| Oracle Fusion Middlewareリリース・ノート 11gリリース1(11.1.1) for HP-UX Itanium B55937-01 |
|
 戻る |
 次へ |
この章では、Oracle Web Cacheに関連する問題について説明します。内容は次のとおりです。
この項では、構成に関する問題およびその回避方法について説明します。内容は次のとおりです。
セキュリティ強化のため、Oracle Web Cacheの管理では、ハードコードされたデフォルトのパスワードは使用されません。
Oracle Web Tierインストール・タイプをインストールする場合、Oracle Universal Installerでパスワードを選択するよう求められます。Oracle Universal InstallerのWeb Cache管理者ページで、administratorアカウントのパスワードを入力するよう求められます。administratorアカウントは、Oracle Web Cache Managerにログインし、そのインタフェースを通じて構成を変更することを許可されたOracle Web Cache管理者です。
Oracle Portal、Forms、ReportsおよびDiscovererインストール・タイプをインストールする場合、administratorのパスワードのプロンプトは表示されません。かわりに、Oracle Portal、Forms、ReportsおよびDiscovererインストール・タイプでは、インストール時に選択されたランダムな値が使用されます。
どのインストール・タイプであっても、構成を始める前に、これらのアカウントのパスワードをセキュアなパスワードに変更してください。キャッシュ・クラスタを構成する場合、クラスタのすべてのメンバーでadministratorアカウント用に同じパスワードを使用する必要があります。
パスワードを変更するには、Fusion Middleware Controlの「パスワード」ページを使用します(『Oracle Fusion Middleware Oracle Web Cache管理者ガイド』のパスワード・セキュリティの構成に関する項を参照)。
webcache_setuser.sh setidentityコマンドの使用を通じて、インストールされているユーザー以外のユーザーとしてOracle Web Cacheを実行することは、今回のリリースではサポートされません。具体的には、次の手順を使用してユーザーIDを変更することはできません。
Oracle Web Cache Managerを使用して「Process Identity」ページ(「Properties」→「Process Identity」)でOracle Web Cacheプロセスのプロセス認証を変更します。
webcache_setuser.shスクリプトを次のように使用して、ファイルとディレクトリの所有権を変更します。
webcache_setuser.sh setidentity <user_ID>
<user_ID>は、「Process Identity」ページの「User ID」フィールドで指定したユーザーです。
opmnctlを使用してOracle Web Cacheを再起動します。
Oracle Web Cacheは起動しますが、すぐに停止します。
また、次のようなメッセージがイベント・ログに記録されます。
[2009-06-02T21:22:46+00:00] [webcache] [ERROR:1] [WXE-13212] [logging] [ecid: ] Access log file /scratch/webtier/home/instances/instance1/diagnostics/logs/WebCache/webcache1/access_ log could not be opened. [2009-06-02T21:22:46+00:00] [webcache] [WARNING:1] [WXE-13310] [io] [ecid: ] Problem opening file /scratch/webtier/home/instances/instance1/config/WebCache/webcache1/webcache.pid (Access Denied). [2009-06-02T21:22:46+00:00] [webcache] [ERROR:1] [WXE-11985] [esi] [ecid: ] Oracle Web Cache is unable to obtain the size of the default ESI fragment page /scratch/webtier/home/instances/instance1/config/WebCache/webcache1/files/esi_fragment_error.txt. [2009-06-02T21:22:46+00:00] [webcache] [WARNING:1] [WXE-11905] [security] [ecid: ] SSL additional information: The system could not open the specified file.
webcache_setuser.shスクリプトの詳細は、『Oracle Fusion Middleware Oracle Web Cache管理者ガイド』のroot権限でのwebcachedの実行に関する項を参照してください。
Fusion Middleware ControlまたはOracle Web Cache Managerでは、証明書失効リスト(CRL)によるクライアント証明書の検証はサポートされません。このサポートは、webcache.xmlファイルを手動で編集することで構成できます。
クライアント証明書失効ステータスは、ファイルシステム・ディレクトリに存在するCRLに基づいてチェックされます。通常、CRL定義の有効期限は数日間であり、定期的に更新される必要があります。CRL定義を変更した場合、常にOracle Web Cacheを再起動する必要があります。
CRL検証が有効化されており、使用可能な場合、Oracle Web Cacheはクライアント証明書に対して証明書失効ステータス・チェックを実行します。証明書が失効している場合、SSL接続は拒否されます。CRLが見つからない場合や、証明書がまだ失効していない場合、SSL接続は許可されます。
CRLによる証明書検証を構成するには、次の手順を実行します。
HTTPSリスニング・ポートに対してクライアント証明書を有効化します。『Oracle Fusion Middleware Oracle Web Cache管理者ガイド』のクライアント側の証明書の要求に関する項を参照してください。
テキスト・エディタを使用して、次の場所にあるwebcache.xmlを開きます。
(UNIX) ORACLE_INSTANCE/<instance_name>/config/WebCache/<webcache_name> (Windows) ORACLE_INSTANCE\<instance_name>\config\WebCache\<webcache_name>
CRLチェックを有効化する必要のあるHTTPSリスニング・ポートの場所をwebcache.xmlで特定し、LISTENディレクティブにSSLCRLENABLE="YES"パラメータを追加します。次に例を示します。
... <LISTEN IPADDR="ANY" PORT="443" PORTTYPE="NORM" SSLENABLED="SSLV3_V2H" CLIENT_ CERT="YES" SSLCRLENABLE="YES" STRONG_CRYPTO_ONLY="NO" Key="IPADDR PORT"> ...
