| Oracle® Fusion Middleware Oracle Identity Managerの管理 11g リリース2 (11.1.2.3.0) E61959-10 |
|
 前 |
 次 |
Oracle Identity ManagerをOracle Access Manager (OAM)などの他のアプリケーションと統合してデプロイし、これらのアプリケーションで構成変更を行うと、Oracle Identity ManagerやOracle WebLogic Serverで様々な構成変更が必要になります。次の項では、これらの構成変更について説明します。
|
注意: この項では、コマンド内にパスワードが含まれるコマンド例がいくつかあります。これらはコマンドを実行する前に実際のパスワードに置き換える必要があります。 |
Oracle Identity Managerでは様々なホスト名とポートが構成に使用されています。この項では、Oracle Identity ManagerおよびOracle WebLogicで対応する構成の変更を行う方法について説明します。
この項には次のトピックが含まれます:
この項の内容は次のとおりです。
|
注意:
|
OimFrontEndURLは、Oracle Identity Manager UIにアクセスするために使用するURLです。これは、アプリケーション・サーバーでロード・バランサまたはWebサーバーが使用されている場合は、それに応じてロード・バランサURLまたはWebサーバーURL、そうでない場合は単一アプリケーション・サーバーURLです。これはOracle Identity Managerによって、通知メールやSOA呼び出しのコールバックURLに使用されます。
クラスタ化環境でのOracle Identity ManagerデプロイメントのWebサーバー用ホスト名またはポートの変更、または非クラスタ化環境でのOracle Identity ManagerデプロイメントのWebLogic管理対象サーバー用ホスト名またはポートの変更により、変更が必要になる場合があります。
Oracle Identity Manager構成のOimFronEndURLを変更するには:
WebLogic管理サーバーとOracle Identity Manager管理対象サーバー(クラスタ化デプロイメントの場合は少なくとも1つのサーバー)が稼動しているときに、次のURLを使用してEnterprise Managerにログインします。
http://ADMIN_SERVER/em
「Identity and Access」→「OIM」に移動します。
「OIM」を右クリックし、「システムMBeanブラウザ」に移動します。
「アプリケーション定義のMBeans」で、「oracle.iam」→「アプリケーション:OIM」→「XMLConfig」→「構成」→「XMLConfig.DiscoveryConfig」→「検出」に移動します。
クラスタ・デプロイメントでは、「アプリケーション定義のMBeans」で「oracle.iam」を選択すると、Oracle Identity Managerサーバー名が表示されます。サーバーを選択し、移動を継続してください。
|
注意: クラスタ・デプロイメントでは、OimFrontEndURLへの変更はクラスタ内のサーバーごとに行う必要があります。 |
OimFrontEndURL属性に新しい値を入力し、「適用」をクリックして変更を保存します。たとえば次のような値を入力できます。
http://OIM_SERVER:OIM_PORT
https://server1.mycompany.com
https://server1.mycompany.com:14002
|
注意: SPMLクライアントには、SPMLの起動とコールバック・レスポンスの送信用にOracle Identity Manager URLが格納されています。そのため、これに対応した変更が必要になります。また、Oracle Identity ManagerがOAM、OAAMやOracle Identity Navigator (OIN)と統合されている場合は、これに対応した変更が必要になる場合もあります。詳細は、Oracle Technology Network (OTN) WebサイトにあるOAM、OAAMおよびOINのドキュメントを参照してください。 |
backOfficeURLの変更は、Oracle Identity Managerがフロントオフィス構成およびバックオフィス構成にデプロイされる場合のみ必要になります。この変更は、単純なクラスタ化デプロイメントまたは非クラスタ化デプロイメントには適用されません。このURLは、フロントオフィス・コンポーネントからバックオフィス・コンポーネントにアクセスするために、Oracle Identity Managerで内部的に使用されます。バックオフィスにサーバーを追加する場合や、バックオフィスからサーバーを削除する場合は、バックオフィス構成およびフロントオフィス構成の実装中にこの属性の値を変更します。
backOfficeURL属性の値を変更するには:
WebLogic管理サーバーとOracle Identity Manager管理対象サーバー(クラスタ化デプロイメントの場合は少なくとも1つのサーバー)が稼動しているときに、次のURLを使用してEnterprise Managerにログインします。
http://ADMIN_SERVER/em
「Identity and Access」→「OIM」に移動します。
「OIM」を右クリックし、「システムMBeanブラウザ」に移動します。
「アプリケーション定義のMBeans」で、「oracle.iam」→「アプリケーション:OIM」→「XMLConfig」→「構成」→「XMLConfig.DiscoveryConfig」→「検出」に移動します。
BackOfficeURL属性に新しい値を入力し、「適用」をクリックして変更を保存します。たとえば次のような値を入力できます。
t3://server1.mycompany.com:8001
t3://server1.mycompany.com:8001,server2.mycompany.com:9001
|
注意:
|
タスクの詳細URLは、受信箱内の特定のヒューマン・タスクについてのタスクの詳細ページを表示するためのURLです。これは、アプリケーション・サーバーでロード・バランサが使用されているか、Webサーバーが使用されているかよって、ロード・バランサURLまたはWebサーバーURLになり、そうでない場合は、単一のアプリケーション・サーバーURLになります。
クラスタ化環境でのOracle Identity ManagerデプロイメントのWebサーバー用ホスト名またはポートの変更、または非クラスタ化環境でのOracle Identity ManagerデプロイメントのWebLogic管理対象サーバー用ホスト名またはポートの変更により、変更が必要になる場合があります。
ヒューマン・タスク構成でタスクの詳細URLを変更するには:
次のURLを使用して、Oracle Enterprise Managerにログインします。
http://ADMIN_SERVER/em
クラスタ化されたデプロイでは、SOAクラスタ内の少なくとも1つのSOAサーバーが実行中であることを確認してください。
「SOA」→「soa-infra(SOA_SERVER_NAME)」→「default」に移動します。
「DefaultRequestApproval」をクリックします。
「コンポーネント・メトリック」セクションで、「ApprovalTask」リンクをクリックします。
「管理」タブをクリックします。
「ホスト名」、「HTTPポート」および「HTTPSポート」を必要に応じて変更します。
DefaultRequestApprovalに含まれる他すべてのタスク(ChallengeTaskなど)に対して、手順5と6を繰り返します。
その他すべてのコンポジットに対して、手順4から7を繰り返します。
この項では、データベースのホスト名とポート番号が使用される構成エリアについて説明します。
Oracle Identity Managerのインストール後に、データベースのホスト名またはポート番号を変更した場合は、次の変更が必要になります。
|
注意:
|
データソースoimJMSStoreDSの構成を変更するには:
「サービス」→「JDBC」→「データ・ソース」→oimJMSStoreDSに移動します。
「接続プール」タブをクリックします。
データベースのホストとポートの変更に合わせて、URLと「プロパティ」フィールドの値を変更します。
データソースsoaOIMLookupDBの構成を変更するには:
「サービス」→「JDBC」→「データ・ソース」→「soaOIMLookupDB」に移動します。
「接続プール」タブをクリックします。
データベースのホストとポートの変更に合わせて、URLと「プロパティ」フィールドの値を変更します。
データソースoimOperationsDBの構成を変更するには:
「サービス」→「JDBC」→「データ・ソース」→oimOperationsDBに移動します。
「接続プール」タブをクリックします。
データベースのホストとポートの変更に合わせて、URLと「プロパティ」フィールドの値を変更します。
データソースApplicationDBの構成を変更する手順は次のとおりです。
「サービス」→「JDBC」→「データ・ソース」→「ApplicationDB」に移動します。
「接続プール」タブをクリックします。
データベースのホストとポートの変更に合わせて、URLと「プロパティ」フィールドの値を変更します。
Oracle Identity Managerのメタデータ・ストア(MDS)構成に関連するデータソースを変更するには:
|
注意: この手順が必要なのは、MDSスキーマのデータベース・ホストおよびポートが変更される場合のみです。 |
「サービス」→「JDBC」→「データ・ソース」→mds-oimに移動します。
「接続プール」タブをクリックします。
データベースのホストとポートの変更に合わせて、URLと「プロパティ」フィールドの値を変更します。
OIMAuthenticationProviderの構成を変更するには:
WebLogic管理コンソールで、「セキュリティ・レルム」→「myrealm」→「プロバイダ」に移動します。
「OIMAuthenticationProvider」をクリックします。
「プロバイダ固有」をクリックします。
ホスト名とポートの変更に合わせて、DBUrlフィールドの値を変更します。
|
注意:
|
データソースの変更後、Oracle WebLogic管理サーバーを再起動し、Oracle Identity Managerの管理対象WebLogicサーバーを起動します。
|
注意: OIM App構成MBeansを使用してEnterprise Management (EM)コンソールからOracle Identity Managerアプリケーション構成情報を変更するには、1つ以上のOracle Identity Manager管理対象サーバーが実行されている必要があります。稼動していない場合、EMコンソールからOIM App Config MBeansを確認できません。 |
DirectDBの構成を変更するには:
次のURLを使用してEnterprise Managerにログインします。
http://ADMIN_SERVER/em
「Identity and Access」→「OIM」に移動します。
「OIM」を右クリックし、「アプリケーション定義のMBeans」の下の「システムMBeanブラウザ」に移動します。
「oracle.iam」→「アプリケーション:OIM」→「XMLConfig」→「構成」→「XMLConfig.DirectDBConfig」→「DirectDB」に移動します。
ホストとポートの変更に合わせてURL属性に新しい値を入力し、変更を適用します。
|
注意: Oracle Identity Managerの単一インスタンスのデプロイメントをOracle Real Application Clusters (Oracle RAC)に変更する場合、またはOracle RACを単一インスタンスのデプロイメントに変更する場合は、oimJMSStoreDS、 oimOperationsDBおよびmds-oimデータソースを変更してください。これらのデータソースをマルチデータソース構成に変更するための一般的な変更に加えて、OIMAuthenticationProviderとドメイン資格証明ストア構成をOracle RACのURLに合わせて変更してください。これらの一般的な変更の詳細は、『Oracle Fusion Middleware高可用性ガイド』を参照してください。データベースのポートの変更の詳細は、「Oracle Identity Managerデータベースのホストとポートの変更」を参照してください。 |
BI PublisherのOracle Identity Managerデータベース・ホストおよびポートを変更するには:
BI Publisherにログインします。
「管理」タブをクリックします。
「データ・ソース」の下にある「JDBC接続」をクリックします。
OIM JDBCをクリックし、データベース・ホストおよびポートを変更します。
「接続のテスト」をクリックします。接続は確認後に正常に確立されます。
「適用」をクリックします。
Oracle Identity Managerが変更対象の現在データベースではなく別のOracle Identity Managerインスタンスの別のデータベースを指すよう設定されている場合、次の追加手順を実行します。
宛先DBにインストールされているOracle Identity ManagerからソースOracle Identity Managerデプロイメントへ.xldatabasekeyをコピーします。宛先からソースのOracle Identity ManagerへDOMAIN_HOME/config/fmwconfig/.xldatabasekeyをコピーします。
宛先DB上のOracle Identity Managerデプロイメントからソース・デプロイメントへ次のキーをコピーします。
OIMSchemaPassword
.xldatabasekey
DataBaseKey
宛先DBにインストールされているOracle Identity ManagerからOracle Identity Manager資格証明ストアを取得するには:
次のURLを使用して、Oracle Enterprise Managerにログインします。
http://HOST:ADMIN_SERVER_PORT>/em
