| Oracle® Fusion Middleware Oracle HTTP Serverのインストールと構成 12c (12.2.1) E69937-01 |
|
 前 |
この付録の内容は次のとおりです。
Oracle HTTP ServerはWebサーバー・プラグインであり、HTTPリクエストを捕捉して、認証と認可を行うために既存のOracle Access Managerインスタンスに転送します。
Oracle Fusion Middleware 12cの場合、WebGateソフトウェアはOracle HTTP Server 12cソフトウェア・インストールの一部としてインストールされます。
WebGateの詳細は、『Oracle Access Management管理者ガイド』のOAM 11gエージェントの登録および管理を参照してください。
Oracle HTTP Server 12c WebGateを構成可能にするには、動作保証されたOracle Access Managerのバージョンがインストールおよび構成されている必要があります。このドキュメントの公開時点では、Oracle Access Managerのサポート対象バージョンは11gリリース2 (11.1.2.2)および11gリリース2 (11.1.2.3)でした。最新の詳細は、Oracle Fusion Middlewareのサポートされるシステム構成ページで、ご使用のリリース向けの動作保証情報のドキュメントを参照してください。
注意:
本番環境の場合、Oracle Access Managerは、エンタープライズ・デプロイメントをホストしているマシンではなく、独自の環境にインストールすることを強くお薦めします。
Oracle Access Managerの詳細は、Oracleヘルプ・センターのミドルウェア・ドキュメント内にある最新のOracle Identity and Access Managementドキュメントを参照してください。
Oracle HTTP Server 12c WebGate for Oracle Access Managerを構成する手順は次のとおりです。
次に例を示します。
OHS_ORACLE_HOMEを、Oracle HTTP ServerソフトウェアをインストールしたOracleホームへの完全なパスに置き換えます。
DOMAIN_HOME/config/fmwconfig/components/OHS/ohs_instance_name
Oracle HTTP Server Oracleホームの次の場所に、ディレクトリを変更します。
(UNIX) cd OHS_ORACLE_HOME/webgate/ohs/tools/deployWebGate/
(Windows) cd OHS_ORACLE_HOME\webgate\ohs\tools\deployWebGate\
次のコマンドを実行し、WebGateインスタンス・ディレクトリを作成し、OHSインスタンスでのWebGateロギングを有効にします。
(UNIX) ./deployWebGateInstance.sh -w OHS_CONFIG_DIR-oh OHS_ORACLE_HOME
(Windows) deployWebGateInstance.bat -w OHS_CONFIG_DIR-oh OHS_ORACLE_HOME
webgateディレクトリおよびサブディレクトリがdeployWebGateInstanceコマンドによって作成されていることを確認します。
UNIXの場合の例:
ls -lart OHS_CONFIG_DIR/webgate/
total 6
drwxr-x---+ 8 orcl oinstall 20 Oct 2 07:14 ..
drwxr-xr-x+ 4 orcl oinstall 4 Oct 2 07:14 .
