この章では、Oracle Application Serverに関連する管理およびセキュリティの問題について説明します。内容は次のとおりです。
この項では、Oracle Application Serverの一般的な管理の問題について説明します。内容は次のとおりです。
3.1.1項「Oracle Identity Management 10g(10.1.4.0.1)のSSLを有効にしたらtargets.xmlを変更する」
3.1.2項「Oracle Application Serverリポジトリ作成アシスタントで作成されたMetadata RepositoryのIPアドレスの変更」
3.1.3項「Oracle Enterprise Manager Grid Controlにすべての統合プロファイルが表示されない」
Oracle Identity ManagementのSSLを有効にしたら、targets.xml
構成ファイルを変更して、Application Server ControlがOracleAS Single Sign-OnおよびOracle Delegated Administration Servicesの必須URLに確実に接続できるようにする必要があります。
targets.xml
ファイルを見つけ、テキスト・エディタで開きます。
このファイルは、宛先のOracleホームにあります。
DESTINATION_ORACLE_HOME/sysman/emd/
targets.xml
ファイルで、Oracle Delegated Administration Services要素を見つけます。
<Target TYPE="oracle_das_server" ... > .... </Target>
oracle_das_server
要素内で、表3-1のプロパティを、プロパティごとに示された推奨値に更新します。
表3-1 targets.xml構成ファイル内の変更するOracleAS Single Sign-OnおよびOracle Delegated Administration Servicesのプロパティ
プロパティ | 説明および必要な値 |
---|---|
HTTPProtocol |
Oracle HTTP Serverで使用されるプロトコル。値は、HTTPまたはHTTPS(セキュアなSSL接続用)のいずれかです。 |
MonitorPort |
ホスト上のOracle Delegated Administration Servicesを監視するために使用される物理ポート。通常はデフォルトのOracle HTTP Serverポートです。 |
DasPort |
ホスト上のOracle Delegated Administration Servicesを監視するために使用される物理ポート。通常はデフォルトのOracle HTTP Serverポートです。 |
DasURL |
プロトコル、物理ホスト名およびポートを含むOracle Delegated Administration Servicesの完全URL。ロード・バランサの仮想ホストおよびポートは使用しないでください。 |
DasMonitorURL |
Oracle Delegated Administration Servicesを監視するためにApplication Server Controlで使用される、プロトコル、物理ホスト名およびポートを含む完全URL。ロード・バランサの仮想ホストおよびポートは使用しないでください。 |
targets.xml
ファイルで、OracleAS Single Sign-On要素を見つけます。
<Target TYPE="oracle_sso_server" ... > .... </Target>
oracle_sso_server
要素のHTTPPort
およびHTTPProtocol
プロパティの値を編集します。
物理OracleAS Single Sign-Onホストのポートおよびプロトコルを必ず入力してください。ロード・バランサへの接続に使用するポートおよびプロトコルを使用しないでください。
変更を保存してtargets.xml
ファイルを閉じます。
OracleAS Metadata Repositoryが含まれているホストのIPアドレスは、OracleAS Infrastructureのインストール中に作成されたものでも、Oracle Application Serverリポジトリ作成アシスタントを実行したときに作成されたものでも変更可能です。IPアドレスの変更方法は『Oracle Application Server管理者ガイド』の「ネットワーク構成の変更」の章に記載されています。
tnsnames.oraファイルにIPアドレスが含まれている場合、次の手順を実行して、リポジトリ作成アシスタントで作成されたOracleAS Metadata RepositoryのIPアドレスを変更する必要があります。
中間層およびInfrastructureのプロセスをすべて停止します。
ORACLE_HOME
環境変数を設定します。
Metadata Repositoryのホストで、$ORACLE_HOME
/network/admin/tnsnames.ora
ファイル内のエントリにOracleAS Metadata RepositoryのIPアドレスが含まれている場合、そのIPアドレスを変更します。
