この章では、Oracle Identity and Access Management 11gリリース2 (11.1.2.1.0)のインストールと構成プロセスに関連する問題について説明します。次の項が含まれます:
この項では、一般的な問題および回避策について説明します。次のトピックが含まれます:
AIXでは、簡易セキュリティ・モードは、Oracle Access Managementサーバー11.1.2と連動しません。
回避策: オープン
または証明書
セキュリティ・モードのいずれかを使用します。
Oracle Access Management管理コンソール・ログのポリシーを編集しようとすると、Oracle Access Management管理対象サーバー・ログに次のエラーが表示されます。
<oracle.jps.policymgmt> <JPS-10606> <Failed to distribute policy to PDP OracleIDM for catch exception oracle.security.jps.service.policystore.PolicyStoreException: JPS-04028: Application with name "cn=OAM11gApplication,cn=jpsXmlFarm,cn=JPSContext,cn=jpsXmlRoot" does not exist..>
この例外は、サーバーがアイドル状態の場合でも10分ごとに表示されます。
回避策:
pdp.service
インスタンス・プロパティから-C
オプションを指定してインストールした後に、jps-config.xml
ファイルから次のプロパティを削除します。
<property name="oracle.security.jps.pdp.AuthorizationDecisionCacheEnabled" value="false"/> <property name="oracle.security.jps.ldap.policystore.refresh.interval" value="10000"/>
pdp.service
インスタンス・プロパティに次の新しいプロパティを追加します。
<property name="oracle.security.jps.pd.client.PollingTimerInterval" value="10"/>
値は秒単位で、Oracle Access Managementに必要な適切な値を設定します。その変更は、Oracle Identity ManagerまたはOracle Access Managerと同様にOracle Identity Managementインストールに対してのみ行う必要があります。
次に、configSecurityStore
コマンド実行後のjps-config.xml
ファイルのpdp.service
インスタンスの例を示します。
<serviceInstance name="pdp.service" provider="pdp.service.provider"> <description>Runtime PDP service instance</description> <property name="oracle.security.jps.runtime.pd.client.policyDistributionMode" value="mixed"/> <property name="oracle.security.jps.runtime.instance.name" value="OracleIDM"/> <property name="oracle.security.jps.runtime.pd.client.sm_name" value="OracleIDM"/> <property name="oracle.security.jps.pdp.AuthorizationDecisionCacheEnabled" value="false"/> <property name="oracle.security.jps.policystore.refresh.enable" value="true"/> <property name="oracle.security.jps.ldap.policystore.refresh.interval" value="10000"/> </serviceInstance>
この項では、Oracle HTTP ServerでSSLを有効にするためにダウンロードしてインストールする必須パッチを説明します。
プラットフォーム | パッチ |
---|---|
Solaris (64ビット) |
14264658 |
Microsoft Windows x64 (64ビット) |
14264658 |
Solaris x86-64 (64ビット) |
14264658 |
IBM AIX (64ビット) |
14264658 |
Linux x86-64 |
14264658 |
パッチをダウンロードするには、次を実行します:
My Oracle Supportにログインします。
「パッチと更新版」をクリックします。
「パッチ名または番号」を選択します。
パッチ番号を入力します。
「検索」をクリックします。
パッチをダウンロードしてインストールします。
ログ・レベルをSEVERE
に変更するには、次を実行します:
Logging.xml
は、すべてのログ・ハンドラおよびロガー(OAM_Server1、OIM_Server1、SOA
)に対してlevel=SEVERE
である必要があります。
Admin Console http://Hostname:port/console
にログインします。
