30.7 Access Manager 11g用の最新の10g Webゲートの検索とインストール

Access Manager 11gで使用する新しい10g Webゲートをインストールする場合は、次の手順を使用します。

それ以外の場合は、この項をスキップして次に進みます。

「11g OAMサーバー使用時の10g Webゲートの集中ログアウトの構成」を参照してください。

タスクの概要 - Webゲートのインストール手順は次のとおりです。

1. Access Manager 11gで使用する新規10g Webゲートのインストールの準備
2. Access Manager 11gで使用する10g Webゲートの検索とダウンロード
3. WebGate 10gのインストールの開始
4. トランスポート・セキュリティ・モードの指定
5. WebGateの構成詳細の指定
6. セキュアな通信のための証明書のリクエストまたはインストール
7. WebGate Webサーバー構成の更新
8. Webゲートのインストール終了
9. アーティファクトと証明書のインストール
10. Webゲートのインストールの確認

30.7.1 Access Manager 11gで使用する新規10g Webゲートのインストールの準備

Access Manager 11gで使用する10g Webゲートのインストールを開始する前に、インストール場所、ユーザー・アカウント、転送セキュリティ・モードなどの要件が満たされていることを確認します。

表30-4に、インストール要件の概要を示します。

表30-4 Access Manager 11gで使用する10g Webゲートのインストールの準備

情報	説明
サポートされている最新のWebゲート	Access Manager 11gでは、サポートされている最新の10g (10.1.4.3) Webゲートを必ず使用してください。ただし、該当する10g (10.1.4.3) WebGateが提供されていない場合は、その次に新しいWebGate (10g (10.1.4.2.0)を使用してください。 関連項目: 「Access Manager 11gで使用する10g Webゲートの検索とダウンロード」
インストール場所	次の点を考慮してください。 WebGateをアプリケーション・サーバーの前。 WebLogicサーバー・コンテナで管理されたセキュリティを使用するアプリケーション: アプリケーションをデプロイするWebLogicアプリケーション・サーバーの前
ユーザー・アカウント	WebGateのインストールに使用するアカウントは、WebGateを実行するアカウントとは異なります。 10g WebGateは、Webサーバーと同じユーザーおよびグループを使用してインストールする必要があります。 Unix: rootとしてログインしてWebGateをインストールできます。Webサーバー・プロセスをroot以外のユーザーとして実行している場合は、root以外のユーザーを使用してWebGateをインストールできます
rootレベルとサイト・レベル	WebGateはrootレベルまたはサイト・レベルでインストールできます。 複数の仮想サイトにWebGateをインストールしても、WebGateのインスタンスは1つです。
トランスポート・セキュリティ・モード	インストールするエージェントと同じモードを使用するように、1つ以上のOAMサーバーを構成していることを確認します。 「OAMサーバーとWebゲート間の通信の保護」も参照してください。
コンピュータ・レベルと仮想Webサーバー・レベル	WebGateは、コンピュータ・レベルまたは仮想Webサーバー・レベルで実行するように構成できます。コンピュータ・レベルと仮想Webサーバー・レベルの両方にインストールしないでください。
Oracle HTTP Server Webサーバー:	Oracle HTTP Server用の10g WebGateは、オープン・ソースApacheに基づいています。WebGateパッケージ名には次が含まれています。 OHS (Apache v1.3に基づく) OHS2 (Apache v2に基づく) OHS11g (Apache v2.2に基づき、この章の対象外)
Apache Webサーバー	Access Manager 11gは、SSLが有効または無効なApacheをサポートするコンポーネント用に単一パッケージを提供しています。 APACHE2_WebGateは、SSLが有効または無効なv2(およびリバース・プロキシが有効または無効なSolarisおよびLinux)をサポートしています。 「ApacheおよびIHS v2 Webgateを使用したAccess Managerについて」を参照してください。 APACHE22_WebGateは、SSLが有効または無効なv2.2(およびリバース・プロキシが有効または無効なSolarisおよびLinux)をサポートしています。 「ApacheおよびIHS v2 Webgateを使用したAccess Managerについて」も参照してください。 ノート: SSL対応の通信用に、Access ManagerはApache-SSLではなく、mod_sslのApacheのみをサポートしています。mod_sslはApache-SSLから派生した代替品です。
