ヘッダーをスキップ
Oracle® Fusion Middlewareリリース・ノート
11g リリース2 (11.1.2.1)
B72796-03
  ドキュメント・ライブラリへ移動
ライブラリ
製品リストへ移動
製品
目次へ移動
目次

前
 
次
 

2 Oracle Identity and Access Managementのインストールおよび構成の問題

この章では、Oracle Identity and Access Management 11gリリース2 (11.1.2.1.0)のインストールと構成プロセスに関連する問題について説明します。次の項が含まれます:

2.1 一般的な問題と回避策

この項では、一般的な問題および回避策について説明します。次のトピックが含まれます:

2.1.1 AIXで簡易セキュリティ・モードが機能しない

AIXでは、簡易セキュリティ・モードは、Oracle Access Managementサーバー11.1.2と連動しません。

回避策: オープンまたは証明書セキュリティ・モードのいずれかを使用します。

2.1.2 Oracle Access Management管理対象サーバー・ログに表示されるエラー

Oracle Access Management管理コンソール・ログのポリシーを編集しようとすると、Oracle Access Management管理対象サーバー・ログに次のエラーが表示されます。

<oracle.jps.policymgmt> <JPS-10606> <Failed to distribute policy to PDP OracleIDM for catch exception oracle.security.jps.service.policystore.PolicyStoreException: JPS-04028: Application with name "cn=OAM11gApplication,cn=jpsXmlFarm,cn=JPSContext,cn=jpsXmlRoot" does not exist..>

この例外は、サーバーがアイドル状態の場合でも10分ごとに表示されます。

回避策:

  1. pdp.serviceインスタンス・プロパティから-Cオプションを指定してインストールした後に、jps-config.xmlファイルから次のプロパティを削除します。

    <property name="oracle.security.jps.pdp.AuthorizationDecisionCacheEnabled" value="false"/>               <property name="oracle.security.jps.ldap.policystore.refresh.interval" value="10000"/> 
    
  2. pdp.serviceインスタンス・プロパティに次の新しいプロパティを追加します。

    <property name="oracle.security.jps.pd.client.PollingTimerInterval" value="10"/>
    

    は秒単位で、Oracle Access Managementに必要な適切な値を設定します。その変更は、Oracle Identity ManagerまたはOracle Access Managerと同様にOracle Identity Managementインストールに対してのみ行う必要があります。

    次に、configSecurityStoreコマンド実行後のjps-config.xmlファイルのpdp.serviceインスタンスの例を示します。

    <serviceInstance name="pdp.service" provider="pdp.service.provider">             <description>Runtime PDP service instance</description>             <property name="oracle.security.jps.runtime.pd.client.policyDistributionMode" value="mixed"/>             <property name="oracle.security.jps.runtime.instance.name" value="OracleIDM"/>             <property name="oracle.security.jps.runtime.pd.client.sm_name" value="OracleIDM"/>             <property name="oracle.security.jps.pdp.AuthorizationDecisionCacheEnabled" value="false"/>             <property name="oracle.security.jps.policystore.refresh.enable" value="true"/>             <property name="oracle.security.jps.ldap.policystore.refresh.interval" value="10000"/>         </serviceInstance> 
    

2.1.3 Oracle HTTP ServerでSSLを有効にするための必須パッチ

この項では、Oracle HTTP ServerでSSLを有効にするためにダウンロードしてインストールする必須パッチを説明します。

プラットフォーム パッチ

Solaris (64ビット)

14264658

Microsoft Windows x64 (64ビット)

14264658

Solaris x86-64 (64ビット)

14264658

IBM AIX (64ビット)

14264658

Linux x86-64

14264658


パッチをダウンロードするには、次を実行します:

  1. My Oracle Supportにログインします。

  2. 「パッチと更新版」をクリックします。

  3. 「パッチ名または番号」を選択します。

  4. パッチ番号を入力します。

  5. 「検索」をクリックします。

  6. パッチをダウンロードしてインストールします。

2.1.4 オプション: Identity and Access ManagementドメインのWebLogic Serverのログ・レベルをSEVEREに設定

ログ・レベルをSEVEREに変更するには、次を実行します:

  1. Logging.xmlは、すべてのログ・ハンドラおよびロガー(OAM_Server1、OIM_Server1、SOA)に対してlevel=SEVEREである必要があります。

  2. Admin Console http://Hostname:port/consoleにログインします。

  3. 「ロックして編集」をクリックし、ドメインをロック解除します。

  4. 「サーバー」リンクをクリックします。

  5. 変更するサーバーをクリックします。

  6. 「ロギング」をクリックします。

  7. 「詳細」をクリックします。

  8. 「メッセージの宛先」のログ・レベルを変更するには、次のようにします:

    メッセージの宛先 推奨する重大度レベル デフォルト設定

    ログ・ファイル

    警告

    トレース

    標準出力

    エラー

    通知

    ドメイン・ログ・ブロードキャスタ

    エラー

    通知

    メモリー・バッファ重大度

    エラー

    空白


  9. 「保存」をクリックします。

  10. 「変更のアクティブ化」をクリックします。

  11. サーバーを再起動します。

すべての対象サーバー(OAM_Server1、OIM_Server1、SOA)に対してこのプロセスを繰り返します。

2.1.5 Oracle Identity Managerのサーバー側プロパティの変更

クラスタ化された設定でスケジューラの起動または停止を制御する場合は、scheduler.disabledシステム・プロパティが必要です。クラスタのノードでスケジューラ・サービスを起動しない場合は、scheduler.disabledシステム・プロパティをtrueに設定する必要があります(逆の場合は、逆に設定します)。

Weblogicコンソールを使用してscheduler.disabledシステム・プロパティを変更する手順は次のとおりです:

  1. WebLogic管理者の資格証明を使用して、Oracle WebLogic管理コンソールにログインします。

  2. 「ドメイン構造」の下で「環境」→「サーバー」をクリックします。「サーバーのサマリー」ページが表示されます。

  3. Oracle Identity Managerサーバー名(oim_server1など)をクリックします。oim_server1の設定が表示されます。

  4. 「構成」→「サーバーの起動」をクリックします。

  5. 「引数」テキスト・ボックスで、既存のプロパティscheduler.disabled = false/trueを変更します。

  6. 「保存」をクリックします。

  7. 「変更のアクティブ化」をクリックします。

  8. Oracle Identity Manager管理対象サーバーを再起動します。


    注意:

    scheduler.disabledシステム・プロパティを変更したら、ノード・マネージャを使用して管理対象サーバーを起動する必要があります。


2.2 インストールの問題および回避策

この項では、インストールに関する問題およびその回避策について説明します。次のトピックが含まれます:

2.2.1 Oracle Identity Manager Design Consoleのインストール時のエラー

WindowsマシンとOracle Identity Managerサーバーの間にファイアウォールがあるマシンにOracle Identity Manager Design Consoleをインストールしようとするとき、config.cmdコマンドを実行すると次のエラー・メッセージが表示されます。

Error in validating the Hostname field value.Entered host is not up and running

Oracle Identity Manager Design Consoleをインストールするには、ファイアウォールのポート7を開く必要があります。

2.2.2 Oracle Identity Managerをインストールするための必須のパッチ

Oracle Identity Managerのインストールおよび構成で適用する必要がある必須のパッチについて説明します。


注意:

この項では、リリース・ノートの発行時点に用意されている必須のパッチについて説明します。最新の変更や、追加のパッチ要件は、My Oracle SupportのドキュメントID 1536894.1を参照してください。


