| Oracle® Fusion Middleware Oracle Entitlements Serverの管理 11gリリース2 (11.1.2.3.0) E67353-01 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Entitlements Serverの管理 11gリリース2 (11.1.2.3.0) E67353-01 |
|
前 |
次 |
エンタープライズ・デプロイメント用のOracle Fusion Middleware障害時リカバリ・ソリューションでは、Oracle Data Guardを使用して、ストレージ・レプリケーション・テクノロジを使用します。Oracle Data Guardは、シングル・インスタンスとOracle Real Application Clusters(Oracle RAC)の複数インスタンス・データベースを自由に組み合せて構成することができます。
この章では、Oracle RACデータベースでOracle Data Guardを使用してマルチサイト・デプロイメントでの障害リカバリ用にデータを同期するためにOracle Entitlements Serverを設定する方法について説明します。
この章の構成は、次のとおりです。
このリリースでは、次の構成が必要です。
常にマスターとして動作する1つのサイト。すべての書込み操作は、現在マスター・サイトとして構成されているポリシー・ストアに対して実行されます。
すべてのセキュリティ・モジュールは、このOracle RACおよびData Guard障害時リカバリ・ソリューションに、制御されたプル・モードで構成されています。非制御モードおよび制御プッシュ・モードはサポートされません。
混合モードで構成されたポリシー・ストアはサポートされません。
プライマリ・データベースおよびスタンバイ・データベースはOracle Active Data Guardで設定されています。
Oracle Clusterwareは、Oracle RACデータベースのプライマリ・サイトおよびスタンバイ・サイトでインストールされ、使用可能になっています。
図15-1に、マルチサイト・デプロイメントとして構成された場合のOracle Entitlements Serverコンポーネント間の関係を示します。
図に示すとおり、マルチサイト・デプロイメントでは次の関係が存在します。
ポリシー配布: セキュリティ・モジュールは、すべてのサイトで制御プル・モードで構成されます。スナップショットはマスター・サイトで管理サーバーによって生成され、Oracle Data Guardを使用してセカンダリ・サイトおよび3次サイトにレプリケートされます。セカンダリ・サイトおよび3次サイトのPDPは、ローカル・ポリシー・ストアからのスナップショットを取得します。
構成: PDPは、複数のJDBC URLで構成されます。プライマリJDBC URLは、ローカル・ポリシー・ストアに構成されます。ローカル・ポリシー・ストアへの接続に障害が発生した場合は、セカンダリJDBC URLへの接続が試みられます。これによって、障害発生時にもポリシー・ストアがアクセス可能になります。
SM ConfigUI: フェイルオーバー機能のサポートに必要なJDBC URLの構成に使用できます。
次の項では、プライマリOracle RACデータベースはすでに作成され、起動され、実行されていることを前提としています。この構成は、2ノードOracle RAC Physical Standby Data Guardを持つ2ノードOracle RAC Primary Database用です。
Oracle ClusterwareおよびOracle Automatic Storage Managementのインストールを実行し、Oracle RACのインストール前手順を実行するには、『Oracle Grid Infrastructureインストレーション・ガイドfor Linux』を参照してください。
Oracle Grid Infrastructureソフトウェアをインストールするための前提条件および手順は次のとおりです。
システム要件の確認
ソフトウェア要件の明確化および確認
すべてのOracle RACノードおよびDNSホストに対するLinuxオペレーティング・システムのインストール
Oracle RACノード、その他サーバーおよびDNSホストのネットワーク要件/構成の確認
SCAN VIP、ノードVIPおよびノードIPのDNSサーバーの構成
ネーム・サービス・キャッシュ・デーモンの有効化
すべてのOracle RACノードでのOracleユーザー、グループ、権限およびインストール・パスの作成
すべてのOracle RACノードでのネットワーク・タイム・プロトコルの設定
クラスタ用Oracle Grid InfrastructureとOracle RACの共有記憶域の構成
ASMLibを使用したOracle ASM用のディスク・デバイスの構成
Oracle Grid Infrastructureの構成
『Oracle Real Application Clustersインストレーション・ガイド』の指示に従って、Oracle Real Application Clustersをインストールします。Oracle RACアーキテクチャ、管理およびデプロイメントの詳細は、『Oracle Real Application Clusters管理およびデプロイメント・ガイド』を参照してください。
