| Oracle® Fusion Middleware Identity Managementリリース・ノート 11gリリース2 (11.1.2.2) B72796-06 |
|
 前 |
 次 |
この章では、Identity Managementを含むOracle Fusion Middlewareの管理に関連する一般的な問題について説明します。次のトピックが含まれます:
この項では、一般的な問題および回避策について説明します。次のトピックが含まれます:
OPMNではopmnctlコマンドを提供しています。実行可能ファイルは次のディレクトリにあります。
ORACLE_HOME/opmn/bin/opmnctl: この場所のopmnctlコマンドは、ローカル・システムのOracleインスタンスまたはOracleインスタンスのコンポーネントの作成にのみ使用されます。この場所で生成されるすべてのopmnctlコマンドは、システム・プロセスの管理またはOPMNの起動には使用されません。
Windowsでは、この場所からopmnctl起動コマンドを使用してOPMNを起動すると、WindowsユーザーがログアウトしたときにOPMNとそのプロセスが終了します。
ORACLE_INSTANCE/bin/opmnctl: この場所でopmnctlコマンドを使用すると、Oracleインスタンスごとにopmnctlがインスタンス化されます。この場所からopmnctlコマンドを使用して、このOracleインスタンスのプロセスを管理します。また、このopmnctlを使用してOracleインスタンスのコンポーネントも作成できます。
Windowsでは、この場所からopmnctl起動コマンドを使用してOPMNを起動すると、OPMNがWindowsサービスとして起動されます。そのため、OPMN親プロセスおよびその下位のプロセスは、MS Windowsユーザーがログアウトした後も維持されます。
現在の環境にIPv6とIPv4のネットワーク・プロトコルが両方とも含まれる場合、特定の状況下でFusion Middleware Controlからエラーが返される可能性があります。
Fusion Middleware ControlにアクセスするブラウザがIPv4プロトコルを使用するホスト上に存在し、IPv6プロトコルを使用するホストにアクセスするコントロールを選択すると、Fusion Middleware Controlからエラーが返されます。同様に、Fusion Middleware ControlにアクセスするブラウザがIPv6プロトコルを使用するホスト上に存在し、IPv4プロトコルを使用するホストにアクセスするコントロールを選択すると、Fusion Middleware Controlからエラーが返されます。
たとえば、IPv4プロトコルを使用するホスト上のブラウザを使用しており、同時にFusion Middleware Controlを使用している場合、次のようにIPv6プロトコルを使用するホスト上で稼働するエンティティに移動すると、Fusion Middleware Controlからエラーが返されます。
Oracle Internet Directoryのホームページで、「Oracle Internet Directory」メニューから「Directory Services Manager」を選択する場合。Oracle Directory Services Managerは、IPv6プロトコルを使用するホスト上で稼働しています。
管理対象サーバーのホームページで、IPv6上で稼働するOracle WebLogic Server管理コンソールのリンクをクリックする場合。
IPv6を使用するホスト上のWebサービス・エンドポイントをテストする場合。
IPv6を使用するホスト上のアプリケーションURLまたはJavaアプリケーションをクリックする場合。
この問題を回避するには、/etc/hostsファイルに次のエントリを追加します。
nnn.nn.nn.nn myserver-ipv6 myserver-ipv6.example.com
この例で、nnn.nn.nn.nnは、管理サーバー・ホスト(myserver.example.com)のIPv4アドレスです。
テスト環境から本番環境に移行する場合は、次の制限および既知の問題に注意してください。
使用している環境にOracle WebLogic Serverがあり、あるリリースから別のリリースにアップグレードしている場合(例: 10.3.4から10.3.5)、pasteConfigスクリプトは次のエラーで失敗します。
Oracle_common_home/bin/unpack.sh line29: WL_home/common/bin/unpack.sh No such file or directory
この問題を回避するには、次のファイルを編集します。
MW_HOME/utils/uninstall/WebLogic_Platform_10.3.5.0/WebLogic_Server_10.3.5.0_Core_Application_Server.txt file
次のエントリを追加します。
/wlserver_10.3/server/lib/unix/nodemanager.sh /wlserver_10.3/common/quickstart/quickstart.cmd /wlserver_10.3/common/quickstart/quickstart.sh /wlserver_10.3/uninstall/uninstall.cmd /wlserver_10.3/uninstall/uninstall.sh /utils/config/10.3/setHomeDirs.cmd /utils/config/10.3/setHomeDirs.sh
Oracle Virtual Directoryを移動する場合、ソース環境のOracleインスタンスの名前は、ターゲット環境のOracleインスタンスの名前と同じにすることはできません。ターゲットのOracleインスタンスの名前は、ソースの名前とは異なっている必要があります。
