19 IIS Webサーバーを使用するWebコンポーネントのインストール

この章では、Microsoft Internet Information Server（Windows環境の場合はIIS Webサーバーを使用するOracle Access Manager 10g（10.1.4.0.1） Webコンポーネント（WebPass、ポリシー・マネージャ、WebGate）の構成時に実行する必要があるアクティビティの概要を説明します。次の項目について説明します。

Oracle Access Manager WebコンポーネントおよびIISのガイドライン

ISAPIは、IIS Webサーバーと通信するWebサーバー・コンポーネント（WebPass、ポリシー・マネージャ、WebGate）の識別にOracle Access Managerで使用される、インターネットWebサーバーの拡張機能です。たとえば、IISに対応するWebGateをインストールするには、次のパッケージが必要です。

Oracle_Access_Manager10_1_4_0_1_Win32_ISAPI_WebPass

Oracle_Access_Manager10_1_4_0_1_Win32_ISAPI_Policy_Manager

Oracle_Access_Manager10_1_4_0_1_Win32_ISAPI_WebGate

Oracle Access Manager Webコンポーネントのインストール時には、IIS Webサーバー構成ファイルを更新する必要があります。IIS Webサーバーの場合、構成の更新には、ISAPIフィルタの追加およびOracle Access Managerで必要な拡張機能の作成によるWebサーバーの直接の更新が含まれます。IIS Webサーバー構成ファイルは、Oracle Access Manager Webコンポーネントのインストール中に自動的に更新することをお薦めします。自動更新には数分以上かかることがあります。一方、IIS Webサーバー構成ファイルの手動更新は自動更新より時間がかかり、意図しないエラーが発生する場合あります。

詳細なガイドラインは、次を参照してください。

IIS Webサーバーに対応するWebPassのガイドライン

WebPassは、ポリシー・マネージャと同じディレクトリ・レベルで、ポリシー・マネージャと同じWebサーバー・インスタンス上にインストールする必要があります。WebPassインストーラでは、複数のWebサーバー・インスタンスを更新できません。複数のIIS Webサーバー・インスタンスがインストールされている場合は、各Webサーバー・インスタンスに個別のWebPassをインストールしてください。

Webサーバーは、WebPassと連動するように構成する必要があります。WebPassのインストール中に、自動的にWebサーバー構成を更新することをお薦めします。

IIS Webサーバーに対応するポリシー・マネージャのガイドライン

ポリシー・マネージャは、WebPassと同じディレクトリ・レベルで、WebPassと同じWebサーバー・インスタンス上にインストールする必要があります。ポリシー・マネージャのインストーラでは、複数のWebサーバー・インスタンスを更新できません。複数のIIS Webサーバー・インスタンスがインストールされている場合は、各Webサーバー・インスタンスに個別のポリシー・マネージャをインストールしてください。

IIS Webサーバーに対応するポリシー・マネージャのインストールに次を使用する場合は、注意してください。

Windows 2000: IISを実行しているWindows 2000にポリシー・マネージャをインストールする場合は、Everyoneという名前のグループに¥tempディレクトリおよび¥tempディレクトリが属するドライブ（CやDなど）への完全なアクセス権があることを確認してください。TEMP変数は、システム全体またはIISユーザーに対して、有効なディレクトリを指すように設定する必要があります。TEMP変数はシステム全体に対して設定することをお薦めします。
Active Directory: ポリシー・マネージャのインストール中にWindows Server 2003上のActive Directoryをディレクトリ・サーバーとして指定すると、動的補助クラスをサポートするかどうかを尋ねる新しいページが表示されます。ADSIを使用している場合は、ポリシー・マネージャのインストール後および設定前に、IIS Webサーバーの匿名ユーザー・ログイン・アカウントをドメイン・ユーザーに設定する必要があります。Active Directoryの詳細は、付録Aを参照してください。

IIS Webサーバーにインストールされたポリシー・マネージャは、レジストリに依存して¥PolicyManager_install_dirを取得します。1台のコンピュータ上に2つのポリシー・マネージャ（1つはIIS Webサーバーとともに、もう1つはSun Webサーバーとともに）をインストールする場合のレジストリ内の競合を回避するため、次の手順で説明しているようにポリシー・マネージャをインストールする必要があります。

