| Oracle® Fusion Middleware Oracle WebCenter Contentのインストールと構成 11gリリース1 (11.1.1) B65039-07 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle WebCenter Contentのインストールと構成 11gリリース1 (11.1.1) B65039-07 |
|
前 |
次 |
この章では、Oracle WebLogic ServerドメインでOracle WebCenter Contentアプリケーションを構成する方法について説明します。
この章では、次の項目について説明します。
Oracle Fusion Middleware 11g Oracle WebCenter Contentインストーラを正常に実行し、アプリケーション・スキーマを作成した後、次のOracle WebCenter Content製品をアプリケーションとしてデプロイして構成できます。
Oracle WebCenter Content (Oracle WebCenter Content Serverを含む)
Oracle WebCenter Content: Inbound Refinery
Oracle WebCenter Content: Imaging (Imagingビューア・キャッシュおよびAXF for BPELを含む)
Oracle WebCenter Content: AXF for BPM
Oracle WebCenter Enterprise Capture
Oracle Information Rights Management
Oracle WebCenter Content: Records
これらのアプリケーションを構成するには、Oracle WebLogic Serverドメインを作成または拡張する必要があり、この作業には、デプロイするアプリケーションごとに1つの管理対象サーバーと1つの管理サーバーを準備することが含まれます。この各サーバーは、Oracle WebLogic Serverインスタンスです。
|
注意:
|
ドメインを作成して、これらのアプリケーションを1つ以上含めることができます(アプリケーションごとに管理対象サーバーが1つ必要です)。あるいは、ドメインを作成して少なくとも1つのアプリケーション用の管理対象サーバーを含め、その後管理対象サーバーに他のアプリケーションを1つ以上含めてドメインを拡張できます。
|
注意:
|
Imagingで既存のドメイン内のビジネス・プロセス管理(BPM)およびOracle BPEL Process Managerを利用するには、Oracle BPM Suiteでドメインを拡張する必要があります。Oracle BPEL Process Managerを使用し、BPMを使用しない場合は、Oracle SOA Suiteでドメインを拡張できます。BPMまたはOracle BPEL Process Managerにワークフロー・サーバーとして接続する方法の詳細は、第6.1.4項「ワークフロー・サーバーへの接続」を参照してください。
|
注意: Imaging製品のデプロイメントは、ユーザー・インタフェースからのドキュメントの同時アップロードのステージングに、10GBまでのディスク領域を使用可能としています。このように上限が設けられているのは、悪意のあるサーバーからの攻撃を阻止するためです。 |
インストーラを正常に実行できなかった場合は、まず第2章「Oracle WebCenter Contentのインストール」を参照してください。
1つ以上のOracle WebCenter Contentアプリケーション用にドメインを作成するには、第3.2項「Oracle WebLogic Serverドメインの作成」の指示に従ってください。
1つ以上のOracle WebCenter Contentアプリケーション用に既存のドメインを拡張するには、第3.3項「既存のドメインの拡張」の指示に従ってください。
|
注意: 旧リリースのOracle Enterprise Content Management SuiteアプリケーションまたはOracle WebCenter Contentアプリケーションがあるドメインを拡張してOracle WebCenter Content 11.1.1.9.0を追加することはできません。 |
構成作業中に構成画面についての詳細情報を確認するには、指示に含まれる画面の名前をクリックして付録B「Oracle WebCenter Contentの構成画面」の該当する説明を参照するか、またはインストーラの画面の「ヘルプ」をクリックしてオンライン・ヘルプにアクセスしてください。
ドメインを作成または拡張した後、Oracle WebCenter Contentアプリケーションを管理するようにOracle Enterprise Manager Fusion Middleware Controlを構成できます。Fusion Middleware Controlは、ドメインが作成されるときに管理サーバーにデプロイされます。Fusion Middleware Controlを使用すると、さらに多くの構成タスクを実行できます。
IBM WebSphere Application ServerでOracle WebCenter Content用にFusion Middleware Controlを構成する方法の詳細は、サードパーティ・アプリケーション・サーバー・ガイドのOracle Enterprise Manager Fusion Middleware Controlの使用に関する項を参照してください。
Oracle Fusion Middleware構成ウィザードを使用して、Oracle WebCenter Content用にOracle WebLogic Serverドメインを作成できます。Oracle WebCenter Content用にドメインを作成するときは、スイートのアプリケーションを1つ以上構成します。
|
注意: AXF for BPMまたはAXF for BPELなどImagingとともにOracle SOA Suiteを使用する場合は、Oracle SOA Suiteを先にインストールして構成する必要があります。Oracle SOA Suiteのインストールと構成の詳細は、『Oracle Fusion Middleware Oracle SOA Suite and Oracle Business Process Management Suiteインストレーション・ガイド』を参照してください。Oracle SOA Suiteを使用してドメインを作成する場合は、第3.3項「既存のドメインの拡張」の説明に従って、Oracle WebCenter Contentを使用してドメインを拡張できます。 |
構成ウィザードは、次のディレクトリにあります。WCC_ORACLE_HOMEは、Oracle WebCenter ContentをインストールするWebCenter Content Oracleホーム・ディレクトリを表しています。WebCenter Content Oracleホームは、インストーラの「インストール場所の指定」画面の「Oracleホーム・ディレクトリ」フィールドで指定したものです(デフォルトはOracle_ECM1)。
UNIXパス: WCC_ORACLE_HOME/common/bin
Windowsパス: WCC_ORACLE_HOME\common\bin
構成セッションのログ・ファイルを作成するには、-logオプションを指定してFusion Middleware構成ウィザードを起動します。
UNIXスクリプト:
WCC_ORACLE_HOME/common/bin/config.sh -log=log_file_name
ログ・ファイルは、構成ウィザードを起動した場所に作成されます。
Windowsスクリプト:
WCC_ORACLE_HOME\common\bin\config.cmd -log=log_file_name
ログ・ファイルは、inventory_location\logs\installActions\logsディレクトリに作成されます。inventory_locationのデフォルト値は、次のとおりです。
%PROGRAMFILES%\Oracle\Inventory
表3-1に、ドメインを作成する手順の説明と、付録B「Oracle WebCenter Contentの構成画面」の該当する画面説明へのリンクを示します。
| 画面 | この画面が表示される タイミング |
説明および実行するアクション |
|---|---|---|
|
なし |
Fusion Middleware構成ウィザードを起動します。
|
|
|
ようこそ |
常時 |
「新しいWebLogicドメインの作成」を選択します。 「次へ」をクリックして続行します。 |
|
|
常時 |
「次の製品をサポートするために、自動的に構成されたドメインを生成する」を選択し、これらの製品テンプレートを1つ以上選択します。
|
|
WebCenter Contentの場合 Oracle Universal Content Management - Content Serverを選択します。 |
||
|
Imagingの場合 Oracle WebCenter Content: Imagingを選択するときは、Oracle Universal Content Management - Content Serverも選択する必要があります。 |
||
|
Imagingビューア・キャッシュの場合 Oracle WebCenter Content: Imagingを選択する場合は、Oracle WebCenter Content: Imaging Viewer Cacheも自動的に選択されています。 |
||
|
AXF for BPELの場合 AXF for BPELはImagingに含まれます。Oracle WebCenter Content: ImagingおよびOracle Universal Content Management - Content Serverを選択します。 |
||
|
AXF for BPMの場合 ImagingとともにAXF for BPMを使用する場合は、次の製品テンプレートを選択する必要があります(これらの一部は自動的に選択されます)。
|
||
|
異なるドメインまたはマシンのOracle SOA Suiteとともに使用するAXF for BPMまたはAXF for BPELの場合 ImagingとともにAXF for BPMまたはAXF for BPELを使用し、Oracle SOA Suiteが異なるドメインにデプロイされているか異なるマシンにインストールされている場合、Oracle SOA Suiteマシンで
|
||
|
Oracle WebCenter Enterprise Capture用: 次の製品テンプレートを選択します(これらのうちいくつかは自動的に選択されます):
|
||
|
Site Studio for External Applicationsの場合 Site Studio for External Applications Webサイトへのリモート・デプロイメントを実行する場合は、Oracle Universal Content Management - SSXA Server (Oracle WebCenter Content - SSXA Server)を選択し、Webサイトの実行に必要なファイルを含む管理対象サーバーが備えられたOracle WebLogic Serverドメインを作成できます。 |
||
|
Oracle WSM Policy Managerの場合 Oracle Web Services Manager (Oracle WSM) Policy Managerが含まれているドメインを作成するには、「Oracle WSM Policy Manager」を選択します。 |
||
|
Oracle Enterprise ManagerおよびOracle JRFの場合 「ドメイン・ソースの選択」画面でOracle WebCenter Contentアプリケーションを選択すると、Oracle Enterprise ManagerおよびOracle JRFが自動的に選択されます。これらの自動的に選択された項目の選択を解除すると、Oracle WebCenter Contentアプリケーションも選択が解除されます。 |
||
|
「次へ」をクリックして続行します。 |
||
|
ドメイン名と場所の指定 |
常時 |
作成するドメインの名前を「ドメイン名」フィールドに入力します。 ドメインのデフォルトの場所は次のとおりです(
異なる場所を「ドメインの場所」フィールドに指定することもできます。 注意: 後で管理サーバーを起動するときに必要となるため、この画面のドメイン名と場所を記録しておいてください。 Oracle WebCenter Contentアプリケーションの場所を「アプリケーションの場所」フィールドに指定できます。デフォルトの場所は、 「次へ」をクリックして続行します。 |
|
管理者ユーザー名およびパスワードの構成 |
常時 |
「名前」フィールドにはデフォルトのユーザー名 「ユーザー・パスワード」フィールドに、管理者ユーザーのパスワードを入力します。次に、再度「ユーザー・パスワードの確認」フィールドに入力します。 注意: 後で、管理対象サーバーを起動し、Oracle WebLogic Server管理コンソールまたはFusion Middleware Controlを介してドメインにアクセスするときに必要になるため、この画面の管理者ユーザー名とパスワードを記録しておいてください。 「次へ」をクリックして続行します。 |
|
サーバーの起動モードおよびJDKの構成 |
常時 |
「WebLogicドメインの起動モード」では、「開発モード」がデフォルト・モードです。本番システムでは、「本番モード」を選択してください。 「JDKの選択」では、「使用可能なJDK」およびデフォルトのJDKをそのまま使用することも、変更することもできます。開発モードのデフォルトJDKはSun SDKバージョンで、本番モードのデフォルトJDKはJRockit SDKバージョンです。ただし、64ビット・システムは例外で、デフォルトJDKは自分でインストールしたものとなります。異なるJDKを指定するには、「その他のJDK」を選択し、その場所を入力します。 「次へ」をクリックして続行します。 |
|
|
常時 |
スキーマのチェック・ボックスを選択し、次のフィールドを編集して、各コンポーネント・スキーマ(リポジトリ作成ユーティリティ(RCU)で作成された場合は、Oracle WSM MDSスキーマも含む)を構成します。
「次へ」をクリックして続行します。 |
|
コンポーネント・スキーマのテスト |
常時 |
構成ウィザードは、JDBCコンポーネント・スキーマへの接続を自動的にテストします。 テストが失敗した場合は、「前へ」をクリックしてコンポーネント・スキーマ情報を修正してから、「次へ」をクリックして接続を再テストします。 テストが正常に完了した後、「次へ」をクリックして続行します。 |
|
|
常時 |
オプションで、管理サーバーおよび管理対象サーバーを構成するための次のオプションのいずれかまたはすべてを選択します。
