この項では、OAM 10gバージョン10.1.4.x(以上)を構成する手順について説明します。 OAM 11gの構成の詳細は、「OAM 11gの構成」を参照してください。
アクセス・ゲート・ソフトウェアをダウンロードしてインストールするには、次の手順を実行します:
GCCライブラリをダウンロードしてインストールします。 これらは、オペレーティング・システムのベンダーから取得することも、http://gcc.gnu.org
から取得することもできます。 Oracle Access Manager 10.1.4サードパーティ統合ディスクの内容の説明を次のロケーションで参照できます:
http://www.oracle.com/technetwork/middleware/ias/downloads/10gr3-webgates-integrations-readme-154689.pdf
64ビットのOAM Access Server SDKを次の場所からダウンロードします。
http://download.oracle.com/otn/linux/ias/101401/oam_int_linux_v7_cd3.zip
GCCライブラリを抽出、解凍およびコピーするために、次のコマンドを実行します:
cat as_linux_x86_gcc_runtime_lib_access_manager_101401.cpio | cpio -idmv unzip Oracle_Access_Manager10_1_4_0_1_linux_GCClib.zip cp lib* /usr/local/lib/
RUEIサーバーでアクセス・ゲート・ソフトウェアを構成するには、次の手順を実行します:
次のコマンドを実行して、OAMアクセス・サーバーSDK配布セットを解凍し、インストーラを実行します:
unzip oam_int_linux_v7_cd3.zip ./Oracle_Access_Manager10_1_4_2_5_linux64_AccessServerSDK
デフォルトでは、OAM Access Server SDKは/opt/netpoint/AccessServerSDK/
ディレクトリにインストールされます。
注意:
Access Gate SDKのインストール・ウィザードの実行中に指定されるユーザーは、ruei.conf
構成ファイルでRUEI_USERに指定されているものと同じです(表2-3を参照)。
configureAccessGate
ユーティリティを使用してXMLファイルを作成することで、RUEIとアクセス・サーバー間の信頼関係を作成します。 次のコマンドを実行します。
cd /opt/netpoint/AccessServerSDK/oblix/tools/configureAccessGate ./configureAccessGate -i /opt/netpoint/AccessServerSDK/ -t AccessGate
ユーティリティの実行中に、先ほど作成したアクセス・ゲートの構成に基づいて、次の情報を指定します。
Please enter the Mode in which you want the AccessGate to run : 1(Open) 2(Simple) 3(Cert) : 1 Please enter the AccessGate ID :short_name
Please enter the Password for this AccessGate : Please enter the Access Server ID : accessSrv1 Please enter the Access Server Host Machine Name :fully_qualified_hostname
Please enter the Access Server Port : 6021 Preparing to connect to Access Server. Please wait. AccessGate installed Successfully. Press enter key to continue ...
ここで、short_name
はアクセス・ゲートIDを指定し、fully_qualified_hostname
はOAMアクセス・サーバー・システム・ホスト名です。
この時点で、RUEIレポータ・システムがOAMアクセス・サーバーに接続されます。 Access Server SDKのインストール・パスを反映するために、/etc/ruei.conf
構成ファイルでOBACCESS_INSTALL_DIR
変数を更新します。 デフォルトのインストール・パスの場合、必要な行は次のようになります。
export OBACCESS_INSTALL_DIR=/opt/netpoint/AccessServerSDK/
「システム」 > 「メンテナンス」 > 「システム・リセット」を選択してRUEI処理を再開始し、「システム処理の再起動」オプションを選択します。
次へをクリックします。 要求されたら、再起動を確認します。
Oamベースのセッションの正しいトラッキングを有効にするには、RUEI内で次の構成情報を指定する必要があります:
OAMに基づくユーザーIDに必要なすべてのアプリケーションを構成します。 これには、各必須アプリケーションの概要でユーザーIDタブをクリックし、新規ソースの追加項目をクリックします。
「ソース・タイプ」メニューで、Oracle Access Managerオプションを選択します。
保存をクリックします。
「構成」 > 「アプリケーション」、「セッション・トラッキング」の順に選択します。 RUEIインストール用に構成されているcookieテクノロジのリストに、Oracle Access Managerアイテムが含まれていることを確認します。 デフォルトでは、Cookie名ObSSOcookie
が使用されます。
注意:
OAMベース・トラフィックが正しくレポートされるようにするには、OAM CookieのマスキングをCookieマスキング機能内で「プレーン」として構成する必要があります(「構成」 > 「セキュリティ」 > 「マスキング」 > 「Cookieマスキング」を選択)。
RUEIシステム・アクセス・ゲートがOAMリクエストを処理するまで、アクセス・ゲートのアクセス・サーバー・リストをリクエストする際に次のメッセージが表示されます:
Not Responding AM service status mismatch