drwxr-xr-x+ 3 orcl oinstall 3 Oct 2 07:14 tools
drwxr-xr-x+ 3 orcl oinstall 4 Oct 2 07:14 config
次のコマンドを実行してLD_LIBRARY_PATH環境変数を設定します。
(UNIX) export LD_LIBRARY_PATH=$LD_LIBRARY_PATH:OHS_ORACLE_HOME/lib
(Windows) set Path%PATH%=%PATH%;OHS_ORACLE_HOME\bin
ディレクトリを次のディレクトリに変更します。
(UNIX) cd OHS_ORACLE_HOME/webgate/ohs/tools/EditHttpConf
(Windows) cd OHS_ORACLE_HOME\webgate\ohs\tools\EditHttpConf
次のコマンドをInstallToolsディレクトリから実行します。
(UNIX) ./EditHttpConf -w OHS_CONFIG_DIR [-oh OHS_ORACLE_HOME] [-o output_file_name] [-dcc custom_dcc_scripts/pages_location]
(Windows) EditHttpConf -w OHS_CONFIG_DIR [-oh OHS_ORACLE_HOME] [-o output_file_name] [-dcc custom_dcc_scripts\pages_location]
このコマンドでは次の処理が行われます。
Oracle HTTP Server Oracleホーム内のapache_webgate.templateファイルを、Oracle HTTP Server構成ディレクトリ内の新しいwebgate.confファイルにコピーします。
httpd.confファイルを更新して1行を追加し、webgate.confが含まれるようにします。
WebGate構成ファイルを生成します。このファイルのデフォルト名はwebgate.confですが、コマンドに対してoutput_file引数を使用することにより、カスタム名を使用できます。
oamsso/logout.html、oamsso-bin/login.pまたはlogout.pllスクリプトなど)をカスタマイズするには、これらのスクリプトを次の場所から、EditHttpConfユーティリティに対する-dccパラメータによって識別されるカスタムの場所にコピーします。ORACLE_HOME/webgate/ohs/
Oracle Access Manager管理コンソールを使用すると、Oracle Access ManagerにWebGateエージェントを登録できます。詳細は、『Oracle Fusion Middleware Oracle Access Management管理者ガイド』のコンソールを使用したOAMエージェントの登録に関する項を参照してください。
詳細は、以下のトピックを参照してください。
RREGツールを設定するには、次の手順を実行します。
アプリケーション層でOracle Access Managerホストの1つにログインします。
Oracle Access Manager Oracleホームの次のディレクトリに、ディレクトリを変更します。
OAM_ORACLE_HOME/oam/server/rreg/client
この例では、OAM_ORACLE_HOMEは、Oracle Access ManagerソフトウェアがインストールされているOracleホームを参照します。
注意:
Oracle Access Managerサーバーに対する権限またはアクセス権がない場合、アウトオブバンド・モードを使用して、必要なファイルを生成し、WebGateをOracle Access Managerに登録する必要があります。詳細は、「RREGインバンドおよびアウトオブバンド・モードについて」を参照してください。oamreg.shファイルを開き、次のように、ファイルに次の環境変数を設定します。
OAM_REG_HOMEを、RREGアーカイブの内容を展開したディレクトリへの絶対パスに設定します。
JDK_HOMEを、サポート対象のJDKがインストールされているマシン上のディレクトリへの絶対パスに設定します。
WebgateエージェントをOracle Access Managerに登録するには、OAM11gRequest.xmlファイル内で必要なプロパティを更新する必要があります。
注意:
提供されているXMLファイル内のほとんどのパラメータに対してデフォルト値を使用する場合、より短いバージョン(OAM11gRequest_short.xml)を使用できます。この場合、リストされているフィールドすべてに対してデフォルト値が採用されます。
このタスクを実行するには、次のようにします。
インバンド・モードを使用している場合、ディレクトリを、ディレクトリ内の次の場所に変更します。
OAM_ORACLE_HOME/oam/server/rreg/client
アウトオブバンド・モードを使用している場合、ディレクトリを、RREGアーカイブを解凍した場所に変更します。
OAM11gRequest.xmlファイル・テンプレートのコピーを作成します。
ファイル内にリストされているプロパティをレビューし、OAM11gRequest.xmlファイルのコピーを更新し、プロパティが使用環境に固有のホスト名および他の値を参照していることを確認します。
| OAM11gRequest.xmlプロパティ | 設定値 |
serverAddress |
Oracle Access Managerドメインの管理サーバーのホストおよびポート。 |
agentName |
エージェントの任意のカスタム名。通常、シングル・サインオン用として構成するFusion Middleware製品を識別する名前を使用します。 |
applicationDomain |
シングル・サインオン用として構成するWeb層ホストおよびFMWコンポーネントを識別する値。 |
security |
Oracle Access Managerサーバーのセキュリティ・モードで、オープン・モード、簡易モードまたは証明書モードがあります。 エンタープライズ・デプロイメントの場合、認証および認可トラフィックの暗号用のカスタム・セキュリティ証明書を実装するための追加要件が存在しない限り、簡易モードをお薦めします。 ほとんどの場合、オープン・モードを使用するとOracle Access Managerサーバーとやり取りするトラフィックが暗号化されないため、オープン・モードは使用しないようにしてください。 証明書モードの使用、またはOracle Access Managerで一般的にサポートされるセキュリティ・モードの詳細は、『Oracle Access Management管理者ガイド』のOAMサーバーとWebGate間の通信の保護に関する項を参照してください。 |
cachePragmaHeader |