デフォルト設定を変更する場合は、これらのオプションを1つ以上選択します。たとえば、管理サーバーにSSLを構成したり、管理サーバーのポート番号を変更するには、「管理サーバー」を選択し、管理対象サーバーの名前またはポートを変更したり、それをクラスタに追加し、管理対象サーバー用のマシンを構成するには、「管理対象サーバー、クラスタ、およびマシン」を選択します。 Linux環境とWindows環境の管理対象サーバーが両方とも含まれているOracle WebCenter Enterprise Captureクラスタを構成する場合は、最後のオプションを除いて、すべてのオプションを選択します。 Oracle IRMの場合は、「管理サーバー」、「管理対象サーバー、クラスタ、およびマシン」、および「デプロイメントとサービス」を選択することをお薦めします。 注意: クラスタを使用するには、Oracle WebLogic Server Enterprise Editionのライセンスが必要です。 「次へ」をクリックして、選択したオプションに応じた構成画面に進みます。どのオプションも選択しなかった場合は、「構成のサマリー」設定画面に進みます。 |
|
管理サーバーの構成 |
「オプションの構成を選択」画面で「管理サーバー」を選択した場合 |
管理サーバーのデフォルトのリスニング・ポート番号は 管理サーバー用のSSLの構成を変更する場合は、「SSL有効」を選択します。「SSLリスニング・ポート」フィールドには、SSLポートがデフォルトで7002に設定されます。「SSL有効」を選択した場合は、SSLリスニング・ポート値を変更できます。 SSL構成の詳細は、第3.8項「Oracle WebCenter ContentアプリケーションのためのSSLの構成」を参照してください。 「次へ」をクリックして続行します。 |
|
|
「ドメイン・ソースの選択」画面でOracle WebCenter Content: Imagingを選択した場合 |
デフォルト(UDD)を受け入れて「次へ」をクリックします。「オーバーライドの警告」で、「OK」を選択します。 |
|
|
「オプションの構成を選択」画面で「管理対象サーバー、クラスタ、およびマシン」を選択した場合 |
各管理対象サーバーに対して、一意のリスニング・ポート番号が必要です。管理対象サーバーごとに、デフォルトのリスニング・ポート値を使用できます。セキュリティ強化のため、デフォルト以外のポート番号を指定することもできます。 表3-2に、Oracle WebCenter Contentアプリケーションを実行する管理対象サーバーのデフォルトのポート値を示します。 管理対象サーバー用のSSL構成を変更する場合は、「SSL有効」を選択し、「SSLリスニング・ポート」の値を設定または変更します。 混合Oracle WebCenter Enterprise Captureクラスタの場合は、2つの管理対象サーバー(Linux環境用とWindows環境用)を構成するときに、別個の「リスニング・アドレス」値と、同一の「リスニング・ポート」値を使用します。次に例を示します。 Name Listen address Listen port capture_lnx_server1 host-ip-address 16400 capture_win_server2 host-ip-address 16400 Oracle IRMの場合、SSLがデフォルトで有効になっており、ポート番号は 「次へ」をクリックして続行します。 |
|
|
「オプションの構成を選択」画面で「管理対象サーバー、クラスタ、およびマシン」を選択した場合 |
オプションで、クラスタを1つ以上構成します。たとえば、Linux環境の管理対象サーバーとWindows環境の管理対象サーバーをそれぞれ1つずつ含むOracle WebCenter Enterprise Captureクラスタの場合は、「クラスタのメッセージング・モード」値に 注意:
「次へ」をクリックして続行します。 |
|
|
「クラスタの構成」画面でクラスタを構成した場合 |
各クラスタにドメイン内の管理対象サーバーを2つ以上割り当てます。たとえば、混合Oracle WebCenter Enterprise Captureクラスタの場合は、Linux環境で実行するように構成された管理対象サーバー 「次へ」をクリックして続行します。 |
|
HTTPプロキシ・アプリケーションの作成 |
「クラスタの構成」画面でクラスタを構成し、ドメイン内の管理対象サーバーの全部ではなく一部をクラスタに割り当てた場合 |
ドメイン内の管理対象サーバーのうち、クラスタに割り当てなかったサーバーごとにプロキシ・アプリケーションを作成します。 「次へ」をクリックして続行します。 |
|
|
「オプションの構成を選択」画面で「管理対象サーバー、クラスタ、およびマシン」を選択した場合 |
オプションで、管理対象サーバーをホストするようにマシンを構成し、各マシンに管理対象サーバーを割り当てます。 「次へ」をクリックして続行します。 |
|
|
「マシンの構成」画面でマシンを追加した場合 |
各マシンに少なくとも1つのサーバーを割り当てます。 「次へ」をクリックして続行します。 |
|
|
「オプションの構成を選択」画面で「デプロイメントとサービス」を選択した場合 |
オプションで、各アプリケーションを管理サーバー、管理対象サーバーまたは管理対象サーバーのクラスタに割り当てます。 Oracle IRMでは Oracle IRMをクラスタにデプロイする場合は、Oracle IRMアプリケーションをすべてのノードにデプロイしてください。 「次へ」をクリックして続行します。 |
|
|
「オプションの構成を選択」画面で「デプロイメントとサービス」を選択した場合 |
オプションで、サービスのターゲットをサーバーまたはクラスタに指定する方法を変更します。 「次へ」をクリックして続行します。 |
|
RDBMSセキュリティ・ストア・データベースの構成 |
「オプションの構成を選択」画面で「RDBMSセキュリティ・ストア」を選択した場合 |
オプションで、RDBMSセキュリティ・ストアに変更を加えます。 「次へ」をクリックして続行します。 |
|
構成のサマリー |
常時 |
構成を確認し、画面の指示に従って、修正または更新を実行します。 各画面で「前へ」をクリックして、構成を変更する画面に戻ることができます。 構成に問題がなければ、「作成」をクリックしてドメインを作成します。 |
|
ドメインの作成中 |
常時 |
Windowsオペレーティング・システムでは、「管理サーバーの起動」を選択すると、構成が完了した直後に管理サーバーを起動できます。 ドメインが正常に作成されたら、「完了」をクリックします。 |
表3-2に、Oracle WebCenter Contentアプリケーションを実行する管理対象サーバーのデフォルトのポート値を示します。
| 管理対象サーバー | デフォルトのリスニング・ポート | デフォルトのSSLポート | ポート範囲 |
|---|---|---|---|
|
Imaging |
|
|
|
|
Oracle IRM |
|
|
|
|
WebCenter Content |
|
|
|
|
Inbound Refinery |
|
|
|
|
Records |
|
|
|
|
Oracle WebCenter Enterprise Capture |
|
|
|
次の操作が正常に完了している必要があります。
管理サーバーでのOracle WebLogic Serverドメインの作成
「ドメイン・ソースの選択」画面で選択した各アプリケーション用の管理対象サーバーの作成
各アプリケーションのそれぞれの管理対象サーバーへのデプロイメント
アプリケーションは、管理対象サーバーが起動するまでアクティブになりません。管理対象サーバーを起動する前に、この章とアプリケーションの構成に関する章で、残りの構成情報を確認してください。詳細は、第10.2項「管理対象サーバーの起動」を参照してください。
1つ以上のOracle WebCenter Contentアプリケーションを構成するように、既存のOracle WebLogic Serverドメインを拡張できます。次のディレクトリにFusion Middleware構成ウィザードがあります。
UNIXパス: WCC_ORACLE_HOME/common/bin
Windowsパス: WCC_ORACLE_HOME\common\bin
|
注意:
|
他のアプリケーションを同じドメインに含めるために、ドメインを拡張することもできます。たとえば、Oracle IRM管理対象サーバーを含めるために、Oracle WebCenter Contentドメインを拡張できます。または、Oracle SOA Suiteを含めるために、Imagingドメインを拡張できます。
|
注意: AIXプラットフォームで、Oracle SOA Suiteを含めるためにドメインを拡張する場合は、事前にsoa-ibm-addon.jarファイルがSOA_ORACLE_HOME/soa/modulesディレクトリにあることを確認する必要があります。ファイルがその場所にあることを確認し、次のエントリをSOA_ORACLE_HOME/bin/ant-sca-compile.xmlファイルの65行目に追加します。
<include name="soa-ibm-addon.jar"/> |
表3-3に、ドメインを拡張する手順の説明と、付録B「Oracle WebCenter Contentの構成画面」の該当する画面説明へのリンクを示します。
| 画面 | この画面が表示される タイミング |
説明および実行するアクション |
|---|---|---|
|
なし。 |
常時 |
Fusion Middleware構成ウィザードを起動します。
|
|
ようこそ |
常時 |
「既存のWebLogicドメインの拡張」を選択します。 「次へ」をクリックして続行します。 |
|
WebLogicドメイン・ディレクトリの選択 |
常時 |
アプリケーションまたはサービス、あるいはその両方を追加するためのディレクトリを選択します。 「次へ」をクリックして続行します。 |
|
|
常時 |
「次の追加製品をサポートするために、自動的にドメインを拡張する:」を選択し、これらの製品テンプレートを1つ以上選択します。
|
|
WebCenter Contentの場合 Oracle Universal Content Management - Content Serverを選択します。 |
||
|
Imagingの場合 Oracle WebCenter Content: Imagingを選択する場合、WebCenter Contentがドメインでまだ構成されていなければ、Oracle Universal Content Management - Content Serverも選択する必要があります。 |
||
|
Imagingビューア・キャッシュの場合 Oracle WebCenter Content: Imagingを選択する場合は、Oracle WebCenter Content: Imaging Viewer Cacheも自動的に選択されています。 |
||
|
AXF for BPELの場合 AXF for BPELはImagingに含まれます。Oracle WebCenter Content: ImagingおよびOracle Universal Content Management - Content Serverを選択します。 |
||
|
AXF for BPMの場合 ImagingとともにAXF for BPMを使用する場合は、次の製品テンプレートを選択する必要があります(これらの一部は自動的に選択されます)。
|
||
|
異なるドメインまたはマシンのOracle SOA Suiteとともに使用するAXF for BPMまたはAXF for BPELの場合 ImagingとともにAXF for BPMまたはAXF for BPELを使用し、Oracle SOA Suiteが異なるドメインにデプロイされているか異なるマシンにインストールされている場合、Oracle SOA Suiteマシンで
|
||
|
Oracle WebCenter Enterprise Capture用: 次の製品テンプレートを選択します(これらのうちいくつかは自動的に選択されます):
|
||
|
Site Studio for External Applicationsの場合 Site Studio for External Applications Webサイトへのリモート・デプロイメントを実行する場合は、Oracle Universal Content Management - SSXA Server (Oracle WebCenter Content - SSXA Server)を選択し、Webサイトの実行に必要なファイルを含む管理対象サーバーが備えられたOracle WebLogic Serverドメインを拡張できます。 |
||
|
Oracle WSM Policy Managerの場合 Oracle Web Services Manager (Oracle WSM) Policy Managerが含まれているドメインを拡張するには、「Oracle WSM Policy Manager」を選択します。 |
||
|
Oracle Enterprise ManagerおよびOracle JRF Oracle WebCenter Contentを選択すると、Oracle Enterprise ManagerおよびOracle JRFが自動的に選択されます。これらの自動的に選択された項目の選択を解除すると、Oracle WebCenter Contentアプリケーションも選択が解除されます。 |
||
|
「次へ」をクリックして続行します。 |
||
|
|
常時 |
次のフィールドを編集して、各コンポーネント・スキーマ(リポジトリ作成ユーティリティ(RCU)で作成された場合は、Oracle WSM MDSスキーマも含む)を構成します。
|
「次へ」をクリックして続行します。 |
||
|
コンポーネント・スキーマのテスト |
常時 |
構成ウィザードは、JDBCコンポーネント・スキーマへの接続を自動的にテストします。 テストが失敗した場合は、「前へ」をクリックしてコンポーネント・スキーマ情報を修正してから、「次へ」をクリックして接続を再テストします。 テストが正常に完了した後、「次へ」をクリックして続行します。 |
|
|
常時 |
オプションで、管理対象サーバーを構成するための次のオプションのいずれかまたはすべてを選択します。
デフォルト設定を変更する場合は、これらのオプションを1つ以上選択します。たとえば、管理サーバーにSSLを構成したり、管理サーバーのポート番号を変更するには、「管理サーバー」を選択し、管理対象サーバーの名前またはポートを変更したり、それをクラスタに追加し、管理対象サーバー用のマシンを構成するには、「管理対象サーバー、クラスタ、およびマシン」を選択します。 注意: クラスタを使用するには、Oracle WebLogic Server Enterprise Editionのライセンスが必要です。 Oracle IRMの場合は、「管理サーバー」、「管理対象サーバー、クラスタ、およびマシン」、および「デプロイメントとサービス」を選択することをお薦めします。 すでにWebCenter ContentとImagingが含まれているドメインを拡張し、ImagingリポジトリとしてWebCenter Content 11gを使用する場合には、Imaging管理対象サーバーを実行する別のマシンを構成できるように、「管理対象サーバー、クラスタ、およびマシン」を選択します。 「次へ」をクリックして、選択したオプションに応じた構成画面に進みます。どのオプションも選択しなかった場合は、「構成のサマリー」設定画面に進みます。 |
