| Oracle® Fusion Middleware Identity Managementリリース・ノート 11gリリース2 (11.1.2.2) B72796-06 |
|
 前 |
 次 |
この章では、Oracle Identity and Access Management 11gリリース2 (11.1.2.2.0)のインストールと構成プロセスに関連する問題について説明します。次の項が含まれます:
この項では、一般的な問題および回避策について説明します。次のトピックが含まれます:
第2.1.4項「オプション: Identity and Access ManagementドメインのWebLogic Serverのログ・レベルをSEVEREに設定」
第2.1.6項「Windows 2012でEnterprise Managerコンソールに「Identity and Access」リンクが表示されない」
AIXでは、簡易セキュリティ・モードは、Oracle Access Managementサーバー11.1.2と連動しません。
回避策: オープンまたは証明書セキュリティ・モードのいずれかを使用します。
Oracle Access Management管理コンソール・ログのポリシーを編集しようとすると、Oracle Access Management管理対象サーバー・ログに次のエラーが表示されます。
<oracle.jps.policymgmt> <JPS-10606> <Failed to distribute policy to PDP OracleIDM for catch exception oracle.security.jps.service.policystore.PolicyStoreException: JPS-04028: Application with name "cn=OAM11gApplication,cn=jpsXmlFarm,cn=JPSContext,cn=jpsXmlRoot" does not exist..>
この例外は、サーバーがアイドル状態の場合でも10分ごとに表示されます。
回避策:
pdp.serviceインスタンス・プロパティから-Cオプションを指定してインストールした後に、jps-config.xmlファイルから次のプロパティを削除します。
<property name="oracle.security.jps.pdp.AuthorizationDecisionCacheEnabled" value="false"/> <property name="oracle.security.jps.ldap.policystore.refresh.interval" value="10000"/>
pdp.serviceインスタンス・プロパティに次の新しいプロパティを追加します。
<property name="oracle.security.jps.pd.client.PollingTimerInterval" value="10"/>
値は秒単位で、Oracle Access Managementに必要な適切な値を設定します。その変更は、Oracle Identity ManagerまたはOracle Access Managerと同様にOracle Identity Managementインストールに対してのみ行う必要があります。
次に、configSecurityStoreコマンド実行後のjps-config.xmlファイルのpdp.serviceインスタンスの例を示します。
<serviceInstance name="pdp.service" provider="pdp.service.provider"> <description>Runtime PDP service instance</description> <property name="oracle.security.jps.runtime.pd.client.policyDistributionMode" value="mixed"/> <property name="oracle.security.jps.runtime.instance.name" value="OracleIDM"/> <property name="oracle.security.jps.runtime.pd.client.sm_name" value="OracleIDM"/> <property name="oracle.security.jps.pdp.AuthorizationDecisionCacheEnabled" value="false"/> <property name="oracle.security.jps.policystore.refresh.enable" value="true"/> <property name="oracle.security.jps.ldap.policystore.refresh.interval" value="10000"/> </serviceInstance>
この項では、Oracle HTTP ServerでSSLを有効にするためにダウンロードしてインストールする必須パッチを説明します。
| プラットフォーム | パッチ |
|---|---|
| Solaris (64ビット) | 14264658 |
| Microsoft Windows x64 (64ビット) | 14264658 |
| Solaris x86-64 (64ビット) | 14264658 |
| IBM AIX (64ビット) | 14264658 |
| Linux x86-64 | 14264658 |
パッチをダウンロードするには、次を実行します:
My Oracle Supportにログインします。
「パッチと更新版」をクリックします。
「パッチ名または番号」を選択します。
パッチ番号を入力します。
「検索」をクリックします。
パッチをダウンロードしてインストールします。
ログ・レベルをSEVEREに変更するには、次を実行します:
Logging.xmlは、すべてのログ・ハンドラおよびロガー(OAM_Server1、OIM_Server1、SOA)に対してlevel=SEVEREである必要があります。
Admin Console http://Hostname:port/consoleにログインします。
「ロックして編集」をクリックし、ドメインをロック解除します。
「サーバー」リンクをクリックします。
変更するサーバーをクリックします。
「ロギング」をクリックします。
「詳細」をクリックします。
「メッセージの宛先」のログ・レベルを変更するには、次のようにします:
| メッセージの宛先 | 推奨する重大度レベル | デフォルト設定 |
|---|---|---|
| ログ・ファイル | 警告 | トレース |
| 標準出力 | エラー | 通知 |
| ドメイン・ログ・ブロードキャスタ | エラー | 通知 |
| メモリー・バッファ重大度 | エラー | 空白 |
「保存」をクリックします。
「変更のアクティブ化」をクリックします。
サーバーを再起動します。
すべての対象サーバー(OAM_Server1、OIM_Server1、SOA)に対してこのプロセスを繰り返します。
クラスタ化された設定でスケジューラの起動または停止を制御する場合は、scheduler.disabledシステム・プロパティが必要です。クラスタのノードでスケジューラ・サービスを起動しない場合は、scheduler.disabledシステム・プロパティをtrueに設定する必要があります(逆の場合は、逆に設定します)。
Weblogicコンソールを使用してscheduler.disabledシステム・プロパティを変更する手順は次のとおりです:
WebLogic管理者の資格証明を使用して、Oracle WebLogic管理コンソールにログインします。
「ドメイン構造」の下で「環境」→「サーバー」をクリックします。「サーバーのサマリー」ページが表示されます。
Oracle Identity Managerサーバー名(oim_server1など)をクリックします。oim_server1の設定が表示されます。
