18 マルチデータ・センターの構成
この節では、以下のトピックについて説明します。
18.1 マルチデータ・センターを設定する前に
マルチデータ・センター(MDC)の構成プロセスを続行する前に、システム・レベル要件が満たされていることを確認します。
-
適用可能なWebゲートがすべて構成された完全に機能するOracle Access Management環境があることを確認します。
-
パートナ(Webゲートまたはエージェント)は、単一のデータ・センターに固定されるため、パートナ登録は個別のデータ・センターで実行されます。
-
Access Managerおよびエージェントがデプロイされているマシンのクロックが同期している必要があります。MDCではないAccess Managerクラスタでは、Webゲート・エージェントのクロックがAccess Managerサーバーと同期している必要があります。この要件は、MDCにも適用されます。クロックが同期していない場合は、トークン検証の一貫性がなくなり、結果として、トークン失効までの期間、有効期間、タイムアウトなどに関する動作が期待どおりではなくなります。
-
マルチデータ・センター・トポロジ内のアイデンティティ・ストアの名前は同一であることが必要です。
-
WebLogic Serverドメインはデータ・センターにまたがることはありません。
-
マスターおよびクローン・データ・センターのOAM管理対象サーバーが、SSLで終了する単一のロード・バランサをフロント・エンドとしていることを確認します。このロード・バランサは、ユーザー・セッション内のすべてのリクエストを一貫して同じバックエンド・サーバーに送信する必要があり(永続性、固定性)、トラフィックを地理的にルーティングする必要があります(地理的アフィニティ)。サーバーを再起動する前に、このロード・バランサがマスター・データ・センターのOAM管理コンソールで構成されているかどうか確認します。
-
データ・センター間にファイアウォールがある場合は、Oracle Accessプロトコル(OAP)チャネル経由で通信を許可する必要があります。この場合、必要なポートを開き、接続の存続時間を考慮する必要があります。後者に関しては、Webゲート・プロファイルのMaxSessionTimeパラメータをファイアウォールのタイムアウト値未満に設定する必要があります。
-
マスターおよびクローン・データ・センターのOAM管理サーバーは、SSL対応である必要があります。
-
マスターおよびクローン・データ・センターの管理対象サーバーは、すべて同じセキュリティ・モードで構成する必要があります。
-
付属の証明書を使用してOAM ServersとWebゲートの間の通信を保護するには、SIMPLEモードを使用します。
-
信頼できるサード・パーティの認証局(CA)にアクセスする場合はCERTモードを使用します。
-
-
マスターおよびクローン・データ・センターにIDストアが構成され、同じ名前を持っていること。
18.2 主要なマルチデータ・センターのユースケース
プライマリMDCデプロイメントは、アクティブ/アクティブ、およびアクティブ/スタンバイのユースケースを含みます。
表18-1に、主要なMDCユースケースを示します。
表18-1 MDCユースケース
MDCデプロイメント | MDCポリシー | リモート・セッションの検証 | リモートDCからのユーザーを処理するデータ・センターでのセッション同期 | リモート・セッションの終了 | ユーザーに対するチャレンジ |
---|---|---|---|---|---|
アクティブ/アクティブ |
SessionMustBeAnchoredToDataCenterServicingUser=false SessionDataRetrievalOnDemand=true Reauthenticate=false SessionDataRetrievalOnDemandMax_retry_attempts=<number> SessionDataRetrievalOnDemandMax_conn_wait_time=<milliseconds> SessionContinuationOnSyncFailure= false MDCGitoCookieDomain=<sub domain> |
はい |
はい |
いいえ |
有効なセッションがリモート・データ・センターで見つからないとき |
アクティブ/スタンバイ |
SessionMustBeAnchoredToDataCenterServicingUser=false SessionDataRetrievalOnDemand=true Reauthenticate=false SessionDataRetrievalOnDemandMax_retry_attempts=<number> SessionDataRetrievalOnDemandMax_conn_wait_time=<milliseconds> SessionContinuationOnSyncFailure= true MDCGitoCookieDomain=<sub domain> |
検証できない(リモート・データ・センターが停止しているため) |
いいえ(リモート・データ・センターが停止しているため) |
終了できない(リモート・データ・センターが停止しているため) |
いいえ 有効なCookie内の詳細情報を使用してローカル・セッションを作成することにより、シームレスなアクセスを提供 |
18.3 マルチデータ・センターでのマスターおよびクローンの設定
MDC機能は、デフォルトでは無効になっています。Access Manager MDCを設定するには、最初にAccess Managerクラスタを1つ設定し、すべてのMDCグローバル構成を設定し、このクラスタをマスター・データ・センターとして指定します。
データ・センター1クラスタ、データ・センター2クラスタおよびその4つのノードが構成され、マルチデータ・センター構成用に準備されていることを確認します。「マルチデータ・センターを設定する前に」を参照してください。
マスター・データ・センターの設定
次のようにMDC ADMIN REST APIを使用して、MDC環境用のマスター・データ・センターを構成します。
-
マスター・データ・センターを構成するには、適切な値を使用して次のコマンドを実行します。
curl -k -u weblogic:password -H 'Content-Type: application/json' -X POST 'https://oamadmin1-dc1.poc.com:7002/oam/services/rest/mdc/master' -d '{"mdcTopologyType":"value", "masterMDCAgentID":"value","cloneMDCAgentID":"value", "accessClientPassword":"value","artifactPassword":"value","cloneServerURL":"value","agentKeyPassword":"value","certModeKeystorePassword":"value","masterServerURL":"value", "cloneAdminUserNamePassword":"value","trustStorePath":"value", "keyStorePath":"value", "artifactsZipLocation":"value"}'
