| Oracle® Fusion Middleware Identity Managementリリース・ノート 11gリリース1 (11.1.1.9) E57529-04 |
|
 前 |
 次 |
この章では、次の項でOracle Platform Security Services (OPSS)に関連するトピックについて説明します。
この章に含まれるトピックには次のドキュメントが関連します。
Oracle Fusion Middlewareセキュリティ・ガイド
Oracle Fusion Middlewareの管理者ガイド
Oracle Fusion Middleware Authorization Policy Manager管理者ガイド
この項では、構成に関する問題およびその回避策について説明します。次の項目が含まれます。
Microsoft Windowsプラットフォームで、-jreLocオプションのJavaインストールのパスに空白が含まれる場合、libovdconfig.batスクリプトは動作しません。たとえば、C:\Program Files\Java\jdk1.7.0_21などです。
これを回避するには、JavaインストールのパスをDOS 8.3形式で指定します。
次に例を示します。
-jreloc C:\Progra~1\Java\jdk1.7.0_21
ADAMをバックエンド・オーセンティケータとして使用する場合、それによってIGF/IDS APIに次の問題が発生します。
拡張プロパティgroup.member.attrsをmemberまたはuniquememberに設定した場合、関係の削除が失敗します。
これを回避するには、mappings.os_xmlファイルでmemberからuniquememberのマッピングをコメントにします。
拡張プロパティgroup.member.attrsをmemberに設定した場合、エンティティ関係の検索でなにも返されません。
これを回避するには、group.member.attrsプロパティをuniquememberに設定します。ただし、ADAMでは、追加設定なしではgroupOfUniquenamesはサポートされません。
T2P貼付け操作中、ソース環境でIDSストアを構成し、これを移動せずにターゲット環境で同じIDSストアを使用する場合、pasteConfig操作を実行すると次のエラー・メッセージが表示されます。
Specified host already configured in adapter
これを回避するには、生成されたmoveplan.xmlで、LIBOVD_ADAPTERSのconfigGroup要素の下でconfigProperty要素を見つけます。これは、移動する計画がないIDSストアを表します。ここで、移動計画で関連するIDSストアのconfigProperty要素の複数行をコメント・アウトします。
|
注意: pasteConfigコマンドを実行する前に、回避策で示した手順を実行する必要があります。 |
この項では、Oracle Fusion Middleware Audit Frameworkの構成に関する問題について説明します。次のトピックが含まれます:
Oracle Enterprise Manager Fusion Middleware ControlではOracle Access Managerはコンポーネントの1つとして表示されますが、Fusion Middleware Controlを使用してOracle Access Managerの監査を構成することはできません。
Oracle Business Intelligence Publisherでパッケージ化された標準の監査レポートでは、管理者が使用する数多くの言語がサポートされます。Oracle Business Intelligence Publisherは、様々なロケールで起動できます。管理者は「プリファレンス」で優先ロケールを設定することによって、選択した言語を起動時に指定できます。
不具合のため、Oracle Business Intelligence Publisherが次の3つのロケールのいずれかで起動されると
zh_CN(簡体字中国語)
zh_TW(繁体字中国語)
pt_BR(ポルトガル語(ブラジル))
これら以外のロケールでは予期したとおりに翻訳されたテキストが表示されますが、これら3つのロケールの言語ではレポートを表示できません(ラベル、ヘッダー、タイトルなどのレポート全体が英語で表示されます)。たとえば、Oracle Business Intelligence Publisherをzh_CNで起動すると、優先ロケールがzh_CNに設定されていても、テキストをzh_CNで表示できません。情報は英語で表示されます。
この問題は、Oracle Business Intelligence Publisherの今後のリリースで修正される予定です。
Oracle Business Intelligence Publisherにパッケージされている標準監査レポートでは、多数の言語がサポートされます。
不具合のため、翻訳されている場合でも、レポート・タイトルと説明が英語で表示されます。
この問題は、Oracle Business Intelligence Publisherの今後のリリースで修正される予定です。
リリース11gR1 (11.1.1.6.0)では、Fusion Middleware Control Enterprise Manager (EM)コンソールを使用してセキュリティ・ストアを再関連付けした場合、ほとんどのストア(ポリシー・ストア、資格証明ストアなど)が移動されましたが、監査ストアは移動されませんでした。これは、監査ストアでは、WLSTコマンドreassociateSecurityStoreを使用した再関連付けのみがサポートされ、コンソールを使用した再関連付けがサポートされていないためです。
リリース11gR1 (11.1.1.6.0)からリリース11gR1 (11.1.1.7.0)への移行がEMを使用して行われた場合、監査リポジトリはファイルベースのまま残ります。次の回避策を使用すると、すべてのセキュリティ・ストア・データをLDAP/DBに移動して、監査を有効にできます。
PS5環境で、WLSTコマンドreassociateSecurityStoreを異なるjpsrootノードで実行します。これによって、OIDディレクトリ間の再関連付けが行われ、既存の任意のデータも新しいノードに移行されます。この動作を行った場合、監査データはファイル・ベースではなくなり、jps-configに新規ノードが含まれます。
リリース11.1.1.7では、不具合のため、コンポーネントに対して監査が構成された後、Web Services Manager (OWSM)の監査イベントがログに記録されません。
