| Oracle Fusion Middlewareリリース・ノート 11gリリース1(11.1.1) for Microsoft Windows(32-Bit) B55923-02 |
|
 戻る |
 次へ |
| Oracle Fusion Middlewareリリース・ノート 11gリリース1(11.1.1) for Microsoft Windows(32-Bit) B55923-02 |
|
戻る |
次へ |
この章では、Oracle Access Manager 11gリリース1(11.1.1)に関連する問題について説明します。内容は次のとおりです。
この項では、Oracle Access Manager 11gリリース1(11.1.1)のパッチ要件について説明します。内容は次のとおりです。
この問題を回避するには、次の操作を実行します。
次のURLにあるMy Oracle Supportに移動します。
パッチと更新版タブをクリックしてOracle Bug#9824531を検索します。関連するパッチをダウンロードして、パッチに含まれるREADMEファイルの手順に従ってインストールします。
パッチと更新版タブでOracle Bug#9882205を検索します。関連するパッチをダウンロードして、パッチに含まれるREADMEファイルの手順に従ってインストールします。
WebLogic Server管理コンソールまたは管理対象サーバーのログでjava.lang.NullPointerException: Cannot set value to null at javax.naming.ldap.Rdn.<init>(Rdn.java:178)というエラーが検出された場合、原因として最も可能性が高いのはOracle JRockitです。
JRockitにより、try-catch句が関係する特定の状況で、nullチェックによって常にfalseが返される不正な最適化が適用されます。この問題を回避するには、JVMバージョンR28.0.1以上を実行していることを確認してください。
R28.0.1はパッチ9847606として入手可能で、次のURLのMy Oracle Supportからダウンロードできます。
この項では、一般的な問題および回避方法について説明します。内容は次のとおりです。
31.2.7項「OAM登録ツールのユーザー資格証明ではネイティブ・サーバー・ロケールのASCII以外の文字がサポートされていない」
31.2.19項「ナビゲーション・ツリーの「アプリケーション・ドメイン」サブツリーが描画されず、ユーザー・アクションに応答しない」
31.2.22項「オフライン・モードでWLSTコマンドDISPLAYWEBGATE11GAGENTによってWebゲート・エージェント・エントリが2度表示される」
31.2.27項「RREGの実行後に変更を表示するために、ユーザーはドメインのリフレッシュを2回クリックする必要がある」
31.2.31項「証明書モードではエージェント・キー・パスワードをコンソールとリモート登録ツールの両方で必須にする必要がる」
31.2.32項「OAM監査レポートAUTHENTICATIONFROMIPBYUSERによってFROM Keyword Not Found Where Expectedエラーがスローされる」
31.2.34項「Oracle Access Manager IDMドメイン・エージェントによってシングル・サインオンが提供される」
31.2.37項「Fusion Middleware ControlのアイデンティティおよびアクセスノードからOAMサーバーを起動および停止できない」
IM_ORACLE_HOME/oam/server/rreg/binには、リモート登録を実行するためのスクリプト(oamreg.batおよびoamreg.sh)が含まれています。これらのスクリプトは、実行前に、属性OAM_REG_HOMEがRREG HOMEのファイルの絶対位置を指定するように編集する必要があります。
RREG_HOMEは、スクリプトがある場所の1つ上のディレクトリです。
次に例を示します。
たとえば、特定のLinux環境に次のIM_ORACLE_HOMEが存在するとします。
MW_HOME/Oracle_IDM
この場合、oamreg.shに含まれる属性OAM_REG_HOMEのエントリは次のようになります。
export OAM_REG_HOME=MW_HOME/Oracle_IDM/oam/server/rreg
「OAMエージェントの作成」ページのデフォルトの開始日は、Oracle Access Managerサーバーの日時に基づきます。エンド・ユーザーに表示される日時は、ユーザーのマシンではなく、Oracle Access Managerサーバーのタイムゾーンに基づきます。
初期設定では、Oracle Access Managerのインストール場所にあるoamreg.shおよびoamreg.batファイルの実行権限は設定されていません。リモート登録(rreg)を実行する前に、次のコマンドを使用して、これらのスクリプトの実行権限を設定する必要があります。
chmod +x oamreg.sh OR chmod +x oamreg.bat
これに続いて、標準のリモート登録ステップを実行できます。
OAM Webゲートの登録後、関連コンポーネントの初期メッセージの説明フィールドがユーザーのロケールで表示されません。
説明フィールドでは多言語サポート(MLS)がサポートされません。
ResourceTypeタブの「リソース」表を全体的に参照する際に、次のエラー・メッセージが表示されます。
<Error> <oracle.adfinternal.view.faces.model.binding.CurrencyRowKeySet> <BEA-000000> <ADFv: Rowkey does not have any primary key attributes. Rowkey: oracle.jbo.Key[], table: model.ResTypeVOImpl@620289.>
このメッセージは無害で、機能が損なわれることはありません。
ナビゲーション・ツリーで子ノードを開く際のシングルクリックはサポートされていませんが、ダブルクリックはサポートされています。
OAM登録ツールoamreg.sh/oamreg.batのユーザー資格証明では、LinuxのUTF8以外のサーバー・ロケールおよびWindowsネイティブ・サーバーのASCII以外の文字はサポートされていません。
ユーザー名にトルコ語、ドイツ語またはギリシャ語の特殊文字が含まれており、ログイン名が特殊文字部分のみ異なる場合は、大/小文字が区別されないこと、および大/小文字のマッピングにより、ユーザーが認証を通過する可能性があります。
一部の国際化文字には特別な大文字化ルールを設定して、再び小文字に変換されないようにする必要があります。
