27 Oracle Platform Security Services

この章では、次の項でOracle Platform Security Services(OPSS)に関連するトピックについて説明します。

• 27.1項「構成の問題および回避方法」

• 27.2項「Authorization Policy Managerの問題」

• 27.3項「ドキュメントの訂正箇所」

この章に含まれるトピックには次のドキュメントが関連します。

• 『Oracle Fusion Middlewareセキュリティ・ガイド』

• 『Oracle Fusion Middlewareセキュリティ概要』

• Oracle Fusion Middlewareの管理者ガイド

• Oracle Fusion Middleware Authorization Policy Manager管理者ガイド

27.1 構成の問題および回避方法

この項では、構成に関する問題およびその回避方法について説明します。内容は次のとおりです。

• 27.1.1項「Oracle Fusion Middleware Audit Framework」

• 27.1.2項「ブートストラップ・キーの末尾の\n文字」

• 27.1.3項「複数のアイデンティティ・ストアでユーザーの名前が同じである」

• 27.1.4項「Script listAppRolesが出力する文字が正しくない」

27.1.1 Oracle Fusion Middleware監査フレームワーク

この項では、Oracle Fusion Middleware Audit Frameworkの構成に関する問題について説明します。内容は次のとおりです。

• 27.1.1.1項「Oracle Access Managerの監査の構成」

• 27.1.1.2項「特定のロケールで監査レポートに翻訳されたテキストが表示されない」

• 27.1.1.3項「監査レポートが常に英語で表示される」

• 27.1.1.4項「新しい監査スキーマの作成」

• 27.1.1.5項「監査スキーマのアップグレード」

27.1.1.1 Oracle Access Managerの監査の構成

Oracle Enterprise Manager Fusion Middleware ControlではOracle Access Managerはコンポーネントの1つとして表示されますが、Fusion Middleware Controlを使用してOracle Access Managerの監査を構成することはできません。

27.1.1.2 特定のロケールで監査レポートに翻訳されたテキストが表示されない

Oracle Business Intelligence Publisherでパッケージ化された標準の監査レポートでは、管理者が使用する数多くの言語がサポートされます。Oracle Business Intelligence Publisherは、様々なロケールで起動できます。管理者は「プリファレンス」で優先ロケールを設定することによって、選択した言語を起動時に指定できます。

不具合のため、Oracle Business Intelligence Publisherが次の3つのロケールのいずれかで起動されると

• zh_CN(簡体字中国語)

• zh_TW(繁体字中国語)

• pt_BR(ポルトガル語(ブラジル))

これら以外のロケールでは予期したとおりに翻訳されたテキストが表示されますが、これら3つのロケールの言語ではレポートを表示できません(ラベル、ヘッダー、タイトルなどのレポート全体が英語で表示されます)。たとえば、Oracle Business Intelligence Publisherをzh_CNで起動すると、優先ロケールがzh_CNに設定されていても、テキストをzh_CNで表示できません。情報は英語で表示されます。

この問題は、Oracle Business Intelligence Publisherの今後のリリースで修正される予定です。

27.1.1.3 監査レポートが常に英語で表示される

Oracle Business Intelligence Publisherにパッケージされている標準監査レポートでは、多数の言語がサポートされます。

不具合のため、翻訳されている場合でも、レポート・タイトルと説明が英語で表示されます。

この問題は、Oracle Business Intelligence Publisherの今後のリリースで修正される予定です。

27.1.1.4 新しい監査スキーマの作成

PS3に対してRCUが実行されると、監査スキーマの作成が完了し、作成のステータスは「success」になります。ただし、RCUによって呼び出されるSTS.sqlスクリプトの表記上の問題が原因でSTS表は作成されません。

表を作成できなかったことを示す情報が見つかるのは、iau.logファイルが調べられたか、作成した表に限定して検索した場合のみです。

この問題のため、リリース11g PS3の完全インストールでは、監査スキーマを作成することを選択し、このスキーマの使用を計画している場合は、STS表が作成されていることを明示的に確認する必要があります。

