| Oracle® Fusion Middleware Oracle HTTP Server管理者ガイド 11gリリース1 (11.1.1) B55928-10 |
|
 前 |
 次 |
この付録では、Oracle Fusion Middlewareコンポーネントをサード・パーティのHTTPリスナーと組み合せて使用するためのOracle WebLogic Server Proxy Plug-InおよびOracle SSO Plug-Inの使用方法について説明します。
|
注意: 特に他に記載のないかぎり、このドキュメントに収められている情報は、Oracle HTTP ServerがOracle WebLogic ServerおよびOracle Fusion Middleware Controlにインストールされている場合に適用できます。このドキュメントの対象読者は、『Oracle Fusion Middlewareコンセプト・ガイド』および『Oracle Fusion Middleware管理者ガイド』の説明に従ってOracle Fusion Middlewareの主要概念を十分に理解しておく必要があります。スタンドアロン・モードでのOracle HTTP Serverのインストールについては、『Oracle Fusion Middleware Oracle Web Tierインストレーション・ガイド』のスタンドアロン・モードでのOracle Web Tierのインストールに関する項を参照してください。 |
この付録では、次の項目について説明します。
該当する場合は、Apache Software Foundationのドキュメントを参照しています。
11g環境では、OProxyのかわりにOracle WebLogic Serverプラグインが使用されると予期されます。Oracle WebLogic Serverを使用していると想定されます。
|
重要な注意: Oracle HTTP Server 11gおよびIISなどの他のWebサーバー用のOProxyプラグインとして知られている、FMW 10gベースのプロキシ・プラグインは非推奨となっており、今後のリリースは中止されます。この従来のプロキシ・ソリューションは、Oracle Application Server 10gにデプロイされるフロントエンド・アプリケーション向けに設計されています。Oracle Fusion Middleware 11gのアプリケーションは現在では、WebLogicにデプロイされています。Oracle HTTP Server 11gには、このフロントエンド環境に対して最適化されたビルトイン・プロキシ・モジュールが含まれています。FMW 10gベースのプロキシ・プラグインを使用している場合、デプロイメントの統合をスムーズにするためにOracle HTTP Server 11gベースのプロキシ・ソリューションに移行するか、他のWebサーバー内のビルトイン・プロキシ・モジュールを活用する必要があります。 |
次の表は、各種サーバーおよびサーバーの組合せで使用する推奨プラグインを示しています。
| サーバー | プラグイン |
|---|---|
| Oracle HTTP Server |
mod_wl_ohs (Oracle HTTP Server用のWebLogicプラグイン)を使用します。 |
| Oracle HTTP ServerとiPlanetまたはMicrosoft IIS (Oracle WebLogic Serverは使用しない) | OProxyを使用します。認定範囲の限定に注意してください。Javaまたはサーブレットを使用していないと想定しています。 |
| Oracle WebLogic Serverと、Oracle HTTP Serverを伴うその他のアプリケーションの両方 | OProxyとmod_wl_ohsの両方を使用しますが、分離しておくこと。 |
| Microsoft IISまたはiPlanetとOracle WebLogic Serverのみ(Oracle WebLogic Serverなし) | OProxyでなく、Oracle WebLogic Server付属のOracle WebLogic Serverプラグインを使用します。 |
FMW 10gベースのシングル・サインオン・プラグイン(Oracle HTTP ServerおよびIISのような他のWebサーバー用のOSSO Plug-In)は非推奨となっており、今後のリリースは中止されます。
シングル・サインオン機能のために、FMW 11gベースのOracle Access Manager WebGateに移行してください。Oracle Access ManagerとWebGateは別々にインストールする必要がある点に注意します。詳細は、『Fusion Middleware Oracle Access Management管理者ガイド』を参照してください。
http://docs.oracle.com/cd/E40329_01/admin.1112/e27239/toc.htm
