Oracle® Fusion Middlewareリリース・ノート 11gリリース1(11.1.1) for Linux x86 B55924-02 |
|
戻る |
次へ |
この章では、Oracle Internet Directoryに関連する問題について説明します。内容は次のとおりです。
この項では、一般的な問題および回避方法について説明します。内容は次のとおりです。
Fusion Middleware ControlからODSMを起動し、新規ODSMを選択すると、ブラウザ・ウィンドウが使用できなくなることがあります。たとえば、ウィンドウが繰り返しリフレッシュしたり、空白ページとして表示されたり、ユーザー入力を受け付けなかったり、nullポインタ・エラーを表示します。
回避方法として、URL: http://
host
:
port
/odsm
に移動します。ここで、hostおよびportには、http://myserver.example.com:7005/odsm
のようにODSMが実行されている場所を指定します。その後ODSMウィンドウを使用してサーバーにログインします。
Oracle Internet DirectoryでOracle Database 11gリリース1(11.1.0.7.0)を使用している場合、bulkmodify
操作の実行中にORA-600
エラーが表示される場合があります。この問題を修正するには、Oracle Bug#7019313およびOracle Bug#7614692用の修正をOracle Databaseに適用します。
不具合により、Oracle Internet Directoryでは、トルコ語キャラクタ・セットに含まれる点付きの大文字のIを正しく処理できません。そのため、Oracle Directory Services Managerまたはコマンドライン・ユーティリティで問題が発生する可能性があります。
デフォルトでは、比較の実行時にoidcmprec
ツールによって操作属性が除外されます。つまり、oidcmprec
では、ソースおよび宛先ディレクトリのエントリの操作属性値は比較されません。ただし、ユーザー定義属性のリコンシリエーション時には、操作属性が変更される可能性があります。
oidrealm
ツールでは、レルムの作成はサポートされますが削除はサポートされていません。レルムの削除手順は、https://support.oracle.com/
のMy Oracle Supportから取得できるノート604884.1に記述されています。
LDAPベースのマルチマスター・レプリケーションで1次レプリカを変更する場合は、Fusion Middleware Controlのレプリケーション・ウィザードの1次を変更オプションを使用しないでください。かわりに、コマンドライン・ツールremtool
を次のように使用します。
remtool -pchgmaster -multimaster
関連項目: remtool の詳細は、『Oracle Fusion Middleware Oracle Identity Managementユーザー・リファレンス』の「Oracle Internet Directoryレプリケーション管理ツール」を参照してください。 |
Oracle Internet DirectoryでOracle Database 11.2.0.1.0を使用している場合は、Oracle Databaseにパッチ11.2.0.1.3 PSUを適用してください。このパッチを適用していない場合、パージ・ジョブが正しく機能しません。
この項では、構成の問題および回避方法について説明します。内容は次のとおりです。
テスト・マシン上でサーバー認証モードまたは相互認証モードでSSLを使用するためにOracle Internet Directoryを構成し、Oracle Internet Directoryを本番マシンに移動する場合は、本番マシン上でOracle Internet Directoryウォレットを再作成してください。
古いウォレットには、証明書のDNとして元のマシンのホスト名が含まれます。このDNのホスト名は、テストから本番への移動時に変更されません。本番マシン上でウォレットを再作成することで、SSL通信の問題を回避してください。
この項では、ドキュメントの訂正箇所を示します。内容は次のとおりです。
『Oracle Fusion Middleware Oracle Identity Managementアプリケーション開発者ガイド』の第11章の関数リターン・コードに関する表11-61に、誤りのあるコードおよび欠落しているコードがあります。次のコードを削除する必要があります。
表38-1 関数リターン・コード
名前 | リターン・コード | 説明 |
---|---|---|
ACCT_TOTALLY_LOCKED_EXCEPTION |
-14 |
ユーザー・アカウントがロックされている場合に |
AUTH_PASSWD_CHANGE_WARN |
-15 |
このリターン・コードは、今後は使用されない可能性があります。 |
次のコードを追加する必要があります。
表38-2 関数リターン・コード
名前 | リターン・コード | 説明 |
---|---|---|
ACCT_TOTALLY_LOCKED_EXCEPTION |
9001 |
ユーザー・アカウントがロックされている場合に |
PWD_EXPIRED_EXCEPTION |
9000 |
ユーザーのパスワードが期限切れの場合に |
PWD_EXPIRE_WARN |
9002 |
ユーザーのパスワードの期限切れが近い場合に |
PWD_MINLENGTH_ERROR |
9003 |
ユーザーのパスワードが |
PWD_NUMERIC_ERROR |
9004 |
|
PWD_NULL_ERROR |
