33.5 IISでのWebgateインストールの完了

特に明記しないかぎり、この項の詳細は32ビットと64ビットのWebgateに同様に適用されます。

関連項目:

必要であれば次の項目を参照してください。

• 64ビットWebgateインストールの終了

• 1つのIIS 6インスタンスに対する複数のWebgateのインストールと構成

IIS v7を使用する場合は、次の項目を参照することをお薦めします。

• Windows 2008でのIIS 7 Webサーバー構成の更新

• 単一のIIS 7インスタンスでの複数の10g WebGatesのインストールおよび構成

IIS WebサーバーでのWebゲート・インストールを完了するには、インストールを完了した後に次のアクティビティも実行します。

タスクの概要: IIS Webgateの完了

1. IIS Webサーバーでのクライアント証明書認証の有効化
2. ISAPIフィルタの並替え
3. POSTデータのパススルー機能の有効化
4. デフォルト・サイトが設定されていない場合のWebサイトの保護

33.5.1 IIS Webサーバーでのクライアント証明書認証の有効化

特に明記しないかぎり、この項の詳細は32ビットと64ビットのWebgateに同様に適用されます。クライアント証明書認証を使用する場合は、IIS WebサーバーでSSLを有効にする必要があります。設定時にクライアント証明書認証を選択した場合は、ISAPIフィルタの1つとしてcert_authn.dllを追加することも必要です。

ノート:

この項の手順はIIS v5用の手順です。環境によっては異なることがあります。

IIS WebサーバーでSSLを有効化するには:

1. 必要であれば「Internet Information Services」コンソールを起動します(「スタート」→「管理ツール」→「Internet Information Services」をクリックします)。

2. ローカル・コンピュータを開いて、Webサイトを表示します。

3. デフォルトWebサイト(または適切なWebサイト)を開き、\access\oblix\apps\webgate\binを開きます。

4. cert_authn.dllを右クリックし、「Properties」を選択します。

5. 「Properties」パネルで「File Security」タブを選択します。

6. 「Secure Communications」サブパネルで「Edit」をクリックします。

7. 「Client Certificate Authentication」サブパネルで「Accept Certificates」をクリックし、「OK」をクリックします。

8. cert_authn.dllの「Properties」パネルで「OK」をクリックします。

9. 次の手順「ISAPIフィルタとしてcert_authn.dllを追加する手順」に進みます。

ISAPIとしてcert_authn.dllを追加するには:

1. 必要であれば「Internet Information Services」コンソールを起動します(「スタート」→「管理ツール」→「Internet Information Services」をクリックします)。
2. ローカル・コンピュータを開いて、Webサイトを表示します。
3. 適切なWebサイトを右クリックして、「Properties」パネルを表示します。
4. 「ISAPI Filters」タブをクリックして、「Add」ボタンをクリックし、「Filter Properties」パネルを表示します。
5. フィルタ名としてcert_authnと入力します。
6. 「Browse」ボタンをクリックし、次のディレクトリにナビゲートします。

   \Webgate_install_dir\access\oblix\apps\webgate\bin

7. cert_authn.dllを実行可能ファイルとして選択します。
8. 「Filter Properties」パネルで「OK」をクリックします。
9. 「ISAPI Filters」パネルで「Apply」をクリックします。
10. 「OK」をクリックします。
11. フィルタが正しい順序で表示されていることを確認します。

33.5.2 ISAPIフィルタの並替え

特に明記しないかぎり、この項の詳細は32ビットと64ビットのWebgateに同様に適用されます。Webgate ISAPIフィルタが正しい順序で組み込まれるように確認することが重要です。

ノート:

このタスクは、IIS Webサーバー・インスタンスごとにインストールするWebgateの数に関係なく同じです。

Webgate ISAPIフィルタを並べ替えるには:

1. 必要であれば「Internet Information Services」コンソールを起動します(「スタート」→「管理ツール」→「Internet Information Services」をクリックします)。
2. ローカル・コンピュータを開いて、Webサイトを表示します。
3. Webサイトを右クリックし、「Properties」を選択します。
4. 「Properties」をクリックし、ISAPIフィルタを選択します。
5. 次の.dllファイルが表示されることを確認します。

