Archivos de la categoría ‘Apache’

Por razones que de momento no vienen al caso, tuvimos que ponernos a la tarea de revisar la última versión de Oracle Access Manager 10g (AKA OAM) para poder realizar una integración con RSA Secure ID.

Recordando un poco podemos notar que en sí, el OAM esta compuesto por tres bloques:

  • Identity System: Gestiona el control (creación, mantenimiento y eliminación) de grupos, usuarios (identidades), organizaciones y las relaciones entre estos. Determina mediante determinadas funciones y aplicaciones los cambios dinámicos en base a roles, grupos, etc para determinar quien tiene acceso a que componentes dentro de la organización. Este bloque esta compuesto por los siguientes componentes:
    • Oracle Identity Server (AKA OIS): Proporciona las aplicaciones a través de una interfaz Web para procesar todas las peticiones que tienen que ver con el manejo de usuarios, grupos y organizaciones. El OIS se comunica directamente con un servidor LDAP para guardar toda la información relativa a las identidades, sin embargo el usuario no interactúa directamente con el OIS, pasa a través de un WebPass.
    • Oracle WebPass: Es un plug-in para los servidores Web más comunes que funciona como puerta de acceso entre el usuario, el servidor web y el OIM.
  • Access System: Proporciona las funciones necesarias para centralizar la autenticación, autorización, permite gestionar la auditoría, el Single Sign-ON (AKA SSO) y el control de accesos a los recursos de la empresa. Los componentes de OAM que dan cabida a este bloque son:
    • Policy Manager: Proporciona una interfaz web desde la cual se pueden manejar y crear políticas de acceso. Se comunica con el servidor de LDAP para la escritura de las políticas de acceso y con el Access Server mediante el Oracle Access Protocol (AKA OAP) para actualizarlo cuando las políticas lo indican.
    • Oracle Access Server (AKA. OAS): Es el componente clave durante los siguientes procesos:
      • Autenticación: Determina que método es requerido para cual recurso y obtiene las credenciales desde el servidor LDAP regresando una respuesta HTTP al cliente (WebGate o AccessGate).
      • Autorización: Involucra obtener información y validar el acceso basado en las políticas establecidas por el Policy Manager y en la identidad del usuario según el LDAP.
    • Oracle WebGate: Es un plug-in que se instala en los servidores Web y que intercepta todas las peticiones HTTP que mandan los usuarios y las reenvías hacia el OAS para que realice el proceso de autenticación y autorización.
  • Servicios de Integración: Mediante el uso de API’s y de clientes como AccessGate permite extender las funcionalidades de OAM hacia aplicativos no basados en Web, como aplicaciones de terceros y “Made in Home”.

Dentro de la media que es posible descargar del sitio de Oracle, podemos notar que el instalador de WebPass viene preparado para Apache 2.0 pero no para Apache 2.2 que es la versión que viene preparada para instalar con los CD’s o DVD’s de OEL ver. 5.x

Debido a lo anterior existen dos opciones… instalar una versión soportada de apache para OEL ver. 5.x o instalar con los siguientes pasos sobre Apache 2.2:

  1. Instalaremos de forma normal el Identity Server. El método de comunicación se deja a criterio, pero se debe considerar que si los servicios radicará en diferentes servidores, la comunicación no se debe dejar abierta. De igual forma si se piensa instalar en un entorno H-A, no se pueden mezclar diferentes transportes por lo que se debe pensar en un método con cifrado.
  2. Debido al kernel que usa el OEL 5.4, es necesario comentar la linea donde se establece el valor de la variable LD_ASSUME_KERNEL, dentro del script de arranque del OIS, el cual esta ubicado en: $OIS_HOME/identity/oblix/apps/common/bin/start_ois_server. o ejecutar el script con terminación nptl
  3. Arrancar el OIS con el script anterior y detendremos el Apache con el script /etc/init.d/httpd.
  4. En el servidor donde esta instalado el Apache, instalaremos el WebPass para  Apache2.0. y así como en el punto de instalación del OIS, elegiremos el método de comunicación con el OIS (recordemos que deben ser el mismo). En la parte de configuración automática del servidor web elegiremos que sí.
  5. Debemos descargar el OAM BP03 (Patch ID: 9402573) desde la página de Metalink y detener el OIS con el script $OIS_HOME/identity/oblix/apps/common/bin/stop_ois_server.
  6. Descomprimiremos el archivo y dentro los parches referentes al Identity Server y al WebPass  (Oracle_Access_Manager10_1_4_3_0_BP03_Patch_linux_Identity_Server.zip, Oracle_Access_Manager10_1_4_3_0_BP03_Patch_linux_APACHE22_WebPass.zip).
  7. Entraremos a la carpeta $PATCH_HOME/Oracle_Access_Manager10_1_4_3_0_BP03_Patch_linux_Identity_Server
    _binary_parameter
    y ejecutaremos el script patchinst, el cual nos solicitara como único parámetro la ruta de instalación del OIS ($OIS_HOME/identity).
  8. Ahora viene lo interesante, cuando uno intenta ejecutar los pasos anteriores para el WebPass, salta un error referente a que ese no fue el Servidor con el cual se instaló originalmente el WebPass. Así que para solventarlo entraremos a la carpeta $PATCH_HOME/Oracle_Access_Manager10_1_4_3_0_BP03_Patch_linux_APACHE22
    _WebPass_binary_parameter
    y descomprimiremos (usando el comando tar xf) los siguientes archivos: createorig.tar, Oracle10.1.4.3.0.03_linux_WebPass_0.tar y Oracle10.1.4.3.0.03_linux_WebPass_1.tar.
  9. Lo anterior crea la carpeta oblix, lo que haremos será copiar cada una de las carpetas que están dentro hacia $WEBPASS_HOME/identity/oblix: cp -rf  $PATCH_HOME/Oracle_Access_Manager10_1_4_3_0_BP03_Patch_linux_APACHE22
    _WebPass_binary_parameter/oblix/
    [^.]* $WEBPASS_HOME/identity/oblix.
    En caso que pida confirmación usar unalias o \cp.
  10. Una vez copiados ejecutaremos el script patchinst que radica en la carpeta $PATCH_HOME/Oracle_Access_Manager10_1_4_3_0_BP03_Patch_linux_APACHE22
    _WebPass_binary_parameter
    , el cual nos solicitará la ruita de instalación del WebPass: $WEBPASS_HOME/identity/oblix.
  11. Finalmente iniciar todos los servicios (OIS y Apache)

Con dichos pasos serán capaces de tener WebPass + Apache2.2 + OEL5.4 y comenzar con la configuración relativa al servidor LDAP, atributos, administradores etc.

—–
Entrada generada por:
NataS::: The Lord of Chaos
Marcos Ricardo Schejtman Rubio <mschejtman@nekasys.com>

Anuncios