-
mdcTopologyType: MDC構成で利用できる2つのトポロジ・タイプ(ACTIVE_ACTIVEまたはDISASTER_RECOVERY)の1つを選択します。
-
masterMDCAgentID: マスター・データ・センターのMDC NAPエージェント名を入力します。
-
cloneMDCAgentID: クローン・データ・センターのMDC NAPエージェント名を入力します。
-
accessClientPassword: マスターおよびクローン・データ・センターでMDC NAPエージェントが使用するために必要なパスワードを提供します。
-
artifactPassword: クローニング・アーティファクトを保護するために使用されるパスワードを提供します。
-
cloneServerURL: クローン管理サーバーのURLまたはクローン管理サーバーのフロント・エンドとなっているリバース・プロキシのURLを入力します。
-
(CERTモードのみ) agentKeyPassword: CERTモードでパートナの登録に使用したエージェント・キー・パスワードを入力します。
-
(CERTモードのみ) certModeKeystorePassword:
clientTrustStore.jks
およびclientKeyStore.jks
を保護するために使用したキーストア・パスワードを入力します。 -
(オプション) masterServerURL: マスター管理サーバーのURLまたはマスター管理サーバーのフロント・エンドとなっているリバース・プロキシのURLを入力します。
-
(オプション) cloneAdminUserNamePassword: マスターおよびクローン・データ・センターの管理者のユーザー名およびパスワードが異なる場合、クローン・データ・センターの管理者のユーザー資格証明を入力します。
-
(オプション)trustStorePath: SIMPLEまたはCERTモードに応じて次のように入力します。
-
SIMPLEモードの場合:
oamclient-truststore.jks
ファイルへのパスを指定します(このファイルが$MW_HOME/user_projects/domains/OAMDomain/output/webgate-ssl-SHA-256/
以外のフォルダにある場合) -
CERTモードの場合:
clientTrustStore.jks
ファイルへのパスを指定します(このファイルが$MW_HOME/user_projects/domains/OAMDomain/config/fmwconfig/oam-mdc-cert-artifacts/
以外のフォルダにある場合)
-
-
(オプション)keyStorePath: SIMPLEまたはCERTモードに応じて次のように入力します。
-
SIMPLEモードの場合:
oamclient-keystore.jks
ファイルへのパスを指定します(このファイルが$MW_HOME/user_projects/domains/OAMDomain/output/webgate-ssl-SHA-256/
以外のフォルダにある場合) -
CERTモードの場合:
clientKeyStore.jks
ファイルへのパスを指定します(このファイルが$MW_HOME/user_projects/domains/OAMDomain/config/fmwconfig/oam-mdc-cert-artifacts/
以外のフォルダにある場合)
-
-
(オプション) artifactsZipLocation: クローニング・アーティファクトを格納する場所を指定します(クローニング・アーティファクトを
/tmp
以外の場所に格納する必要がある場合にのみ指定します)
アクティブ/アクティブMDCトポロジを使用してSIMPLEおよびCERTモードでマスター・データ・センターを構成するためのサンプルCurlコマンドを次に示します。- CERTモードの使用:
curl -k -u weblogic:password -H 'Content-Type: application/json' -X POST 'https://oamadmin1-dc1.poc.com:7002/oam/services/rest/mdc/master' -d '{"mdcTopologyType":"ACTIVE_ACTIVE", "masterMDCAgentID":"MDCmasterNAPagent","cloneMDCAgentID":"MDCcloneNAPagent", "accessClientPassword":"password","artifactPassword":"password","cloneServerURL":"https://oamadmin1-dc2.poc.com:7002","cloneAdminUserNamePassword":"weblogic:password","agentKeyPassword":"password", "certModeKeystorePassword":"password"}'
- SIMPLEモードを使用する場合:
curl -k -u weblogic:password -H 'Content-Type: application/json' -X POST 'https://oamadmin1-dc1.poc.com:7002/oam/services/rest/mdc/master' -d '{"mdcTopologyType":"ACTIVE_ACTIVE", "masterMDCAgentID":"MDCmasterNAPagent","cloneMDCAgentID":"MDCcloneNAPagent", "accessClientPassword":"password","artifactPassword":"password","cloneServerURL":"https://oamadmin1-dc2.poc.com:7002","cloneAdminUserNamePassword":"weblogic:password"}'
Oracle Access Managerのマルチデータ・センターREST APIのMDC Master REST APIに関する項を参照してください。
-
クローン・データ・センターの設定
次のようにMDC ADMIN REST APIを使用して、MDC環境用のクローン・データ・センターを構成します。