「構成」→「サーバーの起動」をクリックします。
「引数」テキスト・ボックスで、既存のプロパティscheduler.disabled = false/trueを変更します。
「保存」をクリックします。
「変更のアクティブ化」をクリックします。
Oracle Identity Manager管理対象サーバーを再起動します。
|
注意: scheduler.disabledシステム・プロパティを変更したら、ノード・マネージャを使用して管理対象サーバーを起動する必要があります。 |
Oracle Identity and Access ManagementをWindows 2012にインストールした場合、「Identity and Access」リンクはEnterprise Managerコンソールに表示されません。
回避策:
この問題を回避するには、Oracle Identity Managerを構成した後、次の手順を実行する必要があります。
ORACLE_HOME\server\setup\templates\wls\oim-mbeans.xmlファイルをDOMAIN_HOME\config\fmwconfig\mbeansディレクトリにコピーします。
次の場所にoimという新規ディレクトリを作成します。
DOMAIN_HOME\config\fmwconfig\mbeans
ORACLE_HOME\server\setup\templates\wls\oim-clustermbean.jarファイルをDOMAIN_HOME\config\fmwconfig\mbeans\oimディレクトリにコピーします。
OIMサーバーを再起動します。
リリース11.1.1.5から11.1.2.xでは、パッチセット・アシスタント・ツールを使用してWebLogic Serverパッチを適用した後に、新しいOAMドメインを作成し、OAMサーバーを起動しようとすると、OAM管理サーバーおよびOAM管理対象サーバーが起動に失敗します。次に示すエラーが表示されます。
Patched WLS Will Break Access to OAM Policy Store - "OAMSSA-06252: The policy store is not available;"
回避策:
回避方法として、次の手順を実行します。
テキスト・エディタを使用してDOMAIN_HOME/bin/SetDomainEnv.cmdファイル(Windows)、またはDOMAIN_HOME\bin\SetDomainEnv.sh (UNIX)を開き、次の行を追加します。
WLS_PATCHVERSION=WLS_version_no
export $WLS_PATCHVERSION
Oracle WebLogic Server 10.3.5を使用している場合のWLS_version_noはwls_patch1035であり、Oracle WebLogic Server 10.3.6を使用している場合のWLS_version_noはwls_patch1036です。
SetDomainEnv.cmdファイル(Windows)またはSetDomainEnv.sh (UNIX)でJAVA_PROPERTIESを探し、次の行を追加します。
JAVA_PROPERTIES="-Dplatform.home=${WL_HOME} -Dwls.home=${WLS_HOME} -Dweblogic.home=${WLS_HOME} -Dwlspatch=${WLS_PATCHVERSION} "
OAM管理サーバーおよびOAM管理対象サーバーを再起動します。
Oracle WebLogic Serverに最新のパッチを適用した後、Discoverer、Access Manager、Identity Managerなどのミドルウェア・サービスが起動するために、WL_HOME/server/lib/weblogic.policyファイルを編集して次のエントリを含める必要があります。
grant codeBase "file:MW_HOME/WLS/patch_jars/-" {
permission java.lang.RuntimePermission "oracle.*","read";
};
MW_HOMEをミドルウェア・ホーム・ディレクトリの場所に置き換えます。
WLSを次のいずれかに置き換えます。
WebLogic Serverバージョン10.3.4の場合、patch_wls1034
WebLogic Serverバージョン10.3.5の場合、patch_wls1035
WebLogic Serverバージョン10.3.6の場合、patch_wls1036
この項では、インストールに関する問題およびその回避策について説明します。次のトピックが含まれます:
第2.2.3項「Oracle Access Managementドメインのドメイン結合シナリオでのJPSキーストア・サービス初期化失敗」
第2.2.5項「32ビットJVMがMW_HOMEにある場合、Oracle Universal Installerによる個別パッチの適用が失敗する」
第2.2.6項「Oracle Identity and Access Managementのインストール中、個別パッチ適用時にOpatchエラーが発生する」
第2.2.7項「Oracle Enterprise Linux 6へのOracle Identity and Access Managementのインストール時に前提条件チェックが失敗する」
第2.2.8項「Red Hat Enterprise Linux 6.xへのOracle Identity and Access Managementのインストール時に前提条件チェックが失敗する」
WindowsマシンとOracle Identity Managerサーバーの間にファイアウォールがあるマシンにOracle Identity Manager Design Consoleをインストールしようとするとき、config.cmdコマンドを実行すると次のエラー・メッセージが表示されます。
Error in validating the Hostname field value.Entered host is not up and running
Oracle Identity Manager Design Consoleをインストールするには、ファイアウォールのポート7を開く必要があります。
この項では、Oracle Identity Managerのインストールおよび構成で適用する必要がある必須のパッチについて説明します。
|
注意: この項では、リリース・ノートの発行時点に用意されている必須のパッチについて説明します。追加の変更や、更新されたパッチ要件は、My Oracle SupportのドキュメントID 1600323.1を参照してください。 |
表2-1は、Oracle Identity Managerに必須のパッチに関する情報を示しています。これらのパッチは任意の順序で適用できます。
適用する必要がある追加のパッチの詳細は、1.5項「必要なパッチのダウンロードおよび適用」を参照してください。
表2-1 Oracle Identity Manager 11gR2 (11.1.2.2.0)の特定の問題の修正に必要なパッチ
| Oracle Fusion Middleware製品またはコンポーネント | パッチ番号/名前 | いつ適用するか | 説明 |
|---|---|---|---|
|
Oracle WebLogic Server |
18398295 |
Oracle Identity and Access Managementのインストール後 |
このOracle WebLogic Serverパッチは、マルチバイトのキャラクタ・セットを使用している場合のみ必要です。 パッチ適用手順については、 |
|
Oracle WebLogic Server |
14404715 |
Oracle Identity and Access Managementのインストール後 |
