10 エンタープライズ・デプロイメント用の初期インフラストラクチャ・ドメインの作成
この章では、インフラストラクチャ・ドメインの作成、データベース・スキーマの作成、およびインフラストラクチャ・ドメインの構成で使用する変数について説明します。
- インフラストラクチャ・ドメインの作成時に使用する変数
インフラストラクチャ・ドメインの作成中に、この項に示すディレクトリ変数を参照します。 - 初期インフラストラクチャ・ドメインの理解
Oracle Fusion Middleware Infrastructureの初期ドメインを作成する前に、次の重要な概念を確認してください。 - WCCHOST1へのOracle Fusion Middleware Infrastructureのインストール
エンタープライズ・デプロイメント用の新規ドメインを構成する準備として、次の各項を使用してOracle Fusion Middleware Infrastructureソフトウェアをインストールします。 - データベース・スキーマの作成
Oracle Fusion Middlewareコンポーネントでは、Fusion Middleware Infrastructureドメインを構成する前に、データベースにスキーマが存在していることが必要になります。このトピックの動作保証されたデータベースにリストされているスキーマを、このリリースのOracle Fusion Middlewareと組み合せて使用するためにインストールします。 - インフラストラクチャ・ドメインの構成
構成ウィザードを使用して、エンタープライズ・デプロイメント・トポロジ用のWebLogicドメインを作成および構成できます。 - 管理サーバーの起動
ドメインを作成したら、WCCHOST1上で次のタスクを実行できます。 - 新しいLDAPオーセンティケータの作成とエンタープライズ・デプロイメント・ユーザーおよびグループのプロビジョニング
Oracle Fusion Middlewareドメインを構成すると、このドメインはデフォルトでWebLogic Server認証プロバイダ(DefaultAuthenticator)を使用するよう構成されます。ただし、エンタープライズ・デプロイメントの場合は、専用の集中管理型のLDAP準拠の認証プロバイダを使用することをお薦めします。
上位トピック: 「エンタープライズ・ドメインの構成」
インフラストラクチャ・ドメインの作成時に使用する変数
インフラストラクチャ・ドメインの作成中に、この項に示すディレクトリ変数を参照します。
ディレクトリ変数は、「このガイドで使用するファイル・システムとディレクトリ変数」で定義されています。
-
ORACLE_HOME
-
APPLICATION_HOME
-
JAVA_HOME
さらに、「エンタープライズ・デプロイメント用の必須IPアドレスの予約」で定義されている次の仮想IP (VIP)アドレスとホスト名を参照することになります。
-
ADMINVHN
-
WCCHOST1
-
WCCHOST2
-
DBHOST1
-
DBHOST2
-
Oracle RACデータベースのSCANアドレス(
DB-SCAN.example.com)
初期インフラストラクチャ・ドメインの理解
Oracle Fusion Middleware Infrastructureの初期ドメインを作成する前に、次の重要な概念を確認してください。
インフラストラクチャ・ディストリビューションについて
エンタープライズ・デプロイメントの初期インフラストラクチャ・ドメインの作成には、Oracle Fusion Middleware Infrastructureディストリビューションを使用します。このディストリビューションには、Oracle WebLogic ServerソフトウェアとOracle JRFソフトウェアの両方が含まれています。
Oracle JRFソフトウェアは、Oracle Web Services Manager、Oracle Application Development Framework (Oracle ADF)、Oracle Enterprise Manager Fusion Middleware Control、リポジトリ作成ユーティリティ(RCU)およびOracle Fusion Middleware製品のサポートに必要なその他のライブラリおよびテクノロジで構成されています。
このガイドの後半では、エンタープライズ・デプロイメントに必要なOracle Fusion Middleware製品をサポートするために、そのドメインを拡張します。
『Oracle Fusion Middlewareの理解』のOracle Fusion Middleware Infrastructureの理解に関する項を参照してください。
親トピック: 初期インフラストラクチャ・ドメインの理解
初期インフラストラクチャ・ドメインの特徴
次の表に、初期インフラストラクチャ・ドメインの主な特徴を示します。これらの特徴を確認して理解することで、ドメインの構成手順の目的やコンテキストに対する理解が深まります。
これらの特徴の多くは、「標準的なエンタープライズ・デプロイメントの理解」で詳しく説明しています。
| ドメインの特徴 | 詳細情報 |
|---|---|
|
管理サーバーのみを含む。管理対象サーバーがドメインに追加されるのは、後でOracle Fusion Middleware製品を含むように初期ドメインを拡張するとき。 |
|
|
管理サーバーに別個の仮想IP (VIP)アドレスを使用。 |
|
|
ドメインごとのノード・マネージャ構成を使用。 |
|
|
別途インストールされたLDAPベースの認証プロバイダが必要。 |
親トピック: 初期インフラストラクチャ・ドメインの理解
WCCHOST1へのOracle Fusion Middleware Infrastructureのインストール
エンタープライズ・デプロイメント用の新規ドメインを構成する準備として、次の各項を参照してOracle Fusion Middleware Infrastructureソフトウェアをインストールします。
- サポートされているJDKのインストール
- WCCHOST1でのインフラストラクチャ・インストーラの起動
- Infrastructureインストール画面のナビゲート
- 他のホスト・コンピュータへのOracle Fusion Middleware Infrastructureのインストール
- ディレクトリ構造の確認
Oracle Fusion Middleware InfrastructureをインストールしてOracleホームを作成した後、このトピックでリストしたディレクトリとサブディレクトリが表示されます。インストールの内容は、インストール中に選択したオプションによって異なります。 - Derbyデータベースの無効化
サポートされているJDKのインストール
Oracle Fusion Middlewareでは、動作保証されたJava Development Kit (JDK)がシステムにインストールされている必要があります。
JDKソフトウェアの検索とダウンロード
動作保証されているJDKを調べるには、Oracle Fusion Middlewareのサポートされるシステム構成ページで、ご使用のリリース向けの動作保証ドキュメントを参照してください。
現在のOracle Fusion MiddlewareリリースのOracle JDKを特定したら、Oracle Technology Networkの次の場所からOracle JDKをダウンロードできます。
http://www.oracle.com/technetwork/java/index.html
Java SE JDKのダウンロードに必ず移動してください。
親トピック: サポートされているJDKのインストール
JDKソフトウェアのインストール
アプリケーション層ホスト上の/u01/oracle/productsにマウントされたVOL1およびVOL2共有記憶域ボリュームにJDKをインストールします。JDKのアップグレード時の再構成に関する問題を回避するために、JDKのフォルダにバージョン番号なしで名前を付けます。例: /u01/oracle/products/jdk。
ノート:
推奨されるマウント・ポイントで複数の製品共有ボリュームが使用されるため、複数のインストールが必要な場合があります。JDKソフトウェアの推奨場所の詳細は、「エンタープライズ・デプロイメント用の推奨ディレクトリ構造の理解」を参照してください。
次の例では、JDK 1.8.0_131の最新バージョンをインストールする方法について説明します。
親トピック: サポートされているJDKのインストール
WCCHOST1でのインフラストラクチャ・インストーラの起動
インストール・プログラムを起動するには、次のステップを実行します。
インストール・プログラムが表示されると、インストールを開始する準備ができています。各インストール・プログラムの説明については、「インストール画面への移動」を参照してください。
Infrastructureインストール画面のナビゲート
インストール・プログラムでは次の表に記載された順番で一連の画面が表示されます。
インストール画面についての詳細情報が必要な場合は、画面名をクリックするか、画面の「ヘルプ」ボタンをクリックしてください。
表10-1 Infrastructureインストール画面のナビゲート
| 画面 | 説明 |
