English
Русский
Список тэгов | Tags
- *.msi (1)
- 11gR2PS2 (5)
- 12.2.1.3.0 (1)
- 12c (1)
- 12cPS3 (1)
- 1IDM (3)
- 1Z0-459 (3)
- 1Z0-545 (1)
- 1Z1-339 (2)
- access governance (3)
- access management (1)
- active directory (2)
- ADF (2)
- administrator (1)
- android (1)
- ankey idm (1)
- apache syncope (1)
- authentication (1)
- Avanpost (1)
- awr (1)
- BEA-001129 (1)
- blackberry (1)
- Blitz Identity Provider (1)
- Bulk (2)
- Bulk Attribute Propagation (2)
- bundle patch (3)
- CFGFWK-60850 (1)
- CFGFWK-60853 (1)
- cisco (2)
- Cisco ASA (1)
- Cisco ASA CX (1)
- community (1)
- ConnId (1)
- CVE-2017-10151 (1)
- d1im (2)
- dell (5)
- Dell One Identity Manager (2)
- disaster recovery (1)
- El Capitan (1)
- embedded ldap (2)
- EMC (1)
- enterprise deployment guide (1)
- error (6)
- forgerock (3)
- gartner (3)
- GNS3 (1)
- GPO (1)
- help (1)
- iam (1)
- IBM (2)
- ICF (1)
- id-conf (1)
- identity management (3)
- IDMWorks (1)
- information rights management (8)
- install (9)
- ios (1)
- ipad (1)
- iphone (1)
- irm-admin (1)
- jdev (1)
- jdeveloper (1)
- jfr (1)
- kuppingercole (2)
- ldap (3)
- leadership compass (1)
- libaio (1)
- libXext.so.6 (1)
- libXtst (1)
- linux virtual server (1)
- LVS (1)
- Mac OS X (2)
- magic quadrant (3)
- MDS (1)
- MDSEdit (1)
- microsoft (1)
- midPoint (2)
- MobaXterm (1)
- nodemanager (4)
- OIM (3)
- OMSS (1)
- opatch (1)
- OpenAM (1)
- OpenDJ (1)
- OpenICF (1)
- openidm (4)
- ORA-28001 (1)
- orachk (5)
- oracle (9)
- oracle access manager (5)
- oracle identity analytics (1)
- Oracle Identity and Access Management (14)
- Oracle Identity and Access Management Deployment Repository (5)
- Oracle Identity and Access Management Lifecycle Tools (4)
- oracle identity governance (6)
- oracle identity manager (35)
- oracle irm (10)
- Oracle IRM Desktop (2)
- oracle irm wrapper (1)
- oracle linux (9)
- Oracle Metadata Services (1)
- Oracle Mobile Security Suite (1)
- oracle privileged account manager (1)
- oracle unified directory (3)
- oracle validated (2)
- oracle-rdbms-server-11gR2-preinstall (1)
- oud (2)
- patch (3)
- performance (1)
- Q1IM (1)
- Qemu (1)
- quest (2)
- quest one identity manager (1)
- RCU (3)
- RCU-6130 (1)
- RCU-6136 (1)
- release (6)
- RS-IAM (4)
- RS: Управление доступом версия 1.0 (1)
- RSA (1)
- RSA Conference (1)
- RSAC (1)
- sailpoint (3)
- Server.cs:609 (2)
- Solar inRights (3)
- Solar Security (1)
- SSL (1)
- support (1)
- The file exists (2)
- Unparseable date (1)
- upgrade (2)
- upstart (1)
- weblogic (11)
- weblogic scripting tool (3)
- weblogic.socket.NIOSocketMuxer (1)
- wlst (3)
- zakupki (1)
- Аванпост (1)
- администратор домена (1)
- администраторы (1)
- Банк Москвы (1)
- бди (1)
- вывод из эксплуатации (1)
- дайджест (4)
- импортозамещение (3)
- инженер idm (1)
- Инфосистемы Джет (2)
- кластер irm (2)
- коннектор (1)
- Крок (1)
- КУБ (1)
- матрица доступа (1)
- менеджер домена (1)
- менеджер контекста (1)
- настройка (1)
- реестр ПО (1)
- Роснефть (2)
- ТЗ (1)
- утилиты (2)
- ЦСУПД (1)
- юмор (1)
Установка кластера Oracle IRM в Linux: настройка и запуск
Вторая часть материала по установке кластера Oracle Information Rights Management (IRM) на сервер под управлением ОС Oracle Linux. В этом посте будет описаны шаги по настройке и запуску Oracle IRM, которые необходимо выполнить до начала работы пользователей с системой. Основную часть поста составляются скриншоты с пояснениями. Все вопросы и уточнения прошу формулировать в комментариях.
