| Oracle® Fusion Middleware Oracle Privileged Account Manager管理者ガイド 11gリリース2 (11.1.2) B69534-07 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Privileged Account Manager管理者ガイド 11gリリース2 (11.1.2) B69534-07 |
|
前 |
次 |
この付録では、Oracle Privileged Account Managerの使用中に発生する可能性のある一般的な問題と、その解決方法について説明します。
この付録の構成は、次のとおりです。
表示される可能性のあるエラー・メッセージの詳細は、この付録に加えて、Oracle Fusion Middlewareエラー・メッセージ・リファレンスを参照してください。
この項では、この章の情報を使用する際のガイドラインとプロセスを示します。次のガイドラインおよびプロセスに従うことで、作業の焦点を問題解決に絞り、問題解決までの時間を短縮できます。
ガイドライン
この章の情報を使用する際は、次のことをお薦めします。
この章の解決策を実行した後すぐに、このトラブルシューティング情報を利用するきっかけとなった失敗したタスクを再試行します。再試行してもタスクが失敗する場合、この章に記載されている他の解決策を実行し、再度失敗したタスクを実行します。このプロセスを問題が解決するまで繰り返します。
実行した解決策、確認された現象およびトラブルシューティング中に収集したデータを記録しておきます。この章の情報を使用しても問題が解決されずサービス・リクエストを記録することになった場合、これらの情報があると迅速な問題解決につながります。
プロセス
この章の情報を利用する場合は、表C-1に概要を示したプロセスに従ってください。特定の項の情報でも問題を解決できない場合は、このプロセスの次のステップに進んでください。
表C-1 この章の情報を利用するプロセス
| 手順 | 使用する項 | 目的 |
|---|---|---|
|
1 |
|
Oracle Privileged Account Managerのトラブルシューティングのスタート・ガイド。この項に示す手順によって、幅広い問題に迅速に対応できます。 |
|
2 |
|
Oracle Privileged Account Managerに関する問題別トラブルシューティングの手順を実行します。この項では、次の内容について説明します。
|
|
3 |
|
My Oracle Supportを使用して、Oracle FusionアプリケーションまたはOracle BIに関するトラブルシューティングの追加情報を取得します。My Oracle Supportから、ナレッジ・ベース記事、コミュニティ・フォーラム、ディスカッションを含むいくつかの有益なトラブルシューティング・リソースにアクセスできます。 |
|
4 |
|
この章とMy Oracle Supportの情報では問題を解決できない場合に、サービス・リクエストを記録します。サービス・リクエストを記録するには、 |
この項では、Oracle Privileged Account Managerの問題を診断する方法について説明します。内容は次のとおりです。
Oracle Privileged Account Managerでエラーが発生した場合、デバッグ情報やコネクタ・ロギングを含む完全なログを収集して、エラーの原因に関する多くの情報を収集できます。次の手順を実行します。
Oracle Privileged Account Managerのロギング・レベルを最も詳細なレベルのTRACE:32に設定します。
|
注意:
|
エラーの発生元であるタスクまたはプロシージャを再度実行します。
DEBUGレベルを使用して生成されたログ情報を調査します。
この項では、一般的な障害と解決策について説明します。内容は次のとおりです。
第C.3.8項「グループ・メンバーシップの変更がOracle Privileged Account Managerに即座に反映されない」
第C.3.10項「Oracle Privileged Account Managerのエンド・ユーザーが明示的に付与されていない権限を取得する」
Oracle Privileged Account ManagerコンソールがOracle Privileged Account Managerサーバーに接続できません。
原因
コンソールがOracle Privileged Account Managerサーバーに接続できない場合は、コンソールまたはOracle Platform Security Services Trustに構成上の問題がある可能性があります。
解決策
この問題を解決するには、次のようにします。
ホストおよびポート情報が正しいことを確認します。
コンソールに表示されている、生成されたURLが応答することを確認します。
『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』のインストール後のタスクに関する項に説明されているすべての構成手順を正しく完了したことを確認します。
|
注意: 高可用性インスタンスを構成している場合は、『Oracle Fusion Middleware高可用性ガイド』に説明されているすべてのOracle Privileged Account Manager構成手順を正しく完了したことを確認します。 |