9005 |
|
PWD_INHISTORY_ERROR |
9006 |
パスワードが以前使用されたことがあり、パスワード・ポリシーでパスワードの再使用が許可されていない場合に |
PWD_ILLEGALVALUE_ERROR |
9007 |
パスワードが不正な場合に |
PWD_GRACELOGIN_WARN |
9008 |
猶予期間ログインの間 |
PWD_MUSTCHANGE_ERROR |
9009 |
ユーザーがログイン時にパスワードを再設定する必要がある場合に |
USER_ACCT_DISABLED_ERROR |
9050 |
ユーザーのアカウントが無効になっている場合に |
『Oracle Fusion Middleware Oracle Identity Managementアプリケーション開発者ガイド』の「DSML構文」の最初に、次のような記述があります。
Directory Services Mark-up Language(DSML)はOracle Fusion Middleware 11gリリース1(11.1.1)では推奨されません。今後のリリースでサポートされない可能性があります。
この記述は誤りです。無視してください。
『Oracle Fusion Middleware Oracle Identity Managementユーザー・リファレンス』の「Oracle Internet Directoryデータ管理ツール」のldifwrite
に関する項では、file
オプションを使用した複数の例が示されています。これは間違っています。このオプションは、実際にはldiffile
です。次に例を示します。
ldifwrite connect="nldap" basedn="ou=Europe, o=imc, c=us" ldiffile="output1.ldif"
ldifwrite connect="nldap" basedn="cn=includednamingcontext000001, \ cn=replication namecontext,orclagreementid=000001, \ orclreplicaid=node replica identifier,cn=replication configuration" \ ldiffile="output2.ldif"
『Oracle Fusion Middleware Oracle Internet Directory管理者ガイド』および『Oracle Fusion Middleware Oracle Identity Managementユーザー・リファレンス』のbulkload
に関する項に、次の注意が含まれています。
「注意: ディレクトリ・サーバー・インスタンスがレプリケーション承諾のメンバーの場合、ノードへのデータの追加にbulkload
ツールを使用しないでください。かわりに、ldapadd
を使用してください。」
これは間違っています。状況に応じて、バルク・ツールまたはLDAPツールを使用できます。DRGのメンバーであるノードにデータを追加する際には、次のルールが適用されます。
DRGに含まれるすべてのノードに新規エントリを追加する場合は、バルク・ツールまたはLDAPツールを使用できます。エントリが20Kを超える場合は、バルク・ツールの方がきわめて高速です。LDAPツールを使用する場合は、DRGに含まれる1つのノードのみにエントリを追加して、レプリケーションによってエントリを伝播させます。バルク・ツールを使用する場合は、LDIFファイルから中間ファイルを1回のみ生成し、この中間ファイルを使用してDRGに含まれるすべてのノードにエントリをロードします。
既存のエントリを同じレプリケーション・グループの1つのノードから別のノードへコピーする場合は、バルク・ツールを使用します。データをアップロードする場合は、bulkload
オプションのrestore=true
を使用します。
操作属性がLDIFファイルに含まれる場合、つまり、LDIFファイルがldifwrite
を使用して作成された場合は、bulkload
を使用してエントリを追加します。
レプリケーション承諾が部分的なレプリケーション承諾の場合は、レプリケーション承諾DNとしてベースDNを指定したldifwrite
を使用して、LDIFファイルにエントリを書き込みます。その後、restore=true
オプションを設定したbulkload
を使用して、データをロードします。
『Oracle Fusion Middleware Oracle Internet Directory管理者ガイド』の「Oracleスタックの起動と停止」に、WebLogic管理サーバーの起動に関して次のコマンドが含まれています。
MW_HOME/user_projects/domains/DOMAIN_NAME/bin/startWebLogic.sh \ SERVER_NAME {ADMIN_URL}
ここに示されたコマンドラインからOracle WebLogic管理サーバーを起動すると、サーバーはフォアグラウンドで実行され、出力が画面に送られます。ただし、コマンドラインの先頭にnohup
を使用すると、バックグラウンドでサーバーを実行できます。この場合は、すべての出力がnohup.out
ファイルに送信され、スクリプトによるUSER_NAME
およびPASSWORD
の要求が回避されます。nohup
の使用時にパラメータをStartWebLogic.sh
に渡すには、『Oracle Fusion Middleware Oracle WebLogic Serverサーバーの起動と停止の管理』の「サーバーの起動と停止」の説明に従って起動IDファイルを使用できます。