1. Запуск Админ Сервера Weblogic
Админ Сервер - это экземпляр веблоджика, на котором развернуты (задеплоены) консоли управления доменом. Сейчас он нужен, чтобы задать первоначальную конфигурацию для Oracle IRM:
- для запуска Админ Сервера нужно выполнить
/u01/app/oracle/Middleware/user_projects/domain/base_domain/startWeblogic.sh - он обязательно спросит логин и пароль. Чтобы не требовалось вводить их каждый раз, нужно внести пару строчек в файл
/u01/app/oracle/Middleware/user_projects/domain/base_domain/servers/AdminServer/security/boot.properties
username=weblogic
password=welcome1
После очередного старта веблоджик заменит эти строки хэшем. - об успешном запуске веблоджика свидетельствует появление этих двух строк в окне терминала
2. Создание хранилища ключей IRM
Тут нужно выполнить следующую последовательность действий:
- cd /u01/app/oracle/Middleware/wlserver_10.3/server/bin
- ./setWLSEnv.sh или source ./setWLSEnv.sh Скрипт не всегда корректно присваивает переменные окружения CLASSPATH и PATH, поэтому иногда требуется скопировать и вставить результат выполнения скрипта setWLSEnv.sh в окно терминала, после чего выполнить "export CLASSPATH PATH"
- если переменные присвоены правильно, то команда java -version отобразит актуальную версию (1.6.0, x64)
- cd /u01/app/oracle/Middleware/user_projects/domains/base_domain/config/fmwconfig
- keytool -genseckey -storetype JCEKS -alias oracle.irm.wrap -keyalg AES -keysize 128 -keystore irm.jceks
- затем нужно зайти в интерфейс Enterprise Manager http://irm-01.securny.com:7001/em
- нажать "Apply"
- cd /u01/app/oracle/Middleware/Oracle_ECM1/common/bin
- ./wlst.sh
- connect('weblogic','welcome1','192.168.192.141:7001')
- createCred('IRM','keystore:irm.jceks','dummy','welcome1')
- createCred('IRM','key:irm.jceks:oracle.irm.wrap','dummy','welcome1')
- и чтобы два раза не вставать тут же выполнить
nmEnroll('/u01/app/oracle/Middleware/user_projects/domains/base_domain','/u01/app/oracle/Middleware/wlserver_10.3/common/nodemanager')
- exit()
3. Настройка SSL
Теперь нужно выполнить:
- cd /u01/app/oracle/
- mkdir keystore
- cd keystore
- openssl genrsa -des3 -out irm-securny.key 2048
- openssl req -new -key irm-securny.key -out irm-securny.csr
- сертификат нужно получить в удостоверяющем центре с помощью информации, содержащейся в сформированном файле запроса сертификата (irm-securny.csr)
- сюда вставляем содержимое файла irm-securny.csr
- скачиваем созданный сертификат
- заодно скачиваем сертификат самого удостоверяющего центра
- импортируем выданный с помощью удостоверяющего центра сертификат в хранилище ключей явы
java utils.ImportPrivateKey -keystore SecurnyIdentityStore.jks -storepass welcome1 -alias securnytrust -certfile irm-securny.cer -keyfile irm-securny.key -keyfilepass welcome1
- keytool -import -trustcacerts -alias securnytrust -keystore TrustSecurny.jks -file ca-securny.cer -keyalg RSA
- cp SecurnyIdentityStore.jks /u01/app/oracle/Middleware/user_projects/domains/base_domain/config/fmwconfig
- cp TrustSecurny.jks /u01/app/oracle/Middleware/user_projects/domains/base_domain/config/fmwconfig
- нужно зайти в консоль веблоджика http://irm-01.securny.com:7001/console -> Enviroment -> Servers -> LoadBalancer
- отметить галочкой опцию "Client Cert Proxy Enabled"
- перейти на вкладку Keystores, нажать "Change" и выбрать "Custom Identity and Custom Trust"