Oracle Internet Directoryサーバー・インスタンスを起動します。たとえば、次のように指定します。
$ORACLE_HOME/bin/oidmon start $ORACLE_HOME/bin/oidctl connect=connect_string server=oidldapd\ instance=server_instance_number\ configset=configset_number] [host=virtual/host_name] \ start
中間層のホストで、$ORACLE_HOME
/network/admin/tnsnames.ora
ファイル内のエントリにMetadata RepositoryのIPアドレスが含まれている場合、そのファイル内のIPアドレスを変更します。
中間層を起動します。
次のようにインストールした場合について説明します。
10.1.4.0.1 OracleAS InfrastructureをIdentity Managementとともにインストール。
Oracle Identity Managementエージェント・プラグインを同じホストにインストール。
Oracle Enterprise Manager Grid Controlで、「ターゲット」→「Identity Management」→「DIP」に移動。
「統合プロファイル」表にプロファイルが1つのみ表示されており、ステータスが「無効」になっている。
この問題を回避するには、次のようにします。
ディレクトリ統合アシスタント(dipassistant
)を使用して、任意のプロファイルを有効にします。
Oracle Enterprise Manager 10g Grid Controlの「Oracle Directory Integration Platform(DIP)」ページをリフレッシュします。
全14個の統合プロファイルが表示されます。
『Oracle Application Server管理者ガイド』には、Identity Managementがインストールされたマシンのホスト名の変更方法が記載されています。SSLが有効の場合、この手順は失敗します(この場合、非SSLポートは無効です)。そのため、SSLが有効の場合はマシンのホスト名を変更する前に次の手順を実行する必要があります。
次のファイルで、OIDportおよびSSLOnlyパラメータの値を確認します。
Oracle_Home/config/ias.properties
Oracle Internet Directoryの非SSLポートが有効になっていることを確認します。有効でない場合、Oracle Internet Directoryの非SSLポートを有効にします。Oracle Directory Managerを使用して、次の手順を実行します。
ナビゲータ・ペインで、「Oracle Internet Directoryサーバー」→<ディレクトリ・サーバー・インスタンス>→「サーバー管理」を開きます。
「ディレクトリ・サーバー」または「レプリケーション・サーバー」のいずれか該当する方を開きます。選択箇所の下に、番号の付いた構成セットがリストされています。
変更する構成セットを選択します。
ポート番号がリストされていない場合、「一般」タブの「非SSLポート」にポート番号を入力します。
「SSL設定」タブ・ページで、「SSL有効」フィールドを「SSLと非SSLの両方」に変更します。
「適用」をクリックします。
サーバー・インスタンスを再起動します。
他のIdentity ManagementコンポーネントのOracleホームでID管理サービスの変更ウィザードを実行し、非SSLポートを使用して他のIdentity ManagementコンポーネントをOracle Internet Directoryに関連付けます。
Application Server Controlコンソールを使用して、インスタンスのApplication Serverホームページに移動し、「インフラストラクチャ」リンクをクリックします。
「インフラストラクチャ」ページのIdentity Managementセクションで、「変更」をクリックします。
「ID管理の変更」ページで「ホスト名」を指定し、「ポート」に非SSLポート番号を指定します。
ウィザードの手順に従って、ログイン情報を指定します。
ias.propertiesファイルに次の内容が含まれていることを確認します。
OIDport=<non-empty_value> SSLonly=false
『Oracle Application Server管理者ガイド』に記載された残りの手順に進みます。手順が完了したら、Application Server ControlコンソールのID管理サービス・ウィザードを使用して、SSLを再び有効にします。
この項では、管理ドキュメントの訂正箇所を示します。内容は次のとおりです。
Application Server Controlコンソールには、Oracle Application Server Web CacheおよびOracle Application Server Portalの記述が含まれています。実際には、この2つのコンポーネントはOracle Identity Management製品の一部として提供されていません。
Application Server Controlコンソールのオンライン・ヘルプにあるこれらの記述は無視してください。