Oracle HTTP Server 11gおよびIISなどの他のWebサーバー用のOProxyプラグインとして知られている、FMW 10gベースのプロキシ・プラグインは非推奨となっており、今後のリリースは中止されます。この従来のプロキシ・ソリューションは、Oracle Application Server 10gにデプロイされるフロントエンド・アプリケーション向けに設計されています。Oracle Fusion Middleware 11gのアプリケーションは現在では、WebLogicにデプロイされています。Oracle HTTP Server 11gには、このフロントエンド環境に対して最適化されたビルトイン・プロキシ・モジュールが含まれています。
FMW 10gベースのプロキシ・プラグインを使用している場合、デプロイメントの統合をスムーズにするためにOracle HTTP Server 11gベースのプロキシ・ソリューションに移行するか、他のWebサーバー内のビルトイン・プロキシ・モジュールを使用する必要があります。
Oracle WebLogic Server Proxy Plug-Inにより、サード・パーティのHTTPリスナーからのリクエストをOracle Fusion Middlewareにプロキシまたは送信できます。Oracle WebLogic Server Proxy Plug-Inは、UNIXおよびMicrosoft Windowsシステム上のSun Java System Web Server Enterprise Edition、またはMicrosoft Internet Information Server (IIS)とともに動作するように提供されたもので、その動作が保証されています。これらのシステム上でのOracle WebLogic Serverプロキシ・プラグインの使用の詳細は、「Oracle WebLogic Server 1.1におけるWebサーバー・プラグインの使用」を参照してください。
http://docs.oracle.com/middleware/11119/webtier/PLGWL/toc.htm
その他のサード・パーティのHTTPリスナーには、各リスナーのネイティブ・プロキシ機能を使用できます。
|
関連項目: 詳細な動作保証情報は、http://www.oracle.com/technology/software/products/ias/files/fusion_certification.htmlを参照してください。 |
Oracle SSO Plug-Inは、サード・パーティのリスナー・アプリケーションを、Oracleシングル・サインオン(SSO)インフラストラクチャを使用して保護するように設計されています。Oracle Proxy Plug-Inは、Microsoft Windowsシステム上のMicrosoft Internet Information Server (IIS) v6.0およびv7.0とともに動作するように提供されたもので、その動作が保証されています。
|
関連項目: 詳細な動作保証情報は、http://www.oracle.com/technology/software/products/ias/files/fusion_certification.htmlを参照してください。 |
この章の内容は、次のとおりです。
Oracle SSO Plug-Inは、Microsoft IIS用のOracleシングル・サインオン(SSO)ソリューションです。このプラグインは、サード・パーティのリスナー・アプリケーションを、SSOインフラストラクチャを使用して保護するように設計されています。Oracle SSO Plug-Inにより、ユーザーはSSOパスワード1つで様々なサード・パーティのリスナー・アプリケーションに対する認証を受けることができます。このようにSSOで保護されたサード・パーティ製リスナー・アプリケーションは、同一のSSOサーバー上で保護されているかぎり、SSO対応のOracle HTTP ServerアプリケーションやOracle SSO対応のレガシー・アプリケーションと統合できます。
Oracle SSO Plug-Inはmod_ossoの簡易版で、その基本機能の一部のみを実装しています。動的認証、グローバル・ログアウト、アイドル・タイムアウト、グローバル・タイムアウトおよびレガシー・アプリケーションのBasic認証などの機能は、現行リリースのOracle SSO Plug-Inには実装されていません。
図A-1は、ユーザーによりOracle SSO Plug-Inで保護されたURLがリクエストされたときの処理を示しています。
ユーザーがWebブラウザ経由でURLをリクエストします。
Webサーバーは、そのユーザー用のOracle SSO Plug-In Cookieを検索します。Cookieが存在する場合、Webサーバーはそのユーザーの情報を抽出し、その情報を使用してリクエストされたアプリケーションにユーザーをログインします。
Cookieが存在しない場合、Oracle SSO Plug-Inはそのユーザーをシングル・サインオン・サーバーにリダイレクトします。