Oracle Virtual Directoryをあるホストから別のホストに移動したら、ホストBのOracle Virtual DirectoryキーストアおよびEMエージェント・ウォレットに自己署名証明書を追加する必要があります。次の手順を実行してください。
ORACLE_HOMEおよびJAVA_HOME環境変数を設定します。
既存の自己署名証明書を削除します。
$JAVA_HOME/bin/keytool -delete -alias serverselfsigned -keystore ORACLE_INSTANCE/config/OVD/ovd_component_name/keystores/keys.jks -storepass OVD_Admin_password
鍵ペアを生成します。
$JAVA_HOME/bin/keytool -genkeypair -keystore ORACLE_INSTANCE/config/OVD/ovd_component_name/keystores/keys.jks -storepass OVD_Admin_password -keypass OVD_Admin_password -alias serverselfsigned -keyalg rsa -dname "CN=Fully_qualified_hostname,O=test"
証明書をエクスポートします。
$JAVA_HOME/bin/keytool -exportcert -keystore ORACLE_INSTANCE/config/OVD/ovd_component_name/keystores/keys.jks -storepass OVD_Admin_password -rfc -alias serverselfsigned -file ORACLE_INSTANCE/config/OVD/ovd_component_name/keystores/ovdcert.txt
EMエージェントにウォレットを追加します。
ORACLE_HOME/../oracle_common/bin/orapki wallet add -wallet ORACLE_INSTANCE/EMAGENT/EMAGENT/sysman/config/monwallet -pwd EM_Agent_Wallet_password -trusted_cert -cert ORACLE_INSTANCE/config/OVD/ovd_component_name/keystores/ovdcert.txt
Oracle Virtual Directoryサーバーを停止して起動します。
EMエージェントを停止して起動します。
copyConfig操作は、IPv6を使用しており、管理対象サーバーのリスニング・アドレスが設定されていないと失敗します。
この問題を回避するには、Oracle WebLogic Server管理コンソールで管理対象サーバーのリスニング・アドレスを設定します。サーバーにナビゲートします。次に、サーバー・ページの「設定」で、リスニング・アドレスを入力します。管理対象サーバーを再起動します。
Oracle Platform Securityを移動し、LDAPストアを使用している場合、ソース環境のLDAPストアは稼働しており、pasteConfig操作中にターゲットからアクセスできる必要があります。
Oracle HTTP Serverリリース11.1.1.6を使用してWebGateを構成している場合、移動スクリプトを使用する前に次のパッチをOracle HTTP Serverに適用する必要があります。
13897557
移行スクリプトは、リリース11.1.2.1以前のOracle Identity Managerのリリースについて、移行スクリプトの使用または手動の手順による別の環境への移行をサポートしていません。さらに、リリース11.1.2.1以前のOracle Identity Managerのリリースが他のコンポーネントのソース環境の一部である場合、その環境に対する移行スクリプトは失敗します。
Oracle Entitlements Serverをソース環境からターゲット環境へ移動する場合、copyConfigの手順が失敗し、ログ・ファイルに次のような例外が出力される可能性があります。
javax.management.InstanceNotFoundException: java.lang:type=Runtime at weblogic.rjvm.ResponseImpl.unmarshalReturn(ResponseImpl.java:237) at weblogic.rmi.internal.BasicRemoteRef.invoke(BasicRemoteRef.java:223)
ソース環境でcopyConfigを実行する前に、シェルでenv変数を設定し、ソース環境を再起動する必要があります。たとえば、env変数を次のように設定します。
setenv JAVA_OPTIONS -Djavax.management.builder.initial=weblogic.management.jmx.mbeanserver.WLSMBean ServerBuilder
Oracle Adaptive Access Managerの移動後、copyConfig操作の一環としてOPSSデータが移行されない場合にのみ(opssdataexportパラメータで指定)、Oracle Adaptive Access Managerのデータベース・スキーマのユーザー名が変更されます。
Oracle Identity Managerを含むドメインのcopyConfig操作が次の例外トレースで失敗する場合は、スクリプトで、ホスト名localhostを使用したOracle Identity Manager管理対象サーバーのMBeanサーバー接続の確立において問題が発生しています。
INFO : [PLUGIN][OIM] Mar 22, 2013 7:45:23 AM - CLONE-71019 Executing
Mbean:MBean
Name:oracle.iam:type=IAMAppRuntimeMBean,name=IDStoreConfigMBean,Application=oi
m,ApplicationVersion=11.1.2.0.0.