|---|---|
|
UNIXオペレーティング・システムでは、このホストにOracle製品を初めてインストールする場合に、この画面が表示されます。中央インベントリを作成する場所を指定します。この画面で選択したオペレーティング・システム・グループ名には、中央インベントリの場所への書込み権限があることを確認してください。 『Oracle Fusion Middleware Oracle Universal Installerによるソフトウェアのインストール』のOracle Central Inventoryの理解に関する項を参照してください。 ノート: 製品共有ボリューム上で中央インベントリの場所を構成することをお薦めします。例: インストーラが完了した後、 |
|
|
製品のインストーラの紹介画面です。 |
|
|
この画面を使用して、使用可能なパッチを「My Oracle Support」で自動的に検索するか、ユーザーの組織のためにすでにダウンロードされているパッチをローカル・ディレクトリで自動的に検索します。 |
|
|
この画面を使用してOracleホーム・ディレクトリの位置を指定します。 エンタープライズ・デプロイメントのためには、表7-2に示すORACLE_HOME変数の値を入力します。 |
|
|
この画面を使用して、インストールのタイプを選択し、インストールする製品および機能セットを選択します。 このトポロジの場合は、「Fusion Middleware Infrastructure」を選択します。 ノート: このドキュメントのトポロジにサーバーの例は含まれません。本番環境にはサンプルをインストールしないことを強くお薦めします。 |
|
|
この画面では、ご使用のシステムが最小要件を満たしていることを検証します。 警告またはエラー・メッセージが表示される場合、Oracle Technology Network (OTN)のOracle Fusion Middlewareシステム要件と仕様を参照してください。 |
|
|
Oracle Supportアカウントをすでに所持している場合は、この画面を使用して、セキュリティ・アップデートの受取り方法を指定します。 アカウントを所持していないときに、このステップを省略してもかまわない場合は、チェック・ボックスをクリアして、その選択を後続のダイアログ・ボックスで確認します。 |
|
|
この画面を使用して、選択したインストール・オプションを検証できます。これらのオプションをレスポンス・ファイルに保存する場合は、「レスポンス・ファイルの保存」をクリックし、レスポンス・ファイルの場所と名前を指定します。レスポンス・ファイルは、今後、サイレント・インストールを実行する場合に使用できます。 サイレント・インストールまたはコマンドライン・インストールの詳細は、『Oracle Fusion Middleware Oracle Universal Installerによるソフトウェアのインストール』のサイレント・モードでのOracle Universal Installerの使用を参照してください。 |
|
|
この画面では、インストールの進行状況を参照できます。 |
|
|
インストールが完了すると、この画面が表示されます。この画面の情報を確認してから、「終了」をクリックしてインストーラを終了します。 |
他のホスト・コンピュータへのOracle Fusion Middleware Infrastructureのインストール
セカンダリ・ホストに対して個別の共有記憶域ボリュームまたはパーティションを構成している場合は、これらのホストの1つでインフラストラクチャをインストールする必要があります。
「エンタープライズ・デプロイメントをインストールおよび構成する場合の共有記憶域の推奨事項」を参照してください。
トポロジ内の他のホスト・コンピュータにソフトウェアをインストールするには、各ホストにログインして、「WCCHOST1でのインフラストラクチャ・インストーラの起動」と「インフラストラクチャ・インストール画面のナビゲート」の手順に従って、適切な記憶域デバイスにOracleホームを作成します。
ノート:
以前のリリースでは、同一場所に配置されるOracle HTTP Serverインスタンスのセットが推奨エンタープライズ・トポロジに含まれていました。これらのリリースでは、インフラストラクチャをWeb層ホスト(WEBHOST1およびWEBHOST2)にインストールする必要がありました。しかし、このリリースの場合、エンタープライズ・デプロイメント・トポロジでは、Webサーバーがスタンドアロン・モードでインストールおよび構成されると想定しているため、これらがアプリケーション層ドメインに含まれるとは考えられていません。「エンタープライズ・デプロイメント用のWeb層の構成」を参照してください
ディレクトリ構造のチェック
Oracle Fusion Middleware InfrastructureをインストールしてOracleホームを作成すると、次のディレクトリとサブディレクトリが表示されます。インストールの内容は、インストール中に選択したオプションによって異なります。
ディレクトリ構造をチェックするには:
データベース・スキーマの作成
Oracle Fusion Middlewareコンポーネントでは、Fusion Middleware Infrastructureドメインを構成する前に、データベースにスキーマが存在していることが必要になります。このトピックの動作保証されたデータベースにリストされているスキーマを、このリリースのOracle Fusion Middlewareと組み合せて使用するためにインストールします。
-
メタデータ・サービス(MDS)
-
監査サービス(IAU)
-
監査サービスへの追加(IAU_APPEND)
-
監査サービス・ビューア(IAU_VIEWER)
-
OPSS (Oracle Platform Security Services)
-
ユーザー・メッセージング・サービス(UMS)
-
WebLogicサービス(WLS)
-
共通インフラストラクチャ・サービス(STB)
リポジトリ作成ユーティリティ(RCU)を使用して、スキーマを作成します。このユーティリティは各Oracle Fusion Middleware製品のOracleホームにインストールされています。RCUの詳細とスキーマを作成してデータベースに格納する方法の詳細は、Oracle Fusion Middlewareリポジトリ作成ユーティリティによるスキーマの作成のスキーマ作成の準備に関する項を参照してください。
必要なスキーマをインストールするには、次のステップを実行します。
動作保証されたデータベースのインストールと構成
動作保証されたデータベースを適切にインストールして構成し、そのデータベースを起動して稼働させておく必要があります。
「エンタープライズ・デプロイメント用のデータベースの準備」を参照してください。
親トピック: データベース・スキーマの作成
スキーマ作成のためのRCU画面のナビゲート
Fusion Middleware Infrastructureドメインにスキーマを作成するには、この項の手順に従います。
- タスク1 RCUの概要
-
「ようこそ」画面で、RCUのバージョン番号を確認します。「次へ」をクリックして開始します。
- タスク2 スキーマ作成の方法の選択
-
データベースでDBAアクティビティを実行するために必要な権限を持っている場合は、「リポジトリの作成」画面で「システム・ロードおよび製品ロード」を選択します。このドキュメントの手順では、必要な権限があることを想定しています。
データベースに対するDBAアクティビティの実行に必要なパーミッションまたは権限が付与されていない場合は、この画面で、「システム・ロードに対するスクリプトの準備」を選択する必要があります。これによってSQLスクリプトが生成され、データベース管理者に提供できます。Oracle Fusion Middlewareリポジトリ作成ユーティリティによるスキーマの作成のシステム・ロードと製品ロードの理解に関する項を参照してください。
「次」をクリックします。
ヒント:
この画面の選択内容の詳細は、『リポジトリ作成ユーティリティによるスキーマの作成』でリポジトリの作成に関する項を参照してください。
- タスク3 データベース接続の詳細の指定
-
RCUがデータベースに接続できるようにするために、データベース接続の詳細を指定します。
-
「ホスト名」フィールドに、Oracle RACデータベースのSCANアドレスを入力します。
-
RACデータベース・スキャン・リスナーのポート番号(1521など)を入力します。
-
データベースのRAC「サービス名」を入力します。
-
スキーマおよびスキーマ・オブジェクトを作成する権限を持つユーザーの「ユーザー名」(SYSなど)を入力します。
-
ステップ4で指定したユーザー名の「パスワード」を入力します。
-
SYSユーザーを選択した場合、ロールがSYSDBAに設定されていることを確認します。
-
「次へ」をクリックして先に進み、データベースへの接続が成功したことを確認するダイアログ・ウィンドウで、「OK」をクリックします。
ヒント:
この画面のオプションの詳細は、Oracle Fusion Middlewareリポジトリ作成ユーティリティによるスキーマの作成のデータベース接続の詳細に関する項を参照してください。
-
- タスク4 カスタム接頭辞の指定とスキーマの選択