この問題を解決するには、次の手順を行います。
registerAudit WLSTコマンドを使用して、監査サービスにOWSMコンポーネントAGENT、PM-EJBを登録します。
registerAudit(xmlFile="$ORACLE_COMMON/modules/oracle.iau_11.1.1/components/OWSM-AGENT/component_events.xml", componentType="AGENT")
registerAudit(xmlFile="$ORACLE_COMMON/modules/oracle.iau_11.1.1/components/OWSM-PM-EJB/component_events.xml", componentType="PM-EJB")
listAuditComponents WLSTコマンドを使用して、コンポーネントのリストを取得します。たとえば、このコマンドは、complist.txtという名前のファイルにコンポーネントのリストを書き込みます。
listAuditComponents(fileName = "/tmp/complist.txt")
リスト内の各コンポーネントについて、次のようにWLSTコマンドsetAuditPolicyを実行します。
setAuditPolicy(componentType="<component name from complist.txt>", filterPreset="None")
これらのコマンドの構文と使用方法の詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』(原本部品番号E10043-11)の付録C「Oracle Fusion Middleware監査フレームワーク・リファレンス」を参照してください。
11gR1では、XMLをLDAPストアに再関連付けする処理により、末尾の新規行文字\nまたはその等価コード
を使用して、ブートストラップ・キーが作成されます。このキー値は、ファイルjps-config.xmlに書き込まれてウォレットに格納されます。両方の場所で、キー値の末尾には文字\nが含まれます。
同じウォレットを11gR1 PS1で再利用した場合、ブートストラップ・キーの取得時にシステムによって末尾の\n文字が削除されますが、ウォレット内のキー値には末尾の文字が含まれたままになります。リクエストされるキー値と格納されているキー値が一致しなくなるため、この状況はエラーにつながります。
この問題を解決するには、次の手順を行います。
WLSTコマンドmodifyBootStrapCredentialを使用して、末尾に\nを使用せずにウォレットの資格証明を再プロビジョニングします。コマンドの使用方法は、『Oracle Fusion Middlewareセキュリティ・ガイド』の9.5.2.5項を参照してください。
ファイルjps-config.xmlを手動で編集して、末尾の文字
をブートストラップ・キーから削除します。
この問題が発生するのは、前述のシナリオの場合、つまり11gR1のウォレットを11gR1 PS1で再利用した場合のみです。具体的には、11gR1 PS1環境での再関連付けの際は、前述の末尾文字は問題になりません。
同じユーザー名が複数のLDAPリポジトリ内に存在するときに、プロパティ仮想化でLibOVDを使用するよう設定されている場合、この名前に対する問合せが実行されると、ユーザーおよびロールAPIによってこれらの1つのリポジトリのみのデータが戻されます。
LinuxおよびWindowsプラットフォームで、ロケールがfr_FR_iso88591などのUTF8以外のロケールに設定されている場合、OPSSスクリプトlistAppRolesは、予想される文字ではなく、文字「?」を間違って出力する可能性があります。
この項では、次の追加情報、修正情報および新情報を示します。
次の新情報は、19.3.1.2項に属するものです。
即時利用可能な構成では、トークン発行者名およびキー別名はWebLogicサーバー名に基づいていることを前提としています。WebSphereでは、キー別名サーバー名はWebSphereサーバー・ルートに基づいて設定されます。たとえば、サーバー・ルートが$T_WORK/middleware/was_profiles/DefaultTopology/was_as/JrfServerの場合、サーバー名はJrfServerに設定されます。デフォルト値を変更するには、19.3.12項で説明されている手順を使用します。
次のサンプルは、クライアント・アプリケーションを示しています。jps-api.jarファイルおよびOSDT jarsのosdt_ws_sx.jar、osdt_core.jar、osdt_xmlsec.jar、osdt_saml2.jarは、コード・サンプルがコンパイルするクラスパスに含める必要があります。
WebLogicサーバー名をjrfServer_adminとした場合、次のコマンドは、生成されたファイルdefault-keystore.jksによって表される、キーストアの作成を示しています。
この項の情報は新しく、スクリプトを使用したjps-config.xmlファイルのトラスト・サービス構成パラメータの変更方法について説明しています。
パラメータtrust.aliasNameおよびtrust.issuerNameの初期状態の値はWebLogicサーバー名に設定されています。これらの値をデプロイ固有の値に変更するには、次のようなスクリプトを使用します。
import sys
wlsAdmin = 'weblogic'
wlsPwd ='password_value'
wlUrl='t3://localhost:7001'
issuer= 'issuer'
alias = 'alias'
print "OPSS Trust Service provider configuration management script.\n"
instance = 'trust.provider'
name = 'trust.provider.embedded'
cfgProps = HashMap()
cfgProps.put("trust.issuerName", issuer)
cfgProps.put("trust.aliasName", alias)
pm = PortableMap(cfgProps);
connect(wlsAdmin, wlsPwd, wlUrl)
domainRuntime()
params = [instance, name, pm.toCompositeData(None)]