INFO : [PLUGIN][OIM] null
oracle.as.t2p.exceptions.FMWT2PCopyConfigException: java.lang.Exception
at
oracle.iam.t2p.OIMT2PCopyConfig.doCopyConfig(OIMT2PCopyConfig.java:87)
at
oracle.as.clone.cloner.component.J2EEComponentCreateCloner.getMovableCompsFrom
PluginImpl(J2EEComponentCreateCloner.java:796)
.
.
.
この場合は、マシンのネットワーク構成を分析して修正してください。このネットワーク構成について、ファイル/etc/hostsも確認してください。
Access ManagerとOracle Adaptive Access Managerが統合された環境を移行する場合、次のエラーが発生する可能性があります。
####<Mar 23, 2013 4:38:12 AM PDT> <Error> <Security> <slc01age> <AdminServer> <[ACTIVE] ExecuteThread: '0' for queue: 'weblogic.kernel.Default (self-tuning)'> <<WLS Kernel>> <> <> <1332502692218> <BEA-090870> <The realm "myrealm" failed to be loaded: weblogic.security.service.SecurityServiceException: java.lang.AssertionError: java.lang.reflect.InvocationTargetException. weblogic.security.service.SecurityServiceException: java.lang.AssertionError: java.lang.reflect.InvocationTargetException
この場合、次の手順に従います。
ソース環境にデプロイされたAccess ManagerコンソールとOracle WebLogic Server管理コンソールから、IAMSuiteAgentのアクセス・クライアント・パスワードを削除します。
ソース環境でcopyConfigスクリプトを実行します。
ターゲット環境でpasteConfigスクリプトを実行します。
pasteConfigスクリプトの実行時、アーカイブにOracle Platform Security Servicesが含まれる場合、スクリプトは次のエラーを返す可能性があります。
oracle.security.audit.util.StrictValidationEventHandler handleEvent
WARNING: Failed to validate the xml content. Reason: cvc-complex-type.2.4.b:
The content of element '' is not complete. One of
'{"http://xmlns.oracle.com/ias/audit/audit-2.0.xsd":source}' is expected..
Apr 24, 2013 6:28:29 AM
oracle.security.audit.util.StrictValidationEventHandler handleEvent
WARNING: Failed to validate the xml content. Reason: cvc-complex-type.2.4.b:
The content of element '' is not complete. One of
'{"http://xmlns.oracle.com/ias/audit/audit-2.0.xsd":source}' is expected..
これらのエラーは無視できます。
pasteConfigスクリプトの実行時、次のエラー・メッセージがpasteConfigのログに記録される場合があります。
SEVERE: 2013-10-22 01:06:33.432/953.466 Oracle Coherence GE 3.7.1.1 <Error>
(thread=Configuration Store Observer, member=n/a): Error while starting
cluster: (Wrapped) java.io.FileNotFoundException:
config/fmwconfig/.cohstore.jks (No such file or directory)
at com.tangosol.util.Base.ensureRuntimeException(Base.java:288)
at com.tangosol.util.Base.ensureRuntimeException(Base.java:269)
at com.tangosol.net.ssl.SSLSocketProvider.setConfig(SSLSocketProvider.java:444)
at com.tangosol.net.SocketProviderFactory.createProvider(SocketProviderFactory.java:77)
at com.tangosol.net.SocketProviderFactory.ensureProvider(SocketProviderFactory.java:152)
at com.tangosol.coherence.component.net.Cluster.configureSockets(Cluster.CDB:28)
これらのエラーは無視できます。
copyConfigスクリプトは次の警告を返す場合があります。
======================================================================= WARNING: Unsupported configuration store version detected. Required "11.1.2.2.0" but found "11.1.2.1.0". Nov 03, 2013 10:16:41 PM oracle.security.am.admin.config.BasicFileConfigurationStore loadConfiguration WARNING: Unsupported configuration store version detected. Required "11.1.2.2.0" but found "11.1.2.1.0". Nov 03, 2013 10:16:42 PM oracle.security.am.admin.config.BasicFileConfigurationStore loadConfiguration WARNING: Unsupported configuration store version detected. Required "11.1.2.2.0" but found "11.1.2.1.0". =======================================================================
