1. Oracle Analytics Serverセキュリティの管理
  2. Oracle Analytics ServerにおけるSSLの構成
  3. エンドツーエンドSSLの有効化

エンドツーエンドSSLの有効化

エンドツーエンドSSLを実現するには、内部SSLおよびWebLogic SSLを構成する必要があります。

WebLogic SSL構成では複数の手動のステップが必要である一方で、内部SSL構成は高度に自動化されています。2つは完全に独立しているため、どちらからでも実行できます。WebLogic構成では、手動のステップが必要です(最初に実行することをお薦めします)。

ノート:

この項には、EssbaseのSSLの構成が含まれていません。

トピック:

標準の非SSL Oracle Analytics Serverシステムの構成

この項では、標準の非SSL Oracle Analytics Serverシステムを構成する方法について説明します。

  • Oracle Analytics Serverをインストールします。

  • システムが動作していることを確認します。

    次を使用するためにHTTPを介してログインできることを確認します。

    • Analytics

      - http://<Host>:<ManagedServerPort>/analytics

    • Fusion Middleware Control

      - http://<Host>:< AdminPort>/em

    • WebLogic管理コンソール

      - http://<Host>:<AdminPort>/console

WebLogic SSLの構成

これらのステップでは、提供されているデモ証明書を使用してWebLogicを構成します。これらはセキュアではありません。

本番環境ではこれらのタスクを使用しないでください。デモ証明書を使用すると、実際の証明書を使用した場合の環境の構成方法が理解しやすくなります。

実際の認証局によって署名されたセキュアな証明書を使用して構成するには、WebLogicドキュメントを参照してください。認証局は、署名されたサーバー証明書を返し、対応するルートCA証明書を提供する必要があります。タスクのステップでdemoCAと示されている場所については、実際のCA証明書でdemoCAを置き換えます。

トピック:

管理サーバーのみの起動

すべてを起動するのではなく管理サーバーのみを起動するとすべて停止する必要がなくなりますが、管理接続プロパティがすべての停止スクリプトと混同する変化の状態になります。

  1. 次を使用してすべてを停止します。

    <DomainHome>/bitools/bin/stop.sh

  2. 次を使用して管理サーバーのみを起動します。

    <DomainHome>/bitools/bin/start.sh -i Adminserver

HTTPSポートの構成

次のステップに従って、HTTPSポートを構成します。

  1. WebLogic管理コンソールにログインします。
  2. 「ロックして編集」をクリックします。
  3. 「環境」「サーバー」の順に選択します。
  4. メインの「構成」タブの各サーバーで、「SSLリスニング・ポートの有効化」を選択します。
  5. 「保存」をクリックします。
  6. 「変更のアクティブ化」をクリックします。
  7. WebLogicのデモ証明書を使用している場合は、URL https://<host>:<AdminServerSSLPort>に移動し、単一のブラウザ証明書例外を設定します。

    URL https://<host>:<AdminServerSSLPort>はベースURLで、パスにEnterprise ManagerもWebLogic管理コンソールもありません。最初にベースURLにアクセスすることで、単一のブラウザ証明書例外を設定できます。Enterprise ManagerまたはWebLogic管理コンソールのパスに直接移動する場合は、複数の証明書例外を設定する必要があります。

  8. ベースURLに移動して、証明書例外を有効化します。

    これは、WebLogicコンソールとFusion Middleware Controlで個別に実行するのではなく、1回のみ実行する必要があります。

    SSL接続が行われると、ベースURLは404エラーを表示します。このエラーは無視できます。

  9. 次のようなURLを使用して、セキュアなWebLogicコンソールのURLをテストします。

    https://<Host>:<AdminServerSSLPort>/console

  10. 次のようなURLを使用して、セキュアなFusion Middleware ControlのURLをテストします。

    https://<Host>:<AdminServerSSLPort>/em

    HTTPを使用してFusion Middleware Controlにログインしながら、HTTPS URLをテストします。

    HTTPSを無効にしないでください。

  11. WebLogic管理コンソールで「ロックして編集」をクリックし、セキュア・レプリケーションの有効化を開始します。
  12. 「環境」「クラスタ」「bi_cluster」の順に選択します。
  13. 「構成」を選択し、「レプリケーション」タブを選択します。
  14. 「セキュア・レプリケーションの有効化」を選択します。
    「セキュア・レプリケーションの有効化」を選択しなかった場合、管理対象サーバーは起動に失敗し、起動スクリプトの実行を阻止する管理モードのままになります。
  15. 「保存」をクリックします。
  16. 「変更のアクティブ化」をクリックします。

LDAPを使用するための内部WebLogic Server LDAPの構成

外部アイデンティティ・ストアをすでに構成してある場合は、このステップの実行をスキップできます。WebLogic Server LDAPを使用する場合はこのタスクを実行します。virtualizeプロパティはtrueに設定しません。

セキュアな接続を使用するように外部アイデンティティ・ストアを構成できます。外部アイデンティティ・ストアを使用するには、内部LDAP IDストアのURLを変更する必要があります。

