この章では、Oracle Privileged Account Managerに関連する問題について説明します。次のトピックが含まれます:
この項では、一般的な問題および回避策について説明します。次のトピックが含まれます:
Oracle Privileged Account Managerコマンドライン・ツール・メッセージおよびヘルプは、Oracle Privileged Account Manager 11.1.2.0.0リリースでは翻訳されていませんでした。
Oracle Privileged Account Managerコマンドライン・ツールのメッセージおよびヘルプの翻訳サポートは、11.1.2.0.0リリースの後に提供されます。
Oracle Privileged Account Manager-Oracle Identity Manager-Oracle Unified Directory-WebLogic Serverの統合環境をセットアップしており、OPAMカタログ同期ジョブを一重引用符記号('
)を含んだ特権アカウントの名前を使用した場合、例外が発生します。
oim_server1-diagnostic.log
からのトレースの例:
oracle.iam.catalog.exception.CatalogException: Failed to update the Catalog items with Entity name as 5~cn=testGroup,cn=OPAM,cn=components,cn=IDMRoles,cn=IDMSuite, dc=example,dc=com at oracle.iam.catalog.repository.DBRepository.updateCatalogItems (DBRepository.java:651) at oracle.iam.catalog.impl.CatalogServiceImpl. updateCatalogItems(CatalogServiceImpl.java:84)
または
[2013-03-14T19:28:40.270-07:00] [oim_server1] [ERROR] [] [oracle.iam.catalog.repository] [tid: OIMQuartzScheduler_Worker-10] [userId:oiminternal] [ecid: 0000JpfolZb0vlP5Ifs1yf1HGcF7000003,1:21679] [APP:oim#11.1.2.0.0] Invalid column index[[java.sql.SQLException: Invalid column index at oracle.jdbc.driver.OraclePreparedStatement.setTimestampInternal (OraclePreparedStatement.java:9203) at oracle.jdbc.driver.OraclePreparedStatement.setTimestamp (OraclePreparedStatement.java:9168) at oracle.jdbc.driver.OraclePreparedStatementWrapper.setTimestamp (OraclePreparedStatementWrapper.java:334) at weblogic.jdbc.wrapper.PreparedStatement.setTimestamp (PreparedStatement.java:1038) at oracle.iam.catalog.repository.DBRepository$1.process(DBRepository.java:614) at oracle.iam.catalog.repository.DBRepository$1.process(DBRepository.java:554) at oracle.iam.platform.tx.OIMTransactionCallback.doInTransaction (OIMTransactionCallback.java:13) at oracle.iam.platform.tx.OIMTransactionCallback.doInTransaction (OIMTransactionCallback.java:6) at org.springframework.transaction.support.TransactionTemplate.execute (TransactionTemplate.java:128) at oracle.iam.platform.tx.OIMTransactionManager.execute (OIMTransactionManager.java:22) at oracle.iam.catalog.repository.DBRepository.updateCatalogItems (DBRepository.java:554) at oracle.iam.catalog.impl.CatalogServiceImpl.updateCatalogItems (CatalogServiceImpl.java:84)
Oracle Privileged Account Manager-Oracle Identity Manager-Oracle Unified Directory-WebLogicの統合環境をセットアップしており、OPAMカタログ同期ジョブを非ASCII文字を含んだグループを使用した場合、ジョブが失敗しエラーが発生します。
Oracle Privileged Account Manager-Oracle Identity Manager-Oracle Unified Directory-IBM WebSphereの統合環境をセットアップしており、OPAMカタログ同期ジョブを特殊なドイツ語のエスッェト文字(ß)を含んだグループを使用した場合、ジョブが失敗しエラーが発生します。
Oracle Privileged Account Managerの管理ロールを作成する際、ロールが作成される場所は、idmConfigToolに渡されるプロパティ・ファイルのIDSTORE_GROUPSEARCHBASE
ではなく、IDSTORE_SEARCHBASE
の下になります。このため、アイデンティ・ストアに対するオーセンティケータの構成がより複雑になり、『Oracle Fusion Middleware Oracle Privileged Account Manager管理者ガイド』のアイデンティティ・ストアの準備に関する項で説明されているプロセスと相違が生じます。
回避策: この問題に対処するには、BLRパッチ#16570348を適用します。このパッチは、次の場所にあるMy Oracle Supportからダウンロードできます。