複数のブラウザ・ウィンドウがある、または同一のOracle Privileged Account Managerコンソールに対して複数のコンソール・タブが開いている場合は、1つのウィンドウまたはタブで行われた更新は、別のウィンドウやタブに即座には反映されません。
原因
Oracle Privileged Account Managerコンソールでは、更新をブラウザに事前にプッシュしません。
解決策
この問題を解決するには、ブラウザ・ウィンドウまたはタブをリフレッシュします。
ターゲットや特権アカウントにアクセスしようとすると失敗します。チェックアウト、チェックインまたはテストを実行できません。
原因1
Oracle Privileged Account Managerで使用されているICFコネクタに、ターゲット・システムとの相互作用に関する問題があります。
解決策1
この問題を解決するには、次のようにします。
ターゲット・システムが起動中で、該当の特権アカウントが存在することを確認します。
Oracle Privileged Account Managerのロギング・レベルをTRACE:32 (最も詳細なレベル)に上げてトレース・ログを確認し、障害の発生箇所を特定します。
不具合が環境上の問題によって発生することはよくあります。これは、トレース・ログを使用して識別し、ターゲット・システムで構成を修正することにより是正できます。詳細は、第14章「Oracle Privileged Account Managerの監査およびロギングの管理」を参照してください。
コネクタに問題がある可能性があります。再現可能なテスト・ケース、ターゲット・システムの詳細およびトレース・ログを含むバグを送信します。
原因2
ユーザーがOracle Privileged Account Managerからアウトオブバンドでターゲットのサービス・アカウント・パスワードを変更しました。たとえば、ユーザーが、DBホストを使用して、または別のドメインにある別のOracle Privileged Account Managerインスタンスを使用してパスワードを変更した場合は、元のOracle Privileged Account Managerサーバーの「パスワードの表示」機能によって変更が反映されることはなく、そのターゲットに接続しようとすると失敗します。
解決策2
この問題を解決するには、Oracle Privileged Account Managerコンソールまたはコマンド行を使用してターゲットを編集することで、新しいパスワードを更新する必要があります。詳細は、第8.8項「特権アカウントのパスワードの管理」または第A.5.8項「resetpasswordコマンド」を参照してください。
この項では、データベース・ターゲットの追加を阻む問題について説明します。
sysdbaロールでOracle Databaseに接続できないsysdbaロールを使用してOracle Databaseに接続しようとすると失敗し、次のエラー・メッセージが表示されます。
Invalid Connection Details, see server log for details.
原因
sysdbaロールを持つユーザーとしてOracle Databaseに接続するには、「拡張プロパティ」オプションを値internal_logon=sysdbaで構成する必要があります。
この設定は、Oracle Database SYSアカウントにも指定する必要があります。これには、sysdbaロールで接続する必要があります。Oracle Database SYSユーザーは特別なアカウントであるため、このロールを使用しない場合、接続が失敗する可能性があります。ただし、SYSを使用するかわりに、サービス・アカウントを作成する方が適しています。
解決策
この問題を解決するには、次のようにします。
sysdbaロールを持つユーザーとしてOracle Databaseに接続します。
|
注意: これらの構成手順は、通常のユーザーとして接続している場合には必要ありません。 |
ターゲットの「一般」タブを開き、「拡張構成」を開いて構成オプションを表示します。
internal_logon=sysdba値を接続プロパティ・フィールドに入力します。
「テスト」をクリックして接続を再テストします。
変更を保存します。
Oracle RACデータベースなどのデータベース・ターゲットに接続したり、Secure Socket Layer (SSL)を使用するための構成オプションを検出できません。
原因
Oracle Privileged Account Managerでは、汎用的なデータベース・コネクタを使用しています。この場合、特定のデータベース・ターゲット・システムの特別な構成オプションはクリーンで直観的な方法では公開されません。
解決策
この問題を解決するには、データベース接続URLおよび接続プロパティ・パラメータ値を変更することにより、データベース・ターゲットの特別な接続オプションを定義します。
|
注意:
|
接続のテスト、アカウントの検索またはパスワードのチェックアウト時にMicrosoft Active Directoryを使用するLDAPターゲットに障害が発生します。
原因
