| Oracle® Fusion Middlewareリリース・ノート 11g リリース1 (11.1.1) for Oracle Solaris B55936-07 |
|
 前 |
 次 |
この章では、Oracle Directory Integration Platformに関連する問題について説明します。次のトピックが含まれます:
この項では、一般的な問題および回避策について説明します。次のトピックが含まれます:
Oracle WebLogic Server上でドメイン全体の管理ポートを有効にするとDIPコマンド・ライン・インタフェースを使用できなくなる
LDIFファイルにネイティブ・エンコーディングがある場合は、非ASCII文字を含むLDIFファイルによってtestProfileコマンド・オプションが失敗する可能性がある
ディレクトリ統合プラットフォームが稼働する任意のWebLogicサーバー上でドメイン全体の管理ポートを有効にすると、標準的な管理者アカウントでDIPコマンド・ライン・インタフェースを使用できなくなるので注意してください。DIPコマンドを入力すると、次のようなエラーが発生します。
ユーザー: "weblogic"の認証に失敗しました。
ただし管理者は、Enterprise Manager (EM) GUIを使用してOracle Directory Integration Platformを構成および管理することはできます。
ディレクトリ同期中は、AttrMappingルールdnconvert()関数は属性マッピング・ルールが適切に適用されません。dnconvert()関数は、唯一の引数としてdnvalueを受け取り、ドメイン・マッピング・ルールに基づいて値を変換する必要があります。この場合、変換は発生しません。
例:
DomainRules cn=users,dc=ADdomain,dc=com:cn=users,dc=OIDdomain,dc=com:cn=%,dc=OIDdomain,c=com ### AttributeRules # attribute rule common to all objects objectguid: :binary:top:orclobjectguid:string:orclADObject:bin2b64(objectguid) ObjectSID: :binary:user:orclObjectSID:string:orclADObject:bin2b64(ObjectSID) distinguishedName: : :top:orclSourceObjectDN: :orclADObject: samaccountname:::user:cn::person: manager:::organizationalperson:manager::inetorgperson:dnconvert(manager)
この例では、Active DirectoryからOracle Internet Directoryへの新しいエントリは、samAccountName値を取得せず、managerのDN値を取得します。
Oracle Password Filter for Microsoft Active Directoryを使用するには、Oracleバックエンド・ディレクトリがOracle Internet Directoryである必要があります。Oracle Unified Directoryバックエンド・ディレクトリおよびOracle Directory Server Enterprise Editionバックエンド・ディレクトリでは、Oracle Password Filter for Microsoft Active Directoryとの統合をサポートしていません。
testProfileコマンド・オプションが失敗する可能性があるコマンドラインからDIPテスターを実行する場合、-ldiffileオプションが指定されており、LDIFファイルに非ASCII文字があると、manageSyncProfiles testProfileコマンドは失敗します。
この制限は、UTF-8エンコーディングのLDIFには影響しません。マルチバイト文字を含むLDIFファイルでUTF-8エンコーディングを保存できない場合、次の回避策を使用します。
コマンドラインから、ldapaddコマンドを使用してエントリを追加し、-Eオプションでロケールを指定します。必須コマンドの構文は、『Oracle Fusion Middleware Oracle Identity Managementユーザー・リファレンス』を参照してください。
最後の追加操作では、特定のchangeNumberを取得します。
前のステップのchangeNumberを使用して、testProfileコマンドを実行します。
詳細は、『Oracle Directory Integration Platform管理者ガイド』のWLSTコマンドライン・インタフェースからのDIPテスターの実行に関する項を参照してください。
ソース・ディレクトリの負荷が高い場合、データベースのコミットがlastchangenumberへの更新に対応できなくなる競合状態が発生する場合があります。この競合状態が発生すると、Oracle Directory Integration Platformでは一部の変更を同期できなくなります。
この問題を回避するには、次の手順を実行して、データベースのコミットがlastchangenumberに対応できるようにします。
同期プロファイルの「スケジューリングの間隔」の値を増やします。
プロファイルでsearchDeltaSizeパラメータを設定することで、同期サイクルの中でソース・ディレクトリで実行される検索の回数を制御します。最初は値を10に設定し、後で必要に応じて値を調整することをお薦めします。
Oracle Directory Integration Platformアプリケーションを同期の実行中に停止すると、クォーツ・スケジューラによって開始された同期プロセスが継続して実行されます。
この問題を回避するには、Oracle Directory Integration PlatformをホストするOracle WebLogic管理対象サーバーを再起動するか、Oracle Directory Integration Platformアプリケーションを再デプロイします。
Oracle Directory Integration Platform (DIP)サーバーがSun JDKバージョン1.6.0_16以降またはBEA JRockitバージョン1.6.0_14以降で構成されている場合、次のPKCS11例外がDIPサーバー・ログ・ディレクトリの下のwls_ods1.outログ・ファイルに断続的に記録されることがあります。
Exception in thread "Thread-236" java.security.ProviderException: doFinal() failed