プライベート |
cacheControlHeader |
プライベート |
ipValidation |
0 <ipValidation>0<ipValidation> |
ipValidationExceptions |
フロントエンド・ロード・バランサのIPアドレス。次に例を示します。 <ipValidationExceptions> <ipAddress>130.35.165.42</ipAddress> </ipValidation> |
agentBaseUrl |
Oracle HTTP Server 12c WebGateがインストールされているマシンのホストとポート。 |
次のトピックでは、RREGツールを実行してOracle HTTP Server WebgateをOracle Access Managerに登録する方法について説明します。
RREGツールは、インバンドとアウトオブバンドという2つのモードのいずれかで実行できます。
インバンド・モードは、Oracle Access Managerサーバーにアクセスする権限を持ち、RREGツールをOracle Access Manager Oracleホームから自分で実行する場合に使用します。RREGテーブルを実行した後、生成されたアーティファクトおよびファイルをWebサーバー構成ディレクトリにコピーできます。
アウトオブバンド・モードは、Oracle Access Managerサーバーにアクセスする権限を持たない場合に使用します。たとえば、一部の組織では、サーバー・ディレクトリにアクセスしてサーバーに対して管理タスクを実行する権限を持つのがOracle Access Managerサーバー管理者のみである場合があります。アウトオブバンド・モードの場合、このプロセスは次のように機能します。
Oracle Access Managerサーバー管理者から、RREGアーカイブ・ファイル(RREG.tar.gz)のコピーが提供されます。サーバー管理者は、このファイルを、「RREGしたの検索および準備」で説明されている場所で見つけることができます。
サーバー管理者から提供されたRREG.tar.gzファイルを解凍します。
次に例を示します。
gunzip RREG.tar.gz
tar -xvf RREG.tar
RREGアーカイブを解凍した後、エージェントを登録するためのツールを次の場所で見つけることができます。
RREG_HOME/bin/oamreg.sh
この例では、RREGアーカイブの内容を展開したディレクトリはRREG_Homeです。
「OAM11gRequest.xmlファイル内の標準プロパティの更新」の指示に従い、OAM11GRequest.xmlファイルを更新し、完了したOAM11GRequest.xmlファイルをOracle Access Managerサーバー管理者に送信します。
次に、Oracle Access Managerサーバー管理者は、「RREGツールのアウトオブバンド・モードでの実行」の指示に従い、RREGツールを実行し、AgentID_response.xmlファイルを生成します。
Oracle Access Managerサーバー管理者から、AgentID_response.xmlファイルが送信されてきます。
「RREGツールのアウトオブバンド・モードでの実行」の指示に従い、AgentID_response.xmlファイルとともにRREGツールを実行し、クライアント・システムで必要なアーティファクトおよびファイルを生成します。
RREGツールをインバンド・モードで実行するには、次の手順を実行します。
ディレクトリをRREGホーム・ディレクトリに変更します。
インバンド・モードを使用している場合、RREGディレクトリはOracle Access Manager Oracleホーム内にあります。
OAM_ORACLE_HOME/oam/server/rreg/client
アウトオブバンド・モードを使用している場合、RREGホーム・ディレクトリは、RREGアーカイブを解凍した場所です。
ディレクトリを、RREGホーム・ディレクトリ内のbinディレクトリに変更します。
cd RREG_HOME/bin/
ファイルを実行できるようoamreg.shコマンドの権限を設定します。
chmod +x oamreg.sh
次のコマンドを実行します。
./oamreg.sh inband input/OAM11GRequest.xml
この例の説明は、次のとおりです。
編集したOAM11GRequest.xmlファイルはRREG_HOME/inputディレクトリ内にあることが想定されます。
このコマンドの出力結果は、次のディレクトリに保存されます。
RREG_HOME/output/
次の例は、RREGセッションのサンプルです。
Welcome to OAM Remote Registration Tool! Parameters passed to the registration tool are: Mode: inband Filename: /u01/oracle/products/fmw/iam_home/oam/server/rreg/client/rreg/input/OAM11GWCCDomainRequest.xml Enter admin username:weblogic_idm Username: weblogic_idm Enter admin password: Do you want to enter a Webgate password?(y/n): n Do you want to import an URIs file?(y/n): n ---------------------------------------- Request summary: OAM11G Agent Name:WCC1221_EDG_AGENT URL String:null Registering in Mode:inband Your registration request is being sent to the Admin server at: http://host1.example.com:7001 ---------------------------------------- Jul 08, 2015 7:18:13 PM oracle.security.jps.util.JpsUtil disableAudit INFO: JpsUtil: isAuditDisabled set to true Jul 08, 2015 7:18:14 PM oracle.security.jps.util.JpsUtil disableAudit INFO: JpsUtil: isAuditDisabled set to true Inband registration process completed successfully! Output artifacts are created in the output folder.