SSとドイツ語のßの場合を例に挙げます。ßは小文字しか存在しません。ßに対して大文字変換を実行すると、ßはSSに変わります。その後、この大文字テキストが再び小文字に変換された場合、SSはssになり、元のßにはなりません。
サーバーのロケールがUTF-8ではなく、WebLogic Server組込みLDAPをアイデンティティ・ストアとして使用している場合は、「SSO認証」ページでASCII以外のパスワードがサポートされません。
管理者が既存のエージェントと同じ名前のエージェントを作成した場合、表示されるエラー・メッセージの言語は、ブラウザのロケールではなくサーバーのロケールに基づきます。
Oracle Access Manager 11gリリース1(11.1.1)は、参照を戻すLDAPサーバーと直接連携して動作することはできません。
回避方法として、Oracle Virtual Directoryを使用します。
クラスタの1つ以上のノードが停止している場合、Oracle Access Manager管理コンソールにエージェント監視用の診断情報が表示されません。
この情報は、Oracle Dynamic Monitoring Service(DMS)を使用して取得できます。手順は次のとおりです。
WebLogic資格証明を使用して、次のDMSアプリケーションにログインします。
http://<adminserver-host>:<adminserver-port>/dms
ナビゲーション・ツリーで「DMSメトリック」ノードの下にあるOAMS.OAM_Server.OAM_Agentsをクリックします。
保護されている認証ポリシーにASCII以外の名前のリソースを追加する場合、11g OHSサーバーを再起動して保護を有効化する必要があります。一方、英文字のリソースを追加する場合は、OHSサーバーを再起動する必要はなく、即座に保護が有効になります。
認証ポリシー用に構成された成功/失敗URLの指定URLにASCII以外の文字が含まれる場合、そのURLがユーザー認証時に使用される際に、URLが文字化けします。これは、認証スキームがBasic認証で、エンドユーザーのブラウザが中国語バージョンのWindowsで稼働する簡体字中国語バージョンのIE8である場合のみ発生します。
OSSOエージェントでは、リソースURL全体がUTF-8形式にエンコードされないため、リソースを保護できません。
この問題を回避するには、SSOエージェントのかわりにWebゲート・エージェントを使用します。
Webゲートでは、リソースURL全体をUTF-8形式に変換できます。
OAM管理コンソールに管理者としてログインした後、新しいタブで管理者としてコンソールにログインすると、管理ログに次のエラーが表示されます。
------------------------------------------------------------ <May 20, 2010 10:12:47 AM PDT> <Error> <oracle.adfinternal.view.page.editor.utils.ReflectionUtility> <WCS-16178> <Error instantiating class - oracle.adfdtinternal.view.faces.portlet.PortletDefinitionDTFactory> ------------------------------------------------------------
このエラー・メッセージによる機能への影響はありません。
エージェントという用語はWebゲートに変更されています。
この問題は、この用語変更が最近行われたために翻訳パッケージが更新されておらず、推奨用語のWebゲートではなくエージェントが引き続き使用されているために発生しています。
特殊文字:をレスポンス属性名に使用しないでください。
たとえば、name=STAT_:HEADER1などです。
この文字は11gリリース1(11.1.1)ではサポートされていません。
ナビゲーション・ツリーの「アプリケーション・ドメイン」サブツリーが描画されない、またはユーザー・インタフェース・アクションに長時間応答がない場合は、複数のリフレッシュが起因する可能性があります。
この問題を回避するには、管理サーバーを再起動してOAM管理コンソールに再度ログインします。
ヘルプ・トピック「シングル・サインオン要件の評価」の「シングル・サインオフの構成手順の確認」の下に、「OAM 11gサーバーを使用する10g Webゲートのシングル・ログアウトの構成」が2度出現します。
英語バージョンは次のように修正されています。
手順7 シングル・サインオフの構成手順の確認
OAM 11gサーバーを使用する10g Webゲートのシングル・ログアウトの構成。詳細。
OAM 11gサーバーを使用する11g Webゲートのシングル・ログアウトの構成。詳細。
Oracle ADFアプリケーションのシングル・ログアウトの構成。詳細
翻訳済バージョンは将来のリリースで修正されます。
オンライン・モードとオフライン・モードの両方で、「状態」フィールドに無効な値を入力しても、WLSTコマンドeditWebgateAgentはエラーになりません。「状態」は必須フィールドにもかかわらず、OAM管理コンソールでは、このフィールドの値は有効または無効のいずれとしても表示されません。
オフライン・モードでは、WLSTコマンドdisplayWebgate11gAgentによって、11g Webゲート・エージェントのエントリが「システム構成」タブに2度表示されます。
クラスタ内のOracle Access Managerサーバーの起動時に、次のメッセージが表示されます。
<Jun 22, 2010 3:59:41 AM PDT> <Error> <oracle.jps.authorization.provider.pd> <JPS-10774> <arme can not find state.chk file.>
メッセージの正しいレベルは、ErrorではなくINFOです。
HelpコマンドはWLSTコマンドregisteroifdappartnerには使用できません。
オンラインおよびオフラインのコマンドによって、Oracle Identity Federationは委任認証プロトコル(DAP)パートナとして登録されます。
詳細は、Oracle Fusion Middleware WebLogic Scripting Toolコマンド・リファレンスのregisterOIFDAPPartnerに関する項を参照してください。
構文
registerOIFDAPPartner(keystoreLocation="/scratch/keystore" logoutURL="http://<oifhost>:<oifport>/fed/user/sploosso?doneURL= http://<oamhost>:< oam port>/ngam/server/pages/logout.jsp", rolloverTime="526")
