この章では、Oracle Identity and Access Management 11gリリース2 (11.1.2)のインストールと構成プロセスに関連する問題について説明します。内容は次のとおりです。
この項では、一般的な問題および回避方法について説明します。内容は次のとおりです。
WindowsマシンとOracle Identity Managerサーバーの間にファイアウォールがあるマシンにOracle Identity Manager Design Consoleをインストールしようとするとき、config.cmd
コマンドを実行すると次のエラー・メッセージが表示されます。
Error in validating the Hostname field value.Entered host is not up and running
Oracle Identity Manager Design Consoleをインストールするには、ファイアウォールのポート7を開く必要があります。
スクリプト$<ORACLE_HOME>/bin/config.sh
を実行しているとき、AIX上でJDK7を使用してOracle Identity Manager構成ウィザードを起動できません。
-jreLoc
オプションをコマンドラインに追加すると、Oracle Universal Installerウィンドウが表示されます: $<ORACLE_HOME>/bin/config.sh -jreLoc <JRE_HOME>
AIXでは、簡易セキュリティ・モードは、Oracle Access Managementサーバー11.1.2と連動しません。
回避方法: オープン
または証明書
セキュリティ・モードのいずれかを使用します。
Fusion Middleware構成ウィザードでは、Weblogicパスワードを「管理者ユーザー名およびパスワードの構成」画面で追加できません。
回避方法:
Weblogicユーザー・パスワードの入力を求めるプロンプトが表示されたとき、パスワードを入力できない場合があります。「次へ」をクリックして、次の画面に進みます。次のエラーのプロンプトが表示されます: 「パスワードは空にできません。」。前の画面に戻り、再びパスワードを入力します。
注意: Oracle Fusion Middleware構成ウィザードを実行する前に、次の製品をインストール済であることを確認してください。
|
Oracle Identity ManagerとOracle Access Managementのドメイン結合シナリオでは、Oracle Platform Security Services構成で構成されたキーストア・ファイルは存在しませんが、パスワードは、資格証明ストア・フレームワーク・ストアのOIMインストールから入手できます。したがって、Oracle Access Managementサーバーがキーストア・ファイルを格納しようとすると、キーがすでに存在するために失敗します。
回避方法:
管理サーバーを起動する前に、キーストア・ファイルをOracle Identity ManagerドメインからOracle Access Managementドメインのキーストア・ファイルの場所にコピーします。
例: デフォルトのキーストア(.jks
)ファイルを<OIM domain>/config/fmwconfig
から<OAM domain>/config/fmwconfig
にコピーします。
注意: このステップは、 |
Oracle Identity Managerドメインで、jps-config.xml
のデフォルトのコンテキストを探します。
ここで、キーストア・サービスおよびキーストア・ファイルの場所を探します。
このキーストア(.jks
)ファイルをOracle Platform Security Services (jps-config.xml
)構成のOracle Access Managementドメインのキーストアの場所で定義した場所にコピーします。
Oracle Access Management管理コンソール・ログのポリシーを編集しようとすると、Oracle Access Management管理対象サーバー・ログに次のエラーが表示されます。
<oracle.jps.policymgmt> <JPS-10606> <Failed to distribute policy to PDP OracleIDM for catch exception oracle.security.jps.service.policystore.PolicyStoreException: JPS-04028: Application with name "cn=OAM11gApplication,cn=jpsXmlFarm,cn=JPSContext,cn=jpsXmlRoot" does not exist..>
この例外は、サーバーがアイドル状態の場合でも10分ごとに表示されます。
回避方法:
pdp.service
インスタンス・プロパティから-C
オプションを指定してインストールした後に、jps-config.xml
ファイルから次のプロパティを削除します。
<property name="oracle.security.jps.pdp.AuthorizationDecisionCacheEnabled" value="false"/> <property name="oracle.security.jps.ldap.policystore.refresh.interval" value="10000"/>
pdp.service
インスタンス・プロパティに次の新しいプロパティを追加します。
<property name="oracle.security.jps.pd.client.PollingTimerInterval" value="10"/>
値は秒単位で、Oracle Access Managementに必要な適切な値を設定します。その変更は、Oracle Identity ManagerまたはOracle Access Managerと同様にOracle Identity Managementインストールに対してのみ行う必要があります。
次に、configSecurityStore
コマンド実行後のjps-config.xml
ファイルのpdp.service
インスタンスの例を示します。