シングル・サインオン・サーバーは、ブラウザ内でそれ自身のCookieを検索します。Cookieが存在する場合は、そのCookieを使用して認証します。認証に成功した場合、シングル・サインオン・サーバーはユーザーが認証されたことの印としてブラウザ内にCookieを作成します。見つからない場合は、ユーザー名とパスワードでユーザーの認証を試みます。
シングル・サインオン・サーバーは、暗号化されたユーザー情報をOracle SSO Plug-Inに返します。
Oracle SSO Plug-Inはユーザーに対する独自のCookieをブラウザ内に作成し、リクエストされたURLにユーザーをリダイレクトします。
同じセッション内でユーザーが再度同一または異なるアプリケーションへのアクセスを試みた場合、そのユーザーはユーザー名とパスワードの入力を求められません。アプリケーションは、HTTPヘッダーを使用してOracle SSO Plug-InのセッションCookieからこの情報を取得します。
|
関連項目: 『Oracle Fusion Middlewareセキュリティ・ガイド』 |
Microsoft IIS用のOracle Proxy Plug-Inは、Oracle Fusion Middleware Web Tier and Utilitiesインストーラ(11.1.1.2以降のフル・インストーラ、パッチセットのインストーラではない)で使用できます。
場所: \Disk1\plugins\iis\oracle_osso.dll
リスナー用のプラグインをインストールするには、リスナーがアクセスできるディレクトリにoracle_osso.dllをコピーします。セキュリティ上の理由から、プラグイン・ライブラリに最小限の権限を与えます。
Oracle Fusion MiddlewareがインストールされているシステムにOracle SSO Plug-Inをインストールします。このインストールは、ネットワークおよびセキュリティに依存するライブラリとシングル・サインオン登録ツールに対してのみ必要です。サーバーは実行中である必要はありません。
シングル・サインオンの登録処理により、シングル・サインオン・サーバーとリスナーは、通信の前に、サーバーの位置、プロトコルのバージョンおよび共通暗号鍵などの情報を共有できるようになります。登録処理後、この情報はシングル・サインオンのパートナ・アプリケーション・エントリとしてシングル・サインオン・サーバー側に格納されます。リスナー側には、osso_confというシングル・サインオン・ファイルが作成されます。osso_confファイルは、セキュリティの目的で不明瞭化されています。このファイルをリスナーがアクセスできるように適切な場所にコピーします。
|
関連項目: Oracleシングル・サインオンへの登録方法の詳細は、『Oracle Fusion Middlewareセキュリティ・ガイド』を参照してください。 |
Oracle SSO Plug-Inを構成するには、osso_plugin.confファイルなどの構成ファイルを作成する必要があります。このファイルは、サード・パーティのリスナーが読取り可能なディレクトリに置く必要があります。ファイル内にすべてのプラグイン機能を定義します。このファイルは、ossoプロパティ・ファイルとも呼ばれます。このファイルには次の内容が含まれます。
LoginServerFileおよびIpCheckなどのプラグイン・ディレクティブ
保護の対象となるリソースに一致するルールのセット
表A-1に、Oracle SSO Plug-Inの構成ディレクティブを示します。
表A-1 Oracle SSO Plug-Inの構成ディレクティブ
| ディレクティブ | 機能 |
|---|---|
|
SSO登録処理で得られる これはグローバル・パラメータであり、リソース単位では使用しないでください。用意するシングル・サインオン・サーバー構成ファイルは、1つのみです。
|
|
|
Cookieの検査時に、Oracle SSO Plug-Inで各リクエストのIPアドレスをチェックする必要があるかどうかを指定します。
注意: Sun Java Systemサーバーとクライアントのブラウザ間にプロキシ・サーバーまたはファイアウォールがある場合は、 |
Oracle SSO Plug-Inを介してリソース保護を確実に行うには、一連のルールを定義する必要があります。ルールは、次の形式に従って定義します。
<OSSO url-matching-rule> SSO_configuration_directives </OSSO>
url-matching-ruleの定義には次のルールを使用します。
| ルール名 | 説明 |
|---|---|
| 完全一致 | このオプションでは、ファイルを保護対象リソースとして識別します(例: /examples/hello.html)。 |
| コンテキスト一致 | このオプションでは、ディレクトリを保護対象リソースとして識別します(例: /examples/*)。 |
