この章では、Oracle Virtual Directoryに関連する問題について説明します。次の項目が含まれます。
この項では、一般的な問題および回避策について説明します。次の項目が含まれます。
11.1.1項「Enterprise ManagerでリスナーのSSL構成にサポートされていない暗号スイートが選択されているとOracle Virtual Directoryが開始できない」
11.1.4項「ODSMへのパッチ適用後、Enterprise ManagerでODSMのバージョンが11.1.1.6.0に変更されない」
11.1.8項「アクセス制御ポイントに関連付けられているDNのOracle Directory Services Managerでの識別」
11.1.9項「Fusion Middleware ControlのOracle Virtual Directoryのメトリックの問題」
11.1.10項「TimesTenデータベースに対してLDAPSEARCHを実行する際にワイルドカードを使用すると操作エラーが発生する」
11.1.11項「ODSMバージョン11.1.1.4.0がOVDバージョン11.1.1.2.0または11.1.1.3.0をサポートしていない」
11.1.12項「ODSMバージョン11.1.1.5.0がOVDバージョン11.1.1.2.0、11.1.1.3.0または11.1.1.4.0をサポートしていない」
11.1.13項「ODSMバージョン11.1.1.6.0がOVDバージョン11.1.1.2.0、11.1.1.3.0、11.1.1.4.0または11.1.1.5.0をサポートしていない」
11.1.14項「JDK6を使用するWindowsプラットフォーム上のIPv6スタックに関するOracle Virtual Directoryの問題」
11.1.15項「SSOを使用したODSMを使用している場合、ASCII以外の名前を持つユーザーに問題が発生する可能性がある」
11.1.19項「EUSウィザードでのユーザー・アカウントのロックアウトを有効にする新しい機能に関連する文字列がローカライズされない」
11.1.20項「ODSM 11.1.1.1.0で作成されたすべての接続はOVDまたはOIDバージョン11.1.1.7.0へのアップグレード後に失われる」
11.1.21項「OVDのアップグレード後に間違ったODSMバージョンがEnterprise Managerコンソールに表示される」
11.1.22項「WindowsでOracle Virtual Directoryバージョン11.1.1.6.0および11.1.1.7.0の起動に失敗する」
Enterprise ManagerでOracle LDAPリスナーを作成してから、SSL認証に「SSLの有効化」を選択することで、リスナーのSSL設定の変更を編集する場合、Enterprise Managerは暗号スイートTLS_DHE_RSA_WITH_AES_128_CBC_SHA256
を選択します。この暗号スイートが選択されると、Oracle Virtual Directoryは完全に起動しません。
Oracle Virtual Directoryでは、次のプロトコルがサポートされます。
TLSv1
SSLv2Hello
SSLv3
この問題を回避するには、暗号スイートの構成時にEnterprise Managerに対してリストされたすべての暗号化を手動でオフにします。
Oracle Directory Services Managerでウィザードを使用してEUSアダプタを作成しているときに、アダプタおよびACLが正常に作成されなかったことを示すエラー・メッセージが定期的に表示されます。
この問題を回避するには、次の手順を行います。
ACLのロード中にエラーが発生し、EUS構成中にACLの一部のみがロードされた場合、次のコマンドを実行して、残りのACLを手動でロードできます。
$ORACLE_HOME/bin/ldapmodify -c -v -h <ovd_host> -p <ovd_port> -D cn=orcladmin -w <orcladmin_password> -f $ORACLE_HOME/ovd/eus/eusACLTemplate.ldif
それ以外の手順でエラーが発生した場合、次の手順を使用して、Oracle Virtual Directoryから部分的な構成を手動でクリーンアップしてから、EUS用にOracle Virtual Directoryを再構成します。
すべてのローカル・ストアと作成されたLDAP EUSを削除します。
LSA EUSアダプタ・データ・ファイルをローカル・ファイル・システムから削除します。
ディレクトリ・タイプに基づき(存在する場合)、EUS pyマッピングをアンデプロイします。
EUSウィザード・アイコンを再度クリックして再構成します。
バックエンドとしてSybaseを使用するデータベース・アダプタの作成により、Oracle Virtual Directoryが「無効なデータベース接続」
エラーで失敗します。
この問題を回避するには、同じデータベース接続情報を使用して、adapters.os_xml
ファイルを手動で編集します。
Enterprise Managerに表示されるOracle Directory Services Managerのバージョンは、アプリケーションのバージョンですが、Oracle Directory Services Managerにパッチを適用しても変更されません。
Oracleライフサイクル・チームは、すべてのEnterprise Managerコンポーネントが同じアプリケーション・バージョンを保持することを要求しています。しかし、使用しているOracle Directory Services Managerのバージョンを顧客が認識するために、Oracle Directory Services Managerでは実際の(パッチ)バージョンを保持しますが、Enterprise Managerではアプリケーション・バージョンを保持するため、この不一致が発生します。