表2-1は、Oracle Identity Managerに必須のパッチに関する情報を示しています。これらのパッチは任意の順序で適用できます。

表2-1 Oracle Identity Manager 11gR2 (11.1.2.1.0)の特定の問題の修正に必要なパッチ

Oracle Fusion Middleware製品またはコンポーネント パッチ番号 いつ適用するか 説明

Oracle SOA Suite

16385074

Oracle SOA Suiteのインストール後

このパッチは次の2つのディレクトリで構成されています。

  • opatch/16385074: Oracle SOA Platform ORACLE_HOMEに適用可能

  • sa_opatch/16385074: Jdeveloper ORACLE_HOMEに適用可能

それぞれのパッチ適用手順については、個別のREADME.txtファイルに従ってください。

ORACLE_HOMEに適切なパッチを適用していることを確認する必要があります。

Oracle SOA Suite

13973356

Oracle SOA Suiteのインストール後

このパッチは次の2つのディレクトリで構成されています。

  • opatch/13973356: SOA ORACLE_HOMEに適用可能

  • sa_opatch/13973356: Jdeveloper ORACLE_HOMEに適用可能

それぞれのパッチ適用手順については、個別のREADME.txtに従ってください。

ORACLE_HOMEに適切なパッチを適用していることを確認する必要があります。

Oracle SOA Suite

16024267

Oracle SOA Suiteのインストール後

このパッチはOracle BPELを使用している場合にのみ必要になります。Oracle SOA Suite 11g (11.1.1.6.0)にはOracle BPEL (Business Process Execution Language)ツールが含まれています。

このパッチは、Jdeveloper ORACLE_HOMEに適用可能です。

パッチ適用手順については、README.txtファイルに従ってください。

Oracle SOA Suite

14196234

Oracle SOA Suiteのインストール後

このパッチは、Oracle SOA Platform ORACLE_HOMEに適用可能です。

パッチ適用手順については、README.txtファイルに従ってください。

Oracle User Messaging Service

16366204

Oracle SOA Suiteのインストール後

これは、Oracle User Messaging Service (UMS)パッチです。

パッチ適用手順については、README.txtファイルに従ってください。

Oracle WebCenter Portal

16472592

Oracle Identity Managerのインストール後

これはOracle WebCenterポータルのパッチです。

パッチ適用手順については、README.txtファイルに従ってください。

Oracle Application Development Framework

16478722

Oracle Identity Manager Serverドメインの構成後

これは、Oracle Application Development Framework (ADF)のパッチです。

パッチ適用手順については、README.txtファイルに従ってください。

Oracle Platform Security Services

16400771

Oracle Identity Managerのインストール後

これはOracle Platform Security Services (OPSS)パッチです。

パッチ適用手順については、README.txtファイルに従ってください。

Oracle Virtual Directory

16943171

Oracle Identity and Access Managementのインストール後

Oracle Identity ManagerをOracle Unified Directoryと統合する場合は、このパッチを適用する必要があります。

パッチ適用手順については、README.txtファイルに従ってください。

Oracle Access Manager

16513008

Oracle Identity and Access Managementのインストール後

Oracle Identity ManagerをOracle Access Managerと統合する場合は、このパッチを適用する必要があります。

パッチ適用手順については、README.txtファイルに従ってください。

Oracle Business Intelligence Publisher

14630670

Oracle Identity Managerのインストール後

これは、Oracle Business Intelligence Publisherパッチです。

パッチ適用手順については、README.txtファイルに従ってください。


パッチをダウンロードするには、次を実行します:

  1. My Oracle Supportにログインします。

  2. 「パッチと更新版」をクリックします。

  3. 「パッチ名または番号」を選択します。

  4. パッチ番号を入力します。

  5. 「検索」をクリックします。

  6. パッチをダウンロードしてインストールします。

パッチ適用手順

Oracle WebLogic Serverを使用している場合、パッチ適用手順は各パッチに付属するREADME.txtファイルを参照してください。

IBM WebSphereを使用している場合は、次の手順に従ってください。

  1. パッチがあるPatch_Homeディレクトリに移動します。

  2. SOA_HOMEディレクトリを指すようにORACLE_HOME環境変数を設定します。

    例:

    setenv ORACLE_HOME /mydirectory/myfolders/Oracle_SOA1
    
  3. OPatchディレクトリを指すようにPATH環境変数を設定します。

    例:

    setenv PATH /mydirectory/myfolders/Oracle_SOA1/OPatch:$PATH
    
  4. 次のようにopatchコマンドを実行します。

    opatch apply -jdk Path_To_IBM_jdk
    

    例:

    opatch apply -jdk WAS_HOME/java
    

2.2.3 Oracle Access Managementドメインのドメイン結合シナリオでのJPSキーストア・サービス初期化失敗

Oracle Identity ManagerとOracle Access Managementのドメイン結合シナリオでは、Oracle Platform Security Services構成で構成されたキーストア・ファイルは存在しませんが、パスワードは、資格証明ストア・フレームワーク・ストアのOIMインストールから入手できます。したがって、Oracle Access Managementサーバーがキーストア・ファイルを格納しようとすると、キーがすでに存在するために失敗します。