WebLogicドメインに移動し、DOMAIN_NAMEを右クリックし、「システムMBeanブラウザ」を選択します。
「アプリケーション定義のMBeans」で、「com.oracle.jps」→「サーバー:OIM_SERVER_NAME」→「JpsCredentialStore」に移動します。
「操作」→「getPortableCredentialMap」に移動します。パラメータ値として「oim」および「Invoke」を入力します。
これにより、oim資格証明マップが表示されます。OIMSchemaPassword、.xldatabasekey、およびDataBaseKeyのパスワードをメモします。
ソース・デプロイメント上のOIM資格証明ストア内のキーを変更するには:
OIMSchemaPassword: WebLogicドメインに移動し、「DOMAIN_NAME」を右クリックし、「セキュリティ」→「資格証明」に移動します。「oim」を開いて、「OIMSchemaPassword」をクリックします。「編集」をクリックし、「パスワード」および「パスワードの確認」フィールドに新規パスワードを入力します。
.xldatabasekey: .xldatabasekeyに対して同じ手順を繰り返します。
DataBaseKey: DataBaseKeyに対して同じ手順を繰り返します。
LDAP同期が有効な場合、Oracle Identity Managerは、Oracle Virtual Directory (OVD)を介してディレクトリ・サーバーに接続します。この接続は、LDAP/LDAPSプロトコルを使用して行われます。
OVDのホストとポートを変更するには:
Oracle Identity System Administrationにログインします。
「プロビジョニング構成」で、「ITリソース」をクリックします。
「ITリソース・タイプ」リストから「ディレクトリ・サーバー」を選択し、「検索」をクリックします。
ディレクトリ・サーバーのITリソースを編集します。これを行うには、次のようにします。
「SSLの使用」フィールドの値がFalseに設定されている場合は、サーバーURLフィールドを編集します。「SSLの使用」フィールドの値がTrueに設定されている場合は、「サーバーSSLのURL」フィールドを編集します。
「更新」をクリックします。
BI Publisherのホストとポートを変更するには:
WebLogic管理サーバーとOracle Identity Manager管理対象サーバー(クラスタ化デプロイメントの場合は少なくとも1つのサーバー)が稼動しているときに、次のURLを使用してEnterprise Managerにログインします。
http://ADMIN_SERVER/em
「Identity and Access」→「OIM」に移動します。
「OIM」を右クリックし、「システムMBeanブラウザ」に移動します。
「アプリケーション定義のMBeans」で、「oracle.iam」→「アプリケーション:OIM」→「XMLConfig」→「構成」→「XMLConfig.DiscoveryConfig」→「検出」に移動します。
BIPublisherURL属性に新しい値を入力し、「適用」をクリックして変更を保存します。
jms_cluster_config.propertiesファイル内のBI Publisherのホストとポートを変更するには:
DOMAIN_NAME/config/bipublisher/repository/Admin/Scheduler/ディレクトリに移動します。
テキスト・エディタで、jms_cluster_config.propertiesファイルを開き、BI Publisherのホストとポートを置き換えます。
jms_cluster_config.propertiesファイルを保存します。
BI Publisherサーバーを再起動します。
SOAのホストとポートを変更するには:
|
注意:
|
WebLogic管理サーバーとOracle Identity Manager管理対象サーバー(クラスタ化デプロイメントの場合は少なくとも1つのサーバー)が稼動しているときに、次のURLを使用してEnterprise Managerにログインします。
http://ADMIN_SERVER/em
「Identity and Access」→「OIM」に移動します。
「OIM」を右クリックし、「システムMBeanブラウザ」に移動します。
「アプリケーション定義のMBeans」で、「oracle.iam」→「アプリケーション:OIM」→「XMLConfig」→「構成」→「XMLConfig.SOAConfig」→「SOAConfig」に移動します。
Rmiurl属性の値を変更し、「適用」をクリックして変更を保存します。
Rmiurl属性は、SOA管理対象サーバーにデプロイされたSOA EJBにアクセスするために使用されます。これは、アプリケーション・サーバーのURLです。Oracle Identity Managerのクラスタ化デプロイメントの場合は、すべてのSOA管理対象サーバーURLのカンマ区切りのリストです。この属性の値は、たとえば次のようになります。
t3://soaserver1.mycompany.com:8001
t3s://mysoaserver1.mycompany.com:8002,mysoa1.mycompany.com:8002
t3://mysoa1.mycompany.com:8001,mysoa2.mycompany.com:8002,mysoa3.mycompany.com:8003
SOA JNDIProviderのホストとポートを変更します。これを行うには、次のようにします。
WebLogic管理コンソールにログインします。
「ドメイン構造」セクションで、「OIM_DOMAIN」→「サービス」→「外部JNDIプロバイダ」に移動します。
「ForeignJNDIProvider-SOA」をクリックします。
「構成」タブで、「一般」サブタブがアクティブであることを確認します。
「プロバイダURL」の値をステップ5で指定したRmiurlに変更します。
OAMのホストとポートを変更するには:
WebLogic管理サーバーとOracle Identity Manager管理対象サーバー(クラスタ化デプロイメントの場合は少なくとも1つのサーバー)が稼動しているときに、次のURLを使用してEnterprise Managerにログインします。
http://ADMIN_SERVER/em
「Identity and Access」→「OIM」に移動します。
「OIM」を右クリックし、「システムMBeanブラウザ」に移動します。
「アプリケーション定義のMBeans」で、「oracle.iam」→「アプリケーション:OIM」→「XMLConfig」→「構成」→「XMLConfig.SSOConfig」→「SSOConfig」に移動します。
必要に応じて、AccessServerHost属性とAccessServerPort属性およびその他の属性の値を変更し、「適用」をクリックして変更を保存します。
Oracle Identity Manager構成では、構造上の要件やミドルウェア要件を満たすために、様々なパスワードが使用されます。この項では、デフォルトのパスワードと、依存製品または統合された製品でパスワードが変更された場合の、Oracle Identity ManagerおよびOracle WebLogic構成のパスワードの変更方法について説明します。
この項の内容は次のとおりです。
Oracle WebLogic管理者パスワードを変更するには:
WebLogic管理コンソールにログインします。
「セキュリティ・レルム」→「myrealm」→「ユーザーとグループ」→「weblogic」→「パスワード」に移動します。
「新規パスワード」フィールドに、新しいパスワードを入力します。
「新規パスワードの確認」フィールドに、新しいパスワードを再入力します。
「適用」をクリックします。
Weblogicの資格証明は、次のような場所で更新する必要があります。
外部JNDIプロバイダ。これを行うには、次のようにします。
WebLogic管理コンソールにログインします。
「ドメイン構造」セクションで、「OIM_DOMAIN」→「サービス」→「外部JNDIプロバイダ」に移動します。
「ForeignJNDIProvider-SOA」をクリックします。
「構成」タブで、「一般」サブタブがアクティブであることを確認します。
「パスワード」フィールドおよび「パスワードの確認」フィールドで、weblogicユーザーの新規パスワードを指定します。
CSF内のSOAAdminPassword。詳細は、「資格証明ストア・フレームワークのOracle Identity Managerパスワードの変更」を参照してください。
Oracle Identity Managerのインストール中に、インストーラによりOracle Identity Managerの管理者パスワードの入力を求められます。この管理者パスワードは、必要に応じてインストール完了後に変更できます。変更するには、Oracle Identity Managerセルフ・サービスにOracle Identity Manager管理者としてログインする必要があります。管理者パスワードの変更の詳細は、『Oracle Fusion Middleware Oracle Identity Managerでのセルフ・サービス・タスクの実行』のパスワードの変更に関する項を参照してください。
Oracle Identity Managerのシステム管理者のパスワードを変更するときには、CSFのoimマップでsysadminキーのパスワードも更新する必要があります。CSFキーの詳細は、「資格証明ストア・フレームワークのOracle Identity Managerパスワードの変更」を参照してください。
|
注意: OAMまたはOAAMがOracle Identity Managerに統合されている場合は、これらのアプリケーションで対応する変更を行う必要があります。詳細は、次のURLのOracle Technology Network (OTN) WebサイトにあるOAMおよびOAAMのドキュメントを参照してください。
|
この項では、次の各タイプのデプロイメントでの、Oracle Identity Managerのパスワードのリセットについて説明します。
LDAP同期のないOracle Identity Managerデプロイメント
LDAP同期が有効になっているOracle Identity Managerデプロイメント
Access Manager (OAM)と統合されているOracle Identity Managerデプロイメント
システム管理者のパスワードをリセットするには、OIM_HOME/server/bin/ディレクトリに格納されているoimadminpasswd_wls.shユーティリティを使用します。oimadminpasswd_wls.shユーティリティを実行するための手順は、LDAP同期が有効になっているOracle Identity Managerと、LDAP同期が有効になっていないOracle Identity Manager、どちらのタイプのデプロイメントでも同じです。
この項では、次の各トピックで、Oracle Identity Managerのパスワードのリセットについて説明します。
システム管理者のデータベース・パスワードをリセットする手順は次のとおりです。
oimadminpasswd_wls.shユーティリティを実行するための前提条件として、OIM_HOME/server/bin/oimadminpasswd_wls.propertiesファイルをテキスト・エディタで開き、次の各プロパティの値を設定します。
JAVA_HOME: これをjdk6以降に設定します。例:
JAVA_HOME=/opt/softwares/shiphome/jdk170_131
COMMON_COMPONENTS_HOME: これは、Oracle Middlewareの共通ホーム・ディレクトリです。例:
COMMON_COMPONENTS_HOME=/opt/softwares/shiphome/oracle_common
OIM_ORACLE_HOME: これは、Oracle Identity ManagerのOracleホーム・ディレクトリです。例:
OIM_ORACLE_HOME=/opt/softwares/shiphome/Oracle_IDM1
ORACLE_SECURITY_JPS_CONFIG: Oracle Identity Managerドメインに存在しているjps-config-jse.xmlファイルの場所を指定します。例:
ORACLE_SECURITY_JPS_CONFIG=/opt/softwares/shiphome/user_projects/domains/base_domain/config/fmwconfig/jps-config-jse.xml
DOMAIN_HOME: Weblogic Application ServerのOracle Identity Managerドメインのホームの場所を指定します。例:
DOMAIN_HOME=/opt/softwares/shiphome/user_projects/domains/base_domain
DBURL: Oracle Identity ManagerのデータベースURL。例:
DBURL=jdbc:oracle:thin:@dbhostname:5521:orclsid
DBSCHEMAUSER: Oracle Identity Managerのスキーマ・ユーザー名。例:
DBSCHEMAUSER=DEV_OIM
OIM_OAM_INTG_ENABLED: Oracle Identity ManagerデプロイメントがAccess Managerと統合されていない場合は、これをfalseに設定します。例:
OIM_OAM_INTG_ENABLED=false
|
注意: LDAPURL、LDAPADMINUSER、OIM_ADMIN_LDAP_DNなど、他のプロパティは無視してかまいません。これらのプロパティは、Oracle Identity ManagerとAccess Managerが統合されている環境でのみ使用されるからです。 |
OIM_HOME/server/bin/ディレクトリに移動し、次のコマンドを実行します。
sh oimadminpasswd_wls.sh oimadminpasswd_wls.properties
サンプル出力は次のようになります。