http://www.oracle.com/pls/topic/lookup?ctx=acc&id=info
このパッチを適用すると、idmConfigToolは『管理者ガイド』に記載されているとおりに動作するようになります。
この項では、構成に関する問題およびその回避策について説明します。次のトピックが含まれます:
-m join
でconfigureSecurityStore.py
を使用してwlst.sh
を実行中に、ORACLE_HOME
やMW_HOME
などの変数を使用すると、セキュリティ・ストアの構成では、ポリシー・ストア・オブジェクトの作成に失敗します。
-m join
に対してコマンドを実行するときは、常にORACLE_HOME
およびMW_HOME
の絶対パスを使用してください。
Oracle Privileged Account Managerの特権アカウントは、Oracle Credential Store Frameworkとアカウント証明書を同期するためにオプションでCSFマッピングを含めることができます(『Oracle Fusion Middleware Oracle Privileged Account Manager管理者ガイド』のCSFマッピングの追加に関する項を参照)。
Oracle Privileged Account Managerコマンド・ライン・ツール(CLI)のexport
コマンドは、このようなオプションで構成されたCSFマッピングをXMLファイルにエクスポートしません。このため、Oracle Privileged Account ManagerデータをXMLにエクスポートし、エクスポートしたXMLからデータをインポートして戻すと、CSFマッピングがなくなります。
回避策: 次の手順でCSFマッピングを手動で更新する必要があります。
CLI retrieveaccount
コマンドを使用してCSFマッピングを含むアカウントの詳細を取得します。(『Oracle Fusion Middleware Oracle Privileged Account Manager管理者ガイド』のretrieveaccount
コマンドに関する項を参照してください。)
retrieveaccount
コマンドを使用して、関連するアカウントの詳細情報をフェッチおよび保存します。
export
コマンドを使用してデータをエクスポートします。
import
コマンドを使用してデータをインポートします。
保存したアカウントの詳細情報を使用して、関連するアカウントのCSFマッピングを手動で更新します。(『Oracle Fusion Middleware Oracle Privileged Account Manager管理者ガイド』のCSFマッピングの追加に関する項を参照してください。)
この項では、次のドキュメントの訂正情報を示します。
Oracle Fusion Middleware Oracle Privileged Account Manager管理者ガイド
Oracle Fusion Middleware Identity and Access Managementパッチ適用ガイド
『Oracle Fusion Middleware Oracle Privileged Account Manager管理者ガイド』 11g リリース2 (11.1.2.1.0) (原本部品番号E27152-03)について、ドキュメントの訂正箇所はありません。
この項には、『Oracle Fusion Middleware高可用性ガイド』の訂正箇所が含まれます。
『Oracle Fusion Middleware高可用性ガイド11g リリース2 (11.1.2.1.0)』(原本部品番号E28391-04)では、次の項目が更新されています。
9.8.5.3項と9.8.5.4.1項のOracle Identity and Access Managementのインストールと構成で、ガイドのリリース番号を「11.1.2.1.0」に差し替える必要があります。
9.8.5.4.1項「OPAMHOST1でのOracle Identity Managementの構成」で、2つめの項目(Oracle Identity and Access Managementソフトウェアのインストール)の後に次の手順を追加します: 「Oracle Privileged Account Managerでは、オプションでOracle Database TDE(透過的データ暗号化)モードで実行できます。詳細は、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』の9.4項「Oracle Privileged Account Managerデータ・ストアのTDEの有効化」を参照してください。
9.8.5.4.5項「OPAMHOST1でのOracle Privileged Account Managerの起動」の末尾に、次の項目を追加します: 「詳細は、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』の9.9項「ユーザーへのアプリケーション構成者ロール割当て」と、9.10項「オプション: 非TDEモードの設定」を参照してください。9.10項「オプション: 非TDEモードの設定」は、ガイド内の9.8.4.1項「Oracle Identity and Access Managementのインストールと構成」の説明に従ってTDEを設定しなかった場合のみ必要になります。
この項では、『Oracle Fusion Middleware dentity and Access Managementパッチ適用ガイド』 11g リリース2 (11.1.2.1.0) (原本部品番号E36789-02)のドキュメントの訂正箇所について説明します。
『Oracle Fusion Middleware Identity and Access Managementパッチ適用ガイド』で説明されている、Oracle Privileged Account Managerへのパッチ適用に関する説明の項は順番を修正する必要があります。Oracle Privileged Account Managerにパッチを適用するときは、次の順序で手順を実行する必要があります。
Oracle Privileged Account Managerデータ・ストアでTDEを有効にするかまたは
非TDEモードを構成します。
アップグレード前のOPAMデータのインポート
さらに、『Oracle Fusion Middleware Identity and Access Managementパッチ適用ガイド』で説明されている項を次のように並べ替える必要があります。
3.7.5「オプション: Oracle Privileged Account Managerデータ・ストアでのTDEの有効化」
3.7.6.「オプション: 非TDEモードの構成」
3.7.7「アップグレード前のOPAMデータのインポート」