  1. 次のようなURLを使用して、Fusion Middleware Controlにログインします。

    https://<Host>/<SecureAdminPort>/em

  2. 「WebLogicドメイン」「セキュリティ」「セキュリティ・プロバイダ構成」の順にクリックします。
  3. 「アイデンティティ・ストア・プロバイダ」セグメントを展開します。
  4. 「構成」をクリックし、プラス記号(+)をクリックして新しいプロパティを追加します。
  5. 次の書式を使用して、bi_server1アドレスではなくadministration serverアドレスにldap.urlプロパティを追加します。

    ldaps://<host>:<adminServer HTTPS port>。たとえば、ldaps://myexample_machine.com:9501

  6. プロパティ・エディタで「OK」をクリックします。
  7. 「アイデンティティ・ストア・プロバイダ」ページで、「OK」をクリックします。
  8. <DomainHome>/config/fmwconfig/jps-config.xmlにあるjps-config.xmlファイルを開きます。
  9. このファイルで、<property name="ldap.url" value="ldaps://<Host>:<AdminServerSecurePort>"/>という行を探し、構成の変更を確認します。
IBM-AIXでは、IBM JDKでサポートされている暗号スイートを構成するために、追加の構成ステップが必要です。

  1. <DomainHome>/config/fmwconfig/ovd/default/adapters.os_xmlを開きます

  2. このファイルの<ldap>セクションに、次のSSL暗号スイートを挿入します。 

    <ldap id="DefaultAuthenticator" version="0">  
<ssl>  
    <protocols>TLSv1.2,TLSv1.1</protocols>  
    <cipherSuites>  
       <cipher>SSL_RSA_WITH_AES_128_CBC_SHA</cipher>  
       <cipher>SSL_ECDHE_ECDSA_WITH_AES_128_CBC_SHA</cipher>   
       <cipher>SSL_ECDH_ECDSA_WITH_AES_128_GCM_SHA256</cipher>  
    </cipherSuites>  
</ssl>    
</ldap>

内部WebLogic Server LDAPのトラスト・ストアの構成

信頼キーストアを指定する必要があります。

ノート:

この項は、WebLogic Server LDAPを使用しており、さらにvirtualize=trueを設定している場合にのみ適用されます。これは、組込みWLS LDAPの管理サーバーを明示的に指定しているためです。

  1. ターミナル・ウィンドウで、ORACLE_HOMEおよびWL_HOME環境変数を設定します。

    たとえばLinuxでは、次のように指定します。

    setenv ORACLE_HOME <OracleHome>

    setenv WL_HOME <OracleHome>/wlserver/

  2. パスおよびJAVA_HOMEがJDK 8インストールを示していることを確認します。

    setenv JAVA_HOME <path_to_your_jdk8>

    setenv PATH $JAVA_HOME/bin

  3. 次を実行してJavaバージョンを確認します。

    java -version

  4. 次を実行します(改行なし)。

    <OracleHome>/oracle_common/bin/libovdconfig.sh

    -host <Host>

    -port <AdminServerNonSSLPort>

    -userName <AdminUserName>

    -domainPath <DomainHome>

    -createKeystore

    入力を求められた場合は、<AdminUserName>の既存のパスワードを入力します。

    OVDキーストアのパスワードの入力を求められた場合は、新しいパスワードを選択します。

    たとえば:

    oracle_common/bin/libovdconfig.sh -host myhost -port 9500 -userName weblogic -domainPath /OracleHome/user_projects/domains/bi -createKeystore

Enter AdminServer password:
Enter OVD Keystore password:
OVD config files already exist for context: default
CSF credential creation successful
Permission grant already available for context: default
OVD MBeans already configured for context: default
Successfully created OVD keystore.

    管理サーバーの非SSLポートが無効になっている場合、-port <AdminServerNonSSL>コマンドは機能しません。SSLを有効化してLDAPを構成する場合は、管理サーバーの非SSLポートを一時的に再有効化する必要があります。

  5. 次を実行して、結果のキーストアが存在することを確認し、初期コンテンツを表示します。

    keytool -list -keystore <DomainHome>/config/fmwconfig/ovd/default/keystores/adapters.jks

  6. 上のキーストアにインポートするため、適切な形式でデモ証明書をエクスポートする必要があります。

    Fusion Middleware Control:

    WebLogicデモ証明書を使用する場合、Fusion Middleware Controlを使用してシステム・キーストアから必要なルートCAを取得できます。

    1. 「WebLogicドメイン」「セキュリティ」「キーストア」の順に選択します。

    2. 「システム」を展開します。

    3. 「信頼」を選択します。

    4. 「管理」をクリックします。

    5. 「olddemoca」ではなく「democa」を選択します。

    6. 「エクスポート」をクリックします。

    7. 「証明書のエクスポート」を選択します。

    8. ファイル名を選択します。

      たとえば、demotrust.pemです

      WebLogicデモ証明書を使用しない場合、セキュアなサーバー証明書に署名したCAのルートCAを取得する必要があります。

  7. 作成したキーストアにインポートします。

    keytool -importcert -keystore <DomainHome>/config/fmwconfig/ovd/default/keystores/adapters.jks -alias localldap -file <DemoTrustFile>