これはOracle WebLogic Serverに必須のパッチです。 パッチ適用手順については、 |
|
Oracle WebCenter Portal |
18334433 |
Oracle Identity and Access Managementのインストール後 |
これはOracle WebCenter Portalに必須のパッチです。 パッチ適用手順については、 |
|
Oracle Fusion Middleware - Dynamic Monitoring Service |
18748961 |
Oracle Identity and Access Managementのインストール後 |
これはDynamic Monitoring Serviceに必須のパッチです。 パッチ適用手順については、 |
|
Enterprise Manager for Fusion Middleware |
18334644 |
WebSphereでは、変更のセル作成が反映される前にこのパッチを適用してください。 |
これはEnterprise Managerに必須のパッチです。 パッチ適用手順については、 |
|
Oracle Business Process Management Suite。 |
18609527 |
Oracle SOA Suiteのインストール後 |
これはOracle Business Process Managementバンドル・パッチ11.1.1.7.4に必須のパッチです。 パッチ適用手順については、 |
|
Oracle Business Process Management Suite。 |
19598259, 19471000, 18416233, 19702081 |
Oracle SOA Suiteのインストール後 |
これらの必須Oracle Business Process Management Suiteパッチは、Oracle Business Process Managementがパッチ18609527を使用してバンドル・パッチ11.1.1.7.4にアップグレードした後に適用する必要があります。 これらのパッチについては11.1.1.7.4バージョンを選択し、パッチ適用手順については |
|
Oracle Business Process Management Suite。 |
19133644 |
Oracle SOA Suiteのインストール後 |
このOracle Business Process Management SuiteパッチはOracle Single Sign-On (SSO)以外を使用している場合にのみ必要となります。 このパッチを適用する前に、Oracle Business Process Managementがバンドル・パッチ11.1.1.7.4にアップグレードされていることを確認する必要があります。 このパッチについては11.1.1.7.4バージョンを選択し、パッチ適用手順については |
|
Oracle Application Development Framework |
19519328 |
Oracle Identity and Access Managementのインストール後 |
これはOracle Application Development Frameworkに必須のパッチで、Internet Explorer 11証明書のフィックスが含まれています。 パッチ適用手順については、 |
|
Oracle Application Development Framework |
18373763 |
Oracle Identity and Access Managementのインストール後 |
このOracle Application Development Frameworkパッチは、IBM WebSphereプラットフォーム上のOracle Identity Managerクラスタ・アップグレードにのみ必要です。 |
|
Oracle Business Intelligence Publisher |
16556157 |
Oracle BI Publisher 11.1.1.7.0をインストールした後 |
これは、Oracle Business Intelligence Publisherパッチです。 Oracle Identity Manager 11.1.2.2.0でレポートを実行する場合、Oracle BI Publisher 11.1.1.7.0をインストールした後、パッチ番号16556157を適用する必要があります。 パッチ適用手順については、 |
|
Oracle Virtual Directory |
17196811 |
Oracle Identity and Access Managementのインストール後 |
これはOracle Virtual Directoryのパッチです。 パッチ適用手順については、 |
|
Oracle Unified Directory |
18461856 |
Oracle Unified Directoryのインストール後 |
これは、Oracle Identity ManagerがLDAP IDストアとしてOracle Unified DirectoryとLDAPSyncするように構成されているデプロイメントに必須のパッチです。 |
|
Oracle Identity Managerのサイレント・インストール |
18270453 |
このパッチには、Oracle Identity Managerのエンドツーエンドのサイレント・インストールおよび構成に必要なカスタム・スクリプトおよびレスポンス・ファイルのアーカイブが含まれています。 このアーカイブには、Oracle WebLogic ServerおよびIBM WebSphereでのサイレント・インストール用のスクリプトが含まれています。 詳細は、『Oracle Fusion Middlewareインストレーション・プランニング・ガイド』のOracle Identity Manager用のエントツーエンドのサイレント・インストールおよび構成に関する項を参照してください。 |
|
|
Oracle Identity Manager |
18494370 |
Oracle Identity and Access Management11.1.2.2.0のインストール後 |
これは、IBM WebSphereプラットフォーム上で11.1.2.2.0にアップグレードしている場合、Oracle Identity Managerに必須のパッチです。 |
|
リポジトリ作成ユーティリティ(RCU) |
|
これは、Oracle Identity Manager (OIM) 11g Release 2 (11.1.2.2) のインストールにおいてRepository Creation Utility (RCU)実行時に次のエラーが発生する場合、適用が必須のRepository Creation Utilityパッチです。
いくつかの64ビットオペレーティング・システム環境では、既存のSQLPlusシェル・バイナリがサポートされない場合があるため、これらの環境ではOracle Identity Manager Databaseスキーマの作成が失敗します。 この問題を修正するには、My Oracle SupportにあるMy Oracle SupportドキュメントID 1681410.1を参照してください。このサポート・ノートでは、RCUへの適用が必須のこのパッチに関する重要な情報について説明します。このパッチはOracle Identity Managerスキーマに必要な |
パッチをダウンロードするには、次を実行します:
My Oracle Supportにログインします。
「パッチと更新版」をクリックします。
「パッチ名または番号」を選択します。
パッチ番号を入力します。
「検索」をクリックします。
パッチをダウンロードしてインストールします。
パッチ適用手順
Oracle WebLogic Serverを使用している場合、パッチ適用手順は各パッチに付属するREADME.txtファイルを参照してください。