IBM HTTP Server (IHS) v2 Webサーバー:	IHS2_WebGateはIBM-AIX上でApache v2で稼働しています。Access Managerは、SSLが有効または無効なIHS v2およびIHS v2リバース・プロキシ・サーバーをサポートしています。 「ApacheおよびIHS v2 Webgateを使用したAccess Managerについて」を参照してください。
Domino Webサーバー:	10g WebゲートをDomino Webサーバーにインストールする前に、Domino Enterprise Server R5を正しくインストール、設定しておく必要があります。 関連項目: 「10g Webゲート用にLotus Domino Webサーバーを構成するための前提条件」
IIS Webサーバー	WebGateのインストール前に、IIS Webサーバーがロック・ダウン・モードになっていないことを確認します。これを行わなかった場合、サーバーが再起動され、メタベースが再度初期化され、IISがロック・ダウン後に発生したアクティビティを無視するまで、問題なく稼働しているように見えます。 クライアントの証明書認証を使用している場合は、WebGate用のクライアント証明書を有効にする前に、WebGateをホスティングしているIIS Webサーバー上でSSLを有効にしておく必要があります。 NTFSをサポートしているファイル・システム上にインストールする場合にかぎり、IIS WebGate用に/accessディレクトリの各種許可を設定する必要があります。たとえば、FAT32ファイル・システムを実行しているWindows 2000コンピュータで、簡易または証明書モードでISAPI Webgateをインストールすると仮定します。最後のインストール・パネルには、FAT32ファイル・システムに設定できない各種の許可を手動設定するための指示が表示されます。この場合、これらの指示を無視できます。 各IIS仮想Webサーバーは、仮想レベルに独自のWebGate.dllファイルを持つか、すべてのサイトに影響を及ぼす単一のWebGateを、サイト・レベルでイストールできます。Webgate.dllをサイト・レベルでインストールしてすべての仮想ホストを制御するか、Webgate.dllを1つまたはすべての仮想ホストに対してインストールします。 コンピュータ・レベルでpostgate.dllファイルをインストールする必要もあります。postgate.dllは、\WebGate_install_dirにあります。 「ポストゲートISAPIフィルタのインストール」を参照してください。 複数のインストールを実行すると、このファイルのバージョンが複数作成されることがあり、そのためにAccess Managerの動作に異常が現れる可能性があります。この場合は、webgate.dllとpostgate.dllが1つずつ存在していることを確認してください。 「10g Webゲート用にIIS Webサーバーを構成するための前提条件」を参照してください。 削除: WebGateおよび関連フィルタをIISから完全に削除するには、単にIIS内のリストから削除する以上の処理を行う必要があります。IISは設定のすべてをメタベース・ファイルに保持します。Windows 2000以降では、これは手動で変更できるXMLファイルです。メタベースを編集するためのツールMetaEditも使用可能です。MetaEditはRegeditに似ており、一貫性チェッカおよびブラウザやエディタの機能を備えています。WebgateをIISから完全に削除するには、MetaEditを使用してメタベースを編集します。
ISAプロキシ・サーバー	ISAプロキシ・サーバー上では、すべてのISAPIフィルタをISAインストール・ディレクトリ内にインストールする必要があります。ISAインストール・ディレクトリ構造内の任意の場所でかまいません。 ISAプロキシ・サーバーにWebGateをインストールする前に、次を行います。 次で、一般的なISAPIフィルタをISAの指示と照合します。 http://msdn.microsoft.com/library/default.asp?url=/library/en-us/isa/isaisapi_5cq8.asp 内外の通信レイヤーが正しく構成されており、機能していることを確認します。 インストール中に、それがISAインストールなのかどうか尋ねられます。次を必ず行います。 尋ねられたら、これがISAプロキシ・サーバーのインストールであることを示します。 WebGateインストール・パスとして、ISAインストール・ディレクトリを指定します。 自動Webサーバー更新機能を使用して、WebGateのインストール中にISAプロキシ・サーバーを更新します。 WebGateのインストール後、いくつかのスクリプトとプロセスを呼び出し、プログラミング上追加が必要なISAサーバー・フィルタの構成を行うconfigureISA4webgate.batを検索します。 「10g Webゲート用にISAサーバーを構成するための前提条件」を参照してください。