|
|
「拡張ソースの選択」画面でOracle WebCenter Content: Imagingを選択した場合 |
デフォルト(UDD)を受け入れて「次へ」をクリックします。「オーバーライドの警告」で、「OK」を選択します。 |
|
|
「オプションの構成を選択」画面で「管理対象サーバー、クラスタ、およびマシン」を選択した場合 |
各管理対象サーバーに対して、一意のリスニング・ポート番号が必要です。管理対象サーバーごとに、デフォルトのリスニング・ポート値を使用することも、セキュリティ強化のためデフォルト以外のポート番号を指定することもできます。 表3-2に、Oracle WebCenter Contentアプリケーションを実行する管理対象サーバーのデフォルトのポート値を示します。 管理対象サーバー用のSSL構成を変更するには、「SSL有効」を選択し、「SSLリスニング・ポート」の値を設定または変更します。 Oracle IRMの場合、SSLがデフォルトで有効になっており、ポート番号は 「次へ」をクリックして続行します。 |
|
|
「オプションの構成を選択」画面で「管理対象サーバー、クラスタ、およびマシン」を選択した場合 |
オプションで、クラスタ構成を変更します。 注意:
「次へ」をクリックして続行します。 |
|
|
「クラスタの構成」画面でクラスタを構成した場合 |
各クラスタにドメイン内の管理対象サーバーを2つ以上割り当てます。 「次へ」をクリックして続行します。 |
|
HTTPプロキシ・アプリケーションの作成 |
「クラスタの構成」画面でクラスタを構成し、ドメイン内の管理対象サーバーの全部ではなく一部をクラスタに割り当てた場合 |
ドメイン内の管理対象サーバーのうち、クラスタに割り当てなかったサーバーごとにプロキシ・アプリケーションを作成します。 「次へ」をクリックして続行します。 |
|
|
「オプションの構成を選択」画面で「管理対象サーバー、クラスタ、およびマシン」を選択した場合 |
オプションで、管理対象サーバーをホストするようにマシンを構成し、各マシンに管理対象サーバーを割り当てます。 すでにWebCenter ContentとImagingが含まれているドメインを拡張し、ImagingリポジトリとしてWebCenter Content 11gを使用する場合には、別のマシンを構成し、それにImaging管理対象サーバーを割り当てます。 「次へ」をクリックして続行します。 |
|
|
「マシンの構成」画面でマシンを追加した場合 |
各マシンに少なくとも1つのサーバーを割り当てます。 「次へ」をクリックして続行します。 |
|
|
「オプションの構成を選択」画面で「管理対象サーバー、クラスタ、およびマシン」を選択した場合 |
オプションで、各アプリケーションを管理サーバー、管理対象サーバーまたは管理対象サーバーのクラスタに割り当てます。 Oracle IRMでは Oracle IRMアプリケーションがクラスタ内のどのサーバーにもデプロイされていないことを確認します。 「次へ」をクリックして続行します。 |
|
|
「オプションの構成を選択」で「デプロイメントとサービス」を選択した場合 |
オプションで、サービスのターゲットをサーバーまたはクラスタに指定する方法を変更します。 「次へ」をクリックして続行します。 |
|
構成のサマリー |
常時 |
構成に問題がなければ、「拡張」をクリックしてドメインを拡張します。 |
|
ドメインの拡張中 |
常時 |
Windowsオペレーティング・システムでは、「管理サーバーの起動」を選択すると、構成が完了した直後に管理サーバーを起動できます。 ドメインが正常に拡張されたら、「完了」をクリックします。 |
次の操作が正常に完了している必要があります。
ドメイン・ソースの拡張画面で選択したアプリケーションを1つ以上含めるための既存のOracle WebLogic Serverドメインの拡張
選択した各アプリケーション用の管理対象サーバーの作成
各アプリケーションのそれぞれの管理対象サーバーへのデプロイメント
アプリケーションは、管理対象サーバーが起動するまでアクティブになりません。管理対象サーバーを起動する前に、この章とアプリケーションの構成に関する章で、残りの構成情報を確認してください。詳細は、第10.2項「管理対象サーバーの起動」を参照してください。
Oracle WebLogic ServerドメインがSSLポート経由でデータベースに接続する場合は、Oracle Fusion Middleware構成ウィザードを実行してドメインを拡張する前に、データ・ソースおよびSSLパラメータをバックアップし、データ・ソースからSSL構成を削除する必要があります。ドメインを正常に拡張した後、SSL構成をデータ・ソースにリストアできます。
Fusion Middleware構成ウィザードを使用してSSL環境のドメインを拡張するには、次の手順を実行します。
Oracle WebLogic Server管理コンソールで、データ・ソースを選択し、すべてのSSLパラメータのバックアップを保存します。
URL、javax.net.ssl.trustStorePassword、javax.net.ssl.trustStore、javax.net.ssl.trustStoreType、およびデータ・ソース用に構成したそれ以外のSSLパラメータをバックアップします。
データ・ソースのSSL構成を一時的に非SSL構成に置き換えます。
非SSL URLを使用し、すべてのSSLプロパティを削除します。最終的な設定は次のようになります。
URL:
: jdbc:oracle:thin:@myhost.example.com:1521:db11107
プロパティ:
user=MAR20SSL_OCS
oracle.net.CONNECT_TIMEOUT=10000
sendStreamAsBlob=true
Fusion Middleware構成ウィザードを使用して、表3-3の説明に従ってドメインを拡張します。
ドメインを正常に拡張した後、SSL構成をデータ・ソースにリストアします。最終的な設定は次のようになります。
URL:
jdbc:oracle:thin:@(DESCRIPTION=(ADDRESS_LIST=(ADDRESS=(PROTOCOL=TCPS)(HOST=myhost.example.com)(PORT=2490)))(CONNECT_DATA=(SERVICE_NAME=db11107.example.com))(SECURITY=(SSL_SERVER_CERT_DN="CN=myhost.example.com,OU=QA,O=ECM,L=RedwoodShores,ST=California,C=US")))
プロパティ:
javax.net.ssl.trustStorePassword=DemoTrustKeyStorePassPhrase
user=MAR20SSL_OCS
javax.net.ssl.trustStore=/mw_home/wlserver_10.3/server/lib/DemoTrust.jks
oracle.net.CONNECT_TIMEOUT=10000
javax.net.ssl.trustStoreType=JKS
javax.net.ssl.trustStoreType=JKS
sendStreamAsBlob=true
手順3の実行中、独自のデータ・ソースを作成する新製品でドメインを更新した場合は、そのデータ・ソースにもSSL構成を追加することが必要になる場合があります。
管理対象サーバーが稼働するJava仮想マシン(VM)に割り当てられているヒープ・サイズを1GB (1024MB)以上に増やす必要があります。Java VMヒープ・サイズを増やさないと、実行時の問題、特に、メモリー不足の問題が深刻化しても、Oracleサポートおよび開発では対応できなくなります。
Windowsオペレーティング・システムでSun JDKを使用している管理対象サーバーの場合、すべての空き領域を使用するよう構成されたプログラムが初期化の際に失敗しないよう、Java VMに割り当てられているヒープ・サイズを1GBではなく512MBに設定する必要があります。アドレス空間はPermanentオブジェクト用に確保する必要があり、各管理対象サーバーのMaxPermSize設定により、残りのヒープが使用できる領域が削減されます。
管理対象サーバーのランタイム・メモリー・パラメータを調整するために一般的に使用される方法が2つあります。
管理コンソールによる管理対象サーバーのサーバー起動パラメータの設定
この方法は、ノード・マネージャから管理対象サーバー・プロセスを実行する場合に必要です。ノード・マネージャから管理対象サーバーを実行する方法の詳細は、第10.4項「Oracle WebCenter Contentでのノード・マネージャの使用」を参照してください。
管理対象サーバー・プロセスがコマンドラインから直接実行される場合、この方法を使用する必要があります。コマンド・ラインから管理対象サーバーを実行する方法の詳細は、第10.2項「管理対象サーバーの起動」を参照してください。
Oracle WebLogic Server管理コンソールを使用して、サーバー起動パラメータを設定できます。起動パラメータを設定する場合は、このアプローチが適しています。これは、パラメータが各サーバーに正しくプッシュされ、サーバー起動スクリプトを手動で編集した場合に発生する可能性がある問題を回避できるためです。Java VMヒープ・サイズを増やすには、-Xmxパラメータの値を設定します。
管理コンソールを使用して管理対象サーバーのサーバー起動パラメータを設定するには、次の手順を実行します。
第10.1項「管理サーバーの起動」の説明に従って、Oracle WebLogic Serverドメインの管理サーバーを起動します。
次のURLでOracle WebLogic Server管理コンソールにログインします。
http://adminServerHost:adminServerPort/console
adminServerHostに、ドメインの管理サーバーをホストするコンピュータの名前を指定します。adminServerPortに、管理サーバーをリスニングするポート番号を指定します。デフォルトのポート番号は7001です。次に例を示します。
http://myhost.example.com:7001/console
ログインするには、構成ウィザードの「管理者ユーザー名およびパスワードの構成」画面で指定したユーザー名およびパスワードを入力します。
左側のドメイン構造で「環境」をクリックします。
「環境のサマリー」ページで「サーバー」をクリックします。
各管理対象サーバーのメモリー・パラメータを設定します。
「サーバー」表で管理対象サーバーの名前をクリックします。
「構成」タブで、2行目に並ぶタブのうち「サーバーの起動」をクリックします。
「引数」ボックスに、メモリー・パラメータを指定する文字列を貼り付けます。
表3-4に、UNIXオペレーティング・システムおよびWindowsオペレーティング・システムでSun JDKおよびOracle JRockit Java VM用に指定するパラメータを示します。その他のJava VMでは、値が異なる場合があります。
| Java VM | オペレーティング・システム | パラメータ |
|---|---|---|
|
Sun JDK |
UNIX |
|
|
Sun JDK |
Windows |
|
|
Oracle JRockit |
UNIX |
|
|
Oracle JRockit |
Windows |
|
脚注 1 Windowsシステムでのヒープ・サイズに関する前述の情報を参照してください。
構成の変更を保存します。
第10.3項「管理対象サーバーの再起動」の説明に従って、実行中の管理対象サーバーを再起動します。
管理対象サーバーのサーバー起動パラメータを設定するには、起動スクリプトまたはコマンド・ファイルにUSER_MEM_ARGS環境変数を設定します。Java VMヒープ・サイズを増やすには、-Xmxパラメータの値を設定します。
管理対象サーバーのUSER_MEM_ARGS環境変数を設定するには、次の手順を実行します。
UNIXシェル・スクリプト(.sh)エントリ
export USER_MEM_ARGS="-Xms256m -Xmx1024m -XX:CompileThreshold=8000 -XX:PermSize=128m -XX:MaxPermSize=512m"
UNIX Cシェル・スクリプト(.csh)エントリ
setenv USER_MEM_ARGS "-Xms256m -Xmx1024m -XX:CompileThreshold=8000 -XX:PermSize=128m -XX:MaxPermSize=512m"
Windowsコマンド・ファイル(.cmd)エントリ
set USER_MEM_ARGS="-Xms256m -Xmx1024m -XX:CompileThreshold=8000 -XX:PermSize=128m -XX:MaxPermSize=512m"
|
注意: 表3-4に、UNIXオペレーティング・システムおよびWindowsオペレーティング・システムでSun JDKおよびOracle JRockit Java VM用に指定するパラメータを示します。その他のJava VMでは、値が異なる場合があります。 |
UNIXオペレーティング・システムでは、Imaging、Inbound RefineryおよびWebCenter Content Dynamic Converter用にTrueTypeフォントが設定されていることを確認する必要があります。英語以外の言語を使用している場合は、各国語サポート用のフォントも設定する必要があります。
ImagingおよびWebCenter Content Dynamic ConverterがUNIXオペレーティング・システムで最適に動作するためには、Imaging、Inbound RefineryまたはDynamic Converterが稼働するマシンにTrueTypeフォントを設定します。それらのフォントがシステムにない場合は、インストールする必要があります。JREでは、Inbound RefineryおよびContent ServerのデフォルトのフォントはTrueTypeフォントに設定されています(JAVA_HOME/lib/fonts)。フォントのインストール後にImagingのフォント・ディレクトリへのパスを構成する方法の詳細は、第6.1.5項「UNIXシステム用のGDFontPath MBeanの構成」を参照してください。
各種UNIXプラットフォームの標準フォントの場所は、次のとおりです。
Solaris SPARC: /usr/openwin/lib/X11/fonts/TrueType
Solaris X64: /usr/openwin/lib/X11/fonts/TrueType
AIX: /usr/lpp/X11/lib/X11/fonts/TrueType