-
-
Oracle Fusion Middlewareスキーマの識別に使用するカスタム接頭辞を指定します。
カスタム接頭辞は、これらのスキーマをこのドメインで使用するために論理的にまとめてグループ化するために使用されます。このガイドでは、
FMW1221_という接頭辞を使用しますヒント:
ここで入力したカスタム接頭辞をノートにとってください。これは後でドメインの作成時に必要になります。
カスタム接頭辞の詳細は、『リポジトリ作成ユーティリティによるスキーマの作成』のカスタム接頭辞の理解に関する項を参照してください。
-
「AS共通スキーマ」を選択します。
「AS共通スキーマ」を選択すると、このセクションのすべてのスキーマが自動的に選択されます。
この項のスキーマが自動的に選択されない場合は、必要なスキーマを選択します。
デフォルトで選択されている2つの必須スキーマがあります。これら(「共通インフラストラクチャ・サービス」(STBスキーマ)および「WebLogicサービス」(WLSスキーマ))を選択解除することはできません。「共通インフラストラクチャ・サービス」スキーマを使用すると、ドメインの構成時にRCUから情報を取得できます。『Oracle Fusion Middlewareリポジトリ作成ユーティリティによるスキーマの作成』のサービス表スキーマの理解に関する項を参照してください。
ヒント:
マルチドメイン環境でスキーマを構成する方法の詳細は、Oracle Fusion Middlewareリポジトリ作成ユーティリティによるスキーマの作成.のスキーマの作成計画に関する項を参照してください。
「次へ」をクリックして先に進み、スキーマ作成の前提条件チェックが成功したことを確認するダイアログ・ウィンドウの「OK」をクリックします。
-
- タスク5 スキーマのパスワードの指定
-
スキーマのパスワードをデータベースに設定する方法を指定してから、パスワードの指定と確認を行います。続行する前にパスワードの複雑さがデータベース・セキュリティ要件を満たしていることを確認します。パスワード・ポリシーを満たしていない場合でも、この時点でRCUでは処理が続行されます。このため、このチェックはRCU自体の外部で実行します。
「次」をクリックします。
ヒント:
この画面で設定したパスワードをノートにとっておく必要があります。これは後でドメインの作成時に必要になります。
- タスク6 必須スキーマの表領域の検証
-
残りの画面のデフォルト設定を受け入れるか、RCUでのOracle Fusion Middlewareスキーマの作成方法および必要な表領域の使用方法をカスタマイズできます。
ノート:
構成ウィザードを使用して、JMSサーバーのJDBCストアおよびトランザクション・ログを使用するようにFusion Middlewareコンポーネントを構成できます。これらのJDBCストアは、Weblogicサービス・コンポーネント表領域に配置されています。現在の環境でトランザクションやJMSアクティビティのレベルが高くなると想定される場合には、環境負荷に応じて<PREFIX>_WLS表領域のデフォルト・サイズを大きくすることができます。
「次」をクリックして続行し、ダイアログ・ウィンドウで「OK」をクリックして表領域の作成を確認します。
RCUおよびその機能と概念の詳細は、『Oracle Fusion Middlewareリポジトリ作成ユーティリティによるスキーマの作成』のリポジトリ作成ユーティリティの理解に関する項を参照してください。
- タスク7 スキーマの作成
-
ロード対象のスキーマのサマリーをレビューし、「作成」をクリックし、スキーマの作成を完了します。
ノート:
障害が発生した場合は、続行する前に、リストされたログ・ファイルをレビューして根本的原因を特定し、問題を解決してから、RCUを使用してスキーマの削除と再作成を行います。
- タスク8 完了サマリーのレビューおよびRCU実行の完了
-
「完了サマリー」画面に達したら、スキーマの作成がすべて正常に完了したことを確認してから、「閉じる」をクリックしてRCUを終了します。
親トピック: データベース・スキーマの作成
スキーマのアクセスの確認
RCUによって作成された新しいスキーマ・ユーザーとしてデータベースに接続することにより、スキーマのアクセスを確認します。SQL*Plusまたは別のユーティリティを使用して接続し、RCUに入力した適切なスキーマ名およびパスワードを入力します。
たとえば:
./sqlplus
SQL*Plus: Release 12.1.0.2.0 Production on Wed Mar 15 03:17:54 2017
Copyright (c) 1982, 2014, Oracle. All rights reserved.
Enter user-name: FMW1221_WLS
Enter password: WLS_schema_password
Last Successful login time: Tue Feb 28 2017 09:37:25 -07:00
Connected to:
Oracle Database 12c Enterprise Edition Release 12.1.0.2.0 - 64bit Production
With the Real Application Clusters, Automatic Storage Management, OLAP, Advanced Analytics and Real Application Testing options
SQL>親トピック: データベース・スキーマの作成
インフラストラクチャ・ドメインの構成
構成ウィザードを使用して、エンタープライズ・デプロイメント・トポロジ用のWebLogicドメインを作成および構成できます。
ドメイン作成に使用可能なその他の方法の詳細は、構成ウィザードを使用したWebLogicドメインの作成のWebLogicドメインの作成、拡張および管理のための追加ツールに関する項を参照してください。
構成ウィザードの起動
ドメインの構成を開始するには、WCCHOST1のOracle Fusion Middleware Oracleホームで次のコマンドを実行します。
ORACLE_HOME/oracle_common/common/bin/config.sh親トピック: インフラストラクチャ・ドメインの構成
インフラストラクチャ・ドメインを構成するための構成ウィザード画面のナビゲート
この項で説明する手順を実行して、目的のトポロジのドメインを作成して構成します。
- タスク1 ドメイン・タイプとドメイン・ホームの場所の選択
-
「構成タイプ」画面で、新規ドメインを作成を選択します。
「ドメインの場所」フィールドで、「このガイドで使用するファイル・システムとディレクトリ変数」の定義に従って、ASERVER_HOME変数の値を指定します。
ヒント:
構成ウィザードのこの画面に示されるその他のオプションの詳細は、『構成ウィザードによるWebLogicドメインの作成』の構成タイプに関する項を参照してください。
- タスク2 構成テンプレートの選択
-
「テンプレート」画面では、「製品テンプレートを使用してドメインを作成」が選択されていることを確認し、次のテンプレートを選択します。
-
Oracle Enterprise Manager - 12.2.1.2.0[em]
このテンプレートを選択すると、次の依存性が自動的に選択されます。
-
Oracle JRF - 12.2.1.2.0[oracle_common]
-
WebLogic Coherenceクラスタの拡張 - 12.2.1.2.0 [wlserver]
-
ヒント:
この画面に示されるオプションの詳細は、構成ウィザードを使用したWebLogicドメインの作成の「テンプレート」に関する項を参照してください。
-
- タスク3 アプリケーション・ホームの場所の選択
-
「アプリケーションの場所」フィールドで、「このガイドで使用するファイル・システムとディレクトリ変数」の定義に従って、APPLICATION_HOME変数の値を指定します。
ヒント:
この画面に示されるオプションの詳細は、構成ウィザードを使用したWebLogicドメインの作成の「アプリケーションの場所」に関する項を参照してください。
- タスク4 管理者アカウントの構成
-
「管理者アカウント」画面では、ドメインに対するデフォルトのWebLogic管理者アカウントにユーザー名とパスワードを指定します。
この画面で指定したユーザー名およびパスワードをノートにとっておいてください。これらの資格証明は後でドメインの管理サーバーを起動して接続する際に必要になります。
- タスク5 ドメイン・モードとJDKの指定
-
「ドメイン・モードおよびJDK」画面では、次の操作を実行します。
-
「ドメイン・モード」フィールドで、「本番」を選択します。
-
「JDK」フィールドでOracle Hotspot JDKを選択します。
「本番モード」をこの画面で選択すると、環境で高度なセキュリティが実現され、アプリケーションのデプロイと管理サーバーの起動でユーザー名とパスワードが必要になります。
ヒント:
開発モードと本番モードの違いなど、この画面のオプションの詳細は、『構成ウィザードによるWebLogicドメインの作成』のドメイン・モードとJDKに関する項を参照してください。