at sun.security.pkcs11.P11Cipher.implDoFinal(P11Cipher.java:720)
at sun.security.pkcs11.P11Cipher.engineDoFinal(P11Cipher.java:488)
Caused by: sun.security.pkcs11.wrapper.PKCS11Exception: CKR_OPERATION_NOT_INITIALIZED
at sun.security.pkcs11.wrapper.PKCS11.C_DecryptFinal(Native Method)
at sun.security.pkcs11.P11Cipher.implDoFinal(P11Cipher.java:713)
Exception in thread "Thread-88" java.security.ProviderException: update() failed
at sun.security.pkcs11.P11Cipher.implUpdate(P11Cipher.java:548)
at sun.security.pkcs11.P11Cipher.engineUpdate(P11Cipher.java:448)
Caused by: sun.security.pkcs11.wrapper.PKCS11Exception: CKR_OPERATION_NOT_INITIALIZED
at sun.security.pkcs11.wrapper.PKCS11.C_EncryptUpdate(Native Method)
at sun.security.pkcs11.P11Cipher.implUpdate(P11Cipher.java:501)
これらの例外メッセージは無視しても問題ありません。それらは、どの機能にも影響を与えません。
LDAP JNDIフィルタの処理は、JDK 1.6 u21ではより厳密になるよう更新されています。そのため、Oracle Directory Integration Platformで実行される特定の問合せはJDK 1.6 u21では失敗する場合があり、プロビジョニング・プロファイル機能にも影響する場合があります。この問題を解決するには、My Oracle Support(旧MetaLink)からダウンロード可能なパッチ10631569をダウンロードし、適用する必要があります。https://support.oracle.comからMy Oracle Supportにアクセスします。
Identity Management 11.1.1.4.0には、パッチ10631569をダウンロードし、適用することをお薦めします。
この項では、構成に関する問題およびその回避策について説明します。次のトピックが含まれます:
Oracle Directory Integration Platformの構成時、Oracle Internet Directoryホスト名としてlocalhostを使用しない
Oracle Unified Directoryに対してdipConfiguratorを実行した後にDirectory Integration Platformの再起動が必要な場合がある
ディレクトリ統合プラットフォームがNovell eDirectoryと統合されている場合、または後でNovell eDirectoryと統合する場合、eDirプロファイルでマッピング・ルールを編集します。そうしないと、インストール・プログラムは次のようなエラー・メッセージを返します。
Map rules "orclodipattributemappingrules" have the following errors: Attribute rule "0" has error: Invalid destination attribute's type: Expecting 'binary'; found 'string'.
Novell eDirectoryと統合されていない場合、新しいプロファイルを登録する前に、デフォルトのテンプレートのマッピング・ファイルを更新します。
|
注意: マッピング・ルール・ファイルのエントリの変更方法の詳細は、『Oracle Directory Integration Platform管理者ガイド』のマッピング・ルールの更新に関する項を参照してください。 |
既存のプロファイルまたは新しいプロファイルの次のエントリで、マッピング・ルールを更新します。
guid:1:binary:top:orclndsobjectguid:string:orclndsobject:bin2b64(guid)
これを次のマッピングに置き換えます。
guid:1:binary:top:orclndsobjectguid:binary:orclndsobject:bin2b64(guid)
変更を保存します。
インストーラの「インストールと構成」インストール・オプションまたはOracle Identity Management 11gリリース1 (11.1.1)の構成ウィザードを使用してOracle Directory Integration Platformを既存のOracle Internet Directoryに対して構成する場合、完全修飾ドメイン名(myhost.example.comなど)を使用してOracle Internet Directoryのホスト名を指定する必要があります。Oracle Directory Integration PlatformとOracle Internet Directoryが同じホストに共存する場合でも、localhostをOracle Internet Directoryのホスト名とし使用しないでください。
localhostをOracle Internet Directoryのホスト名として使用すると、Oracle Directory Integration PlatformをホストするOracle WebLogic管理対象サーバーを起動できません。
Oracle Unified Directory (OUD)エンドポイントに対してdipConfiguratorを実行した後に、Enterprise MangerでDirectory Integration Platform (DIP) UIを開けない場合は、DIPを停止して起動し、UIの問題を解決してください。
Internet Explorerを使用してDirectory Integration Platform (DIP) UIを表示しているとき、プロファイル・マッピング・ルール・セクションを確認するために、大きな空白領域を越してスクロールすることが必要な場合があります。この問題は、他のブラウザに影響を与えるか不明です。
同じホスト上の2つのIDMドメインが同じOracleホームを共有し、どちらもwls_ods1管理対象サーバーを使用するように構成されている場合、両方のインスタンスが同時に実行されていると、DIPホーム・ページにリソース使用量グラフが表示されません。
この時点で既知のドキュメントの問題はありません。