HP-UX Itanium: /usr/lib/X11/fonts/TrueType
HP-UX PARISC64: /usr/lib/X11/fonts/TrueType
Linux: /usr/lib/X11/fonts/TrueType
Inbound Refineryでフォント・ディレクトリへのパスを設定する手順は、次のとおりです。
Inbound Refineryにログインします。
「変換設定」、「サードパーティ・アプリケーションの設定」、「標準のOutsideInフィルタ・オプション」の順に選択します。
「オプション」をクリックします。
フォントへのパス・フィールドにTrueTypeフォントへのパスを入力します。
次に例を示します。
/usr/share/x11/fonts/FTP
「更新」をクリックします。
英語以外の言語の場合、管理対象サーバーを起動する前に、UNIXオペレーティング・システムで次のインストール手順を実行する必要があります。
ミドルウェア・ホームのSun JDKインストール・ディレクトリでMW_HOME/oracle_common/jdk/jre/lib/fontsを/jre/lib/fontsディレクトリにコピーします。
ミドルウェア・ホームのOracle JRockit JDKディレクトリでMW_HOME/oracle_common/jdk/jre/lib/fontsを/jre/lib/fontsディレクトリにコピーします。
クライアント用のWebCenter Content、Inbound Refinery、ImagingおよびImaging Advanced Viewerは、Oracle Outside In Technologyを使用するため、Oracle WebCenter Contentに含まれない特定のライブラリが必要です。WebCenter Content、Inbound RefineryまたはImaging管理対象サーバーを起動する前に、プラットフォームに合せたライブラリをインストールする必要があります。UNIXプラットフォームの場合、管理対象サーバーを起動するユーザー用にライブラリ・パスでライブラリを参照する環境変数を設定する必要もあります。
|
注意: Outside In Technologyのバイナリは32ビットです。したがって、システムで32ビットのバイナリの実行が可能で、インストール済のライブラリとの互換性を確保する必要があります。 |
WebCenter Content、Inbound RefineryまたはImaging管理対象サーバーを起動する前に、プラットフォームで必要なライブラリがシステム上に存在している必要があります。
通常、C、math、X11、ダイナミック・ローダー、pthreadsなど必要なライブラリの多くは、同じマシンにインストールされます。
Solaris SPARC 32ビットまたは64ビット
/usr/platform/SUNW,Ultra-60/lib/libc_psr.so.1 libICE.so.6 libSM.so.6 libX11.so.4 libXext.so.0 libXm.so.4 libXt.so.4 libc.so.1 libdl.so.1 libgen.so.1 libm.so.1 libmp.so.2 libnsl.so.1 libpthread.so.1 libsocket.so.1 libthread.so.1
HPUX ia64
libCsup.so.1 libICE.so.1 libSM.so.1 libX11.so.1 libXext.so.1 libXm.so.1 libXp.so.1 libXt.so.1 libc.so.1 libdl.so.1 libm.so.1 libpthread.so.1 libstd_v2.so.1 libuca.so.1 libunwind.so.1
AIX 32ビット
/usr/lib/libC.a(ansi_32.o) /usr/lib/libC.a(shr.o) /usr/lib/libC.a(shr2.o) /usr/lib/libC.a(shr3.o) /usr/lib/libICE.a(shr.o) /usr/lib/libIM.a(shr.o) /usr/lib/libSM.a(shr.o) /usr/lib/libX11.a(shr4.o) /usr/lib/libXext.a(shr.o) /usr/lib/libXi.a(shr.o) /usr/lib/libXm.a(shr_32.o) /usr/lib/libXt.a(shr4.o) /usr/lib/libc.a(shr.o) /usr/lib/libcrypt.a(shr.o) /usr/lib/libgaimisc.a(shr.o) /usr/lib/libgair4.a(shr.o) /usr/lib/libi18n.a(shr.o) /usr/lib/libiconv.a(shr4.o) /usr/lib/libodm.a(shr.o) /usr/lib/libpthreads.a(shr.o) /usr/lib/libpthreads.a(shr_comm.o) /usr/lib/libpthreads.a(shr_xpg5.o) /usr/lib/libpthreads_compat.a(shr.o)
HPUX PA/RISC 32ビット
/lib/libCsup.2 /lib/libCsup_v2.2 /lib/libX11.3 /lib/libXm.4 /lib/libXt.3 /lib/libc.2 /lib/libcl.2 /lib/libm.2 /lib/libstd.2 /lib/libstd_v2.2 /lib/libstream.2 /usr/lib/libCsup.2 /usr/lib/libCsup_v2.2 /usr/lib/libX11.3 /usr/lib/libXm.4 /usr/lib/libXt.3 /usr/lib/libc.2 /usr/lib/libcl.2 /usr/lib/libdld.2 /usr/lib/libisamstub.1 /usr/lib/libm.2 /usr/lib/libstd.2 /usr/lib/libstd_v2.2 /usr/lib/libstream.2 /view/x_r6hp700_1111/vobs/swdev/pvt/r6hp700_1111/X11R6/lib/libICE.2 /view/x_r6hp700_1111/vobs/swdev/pvt/r6hp700_1111/X11R6/lib/libSM.2 /view/x_r6hp700_1111/vobs/swdev/pvt/r6hp700_1111/X11R6/lib/libX11.3 /view/x_r6hp700_1111/vobs/swdev/pvt/r6hp700_1111/X11R6/lib/libXext.3 /view/x_r6hp700_1111/vobs/swdev/pvt/r6hp700_1111/X11R6/lib/libXp.2 /view/x_r6hp700_1111/vobs/swdev/pvt/r6hp700_1111/X11R6/lib/libXt.3
SUSE Linux
SUSE Linuxオペレーティング・システムの場合、/usr/lib/libstdc++.so.5ファイルが必要です。このファイルは、compat-libstdc++パッケージまたはlibstdc++33パッケージにあります。
Linuxバリアント
Linuxバリアントの場合は、/lib/libz.so.1ファイルが必要です。
Inbound RefineryまたはWebCenter Content Dynamic ConverterでOutside In Technologyを使用してドキュメント変換およびイメージ変換を実施する場合は、指定したUNIXプラットフォームでWebCenter Content管理対象サーバーに対して次の環境変数を設定しておく必要があります。
Imagingのライブラリ・バスの環境変数
次の行を、Inbound Refineryのintradoc.cfgファイルに追加します。
DomainHome/ucm/ibr/bin
ContentAccessExtraLibDir=/usr/local/packages/gcc-3.4.2/lib
その後、第10.3項「管理対象サーバーの再起動」を参照してInbound Refineryを再起動します。
AIX:
LIBPATH=DomainHome/oracle/imaging/imaging-server
HP-UX Itanium:
LD_LIBRARY_PATH=DomainHome/oracle/imaging/imaging-server:"$LD_LIBRARY_PATH"
DISPLAY環境変数
XWindowsを実行しているUNIXオペレーティング・システムの場合、適切なグラフィック能力を持つシステムにディスプレイをリダイレクトする際、ImagingまたはInbound Refinery管理対象サーバーまたはWebCenter Content Dynamic Converterを起動する前に、DISPLAYを有効なX Serverにエクスポートします。
Windowsオペレーティング・システム上のWebCenter Content、Inbound RefineryまたはRecords上の適切な動作のために、Visual C++再頒布可能パッケージに含まれているVisual C++ライブラリが必要です。このパッケージの様々なバージョンを、次のMicrosoftダウンロード・センターから入手できます。
http://www.microsoft.com/downloads
使用しているWindowsオペレーティング・システムのバージョンに対応するパッケージのバージョンを検索し、ダウンロードしてください。
vcredist_x86.exe
vcredist_x64.exe
この各ダウンロードで必要なバージョンは、Microsoft Visual C++ 2005 SP1再頒布可能パッケージおよびMicrosoft Visual C++ 2008 SP1再頒布可能パッケージです。必要な再頒布可能モジュールは、msvcr80.dllです。
|
注意:
|
Windows x64オペレーティング・システム上のInbound Refinery構成には、Visual Studio 2005ランタイム・サポート(KB973544のvcredist_x64.exe)が必要です。また、Windows x64オペレーティング・システムにInbound Refineryがインストールされている場合、32ビットおよび64ビット両方のC++ライブラリが必要です。Content Serverも32ビットOutside In Technologyを使用するため、32ビット・ライブラリが必要です。
WinNativeConverterにはvb.Netコードが含まれているため、Microsoft .NET Framework 3.5 Service Pack 1も必要です。
本番環境または開発環境で動作するOracle WebCenter Contentアプリケーション用にシングル・サインオンSSLを構成できます。
|
注意: SSLが有効になっている場合は、WLSTを使用して管理サーバーに接続する前に、次のパラメータをwlst.shファイルのJVM_ARGSセクションに付加するか、またはCONFIG_JVM_ARGS環境変数に設定する必要があります。
-Dweblogic.security.SSL.ignoreHostnameVerification=true
-Dweblogic.security.TrustKeyStore=KeyStoreName
|
Oracle IRMでは、フロントエンド・アプリケーションでSSLを有効にする必要があります。そのアプリケーションが、Oracle HTTP Server (OHS)であるか、Oracle WebLogic ServerにデプロイされたアプリケーションとしてOracle IRMを実行する管理対象サーバーであるかに関係なく必要です。Oracle IRM DesktopとOracle IRMサーバー・アプリケーション間の通信は、パスワードなど機密性が高い情報がやり取りされるため、SSL経由である必要があります。
これ以外の通信、たとえば、OHSと管理対象サーバー、管理サーバー、LDAP認証プロバイダとの間などにSSLを使用するかどうかはオプションです。
本番環境に対するSSLの構成の詳細は、『管理者ガイド』のOracle Fusion MiddlewareでのSSL構成に関する項を参照してください。
開発環境の場合、サーバー固有の証明書を使用して、一方向SSLを構成することもできます。一方向SSLとは、サーバー証明書がサーバーからクライアントに渡されるのみで、逆はないという意味です。サーバーで開発環境用に一方向SSLを構成した後、サーバー証明書を受け入れるように各クライアントを構成する必要があります。
開発環境でも、SSLを構成できますが、必須ではありません。SSLを構成しなくてもアプリケーションは正しく機能しますが、Basic認証またはフォームベース認証を使用した場合、資格証明が暗号化されずにクライアントからサーバーに転送されます。
サーバー証明書を使用して管理対象サーバー用に一方向SSLを構成し、クライアント・アプリケーションでその証明書を信頼するように構成できます。
次の手順においては、keystoreコマンドはSSLにのみ関連し、Oracle IRM暗号化鍵には関連しません。
開発環境用に一方向SSLを構成するには、次の手順を実行します。
setWLSEnvスクリプトを実行して、環境を設定します。
UNIXのスクリプト: MW_HOME /wlserver_10.3/server/bin/setWLSEnv.sh
Windowsスクリプト:
MW_HOME\wlserver_10.3\server\bin\setWLSEnv.cmd
JavaおよびOracle WebLogic Serverツールを機能させるには、MW_HOME/wlserver_10.3/server/libディレクトリまたはMW_HOME\wlserver_10.3\server\libディレクトリにweblogic.jarファイルが存在する必要があります。
CertGenユーティリティを使用して、サーバー固有の秘密鍵と証明書を作成します。次のように(単一のコマンド・ラインに)指定してください。
java utils.CertGen -selfsigned
-certfile MyOwnSelfCA.cer
-keyfile MyOwnSelfKey.key
-keyfilepass mykeypass
-cn "hostname"
-keyusagecritical false
-keyusage digitalSignature,keyEncipherment,keyCertSign
最後の2行は、純粋に証明書として使用するためには必要ありませんが、SSL経由でOracle Web Servicesを使用するJavaアプリケーションにも証明書を使用する場合には必要となります。
mykeypassには鍵のパスワードを代入し、hostnameにはアプリケーションがデプロイされている管理対象サーバーをホストするマシンの名前を代入します。Oracle Web Servicesにアクセスしている間は、同じマシン名を使用してください。