-
クローン・データ・センターを構成するには、適切な値を使用して次のコマンドを実行します。
curl -k -u weblogic:password -H 'Content-Type: application/json' -X POST 'https://oamadmin1-dc2.poc.com:7002/oam/services/rest/mdc/clone' -d '{"masterServerURL":"value","artifactPassword":"value","masterAdminUserNamePassword":"value", "artifactsZipLocation":"value", "masterArtifactsZipLocation":"value"}'
-
masterServerURL: マスター管理サーバーのURLまたはマスター管理サーバーのフロント・エンドとなっているリバース・プロキシのURLを入力します。
-
artifactPassword: アーティファクトのクローン作成を保護する、マスター・データ・センターの設定時に使用されたのと同じパスワードを指定します
-
(オプション) masterAdminUserNamePassword: マスターおよびクローン・データ・センターの管理者のユーザー名およびパスワードが異なる場合、クローン・データ・センターの管理者のユーザー資格証明を入力します。
-
(オプション)artifactsZipLocation: バックアップ・アーティファクトをクローン・データ・センターに格納する場所を指定します(クローン・データ・センターに存在するアーティファクトは、マスター・アーティファクトに置換される前にバックアップされます)。バックアップ・アーティファクトを
/tmp
以外の場所に格納する必要がある場合にのみ指定します。 -
(オプション) masterArtifactsZipLocation: クローニング・アーティファクトをマスター・データ・センターに配置する場所を指定します。マスター・データ・センターの構成中に、入力でartifactsZipLocationを使用した場合にのみ指定します。
クローン・データ・センターを構成するためのサンプルCurlコマンドを次に示します。curl -k -u weblogic:password -H 'Content-Type: application/json' -X POST 'https://oamadmin1-dc2.poc.com:7002/oam/services/rest/mdc/clone' -d '{"masterServerURL":"https://oamadmin1-dc1.poc.com:7002/","artifactPassword":"password","masterAdminUserNamePassword":"password"}'
Oracle Access Managerのマルチデータ・センターREST APIのMDC Clone REST APIに関する項を参照してください。
-
-
クローン・データ・センターを再構成するには、次のコマンドを実行します。
curl -k -u weblogic:password -H 'Content-Type: application/json' -X POST ' https://oamadmin1-dc2.poc.com:7002/oam/services/rest/mdc/clone/configuration'
ノート:
このコマンドに入力パラメータは不要です。フラグのDataCenterTypeがCloneに更新されます。クローンを上書き禁止にするには、WLSTコマンドのsetMultiDataCenterWrite(WriteEnabledFlag="false")
を実行します。これで、クローン構成に対する更新はすべて無視されます。Oracle Access Managerのマルチデータ・センターREST APIのMDC Reconfigure Clone REST APIに関する項を参照してください。
これで、1つのマスター・データ・センターと1つのクローン・データ・センターの設定に成功しました。
18.4 既存のマルチデータ・センター設定への他のクローン・データ・センターの追加
マスターおよびクローン・データ・センターで12.2.1.3.0バイナリを使用している場合、既存のMDC環境に他のクローン・データ・センターを追加できます。
-
オプションで、マスターおよびクローン・データ・センター上で診断REST APIを実行して、MDC構成設定を表示できます。
curl -k -u weblogic:password 'https://oamadmin1-dc1.poc.com:7002/oam/services/rest/mdc/configuration' curl -k -u weblogic:password 'https://oamadmin1-dc2.poc.com:7002/oam/services/rest/mdc/configuration'
コマンドの出力で次のことを確認します。
-
診断REST APIがマスターで実行された場合
dcConfigMap
エントリで、MultiDataCenterEnabled
がtrueであること、MultiDataCenterPartners
が既存のMDCパートナを含むこと、およびagentMap
エントリがMDCパートナに関連付けられたエージェントの情報を含むことが必要です。 -
診断REST APIがクローンで実行された場合
dcConfigMap
エントリで、MultiDataCenterEnabled
がfalseであること、MultiDataCenterPartners
リストが空であること、およびagentMap
エントリが空であることが必要です。
Oracle Access Managerのマルチデータ・センターREST APIのMDC Diagnostic REST APIに関する項を参照してください。
-
-
適切な値を使用して次のコマンドを実行し、新しいクローンをマスター・データ・センターに追加します。
curl -k -u weblogic:password -H 'Content-Type: application/json' -X POST 'https://oamadmin1-dc1.poc.com:7002/oam/services/rest/mdc/master/clone' -d '{"cloneMDCAgentID":"value", "accessClientPassword":"value","artifactPassword":"value","cloneServerURL":"value","agentKeyPassword":"value","certModeKeystorePassword":"value", "cloneAdminUserNamePassword":"value","trustStorePath":"value", "keyStorePath":"value", "artifactsZipLocation":"value"}'
