2 インストールと構成の問題

この章では、Oracle Identity and Access Management 11gリリース2 (11.1.2)のインストールと構成プロセスに関連する問題について説明します。内容は次のとおりです。

• 2.1項「一般的な問題と対処方法」

• 2.2項「構成の問題および回避方法」

• 第2.3項「Oracle Identity Managerのインストールに必要なパッチ」

• 第2.4項「Oracle HTTP ServerでSSLを有効にするための必須パッチ」

• 第2.5項「一般情報」

2.1 一般的な問題と対処方法

この項では、一般的な問題および回避方法について説明します。内容は次のとおりです。

• 第2.1.1項「Oracle Identity Manager Design Consoleのインストール時のエラー」

• 第2.1.2項「AIX上でのJDK7を使用したOracle Identity Manager構成ウィザードの起動」

• 第2.1.3項「AIXで簡易セキュリティ・モードが機能しない」

• 第2.1.4項「Fusion Middleware構成ウィザードでWeblogicパスワードを追加できない」

• 第2.1.5項「Oracle Access Managementドメインのドメイン結合シナリオでのJPSキーストア・サービス初期化失敗」

• 第2.1.6項「Oracle Access Management管理対象サーバー・ログに表示されるエラー」

2.1.1 Oracle Identity Manager Design Consoleのインストール時のエラー

WindowsマシンとOracle Identity Managerサーバーの間にファイアウォールがあるマシンにOracle Identity Manager Design Consoleをインストールしようとするとき、config.cmdコマンドを実行すると次のエラー・メッセージが表示されます。

Error in validating the Hostname field value.Entered host is not up and running

Oracle Identity Manager Design Consoleをインストールするには、ファイアウォールのポート7を開く必要があります。

2.1.2 AIX上でのJDK7を使用したOracle Identity Manager構成ウィザードの起動

スクリプト$<ORACLE_HOME>/bin/config.shを実行しているとき、AIX上でJDK7を使用してOracle Identity Manager構成ウィザードを起動できません。

-jreLocオプションをコマンドラインに追加すると、Oracle Universal Installerウィンドウが表示されます: $<ORACLE_HOME>/bin/config.sh -jreLoc <JRE_HOME>

2.1.3 AIXで簡易セキュリティ・モードが機能しない

AIXでは、簡易セキュリティ・モードは、Oracle Access Managementサーバー11.1.2と連動しません。

回避方法: オープンまたは証明書セキュリティ・モードのいずれかを使用します。

2.1.4 Fusion Middleware構成ウィザードでWeblogicパスワードを追加できない

Fusion Middleware構成ウィザードでは、Weblogicパスワードを「管理者ユーザー名およびパスワードの構成」画面で追加できません。

回避方法:

Weblogicユーザー・パスワードの入力を求めるプロンプトが表示されたとき、パスワードを入力できない場合があります。「次へ」をクリックして、次の画面に進みます。次のエラーのプロンプトが表示されます: 「パスワードは空にできません。」。前の画面に戻り、再びパスワードを入力します。

注意: Oracle Fusion Middleware構成ウィザードを実行する前に、次の製品をインストール済であることを確認してください。 Oracle WebLogic Server 11gリリース1 (10.3.6)またはOracle WebLogic Server 11gリリース1 (10.3.5) Oracle SOA Suite 11.1.1.6.0 (Oracle Identity Managerユーザーのみ) Oracle Identity and Access Management 11gリリース2 (11.1.2)

2.1.5 Oracle Access Managementドメインのドメイン結合シナリオでのJPSキーストア・サービス初期化失敗

Oracle Identity ManagerとOracle Access Managementのドメイン結合シナリオでは、Oracle Platform Security Services構成で構成されたキーストア・ファイルは存在しませんが、パスワードは、資格証明ストア・フレームワーク・ストアのOIMインストールから入手できます。したがって、Oracle Access Managementサーバーがキーストア・ファイルを格納しようとすると、キーがすでに存在するために失敗します。

回避方法:

• 管理サーバーを起動する前に、キーストア・ファイルをOracle Identity ManagerドメインからOracle Access Managementドメインのキーストア・ファイルの場所にコピーします。

  例: デフォルトのキーストア(.jks)ファイルを<OIM domain>/config/fmwconfigから<OAM domain>/config/fmwconfigにコピーします。

  
  

  注意: このステップは、config.shを使用してOracle Access Managementドメインを構成した後、管理サーバーを起動する前に実行する必要があります。