タスクの概要: IISおよびSunのWebサーバーのインスタンスの競合の回避の手順

Sun Webサーバーのポリシー・マネージャを最初にインストールします。
次に、IIS Webサーバーのポリシー・マネージャをインストールします。

ポリシー・マネージャのインストールの詳細は、第7章を参照してください。

IIS Webサーバーに対応するWebGateのガイドライン

Apache v2、OHS2およびIHS v2に対応するOracle Access Manager WebGateは、インストール内の1つのWebGateとすることも、他のWebGateと混在させることも可能です。詳細は、「アクセス・システムのガイドライン」を参照してください。

WebGateをインストールする前に、IIS Webサーバーがロックダウン・モードでないことを確認してください。ロックダウン・モードの場合、サーバーが再起動されてメタベースが再初期化されるまで、つまり、ロックダウン後に発生したアクティビティをIISが無視するまで、処理が進行しているように表示されます。

NTFSをサポートするファイル・システムにインストールする場合にのみ、IIS WebGateでは、/accessディレクトリに対する様々な権限の設定が必要です。たとえば、FAT32ファイル・システムを実行しているWindows 2000コンピュータに、シンプル・モードまたは証明書モードでISAPI WebGateをインストールするとします。最後のインストール・パネルには、FAT32ファイル・システム上で設定できない様々な権限を手動で設定するための指示が表示されます。この場合、この指示は無視してください。

各IIS仮想Webサーバーには、独自のWebGate.dllファイルを仮想レベルでインストールするか、全サイトに影響を与える1つのWebGateをサイト・レベルでインストールできます。WebGate.dllをサイト・レベルでインストールしてすべての仮想ホストを制御するか、1つまたはすべての仮想ホスト用にWebGate.dllをインストールします。

postgate.dllファイルをコンピュータ・レベルでインストールする必要がある場合もあります。postgate.dllは、「IIS Web Server上におけるpostgate.dllのインストール」で説明されているように、¥WebGate_install_dirにあります。インストールを複数回実行すると、このファイルの複数のバージョンが作成され、異常なOracle Access Managerの動作が発生する場合があります。この場合は、webgate.dllおよびpostgate.dllがそれぞれ1つずつ存在することを確認してください。

注意
postgate.dllは、常にサイト・レベルでインストールされます。なんらかの理由でWebGateを再インストールすると、postgate.dllも再インストールされます。この場合は、postgate.dllのコピーがサイト・レベルで1つのみ存在することを確認してください。

他のOracle Access Manager Webコンポーネントの場合と同様に、WebGateと連動するようにWebサーバーを構成する必要があります。インストール中に、自動的にWebサーバー構成を更新することをお薦めします。この他にも、次のことに留意してください。

WebGateのインストール中に、特別な指示が表示されることがあります。たとえば、NTFSをサポートするファイル・システムにインストールする場合にのみ、IIS WebGateでは、/accessディレクトリに対する様々な権限の設定が必要です。最後のインストール・パネルには、FAT32ファイル・システム上で設定できない様々な権限を手動で設定するための指示が表示されます。この場合、この指示は無視してください。
IIS上で、クライアント証明書認証を使用する場合、WebGateのクライアント証明書を有効化する前にWebGateをホストするIIS Webサーバー上のSSLを有効化する必要があります。また、様々なフィルタが特定の順序でインストールされていることを確認する必要があります。さらに、postgate.dllをISAPIフィルタとしてインストールする必要がある場合があります。

WebGateの詳細は、第9章を参照してください。

互換性とプラットフォームのサポート

最新のサポート情報は、次のサイトの「Certify」タブを参照してください。

MetaLinkの使用手順

https://metalink.oracle.comにあるMetaLinkに移動します。
指示に従ってMetaLinkにログインします。
「Certify」タブをクリックします。
「View Certifications by Product」をクリックします。
「Application Server」オプションを選択し、「Submit」をクリックします。
「Oracle Identity Manager」を選択して「Submit」をクリックします。
「Oracle Identity Management Certification Information 10g（10.1.4.0.1）」（html）をクリックして「Oracle Identity Management」ページを表示します。
「Section 6, "Oracle Access Manager Certification"」のリンクをクリックして動作保証のマトリクスを表示します。

IIS上のWebPassの権限の検証

WebPassをインストールしてWebサーバー構成を更新した場合、WebPassのインストール・ディレクトリに正常に実行するための適切な権限があることを確認する必要があります。

WebPassのIIS Webサーバー構成の検証の手順

次のディレクトリを検索します。

\WebPass_install_dir\identity\oblix\apps\webpass\bin
\binディレクトリを右クリックして、「プロパティ」を選択します。
「セキュリティ」タブを選択して、読取りおよび書込み権限の許可がユーザー"SERVICE"に付与されていることを確認します。