| パラメータ名 | 定義 |
|---|---|
|
keystoreLocation |
キーストア・ファイルの場所。OIFサーバーで生成されたファイル。(必須) |
|
logoutURL |
OIFサーバーのログアウトURL。<必須> |
|
rolloverInterval |
SASSOトークンの暗号化/復号化に使用されるキーのロールオーバー間隔(オプション) |
例
The following invocation illustrates use of all parameters. registerOIFDAPPartner(keystoreLocation="/scratch/keystore", logoutURL="http://<oifhost>:<oifport>/fed/user/sploosso?doneURL=http://<oamhost>: <oam port>/ngam/server/pages/logout.jsp", rolloverTime="526")
Oracle Adaptive Access Managerとのネイティブ統合では、リソースは、Oracle Adaptive Access ManagerのBasic認証スキームを使用するOracle Access Managerポリシーによって保護されます。
ユーザーがリソースにアクセスしようとすると、ユーザー名ページが表示されます。
ユーザー名を入力した後、パスワード・ページに進むためには、「続行」をクリックする必要があります。パスワード・ページは自動では表示されません。
回避方法として、ユーザーが「続行」をクリックすると、パスワード・ページに進むことを許可される可能性があります。
OAMの初期設定では、フェイルオーバー・モードでの実行時、またはOAMサーバーが再起動する前にユーザーがログイン・ページに資格証明を送信しようとした場合に、ログインが失敗します。
この問題を回避するには、次に示すオンラインWLSTコマンドを実行して、キャッシュ・タイプをCookieに設定します。
configRequestCacheType(type="COOKIE")
WLSTコマンドの実行前にOAMの管理対象サーバーが稼働していた場合は、これらのサーバーを再起動します。
console/rregスクリプトを介してrregを実行した後、ユーザーは、ポリシー関連の変更を表示するために、ポリシー構成コンソールで「リフレッシュ」ボタンを2回クリックする必要があります。
次のOCSP関連フィールドは、X509認証モジュールでは必須ではなくなりました。
OCSPサーバー別名
OCSP応答者URL
OCSP応答者タイムアウト
OCSPが有効の場合
管理者がOCSP関連のフィールドに値を入力する必要があります。フィールドが入力されていない場合、コンソール側からのエラーはありません。
管理者の責任において、これらの値を指定する必要があります。
OCSPが無効の場合
OCSP関連のフィールドに値を入力する必要はありません。OCSP自体が有効化されていないため、これらのフィールドに値が入力されても重要性はありません。
初期設定のデフォルト構成では、OCSP応答者URLはhttp://ocspresponderhost:portです。他のフィールドへの変更を行い、このURLをこのまま使用した場合は、検証エラーが表示されます。これは、この値が引き続きバックエンドに送信され、コンソールではレイヤー・ポートを数値フィールドにする必要があるためです。数値フィールドのポートを使用してフィールドを変更するか、値全体を削除できます。
「システム構成」タブの「データソース」ノードの下にある「データベース」ノードは機能しません。このノードは、OAMランタイムによって消費されるデータソース・エントリを作成しません。
OAMデータソースは、WebLogic Server管理コンソールを使用して管理する必要があります。Oracle Access Manager 11gには、OAMスキーマによって拡張されたデータベース・インスタンスに対して構成済のoamDSというデータソースが含まれています。WebLogic Server管理コンソールのoamDSにナビゲートするには、ナビゲーション・ツリーのdomain_nameに移動して、「サービス」→「JDBC」→「データソース」の順に選択します。
コンソールではオンライン・ヘルプを使用できますが、OTNで最新の情報であることを確認する必要があります。
登録時のエージェント・キー・パスワードの入力は、OAMコンソールおよびリモート登録ツールの両方で必須にする必要があります。現在、一方は必須ですが他方は必須ではありません。
リモート登録ツールを介して11g Webゲートを証明書モードで登録する場合は、エージェント・キー・パスワードを入力する必要があります。入力しない場合、password for cert mode cannot be null.Please enter the valid passwordというメッセージが表示されます。
OAM管理コンソールを介して11g Webゲートを証明書モードで登録する場合、エージェント・キー・パスワードは必須ではありません。エージェント・キー・パスワードを入力したかどうかにかかわらず、password.xmlが生成されます。
OAM監査レポートAuthenticationFromIPByUserは、Oracle Database 11.2.0の機能を使用するため、古いバージョンのデータベースでは機能しません。古いバージョンを使用した場合は次のエラーが表示されます。
ORA-00923: FROM keyword not found where expected
OAM 11gでは、リソース・タイプを作成/編集/削除するためのボタンが無効化されていない場合でも、カスタム・リソース・タイプを作成しようとしないでください。
ドメイン・コンソールは、Oracle Identity Manager、Oracle Adaptive Access Manager、およびドメインの作成時に作成されたその他のIdentity Managementサーバーです。
Oracle Access Manager IDMドメイン・エージェントによって、IDMドメイン・コンソールのシングル・サインオンが提供されます。Fusion Middleware ControlおよびWebLogic Server管理コンソールのシングル・サインオン保護は提供されません。そのため、IDMドメイン・エージェントを使用する場合は、Fusion Middleware Controlおよび(OAM Webゲートの使用時に本番デプロイメントで使用するために提供される)WebLogic Server管理コンソール用に構成されたポリシーを削除する必要があります。これらのポリシーを削除するには、次の手順を行います。
