| Oracle® Fusion Middlewareリリース・ノート 11gリリース1 (11.1.1) for Linux x86 B55924-09 |
|
 前 |
 次 |
この章では、次の項でOracle Platform Security Services (OPSS)に関連するトピックについて説明します。
この章に含まれるトピックには次のドキュメントが関連します。
Oracle Fusion Middlewareセキュリティ・ガイド
Oracle Fusion Middleware管理者ガイド
Oracle Fusion Middleware Authorization Policy Manager管理者ガイド
この項では、構成に関する問題およびその回避策について説明します。内容は次のとおりです。
この項では、Oracle Fusion Middleware Audit Frameworkの構成に関する問題について説明します。次のトピックが含まれます:
Oracle Enterprise Manager Fusion Middleware ControlではOracle Access Managerはコンポーネントの1つとして表示されますが、Fusion Middleware Controlを使用してOracle Access Managerの監査を構成することはできません。
Oracle Business Intelligence Publisherでパッケージ化された標準の監査レポートでは、管理者が使用する数多くの言語がサポートされます。Oracle Business Intelligence Publisherは、様々なロケールで起動できます。管理者は「プリファレンス」で優先ロケールを設定することによって、選択した言語を起動時に指定できます。
不具合のため、Oracle Business Intelligence Publisherが次の3つのロケールのいずれかで起動されると
zh_CN(簡体字中国語)
zh_TW(繁体字中国語)
pt_BR(ポルトガル語(ブラジル))
これら以外のロケールでは予期したとおりに翻訳されたテキストが表示されますが、これら3つのロケールの言語ではレポートを表示できません(ラベル、ヘッダー、タイトルなどのレポート全体が英語で表示されます)。たとえば、Oracle Business Intelligence Publisherをzh_CNで起動すると、優先ロケールがzh_CNに設定されていても、テキストをzh_CNで表示できません。情報は英語で表示されます。
この問題は、Oracle Business Intelligence Publisherの今後のリリースで修正される予定です。
Oracle Business Intelligence Publisherにパッケージされている標準監査レポートでは、多数の言語がサポートされます。
不具合のため、翻訳されている場合でも、レポート・タイトルと説明が英語で表示されます。
この問題は、Oracle Business Intelligence Publisherの今後のリリースで修正される予定です。
11gR1では、XMLをLDAPストアに再関連付けする処理により、末尾の新規行文字\nまたはその等価コード
を使用して、ブートストラップ・キーが作成されます。このキー値は、ファイルjps-config.xmlに書き込まれてウォレットに格納されます。両方の場所で、キー値の末尾には文字\nが含まれます。
同じウォレットを11gR1 PS1で再利用した場合、ブートストラップ・キーの取得時にシステムによって末尾の\n文字が削除されますが、ウォレット内のキー値には末尾の文字が含まれたままになります。リクエストされるキー値と格納されているキー値が一致しなくなるため、この状況はエラーにつながります。
この問題を解決するには、次の手順を行います。
WLSTコマンドmodifyBootStrapCredentialを使用して、末尾に\nを使用せずにウォレットの資格証明を再プロビジョニングします。コマンドの使用方法は、『Oracle Fusion Middlewareセキュリティ・ガイド』の9.5.2.5項を参照してください。
ファイルjps-config.xmlを手動で編集して、末尾の文字
をブートストラップ・キーから削除します。
この問題が発生するのは、前述のシナリオの場合、つまり11gR1のウォレットを11gR1 PS1で再利用した場合のみです。具体的には、11gR1 PS1環境での再関連付けの際は、前述の末尾文字は問題になりません。
同じユーザー名が複数のLDAPリポジトリ内に存在するときに、プロパティ仮想化でLibOVDを使用するよう設定されている場合、この名前に対する問合せが実行されると、ユーザーおよびロールAPIによってこれらの1つのリポジトリのみのデータが戻されます。
LinuxおよびWindowsプラットフォームで、ロケールがfr_FR_iso88591などのUTF8以外のロケールに設定されている場合、OPSSスクリプトlistAppRolesは、予想される文字ではなく、文字「?」を間違って出力する可能性があります。
この項では、次の追加情報、修正情報および新情報を示します。
次の新情報は、19.3.1.2項に属するものです。
即時利用可能な構成では、トークン発行者名およびキー別名はWebLogicサーバー名に基づいていることを前提としています。WebSphereでは、キー別名サーバー名はWebSphereサーバー・ルートに基づいて設定されます。たとえば、サーバー・ルートが$T_WORK/middleware/was_profiles/DefaultTopology/was_as/JrfServerの場合、サーバー名はJrfServerに設定されます。デフォルト値を変更するには、19.3.12項で説明されている手順を使用します。
次のサンプルは、クライアント・アプリケーションを示しています。jps-api.jarファイルおよびOSDT jarsのosdt_ws_sx.jar、osdt_core.jar、osdt_xmlsec.jar、osdt_saml2.jarは、コード・サンプルがコンパイルするクラスパスに含める必要があります。
WebLogicサーバー名をjrfServer_adminとした場合、次のコマンドは、生成されたファイルdefault-keystore.jksによって表される、キーストアの作成を示しています。
この項の情報は新しく、スクリプトを使用したjps-config.xmlファイルのトラスト・サービス構成パラメータの変更方法について説明しています。