『Oracle Fusion Middleware Oracle Internet Directory管理者ガイド』の表9-5では、「サーバー・プロパティ」の「パフォーマンス」タブの構成属性について、LDAPアイドル接続タイムアウトが秒単位で指定されると誤って説明しています。実際には、このフィールドおよび対応する属性orclldapconntimeout
は、分単位で指定する必要があります。
『Oracle Fusion Middlewareパフォーマンスおよびチューニング・ガイド』の「Oracle Internet Directory」の表18-7、「サーバー・プロパティ」の「パフォーマンス」タブの構成属性にも、同様の間違いがあります。
『Oracle Fusion Middleware Oracle Identity Managementアプリケーション開発者ガイド』の1.1項の3番目の箇条書き項目に、次の記述が含まれています。
Oracle Directory Integration Services
正しくは次のとおりです。
Oracle Directory Synchronization Services
『Oracle Fusion Middleware Oracle Internet Directory管理者ガイド』の付録L「データベース・コピー・プロシージャを使用したディレクトリ・ノードの追加」の詳細説明が一部欠落しています。
手順13に次の記述があります。
別のノードを使用して構成されたアドバンスト・レプリケーションを持つノードからデータベース・コピーを実行した場合、新規ノードでLDAP_REPレプリケーション・グループを削除する必要があります。これを行うには、次のコマンドを実行します。
sqlplus rep_admin_db_account_name/password SQL> exec dbms_repcat.drop_master_repgroup( gname => 'LDAP_REP' ) SQL> shutdown immediate
この手順を実行する前に、次のコマンドを実行する必要があります。
sqlplus / as sydba dbms_defer_sys.delete_tran(null,null); dbms_defer_sys.delete_error(null,null); dbms_repcat.purge_master_log(null,null,null);
手順14に次の記述があります。
FTPまたは他の適切なツールを使用して、初期化パラメータ・ファイルinitLDAP.ora
を、スポンサ・ノード(rst-sun)から新規ノードのUNIXディレクトリ$ORACLE_HOME/dbs
へコピーします。コピー後、コピーしたinitLDAP.ora
ファイルのデータが破損していないことを確認します。
これに加えて、ファイルorclpw
ORACLE_SID
(データベース・パスワード・ファイル)もスポンサ・ノードから新規ノードへコピーします。
手順28bに次の記述があります。
新規ノードとスポンサ・ノードを含め、すべてのノードでOracle Internet Directoryとレプリケーション・サーバーを起動します。
次のコマンドを使用してレプリケーション・サーバーを起動します。
oidctl connect=nldap server=OIDREPLD instance=1 \ flags="-p new_node_port -h new_node_host" start
これに加えて、resumeasr
またはoidrrsme.sql
も起動します。
『Oracle Fusion Middleware Oracle Internet Directory管理者ガイド』のスーパーユーザー権限を持つ別のアカウントの作成に関する項の内容は、誤解を招きやすく、コマンドラインが間違っています。正しくは次のとおりです。
スーパーユーザーcn=orcladminは、複数の権限グループ内のメンバーシップから権限を取得します。これらのグループを問い合せるには、次のldapsearchコマンドを使用します。
ldapsearch -h host -p port -D "cn=orcladmin" -q -b "" -L \ -s sub "(|(uniquemember=cn=orcladmin)(member=cn=orcladmin)" dn
スーパーユーザー権限を持つ2つ目のアカウントを作成するには、同じグループに属する別のユーザー・エントリを作成します。さらに、グループcn=directoryadmingroup,cn=oracle internet directory
のメンバーとして、そのユーザーを追加します。
スーパーユーザー権限を持つ追加のユーザーを作成した後は、Oracle Internet Directoryの管理にcn=orcladmin
を使用する必要はありません。権限を持つアカウントがあれば十分です。ただし、属性orclsuname
には値cn=orcladmin
を設定する必要があります。
『Oracle Fusion Middleware Oracle Internet Directory管理者ガイド』のldapmodifyを使用したスーパーユーザーの管理に関する項では、スーパーユーザーの名前およびパスワードの変更方法が記述されています。パスワードの変更に関する情報には誤りはありません。ただし、スーパーユーザーの名前は変更しないでください。orclsuname
の値はcn=orcladmin
のまま維持する必要があります。
『Oracle Fusion Middleware Oracle Internet Directory管理者ガイド』
のコマンドラインを使用した属性一意性制約エントリの管理に関する項には、uniquenessConstraint.ldif
という存在しないテンプレート・ファイルについての記述があります。これは次のようなファイルです。