   次に例を示します。

   cert_authn.dll webgate.dll

6. 表示されていないフィルタを追加し、必要であれば、フィルタ名を選択して上下の矢印を使用し、ステップ5に示すようにフィルタの順序を変更します。

   警告:

   webgate.dllとpostgate.dllフィルタがそれぞれ1つだけあることを確認します。1つのコンピュータで複数のWebgateインストールを実行すると、postgate.dllファイルの複数のバージョンが作成されることがあり、そのためにAccess Managerの動作に異常が現れる可能性があります。

33.5.3 POSTデータのパススルー機能の有効化

IIS 6.0のワーカー・プロセス分離モードと組み合せてWebゲートを設定できます。また、IIS 5.0分離モードで実行するIIS 6.0のために必要な構成ステップも示します。

ノート:

この項は、10gのIIS Webサーバーでのpostgate.dllのインストールに関する項の情報よりも優先されます。IIS 5.0 Webサーバーでは、postgate.dllを使用する既存の機能が引き続きサポートされます。

次のタスクを実行して、POSTデータのパススルー機能を有効にします。

• ISAPI Webゲート10.1.4.2.3について

• POSTデータのパススルー機能について

• パススルーの実装: ワーカー・プロセス分離モードのIIS 6.0

• IIS 5.0分離モードのIIS 6.0 Webサーバーでのパススルーの実装

33.5.3.1 ISAPI Webゲート10.1.4.2.3について

ISAPI Webgateリリース10.1.4.2.3以上では、ワーカー・プロセス分離モードで実行するIIS 6.0に対するAccess Managerパススルー機能がサポートされています。ISAPI Webgate 10.1.4.2.3は、postgate.dllを使用してIIS 5.0分離モードで実行するIIS 6.0でも稼働します。

ノート:

新しい実装または既存の実装でのワーカー・プロセス分離モードの使用をお薦めします。ワーカー・プロセス分離モードはIIS 6.0 Webサーバーのデフォルト設定です。IIS 5.0 Webサーバーでは、(postgate.dllを使用する)既存の機能が引き続きサポートされます。

この項では、IIS 6.0のワーカー・プロセス分離モードに関連してISAPI Webgateリリース10.1.4.2.3を設定する方法を説明します。また、IIS 5.0分離モードで実行するIIS 6.0のために必要な構成ステップも示します。この項は、IIS Webサーバーでのpostgate.dllのインストールに関する項の情報よりも優先されます。

33.5.3.2 POSTデータのパススルー機能について

Webgate拡張メソッド(Webgateがフォームのアクションの場合)を使用しているとき、IIS Webサーバーでのフォーム・ログイン中は、パススルーのためにPOSTデータが必要です。

つまり、IIS Webサーバー上のフォーム認証スキームがパススルー・オプションにより構成され、ログイン・フォームのターゲットがフォームによりポストされたデータを必要とする場合、Webgate拡張メソッド(Webgate DLLがフォームのアクションの場合)は使用できません。かわりに、Webgateのフィルタ・メソッド(フォームのアクションがWebgate DLLでない保護されたURLの場合)を使用する必要があり、IISのバージョンに基づいて、postgate.dllをインストールするか、webgate.dllをISAPI拡張機能として構成する必要があります。

ワーカー・プロセス分離モードのIIS 6.0: パススルー機能を実現するために、webgate.dllをISAPIフィルタおよびISAPI拡張機能としても構成する必要があります。(これは、ISAサーバー統合には適用されません。)パススルー機能は10.1.4.2.3以上のISAPI Webgateでサポートされます。ただし、アクセス・システム・コンソールのWebgate構成プロファイルで、新しいユーザー定義パラメータUseWebGateExtForPassthroughをtrueに設定することも必要です。

IIS 5.0分離モードで実行するIIS 5.0またはIIS 6.0: パススルー機能を実現するためにはpostgate.dllをISAPIフィルタとして構成する必要があります。

33.5.3.3 パススルーの実装: ワーカー・プロセス分離モードのIIS 6.0

ワーカー・プロセス分離モードのIIS 6.0 Webサーバーを使用してパススルー機能を実装できます。

タスク概要:

1. 「Access Manager 11g用の最新の10g Webゲートの検索およびインストール」の説明に従ってWebゲートをインストールします。
2. 「WebgateプロファイルでのUseWebGateExtForPassthroughパラメータの設定」の説明に従って、パススルーのパラメータを設定します。
3. 「ISAPI拡張機能としてのwebgate.dllの構成」の説明に従って、webgate.dllを構成します。