Active Directoryはデフォルトで特定の構成を必要とするため、LDAPターゲットの汎用的なデフォルト値を変更する必要があります。Oracle Privileged Account Managerでは、汎用LDAPコネクタを使用しています。この場合、特定のLDAPターゲット・システムの特別な構成オプションやカスタムな構成オプションは容易にはわかりません。(通常、問題を引き起こすのはActive Directory LDAPターゲットのみです。)
解決策
この問題を解決するには、LDAPターゲットを追加するときに次のことを確認します。
Active Directoryとの通信にSSLを使用します。
SSL証明書をOracle Privileged Account Managerを実行するWebLogicインスタンスにインポートします。詳細は、第15.1項「SSL経由でターゲット・システムと接続するためのOracle Privileged Account Managerの構成」を参照してください。
「ターゲット」ページから、TCPポートをActive Directory SSLポートに設定し、「SSL」チェック・ボックスを有効化します。
次の「拡張構成」パラメータを指定します。
パスワード属性をunicodepwdに設定します。
「拡張構成」→アカウント・オブジェクト・クラスをtop|person|organizationalPerson|userに設定します。
Active Directory内のデータに適切な属性(uidやsamaccountnameなど)をアカウント・ユーザー名属性、Uid属性およびアカウント取得用LDAPフィルタの各構成パラメータに指定します。
権限受領者がアカウントをチェックアウトしようとすると、Insufficient Privilegesエラーが発生して失敗します。
原因
Oracle Privileged Account Managerの権限付与ではユーザー名は大文字と小文字が区別されますが、WebLogic認証では常にそうとはかぎりません。
解決策
この問題を解決するには、製品アイデンティティ・ストアに使用されているオーセンティケータの取得したユーザー名をプリンシパルとして使用するオプションを必ず有効化してください。詳細は、第3.3.2項「Oracle Privileged Account Managerの外部アイデンティティ・ストアの構成」を参照してください。
ユーザーまたはグループに対して権限を付与する場合に、構成済のリモート・アイデンティティ・ストアからのユーザーおよびロールすべては表示できません。
原因1
ユーザーやロールを含むアイデンティティ・ストアに対応するオーセンティケータの制御フラグが、SUFFICIENTに設定されていません。
原因2
検索しているユーザーやロールが、プロバイダ・リストに表示されている最初のオーセンティケータに存在しません。
解決策
この問題を解決するには、次のようにします。
必要なオーセンティケータすべての制御フラグをSUFFICIENTに設定します。
デフォルトでは、Oracle Privileged Account Managerにより、プロバイダ・リストの最初のオーセンティケータでユーザーやグループが検索されます。ただし、jps-config.xmlのvirtualizeプロパティをtrueに設定した場合はと、Oracle Privileged Account Managerにより、すべてのLDAPオーセンティケータからエンティティが取得されます。次に例を示します。
<serviceInstance name="idstore.ldap" provider="idstore.ldap.provider"> <property name="idstore.config.provider" value="oracle.security.jps.wls .internal.idstore.WlsLdapIdStoreConfigProvider"/> <property name="CONNECTION_POOL_CLASS" value= "oracle.security.idm.providers.stdldap.JNDIPool"/> <property name="virtualize" value="true"/> </serviceInstance>
WebLogicでは、jps-config.xmlファイルは次の場所にあります。
DOMAIN_HOME/config/fmwconfig
グループ・メンバーシップを通じて権限が間接的に付与されているため、グループ・メンバーシップを更新してもOracle Privileged Account Managerに即座には反映されません。
たとえば、ユーザーをOracle Privileged Account Manager管理ロールに、またはOracle Privileged Account Manager特権アカウントを付与されたグループに割り当てても、その変更を即座に参照できないことがあります。
原因
WebLogicでは、デフォルトで、グループ・メンバーシップおよびアイデンティティ・アサーションをキャッシュします。したがって、ソースの場所での変更は、キャッシュ・エントリが再計算されるまでOracle Privileged Account Managerに反映されません。
解決策
この問題を解決するには、要件に合うように、WebLogicオーセンティケータおよびアサータの構成のキャッシング設定を変更します。
|
注意: 詳細は、次を参照してください。
|
exportまたはimport操作に、128ビットより大きなサイズの鍵は使用できません。
原因