| 拡張子一致 | このオプションでは、特定のディレクトリ内で特定の拡張子を持つファイルを保護対象リソースとして識別します(例: /examples/*.jsp)。 |
同じURLに複数のルールを適用すると、次の優先順位が適用されます。
完全一致
最長のコンテキスト一致と拡張子一致
最長のコンテキスト一致
優先順位の例を次に示します。
/foo/bar/index.htmlは、/foo/bar/*より優先
/foo/bar/*.jspは、/foo/bar/*より優先
/foo/bar/*は、/foo/*より優先
例A-1は、リソース保護のためのコマンドを含む単純なファイルを示しています。この例では、/private/hello.htmlファイルに対してIpCheckディレクティブがfalseに設定されていますが、/private2/*.jspに対してはtrueに設定されています。この設定により、/private2/*.jspファイルへのリクエストで使用されるCookieに別のユーザーがアクセスできないようにします。
この項では、Oracle SSO Plug-Inを使用するためのMicrosoft IIS 6.0リスナーの構成手順について説明します。このプラグインは、単一の.dllファイル(oracle_osso.dll)で構成されています。プラグインをインストールするには、Microsoft IIS 6.0が常駐するホストに.dllをコピーして、次の手順を実行します。
Microsoft Windowsレジストリ エディタを使用して、新しいレジストリ・エントリを作成します。
「スタート」メニューから「ファイル名を指定して実行」を選択し、ダイアログ・ボックスにregeditと入力して「OK」をクリックします。「レジストリ エディタ」ウィンドウが表示されます。
「レジストリ エディタ」ウィンドウで、名前の前のプラス記号(+)をクリックしてHKEY_LOCAL_MACHINEフォルダを開きます。
名前の前のプラス記号(+)をクリックしてSOFTWAREフォルダを開き、「ORACLE」フォルダをクリックします。
「編集」メニューの「新規」→「キー」を選択します。ORACLEフォルダの下に「新しいキー #1」という名前の新規フォルダが追加されます。
キー名としてIIS OSSO Adapterを入力します。
「編集」メニューの「新規」→「文字列値」を選択します。新しい値が「New Value #1」という名前の右ウィンドウ・ペインに追加されます。値の名前にcfg_fileと入力します。
「編集」メニューの「修正」を選択します。「文字列の編集」ダイアログ・ボックスが表示されます。
「値のデータ」フィールドに、作成したOSSO Plug-In構成ファイルのフルパス(たとえば、c:\osso\osso_plugin.conf)を入力します。
|
注意: これはプラグイン構成ファイルであり、SSO登録処理で生成される暗号化されたosso.conf fileではありません。 |
オプションで、d.)からh.)に示した手順を使用して、log_fileおよびlog_levelを指定できます。
名前log_fileとログ・ファイルの格納場所(c:\osss\osso_plugin.logなど)を指定する文字列値を追加します。
名前log_levelと必要なログ・レベルを指定する文字列値を追加します。有効な値は、debug、inform、errorおよびemergです。
「ファイル」メニューから「レジストリ エディタの終了」を選択して、「レジストリ エディタ」ウィンドウを閉じます。
Microsoft IIS管理コンソールを使用し、osso.dllと同じ物理パスを指定して、Microsoft IIS Webサイトに新規の仮想ディレクトリを追加します。
「スタート」→「プログラム」→「管理ツール」→「インターネット インフォメーション サービス(IIS)マネージャ」をクリックして、IISマネージャを開きます。
サーバー名の前のプラス記号(+)をクリックしてserverフォルダを開きます。
「デフォルト・サイト」フォルダを右クリックし、メニューから「新規」→「Virtual Directory」の順にオプションを選択します。
「仮想ディレクトリの作成ウィザード」ウィンドウで、「エイリアス」にossoを入力します。次に、oracle_osso.dllファイルが含まれるディレクトリを参照するかそのパス(たとえば、c:\osso)を入力し、「ISAPIアプリケーションやCGI等を実行する」チェック・ボックスを選択します。
「完了」をクリックして、仮想ディレクトリの作成ウィザードを閉じます。
Microsoft IIS管理コンソールを使用し、Microsoft IIS Webサイトにフィルタとしてoracle_osso.dllを追加します。フィルタ名はossoとし、その実行可能ファイルはoracle_osso.dllファイルを含むディレクトリを指す必要があります。
「デフォルト・サイト」フォルダを右クリックし、メニューから「プロパティ」オプションを選択します。
「既定のWebサイトのプロパティ」ウィンドウで、「ISAPIフィルタ」タブを選択します。