「ロックして編集」をクリックし、ドメインをロック解除します。
「サーバー」リンクをクリックします。
変更するサーバーをクリックします。
「ロギング」をクリックします。
「詳細」をクリックします。
「メッセージの宛先」のログ・レベルを変更するには、次のようにします:
メッセージの宛先 | 推奨する重大度レベル | デフォルト設定 |
---|---|---|
ログ・ファイル |
警告 |
トレース |
標準出力 |
エラー |
通知 |
ドメイン・ログ・ブロードキャスタ |
エラー |
通知 |
メモリー・バッファ重大度 |
エラー |
空白 |
「保存」をクリックします。
「変更のアクティブ化」をクリックします。
サーバーを再起動します。
すべての対象サーバー(OAM_Server1、OIM_Server1、SOA
)に対してこのプロセスを繰り返します。
クラスタ化された設定でスケジューラの起動または停止を制御する場合は、scheduler.disabled
システム・プロパティが必要です。クラスタのノードでスケジューラ・サービスを起動しない場合は、scheduler.disabled
システム・プロパティをtrue
に設定する必要があります(逆の場合は、逆に設定します)。
Weblogicコンソールを使用してscheduler.disabled
システム・プロパティを変更する手順は次のとおりです:
WebLogic管理者の資格証明を使用して、Oracle WebLogic管理コンソールにログインします。
「ドメイン構造」の下で「環境」→「サーバー」をクリックします。「サーバーのサマリー」ページが表示されます。
Oracle Identity Managerサーバー名(oim_server1
など)をクリックします。oim_server1
の設定が表示されます。
「構成」→「サーバーの起動」をクリックします。
「引数」テキスト・ボックスで、既存のプロパティscheduler.disabled = false/true
を変更します。
「保存」をクリックします。
「変更のアクティブ化」をクリックします。
Oracle Identity Manager管理対象サーバーを再起動します。
注意:
|
この項では、インストールに関する問題およびその回避策について説明します。次のトピックが含まれます:
WindowsマシンとOracle Identity Managerサーバーの間にファイアウォールがあるマシンにOracle Identity Manager Design Consoleをインストールしようとするとき、config.cmd
コマンドを実行すると次のエラー・メッセージが表示されます。
Error in validating the Hostname field value.Entered host is not up and running
Oracle Identity Manager Design Consoleをインストールするには、ファイアウォールのポート7を開く必要があります。
Oracle Identity Managerのインストールおよび構成で適用する必要がある必須のパッチについて説明します。
注意: この項では、リリース・ノートの発行時点に用意されている必須のパッチについて説明します。最新の変更や、追加のパッチ要件は、My Oracle SupportのドキュメントID 1536894.1を参照してください。 |
表2-1は、Oracle Identity Managerに必須のパッチに関する情報を示しています。これらのパッチは任意の順序で適用できます。
表2-1 Oracle Identity Manager 11gR2 (11.1.2.1.0)の特定の問題の修正に必要なパッチ
Oracle Fusion Middleware製品またはコンポーネント | パッチ番号 | いつ適用するか | 説明 |
---|---|---|---|
Oracle SOA Suite |
16385074 |
Oracle SOA Suiteのインストール後 |
このパッチは次の2つのディレクトリで構成されています。
それぞれのパッチ適用手順については、個別の 各 |
Oracle SOA Suite |
13973356 |
Oracle SOA Suiteのインストール後 |
このパッチは次の2つのディレクトリで構成されています。
それぞれのパッチ適用手順については、個別の 各 |
Oracle SOA Suite |
16024267 |
Oracle SOA Suiteのインストール後 |
このパッチはOracle BPELを使用している場合にのみ必要になります。Oracle SOA Suite 11g (11.1.1.6.0)にはOracle BPEL (Business Process Execution Language)ツールが含まれています。 このパッチは、Jdeveloper パッチ適用手順については、 |
Oracle SOA Suite |
14196234 |
Oracle SOA Suiteのインストール後 |
このパッチは、Oracle SOA Platform パッチ適用手順については、 |
Oracle User Messaging Service |
16366204 |
Oracle SOA Suiteのインストール後 |
これは、Oracle User Messaging Service (UMS)パッチです。 パッチ適用手順については、 |
Oracle WebCenter Portal |
16472592 |
Oracle Identity Managerのインストール後 |
これはOracle WebCenterポータルのパッチです。 パッチ適用手順については、 |