クラスタとは、単一または複数のコンピュータで実行され、同じワークロードを共有する、一連のプロセスです。システム・コンポーネントがクラスタリングされると、クライアント側は、ランタイム処理と管理性の観点から、これらを機能的に1つのエンティティとみなすことができます。クラスタリングと冗長性には密接な関係があります。クラスタは、システムの冗長性を実現します。ロード・バランシング・メカニズムが利用されると、インスタンスは冗長になります。いずれかのインスタンスに障害が発生した場合、そのインスタンスに対するリクエストを、障害の発生していないインスタンスに送信できます。クラスタ環境でトランザクション中にフェイルオーバーが発生した場合、クラスタ内に使用可能なインスタンスが1つでも残っているかぎり、セッション・データは保持されます。
|
関連項目: 『高可用性ガイド』のOracle Entitlements Server高可用性の概念に関する項。 |
プライマリ・データベースは、単一インスタンス・データベースまたはOracle Real Application Clusters(Oracle RAC)データベースのいずれかです。スタンバイ・データベースは、単一インスタンス・データベースまたはOracle RACデータベースのいずれかです。Oracle Data GuardをOracle RACとともに構成および使用する方法の概要は、『Oracle Database高可用性概要』を参照してください。
Oracle RACデータベースのData Guardの設定の詳細は、『Oracle Data Guard概要および管理ガイド』の「Data GuardおよびOracle Real Application Clusters」を参照してください。
スタンバイ・データベースを作成する前に、プライマリ・データベースが正しく構成されていることを確認する必要があります。実行する必要があるタスクは次のとおりです。
プライマリ・データベースをFORCE LOGGINGモードにします。これは、データベース作成後に、次のSQL文を使用して実行できます。
SQL> ALTER DATABASE FORCE LOGGING;
プライマリ・データベースの初期化パラメータを設定します。
Oracle RACプライマリ・データベースの各インスタンスを構成し、そのREDOデータをOracle RACスタンバイ・データベースに送ります(すべてのプライマリ・インスタンスにlog_archive_dest_nパラメータを設定します)。
詳細は、『Oracle Data Guard概要および管理ガイド』のREDOデータを送信するためのOracle RAC Primary Databaseの構成に関する項を参照してください。
『Oracle Data Guard概要および管理ガイド』のアーカイブREDOログ・ファイル名の形式に関する項で示しているように、アーカイブREDOログ・ファイル名に適切な形式を使用してください。
また、プライマリ・データベースがスタンバイ・ロールに推移したときにREDOデータの受信と適用サービスを制御する追加パラメータを追加する必要があります。
プライマリ・データベースをARCHIVELOGモードにし、自動アーカイブを使用可能にします。
詳細は、『Oracle Database管理者ガイド』の「アーカイブREDOログの管理」を参照してください。
スタンバイ・データベースを作成するためプライマリ・データベースの準備の詳細は、『Oracle Data Guard概要および管理ガイド』のスタンバイ・データベースを作成するためのプライマリ・データベースの準備に関する項を参照してください。
Oracle RAC固有構成の考慮事項の詳細は、『Oracle Data Guard概要および管理ガイド』のOracle RAC環境での構成に関する考慮事項に関する項を参照してください。
フィジカル・スタンバイ・データベースの作成で実行するタスクについて次に説明します。
プライマリ・データベースのバックアップを作成します。
データベースのバックアップ方法の詳細は、『Oracle Databaseバックアップおよびリカバリ・ユーザーズ・ガイド』を参照してください。
プライマリ・データベースに接続し、スタンバイ・データベースの制御ファイルを作成します。
スタンバイ初期化パラメータ・ファイルを作成し、スタンバイ・データベースの各インスタンスに対して初期化パラメータを設定します。構成によっては、ファイル名変換パラメータを設定する必要がある場合があります。
各インスタンスのパラメータ・ファイルに適切なパラメータを設定する必要があります。たとえば、スタンバイREDOログ・アーカイブを、各スタンバイ・インスタンス上に構成する必要があります。
プライマリ・システムからスタンバイ・システムへファイルをコピーします。
バックアップ・データ・ファイル、スタンバイ制御ファイル、すべての使用可能なアーカイブREDOログおよびオンラインREDOログを、プライマリ・サイトからスタンバイ・サイトにコピーします。オンラインREDOログのコピーはスイッチオーバーを容易にするために必要です。
スタンバイ・データベースをサポートする環境を設定します。
スタンバイ・データベースがWindowsシステムでホストされる場合、Windowsベース・サービスを作成します。
リモート・ログイン・パスワード・ファイルをプライマリ・データベース・システムからスタンバイ・データベース・システム(すべてのノード)にコピーします。
プライマリ・データベースおよびスタンバイ・データベースのリスナーを構成します。
『Oracle Database Net Services管理者ガイド』を参照してください。
Oracle Netサービス名を作成します。
『Oracle Database Net Services管理者ガイド』および『Oracle Database管理者ガイド』を参照してください。
スタンバイ・データベース用のサーバー・パラメータ・ファイルを作成します。
プライマリ・データベースの暗号化ウォレットをスタンバイ・データベース・システムにコピーします。
フィジカル・スタンバイ・データベースを起動します。
フィジカル・スタンバイ・データベースを起動します。