  
  

• Oracle Identity Managerドメインで、jps-config.xmlのデフォルトのコンテキストを探します。

• ここで、キーストア・サービスおよびキーストア・ファイルの場所を探します。

• このキーストア(.jks)ファイルをOracle Platform Security Services (jps-config.xml)構成のOracle Access Managementドメインのキーストアの場所で定義した場所にコピーします。

2.1.6 Oracle Access Management管理対象サーバー・ログに表示されるエラー

Oracle Access Management管理コンソール・ログのポリシーを編集しようとすると、Oracle Access Management管理対象サーバー・ログに次のエラーが表示されます。

<oracle.jps.policymgmt> <JPS-10606> <Failed to distribute policy to PDP OracleIDM for catch exception oracle.security.jps.service.policystore.PolicyStoreException: JPS-04028: Application with name "cn=OAM11gApplication,cn=jpsXmlFarm,cn=JPSContext,cn=jpsXmlRoot" does not exist..>

この例外は、サーバーがアイドル状態の場合でも10分ごとに表示されます。

回避方法:

1. pdp.serviceインスタンス・プロパティから-Cオプションを指定してインストールした後に、jps-config.xmlファイルから次のプロパティを削除します。

   <property name="oracle.security.jps.pdp.AuthorizationDecisionCacheEnabled" value="false"/>               <property name="oracle.security.jps.ldap.policystore.refresh.interval" value="10000"/> 
   

2. pdp.serviceインスタンス・プロパティに次の新しいプロパティを追加します。

   <property name="oracle.security.jps.pd.client.PollingTimerInterval" value="10"/>
   

   値は秒単位で、Oracle Access Managementに必要な適切な値を設定します。その変更は、Oracle Identity ManagerまたはOracle Access Managerと同様にOracle Identity Managementインストールに対してのみ行う必要があります。

   次に、configSecurityStoreコマンド実行後のjps-config.xmlファイルのpdp.serviceインスタンスの例を示します。

   <serviceInstance name="pdp.service" provider="pdp.service.provider">             <description>Runtime PDP service instance</description>             <property name="oracle.security.jps.runtime.pd.client.policyDistributionMode" value="mixed"/>             <property name="oracle.security.jps.runtime.instance.name" value="OracleIDM"/>             <property name="oracle.security.jps.runtime.pd.client.sm_name" value="OracleIDM"/>             <property name="oracle.security.jps.pdp.AuthorizationDecisionCacheEnabled" value="false"/>             <property name="oracle.security.jps.policystore.refresh.enable" value="true"/>             <property name="oracle.security.jps.ldap.policystore.refresh.interval" value="10000"/>         </serviceInstance> 
   

2.2 構成の問題および回避方法

この項では、構成に関する問題およびその回避方法について説明します。内容は次のとおりです。

• 第2.2.1項「デフォルト・キャッシュ・ディレクトリ・エラー」

• 第2.2.2項「Oracle Access ManagementまたはOracle Identity Managerをインストールした後に実行する必須のステップ」

• 第2.2.3項「-m Joinを指定してconfigureSecurityStore.pyを実行するときの絶対パスの使用」

• 第2.2.4項「Windowsでのセキュリティ・ストア結合の失敗」

• 第2.2.5項「Oracle Entitlements Server管理テンプレートがすべての管理対象サーバーおよび管理サーバーのSSLを有効にする」

• 第2.2.6項「Weblogic Server構成ウィザードがAIX7でのJDK6をサポートしない」

• 第2.2.7項「Access Policy Managerデプロイメントがクラスタ・シナリオでは管理サーバーを対象にしない」

• 第2.2.8項「ClassCastExceptionでのリクエストの失敗」

• 第2.2.9項「Sun JDK 1.7を使用する場合、configSecurityStore.pyコマンドを実行する前にPKCS11-Solarisセキュリティ・プロバイダを変更する」

2.2.1 デフォルト・キャッシュ・ディレクトリ・エラー

config.cmdコマンドまたはconfig.shコマンドを実行してOracle Fusion Middleware構成ウィザードを起動するとき、次のエラー・メッセージが表示されます。

*sys-package-mgr*: can't create package cache dir

このエラー・メッセージは、デフォルトのキャッシュ・ディレクトリが有効でないことを示しています。コマンドラインに-Dpython.cachedir=<valid_directory>オプションを含めることで、キャッシュ・ディレクトリを変更できます。