- после чего заполнить поля:
Identity
Custom Identity Keystore: /oracle/middleware/user_projects/domains/irm_domain/config/fmwconfig/SecurnyIdentityStore.jks
Custom Identity Keystore Type: JKS
Custom Identity Keystore Passphrase: welcome1
Confirm Custom Identity Keystore Passphrase: welcome1Trust
Custom Trust Keystore: /oracle/middleware/user_projects/domains/irm_domain/config/fmwconfig/TrustSecurny.jks
Custom Trust Keystore Type: JKS
Custom Trust Keystore Passphrase: welcome1
Confirm Custom Trust Keystore Passphrase: welcome1
- перейти на вкладку SSL и заполнить следующие поля:
Identity
Private Key Alias: securnytrust
Private Key Passphrase: welcome1
Confirm Private Key Passphrase: welcome1
- нажать "save".
4. Развертывание домена weblogic на втором сервере
После того, как основные параметры были сконфигурированы, необходимо развернуть домен веблоджика на втором сервере. На втором сервере при этом должен быть установлен такой же комплект программного обеспечения, что и на первом (т.е. weblogic, java, webcenter: content). Для тиражирования домена (а также для его резервного копирования) существует несколько замечательных команд: pack и unpack.
- cd /u01/app/oracle/
- mkdir user_templates
- cd /u01/app/oracle/Middleware/wlserver_10.3/common/bin
- ./pack.sh -managed=true -domain=/u01/app/oracle/Middleware/user_projects/domains/base_domain -template=/u01/app/oracle/user_templates/base_domain.jar -template_name="base_domain"
- затем нужно скопировать base_domain.jar с первого сервера на второй в /u01/app/oracle/user_templates/
- аналогично
cd /u01/app/oracle/Middleware/wlserver_10.3/common/bin - ./unpack.sh -domain=/u01/app/oracle/Middleware/user_projects/domains/base_domain -template=/u01/app/oracle/user_templates/base_domain.jar
5. Форвардинг портов на балансировщике нагрузки
При создании балансировщика я указал порты 8080 и 8443 для http и https соответственно. Но при настройке IRM в Enterprise Manager'е я указал именно дефолтный 443 порт для /irm_desktop. Дело в том, что для запуск серверов на портах ниже 1024 нужно выполнять под учеткой root. Но это не секьюрно, поэтому нужно сделать форвардинг с 80 и 443 порта на 8080 и 8443 соответственно. Для этого следует использовать iptables.
- --iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8080
- --iptables -t nat -A OUTPUT -p tcp --dport 80 -j DNAT --to-port :8080
- --iptables -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --to-port 8443
- --iptables -t nat -A OUTPUT -p tcp --dport 443 -j DNAT --to-port :8443
6. Запуск
Если планируется использовать Active Directory в качестве источника аутентификационных данных пользователей, то запуск Managed Servers лучше производить после успешной настройки провайдера аутентификации веблоджика к AD. В остальных случаях нужно выполнить:
на первом сервере:
- /u01/app/oracle/Middleware/user_projects/domains/base_domain/bin/startManagedWebLogic.sh IRM-01 t3://192.168.192.131:7001
- на втором сервере:
/u01/app/oracle/Middleware/user_projects/domains/base_domain/bin/startManagedWebLogic.sh IRM-02 t3://192.168.192.131:7001 - /u01/app/oracle/Middleware/user_projects/domains/base_domain/bin/startManagedWebLogic.sh LoadBalance t3://192.168.192.131:7001где t3://192.168.192.131:7001 - это адрес Админ Сервера
Оставить комментарий