| Oracle® Fusion Middlewareリリース・ノート 11g リリース2 (11.1.2.1) B72796-03 |
|
 前 |
この章では、IBM WebSphereでサポートされているOracle Fusion Middleware製品をインストールおよび構成する際に発生する可能性がある問題について説明します。次のトピックが含まれます:
この項では、一般的な問題および回避策について説明します。次のトピックが含まれます:
12.1.2項「同じセッションでOracle Identity Managerによって複数のテンプレートを選択した場合、セルの作成に失敗する」
12.1.3項「Oracle Entitlements Serverでアイデンティティ・ディレクトリ・サービス・プロファイルを開くと警告ポップアップが表示される」
12.1.4項「IBM WebSphereではWebLogic Serverのターゲット・ドメインのCSFマッピングを作成できない」
12.1.6項「IBM WebSphereで構成されたOAAMのoaam_adminログ・ファイルに警告、エラーおよびスタック・トレースが記録される」
EJBによってランタイム例外がスローされた場合、IBM WebSphereによって例外メッセージにデバッグの詳細情報が追加されます。これにより、UIに間違ったエラー・メッセージが表示される場合があります。
この問題を修正するには:
WebSphereコンソールを使用して、com.ibm.CORBA.ShortExceptionDetails JVMプロパティをOracle Identity Managerサーバーに追加し、値をtrueに設定します。
関連するすべてのアプリケーション・サーバーでcom.ibm.CORBA.ShortExceptionDetailsシステム・プロパティをtrueに設定し、構成を保存して、関連するすべてのサーバーを再起動します。
JVMプロパティの追加の詳細は、次のURLに移動してIBM WebSphere Application Serverのドキュメントを参照してください。
was_config.shまたはwas_config.batを使用したOracle Identity Managerセルの作成の際に、Oracle Entitlements Server (OES)テンプレートなど、追加のテンプレートを選択した場合、セルの作成に失敗します。
この問題を回避するには、最初にセルをOracle Identity Managerテンプレートのみで作成し、次に必要に応じて追加のテンプレートでセルを拡張します。
Oracle Entitlement Server管理コンソール(「システム構成」タブ→「IDSプロファイル」→「オープン」)でアイデンティティ・ディレクトリ・サービス・プロファイルを構成するとき、警告ポップアップが表示される場合があります。たとえば、「読取り/書込み接続を取得できません。かわりに読取り専用接続を使用します」のような表示があります。
これは、アイデンティティ・ディレクトリ・サービスがMbeanサーバーへの接続を試行しているときに発生する場合があります。Mbeanサーバーへ接続するとき、リスナーの作成の試行が失敗したことを示す例外がスローされる場合があります。この場合、対応するサーバーの標準出力(SystemOut.logなど)を確認してください。例外スタックのトレースの前に、失敗の原因について説明します。例:
[9/17/12 4:58:16:286 PDT] 00000020 ORBRas E com.ibm.ws.orbimpl.transport.WSTransport createServerSocket WebContainer : 0 ORBX0390E: Cannot create listener thread. Exception=[ org.omg.CORBA.INTERNAL: CAUGHT_EXCEPTION_WHILE_CONFIGURING_SSL_SERVER_SOCKET, Exception=org.omg.CORBA.INTERNAL: UNABLE_TO_CREATE_SSL_SERVER_SOCKET Exception=java.net.BindException: Address already in use vmcid: 0x49421000 minor code: 76 completed: No vmcid: 0x49421000 minor code: 77 completed: No - received while attempting to open server socket on port 9404 ]
この問題は、すでに使用中のポートでソケットを開こうとしたとき、ポートの競合が存在するために発生します。この問題の詳細は、IBMの技術情報(http://www-01.ibm.com/support/docview.wss?uid=swg21248645)を参照してください。
この問題を回避するには、IBMの技術情報に従ってポート設定を動的に変更します(serverindex.xmlで特定のエンドポイントに対してport="0"を指定します)。
Oracle Privileged Account ManagerがIBM WebSphereで実行されているとき、Oracle WebLogic Serverドメインに対応するCSFマッピングを追加できません。
同様に、Oracle Privileged Account ManagerがOracle WebLogic Serverで実行されているとき、IBM WebSphereセルに対応するCSFマッピングを追加できません。
Oracle Identity Manager 11g リリース2 (11.1.2.1.0)デプロイメントがリリース9.xからアップグレードされているとき、認証に対するSOA通信の問題がログに記録されている場合、OIMAdminキー資格証明が消失する場合があります。このエラーは、最初に実行するユーザーが、PRE_CONFIG_MODEでMTを実行する場合の前提条件である.xldatabasekeyを設定していない場合、発生する可能性があります。
次に、ログに記録されるエラーの例を示します。
