Oracle® Fusion Middleware Oracle Privileged Account Manager管理者ガイド 11g リリース2 (11.1.2) B69534-04 |
|
前 |
次 |
この付録では、Oracle Privileged Account Managerの使用時に発生する可能性のある一般的な問題を診断して解決する方法について説明します。
この付録の内容は次のとおりです。
この項では、一般的な問題について説明し、それらの問題を解決するために役立つ情報を提供します。
内容は次のとおりです。
Oracle Privileged Account ManagerコンソールがOracle Privileged Account Managerサーバーに接続できません。
原因
コンソールがOracle Privileged Account Managerサーバーに接続していない場合は、コンソールまたはOracle Platform Security Services Trustに構成上の問題がある可能性があります。
解決策
ホストおよびポート情報が正しいことを確認します。コンソールに表示されている、生成されたURLが応答することを確認します。
『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』のインストール後のタスクに関する項に説明されているすべての構成手順を正しく完了したことを確認します。
複数のブラウザ・ウィンドウがある、または同一のOracle Privileged Account Managerコンソールに対して複数のコンソール・タブが開いている場合は、1つのウィンドウまたはタブで行われた更新は、別のウィンドウやタブに即座には反映されません。
原因
Oracle Privileged Account Managerコンソールでは、更新をブラウザに事前にプッシュしません。
解決策:
ブラウザ・ウィンドウまたはタブをリフレッシュします。
ターゲットや特権アカウントにアクセスしようとすると失敗します。チェックアウト、チェックインまたはテストを実行できません。
原因
Oracle Privileged Account Managerで使用されているICFコネクタに、ターゲット・システムとの相互作用に関する問題があります。
解決策:
ターゲット・システムが起動中で、該当の特権アカウントが存在することを確認します。
Oracle Privileged Account Managerのロギング・レベルをTRACE:32
(最も詳細なレベル)に上げてトレース・ログを確認し、障害の発生箇所を特定します。
不具合が環境上の問題によって発生することはよくあります。これは、トレース・ログを使用して識別し、ターゲット・システムで構成を修正することにより是正できます。詳細は、第6章「Oracle Privileged Account Managerの監査およびロギングの管理」を参照してください。
コネクタに問題がある可能性があります。再現可能なテスト・ケース、ターゲット・システムの詳細およびトレース・ログを含むバグを送信します。
原因
ユーザーがOracle Privileged Account Managerからアウトオブバンドでターゲットのサービス・アカウント・パスワードを変更しました。たとえば、ユーザーが、DBホストを使用して、または別のドメインにある別のOracle Privileged Account Managerインスタンスを使用してパスワードを変更した場合は、元のOracle Privileged Account Managerサーバーの「パスワードの表示」機能によって変更が反映されることはなく、そのターゲットに接続しようとすると失敗します。
解決策
新しいパスワードは、Oracle Privileged Account Managerコンソールまたはコマンドラインを使用してターゲットを編集することにより、更新できます。詳細は、第5.1.3.7項「アカウント・パスワードの管理」または第A.2.31項「resetpassword
コマンド」を参照してください。
この項では、データベース・ターゲットの追加を阻む問題について説明します。
sysdba
ロールでOracle Databaseに接続できないsysdba
ロールを使用してOracle Databaseに接続しようとすると失敗し、次のエラー・メッセージが表示されます。
Invalid Connection Details, see server log for details.