この問題は、リリース11.1.1.3.0からの既知の問題です。
ファイルodsmSkin.css
内のコメントの位置の誤りにより、Oracle Directory Services Managerホーム・ページの一部のラベルが正しく表示されません。特に、右側のダイアグラムのラベルの位置が誤っているか欠落しています。
この問題を回避するには、次の手順を行います。
wls_ods1管理対象サーバーとWebLogic管理サーバーを停止します。
ファイルを編集します。
MW_HOME/user_projects/domains/DOMAIN_HOME/servers/MANAGED_SERVER_NAME/tmp/_WL_user/ODSM_VERSION_NUMBER/RANDOM_CHARACTERS/war/skins/odsmSkin.css
次に例を示します。
wlshome/user_projects/domains/base_domain/servers/wls_ods1/tmp/_WL_user/odsm_11.1.1.2.0/z5xils/war/skins/odsmSkin.css
編集前のodsmSkin.css
ファイルは次のようになっています。
@agent ie /*========== Fix for bug#7456880 ==========*/ { af|commandImageLink::image, af|commandImageLink::image-hover, af|commandImageLink::image-depressed { vertical-align:bottom; } }
コメントを移動します。
/*========== Fix for bug#7456880 ==========*/
この行の上になるように
@agent ie
編集後のファイルは次のようになります。
/*========== Fix for bug#7456880 ==========*/ @agent ie { af|commandImageLink::image, af|commandImageLink::image-hover, af|commandImageLink::image-depressed { vertical-align:bottom; } }
WebLogic管理サーバーおよびwls_ods1管理対象サーバーを再起動します。
Fusion Middleware ControlからOracle Directory Services Managerを起動し、新規Oracle Directory Services Managerタスクを選択すると、ブラウザ・ウィンドウが使用できなくなる場合があります。たとえば、ウィンドウが繰り返しリフレッシュしたり、空白ページとして表示されたり、ユーザー入力を受け付けなかったり、nullポインタ・エラーを表示します。
回避方法として、URL: http://host:port/odsmに移動します。hostおよびportは、Oracle Directory Services Managerが実行されている場所を示します。たとえば、http://myserver.example.com:7005/odsmなどです。これにより、Oracle Directory Services Managerウィンドウを使用してサーバーにログインできるようになります。
同じOracle Directory Services Managerセッションから複数のOracle Virtual Directoryコンポーネントを管理する場合、Oracle Virtual Directoryコンポーネントの1つを停止すると、例外またはエラーが表示されることがあります。たとえば、同じOracle Directory Services Managerセッションからovd1およびovd2という名前のOracle Virtual Directoryコンポーネントを管理するとします。ovd1とovd2の両方とも構成され、実行されています。ovd1を停止し、Oracle Directory Services Manager内を移動しようとすると、例外または「ターゲットにアクセスできない」というメッセージが表示される場合があります。
この問題を回避するには、現在のOracle Directory Services Managerセッションを終了し、Webブラウザを閉じてから、新しいOracle Directory Services ManagerセッションでOracle Virtual Directoryコンポーネントに接続します。
Oracle Directory Services Managerを使用してアクセス制御ポイント(ACP)を作成すると、ACPを作成したDNの相対識別名(RDN)が画面の左側のナビゲーション・ツリーに表示されます。たとえば、cn=ForExample,dc=us,dc=sales,dc=westというDNでACPを作成すると、ナビゲーション・ツリーにcn=ForExampleが表示されます。ナビゲーション・ツリーでACPをクリックすると、その設定が画面の右側に表示され、関連付けられているRDNがページの上部に表示されます。
ACPに関連付けられているDNを識別するには、ナビゲーション・ツリーでACP上にカーソルを移動(マウス・オーバー)します。ACPに関連付けられている完全DNがツールチップ・ダイアログ・ボックスに表示されます。
ナビゲーション・ツリーでのACPのマウス・オーバーは、次のようにRDNが同一のDNに関連付けられているACPが複数ある場合に便利です。
ACP 1 = cn=ForExample,dc=us,dc=sales,dc=west
ACP 2 = cn=ForExample,dc=us,dc=sales,dc=east
ここでは、Fusion Middleware ControlのOracle Virtual Directoryメトリックの問題について説明します。内容は次のとおりです。