プライマリ・データベースからREDOデータを受信するようにOracle RACスタンバイ・データベースを構成します。
詳細は、『Oracle Data Guard概要および管理ガイド』のREDOデータを受信するためのOracle RACスタンバイ・データベースの構成に関する項を参照してください。
スタンバイ・データベースでオンラインREDOログを作成します。
REDO Applyを開始します。
『Oracle Data Guard概要および管理』のREDO Applyの開始に関する項を参照してください。
フィジカル・スタンバイ・データベースが正しく実行されているかどうかを確認します。
既存アーカイブREDOログ・ファイルを特定します。
ログ・スイッチを強制実行して現行のオンラインREDOログ・ファイルをアーカイブします。
新しいREDOデータがスタンバイ・データベースでアーカイブされたことを確認します。
受信したREDOが適用済であることを確認します。
詳細は、『Oracle Data Guard概要および管理ガイド』の「フィジカル・スタンバイ・データベースの作成」を参照してください。
Oracle RAC固有構成の考慮事項の詳細は、『Oracle Data Guard概要および管理ガイド』のOracle RAC環境での構成に関する考慮事項に関する項を参照してください。
この項では、高可用性および障害時リカバリのOracle Entitlements Serverを設定する手順を示します。内容は次のとおりです。
15.4.4項「OESHOST1のマスター・ポリシー・ストアへのOracle Entitlements Server管理サーバー・クラスタのインストール」
15.4.6項「マスターOracle RACデータベース・ポリシー・ストア付きのJDBC URLを使用した、制御されたプル配布モードでのWebLogicセキュリティ・モジュール・クラスタの構成」
15.4.8項「セカンダリOracle RACデータベース・ポリシー・ストア付きのJDBC URLを使用した、制御されたプル配布モードでのWebLogicセキュリティ・モジュール・クラスタの構成」
表15-1に、Oracle Entitlements Server高可用性障害時リカバリの構成タスクをリストします。
表15-1 Oracle Entitlements Server障害時リカバリ構成フロー
| No. | タスク | 説明 |
|---|---|---|
|
1 |
すべての前提条件が満たされていることを確認します。 |
|
|
2 |
OPSSスキーマをインストールします。 |
詳細は、15.4.3項「OPSSスキーマのインストール」を参照してください。 |
|
3 |
OESHOST1のマスター・ポリシー・ストアへOracle Entitlements Server Administration Server Clusterをインストールします。 |
詳細は、15.4.4項「OESHOST1のマスター・ポリシー・ストアへのOracle Entitlements Server管理サーバー・クラスタのインストール」を参照してください |
|
4 |
高可用性環境でOracle Entitlements Serverクライアントをインストールします。 |
詳細は、15.4.5項「高可用性環境でのOracle Entitlements Serverクライアントのインストール」を参照してください。 |
|
5 |
マスターOracle RACデータベース・ポリシー・ストア付きのJDBC URLを使用した、制御されたプル配布モードでWebLogicセキュリティ・モジュール・クラスタを構成します。 |
詳細は、15.4.6項「マスターOracle RACデータベース・ポリシー・ストア付きのJDBC URLを使用した、制御されたプル配布モードでのWebLogicセキュリティ・モジュール・クラスタの構成」を参照してください。 |
|
6 |
セカンダリ・ポリシー・ストアにOracle Entitlements Server管理サーバー・クラスタをインストールします。 |
詳細は、15.4.7項「Oracle Entitlements Server管理サーバー・クラスタのインストール」を参照してください。 |
|
7 |
セカンダリOracle RACデータベース・ポリシー・ストア付きのJDBC URLを使用した、制御されたプル配布モードでWebLogicセキュリティ・モジュール・クラスタを構成します。 |
詳細は、15.4.8項「セカンダリOracle RACデータベース・ポリシー・ストア付きのJDBC URLを使用した、制御されたプル配布モードでのWebLogicセキュリティ・モジュール・クラスタの構成」を参照してください。 |
次を持つOracle RACデータベースのグループが2つ必要です
Active Data GuardプライマリOracle RAC Databaseの2つのインスタンス
Active Data GuardスタンバイOracle RAC Databaseの2つのインスタンス
プライマリ・データベースでOracle Fusion Middlewareリポジトリ作成ユーティリティ(RCU)を実行します。終了後、OPSSスキーマはスタンバイ・データベースに伝播が可能になります。RCUの使用方法の詳細は、『Oracle Identity and Access Managementインストレーション・ガイド』のデータベース要件に関する項を参照してください。
プライマリ管理サーバー・クラスタには、MAPIの作成、更新および削除(CUD)操作のために2つのOES管理対象サーバーが必要です。
プライマリOracle RACデータベース・ポリシー・ストアを使用して、Oracle Entitlements Server管理サーバーをインストールします。