Enter OIM DB Schema Password : Enter OIM Adminstrator xelsysadm new Password: Re-enter OIM Adminstrator xelsysadm new Password: WARNING: Not able to fetch OIMPlatform instance for the given Platform. Hence defaulting to the OIMWebLogicPlatform OIM Admin user xelsysadm password reset successfully in OIMDB
|
注意: oimadminpasswd_wls.shスクリプトの実行中に表示された警告メッセージは、無視してかまいません。 |
Oracle Identity ManagerがOAMと統合されている場合は、Oracle Internet DirectoryなどのLDAPディレクトリが、すべての認証目的に使用されます。したがって、Oracle Identity Managerの管理者xelsysadmのパスワードがLDAPでリセットされます。Oracle Identity Managerデータベースに存在しているxelsysadmのパスワードはこのトポロジで使用されていませんが、LDAPディレクトリでもリセットされ、両方のリポジトリでパスワードが同期するようになります。
Oracle Identity ManagerデプロイメントがAccess Managerと統合されているときにシステム管理者のデータベース・パスワードをリセットする手順は次のとおりです。
oimadminpasswd_wls.shユーティリティを実行するための前提条件として、OIM_HOME/server/bin/oimadminpasswd_wls.propertiesファイルをテキスト・エディタで開き、次の各プロパティの値を設定します。
JAVA_HOME: これをjdk6以降に設定します。例:
JAVA_HOME=/opt/softwares/shiphome/jdk170_131
COMMON_COMPONENTS_HOME: これは、Oracle Middlewareの共通ホーム・ディレクトリです。例:
COMMON_COMPONENTS_HOME=/opt/softwares/shiphome/oracle_common
OIM_ORACLE_HOME: これは、Oracle Identity ManagerのOracleホーム・ディレクトリです。例:
OIM_ORACLE_HOME=/opt/softwares/shiphome/Oracle_IDM1
ORACLE_SECURITY_JPS_CONFIG: Oracle Identity Managerドメインに存在しているjps-config-jse.xmlファイルの場所を指定します。例:
ORACLE_SECURITY_JPS_CONFIG=/opt/softwares/shiphome/user_projects/domains/base_domain/config/fmwconfig/jps-config-jse.xml
DOMAIN_HOME: Weblogic Application ServerのOracle Identity Managerドメインのホームの場所を指定します。例:
DOMAIN_HOME=/opt/softwares/shiphome/user_projects/domains/base_domain
DBURL: Oracle Identity ManagerのデータベースURL。例:
DBURL=jdbc:oracle:thin:@dbhostname:5521:orclsid
DBSCHEMAUSER: Oracle Identity Managerのスキーマ・ユーザー名。例:
DBSCHEMAUSER=DEV_OIM
OIM_OAM_INTG_ENABLED: Oracle Identity ManagerデプロイメントがAccess Managerと統合されている場合は、これをtrueに設定します。例:
OIM_OAM_INTG_ENABLED=true
LDAPURL: LDAPディレクトリのURL。非SSLポートを指定する必要があります。例:
LDAPURL=ldap://LDAP_HOSTNAME:3060
LDAPADMINUSER : LDAPディレクトリの管理ユーザー名。例:
LDAPADMINUSER=cn=orcladmin
OIM_ADMIN_LDAP_DN: Oracle Identity Managerの管理者xelsysadmの、LDAPディレクトリにおける完全DN。例:
OIM_ADMIN_LDAP_DN=cn=xelsysadm,cn=Users,dc=us,dc=mycompany,dc=com
OIM_HOME/server/bin/ディレクトリに移動し、次のコマンドを実行します。
sh oimadminpasswd_wls.sh oimadminpasswd_wls.properties
サンプル出力は次のようになります。
Enter OIM DB Schema Password : Enter OIM Adminstrator xelsysadm new Password: Re-enter OIM Adminstrator xelsysadm new Password: WARNING: Not able to fetch OIMPlatform instance for the given Platform. Hence defaulting to the OIMWebLogicPlatform OIM Admin user xelsysadm password reset successfully in OIMDB OIM Admin user cn=xelsysadm,cn=Users,dc=...,dc=...,dc=... password reset successfully in LDAP
|
注意:
|
Oracle Identity Managerは、2つのデータベース・スキーマを使用して、Oracle Identity Managerの操作および構成データを格納します。Oracle Identity Manager MDSスキーマを使用して構成関係の情報を格納し、Oracle Identity Managerスキーマを使用してその他の情報を格納します。スキーマ・パスワードを変更すると、Oracle Identity Manager構成も変更する必要があります。
Oracle Identity Managerデータベース・パスワードを変更すると、次の変更を行う必要があります。
|
注意: データベース・パスワードを変更する前に、Oracle Identity Managerをホストする管理対象サーバーを停止してください。ただし、Oracle WebLogic管理サーバーは稼動したままでかまいません。 |
データソースoimJMSStoreDSの構成を変更するには:
「サービス」→「JDBC」→「データ・ソース」→「oimJMSStoreDS」に移動します。
「接続プール」タブをクリックします。
「パスワード」および「パスワードの確認」フィールドに、Oracle Identity Managerデータベース・スキーマの新しいパスワードを入力します。
「保存」をクリックして変更を保存します。
データソースApplicationDBの構成を変更する手順は次のとおりです。
「サービス」→「JDBC」→「データ・ソース」→「ApplicationDB」に移動します。
「接続プール」タブをクリックします。
「パスワード」および「パスワードの確認」フィールドに、Oracle Identity Managerデータベース・スキーマの新しいパスワードを入力します。
「保存」をクリックして変更を保存します。
データソースsoaOIMLookupDBの構成を変更するには:
「サービス」→「JDBC」→「データ・ソース」→「soaOIMLookupDB」に移動します。
「接続プール」タブをクリックします。
データベースのホストとポートの変更に合わせて、URLと「プロパティ」フィールドの値を変更します。
「保存」をクリックして変更を保存します。
データソースoimOperationsDBの構成を変更するには:
「サービス」→「JDBC」→「データ・ソース」→「oimJMSStoreDS」に移動します。
「接続プール」タブをクリックします。
「パスワード」および「パスワードの確認」フィールドに、Oracle Identity Managerデータベース・スキーマの新しいパスワードを入力します。
「保存」をクリックして変更を保存します。
Oracle Identity Manager MDSに関連するデータソースの構成を変更するには:
「サービス」→「JDBC」→「データ・ソース」→「mds-oim」に移動します。
「接続プール」タブをクリックします。
「パスワード」および「パスワードの確認」フィールドに、Oracle Identity Manager MDSデータベース・スキーマの新しいパスワードを入力します。
「保存」をクリックして変更を保存します。
|
注意:
|
OIMAuthenticationProviderの構成を変更するには:
WebLogic管理コンソールで、「セキュリティ・レルム」→「myrealm」→「プロバイダ」に移動します。
「OIMAuthenticationProvider」をクリックします。
「プロバイダ固有」をクリックします。
「DBPassword」フィールドに、Oracle Identity Managerデータベース・スキーマの新しいパスワードを入力します。
「保存」をクリックして変更を保存します。
ドメインの資格証明ストアの構成を変更するには:
次のURLを使用してEnterprise Managerにログインします。
http://ADMIN_SERVER/em
「WebLogicドメイン」→DOMAIN_NAMEに移動します。
「OIM」を右クリックし、「セキュリティ」→「資格証明」→「OIM」に移動します。
「OIMSchemaPassword」を選択し、「編集」をクリックします。
「パスワード」フィールドに新しいパスワードを入力し、「OK」をクリックします。
BI PublisherのOracle Identity Managerデータベース・パスワードを変更するには:
BI Publisherにログインします。
「管理」タブをクリックします。
「データ・ソース」の下にある「JDBC接続」をクリックします。
「OIM JDBC」をクリックし、「パスワード」フィールドでパスワードを変更します。
「接続のテスト」をクリックします。接続は確認後に正常に確立されます。
「適用」をクリックします。
Oracle Identity Managerデータベース・パスワードを変更したら、WebLogic管理サーバーを再起動します。またOracle Identity managerが管理するWebLogicサーバーも同様に起動します。
インストール・プロセスでは、Oracle Identity Managerインストーラによって複数のパスワードが格納されます。資格証明ストア・フレームワーク(CSF)には様々な値がキーおよび値として格納されています。表25-1にキーとその対応する値を示します。
表25-1 CSFキー
| キー | 説明 |
|---|---|
|
DataBaseKey |
データベースの暗号化に使用されるキーのパスワード。パスワードは、インストーラでOracle Identity Managerキーストアに入力されたユーザー入力値です。 |
|
.xldatabasekey |
データベース暗号化キーを格納するキーストアのパスワード。パスワードは、インストーラでOracle Identity Managerキーストアに入力されたユーザー入力値です。 |
|
xell |
xellキーのパスワードで、Oracle Identity Manager コンポーネント間の通信を保護するために使用されます。Oracle Identity Managerインストーラによって生成されるデフォルトのパスワードは、xellerateです。 |
|
default_keystore.jks |
JKSキーストアdefault_keystore.jksのパスワードで、DOMAIN_HOME/config/fmwconfig/ディレクトリにあります。パスワードは、インストーラでOracle Identity Managerキーストアに入力されたユーザー入力値です。 |
|
SOAAdminPassword |
パスワードはインストーラで「SOA管理者パスワード」フィールドに入力されたユーザー入力値です。 |
|
OIMSchemaPassword |
Oracle Identity Managerデータベース・スキーマに接続するためのパスワードです。パスワードはインストーラで「OIMデータベース・スキーマのパスワード」フィールドに入力されたユーザー入力値です。 |
|
JMSKey |
パスワードは、インストーラでOracle Identity Managerキーストアに入力されたユーザー入力値です。 |
CSFキーの値を変更するには:
次のURLに移動して、Oracle Enterprise Managerにログインにします。
http://ADMIN_SERVER/em
「WebLogicドメイン」→「DOMAIN_NAME」に移動します。
「oim」を右クリックし、「セキュリティ」→「資格証明」を選択します。
ディレクトリ・サーバーのITリソースを編集します。これを行うには、「管理者パスワード」フィールドに新しいOVDパスワードを入力し、「更新」をクリックします。
OVDパスワードを変更するには:
Oracle Identity Manager管理にログインします。
「拡張」をクリックします。
「構成」の下の「ITリソースの管理」をクリックします。
「ITリソース・タイプ」リストから「ディレクトリ・サーバー」を選択します。
「検索」をクリックします。
ディレクトリ・サーバーのITリソースを編集します。これを行うには、「管理者パスワード」フィールドに新しいOVDパスワードを入力し、「更新」をクリックします。
SSOが有効であり、Access Manager (OAM)と統合されたOracle Identity ManagerデプロイメントでLDAPのOracle Identity Managerシステム管理者パスワードを変更するには:
次に示すように、LDAPからユーザーのdnを参照します。