追加、バインド、取得などの特定の操作で実行されるようプラグインが構成されているOracle Virtual Directoryリリース10gインストールを11gリリース1 (11.1.1)にアップグレードした場合、Fusion Middleware Controlを使用してパフォーマンス・メトリックを表示する前に、これらの操作固有のプラグインを更新する必要があることがあります。
11gリリース1 (11.1.1)へアップグレードし、アップグレードが成功かどうかを確認する初期操作を行った後、Fusion Middleware ControlでOracle Virtual Directoryホームページをチェックします。「現行ロード」および「平均レスポンス時間と操作」メトリックのデータが表示されるはずです。
これらのメトリックのデータが表示されない場合、特定の操作で実行されるよう構成されているプラグインを更新する必要があります。回避方法は、パフォーマンス監視プラグインを操作固有のプラグインの構成チェーンに追加することです。
次の手順を実行して、パフォーマンス監視プラグインを操作固有のプラグインの構成チェーンに追加します。
操作固有のプラグインがグローバル・レベルのプラグインの場合、ORACLE_INSTANCE/config/OVD/NAME_OF_OVD_COMPONENT/ディレクトリにあるserver.os_xmlファイルを編集します。
操作固有のプラグインがアダプタ・レベルのプラグインの場合、ORACLE_INSTANCE/config/OVD/NAME_OF_OVD_COMPONENT/ディレクトリにあるadapters.os_xmlファイルを編集します。
ファイルでpluginChains
要素を見つけます。たとえば、トランザクションのダンプ・プラグインが取得操作で実行されるよう構成されている場合、次のようになります。
例11-1 取得操作について構成されているトランザクションのダンプ・プラグイン
<pluginChains xmlns="http://xmlns.oracle.com/iam/management/ovd/config/plugins"> <plugins> <plugin> <name>Dump Transactions</name> <class>com.octetstring.vde.chain.plugins.DumpTransactions.DumpTransactions</class> <initParams> <param name="loglevel" value="info"/> </initParams> </plugin> <plugin> <name>Performance Monitor</name> <class>com.octetstring.vde.chain.plugins.performance.MonitorPerformance</class> <initParams/> </plugin> </plugins> <default> <plugin name="Performance Monitor"/> </default> <get> <plugin name="Dump Transactions"> <namespace>ou=DB,dc=oracle,dc=com </namespace> </plugin> </get> </pluginChains>
次のパフォーマンス監視プラグイン要素を操作固有の構成チェーンに追加します。
<plugin name="Performance Monitor"/>
次に例を示します。
例11-2 操作固有のプラグイン構成チェーンへのパフォーマンス監視の追加
<pluginChains xmlns="http://xmlns.oracle.com/iam/management/ovd/config/plugins">
<plugins>
<plugin>
<name>Dump Transactions</name>
<class>com.octetstring.vde.chain.plugins.DumpTransactions.DumpTransactions</class>
<initParams>
<param name="loglevel" value="info"/>
</initParams>
</plugin>
<plugin>
<name>Performance Monitor</name>
<class>com.octetstring.vde.chain.plugins.performance.MonitorPerformance</class>
<initParams/>
</plugin>
</plugins>
<default>
<plugin name="Performance Monitor"/>
</default>
<get>
<plugin name="Dump Transactions">
<namespace>ou=DB,dc=oracle,dc=com </namespace>
</plugin>
<plugin name="Performance Monitor"/>
</get>
</pluginChains>
ファイルを保存します。
Oracle Virtual Directoryを再起動します。
現在、TimesTenのバグにより、TimesTenを使用したデータベース・アダプタでワイルドカード検索(「cn=t*
」など)が使用できません。
この問題を回避するには、「大/小文字区別なしの検索」オプションを有効化し、検索で使用する任意のデータベース列に必要な言語索引を作成します。
詳細は、関連するTimesTen拡張リクエスト、Bug#9885055および『Oracle Virtual Directory管理者ガイド』のOracle TimesTenインメモリー・データベースのデータベース・アダプタの作成に関する項を参照してください。