本番モードでは、起動アイデンティティ・ファイルを作成することで、管理サーバーの起動時に必要なユーザー名とパスワードの指定を省略できます。詳細は、「boot.propertiesファイルの作成」を参照してください。
-
- タスク6 データベース構成タイプの指定
-
「RCUデータ」を選択して、この画面に示されるフィールドをアクティブ化します。
「RCUデータ」オプションによってデータベースおよびサービス表(STB)スキーマに接続し、ドメインの構成に必要なスキーマのスキーマ情報を自動的に受け取るように構成ウィザードで指定できます。
ノート:
この画面の「手動構成」を選択した場合は、「JDBCコンポーネント・スキーマ」画面でスキーマのパラメータを手動で入力する必要があります。
「RCUデータ」を選択したら、次の表に示すフィールドに入力します。「データベース構成タイプ」画面の部分的なスクリーン・ショットについては、creating-initial-infrastructure-domain-enterprise-deployment.html#GUID-CF612A2F-B312-458C-9D48-517D2357C2C4__BABHHCBFを参照してください。
フィールド 説明 DBMS/サービス
製品スキーマをインストールするOracle RACデータベースのサービス名を入力します。たとえば:
orcl.example.com
必ずOracle RACデータベース内のすべてのインスタンスの識別に使用される共通サービス名を指定してください。ホスト固有のサービス名は使用しないでください。
ホスト名
Enterprise Deployment Workbookに入力したOracle RACデータベースのSingle Client Access Name (SCAN)アドレスを入力します。
ポート
データベースがリスニングするポート番号を入力します。たとえば、
1521です。スキーマ所有者
スキーマ・パスワード
データベースのサービス表スキーマに接続するためのユーザー名とパスワードを入力します。
これはRCUの「スキーマ・パスワード」画面でサービス表コンポーネントに指定したスキーマ(「データベース・スキーマの作成」を参照)のユーザー名およびパスワードです。
デフォルトのユーザー名は
prefix_STBであり、この場合prefixはRCUで定義したカスタム接頭辞です。データベース接続情報の指定が完了したら、「RCU構成の取得」をクリックします。「接続結果ログ」の次の出力は、操作が成功したことを示しています。
Connecting to the database server...OK Retrieving schema data from database server...OK Binding local schema components with retrieved data...OK Successfully Done.
データベースとの接続に成功したら、「次へ」をクリックします。
ヒント:
「RCUデータ」オプションの詳細は、リポジトリ作成ユーティリティを使用したスキーマの作成のサービス表スキーマの理解に関する項を参照してください。
この画面のその他のオプションの詳細は、『構成ウィザードによるWebLogicドメインの作成』のデータ・ソース・デフォルトに関する項を参照してください
- タスク7 JDBCコンポーネント・スキーマ情報の指定
-
「JDBCコンポーネント・スキーマ」画面に示される値が、すべてのスキーマに対して適切であることを確認します。
前の画面で「RCU構成の取得」を選択しているため、スキーマ表は移入済のはずです。その結果、構成ウィザードはこのドメインに必要なすべてのスキーマのデータベース接続値を検出します。
この時点では、これらの値は単一インスタンスのデータベースに接続するように構成されています。ただし、エンタープライズ・デプロイメントの場合、「エンタープライズ・デプロイメント用のデータベースの準備」の説明のように、可用性の高いReal Application Clusters (RAC)データベースを使用する必要があります。
さらに、各コンポーネント・スキーマでアクティブなGridLinkデータ・ソースを使用することをお薦めします。GridLinkデータ・ソースを使用してRACデータベースに接続する利点の詳細は、高可用性ガイドのデータベースの考慮事項に関する項を参照してください。
データ・ソースをGridLinkに変換するには:
-
スキーマ表の最初のヘッダー行にあるチェック・ボックスを選択することですべてのスキーマを選択します。
-
「GridLinkへ変換」をクリックし、「次へ」をクリックします。
-
- タスク8 GridLink Oracle RACデータベース接続の詳細情報の指定
-
「GridLink Oracle RACコンポーネント・スキーマ」画面で、表10-2とcreating-initial-infrastructure-domain-enterprise-deployment.html#GUID-CF612A2F-B312-458C-9D48-517D2357C2C4__BABJBCFFに示すように、RACデータベースおよびコンポーネント・スキーマへの接続に必要な情報を入力します。
表10-2 「GridLink Oracle RACコンポーネント・スキーマ」画面で選択したフィールドの推奨値
要素 説明と推奨値 「SCAN」、「ホスト名」および「ポート」
「SCAN」チェック・ボックスを選択します。
「ホスト名」フィールドには、Oracle RACデータベースのSingle Client Access Name (SCAN)アドレスを入力します。
「ポート」フィールドには、データベースのSCANリスニング・ポートを入力します(
1521など)「ONSホスト」と「ポート」
「ONSポート」フィールドには、Oracle RACデータベースのSCANアドレスを入力します。
「ポート」フィールドには、ONSリモート・ポートを入力します(通常は
6200)。FANの有効化
「FANの有効化」チェック・ボックスを選択して、FANイベントを受信および処理できるようにします。
この画面で情報を指定する方法の詳細および適切なSCANアドレスの特定方法については、『高可用性ガイド』のOracle RACでのアクティブなGridLinkデータ・ソースの構成に関する項を参照してください。
また、「ヘルプ」をクリックすると、画面の各フィールドの簡単な説明を表示できます。
- タスク9 JDBC接続のテスト
-
「JDBCコンポーネント・スキーマ・テスト」画面を使用して、構成したデータソース接続をテストします。
「ステータス」列に示される緑色のチェック・マークは、テストが成功したことを表します。問題が発生した場合は、この画面の「接続結果ログ」セクションに示されるエラー・メッセージを確認し、問題を修正してから接続テストを再試行してください。
ヒント:
この画面のその他のオプションの詳細は、『構成ウィザードによるWebLogicドメインの作成』のコンポーネント・スキーマのテストに関する項を参照してください
- タスク10 拡張構成の選択
-
目的のトポロジに応じたドメインの構成を完了するには、「拡張構成」画面で次のオプションを選択します。
-
管理サーバー
これは、管理サーバーのリスニング・アドレスを適切に構成するために必要です。
-
ノード・マネージャ
これは、ノード・マネージャを構成するために必要です。
-
トポロジ
これは、管理対象サーバーとクラスタの構成で必要ですが、マシンを構成して管理対象サーバーをマシンにターゲット指定するためにも必要です。
ノート:
構成ウィザードの「拡張構成」画面を使用するときは、次のようにします。
-
この画面で前述のオプションのいずれかが使用可能でない場合は、「テンプレート」画面に戻り、このトポロジに必要なテンプレートが選択されていることを確認します。
-
「ドメイン・フロントエンド・ホストのキャプチャ」拡張構成オプションを選択しないでください。後で、ドメインに対してではなく特定のクラスタに対してフロントエンド・ホスト・プロパティを構成します。
-
- タスク11 管理サーバーのリスニング・アドレスの構成
-
「管理サーバー」画面で、次の手順を実行します。
-
「サーバー名」フィールドで、デフォルト値(
AdminServer)を維持します。 -
「リスニング・アドレス」フィールドに、「エンタープライズ・デプロイメント用のリソースの取得」で取得し、「エンタープライズ・デプロイメント用のホスト・コンピュータの準備」で有効化したADMINVHNのVIPに対応する仮想ホスト名を入力します。
ADMINVHN仮想ホストを使用する理由の詳細は、「エンタープライズ・デプロイメント用の必須IPアドレスの予約」を参照してください。
-
他のフィールドでは、デフォルト値をそのまま使用します。
特に、管理サーバーにサーバー・グループが割り当てられていないことを確認してください。
-
- タスク12 ノード・マネージャの構成
-
ノード・マネージャ・タイプとして「ドメインごとのデフォルトの場所」を選択し、ノード・マネージャへの接続に使用するノード・マネージャ資格証明を指定します。
ヒント:
この画面に示されるその他のオプションの詳細は、構成ウィザードによるWebLogicドメインの作成のノード・マネージャに関する項を参照してください。
ドメインごとのノード・マネージャおよびホストごとのノード・マネージャの実装の詳細は、「標準的なエンタープライズ・デプロイメントのノード・マネージャ構成について」を参照してください。