[oim_server1] [ERROR] [] [oracle.soa.services.workflow.worklist] [tid: WebContainer : 5] [ecid: disabled,0] [APP: oracle.iam.console.identity.self-service.ear] <Fatal Error occurred while authenticating with EJB identity propagation. Unable to get the workflow context using authenticate.getWorkflowContextFromSession> oracle.bpel.worklistapp.util.WorklistUtil
この問題を回避するには:
Oracle Enterprise Managerにログインします。
Cell_Websphereを右クリックし、「セキュリティ」→「資格証明」を選択します。
oracle.wsm.securityを開きます。
OIMAdminキーを選択して、「編集」をクリックします。OIMAdminキーが存在しない場合、oracle.wsm.securityマップで「キーの作成」をクリックして作成します。
「キーの編集」ダイアログ・ボックスで、xelsysadm資格証明を入力します。
Oracle Identity Manager Server、SOAサーバーおよび管理サーバーを、この順番で停止します。ノードを停止して、マネージャを停止します。
マネージャを起動し、ノードを同期して起動します。管理サーバー、SOAサーバーおよびOracle Identity Manager Serverを、この順番で起動します。
次の警告、エラーおよびスタック・トレースがIBM WebSphere Application ServerのOAAMのoaam_adminログにしばしば記録されますが、機能に影響することはありません。
接続タイプの登録に失敗しました(警告)
プロパティ・ファイルbharosa_server.propertiesファイルをロードできませんでした(エラー)
oaam_custom.propertiesファイルをロードできませんでした(エラー)
Oracle、OAAM、viewまたはDataBindings.cpxをカスタマイズできません。ヒント・カスタマイズ・レイヤー・ユーザーの値が空またはnullです(スタック・トレース)
ネームスペースまたはBASE DEFAULTにマップされたソース・メタデータ・ストアが読取り専用のため、リソース、ページまたはloginPageDef.xmlに対する操作に失敗しました(スタック・トレース)
ExalogicOptimizationsEnabled属性の問合せ中に例外が発生しました(警告)
IBM WebSphere Application ServerのOracle Identity Managerデプロイメントは、受信ボックスの「タスクの詳細」ページでなんらかのアクションを実行中にADFC-12000エラーをスローすることがあります。
この問題を回避するには、ブラウザ・セッションを終了して、新しいセッションで「タスクの詳細」ページにアクセスします。
リリース9.xからアップグレードされたIBM WebSphere Application ServerのOracle Identity Manager 11g リリース2 (11.1.2.1.0)デプロイメントでは、いくつかの承認ポリシーが削除されません。
それらのポリシーを削除するには、次のSQLスクリプトを手動で実行します。
DECLARE BEGIN DELETE FROM REQUEST_APPROVAL_POLICIES WHERE RAP_POLICY_NAME in ( 'AssignRolesWithCallbackRL', 'AssignRolesWithCallbackOL', 'CreateRoleWithCallbackRL', 'CreateUserWithCallbackRL', 'CreateUserWithCallbackOL', 'DeleteRoleWithCallbackRL', 'DeleteUserWithCallbackRL', 'DeleteUserWithCallbackOL', 'DisableUserWithCallbackOL', 'DisableUserWithCallbackRL', 'EnableUserWithCallbackRL', 'EnableUserWithCallbackOL', 'ModifyRoleWithCallbackRL', 'ModifyUserWithCallbackRL', 'ModifyUserWithCallbackOL', 'RemovefromRolesWithCallbackRL', 'RemovefromRolesWithCallbackOL'); COMMIT; END; /
問題
監査サービスによって監査レコードをデータベースへ移動するように構成している場合、Oracle Identity Federation busstopファイル(%DOMAIN_HOME%/servers/%INSTANCE_NAME%/logs/auditlogs/OIF)が更新されます。ただし、この監査レコードは、データベースに移入されません。
回避策
これを解決するには、wsadminスクリプト環境を入力して次のコマンドを実行します。
wsadmin>sts_commands.putStringProperty("/notifierconfig/CommonAuditListenerConfig/auditbusstop","%DOMAIN_HOME%/logs/%INSTANCE_NAME%/auditlogs")
このアクションによって、「コマンドは正常に終了しました。」のメッセージが表示されます。
Websphere上で、OIMとデータベース・サーバー間のすべてのチャネルをSSL対応にすることはできません。
回避策:
OIMアプリケーションは、データベースに対して次の3種類のチャネルを使用します。
データソース
DDL操作用の直接DB
カスタム・レジストリ
回避策:
SSLを1つだけ有効にするには、各データソースに次のカスタム・プロパティを追加します。
名前: connectionProperties