「シンプル」または「証明書」モードでWebPassが設定された場合の検証の手順

\WebPass_install_dir\identity\oblix\config\password.xmlを検索します。
password.xmlを右クリックして、「プロパティ」を選択します。
「セキュリティ」タブを選択して、読取り権限の許可がユーザーに付与されていることを確認します。

"IUSR_<computer_name>"

"IWAM_<computer_name>"

"NETWORK SERVICE"

"IIS_WPG"（IIS 6.0のみ）

IIS上のポリシー・マネージャの権限の検証

構成をポリシー・マネージャのインストール中に自動的に更新する場合、または手動で更新する場合のいずれも、ディレクトリ権限がOracle Access Managerに対して正しく設定されていることを容易に検証できます。

ポリシー・マネージャのIIS Webサーバー構成の検証の手順

Webブラウザを起動し、必要に応じて次のファイルを開きます。次に例を示します。

\PolicyManager_install_dir\access\oblix\lang\langTag\docs\config.htm
「Webサーバーの手動構成」でも示しているように、画面の表から該当するWebサーバー・インタフェース構成プロトコルを選択します。
ディレクトリ権限を確認して、ポリシー・マネージャのWebサーバーに設定されたディレクトリ権限と比較します。

IISでのWebGateのインストールの完了

IIS WebサーバーでWebGateのインストールを完了するには、インストールの完了後に次のアクティビティを行います。

タスクの概要: IIS WebGateのインストールの完了に含まれる手順

IIS Webサーバー上のSSLの有効化

次の手順をガイドとして使用します。これはIIS v5用の手順です。

IIS Webサーバー上のSSLの有効化の手順

必要に応じて、インターネット・インフォメーション・サービス・コンソールを開始します。「スタート」→「プログラム」→「管理ツール」→「インターネット・インフォメーション・サービス」をクリックします。
ローカル・コンピュータを開き、Webサイトを表示します。
デフォルトのWebサイトまたは該当するWebサイトを開いてから、¥access¥oblix¥apps¥webgate¥binを開きます。
cert_authn.dllを右クリックして、「プロパティ」を選択します。
「プロパティ」パネルの「ファイルセキュリティ」タブを選択します。
「セキュアな通信」サブパネルで、「編集」をクリックします。
「クライアント証明書認証」サブパネルで、「証明書の承認」を選択して「OK」をクリックします。
cert_authn.dllの「プロパティ」パネルで「OK」をクリックします。

設定中にクライアント証明書認証を選択する場合、ISAPIフィルタの1つとしてcert_authn.dllも追加する必要があります。

ISAPIフィルタとしてのcert_authn.dllの追加の手順

必要に応じて、インターネット・インフォメーション・サービス・コンソールを開始します。「スタート」→「プログラム」→「管理ツール」→「インターネット・インフォメーション・サービス」をクリックします。
ローカル・コンピュータを開き、Webサイトを表示します。
該当するWebサイトを右クリックして、「プロパティ」パネルを表示します。
「ISAPIフィルタ」タブをクリックし、「追加」ボタンをクリックして「フィルタのプロパティ」パネルを表示します。
フィルタ名cert_authnを入力します。
「参照する」ボタンをクリックして、次のディレクトリに移動します。

¥WebGate_install_dir¥access¥oblix¥apps¥webgate¥bin
cert_authn.dllを実行可能ファイルとして選択します。
「フィルタのプロパティ」パネルで「OK」をクリックします。
「ISAPIフィルタ」パネルで「適用」をクリックします。
「OK」をクリックします。
フィルタが正しい順序で一覧表示されていることを確認します。

ISAPIフィルタの順序

WebGate ISAPIフィルタが正しい順序で含まれていることを確認する必要があります。

WebGate ISAPIフィルタの順序付けの手順

必要に応じて、インターネット・インフォメーション・サービス・コンソールを開始します。「スタート」→「プログラム」→「管理ツール」→「インターネット・インフォメーション・サービス」をクリックします。
ローカル・コンピュータを開き、Webサイトを表示します。
Webサイトを右クリックして、「プロパティ」を選択します。
「プロパティ」をクリックして、ISAPIフィルタを選択します。
次の.dllファイルが表示されることを確認します。

次に例を示します。

cert_authn.dll
webgate.dll
oblixlock.dll
transfilter.dll
必要に応じて欠落したフィルタを追加し、フィルタ名を選択して、手順5で示すように上矢印および下矢印を使用してフィルタの順序を調整します。