$ORACLE_HOME/bin/ldapsearch -D cn=orcladmin -w fusionapps1 -h localhost -p 6501 -b dc=com "cn=SYS_ADMIN" orclaccountlocked dn
ここで、SYS_ADMINは、システム管理者ユーザー・ログインです。
次のようなファイルを作成します。
$ more /tmp/resetpassword_SYS_ADMIN dn: cn=SYS_ADMIN,cn=Users,dc=us,dc=mycompany,dc=com changetype: modify replace: userPassword userPassword: NEW_PASSWORD
ここで、NEW_PASSWORDは、クリアテキストにするパスワードです。
次に示すように、パスワードを変更します。
$ORACLE_HOME/bin/ldapmodify -D cn=orcladmin -w fusionapps1 -h localhost -p 6501 -f /tmp/ resetpassword _SYS_ADMIN
次に示すように、ユーザーのパスワードが変更されていることを確認します。
$ORACLE_HOME/bin/ldapbind -D 'cn=SYS_ADMIN,cn=Users,dc=us,dc=mycompany,dc=com' -w NEW_PASSWORD -h localhost -p 6501
SSOが有効であり、OAMと統合されたOracle Identity ManagerデプロイメントでLDAPのOracle Identity Managerシステム管理者パスワードのロックを解除するには:
次に示すように、LDAPからユーザーのdnを参照します。
$ORACLE_HOME/bin/ldapsearch -D cn=orcladmin -w fusionapps1 -h localhost -p 6501 -b dc=com "cn=SYS_ADMIN" orclaccountlocked dn
orclaccountlockedの値が1の場合、ユーザーはロックされています。
次のようなファイルを作成します。
$ more /tmp/unlock_SYS_ADMIN dn: cn=SYS_ADMIN,cn=Users,dc=us,dc=mycompany,dc=com changetype: modify replace: orclaccountlocked orclaccountlocked: 0
次に示すように、ユーザーをロック解除します。
$ORACLE_HOME/bin/ldapmodify -D cn=orcladmin -w fusionapps1 -h localhost -p 6501 -f /tmp/unlock_SYS_ADMIN
次に示すように、ユーザーがロック解除されていることを確認します。
$ORACLE_HOME/bin/ldapsearch -D cn=orcladmin -w fusionapps1 -h localhost -p 6501 -b dc=com "cn=SYS_ADMIN" orclaccountlocked dn
orcladdountlockedの値は、0である必要があります。
OIM、MDS、SOAINFRA、OPSS、ORASDPMおよびBI Publisherスキーマ・パスワードを変更する手順:
すべての管理対象サーバーとアプリケーション・サーバーを停止します。
ドメイン全体とデータベースのバックアップを作成します。
アプリケーション・サーバーを起動します。
xxxx_OPSSユーザー・パスワードを変更します。これを行うには、次のようにします。
次のコマンドを実行します。
SQL> alter user xxxx_OPSS identified by NEW_PASSWORD;
ORACLE_COMMON/common/bin/ディレクトリに移動し、wlstコマンドを実行します。
次のように、modifyBootStrapCredentialスクリプトを実行します。
modifyBootStrapCredential(jpsConfigFile='DOMAIN_NAME/config/fmwconfig/jps-config.xml', username='xxxx_OPSS', password='NEW_PASSWORD')
Weblogic管理コンソールにログインします。「サービス」→ 「データ・ソース」の順に移動します。
「opss-DBDS」→「接続プール」を選択し、手順4aでxxxx_opssに設定された新しいパスワードを入力します。変更を保存します。
アプリケーション・サーバーを再起動します。ただし、管理対象サーバーは起動しません。
sqlplusを使用してシステム・ユーザーとしてデータベースに接続した後、次のコマンドを実行します。
xxx_OIMのパスワードを変更するには、次のコマンドを実行します。
SQL> alter user xxx_OIM identified by NEW_PASSWORD;
xxx_MDSのパスワードを変更するには、次のコマンドを実行します。
SQL> alter user xxx_MDS identified by NEW_PASSWORD;
xxx_SOAINFRAのパスワードを変更するには、次のコマンドを実行します。
SQL> alter user xxx_SOAINFRA identified by NEW_PASSWORD;
xxx_ORASDPMのパスワードを変更するには、次のコマンドを実行します。
SQL> alter user xxx_ORASDPM identified by NEW_PASSWORD;
xxx_BIPLATFORMのパスワードを変更するには、次を実行します。
SQL> alter user xxx_BIPLATFORM identified by NEW_PASSWORD;
パスワードが変更されたことを確認します。これを行うには、sqlplusを使用して、4つのユーザーと新しいパスワードでデータベースにログインします。
WebLogic管理コンソールにログインします。
「サービス」→「データ・ソース」の順に移動し、次の操作を実行します。
「soaOIMLookupDB」→「接続プール」を選択し、手順12aでxxx_OIMに設定された新しいパスワードを入力します。
「oimJMSStoreDS」→「接続プール」を選択し、手順12aでxxx_OIMに設定された新しいパスワードを入力します。
「oimOperationsDB」→「接続プール」を選択し、手順12aでxxx_OIMに設定された新しいパスワードを入力します。
「ApplicationDB」→「接続プール」を選択し、手順12aでxxx_OIMに設定された新しいパスワードを入力します。
「mds-oim」→「接続プール」を選択し、手順12bでxxx_MDSに設定された新しいパスワードを入力します。
「mds-owsm」→「接続プール」を選択し、手順12bでxxx_MDSに設定された新しいパスワードを入力します。
「mds-soa」→「接続プール」を選択し、手順12bでxxx_MDSに設定された新しいパスワードを入力します。
「EDNDataSource」→「接続プール」を選択し、手順12cでxxx_SOAINFRAに設定された新しいパスワードを入力します。
「EDNLocalTxDataSource」→「接続プール」を選択し、手順12cでxxx_SOAINFRAに設定された新しいパスワードを入力します。
「SOADataSource」→「接続プール」を選択し、手順12cでxxx_SOAINFRAに設定された新しいパスワードを入力します。
「SOALocalTxDataSource」→「接続プール」を選択し、手順12cでxxx_SOAINFRAに設定された新しいパスワードを入力します。
「OraSDPMDataSource」→「接続プール」を選択し、手順12dでxxx_ORASDPMに設定された新しいパスワードを入力します。
OIMAuthenticationProvider構成を変更します。これを行うには、次のようにします。
WebLogic管理コンソールで、「セキュリティ・レルム」→「myrealm」→「プロバイダ」に移動します。
「OIMAuthenticationProvider」をクリックします。
「プロバイダ固有」をクリックします。
「DBPassword」フィールドに、Oracle Identity Managerデータベース・スキーマの新しいパスワードを入力します。
「保存」をクリックして変更を保存します。
ドメインの資格証明ストアの構成を変更します。これを行うには、次のようにします。
Oracle Enterprise Managerにログインします。
「WebLogicドメイン」→DOMAIN_NAMEに移動します。
ドメイン名を右クリックし、「セキュリティ」→「資格証明」→「oim」を選択します。
「OIMSchemaPassword」を選択し、「編集」をクリックします。
「パスワード」フィールドで、新しいパスワードを入力し、「OK」をクリックします。
BI Publisherでoimおよびsoaスキーマのパスワードを変更します。これを行うには、次のようにします。
BI Publisherにログインします。
「管理」タブをクリックします。
「データ・ソース」の下にある「JDBC接続」をクリックします。
「OIM JDBC」をクリックし、「パスワード」フィールドでパスワードを変更します。
「接続のテスト」をクリックします。接続は確認後に正常に確立されます。
「適用」をクリックします。
JDBCデータ・ソースBPEL JDBCに対して手順14dから14fまでを繰り返します。
BI Publisherスキーマ・パスワードが変更されている場合は、次の手順を実行します。
Oracle Enterprise Managerにログインします。
「WebLogicドメイン」、「DOMAIN_NAME」を展開します。
右ペインのDOMAIN_NAME下のWebLogicドメインの一覧から、「JDBCデータ・ソース」を選択します。
表からbip_datasourceを選択し、ツールバーの「編集」をクリックします。
「接続プール」タブをクリックします。「データベース接続情報」セクションで、パスワードを変更し、右上隅の「適用」をクリックします。
BI Publisherサービスを起動します。
WebLogic管理サーバーを再起動します。
SOAおよびOracle Identity Managerの管理対象サーバーを起動します。
この項では、Oracle Identity Manager、およびOracle Identity Managerが相互作用して安全な通信を確立するコンポーネントの鍵の生成、証明書への署名およびエクスポート、SSL構成の設定について手順を説明します。
SHA-2準拠の証明書は、SSL通信のTLS 1.2プロトコルを使用する前提条件です。
|
注意:
|
Oracle JDK 7の場合、最新のJava Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy Filesをダウンロードして適用します。local_policy.jarおよびUS_export_policy.jarのjarファイルを<JAVA_HOME>/jre/lib/securityディレクトリに再配置します。
|
注意: Opatchのバージョンが12.1.0.1.10より前の場合、p21142429_121010_Linux-x86-64.zipパッチを適用してOPatchユーティリティをアップグレードしてください。 |
23176395_121020_Generic.zipパッチをDB_HOMEに適用して、Oracle12c DB (12.1.0.2)でTLS 1.2がサポートされるようにしてください。
oracle_commonディレクトリにp19030178_111190_Generic.zipパッチを適用します。
WebLogicレベルでデモ・アイデンティティおよびデモ・トラストが使用されている場合、BSUを介してp13964737_1036_Generic.zip Weblogicパッチを適用します。
内容は次のとおりです。
|
注意:
|
この項には次のトピックが含まれます:
|
注意: 「鍵の生成」から「証明書のインポート」までの項で説明する手順はオプションです。これらの手順は、WebLogicサーバーのためのカスタム・アイデンティティおよびトラスト・ストアがある場合に必要となります。SSLは、デフォルトのアイデンティティおよびトラスト・ストアでも有効にできます。 |
keytoolコマンドを使用して、秘密と公開の証明書のペアを生成できます。構文は次のとおりです。
$JAVA_HOME/jre/bin/keytool -genkey -alias ALIAS -keyalg ALGORITHM -keysize KEY_SIZE -sigalg SIGN_ALORITHM -dname DISTINGUISHED_NAME -keypass KEY_PASSWORD -keystore KEYSTORE_NAME -storepass KEYSTORE_PASSWORD
次の例ではoimsupporttrust.jksというアイデンティティ・キーストアを作成します。
$JAVA_HOME/jre/bin/keytool -genkey -alias supportpvtkey -keyalg RSA -keysize 2048 -sigalg SHA256withRSA -dname "CN=oimhost.mycompany.com, OU=Identity, O=Oracle Corporation,C=US" -keypass privatepassword -keystore oimsupportidentity.jks -storepass password
Oracle Identity Managerのための証明書を生成するときには、CN属性で、Oracle Identity Managerのデプロイ先のホスト名を指定します。同様に、SOAの証明書を生成するときには、CN属性で、SOAのデプロイ先のホスト名を指定します。次に例を示します。
-dname "CN=myhost.us.example.com, OU=Identity, O=Example Corporation,C=US"
|
注意:
|
作成した証明書に署名するには、次のkeytoolコマンドを使用します。
$JAVA_HOME/jre/bin/keytool -selfcert -alias supportpvtkey -sigalg SHA256withRSA -validity 2000 -keypass <privatepassword> -keystore oimsupportidentity.jks -storepass <password>