OAM管理コンソールにアクセスします。
「ポリシー構成」にナビゲートして「アプリケーション・ドメイン」→IDMDomainAgent→「認証ポリシー」→保護される上位レベルのポリシーの順に選択します。
ポリシーを開くと、ポリシーのリソース・リストが右パネルに表示されます。
認証ポリシーから次のリソースを削除します。
/console
/console/.../*
/em
/em/.../*
「適用」をクリックします。
「ポリシー構成」にナビゲートして「アプリケーション・ドメイン」→IDMDomainAgent→「認可ポリシー」→保護されるリソース・ポリシーの順に選択します。
ポリシーを開くと、ポリシーのリソース・リストが右パネルに表示されます。
認可ポリシーから次のリソースを削除します。
/console
/console/.../*
/em
/em/.../*
「適用」をクリックします。
「リソース」リストから実際のurlsを削除する必要はなく、ポリシーをリストアする必要がある場合はお薦めしません。
Webゲートの使用時にシングル・サインオンでFusion Middleware ControlおよびWebLogic Server管理コンソールを保護するために、後でこれらのポリシーを追加して元に戻すには、次の手順を行います。
「ポリシー構成」にナビゲートして「アプリケーション・ドメイン」→IDMDomainAgent→「認証ポリシー」→保護される上位レベルのポリシーの順に選択します。
ポリシーを開くと、ポリシーのリソース・リストが右パネルに表示されます。
前述の手順4で削除したものと同じリソースを認証ポリシーに追加します。
「適用」をクリックします。
「ポリシー構成」にナビゲートして「アプリケーション・ドメイン」→IDMDomainAgent→「認可ポリシー」→保護されるリソース・ポリシーの順に選択します。
ポリシーを開くと、ポリシーのリソース・リストが右パネルに表示されます。
前述の手順8で削除したものと同じリソースを認可ポリシーに追加します。
「適用」をクリックします。
OAM 11gサーバーをWebゲートとともに使用し、WebゲートIDをASCII以外の名前で登録すると、認証リダイレクトが無効なリクエストとしてOAMサーバーに拒否されます。
このリダイレクトの問題を回避するには、WebゲートにASCIIの名前を使用します。
|
注意: 管理サーバーおよびOracle Access ServerをUTF-8ロケールで起動した場合、リソースは保護され、エラー・メッセージは表示されません。リダイレクトの問題は、ネイティブ・サーバー・ロケール(WindowsおよびUTF8以外のLinuxサーバー・ロケール)でのみ発生します。 |
「認証モジュール」の下にあるユーザー・インタフェースのドロップダウンでは、プライマリ・アイデンティティ・ストアのみを選択する必要があります。これは、認証/認可に使用できるのがプライマリ・アイデンティティ・ストアのみであるためです。現在、OAMコンソールでは、プライマリ以外のアイデンティティ・ストアの選択が許可されます。
Fusion Middleware Controlでは、アイデンティティおよびアクセスの下にあるoam_serverノードを使用した次のOAM操作はサポートされていません。
起動
停止
ログ・メッセージの表示
一方、Oracle Access Managerの管理対象サーバー・インスタンスでは、これらの操作がサポートされています。Fusion Middleware Controlの「アプリケーション・デプロイメント」の下にある(特定のサーバーの)oam_serverノードを使用して実行できます。
不具合のため、エンコードされたURL文字列を含む問合せパラメータを使用して(11g Webゲートによって)保護されているリソースにアクセスすると、ブラウザに次のエラーが表示されます。
Action failed. Please try again
この項では、構成に関する問題およびその回避方法について説明します。内容は次のとおりです。
31.3.2項「Oracle Identity Manager管理コンソールのログアウト後に、ユーザーに対して誤ってセルフユーザー・ログインが表示される」
31.3.5項「リソースがBasic認証スキームを使用して保護されている場合は認証失敗に関連する情報が監査で取得されない」
31.3.11項「OAM_REMOTE_USERがCNの値ではなくUSERPRINCIPALNAMEの値に設定されている」
Webゲートで長いURLをサポートするために、oam-config.xmlの下に次のコード・サンプルが追加されています。
<Setting Name="AgentConfig" Type="htf:map">
<Setting Name="OSSO" Type="htf:map">
<Setting Name="RedirectMethod"Type="xsd:string">GET</Setting>
<Setting Name="Delimiter" Type="xsd:string">AND</Setting>
</Setting>
mod-ossoに関して、RedirectMethodの値はPOSTにする必要がありますが、初期設定での値はGETに指定されています。これを変更するには次の手順を実行します。この作業は手動で行う必要があり、ユーザー・インタフェースやWLSTコマンドは使用できません。
OAM管理サーバーおよび管理対象サーバーを停止します。
cd DOMAIN_HOME/config/fmwconfigを入力します。
vi oam-config.xmlを入力します。
oam-config.xmlの次の行に移動します。
<Setting Name="AgentConfig" Type="htf:map">
<Setting Name="OSSO" Type="htf:map">
<Setting Name="RedirectMethod"Type="xsd:string">GET</Setting>
次のようにGETをPOSTに変更します。
<Setting Name="RedirectMethod"Type="xsd:string">POST</Setting>
変更を保存して、OAM管理サーバーおよび管理対象サーバーを起動します。
Oracle Identity Manager管理コンソールからログアウトした後、ユーザーに対してセルフユーザー・ログインが表示されます。
リダイレクトを修正するには、ログアウトを正常に機能させる必要があります。
10g Webゲートでのログアウトに関する回避方法は次のとおりです。
logout.htmlを(たとえば、Oracle_IDM1/oam/server/oamsso/logout.htmlから)webgate_install_dir/oamssoへコピーします。