これらの警告は無視してかまいません。
Access Manager、Oracle Identity ManagerおよびOracle Adaptive Access Managerが含まれる環境では、ターゲット環境の次のデータ・ソース・プロパティに、無効な値が含まれる場合があります。
portNumber SID serverName
これらはドメイン内のすべてのデータ・ソースに含まれる冗長なプロパティであるため、これらのプロパティ値が無効であっても、機能が失われることはありません。
この項では、構成に関する問題およびその回避策について説明します。次のトピックが含まれます:
Fusion Middleware ControlとOracle WebLogic Server管理コンソール間のシングル・サインオン・メカニズムとしてWindowsのネイティブ認証(WNA)を使用する場合、次のファイルを変更する必要があります。
web.xml
weblogic.xml
これらのファイルは、em.earファイルに含まれます。em.earファイルを展開して各ファイルを編集してから、em.earファイルに再アーカイブします。次の手順を実行してください(フロントエンドがWindows上にあり、em.earファイルがUNIX上にあると仮定します)。
JAVA_HOME環境変数を設定します。例:
setenv JAVA_HOME /scratch/Oracle/Middleware/jrockit_160_05_R27.6.2-20
em.earが含まれるディレクトリに移動し、ファイルを展開します。例:
cd /scratch/Oracle/Middleware/user_projects/applications/domain_name JAVA_HOME/bin/jar xvf em.ear em.war JAVA_HOME/bin/jar xvf em.war WEB-INF/web.xml JAVA_HOME/bin/jar xvf em.war WEB-INF/weblogic.xml
web.xmlを編集し、最初のlogin-configブロックをコメントアウトし、WNAのlogin-configを非コメントアウトします。(どのブロックをコメント化または非コメント化するかはファイルに含まれています。)次に、ファイルの一部が次のように表示されます。
<!--<login-config>
<auth-method>CLIENT-CERT</auth-method>
</login-config>
-->
<!--
the following block is for Windows Native Authentication, if you are using
WNA, do the following:
1. uncomment the following block
2. comment out the previous <login-config> section.
3. you also need to uncomment a block in weblogic.xml
-->
<login-config>
<auth-method>CLIENT-CERT,FORM</auth-method>
<form-login-config>
<form-login-page>/faces/targetauth/emasLogin</form-login-page>
<form-error-page>/login/LoginError.jsp</form-error-page>
</form-login-config>
</login-config>
<security-constraint>
.
.
.
<security-role>
<role-name>Monitor</role-name>
</security-role>
weblogic.xmlを編集し、次のブロックを非コメント化します。(どのブロックを非コメントかするかはファイルに含まれています。)次に、ファイルの一部が次のように表示されます。
<!--
the following block is for Windows Native Authentication, if you are using
WNA, uncomment the following block.
-->
<security-role-assignment>
<role-name>Admin</role-name>
<externally-defined/>
</security-role-assignment>
.
.
.
<security-role-assignment>
<role-name>Deployer</role-name>
<externally-defined/>
</security-role-assignment>
em.earファイルに再アーカイブします。例:
JAVA_HOME/bin/jar uvf em.war WEB-INF/web.xml JAVA_HOME/bin/jar uvf em.war WEB-INF/weblogic.xml JAVA_HOME/bin/jar uvf em.ear em.war
ここでは、『Oracle Fusion Middleware管理者ガイド』および『Oracle Fusion Middleware高可用性ガイド』のドキュメントの訂正箇所を示します。
現時点では『Oracle Fusion Middleware管理者ガイド』に訂正箇所はありません。
この項には、『Oracle Fusion Middleware高可用性ガイド11g リリース2 (11.1.2.1.0)』(原本部品番号E28391-04)の次の訂正箇所が含まれます。
第8.3.3.1.1項「Oracle WebLogic Serverのインストール」の手順5「「製品とコンポーネントの選択」画面で「Oracle JRockit SDK」のみを選択し、「次へ」をクリックします。」の記述は正しくありません。「「製品とコンポーネントの選択」画面で、認証済JDKを選択します。」と記述する必要があります。Oracleの認証マトリックスを参照して、適切なJDKを選択してください。http://www.oracle.com/technetwork/middleware/downloads/fmw-11gr1certmatrix.xlsを参照してください。
