この章では、次の項でOracle Platform Security Services(OPSS)に関連するトピックについて説明します。
この章に含まれるトピックには次のドキュメントが関連します。
『Oracle Fusion Middlewareセキュリティ・ガイド』
『Oracle Fusion Middlewareセキュリティ概要』
Oracle Fusion Middlewareの管理者ガイド
Oracle Fusion Middleware Authorization Policy Manager管理者ガイド
この項では、構成に関する問題およびその回避方法について説明します。内容は次のとおりです。
この項では、Oracle Fusion Middleware Audit Frameworkの構成に関する問題について説明します。内容は次のとおりです。
Oracle Enterprise Manager Fusion Middleware ControlではOracle Access Managerはコンポーネントの1つとして表示されますが、Fusion Middleware Controlを使用してOracle Access Managerの監査を構成することはできません。
Oracle Business Intelligence Publisherでパッケージ化された標準の監査レポートでは、管理者が使用する数多くの言語がサポートされます。Oracle Business Intelligence Publisherは、様々なロケールで起動できます。管理者は「プリファレンス」で優先ロケールを設定することによって、選択した言語を起動時に指定できます。
不具合のため、Oracle Business Intelligence Publisherが次の3つのロケールのいずれかで起動されると
zh_CN(簡体字中国語)
zh_TW(繁体字中国語)
pt_BR(ポルトガル語(ブラジル))
これら以外のロケールでは予期したとおりに翻訳されたテキストが表示されますが、これら3つのロケールの言語ではレポートを表示できません(ラベル、ヘッダー、タイトルなどのレポート全体が英語で表示されます)。たとえば、Oracle Business Intelligence Publisherをzh_CNで起動すると、優先ロケールがzh_CNに設定されていても、テキストをzh_CNで表示できません。情報は英語で表示されます。
この問題は、Oracle Business Intelligence Publisherの今後のリリースで修正される予定です。
Oracle Business Intelligence Publisherにパッケージされている標準監査レポートでは、多数の言語がサポートされます。
不具合のため、翻訳されている場合でも、レポート・タイトルと説明が英語で表示されます。
この問題は、Oracle Business Intelligence Publisherの今後のリリースで修正される予定です。
PS3に対してRCUが実行されると、監査スキーマの作成が完了し、作成のステータスは「success
」になります。ただし、RCUによって呼び出されるSTS.sql
スクリプトの表記上の問題が原因でSTS表は作成されません。
表を作成できなかったことを示す情報が見つかるのは、iau.log
ファイルが調べられたか、作成した表に限定して検索した場合のみです。
この問題のため、リリース11g PS3の完全インストールでは、監査スキーマを作成することを選択し、このスキーマの使用を計画している場合は、STS表が作成されていることを明示的に確認する必要があります。
この問題を解決するには、RCUがPS3に対してすでに実行されているかどうかに応じて、2つのオプションを選択できます。
オプション1
RCUがPS3に対してまだ実行されていない場合、このオプションを使用します。手順は次のとおりです。
次のファイルを開いて編集します。
$RCU_HOME/rcu/integration/iau/scripts/STS.sql
STS.sql
内の行番号48のカンマを削除します。
ファイルを保存し、閉じます。
次のファイルを開いて編集します。
$RCU_HOME/rcu/integration/iau/iau.xml
文字列11.1.1.3.0
を検索し、これを文字列11.1.1.4.0
に置き換えます。
ファイルを保存し、閉じます。
RCUを実行します。
オプション2
RCUがPS3に対してすでに実行されている場合、このオプションを使用します。手順は次のとおりです。
次のファイルを開いて編集します。
$COMMON_COMPONENTS_HOME/modules/oracle.iau_11.1.1/sql/scripts/STS.sql
STS.sql
内の行番号48のカンマを削除します。
ファイルを保存し、閉じます。
STS.sql
をコピーし、これが実行される場所に貼り付けます。
sysdba
として接続し、次のSQLコマンドを実行します。
sqlplus> connect /as sysdba; sqlplus> alter session set current_schema=audit_schema_user; sqlplus> @@STS.sql audit_schema_user audit_schema_user_Append audit_schema_user_Viewer
audit_schema_userは監査スキーマ・ユーザーの名前に置き換えます。
このノートでは、監査スキーマをPS1またはPS2からPS3にアップグレードする場合(この場合のみ)に適用する際に必要な回避方法について説明します。次の回避方法は、パッチ・セット・アシスタント(PSA)を実行する前に実行する必要があります。
回避方法を実装するには、次の手順を実行します。
コピー
$COMMON_COMPONENTS_HOME/modules/oracle.iau_11.1.1/sql/scripts/STS.sql
次のように変更します。
$COMMON_COMPONENTS_HOME/common/sql/iau/upgrade/STS.sql
コピーしたファイルを開いて編集します。
行番号48のカンマを削除します。
ファイルを保存し、閉じます。
次のファイルを開いて編集します。
$COMMON_COMPONENTS_HOME/common/sql/iau/upgrade/ iau111134.sql $COMMON_COMPONENTS_HOME/common/sql/iau/upgrade/ iau11114.sql