ファイル内のログアウトURLをhttp://oam_server:oam_server/ngam/server/logoutに更新します。
ログアウト後に特定のページにリダイレクトする必要がある場合は、ログアウトURLをhttp://oam_server:oam_server/ngam/server/logout?doneURL=http://host:port/specifipage.htmlに変更します。
コンパクト構成では、ハードウェア能力に制限があるマシンに、アイデンティティ管理の全コンポーネントがインストールされます。
11g Webゲートをコンパクト構成でインストールしようとすると、構成ステップで次のエラーが発生します。
Configuring WebGate... There is an error. Please try again. Preparing to connect to Access Server. Please wait. Client authentication failed, please verify your WebGate ID. cp: cannot stat `$ORACLE_HOME/ohs/conf/aaa_key.pem': No such file or directory cp: cannot stat `$ORACLE_HOME/ohs/conf/aaa_cert.pem': No such file or directory cp: cannot stat `$ORACLE_HOME/ohs/conf/aaa_chain.pem':
このエラーは、インストール時にoam-config.xmlの次のエントリが初期化されていないことが原因で発生します。
<Setting Name="oamproxy" Type="htf:map"> <Setting Name="sslGlobalPassphrase" Type="xsd:string">changeit</Setting> <Setting Name="SharedSecret" Type="xsd:string">1234567812345678</Setting> </Setting>
oam-config.xmlを正しく初期化するには、次のようにします。
次の手順を実行して、CSFリポジトリからOAMエントリを削除します。
次のWebLogic Scripting Toolを起動します。
oracle_common/oracle_common/common/bin/wlst.sh
WLSTシェルで、ドメインに接続するためのコマンドを入力し、要求された情報を入力します。
次にサンプルを示します。
wls:/offline> connect () Please enter your username [weblogic] : Please enter your password [welcome1] : Please enter your server URL [t3://localhost:7001] : Connecting to t3://localhost:7001 with userid weblogic ... Successfully connected to Admin Server 'AdminServer' that belongs to domain 'imdomain86'.
domainRuntimeに変更します。
次にサンプルを示します。
wls:/imdomain86/serverConfig> domainRuntime () Location changed to domainRuntime tree. This is a read-only tree with DomainMBean as the root.
マップ名がOAMでキーがjksのCSFリポジトリにエントリが存在するかどうかを確認します。
次にサンプルを示します。
wls:/imdomain86/domainRuntime> listCred(map="OAM_STORE",key="jks") {map=OAM_STORE, key=jks}
Already in Domain Runtime Tree
.
[Name : jks, Description : null, expiry Date : null]
PASSWORD:1qaldrk3eoulhlcmfcqasufgj2
.
CSFリポジトリからOAMマップ・エントリを削除します。
wls:/imdomain86/domainRuntime> deleteCred(map="OAM_STORE",key="jks")
{map=OAM_STORE, key=jks}
Already in Domain Runtime Tree
.
wlstシェルを終了します。
次にサンプルを示します。
wls:/imdomain86/domainRuntime> exit () . . .
DOMAIN_HOME/config/fmwconfigに移動してファイル.oamkeystoreを削除します。
次に(linuxの)サンプルを示します。
[aime@pdrac09-5 fmwconfig]$ rm .oamkeystore .
管理対象サーバーおよび管理サーバーを停止します。
管理サーバーを起動します。
oam-config.xmlを確認します。
管理対象サーバーを起動します。
oam-config.xmlの確認手順は次のとおりです。
DOMAIN_HOME/config/fmwconfig/oam-config.xmlに移動します。
DeployedComponent→Server→NGAMServer→Instanceの下で、WebLogic Serverのすべてのサーバー・インスタンスが構成されていることを確認します。
OAM管理対象サーバーのプロトコル、ホストおよびポートが、次の場所に含まれていることを確認します。
DeployedComponent→Server→NGAMServer→Profile→OAMServerProfile→OAMSERVER
SSO CipherKeyが生成済で次の場所に含まれていることを確認します。
DeployedComponent→Server→NGAMServer→Profile→ssoengine→CipherKey
SharedSecretおよびsslGlobalPassphraseのoamproxyエントリが生成済で、次の場所に含まれていることを確認します。
DeployedComponent→Server→NGAMServer→Profile→oamproxy
SharedSecretには1234567812345678とは異なる値、およびsslGlobalPassphraseにはchangeitとは異なる値がそれぞれ指定されている必要があります。
AIX上で管理者のOAMリモート登録が失敗する場合は、Oracle用Interim Fixes(iFix)付きのIBM JDK 1.6 SR7をダウンロードしてください。