デフォルトのJREインストールには、Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy Files 6は含まれません。
解決策
この問題を解決するには、http://www.oracle.com/technetwork/java/javase/downloads/jce-6-download-429243.htmlからダウンロード可能なJCEパッチを適用してください。
Oracle Privileged Account Managerエンド・ユーザーは、ユーザーに関連付られているすべてのグループにアクセスできますが、これらのグループへのアクセス権は明示的に付与されていません。
原因1
複数の値をそのネーミング値として使用するLDAPグループを通じて、Oracle Privileged Account Managerエンド・ユーザーにアクセス権を付与した場合。
たとえば、CNをそのネーミング属性として使用し、2つのグループAとBを含む環境を構成したとします。グループAにはCN値、cn=GroupAが1つのみ含まれており、グループBには2つのCN値、cn=GroupAとcn=GroupBが含まれているとします。
Oracle Privileged Account Managerホスト・コンテナ(WebLogicまたはWebSphere)は、GroupAの実際のメンバーがGroupAのメンバーであることをアサートします。ただし、ホスト・コンテナはGroupBの実際のメンバーがGroupAのメンバーであることもアサートします。つまり、GroupBのメンバーはGroupAに関連付けられている権限を間違って取得することを意味しています。
原因2
ネストされたグループ・メンバーシップを使用した場合。
グループBがグループAのメンバーであり、グループAにOracle Privileged Account Managerリソースへのアクセス権を付与した場合は、この権限をグループBに暗黙的に付与することになります。
解決策
この問題を解決するには、LDAP内のグループ・エントリで、使用されるネーミング属性に対して1つの値のみが設定されていることを確認する必要があります。
MSSQLサーバー・データベース・ターゲットやアカウントへアクセスしようとすると失敗します。テスト、チェックアウトまたはチェックインを実行できません。この問題は、次の2つの原因で発生します。
原因1
MSSQLドライバsqljdbc4.jarがありません。
原因2
JAVA Bug 7105007が発生している可能性があります。これは、Javaバージョン: 1.6.0_26および
1.6.0_29に影響します。http://bugs.sun.com/bugdatabase/view_bug.do?bug_id=7105007を参照してください。
解決策
この問題を解決するには、次のようにします。
MSSQLドライバは、表6-0「databaseターゲット・タイプのパラメータ」のデータベースのタイプの説明に記載されているように、サーバーで使用可能です。
JAVAバージョン1.6.0_30以上を使用して、前述のJAVAバグの発生を防ぎます。
この項では、Oracle Database透過的データ暗号化(TDE)モードでOracle Privileged Account Managerを設定または運用しようとする場合に発生する可能性がある問題について説明します。これらの問題には、次のようなものがあります。
TDEモードを有効化した後、次のエラー・メッセージのうちの1つが表示されます。
No TDE wallet found
TDE wallet is closed
TDE wallet is undefined
TDE wallet is open but has no master key
Columns are encrypted but TDE wallet is not open
原因
予期されていたTDEウォレットのステータスはopenです。
解決策
TDEウォレットでの問題を解決するには、『Oracle Database Advanced Security管理者ガイド』の透過的データ暗号化の有効化に関する項を参照してください。
TDEを設定した後、TDEウォレットは開いているが、列が暗号化されていないことに気が付きます。
原因
セキュアなOracle Privileged Account Manager列が暗号化されていません。
解決策
この問題を解決するには、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』のOracle Privileged Account Managerの構成に関する項に記載されている手順を実行します。
例:
sqlplus DEV_OPAM/welcome1 @IAM_HOME/opam/sql/opamxencrypt.sql
この項では、セッション記録トランスクリプトを表示しようとすると発生する可能性がある問題について説明します。これらの問題には、次のようなものがあります。
Internet Explorerを使用してOracle Privileged Account Managerコンソールにログインしましたが、アカウントの「チェックアウト履歴」ページから「記録」トランスクリプトを表示しようとすると、次のメッセージが表示されます。
There is a problem with this website's security certificate.