警告
1つのwebgate.dllおよび1つのpostgate.dllフィルタのみがあることを確認してください。

IIS Web Server上におけるpostgate.dllのインストール

WebGateのインストールに従い、postgate.dllを手動でインストールする必要がある場合があります。WebGateの拡張メソッド（WebGateがフォームのアクションの場合）の使用時、IIS Webサーバー上のフォーム・ログイン中のパススルーのためにPOSTデータが必要です。つまり、IIS Webサーバー上のフォーム認証スキームはパススルー・オプションにより構成され、ログイン・フォームのターゲットは、フォームによりポストされたデータを必要とし、WebGate拡張メソッド（WebGate DLLがフォームのアクションの場合）は使用できません。そのかわり、WebGateのフィルタ・メソッド（フォームのアクションがWebGate DLLでない保護されたURLの場合）を使用する必要があり、postgate DLLをインストールおよび有効化する必要があります。

POSTデータは、AzMan許可プラグインのルール・パラメータを含む許可決定で使用されます。この場合、postgate.dllをインストールする必要があります。

次の手順は、IIS Webサーバーのコマンドを理解していることを前提としています。2つの手順が用意されています。

IIS Webサーバーの分離モードの設定

IIS 6 Webサーバーの場合のみ、WWWサービスをIIS 5.0分離モードで実行する必要があります。これは、ISAPIポストゲート・フィルタで必要となります。

IIS 5.0分離のIIS6 Webサーバーでの設定の手順

必要に応じて、インターネット・インフォメーション・サービス・コンソールを開始します。「スタート」→「プログラム」→「管理ツール」→「インターネット・インフォメーション・サービス」をクリックします。
ローカル・コンピュータを開き、Webサイトを表示します。
Webサイトを右クリックして、「プロパティ」を選択します。
「Webサイトのプロパティ」ウィンドウの「サービス」タブを選択します。
「Run WWW service in IIS 5.0 Isolation Mode」の横のボックスを選択します。
「OK」をクリックします。

ポストゲートISAPIフィルタのインストール

1台のコンピュータ上で複数のWebGateのインストールを実行する場合、複数のバージョンのpostgate.dllファイルが作成され、異常なOracle Access Managerの動作が発生する場合があります。

コンピュータの（上位の）Webサイト・レベルで構成できるのは、1つのpostgate.dllのみです。上位レベルのWebサイトとは異なるレベルで複数のwebgate.dllを構成できます。ただし、これらは同一のpostgate.dllを共有します。次の順序でフィルタをインストールしてください。

ISAPI Webgateフィルタは、sspifittフィルタの後、およびその他のフィルタの前にインストールする必要があります。
必要な場合にのみ、ポストゲート・フィルタはWebGateフィルタの前にインストールする必要があります。

その他すべてのOracle Access Managerフィルタは最後にインストールできます。

注意
インストール前（またはアンインストール後）にフィルタを手動で削除する必要があります。複数のコピーのフィルタがインストールされている場合、このことは、新規フィルタのインストール前にこれらが手動で削除されなかったことを意味します。

次の手順は、ポストゲートISAPIフィルタをインストールおよび配置する場合のガイドです。

ポストゲートISAPIフィルタのインストールの手順

必要に応じて、インターネット・インフォメーション・サービス・コンソールを開始します。「スタート」→「プログラム」→「管理ツール」→「インターネット・インフォメーション・サービス」をクリックします。
ローカル・コンピュータを開き、Webサイトを表示します。
Webサイトを右クリックして、「プロパティ」を選択します。
「Webサイトのプロパティ」ウィンドウの「ISAPIフィルタ」タブを選択します。
「追加」ボタンをクリックして、「フィルタのプロパティ」パネルを表示します。
フィルタ名postgateを入力します。
「参照する」ボタンをクリックして、次のディレクトリに移動します。

¥WebGate_install_dir¥access¥oblix¥apps¥webgate¥bin
postgate.dllを実行可能ファイルとして選択します。
「フィルタのプロパティ」パネルで「OK」をクリックします。
「ISAPIフィルタ」パネルで「適用」をクリックします。

IISの再起動およびポストゲートISAPIフィルタの位置の変更の手順

必要に応じて、インターネット・インフォメーション・サービス・コンソールを開始します。
ローカル・コンピュータを右クリックして、「すべてのタスク」を選択し、「IISを再起動」を選択します。
「プロパティ」パネルの「ISAPIフィルタ」タブを選択します。
ポストゲート・フィルタを選択し、上矢印を使用してWebGateの前に移動します。