Oracle Entitlements Serverは、Oracle Identity and Access Management Suiteに含まれています。Oracle Identity and Access Management 11gインストーラを使用して、Oracle Identity and Access Management Suiteをインストールします。
Oracle Entitlements Server管理コンソールのインストール手順については、『Oracle Identity and Access Managementインストレーション・ガイド』の「Oracle Entitlements Serverのインストールと構成」を参照してください。
Oracle Fusion Middleware構成ウィザードを実行して、管理サーバーを含むドメインを作成します。
MW_HOME/oracle_common/common/bin/config.shスクリプトを実行します。
「ようこそ」画面で「新しいWebLogicドメインの作成」を選択し、「次へ」をクリックします。「拡張ソースの選択」画面が表示されます。
「拡張ソースの選択」画面で、「管理対象サーバーのOracle Entitlements Server」を選択します。構成ウィザードによって、Oracle JRF、「Oracle Platform Security Service」および「基本的なWebLogicサーバー・ドメイン」が自動的に選択されます。
「ドメイン名と場所の指定」画面で、作成しているドメインのドメイン名と場所を入力します。
管理者のユーザー名とパスワードを構成します。
「サーバーの起動モードおよびJDKの構成」画面で、WebLogicドメインの起動モードとJDKを選択します。
データ・ソース構成で、「GridLink」を選択してデータ・ソースを作成します。
GridLinkデータソース用のリスナーを入力する場合は、プライマリOracle RAC Databaseを最初のリスナーとして追加し、サービス名をmanage.example.comにします。
「オプションの構成を選択」画面で、「管理対象サーバー、クラスタ、およびマシン」を選択します。
「管理サーバーの構成」画面で、次の値を入力します。
名前: AdminServer
リスニング・アドレス: All Local Addresses
リスニング・ポート: 7001
SSLリスニング・ポート: 7002
「SSL有効」を選択
「管理対象サーバーの構成」画面では、この画面を初めて表示したときに、oes_server1という管理対象サーバーが自動的に作成されます。oes_server1の名前を変更し、このエントリに対する属性を更新できます。
例:
名前: oes_server1
リスニング・アドレス: oes_server1が実行されているサーバーのホスト名
リスニング・ポート: 14600
SSLポート 14601
2つ目の管理対象サーバーでは、「追加」をクリックして、次の値を入力します。
名前: oes_server2
リスニング・アドレス: oes_server2が実行されているマシンのホスト名。
リスニング・ポート: 14600
SSLポート: 14601
「クラスタの構成」画面で、「追加」をクリックしてクラスタを作成します。
名前oes_clusterを入力します。「クラスタのメッセージング・モード」に「ユニキャスト」を選択し、「クラスタ・アドレス」をリスニング・アドレスまたはoes_server1:port,listen addressのDNS名またはoes_server2:portmanaged server1:port,managed server2: portのDNS名の形式で入力します。
「サーバーのクラスタへの割当」画面で、管理対象サーバーをクラスタに関連付けます。
右のウィンドウで、クラスタ名「oes_cluster」をクリックします。
管理対象サーバーoes_server1をクリックしてから、矢印をクリックして、その管理対象サーバーをクラスタに割り当てます。
管理対象サーバーoes_server2について、前述の手順を繰り返します。
「マシンの構成」画面で、トポロジ内の各サーバーのマシンを作成します。
管理サーバー・ホスト用:
名前: ホストの名前。ここではDNS名を使用します。
ノード・マネージャ・リスニング・アドレス: マシンのIPアドレスは、マシンのDNS名と同じにすることをお薦めします。
ノード・マネージャ・リスニング・ポート: ノード・マネージャが使用するポートを入力します。
その他すべての値はデフォルト設定のままにします。
OESHOST1およびOESHOST2について前述の手順を繰り返し、次の値を入力します。その他すべての値はデフォルト設定のままにします。
名前: ホスト名です。DNS名を使用することをお薦めします。
ノード・マネージャ・リスニング・アドレス: マシンのIPアドレスは、マシンのDNS名と同じにすることをお薦めします。
ノード・マネージャ・リスニング・ポート: ノード・マネージャが使用するポートを入力します。
「サーバーのマシンへの割当」画面で、作成したマシン上で実行する管理対象サーバーを割り当てます。次の手順を実行します。
右側のウィンドウでマシンをクリックします。
左側のウィンドウで、そのマシン上で実行する管理対象サーバーをクリックします。
矢印をクリックして、管理対象サーバーをマシンに割り当てます。
すべての管理対象サーバーを適切なマシンに割り当てるまで、この手順を繰り返します。
ADMINHOST: AdminServer
OESHOST1: oes_server1
OESHOST2: oes_server2
「構成のサマリー」画面で、「作成」をクリックします。