30.7.2 Access Manager 11gで使用する10g Webゲートの検索とダウンロード

必要に応じて10g Webゲートを入手し、ご使用のWebサーバーに適したインストール・パッケージを選択してください。

Access Manager 11gで使用する10g Webゲートを検索およびダウンロードするには、次のようにします。

1. 次のOracle Technology Networkで、最新のOracle Access Manager 10gの動作保証情報を確認します。

   http://www.oracle.com/technetwork/middleware/id-mgmt/fusion-certification-100350.html

2. 次のOracle Fusion Middleware 11gR1ソフトウェア・ダウンロードに移動します。

   http://www.oracle.com/technology/software/products/middleware/htdocs/fmw_11_download.html

3. ページの一番上のライセンス契約に同意をクリックします。
4. Access Manager WebGates (10.1.4.3.0)の行から、該当するプラットフォームのダウンロード・リンクをクリックし、画面の指示に従います。
5. インストールする10gアクセス・システムの言語パックに、WebGateインストーラを格納します。
6. 「Webゲート10gのインストールの開始」に進みます。

30.7.3 WebGate 10gのインストールの開始

Webサービス・タイプに関係なく、Webゲート10gのインストールを開始する手順は同じです。インストール・オプションを識別し、自分の環境に合わない場合はスキップできます。

WebGateのインストール中は、特定の時点で情報が保存されます。WebGateのインストール処理は必要に応じて取り消せます。ただし、WebGateのインストールを知らせるメッセージを受領後にWebGateのインストールを取り消す場合は、コンポーネントのアンインストールが必要です。

ノート:

HP-UXおよびAIXシステムでは、-is:tempdirパス・パラメータを使用して、十分な領域があるディレクトリにインストールを指示できます。パスは、十分な領域があるファイル・システムへの絶対パスでなければなりません。

WebGate 10gのインストールを開始するには:

1. WebGate 10gをホスティングするコンピュータ上で、Webサーバーの管理者権限のあるユーザーとしてログインします。

2. Webサーバー・インスタンスを停止します。

3. 該当するプラットフォーム、インストール・モード、Webサーバー用のWebGateインストーラを起動します。次に例を示します。

   GUIメソッド:

   Windows— Oracle_Access_Manager10_1_4_3_0_Win32_API_Webgate.exe
   

   コンソール・メソッド:

   Solaris—./ Oracle_Access_Manager10_1_4_3_0_sparc-s2_API_Webgate
   Linux—./ Oracle_Access_Manager10_1_4_3_0_linux_API_Webgate
   

   ここでAPIは、Webサーバーで使用するAPI (IIS Webサーバーの場合はISAPIなど)を示します。

4. 「ようこそ」画面を閉じます(管理者権限で画面に表示された指示に従います)。

5. WebGateのインストール・ディレクトリを指定します。

6. LinuxまたはSolaris: このコンピュータ上のGCCランタイム・ライブラリの場所を指定します。

7. 言語パック - デフォルトのロケールとインストールするその他のロケールを選択して、「次へ」をクリックします。

8. プレゼンテーション・ワークシートにインストール・ディレクトリをまだ記録していない場合は記録し、「次へ」をクリックして続行します。

   WebGateのインストールが開始し、数秒間かかることがあります。Windowsシステムでは、Microsoft管理インタフェースの構成を知らせる画面が表示されます。