33.5.3.3.1 WebgateプロファイルでのUseWebGateExtForPassthroughパラメータの設定

ワーカー・プロセス分離モードのIIS 6.0 Webサーバーにパススルー機能を実装するには、Webgateプロファイルで新しいユーザー定義パラメータUseWebGateExtForPassthroughを設定する必要があります。

UseWebGateExtForPassthroughをtrueに設定する必要があります。このパラメータをfalseに設定すると、パススルー機能は作動しません。

関連項目:

「IIS Webサーバーの問題」

WebGateプロファイルでUseWebGateExtForPassthroughパラメータを設定するには:

1. アクセス・システム・コンソールを起動して、「アプリケーション・セキュリティ」をクリックします。
2. 「エージェント」をクリックします。
3. Webゲートの検索基準を入力し、「検索」をクリックします。
4. 「検索結果」表で、WebGate名をクリックします。
5. アクセス/Webゲートページの「ユーザー定義パラメータ」セクションを探して、次のパラメータを入力し、「適用」をクリックします。

   パラメータ: UseWebGateExtForPassthrough

   値: true

6. ユーザー定義パラメータをさらに追加する場合は「適用」をクリックします。
7. デプロイ内の各WebGateに対して手順を繰り返します。
8. 「ISAPI拡張機能としてのwebgate.dllの構成」に進みます。

33.5.3.3.2 ISAPI拡張機能としてのwebgate.dllの構成

webgate.dllはWebgateインストールに含まれます。webgate.dllをISAPI拡張機能として構成できます。

ワーカー・プロセス分離モードのIIS 6.0 Webサーバーにパススルー機能を実装する場合も、このタスクを実行する必要があります。

ノート:

上位レベルのWebサイトとは別のWebサイト・レベルに複数のwebgate.dllを構成できます。その場合も、Webgateで保護される各Webサイトでwebgate.dllをISAPI拡張機能として構成する必要があります。

ISAPI拡張機能としてwebgate.dllを構成するには:

1. 「websites」に移動して右クリックし、「Properties」を選択します。
2. 「Properties」ダイアログ・ボックスで「Home Directory」タブを選択します。
3. 「Configurations」ボタンをクリックして「Application Configurations」ダイアログ・ボックスを開きます。
4. 「Wild Card Application Maps」で「Inset」ボタンをクリックします。
5. webgate.dllのパスを指定します。次に例を示します。

   Webgate_install_dir/access/oblix/apps/webgate/bin/webgate.dll
   

6. 「verify that file exists」チェック・ボックスを選択解除します。
7. 変更を確認して最終決定します。「OK」をクリックして再び「OK」をクリックします。または、「Apply」をクリックしてから「OK」をクリックします。
8. 「Services」でIIS管理サーバーを停止し、IIS Webサーバーを再起動します。

33.5.3.4 IIS 5.0分離モードのIIS 6.0 Webサーバーでのパススルーの実装

IIS 5.0分離モードのIIS 6.0 Webサーバーを使用してパススルー機能を実装できます。

このタスクは次のステップで説明します。

ノート:

ワーカー・プロセス分離モードのIIS 6.0 Webサーバーを使用している場合、このタスクは実行しません。

タスク概要:

1. Webゲートをインストールします。

   「Access Manager 11gを使用する10g Webゲートの登録および管理」を参照してください。

2. IIS 6.0を設定します。

   「IIS 5.0分離モードのIIS 6.0 Webサーバーの設定」を参照してください。

3. postgate.dllをインストールします。

   「ポストゲートISAPIフィルタのインストール」を参照してください。

33.5.3.4.1 IIS 5.0分離モードのIIS 6.0 Webサーバーの設定

IIS 6.0 Webサーバーが使用されるときに、IIS 5.0分離モードで実行するようにWWWサービスを設定できます。これはISAPI postgateフィルタで必要です。

次の情報は10.1.4.2.3 Webgateに対応するように更新されています。

IIS 6 WebサーバーでIIS 5.0分離を設定する手順

1. 必要であれば「Internet Information Services」コンソールを起動します(「スタート」→「管理ツール」→「Internet Information Services」をクリックします)。
2. ローカル・コンピュータを開いて、Webサイトを表示します。
3. Webサイトを右クリックし、「Properties」を選択します。
4. 「Web Site Properties」ウィンドウで「Service」タブを選択します。
5. 「Run WWW service in IIS 5.0 Isolation Mode」の横のボックスを選択します。
6. 「OK」をクリックします。
7. 「ポストゲートISAPIフィルタのインストール」に進みます。