|
注意: keytoolコマンドに渡すパラメータ値は、個別の要件に応じて変更してください。keytoolの引数には改行が含まれないようにしてください。 |
アイデンティティ・キーストアからファイルに証明書をエクスポートするには、keytoolコマンドを使用します。構文は次のとおりです。
$JAVA_HOME/jre/bin/keytool -export -alias ALIAS -file FILE_TO_EXPORT -keypass KEY_PASSWORD -keystore KEYSTORE_NAME -storepass KEYSTORE_PASSWORD
たとえば、次のサンプル・コマンドでは、証明書が「supportcert.pem」というファイルにエクスポートされます。
$JAVA_HOME/jre/bin/keytool -export -alias supportpvtkey
-file supportpvtkeycert.pem
-keypass <password>
-keystore oimsupportidentity.jks
-storepass <password>
ファイルから証明書をインポートするには、keytoolコマンドを使用します。構文は次のとおりです。
keytool -import -alias ALIAS -trustcacerts -file FILE_TO_IMPORT -keystore KEYSTORE_NAME -storepass KEYSTORE_PASSWORD
次の例では、証明書ファイルsupportcert.pemがパスワードweblogic1を使用してアイデンティティ・キーストアoimsupporttrust.jksにインポートされます。
$JAVA_HOME/jre/bin/keytool -import -alias supportpvtkey -trustcacerts -file supportpvtkeycert.pem -keystore oimsupporttrust.jks -storepass <password>
|
注意:
|
カスタム・キー・ストアを構成するには、次の手順を実行します。
WebLogic Server管理コンソールで、「環境」→「サーバー」→Server_Name (OIM_Server1)→「構成」をクリックし、「一般」をクリックします。
「ロックして編集」をクリックします。
「SSLリスニング・ポートの有効化」を選択します。デフォルトSSLポートは、非SSLの場合は14002および14001です。
「キーストア」タブを選択します。
「キーストア」リストから、「カスタム・アイデンティティとカスタム信頼」を選択します。
|
注意: カスタム・アイデンティティのみを作成してあり、Java標準信頼を使用している場合は、カスタム・アイデンティティ、Java標準信頼オプションを選択します。カスタム・アイデンティティおよびカスタム信頼を作成してある場合は、「カスタム・アイデンティティとカスタム信頼」オプションを選択します。 |
カスタム・アイデンティティ・キーストア・ファイル(例: oimsupporttrust.jks)をDOMAIN_HOME/config/fmwconfig/ directoryにコピーします。このキーストアの絶対パス(DOMAIN_HOME/config/fmwconfig/oimsupporttrust.jks)を「カスタム・アイデンティティ・キーストア」フィールドに入力します。
|
注意:
|
カスタムIDキーストア・タイプとして、JKSを指定します。
「カスタム・アイデンティティ・キーストアのパスフレーズ」および「カスタム・アイデンティティ・キーストアのパスフレーズの確認」のフィールドにパスワード(password)を入力します。
|
注意: カスタム信頼キーストアを作成している場合は、カスタム信頼キーストア・フィールドについても、この項の手順6から8を実行します。 |
「保存」をクリックします。
「SSL」タブをクリックします。
秘密鍵の別名として、supportpvtkeyと入力します。
「秘密鍵のパスフレーズ」および「秘密鍵のパスフレーズを確認」のフィールドにパスワード(password)を入力します。
「保存」をクリックします。
同様の手順(手順1から13)を管理サーバーとSOAサーバーに対して実行します。
「変更のアクティブ化」をクリックします。
「証明書のエクスポート」でエクスポートした証明書を、SPMLクライアントのトラストストアおよびJava標準信頼ストアおよびWebLogic信頼ストアにインポートします。
MW_HOME/wlserver_10.3/server/lib/cacerts
例:
./keytool -importcert -alias startssl -keystore MW_HOME/wlserver_10.3/server/lib/cacerts -storepass <password> -file supportpvtkeycert.pemJAVA_HOME/jre/lib/security/cacerts
例:
./keytool -importcert -alias startssl -keystore JAVA_HOME/jre/lib/security/cacerts -storepass <password> -file supportpvtkeycert.pem
|
注意: ここで、<password>はJavaの標準トラストストア(JAVA_HOME/jre/lib/security/cacerts)のデフォルト・パスワードです。 |
証明書のインポートの詳細は、「証明書のインポート」を参照してください。
|
注意: 証明書のCNがWLSがインストールされているマシンのホスト名と同じでない場合、ホスト名の検証で「なし」を選択する必要があります。選択するには、「SSL」タブ、「拡張」セクションに移動し、「ホスト名の検証」リストから「なし」を選択します。 |
SSLを有効化するには、Oracle Identity ManagerおよびSOAサーバーで次の構成を実行する必要があります。
Oracle Identity ManagerのSSLの有効化について、次の各項で説明します。
デフォルト設定を使用してOracle Identity ManagerおよびSOAサーバーのSSLを有効化するには、次の手順を実行します。
WebLogic Server管理コンソールにログインし、「サーバー」→「OIM_SERVER1」→「一般」に移動します。「一般」セクションで、SSLポートに任意の値を設定して有効化できます。
サーバーはリスニングを開始し、HTTPSプロトコルを使用してURLにアクセスできるようになります。
Oracle Identity ManagerはSSLが有効化されたSOAサーバーと相互作用する必要があるため、管理サーバーおよびSOAサーバーで同じ手順を実行します。
|
注意:
|
カスタム・キーストアを使用してOracle Identity ManagerのSSLを有効化するには、次の手順を実行します。
UNIXの場合はDOMAIN_HOME/bin/setDomainEnv.shファイル、Microsoft Windowsの場合はDOMAIN_HOME\bin\setDomainEnv.cmdファイル。行 # SET THE CLASSPATHを検索し、次を追加します。
TLS_JAVA_OPTIONS=" -Dweblogic.management.username=username -Dweblogic.management.password=password -Djavax.net.ssl.trustStore=$TRUSTSTORE_LOCATION -Dweblogic.security.SSL.ignoreHostnameVerification=true -Dweblogic.security.SSL.enforceConstraints=off -Dweblogic.ssl.JSSEEnabled=true -Dweblogic.security.SSL.enableJSSE=true -Dweblogic.security.SSL.protocolVersion=TLSv1.2 -Dhttps.protocols=TLSv1.2 -Djdk.tls.client.protocols=TLSv1.2 -Djdk.tls.disabledAlgorithms=SSLv2Hello,SSLv3,TLSv1,TLSv1.1 -Dssl.debug=true -Djavax.net.debug=ssl:handshake:verbose " JAVA_OPTIONS="${JAVA_OPTIONS} ${TLS_JAVA_OPTIONS}" export JAVA_OPTIONS
ここで、カスタム・トラスト・ストアの場合、TRUSTSTORE_LOCATIONの値は次のようになります。
DOMAIN_HOME/config/fmwconfig/oimsupporttrust.jks
デモ信頼ストアの場合、TRUSTSTORE_LOCATIONの値は次のようになります。
${WL_HOME}/server/lib/DemoTrust.jks
Java標準信頼ストアの場合、TRUSTSTORE_LOCATIONの値は次のようになります。
$JAVA_HOME/jre/lib/security/cacerts
|
注意:
|
テキスト・エディタでstartManagedWebLogic.shファイルを開き、次の手順を実行します。
ADMIN_URLの値を変更して、SSL URLを指すようにします。次に例を示します。
ADMIN_URL="https://myhost.mycompany.com:7002"
次の行をコメント・アウトします。
#JAVA_OPTIONS="-Dweblogic.security.SSL.trustedCAKeyStore="WL_HOME/server/lib/cacerts" ${JAVA_OPTIONS}"
#export JAVA_OPTIONS
startManagedWebLogic.shファイルを保存します。
変更内容を有効にするためにすべてのサーバーを再起動します。
Oracle Identity ManagerサーバーでSSLリスニング・ポートのみが有効化され、非SSLリスニング・ポートが無効になっている場合は、次のように、Oracle Identity ManagerのRMI t3s URLを指すようにproviderURL JVMシステム・プロパティの値を設定する必要があります。
-DproviderURL=t3s://OIM_HOST:OIM_SSL_PORT
これを実行するには、コマンド・プロンプトからOracle Identity Manager管理対象サーバーを起動する前に、JAVA_OPTIONS環境変数の値を設定します。
たとえば、Linuxで、cshシェルを使用している場合は、次のように環境変数を設定します。
setenv JAVA_OPTIONS -DproviderURL=t3s://OIM_HOST:OIM_SSL_PORT
bashの場合は、次のように設定します。
export JAVA_OPTIONS=-DproviderURL=t3s://OIM_HOST:OIM_SSL_PORT
Microsoft Windowsでは、次のように環境変数を設定します。
SET JAVA_OPTIONS=-DproviderURL=t3s://OIM_HOST:OIM_SSL_PORT
Oracle Identity Managerサーバーがノード・マネージャにより管理されている場合は、oim_server、「構成」、「サーバーの起動」、「引数」の下で、次を引数として追加します。
-DproviderURL=t3s://OIM_HOST:OIM_SSL_PORT
オプションで、手順17でパラメータをstartWeblogic.shおよびstartmanagedWeblogic.shに設定することで、これらのスクリプトを使用してサーバーを起動するようにできます。
WL_HOME/common/nodemanager/nodemanager.propertiesファイルをバックアップします。ファイルを開いて次の行を追加します。
KeyStores=CustomIdentityAndCustomTrust
CustomIdentityKeyStoreType=JKS
CustomIdentityKeyStoreFileName=DOMAIN_HOME/config/fmwconfig/oimsupporttrust.jks
CustomIdentityAlias=supportpvtkey
CustomIdentityKeyStorePassPhrase=password
CustomIdentityPrivateKeyPassPhrase=privatepassword
パス、別名およびパスワードがAdminServer構成に従って更新されていることを確認してください。
|
注意: Oracle Identity ManagerはWebサービスを介してSOAと接続できます。Webサービスの起動が失敗した場合、SOAはOracle Identity Managerに接続できません。その結果、リクエストがスタック状態になることがあります。たとえば、ユーザーの作成リクエストが承認された後、対応するSOAコンポジットが、SSL対応のOracle Identity ManagerサーバーにデプロイされたリクエストWebサービスを起動できないためにリクエストがスタック状態になる場合があります。このような問題を回避するには、たとえば、次を使用して、setDomainEnv.shファイル内のJAVA_OPTIONSを設定します。-Djavax.net.ssl.trustStore==DOMAIN_HOME/config/fmwconfig/oimsupporttrust.jks |
Oracle Identity ManagerとSOAサーバーでSSLを有効にした後、これらの間での安全な通信を確立するために、次の変更を行います。
OimFrontEndURLをOIM SSLポートを使用するように変更するには:
WebLogic管理サーバーおよびOracle Identity Manager管理対象サーバー(クラスタの場合は少なくとも1つのサーバー)が稼動しているときに、Enterprise Manager (EM)にログインします。
例:
http://<AdminServer>/em
