OpenSSO 8.0 Update 2 の問題点と回避方法

• 「CR 6959610: OpenSSO 8.0 Update 2 のサンプルを本稼働環境から削除しなければならない」

• 「CR 6964648: WebLogic Server 10.3.3 に新しい Java セキュリティー権限が必要」

• 「CR 6939443: WebLogic Server 10.3.x で、LDAP チェックまたは OCSP チェックを使用した証明書認証が失敗する」

• 「CR 6967026: コンフィギュレータが GlassFish 2.1.x から LDAPS を有効にしたディレクトリサーバーインスタンスに接続できない」

• 「CR 6948937: WebLogic Server 10.3.3 の管理コンソールで OpenSSO 8.0 Update 2 を有効にすると例外が発生する」

• 「CR 6959373: updateschema スクリプトを実行したあと、Web コンテナの再起動が必要になる」

• 「CR 6961419: updateschema.bat スクリプトの実行にパスワードファイルが必要になる」

CR 6959610: OpenSSO 8.0 Update 2 のサンプルを本稼働環境から削除しなければならない

OpenSSO 8.0 Update 2 のサンプルは潜在的なセキュリティー問題を引き起こす可能性があります。

回避方法。OpenSSO 8.0 Update 2 を本稼働環境に配備する場合は、潜在的なセキュリティー問題を防止するためにサンプルを削除します。

CR 6964648: WebLogic Server 10.3.3 に新しい Java セキュリティー権限が必要

OpenSSO 8.0 Update 2 を、セキュリティーマネージャーを有効にした Oracle WebLogic Server 10.3.3 に配備する場合、追加の Java セキュリティー権限が必要です。

回避方法。WebLogic Server 10.3.3 の weblogic.policy ファイルに次の権限を追加します。

permission java.lang.RuntimePermission "getClassLoader";

CR 6939443: WebLogic Server 10.3.x で、LDAP チェックまたは OCSP チェックを使用した証明書認証が失敗する

Oracle WebLogic Server 10.3.0 や 10.3.1 などの前バージョンにあった問題のため、LDAP チェックまたは OSCP チェックのいずれかを有効にした証明書認証が失敗します。

回避方法。この問題は WebLogic Server 10.3.3 で修正されました。LDAP チェックまたは OSCP チェックのいずれかを使用した証明書認証を利用するには、OpenSSO Update 2 と WebLogic Server 10.3.3 を使用します。

CR 6967026: コンフィギュレータが GlassFish 2.1.x から LDAPS を有効にしたディレクトリサーバーインスタンスに接続できない

GlassFish Enterprise Server v2.1.1 または v2.1.2 が OpenSSO 8.0 Update 2 の Web コンテナとして配備されている場合、コンフィギュレータは LDAPS を有効にしたディレクトリサーバーインスタンスに接続できません。

回避方法。GlassFish を Web コンテナとして LDAPS を有効にしたディレクトリサーバーを利用するには、GlassFish Enterprise Server v2.1 を配備します。

CR 6948937: WebLogic Server 10.3.3 の管理コンソールで OpenSSO 8.0 Update 2 を有効にすると例外が発生する

OpenSSO 8.0 Update 2 (opensso.war) を WebLogic Server 10.3.3 の管理コンソールに配備し、「Start」をクリックして OpenSSO 8.0 Update 2 で要求の受信を開始すると、WebLogic Server ドメインが起動したコンソールで例外が発生します。

注: OpenSSO 8.0 Update 2 を起動したあとは、ふたたび停止して再起動するまでは起動状態が保たれ、例外が発生することもありません。

回避方法。OpenSSO 8 Update 2 の opensso-client-jdk15.war ファイルから saaj-impl.jar ファイルを WebLogic Server 1.0.3.3 の設定 endorsed ディレクトリにコピーします。次にその手順を示します。

1. Oracle WebLogic Server 10.3.3 ドメインを停止します。

2. 必要であれば、OpenSSO 8.0 Update 2 の opensso.zip ファイルを解凍します。

3. 一時的なディレクトリを作成して、zip-root/opensso/samples/opensso-client.zip ファイルをそのディレクトリに解凍します。zip-root は opensso.zip ファイルを解凍した場所です。例:

   cd zip-root/opensso/samples
   mkdir ziptmp
   cd ziptmp
   unzip ../opensso-client.zip

4. 一時的なディレクトリを作成して、opensso-client-jdk15.war から saaj-impl.jar ファイルを抽出します。例:

   cd zip-root/opensso/samples/ziptmp/war
   mkdir wartmp
   cd wartmp
   jar xvf ../opensso-client-jdk15.war WEB-INF/lib/saaj-impl.jar

5. WEBLOGIC_JAVA_HOME/jre/lib ディレクトリの下に endorsed という名前のディレクトリを作成します (endorsed がまだ存在していない場合)。WEBLOGIC_JAVA_HOME は、WebLogic Server が使用するように設定した JDK です。

6. saaj-impl.jar ファイルを WEBLOGIC_JAVA_HOME/jre/lib/endorsed ディレクトリにコピーします。

7. WebLogic Server ドメインを起動します。

CR 6959373: updateschema スクリプトを実行したあと、Web コンテナの再起動が必要になる

updateschema.sh スクリプトまたは updateschema.bat スクリプトを実行したあと、OpenSSO 8.0 Update 2 の Web コンテナを再起動する必要があります。

CR 6961419: updateschema.bat スクリプトの実行にパスワードファイルが必要になる

updateschema.bat スクリプトは、複数の ssoadm コマンドを実行します。 したがって、Windows システムで updateschema.bat を実行する前に、amadmin ユーザーのパスワードユーザーを平文で記載したパスワードファイルを作成しておく必要があります。 updateschema.bat スクリプトを実行すると、パスワードファイルへのパスを入力するよう求められます。 スクリプトは終了する前にパスワードファイルを削除します。