原因
sysdba
ロールを持つユーザーとしてOracle Databaseに接続するには、「拡張プロパティ」オプションを値internal_logon=sysdba
で構成する必要があります。
この設定は、Oracle Database SYS
アカウントにも指定する必要があります。これには、sysdba
ロールで接続する必要があります。Oracle Database SYS
ユーザーは特別なアカウントであるため、このロールを使用しない場合、接続が失敗する可能性があります。ただし、SYS
を使用するかわりに、Oracle Privileged Account Managerサービス・アカウントを作成する方が適しています。
解決策:
次の手順を実行してOracle Databaseにsysdbaロールを持つユーザーとして接続します。
注意: これらの構成手順は、通常のユーザーとして接続している場合には必要ありません。 |
ターゲットの「一般」タブを開き、「拡張構成」を開いて構成オプションを表示します。
internal_logon=sysdba
値を接続プロパティフィールドに入力します。
「テスト」をクリックして接続を再テストします。
変更を保存します。
Oracle RACデータベースなどのデータベース・ターゲットに接続したり、Secure Socket Layer (SSL)を使用するための構成オプションを検出できません。
原因
Oracle Privileged Account Managerでは、汎用的なデータベース・コネクタを使用しています。この場合、特定のデータベース・ターゲット・システムの特別な構成オプションはクリーンで直観的な方法では公開されません。
解決策:
データベース接続URLおよび接続プロパティパラメータ値を変更することにより、データベース・ターゲットの特別な接続オプションを定義します。
注意:
|
接続のテスト、アカウントの検索またはパスワードのチェックアウト時にMicrosoft Active Directoryを使用するLDAPターゲットに障害が発生します。
原因
Active Directoryはデフォルトで特定の構成を必要とするため、LDAPターゲットの汎用的なデフォルト値を変更する必要があります。Oracle Privileged Account Managerでは、汎用LDAPコネクタを使用しています。この場合、特定のLDAPターゲット・システムの特別な構成オプションやカスタムな構成オプションは容易にはわかりません。(通常、問題を引き起こすのはActive Directory LDAPターゲットのみです。)
解決策:
LDAPターゲットを追加する場合は、次を実行する必要があります。
Active Directoryとの通信にSSLを使用します。
SSL証明書をOracle Privileged Account Managerを実行するWebLogicインスタンスにインポートします。詳細は、第7.1項「SSL経由でターゲット・システムと接続するためのOracle Privileged Account Managerの構成」を参照してください。
「ターゲット」ページから、TCPポートをActive Directory SSLポートに設定し、「SSL」チェック・ボックスを有効化します。
次の「拡張構成」パラメータを指定します。
パスワード属性をunicodepwd
に設定します。
「拡張構成」→アカウント・オブジェクト・クラスをtop|person|organizationalPerson|user
に設定します。
Active Directory内のデータに適切な属性(uid
やsamaccountname
など)をアカウント・ユーザー名属性、Uid属性およびアカウント取得用LDAPフィルタの各構成パラメータに指定します。
権限受領者がアカウントをチェックアウトしようとすると、Insufficient Privileges
エラーが発生して失敗します。
原因
Oracle Privileged Account Managerの権限付与ではユーザー名は大文字と小文字が区別されますが、WebLogic認証では常にそうとはかぎりません。
解決策:
製品IDストアに使用されているオーセンティケータの取得したユーザー名をプリンシパルとして使用するオプションを必ず有効化してください。詳細は、第3.3.2項「Oracle Privileged Account Managerの外部アイデンティティ・ストアの構成」を参照してください。
ユーザーまたはグループに対して権限を付与する場合に、構成済のリモートIDストアからのユーザーおよびロールすべては表示できません。
原因
ユーザーやロールを含むアイデンティティ・ストアに対応するオーセンティケータの制御フラグが、SUFFICIENT
に設定されていません。
検索しているユーザーやロールが、プロバイダ・リストに表示されている最初のオーセンティケータに存在しません。
解決策:
次の手順を実行します。
必要なオーセンティケータすべての制御フラグをSUFFICIENT
に設定します。
デフォルトでは、Oracle Privileged Account Managerにより、プロバイダ・リストの最初のオーセンティケータでユーザーやグループが検索されます。ただし、jps-config.xml
のvirtualize
プロパティをtrue
に設定した場合はと、Oracle Privileged Account Managerにより、すべてのLDAPオーセンティケータからエンティティが取得されます。次に例を示します。