「Identity and Access」→「Oracle Identity Manager」→「oim (11.1.2.0.0)」に移動します。
右クリックして「システムMBeanブラウザ」を選択します。
「アプリケーション定義のMBeans」で、「oracle.iam」→「サーバー:<oim_servername>」→「アプリケーション:OIM」→「XMLConfig」→「構成」→「XMLConfig.DiscoveryConfig」→「検出」に移動します。
クラスタ・デプロイメントでは、「アプリケーション定義のMBeans」で「oracle.iam」を選択すると、Oracle Identity Managerサーバー名が表示されます。サーバーを選択し、移動を継続してください。
|
注意: クラスタ・デプロイメントでは、OimFrontEndURLへの変更はクラスタ内のサーバーごとに行う必要があります。 |
OimFrontEndURL属性に新しい値を入力し、「適用」をクリックして変更を保存します。
例:
https://myoimserver.mycompany.com:14002
|
注意: Fusion AppsやSPMLクライアントには、SPMLの起動やコールバック・レスポンスの送信のために、Oracle Identity Manager URLが格納されています。そのため、これに対応する変更が必要になります。また、Oracle Identity ManagerにOAM/OAAM/OINが統合されている場合は、これに対応する変更も必要になります。 |
backOfficeURLをSOA SSLポートを使用するように変更するには:
WebLogic管理サーバーおよびOracle Identity Manager管理対象サーバー(クラスタの場合は少なくとも1つのサーバー)が稼動しているときに、Enterprise Manager (EM)にログインします。
例:
http://<AdminServer>/em
「Identity and Access」→「Oracle Identity Manager」に移動します。
右クリックして「システムMBeanブラウザ」を選択します。
「アプリケーション定義のMBeans」で、「oracle.iam」→「アプリケーション:OIM」→「XMLConfig」→「構成」→「XMLConfig.DiscoveryConfig」→「検出」に移動します。
backOfficeURL属性に新しい値を入力し、「適用」をクリックして変更を保存します。
例:
t3s://mywls1.mycompany.com:8002
t3s://mywls1.mycompany.com:8002,mywls2.mycompany.com:8003
SOAサーバーURLをSOA SSLポートを使用するように変更するには:
管理サーバーおよびOracle Identity Manager管理対象サーバーが稼動しているときに、Enterprise Manager (EM)にログインします。
例:
http://ADMINISTRATIVE_SERVER/em
「Identity and Access」→「Oracle Identity Manager」に移動します。
右クリックして「システムMBeanブラウザ」を選択します。
「アプリケーション定義のMBeans」で、「oracle.iam」→「アプリケーション:OIM」→「XMLConfig」→構成→「XMLConfig.SOAConfig」→「SOAConfig」に移動します。
Rmiurl属性の値を変更します。
|
注意: Rmiurlは、SOA管理対象サーバーにデプロイされたSOA EJBにアクセスするために使用されます。 |
これは、アプリケーション・サーバーのURLです。クラスタ化されたインストールの場合は、すべてのSOA管理対象サーバーURLのカンマ区切りのリストです。
例:
t3s://mysoa1.mycompany.com:8002
t3s://mysoa1.mycompany.com:8002,mysoa2.mycompany.com:8003,mysoa3.mycompany.com:8004
Soapurl属性の値を変更します。例:
https://mysoa.mycompany.com:8002
|
注意: Soapurlは、SOA管理対象サーバーにデプロイされたSOA Webサービスにアクセスするために使用されます。これは、Webサーバーまたはロード・バランサをフロントエンドとするSOAクラスタでは、WebサーバーURLまたはロード・バランサURLです。単一SOAサーバーでは、アプリケーション・サーバーURLです。 |
「適用」をクリックして変更を保存します。
SOAサーバーのURLは、ForeignJNDIProvider-SOAでも有効にする必要があります。
WebLogic管理コンソールにログインします。
「domain」→「services」→「ForeignJNDIProvider」に移動します。
「ForeignJNDIProvider-SOA」をクリックし、次に変更します。
t3s://HOST_NAME:SSL_SOA_PORT
例:
t3s://mysoa.mycompany.com:8002
Oracle Identity Manager DBのSSLを有効化するには、次の構成を実行する必要があります。
orapkiユーティリティを使用して、サーバー側とクライアント側のキーストアを作成できます。このユーティリティは、Oracle DBインストールの一部として出荷されます。
キーストアは、JKSやPKCS12などの任意の形式にすることができます。キーストアの形式は、プロバイダの実装によって異なります。たとえば、JKSはSun Oracleが提供する実装で、PKCS12はOraclePKIProviderが提供する実装です。
Oracle Identity Managerでは、DBサーバーにJKSクライアント・キーストアのみを使用します。これは、PKCS12などのJKS以外のキーストア形式を使用するには、リリースが差し迫っているときにインストーラ側に大きな変更を加える必要があったためです。ただし、Oracle Identity Managerにはdefault-KeyStore.jksという名前のJKS形式のキーストアがあらかじめ含まれています。
orapkiユーティリティを使用して、次のキーストアを作成できます。
|
注意: ウォレットとキーストアは置き換え可能で、どちらも同じ意味です。これらは公開鍵および秘密鍵のリポジトリと自己署名証明書および信頼できる証明書を参照します。 |
ルートCAウォレットの作成
ルート認証局(CA)ウォレットを作成するには:
次のパスに移動します。
$DB_ORACLE_HOME/binディレクトリ
次のコマンドを使用してウォレットを作成します。
./orapki wallet create -wallet CA_keystore.p12 -pwd KEYSTORE_PASSWORD
次のコマンドを使用して、自己署名証明書をCAウォレットに追加します。
./orapki wallet add -wallet CA_keystore.p12 -dn 'CN=root_test,C=US' -keysize 2048 -self_signed -validity 3650 -pwd KEYSTORE_PASSWORD -sign_alg sha256
次のコマンドを使用してウォレットを表示します。
./orapki wallet display -wallet CA_keystore.p12 -pwd KEYSTORE_PASSWORD
次のコマンドを使用してCAウォレットから自己署名証明書をエクスポートします。
./orapki wallet export -wallet CA_keystore.p12 -dn 'CN=root_test,C=US' -cert self_signed_CA.cert -pwd KEYSTORE_PASSWORD
DBサーバー側ウォレットの作成
DBサーバー側ウォレットを作成するには:
次のコマンドを使用してサーバー・ウォレットを作成します。
./orapki wallet create -wallet server_keystore_ssl.p12 -auto_login -pwd KEYSTORE_PASSWORD
次のコマンドを使用して、証明書リクエストをサーバー・ウォレットに追加します。
./orapki wallet add -wallet server_keystore_ssl.p12 -dn 'CN=Customer,OU=Customer,O=Customer,L=City,ST=NY,C=US' -keysize 2048 -pwd KEYSTORE_PASSWORD -sign_alg sha256
次のコマンドを使用して、証明書リクエストをファイルにエクスポートします。これは後でルートCA署名を使用して署名を受けるために使用されます。
./orapki wallet export -wallet server_keystore_ssl.p12 -dn 'CN=Customer,OU=Customer,O=Customer,L=City,ST=NY,C=US' -request server_creq.csr -pwd KEYSTORE_PASSWORD -sign_alg sha256
次のコマンドを使用して、サーバー・ウォレットの証明書リクエストにCA署名を使用して署名を受けます。
./orapki cert create -wallet CA_keystore.p12 -request server_creq.csr -cert server_creq_signed.cert -validity 3650 -pwd KEYSTORE_PASSWORD -sign_alg sha256
次のコマンドを使用して、署名された証明書を表示します。
/orapki cert display -cert server_creq_signed.cert -complete
次のコマンドを使用して、信頼された証明書をサーバー・ウォレットにインポートします。
./orapki wallet add -wallet server_keystore_ssl.p12 -trusted_cert -cert self_signed_CA.cert -pwd KEYSTORE_PASSWORD -sign_alg sha256
次のコマンドを使用して、この新規作成された署名証明書(ユーザー証明書)をサーバー・ウォレットにインポートします。
./orapki wallet add -wallet server_keystore_ssl.p12 -user_cert -cert server_creq_signed.cert -pwd KEYSTORE_PASSWORD -sign_alg sha256
クライアント側ウォレットの作成
クライアント側(Oracle Identity Managerサーバー)ウォレットを作成するには:
次のパスでクライアント・キーストアを作成するか、既存のキーストアのdefault-keystore.jksを使用します。
DOMAIN_HOME/config/fmwconfig
|
注意: Oracle PKCS12ウォレットをクライアント・キーストアとして使用することもできます。 |
次のコマンドを使用して、サーバー側コマンドを使用してすでにエクスポートされている自己署名付きの信頼されたCA証明書を、クライアント・キーストア(default-keystore.jks)にインポートします。
JAVA_HOME/jre/bin/keytool -import -trustcacerts -alias dbtrusted -noprompt -keystore default-keystore.jks -file self_signed_CA.cert -storepass KEYSTORE_PASSWORD
ここで、KEYSTORE_PASSWORDは、Oracle Identity Managerの構成時にキーストアに指定されたパスワードです。
|
注意: カスタム信頼キーストアの場合は、たとえば次のように、自己署名付きの信頼されたCA証明書をそれにインポートします。
JAVA_HOME/jre/bin/keytool -import -trustcacerts -alias dbtrusted -noprompt -keystore oimsupporttrust.jks -file self_signed_CA.cert -storepass KEYSTORE_PASSWORD
|
サーバー認証SSLモードでDBを設定するには:
DBサーバーとリスナーを停止します。
次のパスに移動します。
$DB_ORACLE_HOME/network/adminディレクトリ
例:
/u01/app/user1/product/12.1.0/dbhome_1/network/admin
listener.oraファイルを次のように構成します。
listener.oraファイルを編集してSSLリスニング・ポートとサーバー・ウォレット・ロケーションを含めます。
次にlistener.oraファイルのサンプルを示します。
# listener.ora Network Configuration File: DB_HOME/listener.ora # Generated by Oracle configuration tools. SSL_VERSION = 1.2 SSL_CLIENT_AUTHENTICATION = FALSE WALLET_LOCATION = (SOURCE = (METHOD = FILE) (METHOD_DATA = (DIRECTORY = DB_HOME/server_keystore_ssl.p12) ) ) LISTENER = (DESCRIPTION_LIST = (DESCRIPTION = (ADDRESS = (PROTOCOL = TCPS)(HOST = server1.mycompany.com)(PORT = 2484)) ) (DESCRIPTION = (ADDRESS = (PROTOCOL = TCP)(HOST = server1.mycompany.com)(PORT = 1521)) ) ) TRACE_LEVEL_LISTENER = SUPPORT
sqlnet.oraファイルを次のように構成します。
sqlnet.oraファイルを編集して次の内容を含めます。
TCPS認証サービス
SSL_VERSION
サーバー・ウォレット・ロケーション
SSL_CLIENT_AUTHENTICATIONタイプ(trueまたはfalse)
通信で許可されるSSL_CIPHER_SUITES(オプション)