たとえば、myhost.us.example.comという名前でマシンのサーバー証明書を生成するには、コマンドを次のように(単一のコマンド・ラインに)指定します。
java utils.CertGen -selfsigned
-certfile MyOwnSelfCA.cer
-keyfile MyOwnSelfKey.key
-keyfilepass mykeypass
-cn "myhost.us.example.com"
-keyusagecritical false
-keyusage digitalSignature,keyEncipherment,keyCertSign
このコマンドにより、マシンのサーバー証明書がmyhost.us.example.comという名前で生成されます。
パラメータ-cn "machine-name"は、アプリケーションがデプロイされる管理対象サーバーの完全修飾名に設定する必要があります。Oracle IRMは、この名前を使用してマシンに接続します。指定したマシン名に証明書が発行されたことを確認します。
CertGenは、一意の秘密鍵と自己署名付きのルート証明書を作成します。
ImportPrivateKeyユーティリティを使用して、秘密鍵および自己署名付きルート証明書を、次のようにしてキー・ストアにパッケージ化します(1行のコマンドラインを使用します)。
java utils.ImportPrivateKey
-keystore MyOwnIdentityStore.jks
-storepass identitypass
-keypass keypassword
-alias trustself
-certfile MyOwnSelfCA.cer.pem
-keyfile MyOwnSelfKey.key.pem
-keyfilepass mykeypass
identitypassにアイデンティティ・ストアのパスワード、keypasswordに鍵のパスワード、mykeypassにキー・ファイルのパスワードをそれぞれ代入します。
keytoolユーティリティを実行して、鍵および証明書をトラスト・キーストアという別のキーストアにパッケージ化します。
次のkeytoolコマンド(それぞれ1行のコマンドライン)で、JAVA_HOMEはJDKの場所を表します。JAVA_HOME環境変数の詳細は、第2.3項「アプリケーション・サーバーとOracle Fusion Middlewareのインストール」を参照してください。
UNIXオペレーティング・システム
JAVA_HOME/bin/keytool -import -trustcacerts -alias trustself
-keystore TrustMyOwnSelf.jks
-file MyOwnSelfCA.cer.der -keyalg RSA
Windowsオペレーティング・システム
JAVA_HOME\bin\keytool -import -trustcacerts -alias trustself
-keystore TrustMyOwnSelf.jks
-file MyOwnSelfCA.cer.der -keyalg RSA
「次」をクリックします。
Windowsオペレーティング・システムで、ウィザード画面の指示に従います。
カスタム・アイデンティティ・キーストアおよび信頼ストアを設定します。
第10.1項「管理サーバーの起動」の説明に従って、Oracle WebLogic Serverドメインの管理サーバーを起動します。
次のURLでOracle WebLogic Server管理コンソールにログインします。
http://adminServerHost:adminServerPort/console
adminServerHostに、ドメインの管理サーバーをホストするコンピュータの名前を指定します。adminServerPortに、管理サーバーをリスニングするポート番号を指定します。デフォルトのポート番号は7001です。次に例を示します。
http://myHost.example.com:7001/console
ログインするには、構成ウィザードの「管理者ユーザー名およびパスワードの構成」画面で指定したユーザー名およびパスワードを入力します。
「ドメイン構造」からドメインの「環境」を選択します。
「環境」から「サーバー」を選択します。
「サーバーのサマリー」から、SSLを有効にするサーバーを選択します。
「servernameの設定」ページで「キーストア」タブをクリックします。
「キーストア」フィールドで、「カスタム・アイデンティティとカスタム信頼」を選択します。
サーバーが本番モードの場合、変更を加えるには、「ロックして編集」ボタンをクリックする必要があります。
「キーストア」タブの次のフィールドに値を入力します。
カスタム・アイデンティティ・キーストア
カスタムIDキーストアのタイプ
カスタムIDキーストアのパスフレーズ
カスタム・アイデンティティ・キーストアのパスフレーズを確認
カスタム信頼キーストア
カスタム信頼キーストアのタイプ
カスタム信頼キーストアのパスフレーズ
カスタム信頼キーストアのパスフレーズを確認
変更を保存します。
「SSL」タブをクリックします。
「アイデンティティと信頼の場所」フィールドで、「キーストア」を選択します。
「SSL」タブの他のフィールドに値を入力します。
秘密鍵の別名
秘密鍵のパスフレーズ
秘密鍵のパスフレーズを確認
変更を保存します。
サーバーが開発モードで動作している場合は、変更をアクティブ化する必要があります。
一方向SSLを構成するようにサーバー証明書を作成した後、クライアント・アプリケーションを実行している各マシンにその証明書をインストールする必要があります。証明書をクライアント・アプリケーションにインポートすると、クライアント・アプリケーションによって証明書が信頼されるようになり、管理対象サーバーに接続するときにプロンプトが表示されなくなります。
サーバー証明書を受け入れるようにクライアントを構成するには、次の手順を実行します。
クライアント・マシンで、証明書ファイルをダブルクリックして「証明書」ウィンドウを開きます。次に、「証明書のインストール」をクリックして、証明書インポート・ウィザードを起動します。
Windowsオペレーティング・システムの場合、ブラウザでこのサーバーにアクセスするクライアント・マシンに証明書ファイルをコピーする必要があります。
マシンでクライアント・アプリケーションを使用するのではなく、SSL経由でWebサイトにアクセスしているUNIXオペレーティング・システムの場合、実際に使用しているUNIXオペレーティング・システムで証明書が信頼されるために必要な手順に従ってください。
証明書インポート・ウィザードで、信頼できるルート認証局の証明書ストアを明示的に選択します。サーバーにアクセスするすべてのクライアント・コンピュータでルート証明書を信頼する必要があります。
Windowsオペレーティング・システムでは、Internet ExplorerのTrusted Root Certification Authoritiesに証明書をインストールします。
本番システムでは、Oracle WebCenter Contentアプリケーションは、デフォルト構成の一部であるOracle WebLogic Server組込みのLDAPサーバーではなく、外部Lightweight Directory Application Protocol (LDAP)認証プロバイダを使用する必要があります。管理対象サーバーの構成を完了する場合、管理対象サーバーをリポジトリに接続する場合、および最初のユーザーがアプリケーションにログインする場合は、事前にアプリケーションのアイデンティティ・ストアを次の外部LDAP認証プロバイダのいずれかに再関連付けする必要があります。
Imagingアプリケーションの場合、Imaging管理対象サーバーに最初にログインしたユーザーがサーバー全体のセキュリティとともにプロビジョニングされます。最初にユーザーがログインする前にImagingのアイデンティティ・ストアを外部LDAP認証プロバイダと再関連付けし、Imaging管理対象サーバーの構成を完了して、それをOracle WebCenter Contentリポジトリに接続する方が簡単です。
本番インストール環境では、CaptureはそのスキーマとしてOracle Databaseのみと連動するOracle Platform Security Services (OPSS)を使用するため、Oracle WebCenter Enterprise Captureを使用するにはOracle Internet Directory (OID)またはOracle Database 11gが必要です。
AXF for BPMアプリケーションの場合、AXFの「ソリューション管理」ページにアクセスするには、外部LDAP認証プロバイダでaxfadminグループを設定し、このグループにAXFユーザーを割り当てる必要があります。
Oracle IRMアプリケーションの場合、ユーザーが初めてOracle IRM Managementコンソールにログインすると、Oracle IRMドメインが作成されます。Oracle IRMドメインは、Oracle WebLogic Serverドメインとは異なります。最初にコンソールにログインするユーザーが、Oracle IRMドメインのドメイン管理者になります。Oracle IRMのユーザー・データを移行する前に、ユーザーがターゲットのLDAPアイデンティティ・ストアに存在する必要があります。アイデンティティ・ストアを外部LDAP認証プロバイダに再関連付けしない場合は、最初にユーザーがOracle IRMコンソールにログインする前に、次のようにOracle IRMユーザーを再関連付けし、データを移行するための一般的なプロセスを実行します。
setIRMExportFolderスクリプトを使用して、既存のデータをバックアップします。
アイデンティティ・ストアを外部LDAPディレクトリに再関連付けします。
すべてのユーザーおよびグループがターゲットのLDAPアイデンティティ・ストアに存在することを確認します。
setIRMImportFolderスクリプトを使用して、データを移行します。
Oracle WebLogic Serverドメインのアイデンティティ・ストアをOracle Internet Directoryに再関連付けし、組込みのLDAPディレクトリからOracle Internet Directoryにユーザーを移行できます。次の手順では、アイデンティティ・ストアをOracle Internet Directoryに再関連付けする方法について説明します。
同じような手順を使用して、アイデンティティ・ストアを他のLDAP認証プロバイダに再関連付けすることもできます。各プロバイダには固有のオーセンティケータ・タイプがあり、そのタイプのみを構成してください。表3-5に、使用可能なオーセンティケータ・タイプを示します。
| LDAP認証プロバイダ | オーセンティケータ・タイプ |
|---|---|
|
Microsoft AD |
ActiveDirectoryAuthenticator |
|
SunOne LDAP |
IPlanetAuthenticator |
|
Directory Server Enterprise Edition (DSEE) |
IPlanetAuthenticator |
|
Oracle Internet Directory |
OracleInternetDirectoryAuthenticator |
|
Oracle Virtual Directory |
OracleVirtualDirectoryAuthenticator |
|
Oracle Unified Directory |
IPlanetAuthenticator |
|
EDIRECTORY |
NovellAuthenticator |
|
OpenLDAP |
OpenLDAPAuthenticator |
|
EmbeddedLDAP |
DefaultAuthenticator |
アイデンティティ・ストアをOracle Internet Directoryに再関連付けするには、次の手順を実行します。
Oracle WebLogic Serverドメインの管理者と同じ名前のユーザーがOracle Internet Directoryに存在しないことを確認します。管理者の名前はデフォルトではweblogicです。
組込みLDAPプロバイダをSUFFICIENTに設定します。
Oracle IRMの場合は、Oracle IRMドメイン管理者になるために、Oracle Internet Directoryからユーザーとして管理コンソールにログインします。
Oracle WebLogic Serverドメイン管理者のユーザー名では、管理コンソールにログインしないでください。weblogicユーザー・アカウントをOracle IRM管理者ユーザー・アカウントとして使用しないことをお薦めします。Oracle IRMドメイン管理者に異なるアカウントを使用している場合は、Oracle WebLogic Serverドメイン管理者(デフォルトではweblogic)を使用して、Oracle WebLogic Serverを起動および停止したり、サーバー設定を変更できます。Oracle Internet Directoryで問題が発生した場合、その問題を修正しなくても、Oracle WebLogic Serverでメンテナンスを実行できます。
Oracle IRM管理対象サーバーの場合、ユーザーがすでにOracle IRM Managementコンソールにログインしているときは、アイデンティティ・ストアの再関連付けの前に、WebLogic Scripting Tool (WLST)コマンドsetIRMExportFolderを実行する必要があります。
このコマンドでエクスポート・フォルダを設定して、Oracle IRMが参照するユーザーおよびグループの詳細をエクスポートできるようにします。Oracle IRMはエクスポート・フォルダ・パスを使用して、ユーザーおよびグループの詳細をどこに書き込むかを判断します。Oracle IRM管理対象サーバーには、フォルダ・バスへの書込みアクセス権が必要です。setIRMExportFolderコマンドを実行するには、エクスポート・フォルダが存在する必要があります。
次の例では、エクスポート・フォルダとして/user/irm-dataを設定します。
cd WCC_ORACLE_HOME/common/bin ./wlst.sh > connect('weblogic', 'password', 't3://adminServerHost:adminServerPort') > setIRMExportFolder('/user/irm-data')
例のadminServerHostはOracle WebLogic Serverドメインの管理サーバーのホスト名で、adminServerPortはポート番号です。
|
注意: SSLが有効になっている場合は、WLSTを使用して管理サーバーに接続する前に、次のパラメータをwlst.shファイルのJVM_ARGSセクションに付加するか、またはCONFIG_JVM_ARGS環境変数に設定する必要があります。