詳細は、『Oracle WebLogic Serverノード・マネージャの管理』の複数マシンでのノード・マネージャの構成に関する項を参照してください。
- タスク13 管理対象サーバーの構成
-
初期インフラストラクチャ・ドメインには管理対象サーバーはありません。「次へ」をクリックして次の画面に進みます。
- タスク14 クラスタの構成
-
初期インフラストラクチャ・ドメインにはクラスタはありません。「次へ」をクリックして次の画面に進みます。
- タスク15 サーバー・テンプレートの構成
-
初期インフラストラクチャ・ドメインにはサーバー・テンプレートはありません。「次へ」をクリックして次の画面に進みます。
- タスク16 Coherenceクラスタの構成
-
初期インフラストラクチャ・ドメインにはクラスタはありません。「次へ」をクリックして次の画面に進みます。
- タスク17 マシンの作成
-
「マシン」画面を使用して、ドメイン内に新しいマシンを作成します。マシンは、ノード・マネージャでサーバーを起動または停止できるようにするために必要です。
-
「Unixマシン」タブを選択します。
-
「追加」ボタンをクリックして新しいUnixマシンを作成します。
表10-3の値を使用して、新しいマシンの名前およびノード・マネージャ・リスニング・アドレスを定義します。
-
「ノード・マネージャ・リスニング・ポート」フィールドのポート番号を確認します。
この例に示されているポート番号
5556は、このドキュメントの別の例でも引用されることがあります。このポート番号は、必要に応じて各自のポート番号に置換してください。
表10-3 Unixマシンの作成時に使用する値
名前 ノード・マネージャのリスニング・アドレス ノード・マネージャのリスニング・ポート ADMINHOST
ADMINVHN変数の値を入力します。
5556
ヒント:
この画面のオプションの詳細は、『構成ウィザードによるWebLogicドメインの作成』のマシンに関する項を参照してください。
-
- タスク18 マシンへのサーバーの割当て
-
ステップは次のとおりです。
-
「サーバー」ペインで、管理サーバーを選択します。
-
「マシン」ペインで、
「ADMINHOST」を選択します。 -
「次へ」をクリックして次の画面に進みます。
-
- タスク19 仮想ターゲットの確認
-
「次へ」をクリックして次の画面に進みます。
- タスク20 パーティションの確認
-
「次へ」をクリックして次の画面に進みます。
- タスク21 構成の仕様の確認とドメインの構成
-
「構成サマリー」画面には、これから作成するドメインに関する詳細な構成情報が表示されます。この画面に示された各項目の詳細を調べて、情報に間違いがないことを確認します。
変更が必要な場合は、「戻る」ボタンを使用するか、ナビゲーション・ペインで画面を選択することで任意の画面に戻れます。
ドメイン作成は、「作成」をクリックするまでは開始されません。
ヒント:
この画面のオプションの詳細は、『構成ウィザードによるWebLogicドメインの作成』の構成サマリーに関する項を参照してください。
- タスク22 構成の進捗の監視
-
すべてのプロセスが完了したら、「次へ」をクリックして、次の画面に進みます。
- タスク23 ドメイン・ホームと管理サーバーURLのメモ
-
「構成に成功しました」画面には、構成したばかりのドメインについて、次の項目が表示されます。
-
ドメインの場所
-
管理サーバーURL
-
どちらの項目も後で必要になるため、ノートにとっておく必要があります。ドメインの場所は、ノード・マネージャと管理サーバーの起動に使用するスクリプトへのアクセスで必要になります。また、URLは管理サーバーへのアクセスで必要になります。
「終了」をクリックして、構成ウィザードを閉じます。
親トピック: インフラストラクチャ・ドメインの構成
管理サーバーの起動に関する項
ドメインを作成したら、WCCHOST1上で次のタスクを実行できます。
- WCCHOST1上の管理サーバー・ドメイン・ホームでのノード・マネージャの起動
ASERVER_HOMEドメイン・ディレクトリのドメインごとのノード・マネージャを起動するには、次のステップを使用します。 - boot.propertiesファイルの作成
管理サーバーの資格証明を要求されることなく管理サーバーを起動する必要がある場合は、boot.propertiesを作成する必要があります。このステップは、エンタープライズ・デプロイメントでは必須です。管理サーバーを起動すると、このファイルに入力した資格証明は暗号化されます。 - ノード・マネージャを使用した管理サーバーの起動
ドメインを構成し、ノード・マネージャを構成したら、ノード・マネージャを使用して管理サーバーを起動できます。エンタープライズ・デプロイメントでは、ドメイン内の管理サーバーおよびすべての管理対象サーバーの起動および停止にノード・マネージャが使用されます。 - 管理サーバーの検証
構成ステップに進む前に、管理サーバーが正常に起動して実行されていることを検証するために、管理サーバーにインストールおよび構成されているOracle WebLogic Server管理コンソールおよびOracle Enterprise Manager Fusion Middleware Controlへのアクセス権があることを確認します。
WCCHOST1上の管理サーバー・ドメイン・ホームでのノード・マネージャの起動
ASERVER_HOMEドメイン・ディレクトリのドメインごとのノード・マネージャを起動するには、次のステップを使用します。
親トピック: サーバーの起動
boot.propertiesファイルの作成
管理サーバーの資格証明を要求されることなく管理サーバーを起動する必要がある場合は、boot.propertiesを作成する必要があります。このステップは、エンタープライズ・デプロイメントでは必須です。管理サーバーを起動すると、このファイルに入力した資格証明は暗号化されます。
管理サーバーのboot.propertiesファイルを作成するには:
親トピック: サーバーの起動
ノード・マネージャを使用した管理サーバーの起動
ドメインを構成し、ノード・マネージャを構成したら、ノード・マネージャを使用して管理サーバーを起動できます。エンタープライズ・デプロイメントでは、ドメイン内の管理サーバーおよびすべての管理対象サーバーの起動および停止にノード・マネージャが使用されます。
ノード・マネージャを使用して管理サーバーを起動するには:
親トピック: サーバーの起動
管理サーバーの検証
構成ステップに進む前に、管理サーバーが正常に起動して実行されていることを検証するために、管理サーバーにインストールおよび構成されているOracle WebLogic Server管理コンソールおよびOracle Enterprise Manager Fusion Middleware Controlへのアクセス権があることを確認します。
Fusion Middleware Controlに移動するには、次のURLを入力し、Oracle WebLogic Server管理者の資格証明を使用してログインします。
ADMINVHN:7001/em
Oracle WebLogic Server管理コンソールに移動するには、次のURLを入力し、同じ管理者資格証明を使用してログインします。
ADMINVHN:7001/console親トピック: サーバーの起動
新しいLDAPオーセンティケータの作成とエンタープライズ・デプロイメント・ユーザーおよびグループのプロビジョニング
Oracle Fusion Middlewareドメインを構成すると、このドメインはデフォルトでWebLogic Server認証プロバイダ(DefaultAuthenticator)を使用するよう構成されます。ただし、エンタープライズ・デプロイメントの場合は、専用の集中管理型のLDAP準拠の認証プロバイダを使用することをお薦めします。
次の各項では、Oracle WebLogic Server管理コンソールを使用してエンタープライズ・デプロイメント・ドメイン用の新しい認証プロバイダを作成する方法を説明します。この手順では、サポートされているLDAPディレクトリ(Oracle Unified DirectoryやOracle Internet Directoryなど)をすでにインストールおよび構成していることを想定しています。
サポートされている認証プロバイダについて
Oracle Fusion Middlewareでは、様々なLDAP認証プロバイダをサポートしています。『Oracle Platform Security Servicesによるアプリケーションの保護』のアイデンティティ・ストア・タイプおよびWebLogicオーセンティケータに関する項を参照してください。
このガイドの手順では、次のいずれかのプロバイダを使用していることを想定しています。
-
Oracle Unified Directory
-
Oracle Internet Directory
-
Microsoft Active Directory
ノート:
ここに示す手順では、デフォルトで、暗号化されていない形式での単一のLDAPアイデンティティ・ストアに対する問合せをサポートするようにアイデンティティ・サービス・インスタンスを構成する方法を説明します。