<serviceInstance name="pdp.service" provider="pdp.service.provider"> <description>Runtime PDP service instance</description> <property name="oracle.security.jps.runtime.pd.client.policyDistributionMode" value="mixed"/> <property name="oracle.security.jps.runtime.instance.name" value="OracleIDM"/> <property name="oracle.security.jps.runtime.pd.client.sm_name" value="OracleIDM"/> <property name="oracle.security.jps.pdp.AuthorizationDecisionCacheEnabled" value="false"/> <property name="oracle.security.jps.policystore.refresh.enable" value="true"/> <property name="oracle.security.jps.ldap.policystore.refresh.interval" value="10000"/> </serviceInstance>
この項では、構成に関する問題およびその回避方法について説明します。内容は次のとおりです。
第2.2.2項「Oracle Access ManagementまたはOracle Identity Managerをインストールした後に実行する必須のステップ」
第2.2.3項「-m Joinを指定してconfigureSecurityStore.pyを実行するときの絶対パスの使用」
第2.2.5項「Oracle Entitlements Server管理テンプレートがすべての管理対象サーバーおよび管理サーバーのSSLを有効にする」
第2.2.7項「Access Policy Managerデプロイメントがクラスタ・シナリオでは管理サーバーを対象にしない」
第2.2.9項「Sun JDK 1.7を使用する場合、configSecurityStore.py
コマンドを実行する前にPKCS11-Solarisセキュリティ・プロバイダを変更する」
config.cmd
コマンドまたはconfig.sh
コマンドを実行してOracle Fusion Middleware構成ウィザードを起動するとき、次のエラー・メッセージが表示されます。
*sys-package-mgr*: can't create package cache dir
このエラー・メッセージは、デフォルトのキャッシュ・ディレクトリが有効でないことを示しています。コマンドラインに-Dpython.cachedir=<valid_directory>
オプションを含めることで、キャッシュ・ディレクトリを変更できます。
Oracle Access Management 11gリリース2 (11.1.2)またはOracle Identity Manager 11gリリース2 (11.1.2)をインストールした後に、次の手順を実行する必要があります。
ドメインの構成
Configsecuritystore
の構成
リカバリおよび参照のためのjps-config.xml
ファイルのjps-config.xml_old
へのコピー
次の手順を実行してjps-config.xml
ファイルを編集
XML要素を探します
<serviceInstance name="pdp.service" provider="pdp.service.provider">
次の 2 つのエントリを削除します。
<property name="oracle.security.jps.pdp.AuthorizationDecisionCacheEnabled" value="false"/> <property name="oracle.security.jps.ldap.policystore.refresh.interval" value="10000"/>
最初の 2 つのプロパティを削除した後、それらのデフォルト値が設定されます。デフォルト値は、それぞれtrue
と600000
(10分)です。
同じセクションに次のエントリを追加します。
<property name="oracle.security.jps.pd.client.PollingTimerInterval" value="31536000"/>
編集したXMLは、次のようになっている必要があります。
<serviceInstance name="pdp.service" provider="pdp.service.provider"> <description>Runtime PDP service instance</description> <property name="oracle.security.jps.runtime.pd.client.policyDistributionMode" value="mixed"/> <property name="oracle.security.jps.runtime.instance.name" value="OracleIDM"/> <property name="oracle.security.jps.runtime.pd.client.sm_name" value="OracleIDM"/> <property name="oracle.security.jps.policystore.refresh.enable" value="true"/> <property name="oracle.security.jps.pd.client.PollingTimerInterval" value="31536000"/> </serviceInstance>
-m join
パラメータを指定してconfigureSecurityStore.py
を実行中にORACLE_HOME
やMW_HOME
などの変数を使用すると、セキュリティ・ストアの構成では、ポリシー・ストア・オブジェクトの作成に失敗します。-m join
パラメータを指定してこのコマンドを実行するときには、ORACLE_HOME
およびMW_HOME
に絶対パスを指定します。
WindowsでconfigSecurityStore.py
コマンドを実行すると、-m
検証オプションは成功しますが、コマンドの終盤で次のエラーが報告されます。
c:\Amy_OPAM\Oracle\Middleware\Oracle_RC3\common\bin>wlst.cmd ..\tools\configureSecurityStore.py -d c:\Amy_OPAM\Oracle\Middleware\user_projects\domains\OPAM_RC3_Domain2 -c IAM -m join -p welcome1 -k c:\Amy_OPAM\software\RC3\ -w welcome1 Error: Failed to join security store, unable to locate diagnostics data. Error: Join operation has failed.