-
cloneMDCAgentID: 新しいクローン・データ・センターのMDC NAPエージェント名を入力します。
-
accessClientPassword: 新しいクローン・データ・センターでMDC NAPエージェントを使用するために必要なパスワードを提供します。
-
artifactPassword: クローニング・アーティファクトを保護するために使用されるパスワードを提供します。
-
cloneServerURL: 新しいクローン管理サーバーのURLまたは新しいクローン管理サーバーのフロント・エンドとなっているリバース・プロキシのURLを入力します。
-
(CERTモードのみ) agentKeyPassword: CERTモードで新しいクローン・パートナの登録に使用したエージェント・キー・パスワードを入力します。
-
(CERTモードのみ) certModeKeystorePassword:
clientTrustStore.jks
およびclientKeyStore.jks
を保護するために使用したキーストア・パスワードを入力します。 -
(オプション) cloneAdminUserNamePassword: マスターおよび新しいクローン・データ・センターの管理者のユーザー名およびパスワードが異なる場合、新しいクローン・データ・センターの管理者のユーザー資格証明を入力します。
-
(オプション) trustStorePath: SIMPLEまたはCERTモードに応じて次のように入力します。
-
SIMPLEモードの場合、
oamclient-truststore.jks
ファイルへのパスを指定します(このファイルが$MW_HOME/user_projects/domains/OAMDomain/output/webgate-ssl-SHA-256/
以外のフォルダにある場合)。 -
CERTモードの場合、
clientTrustStore.jks
ファイルへのパスを指定します(このファイルが$MW_HOME/user_projects/domains/OAMDomain/config/fmwconfig/oam-mdc-cert-artifacts/
以外のフォルダにある場合)。
-
-
(オプション)keyStorePath: SIMPLEまたはCERTモードに応じて次のように入力します。
-
SIMPLEモードの場合、
oamclient-keystore.jks
ファイルへのパスを指定します(このファイルがDOMAIN_HOME/output/webgate-ssl-SHA-256/
以外のフォルダにある場合)。 -
CERTモードの場合、
clientKeyStore.jks
ファイルへのパスを指定します(このファイルが$MW_HOME/user_projects/domains/OAMDomain/config/fmwconfig/oam-mdc-cert-artifacts/
以外のフォルダにある場合)。
-
-
(オプション) artifactsZipLocation: クローニング・アーティファクトを格納する場所を指定します(クローニング・アーティファクトを
/tmp
以外の場所に格納する必要がある場合にのみ指定します)
SIMPLEおよびCERTモードで管理対象サーバーを構成するためのサンプルCurlコマンドを次に示します。Oracle Access Managerのマルチデータ・センターREST APIのMDC Clone REST APIに関する項を参照してください。- CERTモードの使用:
curl -u weblogic:password -H 'Content-Type: application/json' -X POST 'https://oamadmin1-dc1.poc.com:7002/oam/services/rest/mdc/master/clone' -d '{"cloneMDCAgentID":"CloneNAPAgent2","accessClientPassword":"password","artifactPassword":"password","cloneServerURL":"https://oamadmin1-dc2.poc.com:7002","agentKeyPassword":"password","certModeKeystorePassword":"password"}'
- SIMPLEモードを使用する場合:
curl -u weblogic:password -H 'Content-Type: application/json' -X POST 'https://oamadmin1-dc1.poc.com:7002/oam/services/rest/mdc/master/clone' -d '{"cloneMDCAgentID":"CloneNAPAgent2","accessClientPassword":"password","artifactPassword":"password","cloneServerURL":"https://oamadmin1-dc2.poc.com:7002"}'
-
-
クローン・データ・センターを構成するには、適切な値を使用して次のコマンドを実行します。
curl -k -u weblogic:password -H 'Content-Type: application/json' -X POST 'https://oamadmin1-dc2.poc.com:7002/oam/services/rest/mdc/clone' -d '{"masterServerURL":"value","artifactPassword":"value","masterAdminUserNamePassword":"value", "artifactsZipLocation":"value", "masterArtifactsZipLocation":"value"}'
-
masterServerURL: マスター管理サーバーのURLまたはマスター管理サーバーのフロント・エンドとなっているリバース・プロキシのURLを入力します。
-
artifactPassword: アーティファクトのクローン作成を保護する、マスター・データ・センターの設定時に使用されたのと同じパスワードを指定します
-
(オプション) masterAdminUserNamePassword: マスターおよびクローン・データ・センターの管理者のユーザー名およびパスワードが異なる場合、クローン・データ・センターの管理者のユーザー資格証明を入力します。
-
(オプション) artifactsZipLocation: バックアップ・アーティファクトをクローン・データ・センターに格納する場所を指定します(クローン・データ・センターに存在するアーティファクトは、マスター・アーティファクトに置換される前にバックアップされます)。バックアップ・アーティファクトを