2.2.2 Oracle Access ManagementまたはOracle Identity Managerをインストールした後に実行する必須のステップ

Oracle Access Management 11gリリース2 (11.1.2)またはOracle Identity Manager 11gリリース2 (11.1.2)をインストールした後に、次の手順を実行する必要があります。

1. ドメインの構成

2. Configsecuritystoreの構成

3. リカバリおよび参照のためのjps-config.xmlファイルのjps-config.xml_oldへのコピー

4. 次の手順を実行してjps-config.xmlファイルを編集

   1. XML要素を探します

      <serviceInstance name="pdp.service" provider="pdp.service.provider"> 
      

   2. 次の 2 つのエントリを削除します。

      <property name="oracle.security.jps.pdp.AuthorizationDecisionCacheEnabled" value="false"/> 
      <property name="oracle.security.jps.ldap.policystore.refresh.interval" value="10000"/>
      

      最初の 2 つのプロパティを削除した後、それらのデフォルト値が設定されます。デフォルト値は、それぞれtrueと600000 (10分)です。

   3. 同じセクションに次のエントリを追加します。

      <property name="oracle.security.jps.pd.client.PollingTimerInterval" value="31536000"/>
      

   4. 編集したXMLは、次のようになっている必要があります。

      <serviceInstance name="pdp.service" provider="pdp.service.provider"> 
                  <description>Runtime PDP service instance</description> 
                  <property 
      name="oracle.security.jps.runtime.pd.client.policyDistributionMode" 
      value="mixed"/> 
                  <property name="oracle.security.jps.runtime.instance.name" 
      value="OracleIDM"/> 
                  <property name="oracle.security.jps.runtime.pd.client.sm_name" 
      value="OracleIDM"/> 
                  <property name="oracle.security.jps.policystore.refresh.enable" 
      value="true"/> 
                 <property 
      name="oracle.security.jps.pd.client.PollingTimerInterval" value="31536000"/> 
      </serviceInstance> 
      

2.2.3 -m Joinを指定してconfigureSecurityStore.pyを実行するときの絶対パスの使用

-m joinパラメータを指定してconfigureSecurityStore.pyを実行中にORACLE_HOMEやMW_HOMEなどの変数を使用すると、セキュリティ・ストアの構成では、ポリシー・ストア・オブジェクトの作成に失敗します。-m joinパラメータを指定してこのコマンドを実行するときには、ORACLE_HOMEおよびMW_HOMEに絶対パスを指定します。

2.2.4 Windowsでのセキュリティ・ストア結合の失敗

WindowsでconfigSecurityStore.pyコマンドを実行すると、-m検証オプションは成功しますが、コマンドの終盤で次のエラーが報告されます。

c:\Amy_OPAM\Oracle\Middleware\Oracle_RC3\common\bin>wlst.cmd ..\tools\configureSecurityStore.py -d
c:\Amy_OPAM\Oracle\Middleware\user_projects\domains\OPAM_RC3_Domain2 -c IAM -m join -p welcome1 -k c:\Amy_OPAM\software\RC3\ -w welcome1

Error: Failed to join security store, unable to locate diagnostics data.
Error: Join operation has failed.

回避方法:

このエラーは無視してください。エラーが報告された場合でも、joinオプションで新たに作成されたサーバーが正常に起動し、リクエストの処理を続行できるため、機能に影響はありません。

2.2.5 Oracle Entitlements Server管理テンプレートがすべての管理対象サーバーおよび管理サーバーのSSLを有効にする

構成ウィザードでSSL有効化ボックスを選択しない場合でも、Oracle Entitlements Server管理テンプレートは、すべての管理対象サーバーおよび管理サーバーのSSLを有効にします。

回避方法:

1. SSLを有効にしない管理対象サーバーまたは管理サーバーを選択します。

2. 構成を編集し、「SSLリスニング・ポートの有効化」チェック・ボックスの選択を解除します。

3. 変更を保存します。

4. 管理サーバーとすべての管理対象サーバーを再起動します。

2.2.6 Weblogic Server構成ウィザードがAIX7でのJDK6をサポートしない

Weblogic Server構成ウィザードでは、Oracle Access Management、Oracle Adaptive Access ManagerおよびOracle Privileged Account ManagerのAIX7上の1.6.0.9.2 JDKに対して警告CFGFWK-60895が表示されます。

回避方法:

1. Weblogic Serverをインストールします。

2. SOAをインストールします。

3. Oracle Identity and Access Managementをインストールします。

4. 構成ウィザードを実行します。

5. Oracle Identity Manager (OIM)ドメインを作成します。

6. Oracle Access Management、Oracle Adaptive Access ManagerおよびOracle Privileged Account Managerのドメインを作成します。

7. 警告CFGFWK-60895: 「選択したJDKバージョンは、推奨の最小バージョン未満です」が表示されます。

8. 「取消し」をクリックして別のJDKを選択するか、「OK」をクリックして同じJDKを続行します。

注意: 警告CFGFWK-60895が表示されても、機能に影響は与えません。

2.2.7 Access Policy Managerデプロイメントがクラスタ・シナリオでは管理サーバーを対象にしない

管理サーバーに対してOracle Entitlements Serverテンプレートを選択すると、デフォルトでは、Access Policy Managerを管理サーバーにデプロイします。

ただし、任意のコンポーネントのクラスタが複数のサーバー・インスタンスで作成される場合、APMは管理サーバーではなく、クラスタ化されたサーバーを対象にします。これにより、クラスタ内のサーバーが管理モードで起動します。

たとえば、Oracle Identity Managerの1つのインスタンス、SOAおよびOracle Access Managementが含まれるドメインがある場合、Access Policy Managerは管理サーバーを対象にします。ただし、Oracle Identity Managerの別のインスタンスが作成されると、ドメイン作成時に2つのインスタンスがあるため、Access Policy Managerは管理サーバーではなく、クラスタ化されたサーバー(この場合、Oracle Identity Manager server)にデプロイされます。

回避方法:

1. WebLogic管理コンソールにログインします。

2. 「デプロイメント」をクリックします。

3. 「oracle.security.apm (11.1.1.3.0)」をクリックします。

4. 「ターゲット」をクリックします。

5. 「ロックして編集」をクリックします。

6. 「oracle.security.apm (11.1.1.3.0)」を選択します。

7. 「ターゲットの変更」をクリックします。

8. 「AdminServer」を選択します。

9. 「はい」をクリックします。

10. 「変更のアクティブ化」をクリックし、管理サーバーを再起動します。

2.2.8 ClassCastExceptionでのリクエストの失敗

Weblogic Server (10.3.5.0)にOracle Identity Managerをインストールすると、次の例外が発生してリクエストが失敗します。

Unable to instantiate the workflow process due to: Tasklist mapping failed for workflowdefinition: default/DefaultRequestApproval!1.0 due to oracle.bpel.services.workflow.query.ejb.TaskQueryService_oz1ipg_HomeImpl_1035_WLStub cannot be cast to oracle.bpel.services.workflow.query.ejb.TaskQueryServiceRemoteHome.

これは、リクエストの承認の開始時に発生します。

回避方法:

Weblogic Server 10.3.5の場合、パッチ12944361をダウンロードし、インストールする必要があります。Weblogic Server 10.3.6では、このパッチは必要ありません。

2.2.9 Sun JDK 1.7を使用する場合、configSecurityStore.pyコマンドを実行する前にPKCS11-Solarisセキュリティ・プロバイダを変更する

JDK 1.7を使用してSolaris 10 SPARC以降のバージョンにOracle Access Management 11gR2をインストールすると、configSecurityStore.pyコマンドの実行に失敗します。これは、PKCS11-Solarisセキュリティ・プロバイダの実装によって発生します。

回避方法:

• $JAVA_HOME/jre/lib/security/java.securityファイルをバックアップします。

• テキスト・エディタで$JAVA_HOME/jre/lib/security/java.securityファイルを開き、プロバイダ・リストを変更します。

sun.security.pkcs11.SunPKCS11がプロバイダ・リストの先頭にあることを確認します。次の例に示すようにプロバイダ・リストを変更します。

security.provider.1=sun.security.pkcs11.SunPKCS11   ${java.home}/lib/security/sunpkcs11-solaris.cfg   security.provider.2=com.oracle.security.ucrypto.UcryptoProvider   ${java.home}/lib/security/ucrypto-solaris.cfg
...