Oracle Application Development Framework |
16478722 |
Oracle Identity Manager Serverドメインの構成後 |
これは、Oracle Application Development Framework (ADF)のパッチです。 パッチ適用手順については、 |
Oracle Platform Security Services |
16400771 |
Oracle Identity Managerのインストール後 |
これはOracle Platform Security Services (OPSS)パッチです。 パッチ適用手順については、 |
Oracle Virtual Directory |
16943171 |
Oracle Identity and Access Managementのインストール後 |
Oracle Identity ManagerをOracle Unified Directoryと統合する場合は、このパッチを適用する必要があります。 パッチ適用手順については、 |
Oracle Access Manager |
16513008 |
Oracle Identity and Access Managementのインストール後 |
Oracle Identity ManagerをOracle Access Managerと統合する場合は、このパッチを適用する必要があります。 パッチ適用手順については、 |
Oracle Business Intelligence Publisher |
14630670 |
Oracle Identity Managerのインストール後 |
これは、Oracle Business Intelligence Publisherパッチです。 パッチ適用手順については、 |
パッチをダウンロードするには、次を実行します:
My Oracle Supportにログインします。
「パッチと更新版」をクリックします。
「パッチ名または番号」を選択します。
パッチ番号を入力します。
「検索」をクリックします。
パッチをダウンロードしてインストールします。
パッチ適用手順
Oracle WebLogic Serverを使用している場合、パッチ適用手順は各パッチに付属するREADME.txt
ファイルを参照してください。
IBM WebSphereを使用している場合は、次の手順に従ってください。
パッチがあるPatch_Home
ディレクトリに移動します。
SOA_HOME
ディレクトリを指すようにORACLE_HOME
環境変数を設定します。
例:
setenv ORACLE_HOME /mydirectory/myfolders/Oracle_SOA1
OPatchディレクトリを指すようにPATH
環境変数を設定します。
例:
setenv PATH /mydirectory/myfolders/Oracle_SOA1/OPatch:$PATH
次のようにopatchコマンドを実行します。
opatch apply -jdk Path_To_IBM_jdk
例:
opatch apply -jdk WAS_HOME
/java
Oracle Identity ManagerとOracle Access Managementのドメイン結合シナリオでは、Oracle Platform Security Services構成で構成されたキーストア・ファイルは存在しませんが、パスワードは、資格証明ストア・フレームワーク・ストアのOIMインストールから入手できます。したがって、Oracle Access Managementサーバーがキーストア・ファイルを格納しようとすると、キーがすでに存在するために失敗します。
回避策:
管理サーバーを起動する前に、キーストア・ファイルをOracle Identity ManagerドメインからOracle Access Managementドメインのキーストア・ファイルの場所にコピーします。
例: デフォルトのキーストア(.jks
)ファイルを<OIM domain>/config/fmwconfig
から<OAM domain>/config/fmwconfig
にコピーします。
注意: このステップは、 |
Oracle Identity Managerドメインで、jps-config.xml
のデフォルトのコンテキストを探します。
ここで、キーストア・サービスおよびキーストア・ファイルの場所を探します。
このキーストア(.jks
)ファイルをOracle Platform Security Services (jps-config.xml
)構成のOracle Access Managementドメインのキーストアの場所で定義した場所にコピーします。
この項では、構成に関する問題およびその回避策について説明します。次のトピックが含まれます:
2.3.4項「Oracle Access ManagementまたはOracle Identity Managerをインストールした後に実行する必須のステップ」
2.3.8項「Access Policy Managerデプロイメントがクラスタ・シナリオでは管理サーバーをターゲットにしない」
2.3.10項「Sun JDK 1.7を使用する場合、configSecurityStore.py
コマンドを実行する前にPKCS11-Solarisセキュリティ・プロバイダを変更する」
config.cmd
コマンドまたはconfig.sh
コマンドを実行してOracle Fusion Middleware構成ウィザードを起動するとき、次のエラー・メッセージが表示されます。
*sys-package-mgr*: can't create package cache dir