/tmp
以外の場所に格納する必要がある場合にのみ指定します。 -
(オプション)masterArtifactsZipLocation: クローニング・アーティファクトをマスター・データ・センターに配置する場所を指定します。マスター・データ・センターの構成中に、入力でartifactsZipLocationを使用した場合にのみ指定します。
クローン・データ・センターを構成するためのサンプルCurlコマンドを次に示します。curl -k -u weblogic:password -H 'Content-Type: application/json' -X POST 'https://oamadmin1-dc2.poc.com:7002/oam/services/rest/mdc/clone' -d '{"masterServerURL":"https://oamadmin1-dc1.poc.com:7002/","artifactPassword":"password","masterAdminUserNamePassword":"password"}'
-
-
クローン・データ・センターを再構成するには、次のコマンドを実行します。
curl -k -u weblogic:password -H 'Content-Type: application/json' -X POST ' https://oamadmin1-dc2.poc.com:7002/oam/services/rest/mdc/clone/configuration'
ノート:
このコマンドに入力パラメータは不要です。フラグのDataCenterTypeがCloneに更新されます。クローンを上書き禁止にするには、WLSTコマンドのsetMultiDataCenterWrite(WriteEnabledFlag="false")
を実行します。これで、クローン構成に対する更新はすべて無視されます。 -
クローン管理および管理対象サーバーを再起動します。
-
MDC構成を検証するには、マスターおよびクローン・データ・センター上で次の診断REST APIを実行します。
curl -k -u weblogic:password 'https://oamadmin1-dc1.poc.com:7002/oam/services/rest/mdc/configuration' curl -k -u weblogic:password 'https://oamadmin1-dc2.poc.com:7002/oam/services/rest/mdc/configuration'
-
パートナおよびポリシー情報をデータ・センター1のノード1からエクスポートし、データ・センター2のノード1にインポートします。
-
エクスポートするには、
$MW_HOME/oracle_common/common/bin
ディレクトリに移動し、WLSTを実行してデータ・センター1のノード1からエクスポートします。./wlst.sh connect() exportAccessStore(toFile=”<name and location of the master metadata ZIP file>”, namePath=”/”) exit()
-
エクスポートしたファイル(つまり、
<マスター・メタデータZIPファイルの名前と場所>
)をデータ・センター1、ノード1から、データ・センター2、ノード1にコピーします。インポートするには、$MW_HOME/oracle_common/common/bin
ディレクトリに移動し、WLSTを実行してデータ・センター2のノード1にインポートします。./wlst.sh connect() importAccessStore(fromFile=”<name and location of master metadata ZIP file>”, namePath=”/”) exit()
-
パートナおよびポリシー情報をマスター・データ・センターからクローン・データ・センターにエクスポートした後、引き続き「自動ポリシー同期の有効化」の説明に従ってAPSの有効化のステップを実行します。
18.5 マルチデータ・センターのセキュリティ・モード
次の各項では、セキュリティ・モードについて詳しく説明します。
18.5.1 OPENセキュリティ・モード
MDC Admin RESTコマンドを使用してマスター・データ・センターをOPENモードで設定し、例に示すように次の必須およびオプションのMDCパラメータを提供します。
curl -k -u weblogic:password -H 'Content-Type: application/json' -X POST 'https://oamadmin1-dc1.poc.com:7002/oam/services/rest/mdc/master' -d '{"mdcTopologyType":"value", "masterMDCAgentID":"value","cloneMDCAgentID":"value", "accessClientPassword":"value","artifactPassword":"value","cloneServerURL":"value","agentKeyPassword":"value","certModeKeystorePassword":"value","masterServerURL":"value", "cloneAdminUserNamePassword":"value", "artifactsZipLocation":"value"}'
-
mdcTopologyType: MDC構成で利用できる2つのトポロジ・タイプ(ACTIVE_ACTIVEまたはDISASTER_RECOVERY)の1つを選択します。
-
masterMDCAgentID: マスター・データ・センターのMDC NAPエージェント名を入力します。
-
cloneMDCAgentID: クローン・データ・センターのMDC NAPエージェント名を入力します。
-
accessClientPassword: マスターおよびクローン・データ・センターでMDC NAPエージェントを使用するために必要なパスワードを提供します。
-
artifactPassword: クローニング・アーティファクトを保護するために使用されるパスワードを提供します。
-
cloneServerURL: クローン管理サーバーのURLまたはクローン管理サーバーのフロント・エンドとなっているリバース・プロキシのURLを入力します。
-
(オプション) masterServerURL: マスター管理サーバーのURLまたはマスター管理サーバーのフロント・エンドとなっているリバース・プロキシのURLを入力します。
-