SSLを使用してアイデンティティ・プロバイダへの接続を保護する場合、Enterprise Manager Fusion Middleware Controlでロール管理を正しく行うために、追加のキーストア構成が必要です。構成の詳細は、support.oracle.comのドキュメントID 1670789.1を参照してください。
また、LibOVDを使用して、複数のLDAPアイデンティティ・ストアに問合せを行う仮想アイデンティティ・ストアをサポートするようにサービスを構成することもできます。
複数LDAP参照に関する詳細は、『Oracle Platform Security Servicesによるアプリケーションの保護』のアイデンティティ・ストア・サービスの構成に関する項を参照してください。
エンタープライズ・デプロイメントのユーザーおよびグループについて
次の各項では、エンタープライズ・デプロイメント管理ユーザーおよび管理グループの用途と特性に関する重要な情報を提供します。
各ドメインで一意の管理ユーザーの使用について
集中LDAPユーザー・ストアを使用すると、複数のOracle WebLogic Serverドメインで使用するユーザーおよびグループをプロビジョニングできます。その結果、あるWebLogic管理ユーザーがエンタープライズ内のすべてのドメインにアクセスできてしまうことにもなります。
Oracle Fusion Middlewareドメインの管理用にプロビジョニングするユーザーおよびグループにディレクトリ・ツリー内で一意の識別名(DN)を作成して割り当てる方法をお薦めします。
たとえば、Oracle WebCenter Contentエンタープライズ・デプロイメント・ドメインをインストールおよび構成する場合は、weblogic_wccというユーザーとWCCAdministratorsという管理グループを作成します。
ドメイン・コネクタ・ユーザーについて
LDAPディレクトリで個別のドメイン・コネクタ・ユーザー(たとえばwccLDAP)を作成することをお薦めします。このユーザーを使用して、ドメインがユーザー認証の目的でLDAPディレクトリに接続できます。このユーザーは管理ユーザー以外にすることをお薦めします。
標準的なOracle Identity and Access Managementデプロイメントでは、このユーザーをsystemidsコンテナに作成します。このコンテナは、ユーザーに対して通常は表示されないシステム・ユーザーのために使用されます。ユーザーをsystemidsコンテナに含めることで、Oracle Identity Governanceを持つユーザーがこのユーザーを調整しなくなります。
ごく一部の製品(IPMなど)では、LDAPディレクトリのデータを変更する権限を取得するためにドメイン・コネクタ・ユーザーが必要になります。そのような製品が含まれている場合は、ドメイン・コネクタ・ユーザーを管理ユーザーにする必要があります。
集中管理型LDAPディレクトリへのユーザーの追加について
エンタープライズ・ドメインのオーセンティケータになるように集中管理型LDAPディレクトリを構成した後、デフォルトのWebLogic Serverオーセンティケータではなく新しいオーセンティケータにすべての新規ユーザーを追加する必要があります。
新規ユーザーを集中管理型LDAPディレクトリに追加する際にはWebLogic管理コンソールは使用できません。かわりに、適切なLDAP変更ツール(ldapbrowserまたはJXplorerなど)を使用する必要があります。
複数のオーセンティケータを使用している場合(エンタープライズ・デプロイメントの要件)、ログインと認証は機能しますが、ロールの取得は機能しません。ロールは最初のオーセンティケータのみで取得されます。その他のオーセンティケータを使用してロールを取得しようとする場合は、ドメインの仮想化を有効にする必要があります。
仮想化を有効にするには:
-
Fusion Middleware Controlに移動し、管理者の資格証明を使用してログインします。
http://adminvhn:7001/em
-
「WebLogicドメイン」→「セキュリティ」→「セキュリティ・プロバイダ構成」に移動します。
-
「セキュリティ・ストア・プロバイダ」を開きます。
-
「アイデンティティ・ストア・プロバイダ」を展開します。
-
「構成」をクリックします。
-
カスタム・プロパティを追加します。
-
プロパティ
virtualizeを値trueで選択し、「OK」をクリックします。 -
プロパティ
user.create.basesを選択します。このガイド使用されている値の例はcn=users,dc=example,dc=comです。 -
プロパティ
group.create.basesを選択します。このガイド使用されている値の例はcn=groups,dc=example,dc=comです。 -
「OK」を再度クリックし、変更を永続化します。
-
管理サーバーとすべての管理対象サーバーを再起動します。
virtualizeプロパティの詳細は、『Oracle Fusion Middleware Oracle Platform Security Servicesによるアプリケーションの保護』のOPSSシステムおよび構成プロパティに関する項を参照してください。
Oracle WebCenter Contentの製品固有のロールとグループについて
各Oracle Fusion Middleware製品は、管理と監視のために独自の事前定義済ロールおよびグループを実装します。
その結果、ドメインを拡張して他の製品を追加するときに、これらの製品固有のロールをWCCAdministratorsグループに割り当てることができます。ロールがWCCAdministratorsグループに追加されると、各製品管理者ユーザーは管理タスクを実行するための同じ権限セットを使用してドメインを管理できます。
WCCAdministratorsグループに他のロールを追加する手順については、「エンタープライズ・デプロイメントの共通の構成および管理タスク」を参照してください。
このガイドで使用するサンプル・ユーザーとサンプル・グループ
このガイドで使用するサンプルでは、以下に示すDNを持つ次の管理ユーザーおよび管理グループをプロビジョニングすることを想定しています。
-
管理ユーザーのDN:
cn=weblogic_wcc,cn=users,dc=example,dc=com -
管理グループのDN:
cn=WCCAdministrators,cn=groups,dc=example,dc=com -
製品固有のLDAPコネクタ・ユーザー:
cn=これは、WebLogic管理対象サーバーをLDAP認証プロバイダに接続する際に使用するユーザーです。このユーザーには、ディレクトリ・ツリーに対する読取りおよび書込み権限が必要です。wccLDAP,cn=systemids,dc=example,dc=comcn=users,dc=example,dc=com cn=groups,dc=example,dc=com
ノート:
読取りアクセス権と書込みアクセス権を提供するには、このユーザーに次のグループのメンバーシップを付与する必要があります。
cn=orclFAUserReadPrivilegeGroup,cn=groups,dc=example,dc=com
cn=orclFAUserWritePrivilegeGroup,cn=groups,dc=example,dc=com
cn=orclFAGroupReadPrivilegeGroup,cn=groups,dc=example,dc=com
cn=orclFAGroupWritePrivilegeGroup,cn=groups,dc=example,dc=com新しい認証プロバイダの作成と新しいユーザーおよびグループのプロビジョニングの前提条件
新しいLDAP認証プロバイダを作成する前に、関連する構成ファイルをバックアップする必要があります。
ASERVER_HOME/config/config.xml ASERVER_HOME/config/fmwconfig/jps-config.xml ASERVER_HOME/config/fmwconfig/system-jazn-data.xml
さらに、次のディレクトリにある管理サーバーのboot.propertiesファイルをバックアップする必要があります。
ASERVER_HOME/servers/AdminServer/security構成のバックアップ
新しいLDAP認証プロバイダを作成する前に、関連する構成ファイルをバックアップする必要があります。
ASERVER_HOME/config/config.xml ASERVER_HOME/config/fmwconfig/jps-config.xml ASERVER_HOME/config/fmwconfig/system-jazn-data.xml
さらに、次のディレクトリにある管理サーバーのboot.propertiesファイルをバックアップする必要があります。
ASERVER_HOME/servers/AdminServer/security認証プロバイダの仮想化の有効化
複数のオーセンティケータを使用している場合(エンタープライズ・デプロイメントの要件)、ログインと認証は機能しますが、ロールの取得は機能しません。ロールは最初のオーセンティケータのみで取得されます。その他のオーセンティケータを使用してロールを取得しようとする場合は、ドメインの仮想化を有効にする必要があります。