sign = ["java.lang.String", "java.lang.String", "javax.management.openmbean.CompositeData"]
on = ObjectName("com.oracle.jps:type=JpsConfig")
mbs.invoke(on, "updateTrustServiceConfig", params, sign)
mbs.invoke(on, "persist", None, None)
print "Done.\n"
WebSphere Application Serverで、すぐに使用できる構成ファイルjps-config.xmlにアイデンティティ・ストアのプロパティのエントリがありません。インストール後に追加されたアイデンティティ・ストアがLDAPベースのアイデンティティ・ストアである場合、次のプロパティを、アイデンティティ・ストア・サービス・インスタンス要素内のjps-config.xmlファイルに手動で挿入する必要があります。
<property name="CONNECTION_POOL_CLASS"
value="oracle.security.idm.providers.stdldap.JNDIPool"/>
この問題を回避するには、次の手順を行います。
サーバーを停止します。
ファイルwas_profile_dir/config/cells/cell_name/fmwconfig/jps-config.xmlを編集用に開きます。ここでwas_profile_dirおよびcell_nameはシステム上のプロファイルのディレクトリ名とセル名を表します。
欠落したプロパティCONNECTION_POOL_CLASSをアイデンティティ・ストア・サービス・インスタンスの構成に挿入します。
ファイルを保存してサーバーを再起動します。
JNDI接続で次の例外がスローされます: javax.naming.NamingException: LDAP response read timed out, timeout used:-1ms
このエラーが発生するのは、ドメインがLDAPベースのセキュリティ・ストアを使用するように構成されていて、次のいずれかのJDKバージョンを実行している場合です: Java SE 6u85、7u72または8u20。
この問題を回避するには、JDKをJava SE 6u95、7u80または8u45に更新します。認証済のJDKバージョンについては、http://www.oracle.com/technetwork/middleware/ias/downloads/fusion-certification-100350.htmlにある『Oracle Fusion Middleware 12c Certifications』を参照してください。
本番環境では、デプロイメントでサードパーティのCA署名証明書を使用することが推奨されます。サードパーティのCA署名証明書を設定するには:
指定された別名を使用して、KSSで鍵ペアを生成します。
CSRと鍵ペアを生成します。
新しいCSRをサードパーティのCAに送信します。CAはCSRの公開鍵に署名して、CA署名証明書およびトラストとして含める独自の証明書を戻します。
|
注意: 一部のCAは、2つの別個の証明書ではなく、CA署名証明書と独自の証明書の両方を含む単一の証明書チェーンを戻します。 |
鍵ペアの生成に指定された別名を使用して、CA署名証明書または証明書チェーンをインポートします。
新しい別名を使用して、CA署名証明書を信頼できる証明書としてインポートします。
この項では、ドキュメントの訂正箇所について説明します。内容は次のとおりです。
この注記には、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』(原本部品番号E10043-10)の2.8項「ロール・カテゴリ」で説明されているように、ロール・カテゴリの正しい構成が含まれます。
2.8項に示したjazn-data.xml内の要素<role-category>の構成は、次で置き換えられる必要があります。
<app-roles>
<app-role>
<name>AppRole_READONLY</name>
<display-name>display name</display-name>
<description>description</description>
<class>oracle.security.jps.service.policystore.ApplicationRole</class>
<extended-attributes>
<attribute>
<name>ROLE_CATEGORY</name>
<values>
<value>RC_READONLY</value>
</values>
</attribute>
</extended-attributes>
</app-role>
</app-roles>
<role-categories>
<role-category>
<name>RC_READONLY</name>
<display-name>RC_READONLY display name</display-name>
<description>RC_READONLY description</description>
</role-category>
</role-categories>
この修正の重要な点は次のとおりです。
ロール・カテゴリのメンバーは<role-category>要素内で構成されませんが、対応するアプリケーション・ロールの要素<extended-attributes>内で構成されます。
Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド(原本部品番号E55398-01)の11.1.3項「ドメイン信頼ストア」で、次の注意書きをこの項の先頭に挿入します。
|
注意: Demo CAには、既知のハードコードされた秘密鍵があります。Demo CAで署名された証明書は信用しないよう注意してください。そのため、信頼ストアのDemo CA証明書は本番では使用しないでください。これは、本番のドメイン信頼ストアから削除する必要があります。 |
Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド(部品番号E64849-01)の「監査の構成および管理」の章の階層アーカイブに関する説明に、Oracle Information Lifecycle Management (ILM)への誤ったリンクが含まれています。
リンクは次のように読み替えてください。
http://www.oracle.com/technetwork/database/enterprise-edition/index-090321.html