回避方法:
このエラーは無視してください。エラーが報告された場合でも、join
オプションで新たに作成されたサーバーが正常に起動し、リクエストの処理を続行できるため、機能に影響はありません。
構成ウィザードでSSL有効化ボックスを選択しない場合でも、Oracle Entitlements Server管理テンプレートは、すべての管理対象サーバーおよび管理サーバーのSSLを有効にします。
回避方法:
SSLを有効にしない管理対象サーバーまたは管理サーバーを選択します。
構成を編集し、「SSLリスニング・ポートの有効化」チェック・ボックスの選択を解除します。
変更を保存します。
管理サーバーとすべての管理対象サーバーを再起動します。
Weblogic Server構成ウィザードでは、Oracle Access Management、Oracle Adaptive Access ManagerおよびOracle Privileged Account ManagerのAIX7上の1.6.0.9.2 JDKに対して警告CFGFWK-60895
が表示されます。
回避方法:
Weblogic Serverをインストールします。
SOAをインストールします。
Oracle Identity and Access Managementをインストールします。
構成ウィザードを実行します。
Oracle Identity Manager (OIM)ドメインを作成します。
Oracle Access Management、Oracle Adaptive Access ManagerおよびOracle Privileged Account Managerのドメインを作成します。
警告CFGFWK-60895
: 「選択したJDKバージョンは、推奨の最小バージョン未満です」
が表示されます。
「取消し」をクリックして別のJDKを選択するか、「OK」をクリックして同じJDKを続行します。
注意: 警告 |
管理サーバーに対してOracle Entitlements Serverテンプレートを選択すると、デフォルトでは、Access Policy Managerを管理サーバーにデプロイします。
ただし、任意のコンポーネントのクラスタが複数のサーバー・インスタンスで作成される場合、APMは管理サーバーではなく、クラスタ化されたサーバーを対象にします。これにより、クラスタ内のサーバーが管理モードで起動します。
たとえば、Oracle Identity Managerの1つのインスタンス、SOAおよびOracle Access Managementが含まれるドメインがある場合、Access Policy Managerは管理サーバーを対象にします。ただし、Oracle Identity Managerの別のインスタンスが作成されると、ドメイン作成時に2つのインスタンスがあるため、Access Policy Managerは管理サーバーではなく、クラスタ化されたサーバー(この場合、Oracle Identity Manager server)にデプロイされます。
回避方法:
WebLogic管理コンソールにログインします。
「デプロイメント」をクリックします。
「oracle.security.apm (11.1.1.3.0)」をクリックします。
「ターゲット」をクリックします。
「ロックして編集」をクリックします。
「oracle.security.apm (11.1.1.3.0)」を選択します。
「ターゲットの変更」をクリックします。
「AdminServer」を選択します。
「はい」をクリックします。
「変更のアクティブ化」をクリックし、管理サーバーを再起動します。
Weblogic Server (10.3.5.0)にOracle Identity Managerをインストールすると、次の例外が発生してリクエストが失敗します。
Unable to instantiate the workflow process due to: Tasklist mapping failed for workflowdefinition: default/DefaultRequestApproval!1.0 due to oracle.bpel.services.workflow.query.ejb.TaskQueryService_oz1ipg_HomeImpl_1035_WLStub cannot be cast to oracle.bpel.services.workflow.query.ejb.TaskQueryServiceRemoteHome.
これは、リクエストの承認の開始時に発生します。
回避方法:
Weblogic Server 10.3.5の場合、パッチ12944361をダウンロードし、インストールする必要があります。Weblogic Server 10.3.6では、このパッチは必要ありません。
configSecurityStore.py
コマンドを実行する前にPKCS11-Solarisセキュリティ・プロバイダを変更するJDK 1.7を使用してSolaris 10 SPARC以降のバージョンにOracle Access Management 11gR2をインストールすると、configSecurityStore.py
コマンドの実行に失敗します。これは、PKCS11-Solarisセキュリティ・プロバイダの実装によって発生します。
回避方法:
$JAVA_HOME/jre/lib/security/java.security
ファイルをバックアップします。
テキスト・エディタで$JAVA_HOME/jre/lib/security/java.security
ファイルを開き、プロバイダ・リストを変更します。
sun.security.pkcs11.SunPKCS11
がプロバイダ・リストの先頭にあることを確認します。次の例に示すようにプロバイダ・リストを変更します。
security.provider.1=sun.security.pkcs11.SunPKCS11 ${java.home}/lib/security/sunpkcs11-solaris.cfg security.provider.2=com.oracle.security.ucrypto.UcryptoProvider ${java.home}/lib/security/ucrypto-solaris.cfg ...
