN datacenter> oamMdcSecurityMode=CERT agentVersion=<WEBGATE AGENT VERSION 10g or 11g> trustStorePath=</tmp/clientCertArtifatcs/clientTrustStore.jks > keyStorePath=</tmp/clientCertArtifatcs/clientKeyStore.jks > globalPassPhrase=NA #use keystore password used for generating keystore in the previous step keystorePassword=<keystore password given while generating keystore>