IBM WebSphereを使用している場合は、次の手順に従ってください。
パッチがあるPatch_Homeディレクトリに移動します。
SOA_HOMEディレクトリを指すようにORACLE_HOME環境変数を設定します。
例:
setenv ORACLE_HOME /mydirectory/myfolders/Oracle_SOA1
OPatchディレクトリを指すようにPATH環境変数を設定します。
例:
setenv PATH /mydirectory/myfolders/Oracle_SOA1/OPatch:$PATH
次のようにopatchコマンドを実行します。
opatch apply -jdk Path_To_IBM_jdk
例:
opatch apply -jdk WAS_HOME/java
Oracle Identity ManagerとOracle Access Managementのドメイン結合シナリオでは、Oracle Platform Security Services構成で構成されたキーストア・ファイルは存在しませんが、パスワードは、資格証明ストア・フレームワーク・ストアのOIMインストールから入手できます。したがって、Oracle Access Managementサーバーがキーストア・ファイルを格納しようとすると、キーがすでに存在するために失敗します。
回避策:
管理サーバーを起動する前に、キーストア・ファイルをOracle Identity ManagerドメインからOracle Access Managementドメインのキーストア・ファイルの場所にコピーします。
例: デフォルトのキーストア(.jks)ファイルを<OIM domain>/config/fmwconfigから<OAM domain>/config/fmwconfigにコピーします。
|
注意: このステップは、config.shを使用してOracle Access Managementドメインを構成した後、管理サーバーを起動する前に実行する必要があります。 |
Oracle Identity Managerドメインで、jps-config.xmlのデフォルトのコンテキストを探します。
ここで、キーストア・サービスおよびキーストア・ファイルの場所を探します。
このキーストア(.jks)ファイルをOracle Platform Security Services (jps-config.xml)構成のOracle Access Managementドメインのキーストアの場所で定義した場所にコピーします。
Windows 2012へのSOAのインストール時に、前提条件チェックが失敗します。
回避策:
このエラーは、Oracle SOA Suiteのインストーラを起動するときに-ignoreSysPrereqsを指定することによって無視できます。
11gリリース2 Oracle Universal Installerは、インストールの最後にOPatchを使用して、個別パッチも適用します。これらのパッチを適用するときに、インストーラは指定されたJVMを使用せず、MW_HOMEにあるJVMを使用します。MW_HOMEにあるのは32ビットJVMです。この結果、OPatchは失敗します。
回避策:
MW_HOMEに64ビットJVMがある状態でOracle WebLogic Serverをインストールした場合、Oracle Universal Installerは、OPatchを使用して個別パッチを正常に適用できます。
Oracle Identity and Access Management 11gリリース2 (11.1.2)のインストール中、インストーラによる個別パッチの適用時にOpatchエラーが発生する場合があります。次のエラーがログに表示されます。
エラー-1
OPatch failed with error code 39
]
stderr=[[ Error during Prerequisite for apply Phase]. Detail: OPatch
failed during prerequisite checks: Prerequisite check
"CheckPatchApplicableOnCurrentPlatform" failed.
Prerequisite check "CheckApplicable" failed.
]
説明および回避策:
これらの警告メッセージは無視してかまいません。
エラー-2
OPatch failed with error code 25
]
stderr=[[ Error during Oracle Home discovery Phase]. Detail: OPatch
failed: ApplySession failed to prepare the system.
To run in silent mode, OPatch requires a response file for Oracle
Configuration Manager (OCM).
Please run "/scratch/FMW_OAM/Oracle_OAM/OPatch/ocm/bin/emocmrsp" to generate
an OCM response file. The generated response file
can be reused on different platforms and in multiple OPatch silent installs.
To regenerate an OCM response file, Please rerun
"/scratch/FMW_OAM/Oracle_OAM/OPatch/ocm/bin/emocmrsp".
説明および回避策:
この問題は、MW_HOMEのOPatchバージョンが11.1.0.10.xの場合に発生します。この問題の回避策はOPatchバージョン11.1.0.9.9に戻してから個別パッチを適用することです。
Oracle Identity and Access ManagementをOracle Enterprise Linux 6ベアメタルx64マシンにインストールしようとすると、前提条件チェックが失敗します。
回避策:
-ignoreSysPrereqパラメータを使用してインストーラを起動します。
./runInstaller -ignoreSysPrereq
Oracle Identity and Access ManagementをRed Hat Enterprise Linux 6.xにインストールしようとすると、前提条件チェックが失敗します。
回避策:
この問題には、2つの回避策があります。どちらを選んで実行してもかまいません。回避策は次のとおりです。
redhat-lsb-core-4.0-7.el6 for x86_64パッケージをインストールします。サポートされるオペレーティング・システムおよびバージョンの詳細は、Oracle Fusion Middlewareシステム要件および仕様を参照してください。
パッチ番号16963926を適用します。パッチのダウンロードおよび適用の詳細は、第2.2.2項「Oracle Identity Managerをインストールするための必須のパッチ」に記載されている手順を参照してください。
Oracle Identity ManagerにはOracle SOA Suiteが必須です。この問題は、サイレント・モードでOracle SOA Suiteをインストールして構成する際に発生します。Oracle SOA Suiteをサイレント・モードでインストールして構成した後にsoa-infraコンポーネントを起動する際、サーバー・ログ・ファイル(<domain home>/servers/soa_server1/logs/soa_server1.log)に次のエラー・メッセージをロギングして失敗します。
java.lang.NoClassDefFoundError: weblogic/sca/api/ScaReferenceProcessor.
