12.3 SSLを介したWLST管理の実行

次のステップでは、SSLを介してWLST管理を実行する方法を示します:

1. デフォルトでは、SSLポートは管理サーバーまたはOracle Identity Governance (OIG)管理対象サーバーに対して有効になっていません。管理サーバーおよび管理対象サーバーのSSLポートを構成するには:
   1. WebLogicリモート・コンソールにログインします。
   2. 「ツリーの編集」をクリックし、左側のナビゲーション・メニューで「環境」→「サーバー」→「<server_name>」に移動して、「一般」タブをクリックします。
   3. 「SSLリスニング・ポートの有効化」ボタンを選択し、SSLポートを指定します(AdminServerは7002、oim_server1は14101)
   4. 「保存」をクリックします。
   5. 「ショッピング・カート」をクリックし、「変更のコミット」を選択します。

   ノート:

   SSL用にOIG管理対象サーバーを構成する場合は、すべてのサーバー(oim_server1からoim_server5)で同じポートに対してSSLを有効にする必要があります。
2. 次のようにmyscriptsディレクトリを作成します:

   cd $WORKDIR/kubernetes

   mkdir myscripts

   cd myscripts

3. <domain_uid>-adminserver-ssl.yamlというサンプルyamlテンプレート・ファイルをmyscriptsディレクトリに作成して、管理サーバー用のKubernetesサービスを作成します:

   ノート:

   環境に基づいてdomainName、domainUIDおよびnamespaceを更新します。例:

   apiVersion: v1
   kind: Service
   metadata:
     labels:
       serviceType: SERVER
       weblogic.domainName: governancedomain
       weblogic.domainUID: governancedomain
       weblogic.resourceVersion: domain-v2
       weblogic.serverName: AdminServer
     name: governancedomain-adminserver-ssl
     namespace: oigns
   spec:
     clusterIP: None
     ports:
     - name: default
       port: 7002
       protocol: TCP
       targetPort: 7002
     selector:
       weblogic.createdByOperator: "true"
       weblogic.domainUID: governancedomain
       weblogic.serverName: AdminServer
     type: ClusterIP
   

4. OIG管理対象サーバー用の<domain_uid>-oimcluster-ssl.yamlを作成します:

   apiVersion: v1
   kind: Service
   metadata:
     labels:
       serviceType: SERVER
       weblogic.domainName: governancedomain
       weblogic.domainUID: governancedomain
       weblogic.resourceVersion: domain-v2
     name: governancedomain-cluster-oim-cluster-ssl
     namespace: oigns
   spec:
     clusterIP: None
     ports:
     - name: default
       port: 14101
       protocol: TCP
       targetPort: 14101
     selector:
       weblogic.clusterName: oim_cluster
       weblogic.createdByOperator: "true"
       weblogic.domainUID: governancedomain
     type: ClusterIP
   

5. 次のコマンドを使用して、AdminServerにテンプレートを適用します:

   kubectl apply -f <domain_uid>-adminserver-ssl.yaml

   例:

   kubectl apply -f governancedomain-adminserver-ssl.yaml

   出力は次のようになります:

   service/governancedomain-adminserverssl created

6. 次のコマンドを使用して、OIG管理対象サーバーにテンプレートを適用します:

   kubectl apply -f governancedomain-oim-cluster-ssl.yaml

   例:

   kubectl apply -f governancedomain-oimcluster-ssl.yaml

   出力は次のようになります:

   service/governancedomain-oimcluster-ssl created

7. SSLポートにアクセスするためのKubernetesサービスが正常に作成されたことを確認します:

   kubectl get svc -n <domain_namespace> |grep ssl
   

   例:

   kubectl get svc -n oigns |grep ssl

   出力は次のようになります:

   governancedomain-adminserver-ssl           ClusterIP   None             <none>        7002/TCP                     74s
   governancedomain-cluster-oim-cluster-ssl   ClusterIP   None             <none>        14101/TCP                    21s
   

8. 実行中のヘルパー・ポッドのBashシェル内で、次を実行します:

   export WLST_PROPERTIES="-Dweblogic.security.SSL.ignoreHostnameVerification=true -Dweblogic.security.TrustKeyStore=DemoTrust"
   

   cd /u01/oracle/oracle_common/common/bin
   

   ./wlst.sh

   出力は次のようになります:

   Initializing WebLogic Scripting Tool (WLST) ...
   
   Welcome to WebLogic Server Administration Scripting Shell
      
   Type help() for help on available commands
   wls:/offline>

   管理サーバーのt3sサービスに接続するには:

   connect('weblogic','<password>','t3s://governancedomain-adminserver-ssl:7002')

   出力は次のようになります:

   Connecting to t3s://governancedomain-adminserver-ssl:7002 with userid weblogic ...
   <DATE> <Info> <Security> <BEA-090905> <Disabling the CryptoJ JCE Provider self-integrity check for better startup performance. To enable this check, specify -Dweblogic.security.allowCryptoJDefaultJCEVerification=true.>
   <DATE> <Info> <Security> <BEA-090906> <Changing the default Random Number Generator in RSA CryptoJ from ECDRBG128 to HMACDRBG. To disable this change, specify -Dweblogic.security.allowCryptoJDefaultPRNG=true.>
   <DATE> <Info> <Security> <BEA-090909> <Using the configured custom SSL Hostname Verifier implementation: weblogic.security.utils.SSLWLSHostnameVerifier$NullHostnameVerifier.>
   Successfully connected to Admin Server "AdminServer" that belongs to domain "governancedomain".
   
   wls:/governancedomain/serverConfig/>
   

   OIG管理対象サーバーのt3sサービスに接続するには:

   connect('weblogic','<password>','t3s://governancedomain-cluster-oim-cluster-ssl:14101')

   出力は次のようになります:

   Connecting to t3s://governancedomain-cluster-oim-cluster-ssl:14101 with userid weblogic ...
   <DATE> <Info> <Security> <BEA-090905> <Disabling the CryptoJ JCE Provider self-integrity check for better startup performance. To enable this check, specify -Dweblogic.security.allowCryptoJDefaultJCEVerification=true.>
   <DATE> <Info> <Security> <BEA-090906> <Changing the default Random Number Generator in RSA CryptoJ from ECDRBG128 to HMACDRBG. To disable this change, specify -Dweblogic.security.allowCryptoJDefaultPRNG=true.>
   <DATE> <Info> <Security> <BEA-090909> <Using the configured custom SSL Hostname Verifier implementation: weblogic.security.utils.SSLWLSHostnameVerifier$NullHostnameVerifier.>
   Successfully connected to managed Server "oim_server1" that belongs to domain "governancedomain".
   
   wls:/governancedomain/serverConfig/>