仮想化を有効にするには:
-
管理者のアカウントを使用して、Fusion Middleware Controlにサインインします。たとえば、
weblogicを使用します。http://adminvhn:7001/em
-
「WebLogicドメイン」→「セキュリティ」→「セキュリティ・プロバイダ構成」に移動します。
-
「セキュリティ・ストア・プロバイダ」を開きます。
-
「アイデンティティ・ストア・プロバイダ」を展開します。
-
「構成」をクリックします。
-
カスタム・プロパティを追加します。
-
プロパティvirtualizeを値trueで選択し、「OK」をクリックします。
-
「OK」を再度クリックし、変更を永続化します。
-
管理サーバーとすべての管理対象サーバーを再起動します。
virtualizeプロパティの詳細は、『Oracle Fusion Middleware Oracle Platform Security Servicesによるアプリケーションの保護』のOPSSシステムおよび構成プロパティに関する項を参照してください。
LDAPディレクトリでのドメイン・コネクタ・ユーザーのプロビジョニング
この例では、集中管理型LDAPディレクトリにwccLDAPというユーザーを作成する方法を示します。
LDAPプロバイダでユーザーをプロビジョニングするには:
-
次に示す内容を指定して
domain_user.ldifという名前のLDIFファイルを作成し、保存します。dn: cn=wccLDAP,cn=systemids,dc=example,dc=com changetype: add orclsamaccountname:wccLDAPuserpassword: password objectclass: top objectclass: person objectclass: organizationalPerson objectclass: inetorgperson objectclass: orcluser objectclass: orcluserV2 mail:wccLDAP@example.com givenname:wccLDAPsn:wccLDAPcn:wccLDAPuid:wccLDAPノート:
Oracle Unified Directoryを使用する場合は、LDIFファイルの末尾に次の4つのグループ・メンバーシップを追加して、適切な読取り/書込み権限を付与します。
dn: cn=orclFAUserReadPrivilegeGroup,cn=groups,dc=example,dc=com changetype: modify add: uniquemember uniquemember: cn=wccLDAP,cn=systemids,dc=example,dc=com dn: cn=orclFAGroupReadPrivilegeGroup,cn=groups,dc=example,dc=com changetype: modify add: uniquemember uniquemember: cn=wccLDAP,cn=systemids,dc=example,dc=com dn: cn=orclFAUserWritePrivilegeGroup,cn=groups,dc=example,dc=com changetype: modify add: uniquemember uniquemember: cn=wccLDAP,cn=systemids,dc=example,dc=com dn: cn=orclFAGroupWritePrivilegeGroup,cn=groups,dc=example,dc=com changetype: modify add: uniquemember uniquemember: cn=wccLDAP,cn=systemids,dc=example,dc=com -
LDAPディレクトリでユーザーをプロビジョニングします。
たとえば、Oracle Unified Directory LDAPプロバイダの場合は次のように記述します。
OUD_INSTANCE_HOME/bin/ldapmodify -a \ -h idstore.example.com -D "cn=oudadmin" \ -w password \ -p 1389 \ -f domain_user.ldif
Oracle Internet Directoryの場合:
OID_ORACLE_HOME/bin/ldapadd -h idstore.example.com \ -p 3060 \ -D cn="orcladmin" \ -w password \ -c \ -v \ -f domain_user.ldif
新しい認証プロバイダの作成
新しいLDAPベースの認証プロバイダを構成するには:
-
WebLogic Server管理コンソールにログインします。
-
左のナビゲーション・バーにある「セキュリティ・レルム」をクリックします。
-
myrealmというデフォルト・レルム・エントリをクリックします。
-
「プロバイダ」タブをクリックします。
このレルムに対して
DefaultAuthenticatorというプロバイダが構成されていることに注目してください。これはデフォルトWebLogic Server認証プロバイダです。 -
「チェンジ・センター」で「ロックして編集」をクリックします。
-
「認証プロバイダ」表の下の「新規」ボタンをクリックします。
-
プロバイダの名前を入力します。
資格証明ストアとして使用する予定のLDAPディレクトリ・サービスに基づいて、次のいずれかの名前を使用します。
-
OUDAuthenticator(Oracle Unified Directoryの場合) -
OIDAuthenticator(Oracle Internet Directoryの場合) -
OVDAuthenticator(Oracle Virtual Directoryの場合)
-
-
「タイプ」ドロップダウン・リストでオーセンティケータ・タイプを選択します。
資格証明ストアとして使用する予定のLDAPディレクトリ・サービスに基づいて、次のいずれかのタイプを選択します。
-
OracleUnifiedDirectoryAuthenticator(Oracle Unified Directoryの場合) -
OracleInternetDirectoryAuthenticator(Oracle Internet Directoryの場合) -
OracleVirtualDirectoryAuthenticator(Oracle Virtual Directoryの場合)
-
-
「OK」をクリックして「プロバイダ」画面に戻ります。
-
「プロバイダ」画面の表で、新しく作成したオーセンティケータをクリックします。
-
「制御フラグ」ドロップダウン・メニューで「SUFFICIENT」を選択します。
制御フラグを「SUFFICIENT」に設定すると、そのオーセンティケータがユーザーを正常に認証できる場合はその認証を受け入れ、それ以上のオーセンティケータを起動しません。
認証に失敗した場合、その認証は連鎖内の次のオーセンティケータに渡されます。以降のすべてのオーセンティケータの制御フラグも「SUFFICIENT」に設定されていることを確認してください。特に
DefaultAuthenticatorオプションをチェックして、その制御フラグが「SUFFICIENT」に設定されていることを確認します。 -
「保存」をクリックして制御フラグの設定を保存します。
-
「プロバイダ固有」タブをクリックし、次の表に示すように、使用するLDAPサーバーに固有の詳細を入力します。
この手順では、必須フィールドのみを説明しています。このページのすべてのフィールドの詳細は、次のリソースを参照してください。
-
各フィールドの説明を表示するには、「プロバイダ固有」タブの「ヘルプ」をクリックします。
-
「ユーザー・ベースDN」、「名前指定によるユーザー・フィルタ」、「ユーザー属性」の各フィールドの設定に関する詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverセキュリティの管理』のOracle Internet DirectoryおよびOracle Virtual Directory認証プロバイダでのユーザーおよびグループの構成に関する項を参照してください。
パラメータ サンプル値 値の説明 ホスト
たとえば:
idstore.example.comLDAPサーバーのサーバーID。
ポート
たとえば:
1389LDAPサーバーのポート番号。
プリンシパル
たとえば:
cn=wccLDAP, cn=systemids,dc=example,dc=comLDAPサーバーへの接続に使用されるLDAPユーザーのDN。
資格証明
LDAPパスワードを入力します。
LDAPサーバーへの接続に使用されるパスワード。
SSLの有効化
未選択(クリア)
LDAPサーバーに接続するときにSSLプロトコルを使用するかどうかを指定します。
ユーザー・ベースDN
たとえば:
cn=users,dc=example,dc=comユーザーが開始時に使用するDNを指定します。
すべてのユーザーのフィルタ
(&(uid=*)(objectclass=person))「すべてのユーザーのフィルタ」のデフォルトの検索条件のかわりに、