このエラー・メッセージは、デフォルトのキャッシュ・ディレクトリが有効でないことを示しています。コマンドラインに-Dpython.cachedir=<valid_directory>
オプションを含めることで、キャッシュ・ディレクトリを変更できます。
スクリプト$<ORACLE_HOME>/bin/config.sh
を実行しているとき、AIX上でJDK7を使用してOracle Identity Manager構成ウィザードを起動できません。
-jreLoc
オプションをコマンドラインに追加すると、Oracle Universal Installerウィンドウが表示されます: $<ORACLE_HOME>/bin/config.sh -jreLoc <JRE_HOME>
Fusion Middleware構成ウィザードでは、Weblogicパスワードを「管理者ユーザー名およびパスワードの構成」画面で追加できません。
回避策:
Weblogicユーザー・パスワードの入力を求めるプロンプトが表示されたとき、パスワードを入力できない場合があります。「次へ」をクリックして、次の画面に進みます。次のエラーのプロンプトが表示されます: 「パスワードは空にできません。」。前の画面に戻り、再びパスワードを入力します。
注意: Oracle Fusion Middleware構成ウィザードを実行する前に、次の製品をインストール済であることを確認してください。
|
Oracle Access Management 11gリリース2 (11.1.2)またはOracle Identity Manager 11gリリース2 (11.1.2)をインストールした後に、次の手順を実行する必要があります。
ドメインの構成
Configsecuritystore
の構成
リカバリおよび参照のためのjps-config.xml
ファイルのjps-config.xml_old
へのコピー
次の手順を実行してjps-config.xml
ファイルを編集
XML要素を探します
<serviceInstance name="pdp.service" provider="pdp.service.provider">
次の 2 つのエントリを削除します。
<property name="oracle.security.jps.pdp.AuthorizationDecisionCacheEnabled" value="false"/> <property name="oracle.security.jps.ldap.policystore.refresh.interval" value="10000"/>
最初の 2 つのプロパティを削除した後、それらのデフォルト値が設定されます。デフォルト値は、それぞれtrue
と600000
(10分)です。
同じセクションに次のエントリを追加します。
<property name="oracle.security.jps.pd.client.PollingTimerInterval" value="31536000"/>
編集したXMLは、次のようになっている必要があります。
<serviceInstance name="pdp.service" provider="pdp.service.provider"> <description>Runtime PDP service instance</description> <property name="oracle.security.jps.runtime.pd.client.policyDistributionMode" value="mixed"/> <property name="oracle.security.jps.runtime.instance.name" value="OracleIDM"/> <property name="oracle.security.jps.runtime.pd.client.sm_name" value="OracleIDM"/> <property name="oracle.security.jps.policystore.refresh.enable" value="true"/> <property name="oracle.security.jps.pd.client.PollingTimerInterval" value="31536000"/> </serviceInstance>
-m join
パラメータを指定してconfigureSecurityStore.py
を実行中にORACLE_HOME
やMW_HOME
などの変数を使用すると、セキュリティ・ストアの構成では、ポリシー・ストア・オブジェクトの作成に失敗します。-m join
パラメータを指定してこのコマンドを実行するときには、ORACLE_HOME
およびMW_HOME
に絶対パスを指定します。
WindowsでconfigSecurityStore.py
コマンドを実行すると、-m
検証オプションは成功しますが、コマンドの終盤で次のエラーが報告されます。
c:\Amy_OPAM\Oracle\Middleware\Oracle_RC3\common\bin>wlst.cmd ..\tools\configureSecurityStore.py -d c:\Amy_OPAM\Oracle\Middleware\user_projects\domains\OPAM_RC3_Domain2 -c IAM -m join -p welcome1 -k c:\Amy_OPAM\software\RC3\ -w welcome1 Error: Failed to join security store, unable to locate diagnostics data. Error: Join operation has failed.
