| Oracle® Fusion Middleware WebGate for Oracle Access Managerのインストール 11g リリース1 (11.1.1.9.0) E48211-04 |
|
 前 |
| Oracle® Fusion Middleware WebGate for Oracle Access Managerのインストール 11g リリース1 (11.1.1.9.0) E48211-04 |
|
前 |
この章では、Oracle iPlanet 11g WebGate for Oracle Access Managerをインストールおよび構成する方法を説明します。WebGateの紹介およびWebGateのインストールの概要については、第1章を参照してください。
この章の構成は、次のとおりです。
この項では次のトピックについて説明します:
Oracle Fusion Middlewareのサポートされるシステム構成のドキュメントには、サポートされているインストール・タイプ、プラットフォーム、オペレーティング・システム、データベース、JDK、Oracle Identity and Access Management 11gリリース1 (11.1.1.9.0)に関連するサード・パーティ製品などの、Oracle Fusion Middlewareの動作保証情報が記載されています。
『Oracle Fusion Middleware Supported System Configurations』ドキュメントにアクセスするには、Oracle Technology Network (OTN) Webサイトで検索してください。
http://www.oracle.com/technetwork/middleware/ias/downloads/fusion-certification-100350.html
64ビットのJava Runtime Environment (JRE) 1.6以上をインストールしておく必要があります。
Oracle iPlanet Web Server 7.0.9をインストールしていない場合、そのインストーラをOracle Technology Network (OTN)からダウンロードできます。
http://www.oracle.com/technology/software/products/middleware/htdocs/fmw_11_download.html
インストールと構成の詳細は、Oracle iPlanet Web Server 7.0.9インストレーションおよび移行ガイドを参照してください。
Oracle Access Manager (OAM)のインストールについては、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』のOracle Identity and Access Management (11.1.1.7.0)のインストールおよび構成に関する項を参照してください。
新規または既存のWebLogic管理ドメインでのOracle Access Managerの構成については、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』のOracle Access Managerの構成に関する項を参照してください。
さらに、Oracle Fusion Middleware Oracle Access Manager管理者ガイドのOAM 11gサーバーとWebGate間の通信の保護に関する項を参照してください。
この章の内容は次のとおりです。
Oracle iPlanet 11g WebGateソフトウェアの入手の詳細は、Oracle Fusion Middlewareのダウンロード、インストールおよび構成のREADMEを参照してください。
インストール・ウィザードを起動するには、次の作業を実行します。
インストーラの内容を展開したディレクトリに移動します。
次の場所に移動します。
cd Disk1
次のコマンドを実行します。
./runInstaller
Oracle Universal Installer (OUI)によって求められたら、jreの場所を指定します。
インストーラが起動したら、「ようこそ」画面が表示されます。「Oracle iPlanet 11g WebGateのインストール・フローおよび手順」でOracle iPlanet 11g WebGate for Oracle Access Managerのインストールについて参照し、インストールを続行します。
Oracle iPlanet 11g WebGate for Oracle Access Managerをインストールするには、表4-1の手順に従います。
インストール画面に関して詳細な情報が必要な場合は、「ヘルプ」をクリックしてオンライン・ヘルプを参照してください。
表4-1 Oracle iPlanet WebGateのインストール・フロー
| 番号 | 画面 | 説明と必要なアクション |
|---|---|---|
|
1 |
「ようこそ」画面 |
「次へ」をクリックして続行します。 |
|
2 |
「前提条件のチェック」画面 |
「次へ」をクリックして続行します。 |
|
3 |
「インストール場所の指定」画面 |
MiddlewareホームおよびOracleホームの場所を指定します。 これらのディレクトリの詳細は、『Oracle Fusion Middlewareインストレーション・プランニング・ガイド』の「Oracle Fusion Middlewareの概念とディレクトリ構造の理解」を参照してください。 「次へ」をクリックして続行します。 |