uid値に基づくすべてのユーザーを検索します。LDAPディレクトリ構造のユーザー・オブジェクト・クラスの「ユーザー名属性」が
uid以外のタイプである場合は、「名前指定によるユーザー・フィルタ」で、そのタイプを変更します。たとえば、「ユーザー名属性」のタイプが
cnである場合は、このフィールドを次のように設定する必要があります。(&(cn=*)(objectclass=person)))
名前指定によるユーザー・フィルタ
たとえば:
(&(uid=%u)(objectclass=person))
LDAPディレクトリ構造のユーザー・オブジェクト・クラスの「ユーザー名属性」が
uid以外のタイプである場合は、「名前指定によるユーザー・フィルタ」の設定で、そのタイプを変更します。たとえば、「ユーザー名属性」のタイプが
cnである場合は、このフィールドを次のように設定する必要があります。(&(cn=%u)(objectclass=person)))ユーザー名属性
たとえば:
uidグループの名前を指定するLDAPユーザー・オブジェクトの属性。
グループ・ベースDN
たとえば:
cn=groups,dc=example,dc=comグループ・ノードを指すDNを指定します。
取得したユーザー名をプリンシパルとして使用する
チェック・ボックスを選択
オンにする必要があります。
GUID属性
entryuuidOracleUnifiedDirectoryAuthenticatorがOUDで使用されるとき、この値にはentryuuidが事前に移入されます。認証プロバイダとしてOracle Unified Directoryを使用している場合は、この値を確認します。 -
-
「保存」をクリックして変更を保存します。
-
右側のナビゲーション・ペインで「セキュリティ・レルム」をクリックし、デフォルトのレルム名(myrealm)と「プロバイダ」を順にクリックして「プロバイダ」ページに戻ります。
-
「並替え」をクリックし、表示されたページを使用して、作成したプロバイダを認証プロバイダのリストの先頭に配置します。
-
「OK」をクリックします。
-
「プロバイダ」ページで、DefaultAuthenticatorをクリックします。
-
「制御フラグ」ドロップダウンから、SUFFICIENTを選択します。
-
「保存」をクリックしてDefaultAuthenticatorの設定を更新します。
-
チェンジ・センターで、変更のアクティブ化をクリックします。
-
管理サーバーを再起動します。
ノード・マネージャを使用して管理サーバーを停止および起動するには:
-
WLSTを起動します。
cd ORACLE_COMMON_HOME/common/bin ./wlst.sh -
構成ウィザードでドメインを作成したときに定義した、次のノード・マネージャ資格証明を使用してノード・マネージャに接続します。
wls:/offline>nmConnect('nodemanager_username','nodemanager_password', 'ADMINVHN','5556','domain_name', 'ASERVER_HOME') -
管理サーバーを停止します。
nmKill('AdminServer') -
管理サーバーを起動します。
nmStart('AdminServer') -
WLSTを終了します。
exit()
-
-
再起動後に、次のログ・ファイルの内容を確認します。
ASERVER_HOME/servers/AdminServer/logs/AdminServer.logLDAP接続エラーが発生していないことを確認します。たとえば、次のようなエラーを探します。
The LDAP authentication provider named "OUDAuthenticator" failed to make connection to ldap server at ...
ログ・ファイルでこのようなエラーが見つかった場合は、認可プロバイダ接続の詳細をチェックして、それらが適切であることを確認し、管理サーバーの保存と再起動をもう一度試みます。
-
再起動後、LDAP接続エラーがログ・ファイルに記述されていないことを確認し、LDAPプロバイダ内に存在するユーザーとグループの参照を試みます。
管理コンソールで、「セキュリティ・レルム」→「myrealm」→「ユーザーとグループ」ページに移動します。LDAPプロバイダ構造内に存在するすべてのユーザーおよびグループを表示できるようになります。
エンタープライズ・デプロイメント管理ユーザーおよび管理グループのプロビジョニング
この例では、weblogic_wccというユーザーとWCCAdministratorsというグループを作成する方法を示します。
LDAPプロバイダで管理ユーザーおよび管理グループをプロビジョニングするには:
-
次に示す内容を指定して
admin_user.ldifという名前のLDIFファイルを作成し、保存します。dn: cn=weblogic_wcc,cn=users,dc=example,dc=com changetype: add orclsamaccountname:weblogic_wccuserpassword: password objectclass: top objectclass: person objectclass: organizationalPerson objectclass: inetorgperson objectclass: orcluser objectclass: orcluserV2 mail:weblogic_wcc@example.com givenname:weblogic_wccsn:weblogic_wcccn:weblogic_wccuid:weblogic_wcc -
LDAPディレクトリでユーザーをプロビジョニングします。
たとえば、Oracle Unified Directory LDAPプロバイダの場合は次のように記述します。
OUD_INSTANCE_HOME/bin/ldapmodify -a \ -h idstore.example.com -D "cn=oudadmin" \ -w password \ -p 1389 \ -f admin_user.ldif
Oracle Internet Directoryの場合:
OID_ORACLE_HOME/bin/ldapadd -h idstore.example.com \ -p 3060 \ -D cn="orcladmin" \ -w password \ -c \ -v \ -f admin_user.ldif
-
次に示す内容を指定して
admin_group.ldifという名前のLDIFファイルを作成し、保存します。dn: cn=WCCAdministrators,cn=Groups,dc=example,dc=com displayname:WCCAdministratorsobjectclass: top objectclass: groupOfUniqueNames objectclass: orclGroup uniquemember: cn=weblogic_wcc,cn=users,dc=example,dc=com cn:WCCAdministratorsuniquemember: cn=wccLDAP, cn=systemids, dc=example, dc=com cn:WCCAdministratorsdescription: Administrators Group for the Oracle WebCenter Content Domain -
LDAPディレクトリでグループをプロビジョニングします。
Oracle Unified Directoryの場合:
OUD_INSTANCE_HOME/bin/ldapmodify -a \ -D "cn=oudadmin" \ -h oudhost.example.com \ -w password \ -p 1380 \ -f admin_group.ldif
Oracle Internet Directoryの場合:
OID_ORACLE_HOME/bin/ldapadd -h oidhost.example.com \ -p 3060 \ -D cn="orcladmin" \ -w password \ -c \ -v \ -f admin_group.ldif
-
変更が正常に行われたことを確認します。
-
Oracle WebLogic Server管理コンソールにログインします。
-
コンソールの左ペインで「セキュリティ・レルム」をクリックします。
-
デフォルト・セキュリティ・レルム(myrealm)をクリックします。
-
「ユーザーとグループ」タブをクリックします。
-
プロビジョニングした管理者ユーザーおよびグループがページに表示されていることを確認します。
-
新しい管理グループへの管理ロールの追加
Oracle Internet Directoryにユーザーおよびグループを追加したら、WebLogicドメインのセキュリティ・レルム内でそのグループに管理ロールを割り当てる必要があります。これにより、このグループに属するすべてのユーザーがそのドメインの管理者になることができます。
管理ロールを新しいエンタープライズ・デプロイメント管理グループに割り当てるには:
- 表の「グローバル・ロール」エントリを開き、「ロール」をクリックします。
- 「管理」ロールをクリックします。
