Установка кластера Oracle IRM в Linux: настройка и запуск

Установка кластера Oracle IRM в Linux: настройка и запуск
   Вторая часть материала по установке кластера Oracle Information Rights Management (IRM) на сервер под управлением ОС Oracle Linux. В этом посте будет описаны шаги по настройке и запуску Oracle IRM, которые необходимо выполнить до начала работы пользователей с системой. Основную часть поста составляются скриншоты с пояснениями. Все вопросы и уточнения прошу формулировать в комментариях.

1. Запуск Админ Сервера Weblogic

   Админ Сервер - это экземпляр веблоджика, на котором развернуты (задеплоены) консоли управления доменом. Сейчас он нужен, чтобы задать первоначальную конфигурацию для Oracle IRM:

  1. для запуска Админ Сервера нужно выполнить
    /u01/app/oracle/Middleware/user_projects/domain/base_domain/startWeblogic.sh
  2. он обязательно спросит логин и пароль. Чтобы не требовалось вводить их каждый раз, нужно внести пару строчек в файл
    /u01/app/oracle/Middleware/user_projects/domain/base_domain/servers/AdminServer/security/boot.properties
    username=weblogic
    password=welcome1

    После очередного старта веблоджик заменит эти строки хэшем.
  3. об успешном запуске веблоджика свидетельствует появление этих двух строк в окне терминала

2. Создание хранилища ключей IRM

Тут нужно выполнить следующую последовательность действий:

  1. cd /u01/app/oracle/Middleware/wlserver_10.3/server/bin
  2. ./setWLSEnv.sh или source ./setWLSEnv.sh Скрипт не всегда корректно присваивает переменные окружения CLASSPATH и PATH, поэтому иногда требуется скопировать и вставить результат выполнения скрипта setWLSEnv.sh в окно терминала, после чего выполнить "export CLASSPATH PATH"
  3. если переменные присвоены правильно, то команда java -version отобразит актуальную версию (1.6.0, x64)

  4. cd /u01/app/oracle/Middleware/user_projects/domains/base_domain/config/fmwconfig
  5. keytool -genseckey -storetype JCEKS -alias oracle.irm.wrap -keyalg AES -keysize 128 -keystore irm.jceks

  6. затем нужно зайти в интерфейс Enterprise Manager http://irm-01.securny.com:7001/em



  7. нажать "Apply"
  8. cd /u01/app/oracle/Middleware/Oracle_ECM1/common/bin
  9. ./wlst.sh

  10. connect('weblogic','welcome1','192.168.192.141:7001')
  11. createCred('IRM','keystore:irm.jceks','dummy','welcome1')
  12. createCred('IRM','key:irm.jceks:oracle.irm.wrap','dummy','welcome1')

  13. и чтобы два раза не вставать тут же выполнить
    nmEnroll('/u01/app/oracle/Middleware/user_projects/domains/base_domain','/u01/app/oracle/Middleware/wlserver_10.3/common/nodemanager')

  14. exit()

3. Настройка SSL

Теперь нужно выполнить:

  1. cd /u01/app/oracle/
  2. mkdir keystore
  3. cd keystore
  4. openssl genrsa -des3 -out irm-securny.key 2048
  5. openssl req -new -key irm-securny.key -out irm-securny.csr

  6. сертификат нужно получить в удостоверяющем центре с помощью информации, содержащейся в сформированном файле запроса сертификата (irm-securny.csr)


  7. сюда вставляем содержимое файла irm-securny.csr
  8. скачиваем созданный сертификат
  9. заодно скачиваем сертификат самого удостоверяющего центра
  10. импортируем выданный с помощью удостоверяющего центра сертификат в хранилище ключей явы
    java utils.ImportPrivateKey -keystore SecurnyIdentityStore.jks -storepass welcome1 -alias securnytrust -certfile irm-securny.cer -keyfile irm-securny.key -keyfilepass welcome1

  11. keytool -import -trustcacerts -alias securnytrust -keystore TrustSecurny.jks -file ca-securny.cer -keyalg RSA