この問題の回避策は次のサポート・ノートで説明しています。
この項では、構成に関する問題およびその回避策について説明します。次のトピックが含まれます:
第2.3.4項「Oracle Access ManagementまたはOracle Identity Managerをインストールした後に実行する必須のステップ」
第2.3.8項「Access Policy Managerデプロイメントがクラスタ・シナリオでは管理サーバーをターゲットにしない」
第2.3.10項「Sun JDK 1.7を使用する場合、configSecurityStore.pyコマンドを実行する前にPKCS11-Solarisセキュリティ・プロバイダを変更する」
config.cmdコマンドまたはconfig.shコマンドを実行してOracle Fusion Middleware構成ウィザードを起動するとき、次のエラー・メッセージが表示されます。
*sys-package-mgr*: can't create package cache dir
このエラー・メッセージは、デフォルトのキャッシュ・ディレクトリが有効でないことを示しています。コマンド行に-Dpython.cachedir=<valid_directory>オプションを含めることで、キャッシュ・ディレクトリを変更できます。
スクリプト$<ORACLE_HOME>/bin/config.shを実行しているとき、AIX上でJDK7を使用してOracle Identity Manager構成ウィザードを起動できません。
-jreLocオプションをコマンド行に追加すると、Oracle Universal Installerウィンドウが表示されます: $<ORACLE_HOME>/bin/config.sh -jreLoc <JRE_HOME>
Fusion Middleware構成ウィザードでは、Weblogicパスワードを「管理者ユーザー名およびパスワードの構成」画面で追加できません。
回避策:
Weblogicユーザー・パスワードの入力を求めるプロンプトが表示されたとき、パスワードを入力できない場合があります。「次へ」をクリックして、次の画面に進みます。次のエラーのプロンプトが表示されます: 「パスワードは空にできません。」。前の画面に戻り、再びパスワードを入力します。
|
注意: Oracle Fusion Middleware構成ウィザードを実行する前に、次の製品をインストール済であることを確認してください。
|
Oracle Access Management 11gリリース2 (11.1.2)またはOracle Identity Manager 11gリリース2 (11.1.2)をインストールした後に、次の手順を実行する必要があります。
手順2に進む前に、次の前提条件が満たされていることを確認します。
IAM_ORACLE_HOME/common/bin/config.shスクリプトを使用してドメインが構成されていることを確認します。
次のコマンドを使用して、データベース・セキュリティ・ストアが構成されていることを確認します。
IAM_ORACLE_HOME/common/bin/wlst.shIAM_ORACLE_HOME/common/tools/configureSecurityStore.py -d <domaindir> -cIAM-p <opss_schema_password> -m [create/join]
リカバリおよび参照用のjps-config.xmlファイルをjps-config.xml_oldにコピーします。
次の手順を実行してjps-config.xmlファイルを編集
XML要素を探します
<serviceInstance name="pdp.service" provider="pdp.service.provider">
次の 2 つのエントリを削除します。
<property name="oracle.security.jps.pdp.AuthorizationDecisionCacheEnabled" value="false"/> <property name="oracle.security.jps.ldap.policystore.refresh.interval" value="10000"/>
最初の 2 つのプロパティを削除した後、それらのデフォルト値が設定されます。デフォルト値は、それぞれtrueと600000 (10分)です。
同じセクションに次のエントリを追加します。
<property name="oracle.security.jps.pd.client.PollingTimerInterval" value="31536000"/>
編集したXMLは、次のようになっている必要があります。
<serviceInstance name="pdp.service" provider="pdp.service.provider">
<description>Runtime PDP service instance</description>
<property
name="oracle.security.jps.runtime.pd.client.policyDistributionMode"
value="mixed"/>
<property name="oracle.security.jps.runtime.instance.name"
value="OracleIDM"/>
<property name="oracle.security.jps.runtime.pd.client.sm_name"
value="OracleIDM"/>
<property name="oracle.security.jps.policystore.refresh.enable"
value="true"/>
<property
name="oracle.security.jps.pd.client.PollingTimerInterval" value="31536000"/>
</serviceInstance>
-m joinパラメータを指定してconfigureSecurityStore.pyを実行中にORACLE_HOMEやMW_HOMEなどの変数を使用すると、セキュリティ・ストアの構成では、ポリシー・ストア・オブジェクトの作成に失敗します。-m joinパラメータを指定してこのコマンドを実行するときには、ORACLE_HOMEおよびMW_HOMEに絶対パスを指定します。
WindowsでconfigSecurityStore.pyコマンドを実行すると、-m検証オプションは成功しますが、コマンドの終盤で次のエラーが報告されます。
c:\Amy_OPAM\Oracle\Middleware\Oracle_RC3\common\bin>wlst.cmd ..\tools\configureSecurityStore.py -d c:\Amy_OPAM\Oracle\Middleware\user_projects\domains\OPAM_RC3_Domain2 -c IAM -m join -p welcome1 -k c:\Amy_OPAM\software\RC3\ -w welcome1 Error: Failed to join security store, unable to locate diagnostics data. Error: Join operation has failed.