  8. 入力を求められた場合、前に選択したキーストアのパスワードを入力し、証明書が信頼されていることを確認します。

  9. キーストアの-listコマンドを繰り返すと、次のようにlocalldapに新しいエントリが表示されます。 

    localldap, Jul 8, 2015, trustedCertEntry,

    証明書のフィンガープリント(SHA1):

    CA:61:71:5B:64:6B:02:63:C6:FB:83:B1:71:F0:99:D3:54:6A:F7:C8

HTTPの無効化

HTTPSを使用するようにシステムを保護した後、環境を完全に保護するには、HTTPを無効にする必要もあります。

  1. WebLogic管理コンソールにログインします。

  2. 「ロックして編集」をクリックします。

  3. 「環境」「サーバー」の順に選択します。

    各サーバーの場合は、次のとおりです。

    1. 「構成」タブが表示されます

    2. 「リスニング・ポート有効」をクリアします。

    3. 「保存」をクリックします。

  4. 「変更のアクティブ化」をクリックします。

サーバー・キーストアの検証

管理サーバーと管理対象サーバーが、信頼証明書を含む信頼キーストアを使用するように構成されていることを確認する必要があります。

  1. WebLogic管理コンソールにログインします。
  2. 「ロックして編集」をクリックします。
  3. 「環境」「サーバー」の順に選択します。
  4. 各管理対象サーバーに対して。
    1. 「キーストア」タブを表示します。
    2. 「キーストア」の値がCustom Identity and Custom Trustであることを確認します。

      ノート:

      WebLogicデモ証明書を使用している場合、引き続きCustom Identity and Custom Trustを使用して、これらのステップで説明されているようにデモ・キーストアを指すようにカスタム設定を構成する必要があります。Demo Identity and Demo Trustは、内部チャネルのSSL構成をオーバーライドするため使用しないでください。
    3. アイデンティティ・キーストアの場所が正しいアイデンティティ・キーストアを指していることを確認します。

      WebLogicデモ・アイデンティティ・キーストアはkss://system/demoidentityです。

    4. 信頼キーストアの場所が正しい信頼キーストアを指していることを確認します。

      WebLogicデモ信頼キーストアは、kss://system/trustです。

  5. 「保存」をクリックします。
  6. 「変更のアクティブ化」をクリックします。

再起動

ここで、Oracle Analytics Serverを再起動する必要があります。

Oracle Web Service Manager (OWSM)は無効化されたHTTPポートを使用するため、Oracle Analytics Serverを介してログインすることはできません。

HTTPSのみが機能します。

HTTPにより、「接続できないエラー」のようなエラーが即時に表示されます。プロトコルとポートを混在させないでください。誤ったプロトコルを使用して実行中のポートに接続しようとすると、ブラウザがハングする可能性があります。

  1. <DomainHome>/bitools/bin/stop.shを使用して管理サーバーを停止します。
  2. <DomainHome>/bitools/bin/start.sh -i AdminServerを使用して管理サーバーを起動します。
  3. HTTPおよびHTTPSの両方のWebLogicコンソールURLにログインしてHTTPが無効であることを確認します。

t3sを使用するためのOWSMの構成

HTTPSポートを使用するには、Oracle Web Services Manager (OWSM)構成をここで変更する必要があります。

ローカルのOWSMを使用する場合、HTTP (S) OWSMリンクは使用されません。

このタスクを完了したら、システムを再起動し、OWSM構成を確認する必要があります。システムの再起動を参照してください。

  1. Fusion Middleware Controlにログインします。

    https://<Host>/<SecureAdminPort>/em

  2. 「WebLogicドメイン」「クロス・コンポーネント・ワイヤリング」「コンポーネント」の順に選択します。
  3. 「コンポーネント・タイプ」「OWSMエージェント」を選択します。
  4. ステータスが「同期外れ」になっているowsm-pm-connection-t3の行を選択して、「バインド」をクリックします。
  5. 「はい」を選択します。

システムの再起動

すべてのサーバーを停止および再起動してから、HTTPSを使用したAnalyticsログインをテストする必要があります。

  1. <DomainHome>/bitools/bin/stop.shスクリプトを使用して、すべてのサーバーを停止します。
  2. <DomainHome>/bitools/bin/start.shスクリプトを使用して、すべてを開始します。
  3. 次のようなURLを使用して、Analyticsにログインできることを確認します。

    https://<Host>:<SecureManagedServerPort>/analytics

    WebLogic層では、外部向けのポートとすべてのWebLogicインフラストラクチャに対してのみHTTPSを使用します。内部BIチャネルおよびAnalyticsシステム・コンポーネントはHTTPを使用します。

  4. オプション: t3sを使用するようにOWSMを構成した場合は、バリデータを使用してポリシーにアクセスし、構成を確認します。

    https://<host>:<ManagedServerSSLPort>/wsm-pm/validator