この項では、Oracle Identity Managerをインストールするためにダウンロードする必要があるパッチを説明します。
このパッチは、Oracle Identity and Access Management 11gリリース2 (11.1.2)インストーラを使用してOracle Identity Managerをインストールした後、Oracle Identity Manager構成を起動する前にのみダウンロードする必要があります。
次のパッチが必要です。
14016801: OVDパッチ
14196234: SOAパッチ
14049150: このパッチは、インストール時に自動的に適用されます。
13931550: OAACGパッチ。OAACGでSoDチェックを実行する場合のみ、このパッチをダウンロードします。
パッチをダウンロードするには、次の手順を実行します。
My Oracle Supportにログインします。
「パッチと更新版」をクリックします。
「パッチ名または番号」を選択します。
パッチ番号を入力します。
「検索」をクリックします。
パッチをダウンロードしてインストールします。
この項では、Oracle HTTP ServerでSSLを有効にするためにダウンロードしてインストールする必須パッチを説明します。
プラットフォーム | パッチ |
---|---|
Solaris (64ビット) |
14264658 |
Microsoft Windows x64 (64ビット) |
14264658 |
Solaris x86-64 (64ビット) |
14264658 |
IBM AIX (64ビット) |
14264658 |
Linux x86-64 |
14264658 |
パッチをダウンロードするには、次の手順を実行します。
My Oracle Supportにログインします。
「パッチと更新版」をクリックします。
「パッチ名または番号」を選択します。
パッチ番号を入力します。
「検索」をクリックします。
パッチをダウンロードしてインストールします。
この項では、一般的な情報を提供します。内容は次のとおりです。
ログ・レベルをSEVERE
に変更するには、次の手順を実行します。
Logging.xml
は、すべてのログ・ハンドラおよびロガー(OAM_Server1、OIM_Server1、SOA
)に対してlevel=SEVERE
である必要があります。
Admin Console http://Hostname:port/console
にログインします。
「ロックして編集」をクリックし、ドメインをロック解除します。
「サーバー」リンクをクリックします。
変更するサーバーをクリックします。
「ロギング」をクリックします。
「詳細」をクリックします。
「メッセージの宛先」のログ・レベルを変更するには次のようにします。
メッセージの宛先 | 推奨する重大度レベル | デフォルト設定 |
---|---|---|
ログ・ファイル |
警告 |
トレース |
標準出力 |
エラー |
通知 |
ドメイン・ログ・ブロードキャスタ |
エラー |
通知 |
メモリー・バッファ重大度 |
エラー |
空白 |
「保存」をクリックします。
「変更のアクティブ化」をクリックします。
サーバーを再起動します。
すべての対象サーバー(OAM_Server1、OIM_Server1、SOA
)に対してこのプロセスを繰り返します。
クラスタ化された設定でスケジューラの起動または停止を制御する場合は、scheduler.disabled
システム・プロパティが必要です。クラスタのノードでスケジューラ・サービスを起動しない場合は、scheduler.disabled
システム・プロパティをtrue
に設定する必要があります。また、その逆の場合は、falseに設定します。
Weblogicコンソールを使用してscheduler.disabled
システム・プロパティを変更する手順は次のとおりです。
WebLogic管理者の資格証明を使用して、Oracle WebLogic管理コンソールにログインします。
「ドメイン構造」の下で「環境」→「サーバー」をクリックします。「サーバーのサマリー」ページが表示されます。
Oracle Identity Managerサーバー名(oim_server1
など)をクリックします。oim_server1
の設定が表示されます。
「構成」→「サーバーの起動」をクリックします。
「引数」テキスト・ボックスで、既存のプロパティscheduler.disabled = false/true
を変更します。
「保存」をクリックします。
「変更のアクティブ化」をクリックします。
Oracle Identity Manager管理対象サーバーを再起動します。
注意:
|