回避策:
このエラーは無視してください。エラーが報告された場合でも、joinオプションで新たに作成されたサーバーが正常に起動し、リクエストの処理を続行できるため、機能に影響はありません。
Weblogic Server構成ウィザードでは、Oracle Access Management、Oracle Adaptive Access ManagerおよびOracle Privileged Account ManagerのAIX7上の1.6.0.9.2 JDKに対して警告CFGFWK-60895が表示されます。
回避策:
Weblogic Serverをインストールします。
SOAをインストールします。
Oracle Identity and Access Managementをインストールします。
構成ウィザードを実行します。
Oracle Identity Manager (OIM)ドメインを作成します。
Oracle Access Management、Oracle Adaptive Access ManagerおよびOracle Privileged Account Managerのドメインを作成します。
警告CFGFWK-60895: 「選択したJDKバージョンは、推奨の最小バージョン未満です」が表示されます。
「取消し」をクリックして別のJDKを選択するか、「OK」をクリックして同じJDKを続行します。
|
注意: 警告CFGFWK-60895が表示されても、機能に影響は与えません。 |
管理サーバーに対してOracle Entitlements Serverテンプレートを選択すると、デフォルトでは、Access Policy Managerを管理サーバーにデプロイします。
ただし、任意のコンポーネントのクラスタが複数のサーバー・インスタンスで作成される場合、APMは管理サーバーではなく、クラスタ化されたサーバーにターゲット指定されます。これにより、クラスタ内のサーバーが管理モードで起動します。
たとえば、Oracle Identity Managerの1つのインスタンス、SOAおよびOracle Access Managementが含まれるドメインがある場合、Access Policy Managerは管理サーバーにターゲット指定されます。ただし、Oracle Identity Managerの別のインスタンスが作成されると、ドメイン作成時に2つのインスタンスがあるため、Access Policy Managerは管理サーバーではなく、クラスタ化されたサーバー(この場合、Oracle Identity Manager server)にデプロイされます。
回避策:
WebLogic管理コンソールにログインします。
「デプロイメント」をクリックします。
「oracle.security.apm (11.1.1.3.0)」をクリックします。
「ターゲット」をクリックします。
「ロックして編集」をクリックします。
「oracle.security.apm (11.1.1.3.0)」を選択します。
「ターゲットの変更」をクリックします。
「AdminServer」を選択します。
「はい」をクリックします。
「変更のアクティブ化」をクリックし、管理サーバーを再起動します。
Weblogic Server (10.3.5.0)にOracle Identity Managerをインストールすると、次の例外が発生してリクエストが失敗します。
Unable to instantiate the workflow process due to: Tasklist mapping failed for workflowdefinition: default/DefaultRequestApproval!1.0 due to oracle.bpel.services.workflow.query.ejb.TaskQueryService_oz1ipg_HomeImpl_1035_WLStub cannot be cast to oracle.bpel.services.workflow.query.ejb.TaskQueryServiceRemoteHome.
これは、リクエストの承認の開始時に発生します。
回避策:
Weblogic Server 10.3.5の場合、パッチ12944361をダウンロードし、インストールする必要があります。Weblogic Server 10.3.6では、このパッチは必要ありません。
configSecurityStore.pyコマンドを実行する前にPKCS11-Solarisセキュリティ・プロバイダを変更するJDK 1.7を使用してSolaris 10 SPARC以降のバージョンにOracle Identity and Access Management 11g リリース2コンポーネントをインストールすると、configSecurityStore.pyコマンドの実行に失敗します。これは、PKCS11-Solarisセキュリティ・プロバイダの実装によって発生します。
回避策:
$JAVA_HOME/jre/lib/security/java.securityファイルをバックアップします。
テキスト・エディタで$JAVA_HOME/jre/lib/security/java.securityファイルを開き、プロバイダ・リストを変更します。
sun.security.pkcs11.SunPKCS11がプロバイダ・リストの先頭にあることを確認します。次の例に示すようにプロバイダ・リストを変更します。
security.provider.1=sun.security.pkcs11.SunPKCS11 ${java.home}/lib/security/sunpkcs11-solaris.cfg security.provider.2=com.oracle.security.ucrypto.UcryptoProvider ${java.home}/lib/security/ucrypto-solaris.cfg
...