値:javax.net.ssl.trustStore=TRUST_STORE_LOCATION;javax.net.ssl.trustStoreType=JKS;javax.net.ssl.trustStorePassword=TRUST_STORE_PASSWORD;oracle.net.ssl_version=3.0
TRUST_STORE_LOCATIONとTRUST_STORE_PASSWORDは、該当する値に置き換えてください。
この項では、構成に関する問題およびその回避策について説明します。次のトピックが含まれます:
12.2.2項「Oracle Entitlements Server管理サーバーで制御プッシュ・ポリシー配布に失敗する」
12.2.4項「IBM WebsphereのOracle Access Manager用DMS Spyにアクセスするときにエラーが発生する」
12.2.5項「IBM WebSphere環境のantlr-2.7.6.jarにはoaam_offline_was.earファイルがない」
12.2.6項「IBM Websphere上のOracle Entitlements Administrationへのカスタム資格証明を使用したSSLの構成」
12.2.7項「IBM WebSphereでのOracle Identity Managerサーバーの構成は、インストール時にSun JDKを使用した場合に失敗する」
Access ManagerとIdentity Federationを統合し、IBM WebSphere Application ServerでOpenIDプロトコルを使用して、フェデレーテッドSSO用にGoogleまたはYahoo IdPパートナを構成している場合、リソースにアクセスしようとしたときにSSLHandshakeExceptionエラーが発生する場合があります。
Googleパートナの場合、エラーは次のようになります。
oracle.security.fed.controller.library.LibraryException:
oracle.security.fed.controller.frontend.action.exceptions.ResponseHandlerExcep
tion: oracle.security.fed.util.http.HttpException:
javax.net.ssl.SSLHandshakeException: com.ibm.jsse2.util.j: PKIX path building
failed: java.security.cert.CertPathBuilderException: PKIXCertPathBuilderImpl
could not build a valid CertPath.; internal cause is:
java.security.cert.CertPathValidatorException: The certificate issued
by OU=XXX Secure Certificate Authority, O=XXX, C=US is not trusted;
...
Yahooパートナの場合、エラーは次のようになります。
[2013-02-15T15:18:58.747-08:00] [oam_server1] [WARNING] [OAM-12001]
[oracle.oam.audit] [tid: WebContainer : 5] [ecid: disabled,0] [APP:
oam_server_11.1.2.0.0] Cannot load audit configuration.
[2013-02-15T15:18:58.749-08:00] [oam_server1] [WARNING] [OAM-12001]
[oracle.oam.audit] [tid: WebContainer : 5] [ecid: disabled,0] [APP:
oam_server_11.1.2.0.0] Cannot load audit configuration.
[2013-02-15T15:18:58.750-08:00] [oam_server1] [WARNING] [OAM-12001]
[oracle.oam.audit] [tid: WebContainer : 5] [ecid: disabled,0] [APP:
oam_server_11.1.2.0.0] Cannot load audit configuration.
[2013-02-15T15:18:59.136-08:00] [oam_server1] [ERROR] [FEDSTS-12078]
[oracle.security.fed.controller.library.api.FedEngineInstance] [tid:
WebContainer : 5] [ecid: disabled,0] [APP: oam_server_11.1.2.0.0] Library
Exception: {0}[[
oracle.security.fed.controller.library.LibraryException:
oracle.security.fed.controller.frontend.action.exceptions.ResponseHandlerExcep
tion: oracle.security.fed.util.http.HttpException:
javax.net.ssl.SSLHandshakeException: com.ibm.jsse2.util.j: PKIX path building
failed: java.security.cert.CertPathBuilderException: PKIXCertPathBuilderImpl
could not build a valid CertPath.; internal cause is:
java.security.cert.CertPathValidatorException: The certificate issued
by CN=XXX Root, OU="XXX, Inc.", O=XXX Corporation, C=US is not trusted;
...