回避策:
このエラーは無視してください。エラーが報告された場合でも、join
オプションで新たに作成されたサーバーが正常に起動し、リクエストの処理を続行できるため、機能に影響はありません。
Weblogic Server構成ウィザードでは、Oracle Access Management、Oracle Adaptive Access ManagerおよびOracle Privileged Account ManagerのAIX7上の1.6.0.9.2 JDKに対して警告CFGFWK-60895
が表示されます。
回避策:
Weblogic Serverをインストールします。
SOAをインストールします。
Oracle Identity and Access Managementをインストールします。
構成ウィザードを実行します。
Oracle Identity Manager (OIM)ドメインを作成します。
Oracle Access Management、Oracle Adaptive Access ManagerおよびOracle Privileged Account Managerのドメインを作成します。
警告CFGFWK-60895
: 「選択したJDKバージョンは、推奨の最小バージョン未満です」
が表示されます。
「取消し」をクリックして別のJDKを選択するか、「OK」をクリックして同じJDKを続行します。
注意: 警告 |
管理サーバーに対してOracle Entitlements Serverテンプレートを選択すると、デフォルトでは、Access Policy Managerを管理サーバーにデプロイします。
ただし、任意のコンポーネントのクラスタが複数のサーバー・インスタンスで作成される場合、APMは管理サーバーではなく、クラスタ化されたサーバーにターゲット指定されます。これにより、クラスタ内のサーバーが管理モードで起動します。
たとえば、Oracle Identity Managerの1つのインスタンス、SOAおよびOracle Access Managementが含まれるドメインがある場合、Access Policy Managerは管理サーバーにターゲット指定されます。ただし、Oracle Identity Managerの別のインスタンスが作成されると、ドメイン作成時に2つのインスタンスがあるため、Access Policy Managerは管理サーバーではなく、クラスタ化されたサーバー(この場合、Oracle Identity Manager server)にデプロイされます。
回避策:
WebLogic管理コンソールにログインします。
「デプロイメント」をクリックします。
「oracle.security.apm (11.1.1.3.0)」をクリックします。
「ターゲット」をクリックします。
「ロックして編集」をクリックします。
「oracle.security.apm (11.1.1.3.0)」を選択します。
「ターゲットの変更」をクリックします。
「AdminServer」を選択します。
「はい」をクリックします。
「変更のアクティブ化」をクリックし、管理サーバーを再起動します。
Weblogic Server (10.3.5.0)にOracle Identity Managerをインストールすると、次の例外が発生してリクエストが失敗します。
Unable to instantiate the workflow process due to: Tasklist mapping failed for workflowdefinition: default/DefaultRequestApproval!1.0 due to oracle.bpel.services.workflow.query.ejb.TaskQueryService_oz1ipg_HomeImpl_1035_WLStub cannot be cast to oracle.bpel.services.workflow.query.ejb.TaskQueryServiceRemoteHome.
これは、リクエストの承認の開始時に発生します。
回避策:
Weblogic Server 10.3.5の場合、パッチ12944361をダウンロードし、インストールする必要があります。Weblogic Server 10.3.6では、このパッチは必要ありません。
configSecurityStore.py
コマンドを実行する前にPKCS11-Solarisセキュリティ・プロバイダを変更するJDK 1.7を使用してSolaris 10 SPARC以降のバージョンにOracle Identity and Access Management 11g リリース2コンポーネントをインストールすると、configSecurityStore.py
コマンドの実行に失敗します。これは、PKCS11-Solarisセキュリティ・プロバイダの実装によって発生します。
回避策:
$JAVA_HOME/jre/lib/security/java.security
ファイルをバックアップします。
テキスト・エディタで$JAVA_HOME/jre/lib/security/java.security
ファイルを開き、プロバイダ・リストを変更します。
sun.security.pkcs11.SunPKCS11
がプロバイダ・リストの先頭にあることを確認します。次の例に示すようにプロバイダ・リストを変更します。
security.provider.1=sun.security.pkcs11.SunPKCS11 ${java.home}/lib/security/sunpkcs11-solaris.cfg security.provider.2=com.oracle.security.ucrypto.UcryptoProvider ${java.home}/lib/security/ucrypto-solaris.cfg ...
OESドメインをconfigureSecurityStore.py
スクリプトを実行せずに起動した場合、サーバーが起動に失敗し、次の例外が発生します。
oracle.security.jps.service.keystore.KeyStoreServiceException: Failed to perform cryptographic operation Caused by: javax.crypto.BadPaddingException: Given final block not properly padded
回避策:
これを回避するには、すでにデータベース・セキュリティ・ストアと連携するように構成された同じOracle Identity and Access Management論理デプロイメントのドメインからドメインの暗号化鍵をエクスポートし、configureSecurityStore.py
スクリプトを実行する必要があります。
exportEncryptionKey(jpsConfigFile=jpsConfigFile_Loc
,keyFilePath=keyFilePath
,keyFilePassword=keyFilePassword
)
ここで:
jpsConfigFile_Loc
- 暗号化鍵のエクスポート元ドメインのjps-config.xml
ファイルの絶対位置です。
keyFilePath
- ewallet.p12
ファイルが作成されるディレクトリです。このファイルの中身は暗号化され、keyFilePassword
によって保護されます。
keyFilePassword
- ewallet.p12
ファイルを保護するパスワードです。ファイルのインポート時にこのパスワードと同じものを使用する必要があります。