回避策:

  • 管理サーバーを起動する前に、キーストア・ファイルをOracle Identity ManagerドメインからOracle Access Managementドメインのキーストア・ファイルの場所にコピーします。

    例: デフォルトのキーストア(.jks)ファイルを<OIM domain>/config/fmwconfigから<OAM domain>/config/fmwconfigにコピーします。


    注意:

    このステップは、config.shを使用してOracle Access Managementドメインを構成した後、管理サーバーを起動する前に実行する必要があります。


  • Oracle Identity Managerドメインで、jps-config.xmlのデフォルトのコンテキストを探します。

  • ここで、キーストア・サービスおよびキーストア・ファイルの場所を探します。

  • このキーストア(.jks)ファイルをOracle Platform Security Services (jps-config.xml)構成のOracle Access Managementドメインのキーストアの場所で定義した場所にコピーします。

2.3 構成の問題および回避策

この項では、構成に関する問題およびその回避策について説明します。次のトピックが含まれます:

2.3.1 デフォルト・キャッシュ・ディレクトリ・エラー

config.cmdコマンドまたはconfig.shコマンドを実行してOracle Fusion Middleware構成ウィザードを起動するとき、次のエラー・メッセージが表示されます。

*sys-package-mgr*: can't create package cache dir

このエラー・メッセージは、デフォルトのキャッシュ・ディレクトリが有効でないことを示しています。コマンドラインに-Dpython.cachedir=<valid_directory>オプションを含めることで、キャッシュ・ディレクトリを変更できます。

2.3.2 AIX上でのJDK7を使用したOracle Identity Manager構成ウィザードの起動

スクリプト$<ORACLE_HOME>/bin/config.shを実行しているとき、AIX上でJDK7を使用してOracle Identity Manager構成ウィザードを起動できません。

-jreLocオプションをコマンドラインに追加すると、Oracle Universal Installerウィンドウが表示されます: $<ORACLE_HOME>/bin/config.sh -jreLoc <JRE_HOME>

2.3.3 Fusion Middleware構成ウィザードでWeblogicパスワードを追加できない

Fusion Middleware構成ウィザードでは、Weblogicパスワードを「管理者ユーザー名およびパスワードの構成」画面で追加できません。

回避策:

Weblogicユーザー・パスワードの入力を求めるプロンプトが表示されたとき、パスワードを入力できない場合があります。「次へ」をクリックして、次の画面に進みます。次のエラーのプロンプトが表示されます: 「パスワードは空にできません。」。前の画面に戻り、再びパスワードを入力します。


注意:

Oracle Fusion Middleware構成ウィザードを実行する前に、次の製品をインストール済であることを確認してください。

  • Oracle WebLogic Server 11gリリース1 (10.3.6)またはOracle WebLogic Server 11gリリース1 (10.3.5)

  • Oracle SOA Suite 11.1.1.6.0 (Oracle Identity Managerユーザーのみ)

  • Oracle Identity and Access Management 11gリリース2 (11.1.2)


2.3.4 Oracle Access ManagementまたはOracle Identity Managerをインストールした後に実行する必須のステップ

Oracle Access Management 11gリリース2 (11.1.2)またはOracle Identity Manager 11gリリース2 (11.1.2)をインストールした後に、次の手順を実行する必要があります。

  1. ドメインの構成

  2. Configsecuritystoreの構成

  3. リカバリおよび参照のためのjps-config.xmlファイルのjps-config.xml_oldへのコピー

  4. 次の手順を実行してjps-config.xmlファイルを編集

    1. XML要素を探します

      <serviceInstance name="pdp.service" provider="pdp.service.provider"> 
      
    2. 次の 2 つのエントリを削除します。

      <property name="oracle.security.jps.pdp.AuthorizationDecisionCacheEnabled" value="false"/> 
      <property name="oracle.security.jps.ldap.policystore.refresh.interval" value="10000"/>
      