(オプション) cloneAdminUserNamePassword: マスターおよびクローン・データ・センターの管理者のユーザー名およびパスワードが異なる場合、クローン・データ・センターの管理者のユーザー資格証明を入力します。
-
(オプション) artifactsZipLocation: クローニング・アーティファクトを格納する場所を指定します(クローニング・アーティファクトを
/tmp
以外の場所に格納する必要がある場合にのみ指定します)
アクティブ/アクティブおよびDisaster_Recoveryの各MDCトポロジを使用してOPENモードでマスター・データ・センターを構成するためのサンプルCurlコマンドを次に示します。
- アクティブ/アクティブMDCトポロジを使用する場合:
curl -k -u weblogic:password -H 'Content-Type: application/json' -X POST 'https://oamadmin1-dc1.poc.com:7002/oam/services/rest/mdc/master' -d '{"mdcTopologyType":"ACTIVE_ACTIVE", "masterMDCAgentID":"MDCmasterNAPagent","cloneMDCAgentID":"MDCcloneNAPagent", "accessClientPassword":"password","artifactPassword":"password","cloneServerURL":"https://oamadmin1-dc2.poc.com:7002","cloneAdminUserNamePassword":"weblogic:password"}'
- Disaster Recovery MDCトポロジを使用する場合:
curl -k -u weblogic:password -H 'Content-Type: application/json' -X POST 'https://oamadmin1-dc1.poc.com:7002/oam/services/rest/mdc/master' -d '{"mdcTopologyType":"DISASTER_RECOVERY", "masterMDCAgentID":"MDCmasterNAPagent","cloneMDCAgentID":"MDCcloneNAPagent", "accessClientPassword":"password","artifactPassword":"password","cloneServerURL":"https://oamadmin1-dc2.poc.com:7002","cloneAdminUserNamePassword":"weblogic:password"}'
18.5.2 SIMPLEセキュリティ・モード
MDC Admin RESTコマンドを使用してマスター・データ・センターをSIMPLEモードで設定し、例に示すように次の必須およびオプションのMDCパラメータを提供します。
curl -k -u weblogic:password -H 'Content-Type: application/json' -X POST 'https://oamadmin1-dc1.poc.com:7002/oam/services/rest/mdc/master' -d '{"mdcTopologyType":"value", "masterMDCAgentID":"value","cloneMDCAgentID":"value", "accessClientPassword":"value","artifactPassword":"value","cloneServerURL":"value","agentKeyPassword":"value","certModeKeystorePassword":"value","masterServerURL":"value", "cloneAdminUserNamePassword":"value","trustStorePath":"value", "keyStorePath":"value", "artifactsZipLocation":"value"}'
-
mdcTopologyType: MDC構成で利用できる2つのトポロジ・タイプ(ACTIVE_ACTIVEまたはDISASTER_RECOVERY)の1つを選択します。
-
masterMDCAgentID: マスター・データ・センターのMDC NAPエージェント名を入力します。
-
cloneMDCAgentID: クローン・データ・センターのMDC NAPエージェント名を入力します。
-
accessClientPassword: マスターおよびクローン・データ・センターでMDC NAPエージェントを使用するために必要なパスワードを提供します。
-
artifactPassword: クローニング・アーティファクトを保護するために使用されるパスワードを提供します。
-
cloneServerURL: クローン管理サーバーのURLまたはクローン管理サーバーのフロント・エンドとなっているリバース・プロキシのURLを入力します。
-
(オプション) masterServerURL: マスター管理サーバーのURLまたはマスター管理サーバーのフロント・エンドとなっているリバース・プロキシのURLを入力します。
-
(オプション) cloneAdminUserNamePassword: マスターおよびクローン・データ・センターの管理者のユーザー名およびパスワードが異なる場合、クローン・データ・センターの管理者のユーザー資格証明を入力します。
-
(オプション) trustStorePath: このファイルが
%DOMAIN_HOME%/output/webgate-ssl-SHA-256
以外のフォルダにある場合、oamclient-truststore.jks
ファイルへのパスを指定します -
(オプション) keyStorePath: このファイルが
%DOMAIN_HOME%/output/webgate-ssl-SHA-256
以外のフォルダにある場合、oamclient-keystore.jks
ファイルへのパスを指定します -
(オプション) artifactsZipLocation: クローニング・アーティファクトを格納する場所を指定します(クローニング・アーティファクトを
/tmp
以外の場所に格納する必要がある場合にのみ指定します)
アクティブ/アクティブおよびDisaster_Recoveryの各MDCトポロジを使用してSIMPLEモードでマスター・データ・センターを構成するためのサンプルcurl
コマンドを次に示します。
- アクティブ/アクティブMDCトポロジを使用する場合:
curl -k -u weblogic:password -H 'Content-Type: application/json' -X POST 'https://oamadmin1-dc1.poc.com:7002/oam/services/rest/mdc/master' -d '{"mdcTopologyType":"ACTIVE_ACTIVE", "masterMDCAgentID":"MDCmasterNAPagent","cloneMDCAgentID":"MDCcloneNAPagent", "accessClientPassword":"password","artifactPassword":"password","cloneServerURL":"https://oamadmin1-dc2.poc.com:7002","cloneAdminUserNamePassword":"weblogic:password"}'
- Disaster Recovery MDCトポロジを使用する場合:
curl -k -u weblogic:password -H 'Content-Type: application/json' -X POST 'https://oamadmin1-dc1.poc.com:7002/oam/services/rest/mdc/master' -d '{"mdcTopologyType":"DISASTER_RECOVERY", "masterMDCAgentID":"MDCmasterNAPagent","cloneMDCAgentID":"MDCcloneNAPagent", "accessClientPassword":"password","artifactPassword":"password","cloneServerURL":"https://oamadmin1-dc2.poc.com:7002","cloneAdminUserNamePassword":"weblogic:password"}'
18.5.3 CERTセキュリティ・モード
CERTモードの各メンバー・データ・センターでMDCパートナを作成します。パートナがCERTモードで通信できるように、clientTrustStore.jks
およびclientKeyStore.jks
キーストアを生成します。
-
次の
openssl
コマンドをLinuxコマンド・プロンプトから実行して、aaa_key.pem
およびaaa_req.pem
を生成します。openssl req -new -keyout aaa_key.pem -out aaa_req.pem -utf8 -sha256
証明書の生成には、
certreq
コマンドを使用します。 -
次の手順を使用して
aaa_cert.pem
を作成します。-
aaa_req.pem
をテキスト・エディタで開いて内容をコピーします。末尾のスペースは除外して選択します。
-
コピーしたテキストをSigncsrに貼り付けます。
「-----BEGIN CERTIFICATE REQUEST-----および-----END CERTIFICATE REQUEST-----」も含めます。
-
出力をテキスト・エディタにコピーし、
aaa_cert.pem
として保存します。
-
-
次の手順を使用して
aaa_chain
を作成します。-
certreq
を開きます。 -
chain.pem
をクリックし、内容をコピーしてテキスト・エディタに貼り付け、aaa_chain.pem
として保存します。先頭と末尾のスペースは除外して選択します。
-
-
次のコマンドを使用して秘密キー(
aaa_key.pem
)を暗号化します。openssl rsa -in aaa_key.pem -passin pass: -out aaa_key.pem -passout pass:Welcome1 -des
このコマンドで使用されるパスワードは、アクセス・クライアント・パスワードまたはエージェント・キー・パスワードとしてMDCパートナの登録時に定義される必要があります。
-
aaa_key.pem
、aaa_cert.pem
およびaaa_chain.pem
を一時的な場所にコピーします。たとえば、
/tmp/clientCertArtifacts/
です -
次のコマンドのいずれかを使用して
aaa_cert.pem
およびaaa_key.pem
をDER
形式に変換します。-openssl x509 -in /tmp/clientCertArtifatcs/aaa_cert.pem -inform PEM -out /tmp/clientCertArtifatcs/aaa_cert.der -outform DER;
-openssl pkcs8 -topk8 -nocrypt -in /tmp/clientCertArtifatcs/aaa_key.pem -inform PEM -out /tmp/clientCertArtifatcs/aaa_key.der -outform DER;
-
次のステップを使用して、
aaa_key.der
およびaaa_cert.der
をclientKeyStore.jks
にインポートし、aaa_chain.pem
をclientTrustStore.jks
にインポートします-cd $MW_HOME/idm/oam/server/tools/importcert/; -unzip importcert.zip; -java -cp importcert.jar oracle.security.am.common.tools.importcerts.CertificateImport -keystore /tmp/clientCertArtifatcs/clientKeyStore.jks -privatekeyfile /tmp/clientCertArtifatcs/aaa_key.der -signedcertfile /tmp/clientCertArtifatcs/aaa_cert.der -storetype jks -genkeystore yes -keytool -importcert -file /tmp/clientCertArtifatcs/aaa_chain.pem -trustcacerts -keystore /tmp/clientCertArtifatcs/clientTrustStore.jks -storetype JKS
指示に従ってキーストアのパスワードを入力します。パスワードは、マスター・データ・センターの設定時に入力パラメータのcertModeKeystorePasswordに設定する必要があります。
importcert.jar
を使用して、aaa_key.der
およびaaa_cert.der
形式の証明書を.oamkeystore
にインポートします。-java -cp importcert.jar
oracle.security.am.common.tools.importcerts.CertificateImport
-keystore /scratch/Oracle/Middleware/domains/
base_domain/config/fmwconfig/.oamkeystore -privatekeyfile