この問題を解決するには、RCUがPS3に対してすでに実行されているかどうかに応じて、2つのオプションを選択できます。

オプション1

RCUがPS3に対してまだ実行されていない場合、このオプションを使用します。手順は次のとおりです。

1. 次のファイルを開いて編集します。

   $RCU_HOME/rcu/integration/iau/scripts/STS.sql 
   

2. STS.sql内の行番号48のカンマを削除します。

3. ファイルを保存し、閉じます。

4. 次のファイルを開いて編集します。

   $RCU_HOME/rcu/integration/iau/iau.xml
   

5. 文字列11.1.1.3.0を検索し、これを文字列11.1.1.4.0に置き換えます。

6. ファイルを保存し、閉じます。

7. RCUを実行します。

オプション2

RCUがPS3に対してすでに実行されている場合、このオプションを使用します。手順は次のとおりです。

1. 次のファイルを開いて編集します。

   $COMMON_COMPONENTS_HOME/modules/oracle.iau_11.1.1/sql/scripts/STS.sql 
   

2. STS.sql内の行番号48のカンマを削除します。

3. ファイルを保存し、閉じます。

4. STS.sqlをコピーし、これが実行される場所に貼り付けます。

5. sysdbaとして接続し、次のSQLコマンドを実行します。

   sqlplus> connect /as sysdba;
   sqlplus> alter session set current_schema=audit_schema_user;
   sqlplus> @@STS.sql audit_schema_user audit_schema_user_Append
   audit_schema_user_Viewer
   

   audit_schema_userは監査スキーマ・ユーザーの名前に置き換えます。

27.1.1.5 監査スキーマのアップグレード

このノートでは、監査スキーマをPS1またはPS2からPS3にアップグレードする場合(この場合のみ)に適用する際に必要な回避方法について説明します。次の回避方法は、パッチ・セット・アシスタント(PSA)を実行する前に実行する必要があります。

回避方法を実装するには、次の手順を実行します。

1. コピー

   $COMMON_COMPONENTS_HOME/modules/oracle.iau_11.1.1/sql/scripts/STS.sql
   

   次のように変更します。

   $COMMON_COMPONENTS_HOME/common/sql/iau/upgrade/STS.sql
   

2. コピーしたファイルを開いて編集します。

3. 行番号48のカンマを削除します。

4. ファイルを保存し、閉じます。

5. 次のファイルを開いて編集します。

   $COMMON_COMPONENTS_HOME/common/sql/iau/upgrade/ iau111134.sql
   $COMMON_COMPONENTS_HOME/common/sql/iau/upgrade/ iau11114.sql
   

6. 次の各行を処理します。

   • 行ALTER TABLE OAM ADD IAU_ResourceTemplateName VARCHAR(100);を削除します。

   • 行ALTER TABLE OAM ADD IAU_AdditionalInfo CLOBの直前に次の行を挿入します。

     RENAME COLUMN IAU_AdditionalInfo TO IAU_AdditionalInfo_OLD;
     

7. 編集した両ファイルを保存して閉じます。

8. この時点で、PSAを使用できるようになります。

27.1.2 ブートストラップ・キーの末尾の\n文字

11gR1では、XMLをLDAPストアに再関連付けする処理により、末尾の新規行文字\nまたはその等価コード&#xAを使用して、ブートストラップ・キーが作成されます。このキー値は、ファイルjps-config.xmlに書き込まれてウォレットに格納されます。両方の場所で、キー値の末尾には文字\nが含まれます。

同じウォレットを11gR1 PS1で再利用した場合、ブートストラップ・キーの取得時にシステムによって末尾の\n文字が削除されますが、ウォレット内のキー値には末尾の文字が含まれたままになります。リクエストされるキー値と格納されているキー値が一致しなくなるため、この状況はエラーにつながります。

この問題を解決するには、次の手順を行います。

1. WLSTコマンドmodifyBootStrapCredentialを使用して、末尾に\nを使用せずにウォレットの資格証明を再プロビジョニングします。コマンドの使用方法は、『Oracle Fusion Middlewareセキュリティ・ガイド』の9.5.2.5項を参照してください。

2. ファイルjps-config.xmlを手動で編集して、末尾の文字&#xAをブートストラップ・キーから削除します。

この問題が発生するのは、前述のシナリオの場合、つまり11gR1のウォレットを11gR1 PS1で再利用した場合のみです。具体的には、11gR1 PS1環境での再関連付けの際は、前述の末尾文字は問題になりません。