HTTPS LISTENディレクティブにSSLCRLPATHおよびSSLCRLFILEパラメータを追加して、CRLファイルまたはCRLの場所を構成します。
SSLCRLPATH: CRLが格納されているディレクトリへのパスを入力します。パスが正しいことを確認してください。正しくないと、CRLチェックが機能しません。このパラメータにデフォルト値はありません。
SSLCRLFILE: PEMエンコードされた包括的CRLファイル(BASE64 CRLが優先度の順に1つのファイルに連結されたもの)へのパスを入力します。このパラメータを設定する場合、ファイルは指定した場所に存在している必要があります。存在していないと、CRLチェックが機能しません。
次に例を示します。
... <LISTEN IPADDR="ANY" PORT="443" PORTTYPE="NORM" SSLENABLED="SSLV3_V2H" CLIENT_ CERT="YES" SSLCRLENABLE="YES" SSLCRLFILE="/ORACLE_HOME/webcache/crls/sample_crl" SSLCRLPATH="/ORACLE_HOME/webcache/crls/" STRONG_CRYPTO_ONLY="NO" Key="IPADDR PORT"> ...
orapkiコマンドライン・ユーティリティを使用して、ファイルシステムでCRLの名前を変更します。orapkiの使用方法の詳細は、Oracle Databaseドキュメント・ライブラリにある『Oracle Database Advanced Security管理者ガイド』の証明書失効リストの管理に関する項を参照してください。
webcache.xmlを保存します。
次のコマンドを使用してOracle Web Cacheを再起動します。
opmnctl restartproc ias-component=component_name
この実行可能ファイルは、次のディレクトリにあります。
(UNIX) ORACLE_INSTANCE/bin (Windows) ORACLE_INSTANCE\bin
クラスタ構成では、クラスタ・メンバーのwebcache.xmlファイルの構成を直接変更する場合、Fusion Middleware ControlまたはOracle Web Cache Managerを使用してその変更を他のクラスタ・メンバーに伝播してください。『Oracle Fusion Middleware Oracle Web Cache管理者ガイド』の同じOracle WebLogic Serverを使用して各キャッシュのキャッシュ・クラスタを構成する方法に関する項、または異なるOracle WebLogic Serverを使用して関連付けられていないキャッシュまたは各キャッシュのキャッシュ・クラスタを構成する方法に関する項を参照してください。
Fusion Middleware Controlでは、同じホスト名およびポート番号を使用して、複数のオリジナル・サーバーを構成できます。重複するホストおよびポート設定でオリジナル・サーバーを構成すると、cacheサーバーとadminサーバーの両プロセスが起動に失敗します。
この問題を解決するには、次の手順を実行します。
テキスト・エディタを使用して、次の場所にあるwebcache.xmlを開きます。
(UNIX) ORACLE_INSTANCE/<instance_name>/config/WebCache/<webcache_name> (Windows) ORACLE_INSTANCE\<instance_name>\config\WebCache\<webcache_name>
イベント・ログの起動エラー・メッセージに記録されているものと同じNAME値とPORT値を持つ2つ以上のHOST要素を検索します。1〜65535の間で一意の値となるように、HOST要素の1つのポート番号を編集します。
たとえば、イベント・ログのエラー・メッセージが次のようになっているとします。
Duplicate origin server hosts specified for host my.company.com port 8888.
また、webcache.xmlのHOST要素が次のようになっているとします。
<HOST OSSTATE="ON" LOADLIMIT="100" PORT="8888" NAME="my.company.com" ID="h1" /> <HOST OSSTATE="ON" LOADLIMIT="100" PORT="8888" NAME="my.company.com" ID="h2" />
この場合、一方のPORT値を変更します。次に例を示します。
<HOST OSSTATE="ON" LOADLIMIT="100" PORT="8888" NAME="my.company.com" ID="h1" /> <HOST OSSTATE="ON" LOADLIMIT="100" PORT="9999" NAME="my.company.com" ID="h2" />
これで、adminおよびcacheサーバー・プロセスを再起動できます。その後、Fusion Middleware ControlやWeb Cache Managerを使用してさらに構成を変更できます。
サイトとサーバーのマッピング構成の詳細は、『Oracle Fusion Middleware Oracle Web Cache管理者ガイド』のオリジナル・サーバー設定の指定に関する項を参照してください。
サイトをオリジナル・サーバーにマップする場合、HTTPとHTTPSのオリジナル・サーバーが混在するマッピングは作成できません。HTTPまたはHTTPSのいずれか一方のプロトコルを使用するオリジナル・サーバーを選択してください。HTTPとHTTPSが混在するオリジナル・サーバーを選択すると、cacheサーバーとadminサーバーの両プロセスが起動に失敗します。
この問題を解決するには、次の手順を実行します。
テキスト・エディタを使用して、次の場所にあるwebcache.xmlを開きます。
(UNIX) ORACLE_INSTANCE/<instance_name>/config/WebCache/<webcache_name> (Windows) ORACLE_INSTANCE\<instance_name>\config\WebCache\<webcache_name>
次のようなVIRTUALHOSTMAP要素を検索します。
<VIRTUALHOSTMAP PORT="80" NAME="my.company.com"> <HOSTREF HOSTID="h1"/> <HOSTREF HOSTID="h2"/> </VIRTUALHOSTMAP>
いずれかのHOSTREF子要素を削除します。次に例を示します。
<VIRTUALHOSTMAP PORT="80" NAME="my.company.com"> <HOSTREF HOSTID="h1"/> </VIRTUALHOSTMAP>
これで、adminおよびcacheサーバー・プロセスを再起動できます。Fusion Middleware ControlやOracle Web Cache Managerを使用してさらに構成を変更することもできます。
サイトとサーバーのマッピング構成の詳細は、『Oracle Fusion Middleware Oracle Web Cache管理者ガイド』のオリジナル・サーバーに対するサイト定義のマッピングに関する項を参照してください。