このエラーは、Yahoo/Google SSL証明書がないために発生します。
解決策
Yahoo/Google SSL証明書をIBM JSSEの信頼できるキーストアにインポートする必要があります。
最初にSSL証明書を取得します
Firefoxブラウザを使用して、アクセスするhttps URLに移動します。
ページが表示されたら、ページ上を右クリックして、「ページの情報を表示」、「詳細」の順に選択し、次に「証明書を表示」、「詳細」タブの順に選択します。
「エクスポート」をクリックして「保存」をクリックします。
次に、次のIBM Technoteで説明されている手順を使用してキーストアに証明書をインポートします。
http://www-01.ibm.com/support/docview.wss?uid=swg21588087
注意: Technoteの手順6でkeytoolコマンドを実行する場合には、次の点に注意してください。
エイリアスは、後から証明書を参照するために使用する任意の文字列です。
使用するcacertsが不明な場合は、すべてのcacertsキーストアに対して証明書をインポートしてください。
注意: 次のURLからEquifax証明書をダウンロードしてください。
http://www.geotrust.com/resources/root-certificates/index.html
「Root Certificates」の下の「Root1 - Equifax Secure Certificate Authority」でEquifax Secure Certificate Authority (.pem file)をダウンロードします。
前述の手順を使用して、この証明書をインポートします。
IBM WebSphere環境のOracle Entitlements Serverでは、パラメータoracle.security.jps.configを構成していない場合、制御プッシュ・ポリシー配布に失敗します。oracle.security.jps.configパラメータは、jps-config.xmlファイルの場所に構成されます。この設定がない場合、IBM WebSphere環境でのポリシー配布に失敗する場合があります。正常にポリシーを配布するにはこの構成パラメータが必要です。
IBM WebSphere Application ServerのセルでFusion Middleware製品を構成するためにSolaris Sparc64 5.10マシンでORACLE_HOME/common/bin/wsadmin.shスクリプトを実行した場合、次のエラーが表示されます。
./wsadmin.sh: test: argument expected
回避策:
ORACLE_HOME/common/bin/setWsadminEnv.shファイルの次の行を差し替えます。
if [ ! $WSADMIN_SCRIPT_LIBRARIES ]; then
次に差し替えます:
if [ ! "${WSADMIN_SCRIPT_LIBRARIES}" ]; then
この変更後、ORACLE_HOME/common/bin/wsadmin.shスクリプトを再実行して、構成を完了します。
OIDやOVDなどの外部LDAPを構成していない場合に、IBM WebsphereでOracle Access Manager用DMS Spyサーブレットにアクセスしようとすると、次のエラーが表示されます。
Error 403: AuthorizationFailed
外部LDAPでAdminロールのユーザーを作成していない場合、デフォルトでwsadminはDMS Spyにログインできません。ログインできるようにするには、手動でwasadminユーザーをAdminロールに関連付ける必要があります。
回避策:
次の手順を実行します。
IBMコンソールにログインします。
左側のペインで、「Applications」→「Application Types」→「WebSphere enterprise applications」に移動します。
右側のペインで「Dmgr DMS Application_11.1.1.1.0」をクリックします。
「Security role to user/group mapping」をクリックします。
「Admin」ロールをクリックし、「Map Users...」ボタンをクリックします。
検索文字列にwasadminと入力し、「Search」ボタンをクリックします。
「Available」ボックスでwasadminを選択し、-->(矢印)をクリックします。
「OK」をクリックして前のページに戻ります。
「OK」を再度クリックします。
「Save directly to the master configuration」をクリックします。
Dmgr DMS Application_11.1.1.1.0を起動します。
前述の手順をDMS Application_11.1.1.1.0でも繰り返します。
OAAMオフラインは正しい数のレコードをロードせず、ルールは処理されません。オフライン・ログでは次のエラーが表示されます。
java.lang.NoClassDefFoundError: antlr.TokenStream
オフライン環境では、oaam_offline_was.earファイルにantlr-2.7.6.jarファイルがないため、ルールを処理できません。
この回避策として、was_config.shを実行する前にIDM_ORACLE_HOMEディレクトリから次のコマンド・ラインの手順を実行します。
cd IDM_ORACLE_HOME/oaam/oaam_offline/ear mv oaam_offline_was.ear oaam_offline_was.ear.bak mkdir temp cd temp jar xf ../oaam_offline_was.ear mkdir war_tmp cd war_tmp jar xf ../oaam_offline.war cp IDM_ORACLE_HOME/oaam/oaam_libs/was_native_jar/antlr-2.7.6.jar ./WEB-INF/lib jar -cfm ../oaam_offline.war META-INF/MANIFEST.MF * cd .. rm -rf war_tmp jar -cfm ../oaam_offline_was.ear META-INF/MANIFEST.MF * cd .. rm -rf temp
IBM Websphere上に(OES WASテンプレートを使用して)Oracle Entitlements Serverドメインを作成した場合、デフォルトでSSLはdemoTrustおよびデモ証明書(CerGenCA)を使用して署名されたキーストア証明書を使用して構成されます。本番環境ではデフォルト設定を変更し、カスタム信頼キーストアとアイデンティティ・キーストアを使用することをお薦めします。