OESドメインをconfigureSecurityStore.pyスクリプトを実行せずに起動した場合、サーバーが起動に失敗し、次の例外が発生します。
oracle.security.jps.service.keystore.KeyStoreServiceException: Failed to perform cryptographic operation Caused by: javax.crypto.BadPaddingException: Given final block not properly padded
回避策:
これを回避するには、すでにデータベース・セキュリティ・ストアと連携するように構成された同じOracle Identity and Access Management論理デプロイメントのドメインからドメインの暗号化鍵をエクスポートし、configureSecurityStore.pyスクリプトを実行する必要があります。
exportEncryptionKey(jpsConfigFile=jpsConfigFile_Loc,keyFilePath=keyFilePath,keyFilePassword=keyFilePassword)
ここで:
jpsConfigFile_Loc - 暗号化鍵のエクスポート元ドメインのjps-config.xmlファイルの絶対位置です。
keyFilePath - ewallet.p12ファイルが作成されるディレクトリです。このファイルの中身は暗号化され、keyFilePasswordによって保護されます。
keyFilePassword - ewallet.p12ファイルを保護するパスワードです。ファイルのインポート時にこのパスワードと同じものを使用する必要があります。
AIXオペレーティング・システムでJBossセキュリティ・モジュールを構成しようとすると、java.lang.ClassNotFoundExceptionエラーがスローされます。
回避策:
次の手順を実行します。
次のディレクトリに移動します。
JAVA_HOME/jre/lib/security
java.securityファイルを開き、policy.provider属性を検索します。属性policy.providerの値はorg.apache.harmony.security.fortress.DefaultPolicyに設定されています。
policy.provider属性の既存の値を削除し、これをsun.security.provider.PolicyFileに変更する必要があります。
次のconfigureSecurityStore.pyスクリプトを使用してデータベース・セキュリティ・ストアを構成すると、
oracle_common/common/bin/wlst.sh $ORACLE_HOME/common/tools/configureSecurityStore.py -dDOMAIN_HOME-c IAM -m create -pOPSS_SCHEMA_PASSWORD
その構成はJVMエラーで失敗します。次のエラーが表示されます。
JRE version:7.0_25 Java VM:OpenJDK 64-Bit Server VM(23.7-b01 mixed mode linux-amd64 compressed oops) Problematic frame: V [libjvm.so+0x773ec7] JVM_handle_linux_signal+0x54df7
回避策:
前述のエラーは、オペレーティング・システムにアクセス権が付与されていないメモリー位置にJVMプロセスがアクセスしようとしたことが原因で発生します。
この問題を回避するには、次のコマンドを使用してデータベース・セキュリティ・ストアを再構成します。
$JAVA_HOME/bin ./java -jar wls1036_generic.jar
データベース・セキュリティ・ストアを構成するには、configureSecuritystore.pyスクリプトを実行する必要があります。configureSecuritystore.pyスクリプトを実行するときにSSLを構成するには、次の手順を実行する必要があります。
|
注意: この時点で、キーストアおよびトラストストアはkeytoolコマンドを使用してすでに作成済であることが前提となっています。 |
次の手順に従い、JDBC構成ファイルopss-jdbc.xmlでデータベースURLを更新します。
編集するためにDOMAIN_HOME/config/jdbc/opss-jdbc.xmlを開きます。
5行目の次のデータベースURLを編集します。
jdbc:oracle:thin:@<db_host>:<db_port>/<service_name>
変更後
jdbc:oracle:thin:@(DESCRIPTION=(ADDRESS_LIST=(ADDRESS=(PROTOCOL=TCPS)(HOST=<db_host>)(PORT=<db_port>)))(CONNECT_DATA=(SERVER=DEDICATED)(SERVICE_NAME=<service_name>)))
次のプロパティを追加します。
<property> <name>javax.net.ssl.keyStore</name> <value>path_to_keystore</value> </property> <property> <name>javax.net.ssl.keyStorePassword</name> <value>keystore_password</value> </property> <property> <name>javax.net.ssl.trustStore</name> <value>path_to_truststore</value> </property> <property> <name>javax.net.ssl.trustStorePassword</name> <value>truststore_password</value> </property> <property> <name>oracle.net.ssl_version</name> <value>TLS_version</value> </property>
ここで、
path_to_keystoreはキーストアの絶対パスを表します。たとえば、/scratch/certs/dbcerts/mycerts/keystore.jksです。
keystore_passwordはキーストアのパスワードを表します。
path_to_truststoreはトラストストアの絶対パスを表します。たとえば、/scratch/certs/dbcerts/mycerts/truststore.jksです。
truststore_passwordはトラストストアのパスワードを表します。
TLS_versionはトランスポート・レイヤー・セキュリティ(TLS)バージョンを表します。データベース・サーバーがTLSバージョン1.0を使用するように構成されている場合、1.0を指定する必要があります。
ファイルを保存して終了します。
次の手順でドメイン構成ファイルsetDomainEnv.shを編集します。
編集するためにファイル$MW_HOME/ user_projects/domains/DOMAIN_HOME/bin/setDomainEnv.shを開きます。
368行目の次を編集します。
EXTRA_JAVA_PROPERTIES=" -Dweblogic.security.IgnoreHostNameVerification=true -Dweblogic.security.SSL.ignoreHostnameVerification=true ${EXTRA_JAVA_PROPERTIES}"
変更後
EXTRA_JAVA_PROPERTIES=" -Dweblogic.security.IdentityKeyStore=CustomIdentity -Dweblogic.security.CustomIdentityKeyStoreFileName=<path_to_identity_keystore_file> -Dweblogic.security.CustomIdentityKeyStorePassPhrase=<identity_keystore_pass_phrase> -Dweblogic.security.Identity.KeyStoreType=<identity_keystore_type> -Dweblogic.security.TrustKeyStore=CustomTrust -Dweblogic.security.CustomTrustKeyStoreFileName=<path_to_trust_keystore_file> -Dweblogic.security.CustomTrustKeyStoreType=<trust_keystore_type> -Dweblogic.security.CustomTrustKeyStorePassPhrase=<trust_keystore_pass_phrase> -Dweblogic.security.IgnoreHostNameVerification=true -Dweblogic.security.SSL.ignoreHostnameVerification=true -Dweblogic.security.SSL.protocolVersion=TLS1 ${EXTRA_JAVA_PROPERTIES}"
例:
EXTRA_JAVA_PROPERTIES=" -Dweblogic.security.IdentityKeyStore=CustomIdentity