2.3 Oracle Identity Managerのインストールに必要なパッチ

この項では、Oracle Identity Managerをインストールするためにダウンロードする必要があるパッチを説明します。

このパッチは、Oracle Identity and Access Management 11gリリース2 (11.1.2)インストーラを使用してOracle Identity Managerをインストールした後、Oracle Identity Manager構成を起動する前にのみダウンロードする必要があります。

次のパッチが必要です。

• 14016801: OVDパッチ

• 14196234: SOAパッチ

• 14049150: このパッチは、インストール時に自動的に適用されます。

• 13931550: OAACGパッチ。OAACGでSoDチェックを実行する場合のみ、このパッチをダウンロードします。

パッチをダウンロードするには、次の手順を実行します。

1. My Oracle Supportにログインします。

2. 「パッチと更新版」をクリックします。

3. 「パッチ名または番号」を選択します。

4. パッチ番号を入力します。

5. 「検索」をクリックします。

6. パッチをダウンロードしてインストールします。

2.4 Oracle HTTP ServerでSSLを有効にするための必須パッチ

この項では、Oracle HTTP ServerでSSLを有効にするためにダウンロードしてインストールする必須パッチを説明します。

プラットフォーム	パッチ
Solaris (64ビット)	14264658
Microsoft Windows x64 (64ビット)	14264658
Solaris x86-64 (64ビット)	14264658
IBM AIX (64ビット)	14264658
Linux x86-64	14264658

パッチをダウンロードするには、次の手順を実行します。

1. My Oracle Supportにログインします。

2. 「パッチと更新版」をクリックします。

3. 「パッチ名または番号」を選択します。

4. パッチ番号を入力します。

5. 「検索」をクリックします。

6. パッチをダウンロードしてインストールします。

2.5 一般情報

この項では、一般的な情報を提供します。内容は次のとおりです。

• 第2.5.1項「オプション: Identity and Access ManagementドメインのWebLogic Serverのログ・レベルをSEVEREに設定」

• 第2.5.2項「Oracle Identity Managerのサーバー側プロパティの変更」

2.5.1 オプション: Identity and Access ManagementドメインのWebLogic Serverのログ・レベルをSEVEREに設定

ログ・レベルをSEVEREに変更するには、次の手順を実行します。

1. Logging.xmlは、すべてのログ・ハンドラおよびロガー(OAM_Server1、OIM_Server1、SOA)に対してlevel=SEVEREである必要があります。

2. Admin Console http://Hostname:port/consoleにログインします。

3. 「ロックして編集」をクリックし、ドメインをロック解除します。

4. 「サーバー」リンクをクリックします。

5. 変更するサーバーをクリックします。

6. 「ロギング」をクリックします。

7. 「詳細」をクリックします。

8. 「メッセージの宛先」のログ・レベルを変更するには次のようにします。

   メッセージの宛先	推奨する重大度レベル	デフォルト設定
   ログ・ファイル	警告	トレース
   標準出力	エラー	通知
   ドメイン・ログ・ブロードキャスタ	エラー	通知
   メモリー・バッファ重大度	エラー	空白

   
   

9. 「保存」をクリックします。

10. 「変更のアクティブ化」をクリックします。

11. サーバーを再起動します。

すべての対象サーバー(OAM_Server1、OIM_Server1、SOA)に対してこのプロセスを繰り返します。

2.5.2 Oracle Identity Managerのサーバー側プロパティの変更

クラスタ化された設定でスケジューラの起動または停止を制御する場合は、scheduler.disabledシステム・プロパティが必要です。クラスタのノードでスケジューラ・サービスを起動しない場合は、scheduler.disabledシステム・プロパティをtrueに設定する必要があります。また、その逆の場合は、falseに設定します。

Weblogicコンソールを使用してscheduler.disabledシステム・プロパティを変更する手順は次のとおりです。

1. WebLogic管理者の資格証明を使用して、Oracle WebLogic管理コンソールにログインします。

2. 「ドメイン構造」の下で「環境」→「サーバー」をクリックします。「サーバーのサマリー」ページが表示されます。

3. Oracle Identity Managerサーバー名(oim_server1など)をクリックします。oim_server1の設定が表示されます。

4. 「構成」→「サーバーの起動」をクリックします。

5. 「引数」テキスト・ボックスで、既存のプロパティscheduler.disabled = false/trueを変更します。

6. 「保存」をクリックします。

7. 「変更のアクティブ化」をクリックします。

8. Oracle Identity Manager管理対象サーバーを再起動します。

   
   

   注意: scheduler.disabledシステム・プロパティを変更したら、ノード・マネージャを使用して管理対象サーバーを起動する必要があります。