OPSSセキュリティ・ストアを構成します。『Oracle Identity and Access Managementインストレーション・ガイド』のOracle Entitlements Server管理サーバーのデータベース・セキュリティ・ストアの構成に関する項を参照してください。
configureSecurityStore.pyを実行し、データベース・ポリシー・ストアを構成します。たとえば、次のように入力します。
MW_HOME/oracle_common/common/bin/wlst.sh MW_HOME/Oracle_IDM1/common/tools/configureSecurityStore.py
-d /scratch/example_user/Oracle/Middleware/user_projects/domains/oesserver2/
-t database_ORACLE
-j cn=jpsroot
-m create
-p password
管理サーバーと管理対象サーバーを起動します。
Oracle Entitlementsサーバー管理コンソールHTTPリクエスト配布のOracle HTTP Serverを構成するには、次の手順を実行します。
テキスト・エディタでmod_wl_ohs.confファイルを開きます。このファイルは次のディレクトリにあります。
ORACLE_INSTANCE/config/OHS/ohs1/
新しい<location>要素の宛先クラスタの詳細を指定します。
# OES admin console <Location /apm> SetHandler weblogic-handler WebLogicCluster apmhost1:port1, apmhost2:port2 </Location>
Oracle HTTP Serverインスタンスを再起動します。
Oracle Entitlements Serverクライアントのインストール手順については、『Oracle Identity and Access Managementインストレーション・ガイド』のOracle Entitlements Serverクライアントのインストールに関する項を参照してください。
インストールが成功し、oessmディレクトリがOES_CLIENT_HOMEの下に作成されたことを確認します。
WebLogicセキュリティ・モジュール・クラスタには、プライマリOracle RACデータベースに対して2つのWebLogicセキュリティ・モジュール管理対象サーバーが必要です。
|
注意: すべてのセキュリティ・モジュールは、このOracle RACおよびData Guard障害時リカバリ・ソリューションに、制御されたプル・モードで構成されています。非制御モードおよび制御プッシュ・モードはサポートされません。 |
Oracle Entitlements Serverクライアントを構成するには、『Oracle Identity and Access Managementインストレーション・ガイド』で次の項を参照してください。
制御されたプル配布モードの構成に関する項
WebLogic Serverセキュリティ・モジュールの構成
重要な構成の詳細を次に示します。
smconfig.prpを編集して、次のプロパティを変更します。
oracle.security.jps.runtime.policyDistributionMode
jdbc.url
oracle.security.jps.runtime.pd.client.multisite.primaryJdbcUrl
oracle.security.jps.runtime.pd.client.multisite.onsserver
次に例を示します。
oracle.security.jps.runtime.policyDistributionMode=controlled-pull
jdbc.url=jdbc:oracle:thin:@(DESCRIPTION_LIST = (LOAD_BALANCE = off) (FAILOVER = on)(DESCRIPTION = (ADDRESS_LIST = (ADDRESS = (PROTOCOL = TCP)(HOST = racpri_scan_ip)(PORT = racpri_scan_listenerport)))(CONNECT_DATA = (SERVICE_NAME = manage.example.com)))(DESCRIPTION = (ADDRESS_LIST = (ADDRESS = (PROTOCOL = TCP)(HOST = racstby_scan_ip)(PORT = racstby_scan_listenerport)))(CONNECT_DATA = (SERVICE_NAME = manage.example.com))))
oracle.security.jps.runtime.pd.client.multisite.primaryJdbcUrl=jdbc:oracle:thin:@(DESCRIPTION_LIST = (LOAD_BALANCE = off) (FAILOVER = on)(DESCRIPTION = (ADDRESS_LIST = (ADDRESS = (PROTOCOL = TCP)(HOST = racpri_scan_ip)(PORT = racpri_scan_listenerport)))(CONNECT_DATA = (SERVICE_NAME = manage.example.com)))(DESCRIPTION = (ADDRESS_LIST = (ADDRESS = (PROTOCOL=TCP)(HOST = racstby_scan_ip)(PORT = racstby_scan_listenerport)))(CONNECT_DATA = (SERVICE_NAME = manage.example.com))))