|
注意: これらの手順は、IBM JDK 1.6 SR7+ifixのみを対象としています。SR7には適用されません。 |
IBMの汎用ユーザーIDを取得していない場合は、IBMのWebサイトで次の手順で登録できます。登録に関する問題は、Webサイトの内容に従ってIBMに問い合せてください。
次のURLに移動します。
「Downloads」をクリックします。
IBMソフトウェアのダウンロード・ページが表示されます。
アクセス・キーMJ3D7TQGMKを入力します。
「Download Director」(Windows用の推奨)または「HTTP」(UNIX用の推奨)を使用することを選択します。
製品名IBM SDK's for Oracle Fusion Middleware 11gの下に、ビルドが表示されます。
前述のように、ダウンロードして使用するバージョンは次のとおりです。
pap6460sr7ifix-20100512_01(JDK 6 SR7 +IZ70326+IZ68993+IZ74399)
リソースはBasicスキームを使用して保護できますが、WebLogic Serverには、最初にユーザーを認証してからサーバーへ送信するという機能があります。
config.xmlの<security-configuration>の下にフラグ<enforce-valid-basic-auth-credentials>false</enforce-valid-basic-auth-credentials>を追加してサーバーを再起動すると、WebLogic Serverの認証をバイパスできます。資格証明は、送信されてOAMサーバーに戻されると監査されます。
WebLogic Server管理コンソールでは、enforce-valid-basic-auth-credentials設定は表示されず、ログにも記録されません。一方、WLSTを使用すると稼働中のサーバーで値をチェックできます。config.xmlでこの設定行い、この値を変更する必要があります。
手順は、次のドキュメントを参照してください。
次のURLにある『Developing Secure Web Applications』
http://download.oracle.com/docs/cd/E13222_01/wls/docs103/security/thin_client.html#wp1037337
テストから本番へ移行した後に、次の手順を実行する必要があります。
テスト・システムからポリシーをインポートする際に、本番OAM管理対象サーバーが停止していることを確認します。
OAM管理コンソールにログインして、本番システムのすべてのエージェント(IDMDomainAgentを含む)のプライマリ/セカンダリ・サーバー・リストを変更します。
各Webゲート・エージェント(IDMDomainエージェントを除く)に対して生成されたWebゲートの、生成されたアーティファクトをコピーします。
本番OAM管理対象サーバーを起動します。
すべてのWebゲート・エージェントのOHSを再起動します。
次の場合は、テスト環境から本番環境へのパートナ情報の移行時に、パートナ情報にアクセスできません。
migratePartnersToProdコマンドを使用した。このコマンドは期限切れです。かわりに、次に示すコマンドのセットを使用してください。
exportPartners: テスト環境からパートナをエクスポートするためのコマンドです。パートナをエクスポートする必要があるOAMサーバーから実行する必要があります。このコマンドでは、一時ファイルoam-partnersへのパスがパラメータとして使用されます。
exportPartners(pathTempOAMPartnerFile=', <pathTempOAMPartnerFile>')
importPartners: 本番環境へパートナをインポートするためのコマンドです。パートナをインポートする必要があるOAMサーバーから実行する必要があります。このコマンドでは、一時ファイルoam-partnersへのパスがパラメータとして使用されます。
importPartners(pathTempOAMPartnerFile=', <pathTempOAMPartnerFile>')
移行後に、本番システムと一致させるためのエージェント・プロファイルの編集作業を行わなかった。
Webゲート・エージェントは、テスト・システムで使用可能なプライマリ/セカンダリ・サーバーのホストおよびNAPポートのリストを使用して構成された可能性があります。本番システムには、テスト・システムで構成されたものと同じホストおよびポートを使用するサーバー・インスタンスが含まれない可能性があります。SysConfigエージェント・プロファイルのユーザー・インターフェースは、プライマリ/セカンダリ・サーバー・リストのホストおよびポートの詳細が一致するサーバーを選択してサーバー名を取得するため、移行後に、ユーザー・インタフェースにサーバー名が表示されない可能性があります。プライマリ/セカンダリ・サーバーのリストは、本番システムで使用可能なサーバー・インスタンス・リストのサブセットの可能性があるため、移行後にエージェント・プロファイルを編集して本番システムと一致させる必要があります。
Windows 2008サーバーおよびWindows 2007マシンでサポートされているデフォルトのKerberos暗号化は、AES256-CTS-HMAC-SHA1-96、AES128-CTS-HMAC-SHA1-96およびRC4-HMACです。
クライアントがDESのみの暗号化を使用するように構成されている場合、ユーザーはKerberos認証を使用して保護されているリソースにアクセスできません。エラー・メッセージAn incorrect username and password was specifiedが表示されます。
初期のKerberosトークンが存在しないため、ブラウザはOAM 11gサーバーでは認識されないNTLMトークンを送信します。このため、ユーザー認証が失敗します。
回避方法として、暗号化メカニズムを有効化し、次のURLに示されている手順に従います。
http://technet.microsoft.com/en-us/library/dd560670%28WS.10%29.aspx
Oracle Access Manager 10g Webゲートのインストール時にプロンプトが表示された際に、現在のバージョンのmsvcirt.dllをより新しいバージョンに置き換えないでください。置き換えると非互換性の問題が発生します。後でOSSO 10g(10.1.4.3)をインストールする際に、必要な.dllファイルが見つからないためにopmn.exeコマンドが起動せず、OracleCSServiceがタイムアウトになる可能性があります。