このサイトの閲覧を続行する (推奨されません)オプションを選択した後でも記録を開けません。
原因
Internet Explorerでは1024ビットを超える鍵サイズが要求されますが、Oracle WebLogic Serverによって生成されるそのままで使用できるDemoCAおよび証明書は512ビットです。
解決策
この問題を回避するには、1024ビットを超える鍵サイズを持つ自己署名証明書を生成する必要があります。次の手順を実行します。
2048ビットの鍵サイズを持つ自己署名証明書を生成します。
|
注意: 詳細は、Oracle Fusion Middleware Oracle WebLogic Serverコマンド・リファレンスのOracle WebLogic Server Javaユーティリティの使用方法に関する項を参照してください。 |
java utils.CertGen -keyfilepass <CAPassword> -certfile <hostname>-cert -keyfile <hostname>-key -cn <fully qualified hostname> -strength 2048 -selfsigned -keyusagecritical false -keyusage digitalSignature,nonRepudiation, keyEncipherment,dataEncipherment,keyAgreement,keyCertSign,cRLSign
例:
java utils.CertGen -keyfilepass Welcome123 -certfile adc2120745-cert -keyfile adc2120745-key -cn adc2120745.mycompany.com -strength 2048 -selfsigned -keyusagecritical false -keyusage digitalSignature,nonRepudiation, keyEncipherment,dataEncipherment,keyAgreement,keyCertSign,cRLSign
demoidentity別名を持つ鍵をdemoidentityoldに移動します。
cd MW_HOME/wlserver/server/lib keytool -list -keystore DemoIdentity.jks -storepass DemoIdentityKeyStorePassPhrase keytool -changealias -alias demoidentity -destalias demoidentityold -keypass DemoIdentityPassPhrase -keystore DemoIdentity.jks -storepass DemoIdentityKeyStorePassPhrase keytool -list -keystore DemoIdentity.jks -storepass DemoIdentityKeyStorePassPhrase
DemoIdentityStoreを手順1で生成した証明書および鍵で更新します。
|
注意: 詳細は、Oracle Fusion Middleware Oracle WebLogic Serverコマンド・リファレンスのOracle WebLogic Server Javaユーティリティの使用方法に関する項を参照してください。 |
cd MW_HOME/wlserver/server/lib java utils.ImportPrivateKey -keystore DemoIdentity.jks -storepass DemoIdentityKeyStorePassPhrase -keyfile <hostname>-key.pem -keyfilepass <CAPassword> -certfile <hostname>-cert.pem -alias demoidentity -keypass DemoIdentityPassPhrase
手順1で生成した証明書をDemoTrust.jksファイルにインポートします。
keytool -importcert -v -trustcacerts -file <hostname>-cert.pem -keystore DemoTrust.jks -storepass DemoTrustKeyStorePassPhrase -alias <hostname>
Oracle WebLogic Serverドメインを再起動します。
|
注意: 複数のサーバー上でホストされている環境の場合は、この手順を各サーバーに対して繰り返します。最も重要なのは、1つのサーバー上で実行した更新 |
セッション記録を表示しようとすると、エラー・メッセージThis web page is not availableが表示され、ホスト名としてlocalhostを使用するURLにリダイレクトされます。
原因
Oracle Privileged Account Managerのサーバー構成で構成されたOracle Privileged Account ManagerサーバーURLでは、そのURL内にlocalhostが定義されています。このホスト名は外部ホストからは解決できません。
解決策
「サーバー構成」ページを使用して、Oracle Privileged Account ManagerサーバーURLを、Oracle Privileged Account Managerサーバーの完全修飾ホスト名を反映するように変更します。
エンド・ユーザーには、アカウントへのアクセス権が付与されています。しかし、そのユーザーがそのアカウントを使用してOracle Privileged Session Managerに接続しようとすると、その接続は許可されません。
原因
エンド・ユーザーにアカウントへのアクセス権が付与されていても、有効な使用ポリシーに許可されるチェックアウト・タイプとして「セッション」が含まれていません。使用ポリシーで「セッション」アクセスを明示的に付与する必要があります。
解決策
有効な使用ポリシーを変更して、「セッション」アクセスも付与します。
Internet Explorer 11ブラウザでコンソールを使用してOracle Privileged Account Managerにログインしようとしました。エラー・メッセージはレポートされませんが、ログインは成功しませんでした。
原因
Oracle Privileged Account ManagerのログインはInternet Explorer 11ブラウザでは機能しません。
回避策
Internet Explorerの下位バージョンまたは別のブラウザを使用します。
解決策
ダウンロードしたパッチのREADMEの説明に従って、Oracle Universal Installer (OUI)のOracle Bug#18071063用のパッチを適用します。
このパッチをダウンロードするには、https://support.oracle.comにログインします。「パッチと更新版」タブを選択し、パッチ番号18071063を検索します。
Oracle Fusion Middlewareの問題解決にMy Oracle Support(以前のMetaLink)を使用できます。My Oracle Supportには、次のような有用なトラブルシューティング・リソースが含まれています。
ナレッジ・ベース記事
コミュニティ・フォーラムとディスカッション
パッチとアップグレード
動作保証情報
|
注意: My Oracle Supportを使用すると、サービス・リクエストのログ記録もできます。 |
My Oracle Supportにはhttps://support.oracle.comからアクセスできます。