# Use this LDIF file to set up a uniqueness constraint on the nickname # attribute within the user search base. # Before running the script, change the following parameters in the LDIF file. # <userid_attribute> - Specify the name of the attribute that holds the user # id. This value should be the same as the orclcommonusernickname attribute # configured for the realm.# <dn _f_user_serach_base> - Specify the user search base in which the # uniqueness constraint should be enforced. # dn: cn=<userid_attribute> ,cn=unique,cn=common,cn=Products, cn=OracleContext changetype: add objectclass: orclUniqueConfig orcluniqueattrname: <userid _ttribute> orcluniquesubtree: <dn_of_user_search_base> orcluniqueenable:1
ldapmodify
ツールを使用して、一意性制約を次のように設定します。
ldapmodify -p oid_port -h oid_host -D cn=orcladmin\ -q -f UniquenessConstraint.ldif
『Oracle Fusion Middleware Oracle Internet Directory管理者ガイド』の公開されたネーミング・コンテキストの検索に関する項のldapsearch
コマンドラインに誤りがあります。正しくは、次のようになります。
ldapsearch -p 3060 -q -D cn=orcladmin -b "" -s base -L "objectclass=*" \ namingcontexts
注意: ネーミング・コンテキストが公開されている場合を除いて、このコマンドでは何も返されません。 |
『Oracle Fusion Middleware Oracle Internet Directory管理者ガイド』のユーザー・パスワード・ベリファイアを作成するためのハッシング・スキームに関する項に、orclcryptoscheme
の値として有効なNone
を含める必要があります。orclcryptoscheme
をNone
に設定すると、パスワードがクリアテキストで格納されます。
『Oracle Fusion Middleware Oracle Identity Managementユーザー・リファレンス』のManageHiq.retryおよびManageHiq.purgeの構文に関する項に誤りがあります。具体的には、コマンドラインのexec
コマンドが欠落しています。実際の構文は次のとおりです。
$ sqlplus /nologSQL> connect ods; SQL> Enter password SQL> Set serveroutput ON SQL> exec ManageHiq.retry(SupplierNode, EqualChgNo, StartChgNo, EndChgNo) SQL> exit $ sqlplus /nologSQL> connect ods; SQL> Enter password SQL> Set serveroutput ON SQL> exec (ManageHiq.purgeSupplierNode, EqualChgNo, StartChgNo, EndChgNo) SQL> exit
『Oracle Fusion Middleware Oracle Internet Directory管理者ガイド』のPL/SQLプログラムのロードおよび登録に関する項の手順2に、プラグイン構成ファイルの例が示されています。属性orclplugintype
の値がconfiguration
として指定されています。これは、operational
として指定する必要があります。
『Oracle Fusion Middleware Oracle Internet Directory管理者ガイド』の「レプリケーションの管理および監視」には、レプリケーション承諾の削除または変更を行う前に、毎回レプリケーションを非アクティブ化する必要があることが明記されていません。
この情報を、この章の次の項に含める必要があります。
レプリケーション・ウィザードを使用したレプリケーション設定の表示または変更
レプリケーション・ウィザードを使用したLDAPベースのレプリケーション承諾の削除
ldapmodifyを使用したレプリケーション承諾の属性の構成
レプリケーションのアクティブ化および非アクティブ化の方法は、同じ章の、Fusion Middleware Controlを使用したレプリケーション・サーバーのアクティブ化または非アクティブ化に関する項に含まれています。
『Oracle Fusion Middleware Oracle Identity Managementユーザー・リファレンス』の「LDAP属性リファレンス」にorclrevpwd
の説明がありますが、一方向および双方向SSL認証方式でこの属性を問い合せることができるという記述は間違いです。実際には、orclrevpwd
を問い合せることは一切できません。