|
4 |
「インストール・サマリー」画面 |
この画面の情報を確認します。 「インストール」をクリックしてインストールを開始します。 |
|
5 |
「インストールの進行状況」画面 |
「次へ」をクリックして続行します。 |
|
6 |
「インストール完了」画面 |
「終了」をクリックしてインストーラを終了します。 |
この章の内容は次のとおりです。
WebGate Oracleホーム・ディレクトリのdeployWebGateInstance.shツールを使用して、Oracle Traffic Directorインスタンスを作成します。
Oracle iPlanet WebGateインスタンスをデプロイするには、次の作業を実行します。
次のコマンドを実行して、WebGate_Oracle_Home/webgate/iplanet/tools/deployWebGateディレクトリに移動します。
cd WebGate_Oracle_Home/webgate/iplanet/tools/deployWebGate
次のコマンドを実行します。
./deployWebGateInstance -w WebGate_Instancedir -oh WebGate_Oracle_Home -ws ohs|iplanet|otd
各項目の意味は次のとおりです。
WebGate_Instancedirは、新規のWebGateインスタンスの作成先とするディレクトリです。
WebGate_Oracle_Homeは、iPlanet 11g WebGateのインストール時に指定したWebGateのOracleホーム・ディレクトリです。
WebサーバーはiPlanetです。
例:
./deployWebGateInstance.sh -w /home/wg_instance4iplanet/ -oh /home/Oracle_OAMWebGate1/ -ws iPlanet
環境変数LD_LIBRARY_PATHをWebGate_Oracle_Home/libに設定します。
例:
bash$ export LD_LIBRARY_PATH=/home/Oracle_OAMWebGate1/lib
EditObjConfツールを実行するには、次の操作を行います。
次のコマンドを実行して、WebGate_Oracle_Home/webgate/iplanet/tools/setup/InstallToolsディレクトリに移動します。
cd WebGate_Oracle_Home/webgate/iplanet/tools/setup/InstallTools
次のコマンドを実行します。
./EditObjConf -f path_to_webserver_config_file -w WebGate_Instance_Dir -oh WebGate_Oracle_Home -ws WebServer
各項目の意味は次のとおりです。
path_to_webserver_config_fileは、iPlanetインスタンスobj.confファイルのフルパスです。
WebGate_Instance_Dirは、新規のWebGateインスタンスの作成先となっているディレクトリです。
WebGate_Oracle_Homeは、Oracleホームのフルパスです。
WebServerはiPlanetです。
例:
cd /home/OAMWebGate1/webgate/iplanet/tools/setup/InstallTools/
./EditObjConf -f /home/instanceHome1/net-test_iplanet1/config/test_iplanet1-obj.conf -oh /home/Oracle_OAMWebGate1/ -w /home/Oracle_OAMWebGate1/wg_instance4iplanet/ -ws iplanet
Oracle iPlanet 11g WebGate for Oracle Access Managerをインストールしたら、installDATE-TIME_STAMP.outログ・ファイルを調べてインストールを検証できます。ログのデフォルトの場所は、次のファイルの中です。
WebGate_Home/oraInst.loc
新規のOracle Traffic Director 11g WebGate for Oracle Access Managerを使用するには、次のタスクを実行する必要があります。
Oracle Access Manager管理コンソールを使用すると、Oracle Access Managerに新規のiPlanet WebGateを登録できます。詳細は、Oracle Security Token Serviceを伴うOracle Fusion Middleware Oracle Access Manager管理者ガイドのコンソールを使用したパートナ(エージェントおよびアプリケーション)の登録に関する項を参照してください。
もしくは、RREGコマンドライン・ツールを使用して、新規WebGateエージェントを登録できます。このツールは、インバンドとアウトオブバンドという2つのモードで実行できます。
この章の内容は次のとおりです。
RREGツールを設定するには、次の手順を実行します。
Oracle Access Managerをインストールおよび構成した後、次のディレクトリに移動します。
Oracle_IDM2/oam/server/rreg/client
RREG.tar.gzファイルを解凍します。