27.1.3 複数のアイデンティティ・ストアでユーザーの名前が同じである

同じユーザー名が複数のLDAPリポジトリ内に存在するときに、プロパティ仮想化でLibOVDを使用するよう設定されている場合、この名前に対する問合せが実行されると、ユーザーおよびロールAPIによってこれらの1つのリポジトリのみのデータが戻されます。

27.1.4 スクリプトlistAppRolesが出力する文字が正しくない

LinuxおよびWindowsプラットフォームで、ロケールがfr_FR_iso88591などのUTF8以外のロケールに設定されている場合、OPSSスクリプトlistAppRolesは、予想される文字ではなく、文字「?」を間違って出力する可能性があります。

27.2 Authorization Policy Managerの問題

この項では、Authorization Policy Managerに関する問題およびその回避方法について説明します。内容は次のとおりです。

• 27.2.1項「アプリケーション・ロール検索時のエラー・メッセージ」

• 27.2.2項「Authorization Policy Managerの一部のエラー/警告がサーバー・ロケールで表示される」

• 27.2.3項「Internet Protocolのサポート」

• 27.2.4項「Authorization Policy Managerのパッチのインストールが64ビットのオペレーティング・システムで失敗する」

27.2.1 アプリケーション・ロール検索時のエラー・メッセージ

アプリケーション・ロール検索の実行時に

An error has occurred. Please view the logs for details

というメッセージを含むエラーが発生し、(ファイルapm_server1-diagnostic.logに)記録されたエラーに、次のフラグメントのようにPolicyStoreOperatioNotAllowedExceptionが含まれる場合があります。

[2010-03-02T22:06:29.998-08:00] [apm_server1] [ERROR] [] 
[oracle.security.apm] [tid: [ACTIVE].ExecuteThread: '4' for queue: 
'weblogic.kernel.Default (self-tuning)'] [userId: weblogic] [ecid: 
0000ISYcUY2B1FcpPg1Fid1BXsJn00006W,0] [APP: oracle.security.apm]   
PolicyStoreException while calling searchAppRole[[ 
oracle.security.jps.service.policystore.PolicyStoreOperationNotAllowedExceptio
n: javax.naming.OperationNotSupportedException: [LDAP: error code 53 - Parent 
entry not found in the directory.];... 

このような場合は、操作を再試行するとエラーなしで実行されます。

27.2.2 Authorization Policy Managerの一部のエラー/警告がサーバー・ロケールで表示される

Authorization Policy Managerのエラーおよび警告は、ブラウザのロケールではなくサーバーのロケールで表示されます。この問題の回避方法はありません。

27.2.3 Internet Protocolのサポート

Authorization Policy Managerのコンポーネントでは、次のバージョンのInternet Protocolがサポートされます。

• Oracle Database(IPv4ホスト上)

• Authorization Policy Managerサーバー(IPv4/IPv6デュアルスタック・ホスト上)

• クライアント(ブラウザ)(IPv4またはIPv6ホスト上)

27.2.4 Authorization Policy Managerのパッチのインストールが64ビットのオペレーティング・システムで失敗する

WindowsまたはUNIX/Linuxの64ビット・オペレーティング・システムでこの問題を回避するには、次の手順を行います。

1. パッチに含まれるREADME.TXTファイルの説明に従って、変数ORACLE_HOMEおよびPATHを設定します。

2. 次に示すどちらかの起動でOPatchを実行します。

   > OPatch -jre <64-bit java home location> lsinventory
   > OPatch -jdk <64-bit java home location> lsinventory
   

   正常に実行された場合はOpatch succeededが返されます。それ以外の場合は、渡された場所が有効かどうかを確認します。

3. ディレクトリをパッチの場所に変更します。

   > cd <patch location>
   

4. 次に示すどちらかの起動でOPatchを実行します。

   > OPatch -jre <64-bit java home location> apply
   > OPatch -jdk <64-bit java home location> apply
   

27.3 ドキュメントの訂正箇所

この項では、ドキュメントの訂正箇所について説明します。内容は次のとおりです。

• 27.3.1項「アイデンティティ・ストア・サービスのパラメータ」

27.3.1 アイデンティティ・ストア・サービスのパラメータ

『Oracle Fusion Middlewareセキュリティ・ガイド』の構成内容に関する項で、表7-1の直下の説明のタイトルを「フロントエンド・パラメータ」から「接続/バックエンド・パラメータ」に変更してください。