1. Oracle Traffic Directorのインストール
  2. Oracle Traffic DirectorのOAM Agent (WebGate)の構成

A Oracle Traffic DirectorのOAM Agent (WebGate)の構成

WebGateは、デフォルトではOracle Traffic Directorとともにインストールされます。ただし、構成は必要です。WebGateは、HTTPリクエストを捕捉して、認証および認可のためにOracle Access Managerに転送します。

ノート:

12.2.1.4.0で、Oracle Traffic Directorは非推奨になりました。

将来、同等の機能を実現するには、Oracle HTTP Server、Microsoft IIS Web ServerまたはApache HTTP Serverプラグインか、TraefikなどのネイティブKubernetesロード・バランサを使用してください。

この項では、次の項目について説明します。

構成の前提条件

Oracle Traffic Directorを構成する前に、Oracle Access Manager (OAM)をインストールする必要があります。また、OAMのインストールには、バージョンと環境に関係する制限事項があります。

Oracle Traffic Director12c (12.2.1.4.0) WebGateを構成可能にするには、Oracle Access Managerの次のいずれかのバージョンをインストールする必要があります。

ノート:

Oracle Access Managerは固有の環境にインストールし、WebLogic Serverと同じマシンにはインストールしないでください。

詳細は、『Oracle Identity and Access Managementのインストールおよび構成』Oracle Identity and Access Managementのインストールについてに関する項を参照してください。

親トピック: Oracle Traffic DirectorのOAM Agent (WebGate)の構成

Oracle Traffic Director 12c (12.2.1.4.0)のためのWebGateの構成

Oracle Traffic Directorをインストールした後、次のステップを実行し、Oracle Traffic Director12c (12.2.1.4.0) WebGate for Oracle Access Managerを構成します。

  • UNIXの場合

    1. 次のコマンドを入力して、ORACLE_HOME/webgate/otd/tools/deployWebGateディレクトリに移動します(ORACLE_HOMEは、Oracle Traffic DirectorをインストールするときにOracleHomeとして設定される場所です)。

      cd ORACLE_HOME/webgate/otd/tools/deployWebGate

    2. 次のコマンドを実行して、ORACLE_HOME/webgate/otd/tools/deployWebGateからOTD WebGate Instance Directoryを作成します。

      ./deployWebGateInstance -w webgate_instanceDirectory -oh ORACLE_HOME -ws otd

      コマンドの説明は次のとおりです。

      • ORACLE_HOMEは、Oracle Traffic Directorがインストールされているパスです。

        例:

        /home/oracle

      • webgate_instanceDirectoryは、WebGateプロファイルをコピーするディレクトリの場所です。

        例:

        DOMAIN_HOME/config/fmwconfig/components/OTD/instances/Instance_Name

        DOMAIN-HOMEは、OTDドメインを構成するディレクトリへのパスです。

    3. 環境変数LD_LIBRARY_PATHWebGate_Oracle_Home/libに設定します

      例:

      Linux 64の場合:

      export LD_LIBRARY_PATH=$LD_LIBRARY_PATH:ORACLE_HOME/lib

      Solaris (SPARC)の場合:

      export LD_PRELOAD_64=ORACLE_HOME/lib/libclntsh.so.11.1:ORACLE_HOME/lib/libnnz11.so

    4. 次のディレクトリを変更します。

      UNIXベースのプラットフォームの場合:

      ORACLE_HOME/webgate/otd/tools/setup/InstallTools

    5. コマンドラインで、次のコマンドを入力してmagnus.confobj.confなどのOTD構成ファイルを更新します。

      スタンドアロンOracle Traffic Directorインストール環境の場合:

      ./EditObjConf -f Domain_Home/config/fmwconfig/components/OTD/instances/Instance_Name/config/Instance_Name-obj.conf -w webgate_instanceDirectory -oh Oracle_Home -ws otd

      同じ場所に配置されたOracle Traffic Directorインストール環境の場合:

      ./EditObjConf -f Domain_Home/config/fmwconfig/components/OTD/Instance_Name/config/Instance_Name-obj.conf -w webgate_instanceDirectory -oh Oracle_Home -ws otd

      コマンドの説明は次のとおりです。

      • Oracle_Homeは、有効なWebLogic Serverインストールの親ディレクトリ、またはOracle Traffic Directorがインストールされているディレクトリへのパスです。

        例:

        /home/oracle

      • webgate_instanceDirectoryは、WebGateプロファイルをコピーするディレクトリの場所です。

        例:

        Domain_Home/config/fmwconfig/components/OTD/instances/Instance_Name

  • Windowsの場合

    1. 次のコマンドを実行して、%Oracle_Home%\webgate\otd\tools\deployWebGateディレクトリに移動します。

      cd %Oracle_Home%\webgate\otd\tools\deployWebGate

    2. 次のコマンドを入力し、エージェントの必要な部分を%Oracle_Home%ディレクトリからwebgate_instanceDirectoryの場所にコピーします。

      deployWebGateInstance.bat -w webgate_instanceDirectory -oh Oracle_Home -ws otd

      コマンドの説明は次のとおりです。

      • Oracle_Homeは、Oracle Traffic Directorがインストールされているディレクトリです。

        例:

        \home\oracle

      • webgate_instanceDirectoryは、WebGateプロファイルをコピーするディレクトリの場所です。

        例:

        DOMAIN_HOME /config/fmwconfig/components/OTD/instances/Instance_Name

    3. 次のコマンドを実行してPATH環境変数を設定します。

      set PATH=PATH; ORACLE_HOME\webgate\otd\lib;%Oracle_Home%\bin

    4. 次のディレクトリに移動します。

      ORACLE_HOME\webgate\otd\tools\EditObjConf

    5. コマンドラインで、次のコマンドを実行してmagnus.confobj.confなどのOTD confファイルを更新します。

      スタンドアロンOracle Traffic Directorインストール環境の場合:

      EditObjConf -f DOMAIN_HOME/config/fmwconfig/components/OTD/instances/Instance_Name/config/Instance_Name-obj.conf -w webgate_instanceDirectory -oh $(Oracle_Home)-ws otd

      同じ場所に配置されたOracle Traffic Directorインストール環境の場合:

      ./EditObjConf -f Domain_Home/config/fmwconfig/components/OTD/Instance_Name/config/Instance_Name-obj.conf -w webgate_instanceDirectory -oh $(Oracle_Home)-ws otd

      コマンドの説明は次のとおりです。

      • Oracle_Homeは、Oracle Traffic Director WebGate for Oracle Access Managerがインストールされているディレクトリです。

        例:

        \home\oracle

      • webgate_instanceDirectoryは、WebGateプロファイルをコピーするディレクトリの場所です。

        例:

        Domain_Home/config/fmwconfig/components/OTD/instances/Instance_Name

親トピック: Oracle Traffic DirectorのOAM Agent (WebGate)の構成

新規のOracle Traffic Director 12c WebGateスタート・ガイド

新規のOracle Traffic Director 12c (12.2.1.4.0) WebGate agent for Oracle Access Managerを使用するには、次のタスクを実行する必要があります。

  1. 新規Oracle Traffic Director 12c WebGateの登録

  2. Oracle Traffic Director WebGateインスタンスへの生成されたファイルおよびアーティファクトのコピー

  3. Oracle Traffic Directorインスタンスの再起動

親トピック: Oracle Traffic DirectorのOAM Agent (WebGate)の構成

新規Oracle Traffic Director 12c WebGateの登録

Oracle Access Manager管理コンソールを使用すると、Oracle Access Managerに新たに構成したWebGateエージェントを登録できます。詳細は、『Oracle Fusion Middleware Oracle Access Management管理者ガイド』コンソールを使用したOAMエージェントの登録に関する項を参照してください。

もしくは、RREGコマンド行ツールを使用して、新規WebGateエージェントを登録できます。このツールを使用して、インバンドとアウトオブバンドという2つのモードで実行できます。

この項では、次の項目について説明します。

親トピック: 新規のOracle Traffic Director 12c WebGateスタート・ガイド

RREGツールの設定

RREGツールを設定するには、次の手順に従います。

  • UNIXの場合

    1. Oracle Access Managerをインストールおよび構成した後、次のディレクトリに変更します。

      ORACLE_IDM2/oam/server/rreg/client

    2. RREG.tar.gzファイルを抽出します。

      例:

      gunzip RREG.tar.gz

      tar -xvf RREG.tar

    エージェントを登録するためのツールは次の場所にあります。

    RREG_HOME/bin/oamreg.sh

    RREG_HOMEは、RREG.tar.gz/rregの内容を展開したディレクトリです。

  • Windowsの場合

    1. Oracle Access Managerをインストールおよび構成した後、次の場所に変更します。

      ORACLE_IDM2\oam\server\rreg\client

    2. RREG.tar.zipファイルの内容を、選択した展開先に展開します。

    エージェントを登録するためのツールは次の場所にあります。

    RREG_Home\bin\oamreg.bat

    RREG_Homeは、RREG.tar.gz/rregの内容を展開したディレクトリです。

UNIXではoamreg.shスクリプト、Windowsではoamreg.batスクリプトにある、次の環境変数を設定します。

  • OAM_REG_HOME

    この変数を、RREG.tar/rregの内容を展開したディレクトリへの絶対パスに設定します。

  • JDK_HOME

    この変数を、JavaまたはJDKがインストールされているマシン上のディレクトリへの絶対パスに設定します。

OAM11gRequest.xmlファイルの更新

RREG_HOME\inputディレクトリ内(Windowsの場合)のOAM11GRequest.xmlファイルで、agentNameなどのエージェント・パラメータを更新する必要があります。UNIXでは、このファイルはRREG_HOME/inputディレクトリ内にあります。

ノート:

OAM11GRequest.xmlファイル、またはショート・バージョンOAM11GRequest_short.xmlは、テンプレートとして使用されます。このテンプレート・ファイルをコピーして使用できます。

OAM11GRequest.xmlファイルまたはOAM11GRequest_short.xmlファイル内の次の必須パラメータの値を変更します。

  • serverAddress

    OAM管理サーバーのホストとポートの指定に使用します。

  • agentName

    エージェントのカスタム名の指定に使用します。

  • agentBaseUrl

    Oracle Traffic Director 12c WebGateがインストールされているマシンのホストとポートの指定に使用します。

  • preferredHost

    Oracle Traffic Director 12c WebGateがインストールされているマシンのホストとポートの指定に使用します。

  • security

    インストールされているWebGateに基づいて、openなどのセキュリティ・モードの指定に使用します。

  • primaryServerList

    Serverコンテナ要素の下にある、Oracle Access Managerプロキシに対する管理対象サーバーのホストとポートの指定に使用します。

このファイルは、変更後に保存して閉じます。

インバンド・モードを使用した新規WebGateエージェントの登録

OAM11GRequest.xmlファイルのWebGateパラメータを更新した後、RREGツールを一度実行すると、WebGateが必要とするファイルおよびアーティファクトは、次のディレクトリに生成されます。

UNIXの場合:

RREG_HOME/output/agent_name

Windowsの場合:

RREG_HOME\output\agent_name

ノート:

RREGは、クライアント・マシンとサーバーのいずれでも実行できます。サーバーで実行する場合、アーティファクトを元のクライアントに手動でコピーする必要があります。

新規のWebGateエージェントを登録するステップは、次のとおりです。

  1. OAM11GRequest.xmlファイルを開きます。このファイルは、UNIXではRREG_HOME/input/、WindowsではRREG_HOME\inputにあります。RREG_HOMEは、RREG.tar.gzの内容を展開したディレクトリです。

    このXMLファイルを編集し、新規Oracle Traffic Director WebGate for Oracle Access Managerのパラメータを指定します。

  2. 登録するには、次のコマンドを入力します。

    UNIXの場合:

    ./RREG_HOME/bin/oamreg.sh inband input/OAM11GRequest.xml

    Windowsの場合:

    RREG_HOME\bin\oamreg.bat inband input\OAM11GRequest.xml

アウトオブバンド・モードを使用した新規WebGateエージェントの登録

サーバーにアクセスできないエンド・ユーザーの場合、更新したOAM11GRequest.xmlファイルをシステム管理者に電子メールで送信し、アウトオブバンド・モードでRREGを実行してもらうことが可能です。生成されたAgentID_Response.xmlファイルをシステム管理者から収集し、このファイルに対してRREGを実行し、必要なWebGateファイルおよびアーティファクトを取得できます。

生成されたAgentID_Response.xmlファイルを管理者から受領した後、このファイルを手動でマシン上のinputディレクトリにコピーする必要があります。

  • UNIXの場合:

    新規WebGateエージェントを登録するには:

    1. サーバーにアクセスできないエンド・ユーザーの場合は、OAM11GRequest.xmlファイルを開きます。このファイルは、RREG_HOME/input/にあります。

      RREG_HOMEは、RREG.tar.gz/rregの内容を展開したディレクトリです。このXMLファイルを編集し、新規Oracle Traffic Director WebGate for Oracle Access Managerのパラメータを入力します。更新したファイルをシステム管理者に送信します。