次にsqlnet.oraファイルのサンプルを示します。
# sqlnet.ora Network Configuration File: DB_HOME/sqlnet.ora
# Generated by Oracle configuration tools.
SQLNET.AUTHENTICATION_SERVICES= (BEQ, TCPS)
NAMES.DIRECTORY_PATH= (TNSNAMES, EZCONNECT)
WALLET_LOCATION =
(SOURCE =
(METHOD = FILE)
(METHOD_DATA =
(DIRECTORY = /u01/app/user1/product/12.1.0/dbhome_1/bin/server_keystore_ssl.p12)
)
)
SQLNET.AUTHENTICATION_SERVICES = (TCPS,NTS,BEQ)
SSL_CLIENT_AUTHENTICATION = FALSE
tnsnames.oraファイルを次のように構成します。
tnsnames.oraファイルを編集してサービスの説明リストにSSLリスニング・ポートを含めます。
次にtnsnames.oraファイルのサンプルを示します。
# tnsnames.ora Network Configuration File: DB_HOME/tnsnames.ora
# Generated by Oracle configuration tools.
ORCL12C =
(DESCRIPTION =
(ADDRESS = (PROTOCOL = TCPS)(HOST = server1.mycompany.com))(PORT = 2484))
(CONNECT_DATA =
(SERVER = DEDICATED)
(SERVICE_NAME = proddb)
)
)
LISTENER_ORCL12C =
(ADDRESS = (PROTOCOL = TCPS)(HOST = server1.mycompany.com)(PORT = 2484))
DBサーバーのユーティリティを起動および停止します。
DBサーバーを起動します。
Oracle Identity ManagerおよびOracle Identity Manager DBでSSLモードを有効にして安全な通信を確保するには、Oracle Identity Managerで次の手順を実行する必要があります。
Enterprise Managerにログインします。
「Identity and Access」→「OIM」に移動します。
右クリックして「システムMBeanブラウザ」に移動します。
「アプリケーション定義のMBeans」で、「oracle.iam」→「アプリケーション:OIM」→「XMLConfig」→構成→「XMLConfig.DirectDBConfig」→「DirectDB」に移動します。
Sslenabled属性とUrl属性の値を変更して、「適用」をクリックします。DBでSSLモードが有効な場合は、Url属性にTCPS有効化とSSLポートを含める必要があります。
例:
jdbc:oracle:thin:@(DESCRIPTION=(ADDRESS_LIST=(ADDRESS=(PROTOCOL=TCPS)(HOST=server1.mycompany.com)(PORT=2484)))(CONNECT_DATA=(SERVICE_NAME=server12c.mycompany.com))(SECURITY=(SSL_SERVER_CERT_DN="CN=root_test,C=US")))
Oracle Identity Managerサーバーを再起動します。
Oracle Identity Manager DBのSSLを有効にした後で、DB SSLポートを使用してOracle Identity Managerの次のデータソースとオーセンティケータを変更する必要があります。
|
注意: データベースのホストまたはポートの変更を行う前に、Oracle Identity Managerアプリケーションをホストする管理対象サーバーを停止する必要があります。ただし、WebLogic管理サーバーは稼動させたままでかまいません。 |
データソースoimOperationsDBの構成の更新
データソースoimOperationsDBの構成を更新するには:
WebLogic Serverにログインします。
「サービス」→「JDBC」→「データ・ソース」→「oimOperationsDB」に移動します。
「接続プール」タブをクリックします。
次の例に示すように、URLの値を変更してSSl DBのホスト/ポートに対する変更を反映します。
jdbc:oracle:thin:@(DESCRIPTION=(ADDRESS_LIST=(ADDRESS=(PROTOCOL=TCPS)(HOST=server1.mycompany.com)(PORT=2484)))(CONNECT_DATA=(SERVICE_NAME=server12c.mycompany.com))(SECURITY=(SSL_SERVER_CERT_DN="CN=root_test,C=US")))
ここで、SSL_SERVER_CERT_DN="CN=root_test,C=US"はDBルート証明書DNです。
「プロパティ」を更新して、次のSSL関連プロパティを追加します。
javax.net.ssl.trustStore=DOMAIN_HOME/config/fmwconfig/default-keystore.jks
javax.net.ssl.trustStoreType=JKS
javax.net.ssl.trustStorePassword=password
ここで、passwordは、Oracle Identity Managerの構成時にキーストアに指定されたパスワードです。
|
注意:
|
Oracle Identity Managerオーセンティケータの更新
WebLogicサーバーの既存のOracle Identity Managerオーセンティケータは、非SSL DB詳細に対して構成されており、Oracle Identity Manager DBとの通信にデータソースを使用しません。オーセンティケータでSSL DB詳細を使用するには、次の手順を実行する必要があります。
データソースがSSLに構成されていることを確認します。
WebLogic管理コンソールで、「セキュリティ・レルム」→「myrealm」→ 「プロバイダ」に移動します。
OIMAuthenticationProviderを削除します。
OIMAuthenticatorタイプの認証プロバイダを作成し、制御フラグをSUFFICIENTに設定します。
OIMSignatureAuthenticatorタイプの認証プロバイダを作成し、制御フラグをSUFFICIENTに設定します。
オーセンティケータを次の順に並べ替えます。
DefaultAuthenticator
OIMAuthenticator
OIMSignatureAuthenticator
その他のプロバイダ(あれば)
すべてのサーバーを再起動します。
SOA承認コンポジットのSSLを有効化するには:
SOA管理対象サーバーが実行されていることを確認します。
WebLogic Server管理者資格証明を使用して、Oracle Enterprise Managerにログインします。
SOA、SOAインフラ(soa_server1)、デフォルトを展開し、DefaultRequestApproval [5.0]を選択します。次に「ApprovalTask」をクリックし、「管理」タブをクリックします。
必要に応じてHTTPSポートの値を入力し、「適用」をクリックします。
コンポーネント・タイプが「ヒューマン・ワークフロー」の各承認コンポジットに対して手順3と手順4を繰り返します。これには、HTTPSポートの使用が必要な有効なワークリストURLエントリ(たとえばDefaultOperationalApproval [5.0])が含まれます。
Oracle Identity ManagerでSSL有効化されたOracle Virtual Directory (OVD)を使用できるようにするには、次の構成を実行する必要があります。
SSLでOracle Internet DirectoryまたはOracle Virtual Directoryを有効化する手順は次のとおりです。
Oracle Internet DirectoryまたはOracle Virtual DirectoryのEMコンソールにログインします。
「Identity and Access」を展開し、「oid」または「oud1」→「管理」→「リスナー」に移動します。
「作成」をクリックし、必要なフィールドすべてに入力します。OIM SSL ENDPOINTなどのリスナーを作成します。
|
注意: 「リスナー・タイプ」にはLDAPを選択してください。 |
「OK」をクリックします。
新規作成されたLDAPリスナーを選択し、「編集」をクリックします。
「リスナーの編集 - OIM SSL ENDPOINT」ページで、新規作成されたLDAPリスナーを編集します。
「OK」をクリックします。「SSL構成」ページが開きます。
「SSLの有効化」チェック・ボックスを選択します。
「拡張SSL設定」セクションで、SSL認証に対して、「認証なし」を選択します。
「OK」をクリックします。
Oracle Virtual Directoryサーバーを停止および起動して変更を有効にします。
|
注意: 再起動オプションは使用しないでください。 |
次のプロパティを使用してOracle Internet Directoryを構成します。
次のコマンドを実行して、環境変数を設定します。
setenv PATH /u01/oimhome/Oracle_IDM2/bin:$ORACLE_HOME/bin:$JAVA_HOME/bin:$PATH
次のコマンドを実行します。
orapki wallet create -wallet oim12coidwallet -auto_login
orapki wallet add -wallet oim12coidwallet -dn 'cn=orcladmin' -keysize 2048 -self_signed -validity 3650 -pwd password -sign_alg sha256
自己署名証明書をエクスポートするには、次のコマンドを実行します。
orapki wallet export -wallet oim12coidwallet -dn 'cn=orcladmin' -cert oid_self_signed_CA.cert -pwd password
次のコマンドを使用してプロパティを確認します。
ldapsearch -p 3060 -D cn=orcladmin -w password -b 'cn=oid1,cn=osdldapd,cn=subconfigsubentry' -s base objectclass='*' | grep -i crypto ldapsearch -p 3060 -D cn=orcladmin -w password -b 'cn=oid1,cn=osdldapd,cn=subconfigsubentry' -s base objectclass='*' | grep -i ssl
次のコマンドを使用して、SSLポートのバインディングが成功しているかを確認します。
ldapbind -h server1.mycompany.com -p 3131 -D cn=orcladmin -w password -q -U 2 -W "file:/u01/oidwallet/oim12coidwallet" -P password
|
注意: Oracle Internet DirectoryでのSSLの構成の詳細は、『Oracle Internet Directory管理者ガイド』の「Secure Sockets Layer(SSL)の構成」を参照してください。 |
次のプロパティを使用して、Oracle Unified Directoryを構成します。
Oracle Unified Directoryインスタンスの作成時に、SSLが有効化されているかを確認して自己署名証明書を生成します。デフォルトでは、SSL3、TLS1.1およびTLS1.2プロトコルを有効にする必要があります。
他のプロトコルを無効にしてTLS1.2のみを保持するには、次のコマンドを実行します。
./dsconfig -h localhost -p 1444 -D "cn=oudadmin" -j pwd.txt set-connection-handler-prop --handler-name "LDAPS Connection Handler" --set ssl-protocol:TLSv1.2
どのプロトコルが使用されているかを確認するには、次のコマンドを使用します。
./dsconfig -h localhost -p 1444 -D "cn=oudadmin" -j pwd.txt get-connection-handler-prop --handler-name "LDAPS Connection Handler"
デフォルトのAdminポート番号は、1444です。
|
注意: Oracle Unified DirectoryでのSSLの構成の詳細は、『Oracle Unified Directoryの管理』の「クライアント/サーバー間のセキュリティ構成」を参照してください。 |
LDAPSyncが有効な場合、Oracle Identity ManagerはOVDを介してディレクトリ・サーバーに接続します。この接続にはLDAP/LDAPSプロトコルを使用します。
OVDのホストおよびポートを変更するには:
Oracle Identity System Administrationにログインします。
「詳細」に移動し、「ITリソースの管理」をクリックします。
「ITリソース・タイプ」として「ディレクトリ・サーバー」を選択し、「検索」をクリックします。
ITリソース・ディレクトリ・サーバーで、詳細を編集します。
|
注意: サーバーURLおよびSSLサーバーURLは、adapter_os.xmlから作成されているため、空にする必要があります。 |
「SSLの使用」がtrueに設定されていることを確認し、「更新」をクリックします。
libOVDとOID/OUDの間でSSLを有効化するには、次の操作を実行します。
OID/OUDの証明書をoimトラスト・ストアおよびlibOVDキーストアにインポートする方法は次のとおりです。
OIMトラスト・ストアでエクスポートされた証明書をインポートするには、次のコマンドを実行します。