例:
gunzip RREG.tar.gz
tar -xvf RREG.tar
エージェントを登録するためのツールは次の場所にあります。
RREG_Home/bin/oamreg.sh
|
注意: RREG_Homeは、RREG.tar.gz/rregの内容を展開したディレクトリです。 |
oamreg.shスクリプトの次の環境変数を設定します。
OAM_REG_HOME
この変数を、RREG.tar/rregの内容を展開したディレクトリへの絶対パスに設定します。
JDK_HOME
この変数を、JavaまたはJDKがインストールされているマシン上のディレクトリへの絶対パスに設定します。
RREG_Home/inputディレクトリ内にあるOAM11GRequest.xmlファイルで、agentNameなどのエージェント・パラメータを更新する必要があります。
|
注意: OAM11GRequest.xmlファイル、またはショート・バージョンOAM11GRequest_short.xmlは、テンプレートとして使用されます。このテンプレート・ファイルをコピーして使用できます。 |
OAM11GRequest.xmlファイルまたはOAM11GRequest_short.xmlファイル内の次の必須パラメータの値を変更します。
serverAddress
OAM管理サーバーのホストとポートを指定します。
agentName
エージェントのカスタム名を指定します。
agentBaseUrl
Oracle Traffic Director 11g WebGateがインストールされているマシンのホストとポートを指定します。
preferredHost
Oracle Traffic Director 11g WebGateがインストールされているマシンのホストとポートを指定します。
security
インストールされているWebGateに基づいて、openなどのセキュリティ・モードを指定します。
primaryServerList
Serverコンテナ要素の下にある、Oracle Access Managerプロキシに対する管理対象サーバーのホストとポートを指定します。
このファイルは、変更後に保存して閉じます。
OAM11GRequest.xmlファイルのWebGateパラメータを更新した後、RREGツールを一度実行すると、WebGateが必要とするファイルおよびアーティファクトは、次のディレクトリに生成されます。
RREG_Home/output/agent_name
|
注意: RREGは、クライアント・マシンとサーバーのいずれでも実行できます。サーバーで実行する場合、アーティファクトを元のクライアントに手動でコピーする必要があります。 |
次の手順を実行します。
OAM11GRequest.xmlファイルを開きます。このファイルは、RREG_Home/input/にあります。RREG_Homeは、RREG.tar.gz/rregの内容を展開したディレクトリです。このXMLファイルを編集し、新規Oracle Traffic Director WebGate for Oracle Access Managerのパラメータを指定します。
次のコマンドを実行します。
./RREG_Home/bin/oamreg.sh inband input/OAM11GRequest.xml
サーバーにアクセスできないエンド・ユーザーの場合、更新したOAM11GRequest.xmlファイルをシステム管理者に電子メールで送信し、アウトオブバンド・モードでRREGを実行してもらうことが可能です。生成されたAgentID_Response.xmlファイルをシステム管理者から受領し、このファイルに対してRREGを実行し、必要なWebGateファイルおよびアーティファクトを取得できます。
生成されたAgentID_Response.xmlファイルを管理者から受領した後、このファイルを手動でマシン上のinputディレクトリにコピーする必要があります。
次の手順を実行します。
サーバーにアクセスできないエンド・ユーザーの場合は、OAM11GRequest.xmlファイルを開きます。このファイルは、RREG_Home/input/ディレクトリにあります。
RREG_Homeは、RREG.tar.gz/rregの内容を展開したディレクトリです。このXMLファイルを編集し、新規Oracle iPlanet WebGate for Oracle Access Managerのパラメータを指定します。更新したファイルをシステム管理者に送信します。
管理者は、更新されたOAM11GRequest.xmlファイルをコピーします。このファイルは、RREG_Home/input/ディレクトリにあります。
これは、エンド・ユーザーから受信したファイルです。管理者のRREG_Homeディレクトリに移動し、次のコマンドを実行します。
./RREG_Home/bin/oamreg.sh outofband input/OAM11GRequest.xml
Agent_ID_Response.xmlファイルが管理者のマシンのoutputディレクトリ(RREG_Home/output/ディレクトリ)に生成されます。更新済のOAM11GRequest.xmlファイルを最初に管理者に送信したエンド・ユーザーに、このファイルを送信します。
エンド・ユーザーは、生成されたAgent_ID_Response.xmlファイルをコピーします。このファイルは、RREG_Home/input/ディレクトリにあります。
これは、管理者から受信したファイルです。クライアントのRREGホーム・ディレクトリに移動し、次のコマンドを実行します。
