English
Русский
Установка кластера Oracle IRM в Linux: настройка и запуск

1. Запуск Админ Сервера Weblogic
Админ Сервер - это экземпляр веблоджика, на котором развернуты (задеплоены) консоли управления доменом. Сейчас он нужен, чтобы задать первоначальную конфигурацию для Oracle IRM:
- для запуска Админ Сервера нужно выполнить
/u01/app/oracle/Middleware/user_projects/domain/base_domain/startWeblogic.sh - он обязательно спросит логин и пароль. Чтобы не требовалось вводить их каждый раз, нужно внести пару строчек в файл
/u01/app/oracle/Middleware/user_projects/domain/base_domain/servers/AdminServer/security/boot.properties
username=weblogic
password=welcome1
После очередного старта веблоджик заменит эти строки хэшем. - об успешном запуске веблоджика свидетельствует появление этих двух строк в окне терминала
2. Создание хранилища ключей IRM
Тут нужно выполнить следующую последовательность действий:
- cd /u01/app/oracle/Middleware/wlserver_10.3/server/bin
- ./setWLSEnv.sh или source ./setWLSEnv.sh Скрипт не всегда корректно присваивает переменные окружения CLASSPATH и PATH, поэтому иногда требуется скопировать и вставить результат выполнения скрипта setWLSEnv.sh в окно терминала, после чего выполнить "export CLASSPATH PATH"
- если переменные присвоены правильно, то команда java -version отобразит актуальную версию (1.6.0, x64)
- cd /u01/app/oracle/Middleware/user_projects/domains/base_domain/config/fmwconfig
- keytool -genseckey -storetype JCEKS -alias oracle.irm.wrap -keyalg AES -keysize 128 -keystore irm.jceks
- затем нужно зайти в интерфейс Enterprise Manager http://irm-01.securny.com:7001/em
- нажать "Apply"
- cd /u01/app/oracle/Middleware/Oracle_ECM1/common/bin
- ./wlst.sh
- connect('weblogic','welcome1','192.168.192.141:7001')
- createCred('IRM','keystore:irm.jceks','dummy','welcome1')
- createCred('IRM','key:irm.jceks:oracle.irm.wrap','dummy','welcome1')
- и чтобы два раза не вставать тут же выполнить
nmEnroll('/u01/app/oracle/Middleware/user_projects/domains/base_domain','/u01/app/oracle/Middleware/wlserver_10.3/common/nodemanager') - exit()
3. Настройка SSL
Теперь нужно выполнить:
- cd /u01/app/oracle/
- mkdir keystore
- cd keystore
- openssl genrsa -des3 -out irm-securny.key 2048
- openssl req -new -key irm-securny.key -out irm-securny.csr
- сертификат нужно получить в удостоверяющем центре с помощью информации, содержащейся в сформированном файле запроса сертификата (irm-securny.csr)
- сюда вставляем содержимое файла irm-securny.csr
- скачиваем созданный сертификат
- заодно скачиваем сертификат самого удостоверяющего центра
- импортируем выданный с помощью удостоверяющего центра сертификат в хранилище ключей явы
java utils.ImportPrivateKey -keystore SecurnyIdentityStore.jks -storepass welcome1 -alias securnytrust -certfile irm-securny.cer -keyfile irm-securny.key -keyfilepass welcome1 - keytool -import -trustcacerts -alias securnytrust -keystore TrustSecurny.jks -file ca-securny.cer -keyalg RSA
- cp SecurnyIdentityStore.jks /u01/app/oracle/Middleware/user_projects/domains/base_domain/config/fmwconfig
- cp TrustSecurny.jks /u01/app/oracle/Middleware/user_projects/domains/base_domain/config/fmwconfig
- нужно зайти в консоль веблоджика http://irm-01.securny.com:7001/console -> Enviroment -> Servers -> LoadBalancer
- отметить галочкой опцию "Client Cert Proxy Enabled"
- перейти на вкладку Keystores, нажать "Change" и выбрать "Custom Identity and Custom Trust"
- после чего заполнить поля:
Identity
Custom Identity Keystore: /oracle/middleware/user_projects/domains/irm_domain/config/fmwconfig/SecurnyIdentityStore.jks
Custom Identity Keystore Type: JKS
Custom Identity Keystore Passphrase: welcome1
Confirm Custom Identity Keystore Passphrase: welcome1Trust
Custom Trust Keystore: /oracle/middleware/user_projects/domains/irm_domain/config/fmwconfig/TrustSecurny.jks
Custom Trust Keystore Type: JKS
Custom Trust Keystore Passphrase: welcome1
Confirm Custom Trust Keystore Passphrase: welcome1 - перейти на вкладку SSL и заполнить следующие поля:
Identity
Private Key Alias: securnytrust
Private Key Passphrase: welcome1
Confirm Private Key Passphrase: welcome1 - нажать "save".
4. Развертывание домена weblogic на втором сервере
После того, как основные параметры были сконфигурированы, необходимо развернуть домен веблоджика на втором сервере. На втором сервере при этом должен быть установлен такой же комплект программного обеспечения, что и на первом (т.е. weblogic, java, webcenter: content). Для тиражирования домена (а также для его резервного копирования) существует несколько замечательных команд: pack и unpack.
- cd /u01/app/oracle/
- mkdir user_templates
- cd /u01/app/oracle/Middleware/wlserver_10.3/common/bin
- ./pack.sh -managed=true -domain=/u01/app/oracle/Middleware/user_projects/domains/base_domain -template=/u01/app/oracle/user_templates/base_domain.jar -template_name="base_domain"
- затем нужно скопировать base_domain.jar с первого сервера на второй в /u01/app/oracle/user_templates/
- аналогично
cd /u01/app/oracle/Middleware/wlserver_10.3/common/bin - ./unpack.sh -domain=/u01/app/oracle/Middleware/user_projects/domains/base_domain -template=/u01/app/oracle/user_templates/base_domain.jar
5. Форвардинг портов на балансировщике нагрузки
При создании балансировщика я указал порты 8080 и 8443 для http и https соответственно. Но при настройке IRM в Enterprise Manager'е я указал именно дефолтный 443 порт для /irm_desktop. Дело в том, что для запуск серверов на портах ниже 1024 нужно выполнять под учеткой root. Но это не секьюрно, поэтому нужно сделать форвардинг с 80 и 443 порта на 8080 и 8443 соответственно. Для этого следует использовать iptables.
- --iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8080
- --iptables -t nat -A OUTPUT -p tcp --dport 80 -j DNAT --to-port :8080
- --iptables -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --to-port 8443
- --iptables -t nat -A OUTPUT -p tcp --dport 443 -j DNAT --to-port :8443
6. Запуск
Если планируется использовать Active Directory в качестве источника аутентификационных данных пользователей, то запуск Managed Servers лучше производить после успешной настройки провайдера аутентификации веблоджика к AD. В остальных случаях нужно выполнить:
на первом сервере:
- /u01/app/oracle/Middleware/user_projects/domains/base_domain/bin/startManagedWebLogic.sh IRM-01 t3://192.168.192.131:7001
- на втором сервере:
/u01/app/oracle/Middleware/user_projects/domains/base_domain/bin/startManagedWebLogic.sh IRM-02 t3://192.168.192.131:7001 - /u01/app/oracle/Middleware/user_projects/domains/base_domain/bin/startManagedWebLogic.sh LoadBalance t3://192.168.192.131:7001где t3://192.168.192.131:7001 - это адрес Админ Сервера
Оставить комментарий