-Dweblogic.security.SSL.ignoreHostnameVerification=true
-Dweblogic.security.TrustKeyStore=KeyStoreName
|
Oracle IRM管理対象サーバーは、この構成変更を選択した後、通常はすぐに一連のXML文書をエクスポート・フォルダに書き出します。エクスポート・フォルダの下にaccountsというフォルダ名が表示されたら、このプロセスは完了です。accountsフォルダには、batchXXXという名前のフォルダが1つ以上含まれています。各batchフォルダには、ユーザーおよびグループの詳細が含まれたXML文書が格納されています。次に例を示します。
/user
/irm-data
/accounts
/batch1
user1.xml
user2.xml
group1.xml
batchフォルダを使用するのは、フォルダ内の最大ファイル数がオペレーティング・システムの制限値を超えないようにするためです。
このプロセスが完了した後、エクスポート・フォルダをリセットします。
setIRMExportFolder('')
このリセットにより、管理対象サーバーが再起動したときに、Oracle IRMはそれ以上データのエクスポートを実行しません。
Oracle Internet Directory認証プロバイダを構成します。
第10.1項「管理サーバーの起動」の説明に従って、Oracle WebLogic Serverドメインの管理サーバーを起動します。
次のURLでドメイン管理者ユーザーとしてOracle WebLogic Server管理コンソールにログインします。
http://adminServerHost:adminServerPort/console
adminServerHostに、ドメインの管理サーバーをホストするコンピュータの名前を指定します。adminServerPortに、管理サーバーをリスニングするポート番号を指定します。デフォルトのポート番号は7001です。次に例を示します。
http://myHost.example.com:7001/console
ログインするには、構成ウィザードの「管理者ユーザー名およびパスワードの構成」画面で指定したユーザー名およびパスワードを入力します。
左側の「ドメイン構造」で、「セキュリティ・レルム」を選択します。
「セキュリティ・レルムのサマリー」ページの「レルム」表で、「名前」列のmyrealmをクリックして、「myrealmの設定」ページを開きます。
「プロバイダ」タブをクリックし、「認証」タブの「認証プロバイダ」表にある「新規」をクリックします。
「新しい認証プロバイダの作成」ダイアログ・ボックスで、「名前」フィールドにプロバイダ名を入力し、そのタイプをOracleInternetDirectoryAuthenticatorに変更し、「OK」をクリックします。
様々なLDAP認証プロバイダのオーセンティケータ・タイプのリストは、表3-5を参照してください。
「認証プロバイダ」表で、「並替え」をクリックし、作成したばかりのプロバイダをリストの最上部に移動し、「OK」をクリックします。
DefaultAuthenticatorをクリックし、「制御フラグ」値をOPTIONALに変更し、「保存」をクリックします。
ページの一番上にあるブレッドクラム・トレイルの「プロバイダ」をクリックして、「プロバイダ」タブに戻ります。
作成したばかりの認証プロバイダの名前をクリックして、そのプロバイダの「構成」タブに移動します。
「構成」タブには、「共通」と「プロバイダ固有」の2つのタブがあります。「共通」タブでは、「制御フラグ」値をSUFFICIENTに変更し、「保存」をクリックします。
SUFFICIENTは、ユーザーがOracle Internet Directoryに対して認証された場合、その他の認証は処理されないことを意味します。
REQUIREDは、別のプロバイダによってユーザーがすでに認証されている場合でも、認証プロバイダによって正常に認証される必要があることを意味します。組込みのLDAPをOPTIONALに設定し、Oracle Internet DirectoryをREQUIREDに設定した場合は、組込みのLDAPユーザーが有効ではなくなります。
「プロバイダ固有」タブをクリックします。
次のフィールドにはプロバイダ固有の値を設定し、他のフィールドはデフォルト値のままにします。
ホスト: LDAPサーバーのホスト名またはIPアドレス。
ポート: Oracle Internet Directoryのポート。デフォルトは389。
プリンシパル: LDAPユーザーの識別名(DN)。Oracle WebLogic ServerがLDAPサーバーに接続する場合に使用する必要があります。次に例を示します。
cn=orcladmin
資格証明: LDAPサーバーに接続する場合に使用する資格証明(通常はパスワード)。
資格証明の確認: 「資格証明」フィールドと同じ値。
ユーザー・ベースDN: ユーザーが含まれているLDAPディレクトリのツリーの基本識別名(DN)。次に例を示します。
cn=users,dc=example,dc=com
Oracle Internet Directoryでは、これはユーザー検索ベース属性の値であり、OIDDAS管理ダイアログで調べることができます。
|
注意: 最上位DNではなく、完全DNを使用してください。最上位DNを使用すると、そのDNよりも下位にあるデフォルトのすべてのユーザーおよびグループがアクセスできるようになり、その結果、アプリケーションで必要とされるよりも多くのユーザーにアクセス権が付与されます。 |
取得したユーザー名をプリンシパルとして使用する: LDAPサーバーから取得したユーザー名をプリンシパル値として使用するかどうかを指定します。
Oracle IRMにはこの属性を選択します。
グループ・ベースDN: グループが含まれているLDAPディレクトリのツリーの基本識別名(DN)。次に例を示します。
cn=groups,dc=example,dc=com
Oracle Internet Directoryでは、これはグループ検索ベース属性の値であり、OIDDAS管理ダイアログで調べることができます。
|
注意: 最上位DNではなく、完全DNを使用してください。最上位DNを使用すると、そのDNよりも下位にあるデフォルトのすべてのユーザーおよびグループがアクセスできるようになり、その結果、アプリケーションで必要とされるよりも多くのユーザーにアクセス権が付与されます。 |
ログイン例外の原因を伝播: パスワード期限切れ例外などOracle Internet Directoryからスローされた例外をOracle WebLogic Serverに伝播して、その例外をコンソールに表示し、ログに記録します。
Oracle IRMの場合、タブの「全般」領域でこの属性を選択します。
「保存」をクリックします。
第10.3項「管理対象サーバーの再起動」の説明に従って、管理対象サーバーを再起動します。
|
注意: Oracle WebLogic Serverドメインの認証プロバイダは連鎖されます。つまり、どの認証プロバイダでもユーザー認証が正常に動作する必要があります。デフォルト・プロバイダの「制御フラグ」値をOPTIONALに設定すると、サーバーの起動やユーザーの認証の問題を発生させることなく、デフォルト・プロバイダを無効にできます。 |
サーバーの再稼働後、管理コンソールに再度ログインし、「ドメイン構造」の「セキュリティ・レルム」をクリックします。
「セキュリティ・レルムのサマリー」ページの「レルム」表で、「名前」列のmyrealmをクリックして「myrealmの設定」ページを開きます。
「ユーザーとグループ」タブをクリックして「ユーザー」サブタブで構成された認証プロバイダに含まれるユーザーのリストを表示し、「グループ」サブタブをクリックしてグループのリストを表示します。
Oracle Internet Directory構成から取得したユーザー名が表示されます。これで、構成が機能していることがわかります。
これらの基本テストのいずれかまたは両方によって、セキュリティ・プロバイダが正常に切り替えられたことを確認します。
セキュリティ・プロバイダの新規作成後、そのセキュリティ・プロバイダのすべてのユーザーが、手順3のリストと同じユーザーとグループという形式でリストに掲載されていることを確認します。
管理対象サーバーがすでに稼働中で構成されている場合は、管理対象サーバーURLにアクセスし、Oracle Internet Directoryのユーザーのいずれかとしてログインします。
管理対象サーバーにアクセスする方法の詳細は、第10.2項「管理対象サーバーの起動」を参照してください。
Oracle IRM管理対象サーバーの場合、ユーザーがすでにOracle IRM Managementコンソールにログインしているときは、アイデンティティ・ストアの再関連付けの前に、WLSTコマンドsetIRMImportFolderを実行する必要があります。このコマンドを使用して、アイデンティティ・ストアの再関連付けの前に設定したエクスポート・フォルダを指すようにインポート・フォルダを設定します。
|
注意: インポート・プロセスを実行する前に、エクスポート・フォルダのバックアップを取ることをお薦めします。インポート・プロセスでは、ユーザーおよびグループの詳細の処理が正常に完了したときに、エクスポート・フォルダの内容が削除されるためです。 |
ユーザーとグループが1つの管理対象サーバーによってのみ処理されるように、この操作はデプロイ済Oracle IRMアプリケーションが実行されている1つの管理対象サーバーのみを使用して実行してください。インポート・プロセスが完了した後、Oracle IRMアプリケーションが動作しているすべての管理対象サーバーを起動できます。
次の例では、インポート・フォルダとして/user/irm-dataを設定します。
cd WCC_ORACLE_HOME/common/bin ./wlst.sh > connect('weblogic', 'password', 't3://adminServerHost:adminServerPort') > setIRMImportFolder('/user/irm-data')
Oracle IRM管理対象サーバーは、この構成変更を選択した後、フォルダの内容を読み込み、Oracle IRMシステムでグローバル・ユーザーID (GUID)値を更新して、新しいアイデンティティ・ストアの値を反映します。ユーザーまたはグループの処理が完了すると、インポート・プロセスは対応するXMLファイルを削除します。インポート・プロセスが完了すると、インポート・フォルダは空になります。
/user
/irm-data
ユーザーまたはグループの処理中にエラーが発生した場合、インポート・プロセスはユーザー名またはグループ名に一致するファイルにそのエラーを書き込みます。たとえば、user1.xmlのユーザー詳細を処理中にエラーが発生した場合、インポート・プロセスはエラーの詳細をuser1.xml.failファイルに書き込みます。
/user
/irm-data
/accounts
/batch1
user1.xml
user1.xml.fail
エラーを修正できた場合は、もう一度WLSTコマンドsetIRMImportFolderを実行して、インポート・プロセスを再実行します。たとえば、ユーザーまたはグループが新しいアイデンティティ・ストアに存在しないことによってユーザーまたはグループの処理が失敗した場合は、ユーザーまたはグループをOracle Internet Directoryに追加すると、エラーが修正され、インポート・プロセスを再実行できます。
> connect('weblogic', 'password', 'adminServerHost:adminServerPort')
> setIRMImportFolder('/user/irm-data')
このプロセスが完了した後、インポート・フォルダをリセットします。
setIRMImportFolder('')
このリセットにより、管理対象サーバーが再起動したときに、Oracle IRMはそれ以上データのインポートを実行しません。
|
注意: LDAPアイデンティティ・ストアの再関連付け時にユーザーとグループ名が同一だった場合、ユーザーおよびグループ情報をエクスポートするためのOracle IRMプロセスに問題が発生します。ユーザーとグループの名前が同じ場合、エクスポート・プロセスのエクスポート・ステップで、ユーザーかグループのどちらかの詳細が失われます。これは、ユーザーまたはグループの名前がファイル名として使用され、一方のファイルにより他方のファイルが上書きされるためです。再関連付け後の回避策として、ユーザーおよびグループの権限の割当を確認し、欠落しているものを手動で再度割り当てます。 |
アイデンティティ・ストアの再関連付け後、Oracle Internet Directoryのユーザーは、ユーザー・データの移行前に同名のユーザーがOracle WebLogic Server組込みLDAPサーバーで保有していたのと同じ権限を保有します。たとえば、移行前に、ユーザー名がweblogic、Oracle IRMロールがドメイン管理者であるユーザーが組込みLDAPサーバーに存在した場合、移行後、ユーザー名がweblogicのOracle Internet DirectoryユーザーにはOracle IRMロールとしてドメイン管理者が付与されます。
Imaging管理対象サーバーを構成した後でLDAPプロバイダを変更した場合は、Imagingセキュリティ表のグローバル・ユーザーID (GUID)は無効になります。Imagingは、外部LDAPプロバイダからGUIDをキャッシュしてローカルのセキュリティ表に格納し、そのIDを認証に使用します。WLSTコマンドまたはFusion Middleware Controlを使用して、Imagingセキュリティ表のGUID値をリフレッシュできます。
両方のLDAPプロバイダに存在するユーザーおよびグループに対してのみ、GUIDがリフレッシュされます。以前のLDAPからユーザーおよびグループに割り当てられたImaging権限は、新しいLDAPに一致するユーザーおよびグループにリフレッシュされます。ユーザーやグループが新しいLDAPプロバイダのユーザーやグループに一致しない場合、refreshIPMSecurityはそのユーザーやグループを無視します。
|
注意: リフレッシュ中、対応する識別情報が見つからないユーザーまたはグループは無視されます。セキュリティに変更を加えると、無効なユーザーまたはグループがImagingデータベースから削除されます。 |
コマンド・ラインからGUID値をリフレッシュする場合は、Oracle WebLogic Scripting Tool (WLST)を使用できます。
WLSTを使用してImagingセキュリティ表のGUID値をリフレッシュするには、次の手順を実行します。
第10.1項「管理サーバーの起動」の説明に従って、Oracle WebLogic Serverドメインの管理サーバーを起動します。
Oracle WebLogic Server管理サーバーにログインします。
Oracle WebCenter Contentのホーム・ディレクトリMW_HOME/WCC_ORACLE_HOMEに移動します。
WLSTを呼び出します。