Oracle Directory Services Managerバージョン11.1.1.4.0は、Oracle Virtual Directoryバージョン11.1.1.2.0または11.1.1.3.0をサポートしていません。
Oracle Directory Services Managerバージョン11.1.1.4.0で導入された変更によって構成の監査が向上しますが、これらの変更により、Oracle Virtual Directory 11.1.1.4.0を使用する必要があります。
Oracle Directory Services Managerバージョン11.1.1.5.0は、Oracle Virtual Directoryバージョン11.1.1.2.0、11.1.1.3.0または11.1.1.4.0をサポートしていません。
Oracle Directory Services Managerバージョン11.1.1.5.0で導入された変更によって構成の監査が向上しますが、これらの変更により、Oracle Virtual Directory 11.1.1.5.0を使用する必要があります。
Oracle Directory Services Managerバージョン11.1.1.6.0は、Oracle Virtual Directoryバージョン11.1.1.2.0、11.1.1.3.0、11.1.1.4.0または11.1.15.0をサポートしていません。
Oracle Directory Services Managerバージョン11.1.1.6.0で導入された変更によって構成の監査が向上しますが、これらの変更により、Oracle Virtual Directory 11.1.1.6.0を使用する必要があります。
JDK 6を使用してMicrosoft WindowsプラットフォームでCRUD操作を実行すると、NIO(非ブロッキング入出力)モードで問題が発生します。非ブロッキング入出力に問題があるからです。同じ問題がWindowsデュアル・スタック(IPv4/IPv6)システムでのIPv6アドレスでも発生します。
注意: IPv6スタックに対するサポートはJDK 7ビルドb36で追加されました。 |
詳細は、JDKバグID 6230761 (http://bugs.sun.com/view_bug.do?bug_id=6230761)および4640544 (http://bugs.sun.com/view_bug.do?bug_id=4640544)を参照してください。
Oracle Virtual Directory開発チームはJDK 7でこのユース・ケースを検証し、Oracle Virtual DirectoryのNIOモードで動作することを確認しました。
回避策:
注意: この回避方法をOracle Virtual Directoryサーバーに適用する必要があります。 |
Oracle Virtual Directoryサーバーで、<
OracleInstance>
/config/OVD/ovd1/listeners.os_xml
の次の場所に<useNIO>false</useNIO>
XML要素を追加し、NIOモードをオフにしてから、Oracle Virtual Directoryサーバーを停止して再起動します。
<ldap id="LDAP Endpoint" version="0"> <port>6501</port> ... <socketOptions> ... </socketOptions> <useNIO>false</useNIO> </ldap>
シングル・サインオン用としてOracle Access Manager 11gリリース1 (11.1.1.2)を使用するようOracle Directory Services Managerが構成されている場合、ASCII以外の文字が名前に含まれるユーザーがログインした後、次の問題が発生することがあります。
ホームページに表示されるユーザー名が文字化けします。
Oracle Virtual Directoryサーバーに対するシングル・サインオン接続が接続のリストに表示されません。
Oracle Directory Services Managerをアップグレードした後、属性またはオブジェクト・クラスを作成すると、NPEエラーが発生します。
回避策:
作成が失敗するたびに「リフレッシュ」をクリックし、エントリをリフレッシュします。
アカウント・ロックアウト機能を有効化するには、追加パッチ10365116が必要です。
また、Oracle Virtual Directoryは、アカウントが完全にロックアウトされるまでADのbadpasswdcountを更新できません。つまり、AD badpasswdcountは、ADに設定されている不正パスワードの試行回数に達したときに正しい数を示します。
Oracle Directory Services Managerインタフェースは、Internet Explorer 7に示されるようには表示されない場合があります。
たとえば、「ログアウト」リンクが表示されないことがあります。
これが問題の原因となる場合は、Internet Explorer 8または9にアップグレードするか、別のブラウザを使用してください。
Oracle Virtual DirectoryのEUSウィザードで提供される、ユーザー・アカウントのロックアウトを有効にする新しい機能(および関連メッセージ)はローカライズされていません。
Oracle Directory Services Managerバージョン11.1.1.2.0への一部のデプロイメントの変更により、Oracle Virtual Directoryバージョン11.1.1.7.0またはOracle Internet Directoryバージョン11.1.1.7.0にアップグレードすると、Oracle Directory Services Managerバージョン11.1.1.1.0で作成された任意の接続は失われます。