./RREG_Home/bin/oamreg.sh outofband input/Agent_ID_Response.xml
|
注意: Oracle Fusion Middleware Oracle Access Manager管理者ガイドのコンソールを使用したパートナ(エージェントおよびアプリケーション)の登録に関する項で説明されているように、Oracle Access Manager管理コンソールを使用してWebGateエージェントを登録すると、登録後に生成されたファイルおよびアーティファクトを、サーバー(Oracle Access Manager管理コンソールが実行されているマシン)からクライアントに手動でコピーする必要があります。ファイルおよびアーティファクトはMW_HOME/user_projects/domains/name_of_the_WebLogic_domain_for_OAM/output/Agent_IDディレクトリに生成されます。 |
新規WebGateエージェントの登録に使用する方法またはモードに関係なく、次のファイルおよびアーティファクトがRREG_Home/output/Agent IDディレクトリに生成されます。
cwallet.sso
ObAccessClient.xml
SIMPLEモードの場合、RREGによって次のものが生成されます。
password.xml。SSLで使用される秘密鍵を暗号化するための不明瞭化されたグローバル・パスフレーズが含まれます。このパスフレーズは、サーバーで使用されているパスフレーズと同じものを使用できます。
aaa_key.pem
aaa_cert.pem
CERTモードの場合、RREGによってpassword.xmlファイルが生成されます。これには、SSLで使用される秘密鍵を暗号化するための不明瞭化されたグローバル・パスフレーズが含まれます。このパスフレーズは、サーバーで使用されているパスフレーズと異なるものを使用できます。
|
注意: RREGによって生成されたこれらのファイルを使用して証明書リクエストを生成し、サードパーティの認証局に署名を求めることができます。既存の証明書をインストールするには、既存のaaa_cert.pemおよびaaa_chain.pemファイルをpassword.xmlおよびaaa_key.pemと合せて使用する必要があります。 |
RREGがこれらのファイルおよびアーティファクトを生成した後、使用しているセキュリティ・モードに基づき、手動で次のファイルをRREG_Home/output/Agent_IDディレクトリからWebGate_Instance_Homeディレクトリにコピーする必要があります。
使用しているセキュリティ・モードに従って、次の操作を行います。
OPENモードの場合、次のファイルをRREG_Home/output/Agent_IDディレクトリからWebGate_Instance_Home/webgate/configディレクトリにコピーします。
ObAccessClient.xml
cwallet.sso
SIMPLEモードの場合、次のファイルをRREG_Home/output/Agent_IDディレクトリからWebGate_Instance_Home/webgate/configディレクトリにコピーします。
ObAccessClient.xml
cwallet.sso
password.xml
さらに、次のファイルをRREG_Home/output/Agent_IDディレクトリからWebGate_Instance_Home/webgate/config/simpleディレクトリにコピーします。
aaa_key.pem
aaa_cert.pem
CERTモードの場合、次のファイルをRREG_Home/output/Agent_IDディレクトリからWebGate_Instance_Home/webgate/configディレクトリにコピーします。
ObAccessClient.xml
cwallet.sso
password.xml
ファイルをコピーした後、新規証明書を生成するか、既存の証明書を移行する必要があります。
新規証明書の生成
次の手順で、新規証明書を生成します。
WebGate_Home/webgate/iplanet/tools/opensslディレクトリに移動します。
次のようにして、証明書リクエストを作成します。
./openssl req -utf8 -new -nodes -config openssl_silent_ohs11g.cnf -keyout aaa_key.pem -out aaa_req.pem -rand WebGate_Home/webgate/iplanet/config/random-seed
次のようにして、証明書を自己署名します。
./openssl ca -config openssl_silent_ohs11g.cnf -policy policy_anything -batch -out aaa_cert.pem -infiles aaa_req.pem
次の生成された証明書をWebGate_Instance_Home/webgate/configディレクトリにコピーします。
aaa_key.pem
aaa_cert.pem
simpleCAディレクトリ内のcacert.pem
|
注意: cacert.pemファイルをコピーした後、ファイルの名前をaaa_chain.pemに変更する必要があります。 |
既存の証明書の移行