  12. cp SecurnyIdentityStore.jks /u01/app/oracle/Middleware/user_projects/domains/base_domain/config/fmwconfig
  13. cp TrustSecurny.jks /u01/app/oracle/Middleware/user_projects/domains/base_domain/config/fmwconfig
  14. нужно зайти в консоль веблоджика http://irm-01.securny.com:7001/console -> Enviroment -> Servers -> LoadBalancer
  15. отметить галочкой опцию "Client Cert Proxy Enabled"
  16. перейти на вкладку Keystores, нажать "Change" и выбрать "Custom Identity and Custom Trust"

  17. после чего заполнить поля:
    Identity
    Custom Identity Keystore: /oracle/middleware/user_projects/domains/irm_domain/config/fmwconfig/SecurnyIdentityStore.jks
    Custom Identity Keystore Type: JKS
    Custom Identity Keystore Passphrase: welcome1
    Confirm Custom Identity Keystore Passphrase: welcome1

    Trust
    Custom Trust Keystore: /oracle/middleware/user_projects/domains/irm_domain/config/fmwconfig/TrustSecurny.jks
    Custom Trust Keystore Type: JKS
    Custom Trust Keystore Passphrase: welcome1
    Confirm Custom Trust Keystore Passphrase: welcome1

  18. перейти на вкладку SSL и заполнить следующие поля:

    Identity
    Private Key Alias: securnytrust
    Private Key Passphrase: welcome1
    Confirm Private Key Passphrase: welcome1

  19. нажать "save".

4. Развертывание домена weblogic на втором сервере

После того, как основные параметры были сконфигурированы, необходимо развернуть домен веблоджика на втором сервере. На втором сервере при этом должен быть установлен такой же комплект программного обеспечения, что и на первом (т.е. weblogic, java, webcenter: content). Для тиражирования домена (а также для его резервного копирования) существует несколько замечательных команд: pack и unpack.

  • cd /u01/app/oracle/
  • mkdir user_templates
  • cd /u01/app/oracle/Middleware/wlserver_10.3/common/bin
  • ./pack.sh -managed=true -domain=/u01/app/oracle/Middleware/user_projects/domains/base_domain -template=/u01/app/oracle/user_templates/base_domain.jar -template_name="base_domain"
  • затем нужно скопировать base_domain.jar с первого сервера на второй в /u01/app/oracle/user_templates/
  • аналогично
    cd /u01/app/oracle/Middleware/wlserver_10.3/common/bin
  • ./unpack.sh -domain=/u01/app/oracle/Middleware/user_projects/domains/base_domain -template=/u01/app/oracle/user_templates/base_domain.jar

5. Форвардинг портов на балансировщике нагрузки

При создании балансировщика я указал порты 8080 и 8443 для http и https соответственно. Но при настройке IRM в Enterprise Manager'е я указал именно дефолтный 443 порт для /irm_desktop. Дело в том, что для запуск серверов на портах ниже 1024 нужно выполнять под учеткой root. Но это не секьюрно, поэтому нужно сделать форвардинг с 80 и 443 порта на 8080 и 8443 соответственно. Для этого следует использовать iptables.

  • --iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8080
  • --iptables -t nat -A OUTPUT -p tcp --dport 80 -j DNAT --to-port :8080
  • --iptables -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --to-port 8443
  • --iptables -t nat -A OUTPUT -p tcp --dport 443 -j DNAT --to-port :8443

6. Запуск

Если планируется использовать Active Directory в качестве источника аутентификационных данных пользователей, то запуск Managed Servers лучше производить после успешной настройки провайдера аутентификации веблоджика к AD. В остальных случаях нужно выполнить:
на первом сервере:

  • /u01/app/oracle/Middleware/user_projects/domains/base_domain/bin/startManagedWebLogic.sh IRM-01 t3://192.168.192.131:7001
  • на втором сервере:
    /u01/app/oracle/Middleware/user_projects/domains/base_domain/bin/startManagedWebLogic.sh IRM-02 t3://192.168.192.131:7001
  • /u01/app/oracle/Middleware/user_projects/domains/base_domain/bin/startManagedWebLogic.sh LoadBalance t3://192.168.192.131:7001где t3://192.168.192.131:7001 - это адрес Админ Сервера

Оставить комментарий