「追加」をクリックして、新しいフィルタを追加します。
「フィルタのプロパティの追加と編集」ウィンドウが表示されます。
「フィルタ名」フィールドに、フィルタ名のossoを入力します。
「実行可能ファイル」フィールドに、oracle_osso.dllが含まれる場所のパス(たとえば、c:\osso\oracle_osso.dll)を入力するか、省略記号(「...」)ボタンをクリックして、oracle_osso.dllファイルが含まれるフォルダに移動します。
「OK」をクリックして、「フィルタのプロパティの追加と編集」ウィンドウを閉じます。
「OK」をクリックして、「既定のWebサイトのプロパティ」ウィンドウを閉じます。
Oracleホーム・ディレクトリのセキュリティ設定を構成します。必ず管理者ユーザーとしてマシンにログインしてください。
Windowsエクスプローラで「ORACLE_HOME\bin」フォルダを右クリックし、メニューから「プロパティ」を選択してから「セキュリティ」タブをクリックします。
「読み取りと実行」権限を指定してIIS_WPG、NETWORKおよびNETWORK SERVICEグループを追加します。
「OK」をクリックします。
Microsoft IIS 6.0サーバーを停止してから再起動します。
|
注意:
|
この項では、Oracle SSO Plug-Inを使用するためのMicrosoft IIS 7.0リスナーの構成手順について説明します。このプラグインは、単一の.dllファイル(oracle_osso.dll)で構成されています。プラグインをインストールするには、Microsoft IIS 7.0が常駐するホストに.dllをコピーして、次の手順を実行します。
A.4.5項「Oracleシングル・サインオンを使用するためのMicrosoft IIS 6.0リスナーの構成」のステップ1を実行し、Microsoft Windowsレジストリ エディタを使用してプラグインに新しいレジストリ・エントリを作成します。
Microsoft IIS管理コンソールを使用し、Microsoft IIS Webサイトにフィルタとしてoracle_osso.dllを追加します。
「スタート」→「プログラム」→「管理ツール」→「インターネット インフォメーション サービス(IIS)マネージャ」をクリックして、IISマネージャを開きます。
サーバー名(たとえば、DSCDAA10-VM6)の前のプラス記号(+)をクリックして、serverフォルダを開きます。
名前の前のプラス記号(+)をクリックしてSitesフォルダを開きます。
「既定のWebサイト」アイコンをクリックして、「既定のWebサイトのホーム」ページを開きます。
「ISAPIフィルタ」アイコンをダブルクリックして「ISAPIフィルタ」ページを開き、次のタスクを完了します。
「操作」ペインで「追加」をクリックして、「ISAPIの追加」ダイアログ・ボックスを開きます。
「フィルタ名」フィールドにossoを入力します。
「実行可能ファイル」フィールドに、oracle_osso.dllが含まれる場所のファイル・システム・パス(たとえば、c:\osso\oracle_osso.dll)を入力するか、省略記号(「...」)ボタンをクリックして、oracle_osso.dllファイルが含まれるフォルダに移動します。
「OK」をクリックします。
Oracleホーム・ディレクトリのセキュリティ設定を構成します。必ず管理者ユーザーとしてマシンにログインしてください。
Windowsエクスプローラで「ORACLE_HOME\bin」フォルダを右クリックし、メニューから「プロパティ」を選択してから「セキュリティ」タブをクリックします。
「読み取りと実行」権限を指定してIIS_WPG、NETWORKおよびNETWORK SERVICEグループを追加します。
「OK」をクリックします。
「コントロール パネル」の「サービス」を開き、World Wide Web Publishing Serviceをいったん停止して再起動することにより、Microsoft IISサーバーを再起動します。
|
注意:
|
この項では、一般的な問題および解決策について説明します。
パスにORACLE_HOMEを含めていない可能性があります。
解決策
UNIXの場合、ライブラリ・パス変数にORACLE_HOME/libが含まれていることを確認します。Microsoft Windowsの場合、パスにORACLE_HOME\binが含まれていることを確認します。
osso.logファイルで引き続きこのメッセージを受け取る場合は、A.4.4項「Oracle SSO Plug-Inの構成」の説明に従って、すべての構成ファイルが正しく構成されていることを確認します。
Microsoft IIS用Oracle SSO Plug-InがHTML認証で機能しない場合
Oracle SSO Plug-Inは、他の認証モジュールと連動しない設計になっています。認証は、ネイティブなリスナー認証モジュールまたはサード・パーティ・モジュールのいずれかです。