<serviceInstance name="idstore.ldap" provider="idstore.ldap.provider"> <property name="idstore.config.provider" value="oracle.security.jps.wls.internal.idstore.WlsLdapIdStoreConfigProvider"/> <property name="CONNECTION_POOL_CLASS" value="oracle.security.idm.providers.stdldap.JNDIPool"/> <property name="virtualize" value="true"/> </serviceInstance>
WebLogicでは、jps-config.xml
ファイルは次の場所にあります。
DOMAIN_HOME/config/fmwconfig
グループ・メンバーシップを通じて権限が間接的に付与されているため、グループ・メンバーシップを更新してもOracle Privileged Account Managerに即座には反映されません。
たとえば、ユーザーをOracle Privileged Account Manager管理ロールに、またはOracle Privileged Account Manager特権アカウントを付与されたグループに割り当てても、その変更を即座に参照できないことがあります。
原因
WebLogicでは、デフォルトで、アイデンティティ・ストア・プロバイダからグループ・メンバーシップをキャッシュします。
解決策:
要件に合うように、WebLogic AuthenticatorおよびAsserterの構成のキャッシング設定を変更します。
注意: 詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverの保護』のグループ・メンバーシップ・キャッシュの最適化に関する項を参照してください。 |
エクスポートまたはインポート操作に、128ビットより大きなサイズの鍵は使用できません。
原因
デフォルトのJREインストールには、Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy Files 6は含まれません。
解決策:
http://www.oracle.com/technetwork/java/javase/downloads/jce-6-download-429243.html
からダウンロード可能なJCEパッチを適用してください。
Oracle Privileged Account Managerエンド・ユーザーは、ユーザーに関連付られているすべてのグループにアクセスできますが、これらのグループへのアクセス権は明示的に付与されていません。
原因
この問題は、次の2つの場合に発生します。
複数の値をそのネーミング値として使用するLDAPグループを通じて、Oracle Privileged Account Managerエンド・ユーザーにアクセス権を付与した場合。
たとえば、CNをそのネーミング属性として使用し、2つのグループAとBを含む環境を構成したとします。グループAにはCN値、cn=GroupAが1つのみ含まれており、グループBには2つのCN値、cn=GroupAとcn=GroupBが含まれているとします。
Oracle Privileged Account Managerホスト・コンテナ(WebLogicまたはWebSphere)は、GroupAの実際のメンバーがGroupAのメンバーであることをアサートします。ただし、ホスト・コンテナはGroupBの実際のメンバーがGroupAのメンバーであることもアサートします。つまり、GroupBのメンバーはGroupAに関連付けられている権限を間違って取得することを意味しています。
ネストされたグループ・メンバーシップを使用した場合。
グループBがグループAのメンバーであり、グループAにOracle Privileged Account Managerリソースへのアクセス権を付与した場合は、この権限をグループBに暗黙的に付与することになります。
解決策:
LDAPのグループ・エントリには、使用されているネーミング属性の値が1つしかないことを確認する必要があります。
MSSQLサーバー・データベース・ターゲットやアカウントへアクセスしようとすると失敗します。テスト、チェックアウトまたはチェックインを実行できません。
原因
この問題は、次の2つの原因で発生します。
MSSQLドライバsqljdbc4.jar
がありません。
JAVA Bug 7105007が発生している可能性があります。これは、Javaバージョン: 1.6.0_26および
1.6.0_29に影響します。
解決策:
この問題を解決する手順は次のとおりです。
MSSQLドライバは、第5.1.2.2.3項「databaseターゲット・タイプのパラメータ」のデータベースのタイプの説明に記載されているように、サーバーで使用可能です。
JAVAバージョン1.6.0_30以上を使用して、前述のJAVAバグの発生を防ぎます。
この項では、Oracle Privileged Account Managerの問題を診断する方法について説明します。
内容は次のとおりです。
Oracle Privileged Account Managerでエラーが発生した場合、デバッグ情報やコネクタ・ロギングを含む完全なログを収集して、エラーの原因に関する多くの情報を収集できます。次の手順を実行します。
Oracle Privileged Account Managerのロギング・レベルを最も詳細なレベルのTRACE:32
に設定します。
注意:
|
エラーの発生元であるタスクまたはプロシージャを再度実行します。
DEBUGレベルを使用して生成されたログ情報を調査します。
My Oracle Support(以前のMetaLink)(http://support.oracle.com
)でより多くの解決策を参照できます。そこでも問題の解決策が見つからない場合は、サービス・リクエストを登録してください。