次の各行を処理します。
行ALTER TABLE OAM ADD IAU_ResourceTemplateName VARCHAR(100);
を削除します。
行ALTER TABLE OAM ADD IAU_AdditionalInfo CLOB
の直前に次の行を挿入します。
RENAME COLUMN IAU_AdditionalInfo TO IAU_AdditionalInfo_OLD;
編集した両ファイルを保存して閉じます。
この時点で、PSAを使用できるようになります。
11gR1では、XMLをLDAPストアに再関連付けする処理により、末尾の新規行文字\nまたはその等価コード
を使用して、ブートストラップ・キーが作成されます。このキー値は、ファイルjps-config.xml
に書き込まれてウォレットに格納されます。両方の場所で、キー値の末尾には文字\nが含まれます。
同じウォレットを11gR1 PS1で再利用した場合、ブートストラップ・キーの取得時にシステムによって末尾の\n文字が削除されますが、ウォレット内のキー値には末尾の文字が含まれたままになります。リクエストされるキー値と格納されているキー値が一致しなくなるため、この状況はエラーにつながります。
この問題を解決するには、次の手順を行います。
WLSTコマンドmodifyBootStrapCredential
を使用して、末尾に\nを使用せずにウォレットの資格証明を再プロビジョニングします。コマンドの使用方法は、『Oracle Fusion Middlewareセキュリティ・ガイド』の9.5.2.5項を参照してください。
ファイルjps-config.xml
を手動で編集して、末尾の文字
をブートストラップ・キーから削除します。
この問題が発生するのは、前述のシナリオの場合、つまり11gR1のウォレットを11gR1 PS1で再利用した場合のみです。具体的には、11gR1 PS1環境での再関連付けの際は、前述の末尾文字は問題になりません。
同じユーザー名が複数のLDAPリポジトリ内に存在するときに、プロパティ仮想化でLibOVDを使用するよう設定されている場合、この名前に対する問合せが実行されると、ユーザーおよびロールAPIによってこれらの1つのリポジトリのみのデータが戻されます。
LinuxおよびWindowsプラットフォームで、ロケールがfr_FR_iso88591
などのUTF8以外のロケールに設定されている場合、OPSSスクリプトlistAppRoles
は、予想される文字ではなく、文字「?」を間違って出力する可能性があります。
この項では、Authorization Policy Managerに関する問題およびその回避方法について説明します。内容は次のとおりです。
27.2.2項「Authorization Policy Managerの一部のエラー/警告がサーバー・ロケールで表示される」
27.2.4項「Authorization Policy Managerのパッチのインストールが64ビットのオペレーティング・システムで失敗する」
アプリケーション・ロール検索の実行時に
An error has occurred. Please view the logs for details
というメッセージを含むエラーが発生し、(ファイルapm_server1-diagnostic.log
に)記録されたエラーに、次のフラグメントのようにPolicyStoreOperatioNotAllowedException
が含まれる場合があります。
[2010-03-02T22:06:29.998-08:00] [apm_server1] [ERROR] [] [oracle.security.apm] [tid: [ACTIVE].ExecuteThread: '4' for queue: 'weblogic.kernel.Default (self-tuning)'] [userId: weblogic] [ecid: 0000ISYcUY2B1FcpPg1Fid1BXsJn00006W,0] [APP: oracle.security.apm] PolicyStoreException while calling searchAppRole[[ oracle.security.jps.service.policystore.PolicyStoreOperationNotAllowedExceptio n: javax.naming.OperationNotSupportedException: [LDAP: error code 53 - Parent entry not found in the directory.];...
このような場合は、操作を再試行するとエラーなしで実行されます。
Authorization Policy Managerのエラーおよび警告は、ブラウザのロケールではなくサーバーのロケールで表示されます。この問題の回避方法はありません。
Authorization Policy Managerのコンポーネントでは、次のバージョンのInternet Protocolがサポートされます。
Oracle Database(IPv4ホスト上)
Authorization Policy Managerサーバー(IPv4/IPv6デュアルスタック・ホスト上)
クライアント(ブラウザ)(IPv4またはIPv6ホスト上)
WindowsまたはUNIX/Linuxの64ビット・オペレーティング・システムでこの問題を回避するには、次の手順を行います。
パッチに含まれるREADME.TXTファイルの説明に従って、変数ORACLE_HOMEおよびPATHを設定します。
次に示すどちらかの起動でOPatch
を実行します。
> OPatch -jre <64-bit java home location> lsinventory > OPatch -jdk <64-bit java home location> lsinventory
正常に実行された場合はOpatch succeededが返されます。それ以外の場合は、渡された場所が有効かどうかを確認します。
ディレクトリをパッチの場所に変更します。
> cd <patch location>
次に示すどちらかの起動でOPatch
を実行します。
> OPatch -jre <64-bit java home location> apply > OPatch -jdk <64-bit java home location> apply