33.5.3.4.2 ポストゲートISAPIフィルタのインストール

1つのWebゲート・インストールの場合、次の順序でフィルタをインストールする必要があります。

次の情報は10.1.4.2.3 Webgateに対応するように更新されています。

• ISAPI Webゲート・フィルタは、sspifiltフィルタの後で、他のフィルタの前にインストールする必要があります。

• postgateフィルタは、Webゲート・フィルタの前にインストールする必要があります(必要な場合のみ)。

• その他すべてのAccess Managerフィルタは最後にインストールできます。

  ノート:

  インストールの前(またはインストールの後)には、フィルタを手動で削除する必要があります。1つのフィルタを複数インストールした場合、新しいフィルタをインストール前に手動で削除できません。

上位レベルのWebサイトとは別のレベルに複数のwebgate.dllを構成できます。ただし、それらは同じpostgate.dllを共有します。1つのコンピュータで複数のWebgateインストールを実行すると、postgate.dllファイルの複数のバージョンが作成されることがあり、そのためにAccess Managerの動作に異常が現れる可能性があります。コンピュータの(上位)Webサイト・レベルに構成できるpostgate.dllは1つだけです。

ノート:

1つのIIS Webサーバー・インスタンスに対して複数のWebgateをインストールして構成しているとき、postgate.dllはサポートされません。

次の手順は、1つのWebゲートを1つのIIS Webサーバー・インスタンスにインストールしているときに、postgate ISAPIフィルタをインストールおよび配置する際のガイドになります。

すべてのpostgate ISAPIをインストールするには:

1. 必要であれば「Internet Information Services」コンソールを起動します(「スタート」→「管理ツール」→「Internet Information Services」をクリックします)。

2. ローカル・コンピュータを開いて、Webサイトを表示します。

3. Webサイトを右クリックし、「Properties」を選択します。

4. 「Web Site Properties」ウィンドウで「ISAPI Filters」タブを選択します。

5. 「Add」ボタンをクリックして、「Filter Properties」パネルを表示します。

6. フィルタ名としてpostgateと入力します。

7. 「Browse」ボタンをクリックし、次のディレクトリにナビゲートします。

   \Webgate_install_dir\access\oblix\apps\webgate\bin

8. postgate.dllを実行可能ファイルとして選択します。

9. 「Filter Properties」パネルで「OK」をクリックします。

10. 「ISAPI Filters」パネルで「Apply」をクリックします。

11. 次のようにして、ポストゲートISAPIフィルタの位置を変更します。

    1. 必要な場合、「Internet Information Services」コンソールを起動します。

    2. ローカル・コンピュータを右クリックし、「All Tasks」、「Restart IIS」を順に選択します。

    3. 「Properties」パネルで「ISAPI Filters」タブを選択します。

    4. postgateフィルタを選択し、上矢印を使用して、Webgateの前に移動します。

       次に例を示します。

       postgate.dll webgate.dll

    5. IISを再起動します。

       ノート:

       メタベースが破損しないようにするために net stop iisadminおよびnet start w3svcの使用を検討します。

33.5.4 デフォルト・サイトが設定されていない場合のWebサイトの保護

特に明記しないかぎり、この項は32ビットと64ビットのWebgateに同様に適用されます。"デフォルトのWebサイト"が構成されていないIIS Webサーバー上にWebゲートをインストールする場合、インストーラでは"仮想ディレクトリのアクセス"が作成されないため、手動で行う必要があります。

関連項目:

「アクセス権限、ISAPIフィルタおよびディレクトリのセキュリティ認証の設定」

Webサイト(デフォルト・サイトではない)を保護するには:

1. 必要な場合、「Internet Information Services」コンソールを起動します
2. 保護するWebサイトの名前を選択します。
3. 保護するWebサイトの名前を右クリックして、メニューの「New」→「Virtual Directory」を選択します。
4. 「Next」をクリックします。
5. 別名としてaccessを選択して、「Next」をクリックします。
6. ディレクトリ: /accessディレクトリへの完全パスを入力してから、「Next」をクリックします。

   Webgate_install_dir\access

7. 「Read」、「Run Scripts」および「Execute」を選択してから、「Next」をクリックします。
8. 「Finish」をクリックします。
9. IISを再起動します。

   次に例を示します。

   • 「スタート」、「ファイル名を指定して実行」の順に選択します。
   • net start w3svc.と入力します。
   • 「OK」をクリックします。