oracle.security.jps.runtime.pd.client.multisite.onsserver= nodes= racpri_scan_ip:onsport, racstby_scan_ip: onsport
制御されたプルWebLogicセキュリティ・モジュール・インスタンスを作成し、WebLogicセキュリティ・モジュール・クラスタ・ドメインを次のように構成します。
$OES_CLIENT_HOME/oessm/bin/config.sh -multisite
注意: Oracle Entitlements Serverポリシー・ストア・ユーザー名にOPSSスキーマを使用します
パラメータ-multisiteを追加して、マルチサイト構成を使用可能にします。
Oracle Entitlements Server WebLogic Security Module on WebLogic Managed Serverテンプレートを選択します。
wlssm_server1、wlssm_server2でwlssm_clusterを作成します。
WebLogicセキュリティ・モジュール・ドメインの各管理対象サーバーにおけるWebLogic Serverの制御されたプル・セキュリティ・モジュールjps-config.xmlファイルを確認し、jdbc.urlのOracle RAC Database URLを確認します。たとえば、{{jdbc:oracle:thin@(DESCRIPTION= }} (LOAD_BALANCE=on) {{ (ADDRESS=(PROTOCOL=TCP)(HOST=racnode1) (PORT=1521)) }} {{ (ADDRESS=(PROTOCOL=TCP)(HOST=racnode2) (PORT=1521)) }} (CONNECT_DATA=(SERVICE_NAME=service_name)))"です
WebLogic Serverの制御されたプル・セキュリティ・モジュールの管理サーバーおよび管理対象サーバーを開始します
次を確認します。
制御されたプルWebLogicセキュリティ・モジュール・インスタンスが、OES_CLIENT_HOME/oes_sm_instancesの下に作成されていること。
WebLogicセキュリティ・モジュール・ドメインが作成されていること。
制御されたプルWebLogicセキュリティ・モジュール・クラスタが正常に開始されていること。
次のWebLogicセキュリティ・モジュール管理コンソールへのログインが成功していること。
http://WLSSM_host:port/console
セカンダリ管理サーバー・クラスタには、MAPIの問合せ操作のために2つのOES管理対象サーバーが必要です。
プライマリOracle RACデータベース・ポリシー・ストアを使用して、Oracle Entitlements Server管理サーバーをインストールします。
Oracle Entitlements Serverは、Oracle Identity and Access Management Suiteに含まれています。Oracle Identity and Access Management 11gインストーラを使用して、Oracle Identity and Access Management Suiteをインストールします。
Oracle Entitlements Server管理コンソールのインストール手順については、『Oracle Identity and Access Managementインストレーション・ガイド』の「Oracle Entitlements Serverのインストールと構成」を参照してください。
Oracle Fusion Middleware構成ウィザードを実行して、管理サーバーを含むドメインを作成します。
MW_HOME /oracle_common/common/bin/config.shスクリプトを実行します。
「ようこそ」画面で「新しいWebLogicドメインの作成」を選択し、「次へ」をクリックします。「拡張ソースの選択」画面が表示されます。
「拡張ソースの選択」画面で、「管理対象サーバーのOracle Entitlements Server」を選択します。構成ウィザードによって、「Oracle JRF」、「Oracle Platform Security Service」および「Basic WebLogic Server Domain」が自動的に選択されます。
「ドメイン名と場所の指定」画面で、作成しているドメインのドメイン名と場所を入力します。
管理者のユーザー名とパスワードを構成します。
「サーバーの起動モードおよびJDKの構成」画面で、WebLogicドメインの起動モードとJDKを選択します。
データ・ソース構成では、「GridLink」を選択してデータ・ソースを選択します。
GridLinkデータソース用のリスナーを入力する場合は、プライマリOracle RAC Databaseを最初のリスナーとして追加し、サービス名をdistribution.example.comにします。
「オプションの構成を選択」画面で、「管理対象サーバー、クラスタ、およびマシン」を選択します。
「管理サーバーの構成」画面で、次の値を入力します。
名前: AdminServer
リスニング・アドレス: All Local Addresses
リスニング・ポート: 7001
SSLリスニング・ポート: 7002
「SSL有効」を選択
「管理対象サーバーの構成」画面では、この画面を初めて表示したときに、oes_server1という管理対象サーバーが自動的に作成されます。oes_server1の名前を変更し、このエントリに対する属性を更新できます。
たとえば、次のように入力します。
名前: oes_server1