Oracle Access ManagerサーバーでRREGツールをアウトオブバンド・モードで実行するために、Oracle Access Managerサーバー管理者は次のコマンドを使用します。
RREG_HOME/bin/oamreg.sh outofband input/OAM11GRequest.xml
この例の説明は、次のとおりです。
RREG_HOMEを、サーバー上でRREGアーカイブ・ファイルを解凍した場所に置き換えます。
編集したOAM11GRequest.xmlファイルはRREG_HOME/inputディレクトリ内にあります。
RREGツールにより、このコマンドからの出力(AgentID_response.xmlファイル)が次のディレクトリに保存されます。
RREG_HOME/output/
これにより、Oracle Access Managerサーバー管理者は、AgentID_response.xmlを、OAM11GRequest.xmlファイルを提供したユーザーに送信できます。
Webサーバー・クライアント・マシンでRREGツールをアウトオブバンド・モードで実行するには、次のコマンドを使用します。
RREG_HOME/bin/oamreg.sh outofband input/AgentID_response.xml
この例の説明は、次のとおりです。
RREG_HOMEを、クライアント・システム上でRREGアーカイブ・ファイルを解凍した場所に置き換えます。
Oracle Access Managerサーバー管理者によって提供されたAgentID_response.xmlファイルは、RREG_HOME/inputディレクトリ内にあります。
RREGツールにより、このコマンドからの出力(Webgateソフトウェアを登録するために必要なアーティファクトおよびファイル)がクライアント・マシン上の次のディレクトリに保存されます。
RREG_HOME/output/
RREGツールによって生成されるファイルは、WebGateとOracle Access Managerサーバー間の通信に使用しているセキュリティ・レベルによって異なります。サポートされるセキュリティ・レベルの詳細は、『Oracle Access Management管理者ガイド』のOAMサーバーとWebGate間の通信の保護に関する項を参照してください。
このトピックでは、RREG_HOMEの部分は、RREGしたを実行したディレクトリへのパスに置き換える必要があります。これは通常、Oracle Access Managerサーバー上の次のディレクトリ、または(アウトオブバンド・モードを使用している場合は) RREGアーカイブを解凍したディレクトリです。
OAM_ORACLE_HOME/oam/server/rreg/client
次の表に、Oracle Access Managerのセキュリティ・レベルとは関係なくRREGツールによって常に生成されるアーティファクトをリストします。
| ファイル | 場所 |
cwallet.sso |
RREG_HOME/output/Agent_ID/ |
ObAccessClient.xml |
RREG_HOME/output/Agent_ID/ |
次の表に、Oracle Access Managerに対してSIMPLEまたはCERTセキュリティ・レベルを使用している場合に作成される追加ファイルをリストします。
| ファイル | 場所 |
aaa_key.pem |
RREG_HOME/output/Agent_ID/ |
aaa_cert.pem |
RREG_HOME/output/Agent_ID/ |
password.xml |
RREG_HOME/output/Agent_ID/ |
password.xmlファイルには、SSLで使用される秘密鍵を暗号化するための不明瞭化されたグローバル・パスフレーズが含まれます。このパスフレーズは、サーバーで使用されているパスフレーズと異なるものを使用できます。
RREGによって生成されたこれらのファイルを使用して証明書リクエストを生成し、サードパーティの認証局に署名を求めることができます。既存の証明書をインストールするには、既存のaaa_cert.pemおよびaaa_chain.pemファイルをpassword.xmlおよびaaa_key.pemと合せて使用する必要があります。