    2. 管理者は、更新されたOAM11GRequest.xmlファイルをコピーします。このファイルは、RREG_HOME/input/ディレクトリにあります。

      これは、エンド・ユーザーから受信したファイルです。管理者のRREG_HOMEディレクトリに移動し、次のコマンドを入力します。

      ./RREG_HOME/bin/oamreg.sh outofband input/OAM11GRequest.xml

      Agent_ID_Response.xmlファイルが管理者のマシンのoutputディレクトリ(RREG_HOME/output/ディレクトリ)に生成されます。更新済のOAM11GRequest.xmlファイルを最初に管理者に送信したエンド・ユーザーに、このファイルを送信します。

    3. エンド・ユーザーは、生成されたAgent_ID_Response.xmlファイルをコピーします。このファイルは、RREG_HOME/input/にあります。

      これは、管理者から受信したファイルです。クライアントのRREGホーム・ディレクトリに移動し、次のコマンドを入力します。

      ./RREG_HOME/bin/oamreg.sh outofband input/Agent_ID_Response.xml

    ノート:

    『Oracle Fusion Middleware Oracle Access Management管理者ガイド』コンソールを使用したOAMエージェントの登録に関する項で説明されているように、Oracle Access Manager管理コンソールを使用してWebGateエージェントを登録する場合、登録後に生成されたファイルおよびアーティファクトを、サーバー(Oracle Access Manager管理コンソールが実行されているマシン)からクライアント・マシンに手動でコピーする必要があります。ファイルおよびアーティファクトはORACLE_HOME/user_projects/domains/name_of_the_WebLogic_domain_for_OAM/output/Agent_IDディレクトリに生成されます。

  • Windowsの場合:

    ステップは次のとおりです。

    1. サーバーにアクセスできないエンド・ユーザーの場合は、OAM11GRequest.xmlファイルを開きます。このファイルは、RREG_Home\input\ディレクトリにあります。

      RREG_HOMEは、RREG.tar.gz/rregの内容を展開したディレクトリです。このXMLファイルを編集して、新規のOracle Traffic Director WebGate for Oracle Access Managerのパラメータを指定し、更新されたファイルをシステム管理者に送信します。

    2. 管理者は、更新されたOAM11GRequest.xmlファイルをコピーします。このファイルは、RREG_HOME\input\ディレクトリにあります。これは、エンド・ユーザーから受信したファイルです。管理者のRREG_HOMEディレクトリに移動し、次のコマンドを実行します。

      RREG_HOME\bin\oamreg.bat outofband input\OAM11GRequest.xml

      Agent_ID_Response.xmlファイルが管理者のマシンのRREG_HOME\output\ディレクトリに生成されます。更新済のOAM11GRequest.xmlファイルを最初に管理者に送信したエンド・ユーザーに、このファイルを送信します。

    3. エンド・ユーザーは、生成されたAgent_ID_Response.xmlファイルをコピーします。このファイルは、RREG_HOME\input\にあります。これは、管理者から受信したファイルです。クライアントのRREGホーム・ディレクトリに移動し、次のコマンドを実行します。

      RREG_HOME\bin\oamreg.bat outofband input\Agent_ID_Response.xml

    ノート:

    『Oracle Fusion Middleware Oracle Access Management管理者ガイド』コンソールを使用したOAMエージェントの登録に関する項で説明されているように、Oracle Access Manager管理コンソールを使用してWebGateエージェントを登録する場合、登録後に生成されたファイルおよびアーティファクトを、サーバー(Oracle Access Manager管理コンソールが実行されているマシン)からクライアント・マシンに手動でコピーする必要があります。ファイルおよびアーティファクトはORACLE_HOME/user_projects/domains/name_of_the_WebLogic_domain_for_OAM/output/Agent_IDディレクトリに生成されます。
RREGによって生成されるファイルおよびアーティファクト

新規WebGateエージェントの登録に使用する方法またはモードに関係なく、次のファイルおよびアーティファクトがRREG_HOME/output/Agent_IDディレクトリに生成されます。

  • wallet/cwallet.sso

  • cwallet.sso

  • ObAccessClient.xml

  • SIMPLEモードの場合、RREGによって次のものが生成されます。

    • password.xml。SSLで使用される秘密キーを暗号化するための不明瞭化されたグローバル・パスフレーズが含まれます。このパスフレーズは、サーバーで使用されているパスフレーズと同じものを使用できます。

    • aaa_key.pem

    • aaa_cert.pem

  • CERTモードの場合、RREGによってpassword.xmlが生成されます。これには、SSLで使用される秘密キーを暗号化するための不明瞭化されたグローバル・パスフレーズが含まれます。このパスフレーズは、サーバーで使用されているパスフレーズと異なるものを使用できます。