   インストール・プロセスはまだ完了していません。トランスポート・セキュリティ・モードの指定を求められます。この時点では、情報のリストアに戻れません。

9. 必要に応じて、ダウンロード済のGCCライブラリを解凍した場所を指定します。

30.7.4 トランスポート・セキュリティ・モードの指定

少なくとも1つのOAM Server間のトランスポート・セキュリティは一致する必要があります。

「OAMサーバーとWebゲート間の通信の保護」を参照してください。

トランスポート・セキュリティ・モードを指定するには:

1. オープン、簡易またはWebGate用の証明書である必要があります。
2. 指定したトランスポート・セキュリティ・モードに従って進みます。

   • 簡易モードまたは証明書モード — 次のトピックに進みます。

     セキュアな通信のための証明書のリクエストまたはインストール

   • オープン・モード — 次のトピックまでスキップします。

     「WebゲートWebサーバー構成の更新」を参照してください。

30.7.5 安全な通信のための証明書の要求またはインストール

Webゲート10g用の証明書をリクエストまたはインストールできます。リクエストした証明書を\WebGate_install_dir\access\oblix\configディレクトリにコピーし、WebGate Webサーバーを再起動する必要があります。

Access Manager 11g環境でオープン・モード・トランスポート・セキュリティを使用する場合は、次のトピックまでスキップできます。

「WebゲートWebサーバー構成の更新」を参照してください。

Webゲート証明リクエスト: OAMサーバーに信頼されているルートCAに送信する必要があるリクエスト・ファイル(aaa_req.pem)を生成します。ルートCAは、WebGate用にインストール可能な署名付きの証明書を返します。

「OAMサーバーとWebゲート間の通信の保護」を参照してください。

WebGate 10g用の証明書をリクエストまたはインストールするには:

1. 証明書をリクエストするのか、インストールするのかを指定し、「次へ」をクリックして続行します。次に例を示します。

   • 証明書をリクエストする場合は、ステップ2に進みます。

   • 証明書をインストールする場合は、ステップ3に進みます。

2. 証明書をリクエストします。

   • リクエストされた情報を入力し、次に「次へ」をクリックして、証明書のリクエストをCAに発行します。

   • 証明書のファイルの場所が表示された場合は、それを記録します。

   • 証明書がある場合は「はい」をクリックして、ステップ3から続行します。それ以外の場合は、次のトピックまでスキップします。

     「WebゲートWebサーバー構成の更新」を参照してください。

3. インストール中に証明書をインストールする場合: 次のファイルへの絶対パスを指定して、「次へ」をクリックします。

   WebGate_install_dir\access\oblix\config

   • cacert.pemはOracleが提供したopenSSL認証局の署名を受けた証明書リクエストです。

   • password.xmlには、インストール中に指定されたランダムなグローバル・パスフレーズが不明瞭化された形式で含まれています。これを使用して、他の顧客が同一CAを使用しないようにします。Access Managerは、OAM AgentとOAM Server間の初期ハンドシェイク中に追加のパスワード・チェックを行います。

   • aaa_key.pemには秘密キー(openSSLによって生成)が含まれています。

   • aaa_cert.pemにはPEM形式の署名済証明書が含まれています。

   • 次のトピックに進みます。

     「WebゲートWebサーバー構成の更新」を参照してください。

30.7.6 Webゲートの構成詳細の指定

Access Manager 11gでのWebゲートのプロビジョニングと登録の間に指定した情報を使用して次のタスクを実行します。

WebGateの構成詳細を指定するには:

1. アクセス・システム・コンソールで指定された、WebGateに必要な情報を提供します。

   • WebGate ID—登録中に指定したエージェント名を入力します。

   • WebGateパスワード—登録中にパスワードを指定した場合は、それを入力します。パスワードを入力しない場合は、このフィールドを空白にしておきます。

   • アクセス・サーバーID - 必要な場合は、このWebゲートを登録したOAMサーバーの名前を入力するか、選択した任意の名前を使用します。

   • アクセス・サーバー・ホスト名 - このWebゲートを登録するOAMサーバーのDNSホスト名を入力します。

   • ポート番号 - OAM Proxyプロキシが実行中のポートを入力します。プロビジョニング中にポートを入力しなかった場合のデフォルト・ポートは3004です。

2. 「次へ」をクリックして続行します。

30.7.7 WebゲートWebサーバー構成の更新

WebサーバーがWebGateで作動するように構成する必要があります。Oracleはインストール中にWebサーバー構成を自動的に構成することをお薦めします。ただし、自動および手動の両方の更新手順が含まれています。