keytool -import -trustcacerts -alias oidtrusted -noprompt -keystore oimsupporttrust.jks -file oid_self_signed_CA.cert -storepass password
libOVDキーストアで証明書をインポートするには、次のコマンドを実行します。
keytool -import -trustcacerts -alias oidtrusted -noprompt -keystore adapters.jks -file oid_self_signed_CA.cert -storepass password
次のように、$DOMAIN_HOME/config/fmwconfig/ovd/CONTEXT/adapters.os_xmlファイルを変更します。
host portをssl portに変更します。
secureをtrueに設定します。
protocolsをTLSv1.2に設定します。
次のciphersをcipherSuitesに追加します。
<cipher>TLS_RSA_WITH_AES_128_CBC_SHA256</cipher>
<cipher>TLS_RSA_WITH_AES_256_CBC_SHA256</cipher>
<cipher>TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384</cipher>
|
注意: ここでCONTEXTはoimです。WLSTコマンドを使用して、次のようにパラメータを設定できます。modifyLDAPAdapter(adapterName='CHANGELOG_dir1', attribute='Protocols', value='TLSv1.2', contextName='oim') |
Oracle Identity ManagerとDesign console間に安全な接続を確立するようにDesign consoleを変更するには:
wlthint3client.jarファイルをWEBLOGIC_HOME/server/libフォルダからDESIGN_CONSOLE_HOME/extフォルダにコピーします。
編集して、関連するファイルで./ext/wlfullclient.jarを./ext/wlthint3client.jarに置き換えます。
Linuxの場合: DESIGN_CONSOLE_HOME/classpath.sh
Windowsの場合: DESIGN_CONSOLE_HOME /classpath.bat
MW_HOME/modules/cryptoj.jarをOIM_HOME/designconsole/ext/ディレクトリにコピーします。
$DESIGN_CONSOLE_HOME/config/xlconfig.xmlファイルを編集します。次の変更を加えます。
変更前:
<Discovery>
<CoreServer>
<java.naming.provider.url>t3://HOST_NAME:OIM_PORT/oim</java.naming.provider.url>
<java.naming.factory.initial>weblogic.jndi.WLInitialContextFactory</java.naming.factory.initial>
</CoreServer>
</Discovery>
変更後:
<Discovery>
<CoreServer>
<java.naming.provider.url>t3s://HOST_NAME:OIM_SSL_PORT/oim</java.naming.provider.url>
<java.naming.factory.initial>weblogic.jndi.WLInitialContextFactory</java.naming.factory.initial>
</CoreServer>
</Discovery>
変更前:
<ApplicationURL>http://HOST_NAME:PORT_NUMBER/xlWebApp/loginWorkflowRenderer.do</ApplicationURL>
変更後:
<ApplicationURL>https://HOST_NAME:OIM_SSL_PORT/xlWebApp/loginWorkflowRenderer.do</ApplicationURL>
$DESIGN_CONSOLE_HOME/config/xl.policyに、すべてに対するデフォルトの付与ポリシーが含まれていない場合は、次に示すようにcryptoj.jarファイルの最後に権限を追加します。
grant codeBase "file:DESIGN_CONSOLE_HOME/ext/cryptoj.jar"{ permission java.security.AllPermission;};
$MW_HOME/modules/cryptoj.jarを$OIM_HOME/designconsole/ext/ディレクトリにコピーします。
|
注意: ここでは、$MW_HOME/modules/cryptoj.jarを$OIM_HOME/designconsole/ext/ディレクトリにコピーする手順は必須です。xl.policyにすべてに対するデフォルトの付与ポリシーが含まれていない場合は、権限の設定が必要です。 |
関連するファイルで、次のプロパティを追加します。
Linuxの場合: DESIGN_CONSOLE_HOME/xlclient.sh
Windowsの場合: DESIGN_CONSOLE_HOME/xlclient.cmd
/u01/jdks/jdk1.7.0_131/bin/java -DXL.ExtendedErrorOptions=TRUE \ -DXL.HomeDir=. -Djava.security.policy=config/xl.policy \ -Djava.security.manager -Djava.security.auth.login.config=config/authwl.conf \ -Dlog4j.configuration=config/log.properties \ -DAPPSERVER_TYPE=wls \ -Djavax.net.ssl.trustStore=$TRUSTSTORE_LOCATION \ -Dweblogic.security.SSL.protocolVersion=TLSv1.2 \ -Dhttps.protocols=TLSv1.2 \ -Dweblogic.security.SSL.minimumProtocolVersion=TLSv1.2 \ -DproviderURL=t3s://server1.mycompany.com:14002 \ -Dweblogic.ssl.JSSEEnabled=true \ -Dweblogic.security.SSL.enableJSSE=true \ -Dweblogic.security.allowCryptoJDefaultJCEVerification=true \ -Dweblogic.security.SSL.enforceConstraints=off \ -Dweblogic.security.SSL.ignoreHostnameVerification=true \ -Dweblogic.StdoutDebugEnabled=true \ -Dssl.debug=true \ -Djavax.net.debug=ssl:handshake:verbose \ -cp $CLASSPATH com.thortech.xl.client.base.tcAppWindow -server server
環境変数TRUSTSTORE_LOCATIONに、サーバー側で使用されるcustom/demo/Java標準信頼キーストアの場所を設定します。
次に例を示します。
setenv TRUSTSTORE_LOCATION DOMAIN_HOME/config/fmwconfig/oimsupporttrust.jks
|
注意:
|
Oracle Identity Managerクライアント・ユーティリティには、PurgeCache、GenerateSnapshot、UploadJars、およびUploadResourcesがあります。
Oracle Identity ManagerがTLSで構成されている場合、Oracle Identity Managerユーティリティを構成するには次の手順を実行します。
Oracle Identity Managerサーバー証明書をエクスポートし、カスタム・キーストアoimsupporttrust.jksにインポートします。
OIM_HOME/server/bin/oimClientWrapper.shファイルを編集して、$JAVA_HOME/bin/java -cp $CLASSPATHの後に次のパラメータを追加します。
-Dweblogic.security.SSL.trustedCAKeyStore=$TRUSTSTORE_LOCATION -Dweblogic.security.SSL.protocolVersion=TLSv1.2 -Dhttps.protocols=TLSv1.2 -Dweblogic.security.SSL.minimumProtocolVersion=TLSv1.2 -DproviderURL=t3s://server1.mycompany.com:14002 -Dweblogic.ssl.JSSEEnabled=true -Dweblogic.security.SSL.enableJSSE=true -Dweblogic.security.allowCryptoJDefaultJCEVerification=true -Dweblogic.security.SSL.enforceConstraints=off -Dweblogic.security.SSL.ignoreHostnameVerification=true -Dweblogic.StdoutDebugEnabled=true -Dssl.debug=true -Djavax.net.debug=ssl:handshake:verbose
ユーティリティを実行する前に、コマンド・プロンプトで、TRUSTSTORE_LOCATION環境変数をサーバー側で使用されるcustom/demo/Java標準信頼キーストアの場所を指すように設定します。次に例を示します。
setenv TRUSTSTORE_LOCATION DOMAIN_HOME/config/fmwconfig/oimsupporttrust.jks
|
注意: Oracle Identity Managerサーバー証明書が前述のトラスト・ストアにすでにインポートされていることを確認してください。 |
リモート・マネージャなどのクライアントやSSL/TLSの方法でOracle Identity Managerに接続するその他のユーティリティの場合、クライアントがキーストア内で公開鍵(証明書)を使用できるようにする必要があります。このためには、次のように公開鍵(証明書)をエクスポートおよびインポートします。
次のコマンドを使用して、秘密鍵を持つDemoIdentity.jksまたはoimsupportidentity.jksから公開証明書をエクスポートします。または、ブラウザからエクスポートすることもできます。
$JAVA_HOME/jre/bin/keytool -export -file key.cer -alias demoidentity -keystore DemoIdentity.jks -storepass DemoIdentityKeyStorePassPhrase
カスタム・アイデンティティ・ストアの場合は、次のとおりです。
$JAVA_HOME/jre/bin/keytool -export -alias supportpvtkey -file supportpvtkeycert.pem -keypass password -keystore oimsupportidentity.jks -storepass password
次に示すように、クライアント・キーストアにその証明書をインポートします。
$JAVA_HOME/jre/bin/keytool -import -trustcacerts -file key.cer -alias qa_certgenca -keystore DemoTrust.jks -storepass DemoTrustKeyStorePassPhrase
ここで、DemoTrust.jksはデモ・キーストア、oimsupporttrust.jksはカスタム・キーストアです。
デザイン・コンソール、リモート・マネージャ、ユーティリティなどのクライアントでは、次に示すように、このキーストアを指すようにTRUSTSTORE_LOCATIONまたは-Dweblogic.security.SSL.trustedCAKeyStoreを設定します。
setenv TRUSTSTORE_LOCATION WL_HOME/server/lib/DemoTrust.jks -Dweblogic.security.SSL.trustedCAKeyStore= WL_HOME/server/lib/DemoTrust.jks \
リモート・マネージャ・スクリプトの追加パラメータでトランスポート・レイヤー・セキュリティ(TLS)を使用するSSLを構成するには、テキスト・エディタで次のスクリプトを開きます。
OIM_HOME/remotemanager/remotemanager.sh
次のパラメータを追加します。
-Dweblogic.security.SSL.trustedCAKeyStore=$TRUSTSTORE_LOCATION -Dweblogic.security.SSL.protocolVersion=TLSv1.2 -Dhttps.protocols=TLSv1.2 -Dweblogic.security.SSL.minimumProtocolVersion=TLSv1.2 -DproviderURL=t3s://server1.mycompany.com:14002 -Dweblogic.ssl.JSSEEnabled=true -Dweblogic.security.SSL.enableJSSE=true -Dweblogic.security.allowCryptoJDefaultJCEVerification=true -Dweblogic.security.SSL. enforceConstraints=off -Dweblogic.security.SSL.ignoreHostnameVerification=true -Dweblogic.StdoutDebugEnabled=true -Dssl.debug=true -Djavax.net.debug=ssl:handshake:verbose
スクリプトへの変更を保存します。