OAM 11gでサポートされているトポロジは次のとおりです。
サポートされているトポロジ
Webゲート10gまたはWebゲート11gおよび保護されているアプリケーション(IPv4(Internet Protocol Version 4)プロトコル・ホスト上)
OHS(Oracle HTTP Server)リバース・プロキシ(デュアルスタック・ホスト上)
クライアント(IPv6(Internet Protocol Version 6)プロトコル・ホスト上)
デュアルスタックでは、1つのオペレーティング・システムに2つのInternet Protocolソフトウェア実装(一方はIPv4用、他方はIPv6用)が存在します。
IPv6クライアントは、IPv4/IPv6デュアルスタック上のリバース・プロキシを介して、Webゲート(10gまたは11g)にアクセスできます。
この項には、OAM構成で注意する必要があるシナリオおよび項目が含まれています。
OAM 10gおよびOAM 11gのWebゲートのWLSTスクリプトでは、エージェントのセキュリティ・モード変更はサポートされていません。
OAM管理コンソールおよびWLSTでサポートされていない操作を次の下位項目に示します。
OAMサーバー
ユース・ケース: 同時に行われる削除と更新
説明
ブラウザ1でOAMサーバー・インスタンスを編集モードで開きます。
別のブラウザ(ブラウザ2)でOAM管理コンソールを使用するか、WLSTスクリプトを使用して、このサーバー・インスタンスを削除します。
ブラウザ1に戻ります(サーバー・インスタンスが編集モードで開いています)。
ブラウザ1で「適用」ボタンをクリックします。
現在の動作
OAM管理コンソールに、「OAMサーバー・インスタンスserver_nameは使用中の可能性があります。編集しますか。」メッセージおよび更新成功の確認が表示されます。
このサーバー・インスタンス・ノードはナビゲーション・ツリーから削除されます。
この動作は不正です。
ユース・ケース: 同じホストを使用する2つのOAMサーバー・インスタンスに同じプロキシ・ポートを設定できない。
説明
このユース・ケースでは、oam_server1およびoam_server2というOAMサーバーの2つのインスタンスがあるとします。
編集モードでoam_server1を開き、ホストおよびOAMプロキシ・ポートを指定します。
次に、編集モードでoam_server2を開き、oam_server1と同じホストおよびプロキシ・ポートを指定します。
変更を保存してもエラー・メッセージは表示されません。
現在の動作
OAM管理コンソールはエラーを表示せず、この更新を許可します。
この動作は不正です。
ユース・ケース: サーバー・インスタンスの作成、更新および削除の詳細を含むログ文がOAM管理コンソールに表示されない
説明
OAM管理コンソールからOAMサーバー・インスタンスを作成、編集または削除した場合、作成、編集および削除に対応するログ文がコンソールによって表示されません。
LDAP認証モジュール:
ユース・ケース: ユーザー・アイデンティティ・ストアの同時削除/作成が、LDAP認証モジュールの作成および編集のアイデンティティ・ストア・ドロップダウンに反映されない
説明
作成/編集を行うためにLDAP認証モジュールを開きます。
ドロップダウン・リストに、システムに存在するアイデンティティ・ストアが表示されます。
次に、別のタブを使用してユーザー・アイデンティティ・ストアを作成します。
LDAP認証モジュールの作成/編集タブに戻り、ドロップダウン・リストでユーザー・アイデンティティ・ストアを確認します。
現在の動作
新たに追加したユーザー・アイデンティティ・ストア・エントリはドロップダウン・リストに追加されていません。
削除されたユーザー・アイデンティティ・ストアのエントリがリストに表示されます。
削除されたユーザー・アイデンティティ・ストアをドロップダウン・リストで選択して「適用」をクリックした場合、エラー・メッセージは表示されません。
OAM管理コンソールは変化せず、構成はバックエンドで更新されません。
LDAP、KerberosおよびX509認証モジュール
ユース・ケース: 同時に行われる削除と更新
説明
ブラウザ1でOAM管理コンソールを使用して、LDAP/Kerberos/X509認証モジュールを編集モードで開きます。
別のブラウザ(ブラウザ2)でOAM管理コンソールを使用するか、WLSTスクリプトを使用して、この認証モジュールを削除します。
ブラウザ1に戻ります(認証モジュールが編集モードで開いています)。
「適用」ボタンをクリックします。
現在の動作
OAM管理コンソールは、この認証モジュール構成を更新し、バックエンドに書き込みます。
この動作は不正です。
ユース・ケース: サーバー・インスタンスの作成、更新および削除の詳細を含むログ文がOAM管理コンソール側に存在しない。
説明
OAM管理コンソールから認証モジュールを作成、編集または削除した場合、作成、編集および削除に対応するログ文がコンソールによって書き込まれません。
OAM 11G Webゲート
ユース・ケース: 同時に行われる削除と更新
説明
ブラウザ1でOAM管理コンソールを使用して、OAM 11g Webゲート・インスタンスを編集モードで開きます。
別のブラウザ(ブラウザ2)でOAM管理コンソールを使用するか、WLSTスクリプトを使用して、このOAM 11g Webゲートを削除します。
次に、ブラウザ1に戻ります(サーバー・インスタンスが編集モードで開いています)。
「適用」ボタンをクリックします。
現在の動作
OAM11g Webゲート編集用のOAM管理コンソールは変化せず、タブは閉じません。
OAM管理コンソールによって、OAM11g Webゲートの構成が見つからないというエラー・ダイアログが表示されます。
ただし、ナビゲーション・ツリーは空白で、いずれかの操作を実行しようとすると、javax.faces.model.NoRowAvailableExceptionと表示されます。
この動作は不正です。
OAM 11gネイティブWindows認証サポートを使用した場合、アプリケーションで表示されるログイン済useridが、単純なユーザー名形式ではなくドメイン修飾形式で表示されます。例: myuid@MYDOMAN。
デプロイメントでWindowsネイティブ認証とOAMフォーム認証の両方を利用している場合、フォーム・ベースのシングル・サインオンの後でWeblogic Serverコンテナ認証で実行中のアプリケーションにアクセスすると失敗し、アクセスは許可されません。この問題を修正するには、次の手順を行います。
WebLogic Serverドメインの2つ目のActive Directory認証を構成します。
2つ目のActive Directory認証の構成は最初のActive Directory認証と同じですが、例外としてUserFromNameFilterおよびUserNameAttribute構成フィールドの値を次のように変更する必要があります。