RREGツールによって必要なアーティファクトが生成された後、RREG_Home/output/agent_IDディレクトリからWeb層ホスト上のOracle HTTP Server構成ディレクトリにアーティファクトを手動でコピーします。
Oracle HTTP Server構成ディレクトリ内のファイルの場所は、Oracle Access Managerのセキュリティ・モードの設定(OPEN、SIMPLEまたはCERT)によって異なります。
次の表に、Oracle HTTP構成ディレクトリ内に生成される各アーティファクトに必要な場所をOracle Access Managerのセキュリティ・モードの設定に基づいてリストします。ディレクトリが存在しない場合は作成する必要がある場合もあります。たとえば、構成ディレクトリ内にwalletディレクトリが存在しない場合があります。
注意:
エンタープライズ・デプロイメントの場合、認証および認可トラフィックの暗号用のカスタム・セキュリティ証明書を実装するための追加要件が存在しない限り、簡易モードをお薦めします。ここでは、便宜上、オープン・モードまたは証明書モードの使用に関する情報を示しています。
オープン・モードを使用するとOracle Access Managerサーバーとやり取りするトラフィックが暗号化されないため、オープン・モードは使用しないようにしてください。
証明書モードの使用、またはOracle Access Managerで一般的にサポートされるセキュリティ・モードの詳細は、『Oracle Access Management管理者ガイド』のOAMサーバーとWebGate間の通信の保護に関する項を参照してください。
ファイル |
OPENモードの使用時の場所 |
SIMPLEモードの使用時の場所 |
CERTモードの使用時の場所 |
wallet/cwallet.sso |
OHS_CONFIG_DIR/webgate/config/wallet |
OHS_CONFIG_DIR/webgate/config/wallet/ |
OHS_CONFIG_DIR/webgate/config/wallet/ |
ObAccessClient.xml |
OHS_CONFIG_DIR/webgate/config |
OHS_CONFIG_DIR/webgate/config/ |
OHS_CONFIG_DIR/webgate/config/ |
password.xml |
N/A | OHS_CONFIG_DIR/webgate/config/ |
OHS_CONFIG_DIR/webgate/config/ |
aaa_key.pem |
N/A | OHS_CONFIG_DIR/webgate/config/simple/ |
OHS_CONFIG_DIR/webgate/config/ |
aaa_cert.pem |
N/A | OHS_CONFIG_DIR/webgate/config/simple/ |
OHS_CONFIG_DIR/webgate/config/ |
注意:
ObAccessClient.xmlを新しいディレクトリにコピーする場合、WEBHOST1上にある最初のOracle HTTP Serverの場所のキャッシュ場所から古いObAccessClient.xmlファイルを削除する必要があります。OHS_DOMAIN_HOME/servers/ohs1/cache/config/
また、WEbHOST2上の2番目のOracle HTTP Serverインスタンスに対しても同様の手順を実行する必要があります。
OHS_DOMAIN_HOME/servers/ohs2/cache/config/
Oracle HTTP Serverインスタンスの再起動の詳細は、『Oracle HTTP Serverの管理』のWLSTを使用したOracle HTTP Serverインスタンスの再起動に関する項を参照してください。
WebLogic ServerドメインにOracle HTTP Serverを構成した場合、Oracle Fusion Middleware Controlを使用してOracle HTTP Serverインスタンスを再起動することもできます。詳細は、『Oracle HTTP Server管理者ガイド』のFusion Middleware Controlを使用したOracle HTTP Serverインスタンスの再起動に関する項を参照してください。