リスニング・アドレス: oes_server1が実行されているマシンのホスト名。
リスニング・ポート: 14600
SSLポート: 14601
2つ目の管理対象サーバーでは、「追加」をクリックして、次の値を入力します。
名前: oes_server2
リスニング・アドレス: oes_server2が実行されているマシンのホスト名。
リスニング・ポート: 14600
SSLポート: 14601
「クラスタの構成」画面で、「追加」をクリックしてクラスタを作成します。
名前oes_clusterを入力します。「クラスタのメッセージング・モード」に「ユニキャスト」を選択し、「クラスタ・アドレス」をoes_server1:port,listen addressのリスニング・アドレスまたはoes_server2:portmanaged server1:port,managed server2: portのDNS名の形式で入力します。
「サーバーのクラスタへの割当」画面で、管理対象サーバーをクラスタに関連付けます。
右のウィンドウで、クラスタ名「oes_cluster」をクリックします。
管理対象サーバーoes_server1をクリックしてから、矢印をクリックして、その管理対象サーバーをクラスタに割り当てます。
管理対象サーバーoes_server2について、前述の手順を繰り返します。
「マシンの構成」画面で、トポロジ内の各サーバーのマシンを作成します。
管理サーバー・ホスト用:
名前: ホストの名前。ここではDNS名を使用します。
ノード・マネージャ・リスニング・アドレス: マシンのIPアドレスは、マシンのDNS名と同じにすることをお薦めします。
ノード・マネージャ・リスニング・ポート: ノード・マネージャが使用するポートを入力します。
その他すべての値はデフォルト設定のままにします。
OESHOST1およびOESHOST2について前述の手順を繰り返し、次の値を入力します。その他すべての値はデフォルト設定のままにします。
名前: ホスト名です。DNS名を使用することをお薦めします。
ノード・マネージャ・リスニング・アドレス: マシンのIPアドレスは、マシンのDNS名と同じにすることをお薦めします。
ノード・マネージャ・リスニング・ポート: ノード・マネージャが使用するポートを入力します。
「サーバーのマシンへの割当」画面で、作成したマシン上で実行する管理対象サーバーを割り当てます。次の手順を実行します。
右側のウィンドウでマシンをクリックします。
左側のウィンドウで、そのマシン上で実行する管理対象サーバーをクリックします。
矢印をクリックし、その管理対象サーバーをそのマシンに割り当てます。
すべての管理対象サーバーを適切なマシンに割り当てるまで、この手順を繰り返します。
ADMINHOST: 管理サーバー
OESHOST1: oes_server1
OESHOST2: oes_server2
「構成のサマリー」画面で、「作成」をクリックします。
OPSSセキュリティ・ストアを構成します。『Oracle Identity and Access Managementインストレーション・ガイド』のOracle Entitlements Server管理サーバーのデータベース・セキュリティ・ストアの構成に関する項を参照してください。
プライマリ・ドメインからEncryptionKeyをエクスポートします。
exportEncryptionKey(jpsConfigFile="/scratch/example_user/Oracle/Middleware/ user_projects/domains/domainname/config/fmwconfig/jps-config.xml",keyFilePath="/net/ standby_host/scratch/example_user/keydir",keyFilePassword="welcome1")
configureSecurityStore.pyを実行し、データベース・ポリシー・ストアを構成します。たとえば、次のように入力します。
MW_HOME/oracle_common/common/bin/wlst.sh MW_HOME/Oracle_IDM1/common/tools/configureSecurityStore.py -d /scratch/example_user/Oracle/Middleware/user_projects/domains/oesserver2/ -t database_ORACLE -j cn=jpsroot -m join -f oesserver2 -p password -k /net/standby_host/scratch/example_user/keydir -w password
管理サーバーおよび管理対象サーバーを開始します。
Oracle Entitlements Server管理コンソールHTTPリクエスト配布のOracle HTTP Serverを構成するには、次の手順を実行します。
次のディレクトリに配置されているmod_wl_ohs.confファイルをテキスト・エディタで開きます。
ORACLE_INSTANCE/config/OHS/ohs1/
新しい<location>要素内で宛先クラスタの詳細を指定します。
# OES admin console <Location /apm> SetHandler weblogic-handler WebLogicCluster apmhost1:port1, apmhost2:port2 </Location>
Oracle HTTP Serverインスタンスを再起動します。
WebLogicセキュリティ・モジュール・クラスタでは、スタンバイOracle RACデータベースに対して2つのWebLogicセキュリティ・モジュール管理対象サーバーが必要です。
|