パラメータtrust.aliasNameおよびtrust.issuerNameの初期状態の値はWebLogicサーバー名に設定されています。これらの値をデプロイ固有の値に変更するには、次のようなスクリプトを使用します。
import sys
wlsAdmin = 'weblogic'
wlsPwd ='password_value'
wlUrl='t3://localhost:7001'
issuer= 'issuer'
alias = 'alias'
print "OPSS Trust Service provider configuration management script.\n"
instance = 'trust.provider'
name = 'trust.provider.embedded'
cfgProps = HashMap()
cfgProps.put("trust.issuerName", issuer)
cfgProps.put("trust.aliasName", alias)
pm = PortableMap(cfgProps);
connect(wlsAdmin, wlsPwd, wlUrl)
domainRuntime()
params = [instance, name, pm.toCompositeData(None)]
sign = ["java.lang.String", "java.lang.String", "javax.management.openmbean.CompositeData"]
on = ObjectName("com.oracle.jps:type=JpsConfig")
mbs.invoke(on, "updateTrustServiceConfig", params, sign)
mbs.invoke(on, "persist", None, None)
print "Done.\n"
WebSphere Application Serverで、すぐに使用できる構成ファイルjps-config.xmlにアイデンティティ・ストアのプロパティのエントリがありません。インストール後に追加されたアイデンティティ・ストアがLDAPベースのアイデンティティ・ストアである場合、次のプロパティを、アイデンティティ・ストア・サービス・インスタンス要素内のjps-config.xmlファイルに手動で挿入する必要があります。
<property name="CONNECTION_POOL_CLASS"
value="oracle.security.idm.providers.stdldap.JNDIPool"/>
この問題を回避するには、次の手順を行います。
サーバーを停止します。
ファイルwas_profile_dir/config/cells/cell_name/fmwconfig/jps-config.xmlを編集用に開きます。ここでwas_profile_dirおよびcell_nameはシステム上のプロファイルのディレクトリ名とセル名を表します。
欠落したプロパティCONNECTION_POOL_CLASSをアイデンティティ・ストア・サービス・インスタンスの構成に挿入します。
ファイルを保存してサーバーを再起動します。
この項では、ドキュメントの訂正箇所について説明します。内容は次のとおりです。
この注記には、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』(原本部品番号E10043-10)の2.8項「ロール・カテゴリ」で説明されているように、ロール・カテゴリの正しい構成が含まれます。
2.8項に示したjazn-data.xml内の要素<role-category>の構成は、次で置き換えられる必要があります。
<app-roles>
<app-role>
<name>AppRole_READONLY</name>
<display-name>display name</display-name>
<description>description</description>
<class>oracle.security.jps.service.policystore.ApplicationRole</class>
<extended-attributes>
<attribute>
<name>ROLE_CATEGORY</name>
<values>
<value>RC_READONLY</value>
</values>
</attribute>
</extended-attributes>
</app-role>
</app-roles>
<role-categories>
<role-category>
<name>RC_READONLY</name>
<display-name>RC_READONLY display name</display-name>
<description>RC_READONLY description</description>
</role-category>
</role-categories>
この修正の重要な点は次のとおりです。
ロール・カテゴリのメンバーは<role-category>要素内で構成されませんが、対応するアプリケーション・ロールの要素<extended-attributes>内で構成されます。
この注意では、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』(原本部品番号E10043-11)のC.4.5項「setAuditRepository」の誤りを修正します。
この例には次の行があります。
setAuditRepository(switchToDB='true',dataSourceName='jdbcAuditDB',interval='14')
'jdbcAuditDB'を、'jdbc/AuditDB'を読み取るように変更します。
『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』(原本部品番号E10043-11)の11.1.3項「ドメイン信頼ストア」で、次の注意書きをこの項の先頭に挿入します。
|
注意: Demo CAには、既知のハードコードされた秘密鍵があります。Demo CAで署名された証明書は信用しないよう注意してください。そのため、信頼ストアのDemo CA証明書は本番では使用しないでください。これは、本番のドメイン信頼ストアから削除する必要があります。 |