ノート:

手動でWebサーバーの構成を更新するには、次のようにします。

1. 自動更新に進むかどうかを尋ねられたら「いいえ」をクリックし、次に「次へ」をクリックします。

2. WebゲートWebサーバーの手動設定をサポートするために表示される画面を確認します。

   「Webサーバーの手動構成」を参照してください。

3. Webゲートのインストール画面に戻り、「次へ」をクリックして、次のトピックに進みます。

   「Access Manager 11gを使用した10g Webゲートのリモート登録」を参照してください。

Webサーバーの自動構成するには:

1. 「はい」をクリックしてWebサーバーの自動更新を行い、「次へ」をクリックします(または「いいえ」をクリックして次のトピックを参照してください)。

   「Webサーバーの手動構成」を参照してください。

   • ほとんどのWebサーバー - Webサーバー構成ファイルを含むディレクトリの絶対パスを指定します。

   • IIS Webサーバー - プロセスがすぐに開始し、1分以内に終了します。

     「IIS WebサーバーでのWebゲートのガイドラインについて」を参照してください。

     続行する前に特殊な指示があるかもしれません。NTFSをサポートしているファイル・システム上にインストールする場合にかぎり、IIS WebGate用に/accessディレクトリの各種許可を設定する必要があります。最後のインストール・パネルには、FAT32ファイルシステム上で設定できない様々な権限を手動で設定するための指示が表示されます。この場合、これらの指示を無視できます。

   • Sun Webサーバー - 続行する前に、必ずWebサーバー管理コンソールで変更を適用しておいてください。

   Webサーバーの構成が更新されたことを知らせる画面が表示されます。

2. 「次へ」をクリックして次のように続行します。

   「Webゲートのインストール終了」を参照してください。

30.7.7.1 Webサーバーの手動構成

WebGateのインストール中にWebサーバーの自動更新を取り消した場合は、手動でタスクを実行する必要があります。

ノート:

WebGateのインストール中に手動構成プロセスを起動した場合は、次のステップ1をスキップできます。

WebサーバーのWebGate用手動構成するには:

1. Webブラウザを起動し、必要に応じて次のファイルを開きます。次に例を示します。

   \WebGate_install_dir\access\oblix\lang\langTag\docs\config.htm

   ここで、\WebGate_install_dirはWebGateがインストールされているディレクトリです。

   ノート:

   64ビットのWebGateインストール中にIISの手動構成を選択した場合は、次のパスで詳細を入手できます。

   WebGate_install_dir\access\oblix\lang\en-us\docs\dotnet_isapi.htm

2. サポートされているWebサーバーから選択し、各Webサーバー・タイプに固有のすべての指示に従います。

   • WebGateの設定中に修正が必要なファイルのバックアップ・コピーを作成し、やり直しが必要になる場合に備えます。

   • Webサーバーが該当するAccess Managerファイルを認識できるように、元の設定指示に戻って、すべての指示内容を完了したことを確認します。

     ノート:

     間違ってウィンドウを閉じてしまった場合は、ステップ1に戻って、該当するリンクを再度クリックします。一部の設定では新しいブラウザ・ウィンドウが起動したり、「コマンド」ウィンドウのオープンを求められることがあります。

3. 次のように続行します。

   「Webゲートのインストール終了」を参照してください。

30.7.8 Webゲートのインストール終了

ReadMe情報に、マニュアルとOracleに関する詳細が記載されています。

ノート:

64ビットIIS WebGateのインストールが必要になる場合もあります。

「64ビットWebgateインストールの終了」を参照してください。

WebGateのインストール終了するには:

1. ReadMeの情報を確認し、次に「次へ」をクリックして閉じます。
2. 「終了」をクリックして、インストールを終了します。
3. Webサーバーを再起動して構成の更新を反映します。

   • IIS Webサーバー—WebGateのインストール後に、net stop iisadminおよびnet start w3svcを使用してメタベースが破損していないことを確認します。

   • セキュリティ強化されたLinux: このプラットフォームにインストールしたばかりのWebGateに対して、chconコマンドを実行します。

4. 先に次のトピックに進んでから、アーティファクトと証明書をインストールします。

   • ネイティブPOSIXスレッド・ライブラリ: NPTLを使用する場合は、Access Manager Webゲートのインストール時に、環境変数LD_ASSUME_KERNELを2.4.19に設定する必要はありません。

   • Apache2、OHS2、IHS2 Webサーバー:

     「ApacheおよびIHS v2 Webgateを使用したAccess Managerについて」を参照してください。

   • IIS Webサーバー: WebGateのインストール後に、net stop iisadminおよびnet start w3svcを使用してメタベースが破損していないことを確認します。

     「IIS WebサーバーでのWebゲートのガイドラインについて」も参照してください。

   • ISA Webサーバー:

     「Access ManagerおよびISAサーバーについて」を参照してください。

   • Lotus Domino Webサーバー:

     「10g Webゲート用にLotus Domino Webサーバーを構成するための前提条件」を参照してください。

5. 次のトピックに進みます。

   「アーティファクトと証明書のインストール」を参照してください。

30.7.9 アーティファクトと証明書のインストール

ObAccessClient.xmlファイルはプロビジョニングで生成されるものの1つです。WebGateのインストール後、このファイルをWebGateインストール・ディレクトリにコピーする必要があります。

WebGateのインストール後に署名済のWebGate 10g証明書を受領した場合、次の手順に従ってインストールできます。

前提条件:

Webサーバーを構成します。

WebGate 10g用のアーティファクト(および証明書)をインストールするには:

1. ObAccessClient.xmlをコピーします。

   • コピー元: $WLS_DOMAIN_HOME/output/AGENT_NAME

   • コピー先: $WebGate_install_dir/oblix/lib

   password.xmlをコピーします

   • コピー元: $WLS_DOMAIN_HOME/output/AGENT_NAME

   • コピー先: $WebGate_install_dir/oblix/config

2. aaa_key.pemとaaa_cert.pemをコピーします:

   • コピー元: $IDM_DOMAIN_HOME/output/AGENT_NAME

   • コピー先: $WebGate_install_dir/oblix/config/simple

     simpleディレクトリは、アーティファクトをコピーする前に作成する必要があります。

3. WebGate Webサーバーを再起動します。

30.7.10 Webゲートのインストールの確認

WebGateのインストールとWebサーバーの更新後、WebGateの診断を有効にしてWebGateが正しく実行されていることを確認できます。

WebGateの診断確認するには:

1. Access Manager 11gコンポーネントが稼働していること確認します。
2. WebGate診断用に次のURLを指定します。次に例を示します。

   ほとんどのWebサーバー - http(s)://hostname:port/access/oblix/apps/webgate/bin/webgate.cgi?progid=1

   IIS Webサーバー - http(s)://hostname:port/access/oblix/apps/ webgate/bin/webgate.dll?progid=1

   ここで、hostnameはWebgateをホストするコンピュータ名、portはWebサーバー・インスタンスのポート番号です。

3. WebGate診断ページが表示されます。

   • 成功: WebGateの診断ページが表示された場合、WebGateは正しく機能しているので、ページを閉じることができます。

     「11g OAMサーバー使用時の10g Webゲートの集中ログアウトの構成」を参照してください。

   • 失敗: Webゲートをアンインストールしてから再インストールする必要があります。

     「Access Manager 11gデプロイメントからの10g Webゲートの削除」を参照してください。