Oracle Virtual Directoryバージョン11.1.1.7.0またはOracle Internet Directoryバージョン11.1.1.7.0にアップグレードした後、初めて再接続するときに、Oracle Directory Services Managerは接続の詳細のキャッシュを再開します。
Enterprise Managerコンソールでは、すべてのパッチ・セット・リリースに対してOracle Directory Services Managerのバージョンは自動的に11.1.1.2.0と表示されます。このOracle Directory Services Managerのバージョン番号は、アップグレードすると、パッチ・セット・バージョンと一致するようにインクリメントされません。
Windows 2003および2008マシン(32ビットと64ビットの両方)のバージョン11.1.1.6.0および11.1.1.7.0では、Oracle Virtual Directoryの起動が例外で失敗します。
この問題を回避するには、Oracle Virtual Directoryを含むインスタンスを起動する前に次の手順を実行します。
次の場所でcwallet.sso
ファイルを探します。
$instance_home\config\jps\bootstrap\cwallet.sso
write
権限をSYSTEM
ユーザーの割当て済権限に追加します。
Oracle Virtual Directoryインスタンスを起動します。
Linux以外の環境で、Oracle Directory Services Manager、LDAPツール、またはその他任意のアプリケーションからOracle Virtual Directoryへの接続に問題がある場合、次の手順を使用して、非SSLリスナーでNIOを無効にする必要があります。
コマンド・ウィンドウからOracle Virtual Directoryを停止します。
$ORACLE_INSTANCE/bin/opmnctl stopproc ias-component=ovd1
次のように、$
ORACLE_INSTANCE/config/OVD/ovd1/listeners.os_xml
ファイルを編集します。
次のLDAP非SSLリスナー・セクションを見つけます。
<ldap id="LDAP Endpoint" version="0"> <port>6501</port> <host>0.0.0.0</host> ......... ......... <tcpNoDelay>true</tcpNoDelay> <readTimeout>0</readTimeout> </socketOptions> </ldap>
次のように、<useNIO>false</useNIO>,
を追加して、このセクションを変更します。
<ldap id="LDAP Endpoint" version="0">
<port>6501</port>
<host>0.0.0.0</host>
.........
.........
<tcpNoDelay>true</tcpNoDelay>
<readTimeout>0</readTimeout>
</socketOptions>
<useNIO>false</useNIO>
</ldap>
Oracle Virtual Directoryを起動します。
$ORACLE_INSTANCE/bin/opmnctl startproc ias-component=ovd1
この変更により、接続の問題は解決するはずです。
Oracle Directory Services Managerバージョン11.1.1.7.0は、Oracle Virtual Directoryバージョン11.1.1.2.0、11.1.1.3.0、11.1.1.4.0、11.1.1.5.0または11.1.1.6.0をサポートしていません。
Oracle Directory Services Managerバージョン11.1.1.7.0で導入された変更によって構成の監査が向上しますが、これらの変更により、Oracle Virtual Directory 11.1.1.7.0を使用する必要があります。
modify
操作で空の値を持つ属性を追加した場合、その属性タイプで空の値を許可していなくても、エラーが返されなくなりました。たとえば、ldapmodify ADD sn
に空の値がある場合、以前は無効な構文エラーを返していましたが、現在は何のエラーも返さなくなりました。その他のmodify
操作の失敗は、正しくレポートされます。
この項では、構成に関する問題およびその回避策について説明します。次の項目が含まれます。
『Oracle Fusion Middleware Oracle Virtual Directory管理者ガイド』にも『Oracle Fusion Middleware管理者ガイド』にも、SSL相互認証用のOracle Virtual Directory/Oracle Internet Directoryアダプタの設定方法が記載されていません。この情報は、ノート1449118.1および1311791.1に記載されています。これらは次の場所にあるMy Oracle Supportで入手できます。
この項では、『Oracle Virtual Directory管理者ガイド』の訂正箇所について説明します。次の項目が含まれます。
Oracle Virtual Directoryを使用してOracle Unified DirectoryをLDAPデータ・ソースとしてデプロイできます。Oracle Virtual Directoryを使用したOracle Unified Directoryのデプロイ方法の詳細は、『Oracle® Fusion Middleware Oracle Virtual Directory管理者ガイド』のLDAPアダプタの作成に関する項を参照してください。