cd common/bin ./wlst.sh
WLSTコマンド・プロンプトで、次のコマンドを入力します。
wls:/offline> connect() Please enter your username :weblogic Please enter your password : XXXXXXXXXXXXX Please enter your server URL [t3://localhost:7001] :t3://host_name:16000 Connecting to t3://host_name:16000 with userid weblogic ... Successfully connected to Managed Server 'IPM_server1' that belongs to domain 'domainName'. Warning: An insecure protocol was used to connect to the server. To ensure on-the-wire security, the SSL port or Admin port should be used instead. wls:/domainName/serverConfig> listIPMConfig() <This is just to check that the connection is to the right Imaging server> wls:/domainName/serverConfig> refreshIPMSecurity() <This is the command that will refresh the GUIDs in the Security tables.> wls:/domainName/serverConfig> exit()
Imagingにログインして、ユーザーおよびグループのセキュリティを確認します。
MBeanを介してGUID値をリフレッシュする場合は、Fusion Middleware ControlのシステムMBeanブラウザを使用できます。
Fusion Middleware Controlを使用してImagingセキュリティ表のGUID値をリフレッシュするには、次の手順を実行します。
Fusion Middleware Controlにログインします。
左側のナビゲーション・ツリーでWebLogicドメイン、Oracle WebCenter Contentドメイン・フォルダ、IPM_Clusterの順に展開し、IPM_server1などImagingサーバーの名前を展開します。
右側で、「WebLogic Server」ドロップダウン・メニューをクリックし、「システムMBeanブラウザ」を選択します。
「システムMBeanブラウザ」ナビゲーション・ツリーで、「アプリケーション定義のMBean」、oracle.imaging、「サーバー: IPM_server1」、「cmd」の順に展開し、「cmd」をクリックします。
右側のrefreshIPMSecurityをクリックします。
「呼出し」ボタンを押します。
Imagingにログインして、ユーザーおよびグループのセキュリティを確認します。
LDAP認証プロバイダを構成する際にDNを可能なかぎり上位に構成することで、重大なパフォーマンス問題を回避できます。これは、User Base DNとGroup Base DNの構成オプションに適用できます。
Group Base DNの値は特に重要です。それは、ユーザーに関連付けられているグループを取得する際にLDAPサーバーに対して多くの問合せが実行される可能性があるためです。直接割り当てられているグループの数および他のグループのサブグループとして間接的に割り当てられているグループの数によっては、重大なパフォーマンス問題を引き起こすおそれがあります。これらの設定をルートDNのデフォルト設定にしてしまいがちですが、ルートDNには適していません。最上位DNを使用するとそのDNよりも下位にあるすべてのグループにアクセスできるようになり、その結果、アプリケーションで必要とされるよりも多くのグループにアクセスできるようになるためです。
たとえば、次のLDAPツリーで様々なレベルのGroup Base DNの値がecmAdminグループに到達するように構成できます。
dc=com
dc=oracle
dc=us
cn=Groups
cn=ECM
cn=ecmAdmin
ユーザーに割り当てられているグループを取得する際に、ツリーで問合せ対象となる部分があまりにも多くなるため、次のレベルは使用しないようにします。
dc=oracle,dc=com dc=us,dc=oracle,dc=com cn=groups,dc=us,dc=oracle,dc=com
この場合、Oracle WebCenter Contentアプリケーションに直接関連付けられているグループのみを検索すれば十分です。
cn=ECM,cn=groups,dc=us,dc=oracle,dc=com
Oracle WebCenter Contentレベルに他のグループを追加して、LDAPツリーを次のようにできます。
dc=com
dc=oracle
dc=us
cn=Groups
cn=ECM
cn=ecmAdmin
cn=ecmGuest
cn=ecmManager
cn=ecmSupervisor
cn=ecmUser
Oracle Identity Managementに含まれるOracle Directory Services Managerを使用して、ユーザーをOracle Internet Directoryに追加できます。Oracle Directory Services Managerを使用してエントリをディレクトリに追加するには、親エントリへの書込みアクセス権を保有し、新しいエントリに使用する識別名(DN)がわかっている必要があります。
|
注意: エントリを追加または削除する場合、Oracleディレクトリ・サーバーではエントリ属性値の構文検証は行われません。 |
グループ・エントリの追加の詳細は、『Oracle Fusion Middleware Oracle Internet Directory管理者ガイド』の動的グループおよび静的グループの管理に関する項の指示を参照してください。
エントリの詳細は、『Oracle Fusion Middleware Oracle Internet Directory管理者ガイド』のディレクトリ・エントリの管理に関する項の指示を参照してください。
ユーザーをOracle Internet Directoryに追加するには、次の手順を実行します。
Oracle Directory Services Managerを呼び出し、Oracle Internet Directoryサーバーに接続します。
タスク選択バーで、「データ・ブラウザ」を選択します。
ツールバーで、「エントリを新規作成します。」アイコンを選択します。あるいは、任意のエントリを右クリックし、「作成」を選択します。
新規エントリ作成ウィザードが起動します。
新規エントリのオブジェクト・クラスを指定します。
オブジェクト・クラス・エントリを選択するには、「追加」アイコンをクリックし、「オブジェクト・クラスの追加」ダイアログ・ボックスを使用します。必要に応じて、検索ボックスを使用してオブジェクト・クラスのリストをフィルタリングします。オブジェクト・クラスを追加するには、そのクラスを選択し、「OK」をクリックします。(このオブジェクト・クラスからtopまでのすべてのスーパークラスも追加されます。)
|
注意: ユーザー・エントリがOracle Delegated Administration ServicesのOracle Internet Directoryセルフ・サービス・コンソールに表示されるようにするには、そのエントリをinetOrgPersonオブジェクト・クラスに割り当てる必要があります。 |
「エントリの親」フィールドで、作成しているエントリの親エントリの完全DNを指定できます。
「参照」をクリックして、追加するエントリの親の識別名を特定し、選択することもできます。「エントリの親」フィールドを空白のままにすると、ルート・エントリの下にエントリが作成されます。
「次へ」をクリックします。
このエントリの相対識別名(RDN)値となる属性を選択し、その属性の値を入力します。
使用するオブジェクト・クラスの必須属性には、それらがRDN値でない場合でも値を入力する必要があります。たとえば、オブジェクト・クラスinetorgpersonの場合、属性 cn (共通名)も sn (姓)もRDN値ではありませんが、必須です。
「次へ」をクリックします。
ウィザードの次のページが表示されます。(あるいは、「戻る」をクリックして前のページに戻ります。)
「終了」をクリックします。
オプションの属性を管理するには、「データ・ツリー」に作成したばかりのエントリに移動します。
エントリが個人の場合、「個人」タブをクリックして基本ユーザー属性の管理に使用します。
「適用」をクリックして変更を保存するか、「元に戻す」をクリックして変更を破棄します。
エントリがグループである場合、『Oracle Fusion Middleware Oracle Internet Directory管理者ガイド』の動的グループおよび静的グループの管理に関する項の指示を参照してください。
これが個人のエントリの場合、写真をアップロードできます。
写真をアップロードするには、「参照」をクリックし、写真に移動し、「オープン」をクリックします。
写真を更新するには、「更新」をクリックして同じ手順に従います。
写真を削除するには、「削除」アイコンをクリックします。
「適用」をクリックして変更を保存するか、「元に戻す」をクリックして変更を破棄します。
Oracle WebCenter Content製品向けの次のシングル・サインオン(SSO)ソリューションのいずれかを構成できます。
Oracle Access Manager 11g SSO
Oracle Access Manager 10g SSO
Oracleシングル・サインオン(OSSO)
Windowsネイティブ認証(WNA)
表3-6は、どのOracle WebCenter ContentでどのSSOソリューションを使用できるかを示した一覧です。以降の項では、これらのアプリケーションでSSOを使用する場合に参考となる情報を提供します。
表3-6 Oracle WebCenter Contentアプリケーション向けシングル・サインオン・ソリューション
| アプリケーション | Oracle Access Manager 11g |
Oracle Access Manager 10g |
OSSO | WNA |
|---|---|---|---|---|
|
コンテンツ・サーバーを含むWebCenter Content |
サポートされています |
サポートされています |
サポートされています |
サポートされています |
|
Imaging |
サポートされています |
サポートされています |
サポートされています |
サポートされています |
|
Oracle IRM Webインタフェース |
サポートされています |
サポートされていません |
サポートされています |
サポートされています |
|
Oracle IRM Desktop |
サポートされていません |
サポートされています(制限あり) |
サポートされていません |
サポートされています |
|
Records |
サポートされています |
サポートされています |
サポートされています |
サポートされています |
Oracle WebLogic Server認証プロバイダの概要は、『Oracle WebLogic Serverの保護』の認証プロバイダの構成に関する項を参照してください。
Oracle Access Managerを使用すると、ユーザーは全社規模でWebアプリケーションおよびその他のITリソースにシームレスにアクセスできます。Oracle IRMは、Oracle Access ManagerでBasic認証をサポートします。Oracle Access Managerには認可エンジンが搭載されており、アクセスを要求するユーザーのプロパティと要求を行った環境に基づいて特定のリソースへのアクセスを付与または拒否できます。
Oracle IRMのOracle Access Managerシングル・サインオン(SSO)の詳細は、第9.4項「RightsとOracle Access Manager 11gとの統合」を参照してください。
ImagingのOracle Access Manager SSOの詳細は、『Oracle WebCenter Content Imaging管理者ガイド』を参照してください。
|
注意: ImagingとともにOracle Access Manager (OAM) WebGate 11g SSOを使用する場合、次のWebGate 11g Agentのユーザー定義パラメータを設定します。filterOAMAuthnCookie=false このパラメータ設定を使用しない場合、詳細モードでImagingビューアを使用するとエラーが発生します。エージェントのユーザー定義パラメータの設定の詳細は、『Oracle Fusion Middleware Oracle Access Manager with Oracle Security Token Service管理者ガイド』を参照してください。 |
WebCenter Content、Inbound RefineryまたはRecordsの構成の詳細は、『Oracle WebCenter Contentの管理』のシングル・サインオンのためのOracle WebCenter Contentの構成に関する項を参照してください。
表3-7に、Oracle WebCenter ContentアプリケーションのためにOracle Access Manager 11gを構成する方法に関する詳細な情報の入手先を示します。
表3-7 Oracle WebCenter ContentアプリケーションのためのOracle Access Manager 11g構成
| アプリケーション | 構成情報 |
|---|---|
|
コンテンツ・サーバーを含むWebCenter Content |
『Oracle WebCenter Contentの管理』のOracle WebCenter ContentによるOracle Access Manager 11gの構成に関する項 |
|
Imaging |
『Oracle WebCenter Content Imaging管理者ガイド』のOracle Access Manager 11gとImagingの統合に関する項 |
|
Oracle IRM Webインタフェース |
第9.4項「RightsとOracle Access Manager 11gとの統合」 |
|
Oracle IRM Desktop |
サポートされていません |
|
Records |
『Oracle WebCenter Contentの管理』のOracle WebCenter ContentによるOracle Access Manager 11gの構成に関する項 |
表3-8に、Oracle WebCenter ContentアプリケーションのためにOracle Access Manager 10gを構成する方法に関する詳細な情報の入手先を示します。