RUEIのOAMアクセス・ゲートを作成するには、次の手順を実行します:
WebブラウザでOracle Access Managerサーバー・インタフェースにアクセスします。 必要なURLがわからない場合は、OAMのシステム管理者に問い合せてください。 図7-1のページが表示されます。
アクセス・システム・コンソール・リンクをクリックします。 図7-2のページが表示されます。
アクセス・システム構成タブをクリックします。 図7-3のページが表示されます。
ページの左側にある新規アクセス・ゲートの追加オプションをクリックします。 図7-4のページが表示されます。
次の情報を入力します。
アクセス・ゲート名: 新規アクセス・ゲートの一意のIDを入力します。 たとえば、ruei
を指定します。
ホスト名: RUEIレポータ・システムのホスト名を入力します。
Port: Oamベース・トラフィックをモニターするポートRUEIを入力します。 ここにはポート443を指定します。
アクセス・ゲート・パスワード: RUEIレポータ・システムを認可してOAMサーバーにアクセスするために使用するパスワードを入力します。
アクセス・ゲート・パスワードの再入力: 認可パスワードを確認します。
優先HTTPホスト: SERVER_NAME
を入力します。
残りのフィールドは、空白のままにすることも、デフォルト値を指定することもできます。
保存をクリックします。
「アクセス・サーバーのリスト」をクリックし、新規作成したアクセス・ゲートを必要なアクセス・サーバーに接続します。 表示されたリストから必要なアクセス・サーバーを選択し、「追加」をクリックします。
アクセス・サーバーが表示されない場合、「追加」をクリックして、新しいアクセス・ゲートをデフォルトのアクセス・サーバーに追加します。
OAM_REMOTE_USERヘッダー変数を構成するには、次の手順を実行します:
「図7-1」の画面の上部に表示されているように、ポリシー・マネージャ・リンクをクリックします。
認可ルールタブから、時間ベースのアクセスをクリックし、アクションをクリックします。
"認証の成功"で、次のヘッダー変数を構成します:
Type=headervar、Name=OAM_REMOTE_USERおよびReturn Attribute=cn。
保存をクリックします。
アクセス管理画面を次に示します。
この項では、OAM 11gを構成する手順について説明します。 OAM 10gの構成の詳細は、「OAM 10gの構成」を参照してください。
RUEIでは、OAM 11g (R2PS3 BP02)保護Webアプリケーションを監視して、OAMで提供されるユーザー識別情報をレポートできます。 OAMは、暗号化されたcookieで各ユーザー・セッションについてこの情報を提供し、適切に構成されたらRUEIで監視および復号化します。 ユーザー識別(ユーザーId)は復号化されたコンテンツから抽出され、RUEIで使用されます。
共有AESキーは、RUEIでOAM 11g cookie (OAM_DIAG_CTS)の復号化に使用できる各OAMサーバーに使用できます。 このキーをOAMサーバーから抽出し、RUEIレポータにアップロードする必要があります。 RUEIでは、グローバルなOAM AESキーをアップロードし、アプリケーションごとに鍵をアップロードできます。 アプリケーションのOAM AESキーはグローバルOAMのAESキーをオーバーライドします。
次の手順を使用して鍵をエクスポートします:
WebLogic Serverコンソールを起動し、次のコマンドを実行します:
$MW_HOME/Oracle_IDM1/common/bin/wlst.sh
次のコマンドを実行して、WebLogic Serverに接続します:
Connect('user','password','t3://hostname:port')
キーを取得するには、次のWLSTコマンドを実行します:
retreiveDiagnosticCookieKey( keystoreLocation="keystoreLocation", password="password")
ここで、
keystoreLocation
は、出力JKSファイルを格納する既存のディレクトリです。また、password
はJKSファイルの暗号化に使用するパスワードです。
RUEI側で、oam-key.sh
ツールを使用してOAM AESキーを追加または削除します。 グローバル・キーをインポートするか、1つ以上のアプリケーション固有のキーをインポートします。
インポート・プロセス中にコレクタ・プロファイル名を指定して、すべてのプロファイルをリストし、次のコマンドを実行する必要があります:
execsql config_get_profiles
アプリケーション固有のキーを使用する場合、インポート・プロセス時にアプリケーション名を指定して、すべてのアプリケーション名をリストする必要があります。次のコマンドを実行します:
execsql get_matches
必要なパスワードを収集します。 インポート中に、次のパスワードがリクエストされます:
元のキー・パスワード - これは、OAMサーバーからのJSKエクスポート中に指定されたパスワードです。 このパスワードはJKSキーストア・ファイルを復号化するために使用されます。
鍵記憶域パスフレーズ - これは、RUEIがAES鍵を安全に格納および暗号化するために使用するパスワードです。
グローバル・キーをインポートするには、次のコマンドを実行します:
oam-key.sh install PATH_TO_JKS_FILE 'Collector Profile Name'
ここで、PATH_TO_JKS_FILEはエクスポート時に作成されたJKSファイルのロケーションです。
アプリケーション固有のキーをインポートするには、次のコマンドを実行します:
oam-key.sh install PATH_TO_JKS_FILE 'Collector Profile Name' 'Application Name'
ここで、Application Name
はアプリケーションの名前です。
OAM 11gを構成した後、Oracle Access Manager 11gに基づいてアプリケーションにユーザーidソースを追加できます。 詳細は、「Oracle RUEIユーザー・ガイド」の「OAMおよびSSOベース・トラフィックのモニタリング」を参照してください。