注意: すべてのセキュリティ・モジュールは、このOracle RACおよびData Guard障害時リカバリ・ソリューションに、制御されたプル・モードで構成されています。非制御モードおよび制御プッシュ・モードはサポートされません。 |
Oracle Entitlements Serverクライアントを構成するには、『Oracle Identity and Access Managementインストレーション・ガイド』で次の項を参照してください。
制御されたプル配布モードの構成に関する項
WebLogic Serverセキュリティ・モジュールの構成
重要な構成の詳細を次に示します。
smconfig.prpを編集して、次のプロパティを変更します。
jdbc.url
oracle.security.jps.runtime.pd.client.multisite.primaryJdbcUrl
oracle.security.jps.runtime.pd.client.multisite.onsserver
次に例を示します。
jdbc.url=jdbc:oracle:thin:@(DESCRIPTION_LIST = (LOAD_BALANCE = off) (FAILOVER = on)(DESCRIPTION = (ADDRESS_LIST = (ADDRESS = (PROTOCOL = TCP)(HOST = racstby_scan_ip)(PORT = racstby_scan_listenerport)))(CONNECT_DATA = (SERVICE_NAME = manage.example.com)))(DESCRIPTION = (ADDRESS_LIST = (ADDRESS = (PROTOCOL = TCP)(HOST = racpri_scan_ip)(PORT = racpri_scan_listenerport)))(CONNECT_DATA = (SERVICE_NAME = distribution.example.com))))
oracle.security.jps.runtime.pd.client.multisite.primaryJdbcUrl=jdbc:oracle:thin:@(DESCRIPTION_LIST = (LOAD_BALANCE = off) (FAILOVER = on)(DESCRIPTION = (ADDRESS_LIST = (ADDRESS = (PROTOCOL = TCP)(HOST = racpri_scan_ip)(PORT = racpri_scan_listenerport)))(CONNECT_DATA = (SERVICE_NAME = manage.example.com)))(DESCRIPTION = (ADDRESS_LIST = (ADDRESS = (PROTOCOL=TCP)(HOST = racstby_scan_ip)(PORT = racstby_scan_listenerport)))(CONNECT_DATA = (SERVICE_NAME = manage.example.com))))
oracle.security.jps.runtime.pd.client.multisite.onsserver= nodes= racpri_scan_ip:onsport, racstby_scan_ip: onsport
注意: パラメータjdbc.urlのサービス名は、「manage.example.com」ではなく「distribution.example.com」です
制御されたプルWebLogicセキュリティ・モジュール・インスタンスを作成し、WebLogicセキュリティ・モジュール・クラスタ・ドメインを次のように構成します。
$OES_CLIENT_HOME/oessm/bin/config.sh -multisite
注意: Oracle Entitlements Serverポリシー・ストア・ユーザー名にOPSSスキーマを使用します
パラメータ-multisiteを追加して、マルチサイト構成を使用可能にします。
Oracle Entitlements Server WebLogic Security Module on WebLogic Managed Serverテンプレートを選択します。
wlssm_server1、wlssm_server2でwlssm_clusterを作成します。
WebLogicセキュリティ・モジュール・ドメインのWebLogic Serverの制御されたプル・セキュリティ・モジュールjps-config.xmlファイルを確認し、jdbc.urlのOracle RACデータベースURLを確認します。たとえば、{{jdbc:oracle:thin@(DESCRIPTION= }} (LOAD_BALANCE=on) {{ (ADDRESS=(PROTOCOL=TCP)(HOST=racnode1) (PORT=1521)) }} {{ (ADDRESS=(PROTOCOL=TCP)(HOST=racnode2) (PORT=1521)) }} (CONNECT_DATA=(SERVICE_NAME=service_name)))"です
WebLogic Serverの制御されたプル・セキュリティ・モジュールを開始します。
次を確認します。
制御されたプルWebLogicセキュリティ・モジュール・インスタンスが、OES_CLIENT_HOME/oes_sm_instancesの下に作成されていること。
WebLogicセキュリティ・モジュール・ドメインが作成されていること。
制御されたプルWebLogicセキュリティ・モジュール・クラスタが正常に開始されていること。
次のWebLogicセキュリティ・モジュール管理コンソールへのログインが成功していること。
http://WLSSM_host:port/console