      最初の 2 つのプロパティを削除した後、それらのデフォルト値が設定されます。デフォルト値は、それぞれtrue600000 (10分)です。

    3. 同じセクションに次のエントリを追加します。

      <property name="oracle.security.jps.pd.client.PollingTimerInterval" value="31536000"/>
      
    4. 編集したXMLは、次のようになっている必要があります。

      <serviceInstance name="pdp.service" provider="pdp.service.provider"> 
                  <description>Runtime PDP service instance</description> 
                  <property 
      name="oracle.security.jps.runtime.pd.client.policyDistributionMode" 
      value="mixed"/> 
                  <property name="oracle.security.jps.runtime.instance.name" 
      value="OracleIDM"/> 
                  <property name="oracle.security.jps.runtime.pd.client.sm_name" 
      value="OracleIDM"/> 
                  <property name="oracle.security.jps.policystore.refresh.enable" 
      value="true"/> 
                 <property 
      name="oracle.security.jps.pd.client.PollingTimerInterval" value="31536000"/> 
      </serviceInstance> 
      

2.3.5 -m Joinを指定してconfigureSecurityStore.pyを実行するときの絶対パスの使用

-m joinパラメータを指定してconfigureSecurityStore.pyを実行中にORACLE_HOMEMW_HOMEなどの変数を使用すると、セキュリティ・ストアの構成では、ポリシー・ストア・オブジェクトの作成に失敗します。-m joinパラメータを指定してこのコマンドを実行するときには、ORACLE_HOMEおよびMW_HOMEに絶対パスを指定します。

2.3.6 Windowsでのセキュリティ・ストア結合の失敗

WindowsでconfigSecurityStore.pyコマンドを実行すると、-m検証オプションは成功しますが、コマンドの終盤で次のエラーが報告されます。

c:\Amy_OPAM\Oracle\Middleware\Oracle_RC3\common\bin>wlst.cmd ..\tools\configureSecurityStore.py -d
c:\Amy_OPAM\Oracle\Middleware\user_projects\domains\OPAM_RC3_Domain2 -c IAM -m join -p welcome1 -k c:\Amy_OPAM\software\RC3\ -w welcome1

Error: Failed to join security store, unable to locate diagnostics data.
Error: Join operation has failed.

回避策:

このエラーは無視してください。エラーが報告された場合でも、joinオプションで新たに作成されたサーバーが正常に起動し、リクエストの処理を続行できるため、機能に影響はありません。

2.3.7 Weblogic Server構成ウィザードがAIX7でのJDK6をサポートしない

Weblogic Server構成ウィザードでは、Oracle Access Management、Oracle Adaptive Access ManagerおよびOracle Privileged Account ManagerのAIX7上の1.6.0.9.2 JDKに対して警告CFGFWK-60895が表示されます。

回避策:

  1. Weblogic Serverをインストールします。

  2. SOAをインストールします。

  3. Oracle Identity and Access Managementをインストールします。

  4. 構成ウィザードを実行します。

  5. Oracle Identity Manager (OIM)ドメインを作成します。

  6. Oracle Access Management、Oracle Adaptive Access ManagerおよびOracle Privileged Account Managerのドメインを作成します。

  7. 警告CFGFWK-60895: 「選択したJDKバージョンは、推奨の最小バージョン未満です」が表示されます。

  8. 「取消し」をクリックして別のJDKを選択するか、「OK」をクリックして同じJDKを続行します。


注意:

警告CFGFWK-60895が表示されても、機能に影響は与えません。


2.3.8 Access Policy Managerデプロイメントがクラスタ・シナリオでは管理サーバーをターゲットにしない

管理サーバーに対してOracle Entitlements Serverテンプレートを選択すると、デフォルトでは、Access Policy Managerを管理サーバーにデプロイします。

ただし、任意のコンポーネントのクラスタが複数のサーバー・インスタンスで作成される場合、APMは管理サーバーではなく、クラスタ化されたサーバーにターゲット指定されます。これにより、クラスタ内のサーバーが管理モードで起動します。