次に例を示します。

postgate.dll
webgate.dll
oblixlock.dll
IISを再起動するか、次の「デフォルト・サイトが設定されていない場合のWebサイトの保護」に進みます。

注意
メタベースが破損しないように、net stop iisadminおよびnet start w3svcを使用することを検討してください。

デフォルト・サイトが設定されていない場合のWebサイトの保護

「デフォルトのWebサイト」が構成されていないIIS Webサーバー上にWebGateをインストールする場合、インストーラは「仮想ディレクトリ→アクセス」を作成しません。これは、次の手順を使用して手動で実行する必要があります。

Webサイト（デフォルト・サイトではない）の保護の手順

必要に応じて、インターネット・インフォメーション・サービス・コンソールを開始します。
保護するWebサイトの名前を選択します。
保護するWebサイトの名前を右クリックして、メニューの「新規」→「仮想ディレクトリ」を選択します。
「次へ」をクリックします。
「別名」accessを選択して、「次へ」をクリックします。
ディレクトリ: /accessディレクトリへの完全パスを入力してから、「次へ」をクリックします。
「読み取り」、「スクリプトの実行」、および「実行」を選択してから、「次へ」をクリックします。
「終了」をクリックします。
IISを再起動します。次に例を示します。

「スタート」を選択して「実行」を選択します。
net start w3svcと入力します。
「OK」をクリックします。

IISへのWebGateのインストールの確認

WebGateをインストールしてIIS Webサーバー構成ファイルを更新した後、WebGate診断を使用してWebGateが適切にインストールされていることを確認できます。

WebGateのインストールの確認手順

次のURLに移動します。
```
     http(s)://hostname:port/access/oblix/apps/webgate/bin/webgate.dll?progid=1
```
ここで、hostnameは、WebGateをホストするコンピュータの名前を、portは、Webサーバーのインスタンスのポート番号を表します。
WebGateの診断ページが表示されます。
- 成功: WebGateの診断ページが表示された場合、WebGateは正しく機能しているため、このページを閉じてかまいません。
- 失敗: WebGateの診断ページが開かない場合、WebGateは正しく機能していません。WebGateをアンインストールして再インストールする必要があります。詳細は、第21章「Oracle Access Managerの削除」および第9章「WebGateのインストール」の順に参照してください。

IIS Webサーバーの起動、停止および再起動

Oracle Access Manager Webコンポーネントのインストールまたは設定中にIIS Webサーバーの再起動を求められた場合は、画面に表示されるすべての指示に従ってください。また、net stop iisadminおよびnet start w3svcの使用を検討してください。この方法はWebサーバーの停止および起動に適しています。これは、すべてのOracle Access Manager Webコンポーネント（特にポリシー・マネージャのインストール後）に当てはまります。netコマンドは、インストールに伴いメタベースが破損しないようにするために役立ちます。

詳細は、次に示すWebコンポーネント関連の章を参照してください。

アンインストール前のWebサーバー構成変更の削除

インストール中に行ったWebサーバー構成の変更は、Oracle Access Managerコンポーネント（WebPass、ポリシー・マネージャ、WebGate）をアンインストールしてから手動で元に戻す必要があります。たとえば、IIS WebPassに対してISAPI transfilterがインストールされます。ただし、WebPassをアンインストールしてもこれは自動的には削除されません。また、作成されたWebサービス拡張機能と、IDディレクトリへのリンクも削除されません。このような情報は手動で削除する必要があります。これらは削除する必要がある情報の一例です。すべてではありません。

さらに、Oracle Access Managerコンポーネント（WebPass、ポリシー・マネージャ、WebGate）についてWebサーバー構成ファイルに手動で行ったすべての変更を削除する必要があります。各コンポーネントに追加される内容の詳細は、この章の他の項を参照してください。

WebGateおよび関連フィルタをIISから完全に削除するには、フィルタをIISのリストから削除するだけでなく、他の手順も必要になります。IISは、その設定をすべてメタベース・ファイルに保持します。Windows 2000以降では、これは手動で変更できるXMLファイルです。また、メタベースの編集に利用できるツール（MetaEdit）もあります。MetaEditはRegeditに類似しており、一貫性チェックとブラウザ/エディタの機能があります。WebGateをIISから完全に削除するには、MetaEditを使用してメタベースを編集します。

トラブルシューティング

トラブルシューティングの詳細は、付録Eの次の項を参照してください。