既存の証明書(aaa_key.pem、aaa_cert.pemおよびaaa_chain.pem)を移行する場合、aaa_key.pemを暗号化する際に使用したものと同じパスフレーズを使用してください。同じパスフレーズをRREG登録処理中に入力する必要があります。同じパスフレーズを使用しないと、RREGによって生成されたpassword.xmlファイルが、鍵の暗号化に使用されたパスフレーズと一致しません。
同じパスフレーズを入力したら、これらの証明書を次のようにコピーできます。
WebGate_Instance_Home/WebGate/configディレクトリに移動します。
次の証明書をWebGate_Instance_Home/webgate/configディレクトリにコピーします。
aaa_key.pem
aaa_cert.pem
aaa_chain.pem
Oracle iPlanetインスタンスを起動する場合はstartservコマンド、停止する場合はstopservコマンドを使用します。
サーバーを停止するには、次のコマンドを実行します。
/home/bin/stopserv
サーバーを起動するには、次のコマンドを実行します。
export LD_LIBRARY_PATH=/WebGate_Home/lib
/home/bin/startserv
Oracle iPlanetインスタンスを再起動するには、実行中のすべてのインスタンスを停止した後、startコマンドを実行します。
Oracle iPlanet 11g WebGates for Oracle Access Managerを削除するときは、この項で説明する手順に必ず従ってください。ソフトウェアを手動で削除しようとすると、後でソフトウェアを再インストールする際に問題が発生する場合があります。この項の手順に従うことで、ソフトウェアを正しく削除することができます。
WebGateエージェントをアンインストールするには、次を実行します:
MW_HOME/webgate_Home/oui/binディレクトリ(UNIXの場合)またはMW_HOME\Webgate_home\oui\bin (Windowsの場合)に移動します。
次のコマンドを実行します。
UNIXの場合: ./runInstaller -deinstall
Windowsの場合: setup.exe -deinstall -jreLoc JRE_LOCATION
JRE_LOCATIONへの絶対パスを指定します。相対パスはサポートされていません。
アンインストーラを起動すると、「ようこそ」画面が表示されます。第4.6.1項を参照してアンインストールを続行します。
表4-2の指示に従って、アンインストールを完了します。
アンインストール画面に関して詳細な情報が必要な場合は、「ヘルプ」をクリックしてオンライン・ヘルプを参照してください。
表4-2 アンインストールのフロー
| Sl. 番号 | 画面 | 説明 | 必要なアクション |
|---|---|---|---|
|
1. |
ようこそ |
アンインストーラが起動するたびに、「ようこそ」画面が表示されます。 |
「次へ」をクリックします。 |
|
2. |
Oracleホームのアンインストール |
「Oracleホームの削除」画面に、アンインストールするOracleホームが表示されます。 |
アンインストールするOracleホームを確認します。 「アンインストール」をクリックします。 「警告」画面で、アンインストーラによってソフトウェアの他にOracleホーム・ディレクトリも削除するかどうかを選択します。 アンインストーラでソフトウェアとOracleホームを削除する場合は「はい」、ソフトウェアのみを削除する場合は「いいえ」、前の画面に戻る場合は「取消」をクリックします。 「いいえ」を選択した場合、Oracleホーム・ディレクトリを手動で削除する手順は、第4.6.2項を参照してください。 |
|
3. |
アンインストールの進行状況 |
「削除の進捗」画面には、削除の進捗状況およびステータスが表示されます。 |
「削除完了」画面が表示されるまで待ちます。 |
|
4. |
アンインストール完了 |
アンインストールが完了すると、「削除完了」画面が表示されます。 |
終了」をクリックして画面を閉じます。 |
アンインストール中に警告画面で「いいえ」 を選択した場合は、Webgate_Homeディレクトリとすべてのサブディレクトリを手動で削除する必要があります。たとえば、Oracle WebGateホーム・ディレクトリが/home/Oracle/Middleware/Oracle_OAMWebGate1だった場合は、次のコマンドを実行します。
cd /home/Oracle/Middleware/
rm -rf Oracle_OAMWebGate1
Windowsで、Oracle共通ホーム・ディレクトリがC:\Oracle\Middleware\Oracle_OAMWebGate1の場合は、ファイル・マネージャ・ウィンドウを使用してC:\Oracle\Middlewareディレクトリに移動し、Oracle_OAMWebGate1フォルダを右クリックして「削除」を選択します。
Oracle iPlanet 11g WebGateをサイレント・モードで実行するには、次の手順を実行します。
WebGateフォルダの下のDisk1ディレクトリに移動します。
次のコマンドを実行します。
./runInstaller -silent -waitForCompletion -invPtrLoc /home/wg.customInventory ORACLE_HOME=/home/Oracle_OAMWebGate -jreloc /usr -response