    ノート:

    RREGによって生成されたこれらのファイルを使用して証明書リクエストを生成し、サードパーティの認証局に署名を求めることができます。既存の証明書をインストールするには、既存のaaa_cert.pemおよびaaa_chain.pemファイルをpassword.xmlおよびaaa_key.pemと合せて使用する必要があります。

Oracle Traffic Director WebGateインスタンスへの生成されたファイルおよびアーティファクトのコピー

RREGによりこれらのファイルおよびアーティファクトが生成された後、使用しているセキュリティ・モードに基づき、これらを手動でRREG_HOME/output/Agent_IDディレクトリからwebgate_instanceDirectoryディレクトリにコピーする必要があります。

使用しているセキュリティ・モードに従って、次の操作を行います。

  • OPENモードの場合、次のファイルをRREG_HOME/output/Agent_IDディレクトリからwebgate_instanceDirectory/webgate/configディレクトリにコピーします。

    • wallet/cwallet.sso

    • ObAccessClient.xml

    • cwallet.sso

  • SIMPLEモードの場合、次のファイルをRREG_HOME/output/Agent_IDディレクトリからwebgate_instanceDirectory/webgate/configディレクトリにコピーします。

    • ObAccessClient.xml

    • cwallet.sso

    • password.xml

    さらに、次のファイルをRREG_HOME/output/Agent_IDディレクトリからwebgate_instanceDirectory/webgate/config/simpleディレクトリにコピーします。

    • aaa_key.pem

    • aaa_cert.pem

  • CERTモードの場合、次のファイルをRREG_HOME/output/Agent_IDディレクトリからwebgate_instanceDirectory/webgate/configディレクトリにコピーします。

    • ObAccessClient.xml

    • cwallet.sso

    • password.xml

親トピック: 新規のOracle Traffic Director 12c WebGateスタート・ガイド

新規証明書の生成

新規証明書を次のように生成できます。

  1. ORACLE_HOME/webgate/otd/tools/opensslディレクトリに変更します。

  2. 次のようにして、証明書リクエストを作成します。

    ./openssl req -utf8 -new -nodes -config openssl_silent_otd11g.cnf -keyout aaa_key.pem -out aaa_req.pem -rand ORACLE_HOME/webgate/otd/config/random-seed/

  3. 次のようにして、証明書を自己署名します。

    ./openssl ca -config openssl_silent_otd11g.cnf -policy policy_anything -batch -out aaa_cert.pem -infiles aaa_req.pem

  4. 次の証明書をwebgate_instanceDirectory/webgate/configディレクトリにコピーします。

    • aaa_key.pem

    • aaa_cert.pem

    • simpleCAディレクトリ内のcacert.pem

      ノート:

      cacert.pemファイルをコピーした後、ファイル名をaaa_chain.pemに変更します。

既存の証明書の移行

既存の証明書(aaa_key.pem、aaa_cert.pemおよびaaa_chain.pem)を移行する場合、aaa_key.pemを暗号化する際に使用したものと同じパスフレーズを使用してください。同じパスフレーズをRREG登録処理中に入力する必要があります。同じパスフレーズを使用しないと、RREGによって生成されたpassword.xmlファイルが、キーの暗号化に使用されたパスフレーズと一致しません。

同じパスフレーズを入力したら、これらの証明書を次のようにコピーできます。

  1. webgate_instanceDirectory/webgate/configディレクトリに変更します。

  2. 次の証明書をwebgate_instanceDirectory/webgate/configディレクトリにコピーします。

    • aaa_key.pem

    • aaa_cert.pem

    • aaa_chain.pem

Oracle Traffic Directorインスタンスの再起動

Oracle Traffic Directorインスタンスの再起動の詳細は、『Oracle Traffic Directorの管理』WLSTを使用したOracle Traffic Directorインスタンスの起動、停止、再起動に関する項を参照してください。

WebLogic ServerドメインでOracle Traffic Directorを構成している場合、Enterprise Manager Fusion Middleware Controlを使用してOracle Traffic Directorインスタンスを再起動することもできます。詳細は、『Oracle Traffic Directorの管理』Fusion Middleware Controlを使用したOracle Traffic Directorインスタンスの起動、停止、再起動に関する項を参照してください。

スタンドアロン・インスタンスの場合、DOMAIN_HOME/config/fmwconfig/components/OTD/instances/Instance_Name/binから./restartコマンドを使用して再起動できます。

親トピック: 新規のOracle Traffic Director 12c WebGateスタート・ガイド