UserFromNameFilter: (&(CN = %n)(objectclass=user) UserNameAttribute: CN
2つ目のActive Directory認証を最初の認証の下に配置して、両方のJAASフラグがSUFFICIENTに設定されていることを確認してください。
シングル・サインオンは、Oracle Access Managerのインストール後に有効化されます。初期設定のシングル・サインオンの構成を完了するには、インストール後に集中ログアウトを構成する必要があります。次の項の手順に従って、集中ログアウトを構成してください。
「OAM 11gでのADFコード化されたアプリケーションの集中ログアウトの構成」
ADFログアウトが正常に機能するには、シングル・サインオン・サーバーのパッチ9824531が必要です。パッチに含まれるreadmeファイルの説明に従って、このパッチをインストールします。
「IDMドメイン・エージェントの集中ログアウトの構成」
Webゲート定義の再作成、および(「ポリシーの自動作成」を選択せずに)前と同じホスト識別子との関連付けを試行した場合、作成は正常に実行されません。これは、「ホスト識別子」フィールドでは大/小文字が区別されるのに対して、WebゲートのベースURLでは区別されないためです。大/小文字の区別の有無による大/小文字の不一致によって、作成は回避されます。定義が作成されたかどうかにかかわらず、OAM管理コンソールによって、操作が正常に実行されたことを示すメッセージが表示されます。
アイデンティティ・ストアの停止時に、構成イベント・トリガーによりNullポインタ例外が発生します。アップグレードは成功しますが、管理サーバー・コンソールにエラー・メッセージが表示されます。サービスは失われません。
アップグレード中にNULLポインタが表示された場合、サービスは失われないため、このエラーを無視して構いません。
WLSTコマンドの実行中にNULLポインタが表示された場合は、管理サーバーを再起動する必要があります。
一般的に、Sun Microsystems JDK 1.4.xコンパイラは、Access SDKバージョン10.1.4.3.0のJavaインタフェースで使用されるJDKバージョンです。
例外として、(Linuxオペレーティング・システム・プラットフォームの)64ビットAccess SDKバージョン10.1.4.3.0のJavaインタフェースでは、Sun Microsystems JDK 1.5.xコンパイラを使用する必要があります。
OAM 11.1.1.3.0に含まれるセッション管理エンジンの新機能は、認証のためのAccess SDKバージョン10.1.4.3.0のコールごとに、セッションを作成します。
そのため、Access SDKを使用して自動のプロセスをプログラムで認証する場合には、問題が発生します。問題とは、Access SDK内で生成されたシステムのセッション数が劇的に増加して、大量のメモリー消費を引き起こすことです。
この項では、ドキュメントの訂正箇所を示します。
次に示す修正済のヘッダー変数、デフォルト、構文は、次のリリースのOracle Fusion Middleware管理者ガイド for Oracle Access Managerに含まれる、ユーザー定義パラメータに関する項の、完全リモート登録リクエストに共通する要素の表に出現します。
proxySSLHeaderVar
.... ヘッダー変数の値は、sslまたはnonsslにする必要があります。ヘッダー変数が設定されていない場合、SSL状態は現在のWebサーバーのSSL状態によって決まります。
デフォルト: IS_SSL
<name>proxySSLHeaderVar</name>
<value>IS_SSL</value>
WebLogic管理コンソールおよびFusion Middleware Controlでは、ログアウトが選択された際に正常なSSOログアウトが確実に実行されるように、次の回避方法を行う必要があります。
|
注意: この回避方法によって、WebLogic管理コンソールまたはFusion Middleware Controlに関連付けられているアプリケーション・セッションがクリアされることはありません。セッションはクリアされませんが、ログアウト後にアクセスを試行した場合、ユーザーは再認証を要求されます。アプリケーションのセッション構成で指定された時間が経過すると、アプリケーション・セッションは自動的にタイムアウトします。 |
10g Webゲートで構成されたWebサーバーで、次のように再書込みURLを構成します。
|
注意: この再書込みURLの構成手順は、このWebサーバーがOAM Webゲートを使用して構成される場合のみ実行してください。たとえば、後でこのWebサーバー上でOSSOエージェントを構成する予定がある場合は、これらのReWriteRulesを削除する必要があります。 |
ohsinstance/config/OHS/ohs-inst-id/modules/admin.confの下にあるファイル(またはその他の任意の関連ファイル)を編集します。
RewriteRule ^/console/jsp/common/logout.jsp /oamsso/logout.html RewriteRule ^/em/targetauth/emaslogout.jsp /oamsso/logout.html
10g WebゲートのログアウトURLパラメータを次のように構成します。
OAM管理コンソールに移動します。
http://host:port/oamconsole
「システム構成」タブをクリックします。
10g Webゲート・プロファイルをクリックします(「エージェント」→「10g Webゲート」の下)。
選択したWebゲート・プロファイルの詳細ページで「ログアウトURL」というタイトルのリスト・ボックスを探します。
このリストに次の値を追加します(既存の値はそのまま維持します)。
それぞれの値を新規行に入力する必要があります。
/console/jsp/common/logout.jsp /em/targetauth/emaslogout.jsp
右上の「適用」ボタンをクリックします。
このWebゲートをホストするWebサーバーを再起動します。
この手順は必須ではありません。再起動しなかった場合は、Webゲート構成がリフレッシュされるまでに数分かかります。
使用方法
WebLogic管理コンソールおよびFusion Middleware Controlは、常にOAM Webゲートを使用して構成されたWebサーバーを介してアクセスする必要があります。
ログアウトする場合は、コンソールまたはFusion Middleware Controlアプリケーションによって表示される「ログアウト」リンクをクリックします。