IBM WebSphereで、Oracle Identity and Access Managementのコンポーネントをインストールするときに-jreLocパラメータの値にSun JDKを指定した場合、正常にインストールできます。ただし、Oracle Universal Installer構成アシスタントを使用して、Oracle Identity Manager Server、Design Consoleおよびリモート・マネージャを構成しようとすると、構成に失敗します。
回避策:
Oracle_Home/ouiディレクトリにあるorapram.iniファイルを開きます。
JRE_LOCATIONを検索します。
JRE_LOCATIONの値をIBM JDKを指すように変更します。
orapram.iniファイルを保存します。
OIM_HOME/binディレクトリにあるconfig.shファイル(UNIX)またはconfig.batファイル(Windows)を実行して、Oracle Universal Installer構成アシスタントを起動します。
was_configコマンドを実行してOracle Adaptive Access Managerセルを拡張し、Oracle Identity Managerテンプレートを含めると、次の警告が表示されます。
Conflict detected CFGFWK -42001: The following duplicate elements exists in a configuration, discarding new elements from a incomming template
このエラー・メッセージは安全で無視できます。
この項では、ドキュメントの訂正箇所を示します。次のトピックが含まれます:
Oracle Privileged Account ManagerとOracle Identity Managerを統合した場合の相違点
Oracle Identity Manager構成アシスタントでのIBM WebSphereのオプションのオンライン・ヘルプ
次の項を『Oracle Fusion Middleware Oracle Identity and Access Managementサードパーティ・アプリケーション・サーバー・ガイド』の「IBM WebSphereでのOracle Privileged Account Managerの管理」に追加する必要があります。
Oracle Privileged Account Managerにターゲットを追加する手順は、『Oracle Fusion Middleware Oracle Privileged Account Manager管理者ガイド』のOracle Privileged Account Managerへのターゲットの追加に関する項を参照してください。ただし、IBM WebSphere上のOracle Privileged Account Managerを使用する場合は、Oracle Databaseターゲットを構成する手順が多少異なります。
Oracle Databaseターゲットを選択する場合、ドライバjarは必要ありません。他のターゲット・システムの場合、次のいずれかのサードパーティjarを含める必要があります。
MSSQL: sqljdbc4.jarをコピーします。
MySQL: mysql-connector-java-5.1.20-bin.jarをコピーします。
Sybase: jconn4.jarをコピーします。
コネクタjarは、これらのサードパーティjarを含めるように変更できます。
DBUMコネクタ・バンドルのバックアップ・コピーを作成します。このファイルは次に場所にあります。
ORACLE_HOME/connectors/dbum/bundle/org.identityconnectors.dbum-1.0.1116.jar
temporary/libフォルダを作成し、そのフォルダにサードパーティjarを入れます。
次のようにバンドルをサードパーティjarで更新します。
jar -uvf org.identityconnectors.dbum-1.0.1116.jar lib/JAR_NAME
temporary/libフォルダを削除します。
変更を適用するために、すべてのOracle Privileged Account Managerプロセスを再起動します。
詳細は、『Oracle Identity Manager Database User Managementコネクタ・ガイド』のコネクタ・サーバーへのコネクタのインストールに関する項を参照してください。
次の情報を『Oracle Fusion Middleware Oracle Identity and Access Managementサードパーティ・アプリケーション・サーバー・ガイド』の「IBM WebSphereでのOracle Privileged Account Managerの管理」に追加する必要があります。
opamSetupスクリプトの実行時の相違点Oracle Privileged Account Manager-Oracle Identity Managerの統合設定スクリプト(opamSetup)を実行する基本的な手順は、『Oracle Fusion Middleware Oracle Privileged Account Manager管理者ガイド』のopamSetupスクリプトの実行に関する項を参照してください。
ただし、このスクリプトをIBM WebSphereサーバーで実行している場合は、ctxFactoryオプションの説明に多少の相違点があります。通常のコンテキスト・ファクトリ名(表に挿入句として明記)は、IBM WebSphereでは次のように異なります。
| オプション | 説明 |
|---|---|
|
-ctxFactory <Initial context factory> |
コンテキスト・ファクトリの名前を指定します(通常はcom.ibm.websphere.naming.WsnInitialContextFactory)。 |
Oracle Identity Manager構成アシスタントの使用時、構成画面のオンライン・ヘルプには、IBM WebSphere専用のオプションに関する説明がありません。IBM WebSphereオプションの詳細は、『Oracle Fusion Middleware Oracle Identity and Access Managementサードパーティ・アプリケーション・サーバー・ガイド』の「IBM WebSphereでのOracle Identity Managerの管理」の章にある、単一ノード設定用のOracle Identity Managerの構成に関する項を参照してください。