/tmp/clientCertArtifacts/aaa_key.der -signedcertfile
/tmp/clientCertArtifacts/aaa_cert.der -alias mycertmode1 -storetype JCEKS
aliasは、Access ManagerでCERTモード設定時に定義された別名です
MDC Admin RESTコマンドを使用してマスター・データ・センターをCERTモードで設定し、例に示すように次の必須およびオプションのMDCパラメータを提供します。
curl -k -u weblogic:password -H 'Content-Type: application/json' -X POST 'https://oamadmin1-dc1.poc.com:7002/oam/services/rest/mdc/master' -d '{"mdcTopologyType":"value", "masterMDCAgentID":"value","cloneMDCAgentID":"value", "accessClientPassword":"value","artifactPassword":"value","cloneServerURL":"value","agentKeyPassword":"value","certModeKeystorePassword":"value","masterServerURL":"value", "cloneAdminUserNamePassword":"value","trustStorePath":"value", "keyStorePath":"value", "artifactsZipLocation":"value"}'
-
mdcTopologyType: MDC構成で利用できる2つのトポロジ・タイプ(ACTIVE_ACTIVEまたはDISASTER_RECOVERY)の1つを選択します。
-
masterMDCAgentID: マスター・データ・センターのMDC NAPエージェント名を入力します。
-
cloneMDCAgentID: クローン・データ・センターのMDC NAPエージェント名を入力します。
-
accessClientPassword: マスターおよびクローン・データ・センターでMDC NAPエージェントを使用するために必要なパスワードを提供します。
-
artifactPassword: クローニング・アーティファクトを保護するために使用されるパスワードを提供します。
-
cloneServerURL: クローン管理サーバーのURLまたはクローン管理サーバーのフロント・エンドとなっているリバース・プロキシのURLを入力します。
-
(CERTモードのみ) agentKeyPassword: CERTモードでパートナの登録に使用したエージェント・キー・パスワードを入力します。
-
(オプション) masterServerURL: マスター管理サーバーのURLまたはマスター管理サーバーのフロント・エンドとなっているリバース・プロキシのURLを入力します。
-
(オプション) cloneAdminUserNamePassword: マスターおよびクローン・データ・センターの管理者のユーザー名およびパスワードが異なる場合、クローン・データ・センターの管理者のユーザー資格証明を入力します。
-
(オプション) trustStorePath:
clientTrustStore.jks
ファイルへのパスを指定します(このファイルが$MW_HOME/user_projects/domains/OAMDomain/config/fmwconfig/oam-mdc-cert-artifacts/
以外のフォルダにある場合) -
(オプション) keyStorePath:
clientKeyStore.jks
ファイルへのパスを指定します(このファイルが$MW_HOME/user_projects/domains/OAMDomain/config/fmwconfig/oam-mdc-cert-artifacts/
以外のフォルダにある場合) -
(オプション) artifactsZipLocation: クローニング・アーティファクトを格納する場所を指定します(クローニング・アーティファクトを
/tmp
以外の場所に格納する必要がある場合にのみ指定します)
アクティブ/アクティブおよびDisaster_Recoveryの各MDCトポロジを使用してCERTモードでマスター・データ・センターを構成するためのサンプルcurl
コマンドを次に示します。
- アクティブ/アクティブMDCトポロジを使用する場合:
curl -k -u weblogic:password -H 'Content-Type: application/json' -X POST 'https://oamadmin1-dc1.poc.com:7002/oam/services/rest/mdc/master' -d '{"mdcTopologyType":"ACTIVE_ACTIVE", "masterMDCAgentID":"MDCmasterNAPagent","cloneMDCAgentID":"MDCcloneNAPagent", "accessClientPassword":"password","artifactPassword":"password","cloneServerURL":"https://oamadmin1-dc2.poc.com:7002","cloneAdminUserNamePassword":"weblogic:password","agentKeyPassword":"password", "certModeKeystorePassword":"password"}'
- Disaster Recovery MDCトポロジを使用する場合:
curl -k -u weblogic:password -H 'Content-Type: application/json' -X POST 'https://oamadmin1-dc1.poc.com:7002/oam/services/rest/mdc/master' -d '{"mdcTopologyType":"DISASTER_RECOVERY", "masterMDCAgentID":"MDCmasterNAPagent","cloneMDCAgentID":"MDCcloneNAPagent", "accessClientPassword":"password","artifactPassword":"password","cloneServerURL":"https://oamadmin1-dc2.poc.com:7002","cloneAdminUserNamePassword":"weblogic:password","agentKeyPassword":"password", "certModeKeystorePassword":"password"}'