表3-8 Oracle WebCenter ContentアプリケーションのためのOracle Access Manager 10g構成
| アプリケーション | 構成情報 |
|---|---|
|
コンテンツ・サーバーを含むWebCenter Content |
『Oracle WebCenter Contentの管理』のOracle WebCenter ContentによるOracle Access Manager 10gの構成に関する項 |
|
Imaging |
『Oracle WebCenter Content Imaging管理者ガイド』のOracle Access Manager 10gとImagingの統合に関する項 |
|
Oracle WebCenter Enterprise Capture |
サポートされていません |
|
Oracle IRM Webインタフェース |
サポートされていません |
|
第9.4項「RightsとOracle Access Manager 11gとの統合」 |
|
|
Records |
『Oracle WebCenter Contentの管理』のOracle WebCenter ContentによるOracle Access Manager 10gの構成に関する項 |
表3-9に、Oracle WebCenter ContentアプリケーションのためにOSSOを構成する方法に関する詳細な情報の入手先を示します。
表3-9 Oracle WebCenter ContentアプリケーションのためのOSSO構成
| アプリケーション | 構成情報 |
|---|---|
|
コンテンツ・サーバーを含むWebCenter Content |
『Oracle WebCenter Contentの管理』のOracle WebCenter ContentによるOracleシングル・サインオンの構成に関する項 |
|
Imaging |
『Oracle WebCenter Content Imaging管理者ガイド』のWindowsネイティブ・アプリケーション用のImagingとシングル・サインオンの構成に関する項 |
|
Oracle WebCenter Enterprise Capture |
サポートされていません |
|
Oracle IRM Desktop |
サポートされていません |
Windowsネイティブ認証(WNA)を構成する方法の詳細は、『Oracle WebLogic Serverの保護』のMicrosoftクライアントによるシングル・サインオンの構成に関する項を参照してください。
表3-10に、Oracle WebCenter ContentアプリケーションのためにWNAを構成する方法に関する詳細な情報の入手先を示します。
表3-10 Oracle WebCenter ContentアプリケーションのためのWNA構成
| アプリケーション | 構成情報 |
|---|---|
|
コンテンツ・サーバーを含むWebCenter Content |
『Oracle WebCenter Contentの管理』のWNAのためのWebCenter Contentおよびシングル・サインオンの構成に関する項 |
|
Imaging |
『Oracle WebCenter Content Imaging管理者ガイド』のWindowsネイティブ・アプリケーション用のImagingとシングル・サインオンの構成に関する項 |
|
Oracle IRM Webインタフェース |
『Oracle WebLogic Serverの保護』のMicrosoftクライアントによるシングル・サインオンの構成に関する項 |
|
Oracle IRM Desktop |
『Oracle WebLogic Serverの保護』のMicrosoftクライアントによるシングル・サインオンの構成に関する項 |
|
Records |
『Oracle WebLogic Serverの保護』のMicrosoftクライアントによるシングル・サインオンの構成に関する項 |
コンテンツ・サーバーをSite Studio、シングル・サインオン (SSO)およびクラスタと統合する際には、Oracle Web Tier (Oracle HTTP Server)を使用することをお薦めします。Oracle Weblogic Server HTTPリスナーの代用として、Oracle Web Tier (OHS) 11gをインストールして構成することもできます。
Oracle Web Tier (OHS)のインストールと構成の詳細は、『Oracle WebCenter Portalの管理』の、Oracle HTTP Serverのインストールと構成に関する項を参照してください。
アプリケーションのパフォーマンス、スループットまたは高可用性の向上が求められる本番環境では、2つ以上の管理対象サーバーがクラスタとして機能するように構成できます。クラスタは、複数のOracle WebLogic Serverインスタンスの集合で、同時に稼働し連携して高いスケーラビリティおよび信頼性を実現します。クラスタでは、(単一の管理対象サーバーでなく)管理対象サーバーごとに、ほとんどのリソースおよびサービスがまったく同じようにデプロイされるため、フェイルオーバーとロード・バランシングが可能になります。
1つのドメインには、複数のOracle WebLogic Serverクラスタが存在していても、クラスタとして構成されていない複数の管理対象サーバーが存在していても構いません。管理対象サーバーのクラスタ化と非クラスタ化の重要な違いは、フェイルオーバーおよびロード・バランシングのサポートにあります。これらの機能は、管理対象サーバーがクラスタ化されている場合にのみ利用できます。
|
注意: クラスタを使用するには、Oracle WebLogic Server Enterprise Editionのライセンスが必要です。 |
クラスタの概要は、『Oracle WebLogic Serverクラスタの使用』のWebLogic Serverクラスタリングの概要に関する項を参照してください。
「オプションの構成を選択」画面で「管理対象サーバー、クラスタ、およびマシン」を選択した場合は、表3-11で説明した画面が表示されます。
表3-11 「管理対象サーバー、クラスタ、およびマシン」の詳細設定画面
| 画面 | 説明と必須作業 |
|---|---|
|
|
新しい管理対象サーバーを追加するか、または既存の管理対象サーバーを編集および削除します。 「次へ」をクリックして続行します。 |
|
|
高可用性環境にインストールする場合はクラスタを作成します。詳細は、『高可用性ガイド』を参照してください。 「次へ」をクリックして続行します。 |
|
|
「クラスタの構成」画面でクラスタを構成した場合 「次へ」をクリックして続行します。 |
|
HTTPプロキシ・アプリケーションの作成 |
「クラスタの構成」画面でクラスタを構成し、ドメイン内の管理対象サーバーの全部ではなく一部をクラスタに割り当てた場合 「次へ」をクリックして続行します。 |
|
|
クラスタ内の管理対象サーバーをホストするマシンを構成します。 「次へ」をクリックして続行します。 |
|
|
各管理対象サーバーをマシンに割り当てます。 「次へ」をクリックして続行します。 |
|
|
管理対象サーバーをドメイン内のクラスタまたはサーバーに割り当てます。 「次へ」をクリックして続行します。 |
|
|
この画面を使用して、サービス(JMSやJDBCなど)のターゲットとしてサーバーまたはクラスタを指定し、アプリケーションがそのサービスを使用できるようにします。 「次へ」をクリックして続行します。 |
Oracle WebLogic Server管理コンソールまたはFusion Middleware Controlを使用して、後で管理対象サーバーをクラスタに追加できます。詳細は、『管理者ガイド』の環境のスケールに関する項を参照してください。
Oracle WebCenter Content用にOracle Web Services Manager (Oracle WSM)セキュリティ・ポリシーを設定するには、次のタスクを実行する必要があります。
Oracle WebLogic ServerドメインでのOracle WebCenter ContentアプリケーションおよびOracle WSM Policy Managerの構成
Oracle WSMの「サーバーのソケット・ポート」および「ソケット接続アドレス・セキュリティ・フィルタを着信中」の構成
「標準」オプションでOracle WebLogic Serverをインストールします。これにより、Oracle Coherence、Sun JDKおよびOracle JRockit JDKもインストールされます。Oracle WebLogic Serverのインストール方法の詳細は、第2.3項「アプリケーション・サーバーとOracle Fusion Middlewareのインストール」を参照してください。
Oracle WebLogic Serverをインストールすると、Oracle Fusion Middlewareホームが作成されます。ここにOracle WebCenter Contentをインストールでき、インストールが完了するとWebCenter Content Oracleホームが作成されます。Oracle WSMは、Oracle WebCenter Contentからインストールできます。ミドルウェア・ホームにはOracle共通ホームが含まれており、ここにOracle WSMファイルがインストールされます。Oracle WebCenter Contentのインストール方法と、Oracle WebCenter Content、アプリケーションのデプロイに必要なファイルについては、第2.4項「Oracle WebCenter Contentのインストーラの使用」を参照してください。
RCUの「コンポーネントの選択」画面で次のように選択して、MDSスキーマを作成します。MDSスキーマはOracle WSMセキュリティを設定するために必要です。
「AS共通スキーマ」の下の「Metadata Services」
このように選択するのは、Oracle WSM Policy Managerのスキーマを作成するためです。このスキーマによって、WebCenter Contentのバックエンド・リポジトリと、コンテンツ・サーバーおよびOracle WSM Policy Managerが用意されます。データベースにMDSスキーマがすでに存在する場合は、そのスキーマを再利用できます。
RCUによるOracle WSM MDSスキーマの作成の詳細は、第2.2項「リポジトリ作成ユーティリティによるOracle WebCenter Contentスキーマの作成」を参照してください。
1つ以上のOracle WebCenter ContentアプリケーションおよびOracle WSM Policy Managerを構成するには、Oracle WebLogic Serverドメインを作成または拡張する必要があります。ドメインを作成してOracle WSM Policy Managerを含める方法の詳細は、第3.2項「Oracle WebLogic Serverドメインの作成」を参照してください。Oracle WSM Policy Managerでドメインを拡張する方法の詳細は、第3.3項「既存のドメインの拡張」を参照してください。
管理対象サーバーのインストール後の構成時に、Oracle WSM用に「サーバーのソケット・ポート」値および「ソケット接続アドレス・セキュリティ・フィルタを着信中」値を構成できます。
次の設定が他のデフォルト設定とともに存在することを確認します。
サーバーのソケット・ポート: 4444
この値は、管理対象サーバー用の構成ファイルにIntradocServerPort=4444として格納されます。
ソケット接続アドレス・セキュリティ・フィルタを着信中: *.*.*|0:0:0:0:0:0:0:1
この値は、管理対象サーバー用の構成ファイルにSocketHostAddressSecurityFilter=*.*.*.*|0:0:0:0:0:0:0:1として格納されます。
これらの設定に加えた変更を有効にするには、第10.3項「管理対象サーバーの再起動」の説明に従って、管理対象サーバーを再起動する必要があります。
管理対象サーバーのインストール後の設定の詳細は、次の項を参照してください。
Webサービスを保護するには、キーストアを設定して、Oracle WSMポリシーをWebサービスに適用します。
keytoolコマンドによってキーストアが作成されますが、これを開くにはパスワードが必要です。キーはキーストア内に保存され、このキーにアクセスするには、追加のパスワードが必要です。
推奨されるキーストアの場所は、ドメイン・ホーム内のディレクトリです。
UNIXパス:
MW_HOME/user_projects/domains/DomainHome/config/fmwconfig
Windowsパス:
MW_HOME\user_projects\domains\DomainHome\config\fmwconfig
キーストアをこの場所に置くと、ドメインおよび対応する資格証明ストア・ファイルがバックアップされる際に、キーストア・ファイルも確実にバックアップされます。
キーストアを設定するには、次の手順を実行します。
キーストアおよびキー別名orakeyの作成:
JAVA_HOME/bin/keytool -genkeypair -alias orakey -keypass password -keyalg RSA \ -dname "CN=orakey, O=oracle C=us" \ -keystore default-keystore.jks -storepass password
default-keystore.jksをドメインのfmwconfigディレクトリにコピーします。
cp default-keystore.jks DomainHome/config/fmwconfig
(WLSTコマンドを使用して)資格証明を資格証明ストアに保存します。
MW_HOME/WCC_ORACLE_HOME/common/bin/wlst.sh connect() createCred(map="oracle.wsm.security", key="keystore-csf-key", user="keystore", password="password") createCred(map="oracle.wsm.security", key="sign-csf-key", user="orakey", password="password") createCred(map="oracle.wsm.security", key="enc-csf-key", user="orakey", password="password")
この手順では、DomainHome/config/fmwconfigにcwallet.ssoファイルを作成します。
クライアントがサーバーにアクセスするためには、default-keystore.jksとcwallet.ssoのどちらも必要です。
キーストアの設定の詳細は、第9.1.2項「Oracle IRM用のキーストアの構成」を参照してください。