たとえば、Oracle Identity Managerの1つのインスタンス、SOAおよびOracle Access Managementが含まれるドメインがある場合、Access Policy Managerは管理サーバーにターゲット指定されます。ただし、Oracle Identity Managerの別のインスタンスが作成されると、ドメイン作成時に2つのインスタンスがあるため、Access Policy Managerは管理サーバーではなく、クラスタ化されたサーバー(この場合、Oracle Identity Manager server)にデプロイされます。

回避策:

  1. WebLogic管理コンソールにログインします。

  2. 「デプロイメント」をクリックします。

  3. 「oracle.security.apm (11.1.1.3.0)」をクリックします。

  4. 「ターゲット」をクリックします。

  5. 「ロックして編集」をクリックします。

  6. 「oracle.security.apm (11.1.1.3.0)」を選択します。

  7. 「ターゲットの変更」をクリックします。

  8. 「AdminServer」を選択します。

  9. 「はい」をクリックします。

  10. 「変更のアクティブ化」をクリックし、管理サーバーを再起動します。

2.3.9 ClassCastExceptionでのリクエストの失敗

Weblogic Server (10.3.5.0)にOracle Identity Managerをインストールすると、次の例外が発生してリクエストが失敗します。

Unable to instantiate the workflow process due to: Tasklist mapping failed for workflowdefinition: default/DefaultRequestApproval!1.0 due to oracle.bpel.services.workflow.query.ejb.TaskQueryService_oz1ipg_HomeImpl_1035_WLStub cannot be cast to oracle.bpel.services.workflow.query.ejb.TaskQueryServiceRemoteHome.

これは、リクエストの承認の開始時に発生します。

回避策:

Weblogic Server 10.3.5の場合、パッチ12944361をダウンロードし、インストールする必要があります。Weblogic Server 10.3.6では、このパッチは必要ありません。

2.3.10 Sun JDK 1.7を使用する場合、configSecurityStore.pyコマンドを実行する前にPKCS11-Solarisセキュリティ・プロバイダを変更する

JDK 1.7を使用してSolaris 10 SPARC以降のバージョンにOracle Identity and Access Management 11g リリース2コンポーネントをインストールすると、configSecurityStore.pyコマンドの実行に失敗します。これは、PKCS11-Solarisセキュリティ・プロバイダの実装によって発生します。

回避策:

  • $JAVA_HOME/jre/lib/security/java.securityファイルをバックアップします。

  • テキスト・エディタで$JAVA_HOME/jre/lib/security/java.securityファイルを開き、プロバイダ・リストを変更します。

sun.security.pkcs11.SunPKCS11がプロバイダ・リストの先頭にあることを確認します。次の例に示すようにプロバイダ・リストを変更します。

security.provider.1=sun.security.pkcs11.SunPKCS11   ${java.home}/lib/security/sunpkcs11-solaris.cfg   security.provider.2=com.oracle.security.ucrypto.UcryptoProvider   ${java.home}/lib/security/ucrypto-solaris.cfg
...

2.3.11 サーバーの起動の失敗

OESドメインをconfigureSecurityStore.pyスクリプトを実行せずに起動した場合、サーバーが起動に失敗し、次の例外が発生します。

oracle.security.jps.service.keystore.KeyStoreServiceException: Failed to perform cryptographic operation Caused by: javax.crypto.BadPaddingException: Given final block not properly padded 

回避策:

これを回避するには、すでにデータベース・セキュリティ・ストアと連携するように構成された同じOracle Identity and Access Management論理デプロイメントのドメインからドメインの暗号化鍵をエクスポートし、configureSecurityStore.pyスクリプトを実行する必要があります。

exportEncryptionKey(jpsConfigFile=jpsConfigFile_Loc,keyFilePath=keyFilePath,keyFilePassword=keyFilePassword)

ここで:

jpsConfigFile_Loc - 暗号化鍵のエクスポート元ドメインのjps-config.xmlファイルの絶対位置です。

keyFilePath - ewallet.p12ファイルが作成されるディレクトリです。このファイルの中身は暗号化され、keyFilePasswordによって保護されます。

keyFilePassword - ewallet.p12ファイルを保護するパスワードです。ファイルのインポート時にこのパスワードと同じものを使用する必要があります。