-Dweblogic.security.CustomIdentityKeyStoreFileName=/scratch/certs/dbcerts/mycerts/keystore.jks -Dweblogic.security.CustomIdentityKeyStorePassPhrase=Password1
-Dweblogic.security.Identity.KeyStoreType=JKS
-Dweblogic.security.TrustKeyStore=CustomTrust
-Dweblogic.security.CustomTrustKeyStoreFileName=/scratch/certs/dbcerts/mycerts/truststore.jks
-Dweblogic.security.CustomTrustKeyStoreType=JKS
-Dweblogic.security.CustomTrustKeyStorePassPhrase=Password2
-Dweblogic.security.IgnoreHostNameVerification=true
-Dweblogic.security.SSL.ignoreHostnameVerification=true
-Dweblogic.security.SSL.protocolVersion=TLS1 ${EXTRA_JAVA_PROPERTIES}"
ファイルを保存して終了します。
次の手順でWLSTスクリプトを編集します。
編集するためにファイル$MW_HOME/wlserver_10.3/common/bin/wlst.shを開きます。
次の行を更新します。
JVM_ARGS="-Dprod.props.file='${WL_HOME}'/.product.properties ${WLST_PROPERTIES} ${JVM_D64} ${MEM_ARGS} ${CONFIG_JVM_ARGS}"
これを次のように変更します。
JVM_ARGS="-Dprod.props.file='${WL_HOME}'/.product.properties ${WLST_PROPERTIES} ${JVM_D64} ${MEM_ARGS} ${CONFIG_JVM_ARGS} -Djavax.net.ssl.trustStorePassword=<trust_store_password> -Djavax.net.ssl.keyStorePassword=<key_store_password> -Djavax.net.ssl.keyStore=<path_to_keystore> -Djavax.net.ssl.trustStore=<path_to_truststore> -Doracle.net.ssl_version=<TLS_version>"
例:
JVM_ARGS="-Dprod.props.file='${WL_HOME}'/.product.properties ${WLST_PROPERTIES} ${JVM_D64} ${MEM_ARGS} ${CONFIG_JVM_ARGS}
-Djavax.net.ssl.trustStorePassword=password1
-Djavax.net.ssl.keyStorePassword=password2
-Djavax.net.ssl.keyStore=/scratch/certs/dbcerts/mycerts/keystore.jks
-Djavax.net.ssl.trustStore=/scratch/certs/dbcerts/mycerts/truststore.jks
-Doracle.net.ssl_version=1.0"
前述の例で、プロパティ"-Doracle.net.ssl_version=1.0"は、データベース・サーバーがトランスポート層セキュリティ(TLS)バージョン1.0を使用するように構成されていることを表しています。
ファイルを保存して終了します。
次の手順でconfigureSecurityStore.pyスクリプトを編集します。
編集するためにファイル$MW_HOME/IDM_HOME/common/tools/configureSecurityStore.pyを開きます。
241行目の次を編集します。
full_command_parts = ("java -Doracle.security.jps.config=", jps_config_xml_path, " oracle.security.jps.internal.api.credstore.CredstoreUtil",
変更後
full_command_parts = ("java -Djavax.net.ssl.trustStorePassword=<truststore_password> -Djavax.net.ssl.keyStorePassword=<keystore_password> -Djavax.net.ssl.keyStore=<path_to_keystore> -Djavax.net.ssl.trustStore=<path_to_truststore> -Doracle.net.ssl_version=<TLS_version> -Doracle.security.jps.config=", jps_config_xml_path, " oracle.security.jps.internal.api.credstore.CredstoreUtil",
例:
full_command_parts = ("java -Djavax.net.ssl.trustStorePassword=password1
-Djavax.net.ssl.keyStorePassword=password2
-Djavax.net.ssl.keyStore=/scratch/certs/dbcerts/mycerts/keystore.jks
-Djavax.net.ssl.trustStore=/scratch/certs/dbcerts/mycerts/truststore.jks
-Doracle.net.ssl_version=1.0
-Doracle.security.jps.config=", jps_config_xml_path, " oracle.security.jps.internal.api.credstore.CredstoreUtil",
282行目の次を編集します。
full_command_parts = ("java -Doracle.security.jps.config=", jps_config_xml_path, " oracle.security.jps.internal.api.credstore.CredstoreUtil",
変更後
full_command_parts = ("java -Djavax.net.ssl.trustStorePassword=<truststore_password> -Djavax.net.ssl.keyStorePassword=<keystore_password> -Djavax.net.ssl.keyStore=<path_to_keystore> -Djavax.net.ssl.trustStore=<path_to_truststore> -Doracle.net.ssl_version=<TLS_version> -Doracle.security.jps.config=", jps_config_xml_path, " oracle.security.jps.internal.api.credstore.CredstoreUtil",
例:
full_command_parts = ("java -Djavax.net.ssl.trustStorePassword=password1
-Djavax.net.ssl.keyStorePassword=password2
-Djavax.net.ssl.keyStore=/scratch/certs/dbcerts/mycerts/keystore.jks
-Djavax.net.ssl.trustStore=/scratch/certs/dbcerts/mycerts/truststore.jks
-Doracle.net.ssl_version=1.0
-Doracle.security.jps.config=", jps_config_xml_path, " oracle.security.jps.internal.api.credstore.CredstoreUtil",
734行目の次を編集します。
= ("java -Xms512M -Xmx512M ", "oracle.security.jps.internal.tools.configuration.ldap.LdapServiceEnabler ", command)
変更後
= ("java -Xms512M -Xmx512M -Djavax.net.ssl.trustStorePassword=<truststore_password> -Djavax.net.ssl.keyStorePassword=<keystore_password> -Djavax.net.ssl.keyStore=<path_to_keystore> -Djavax.net.ssl.trustStore=<path_to_truststore> -Doracle.net.ssl_version=<TLS_version> ", "oracle.security.jps.internal.tools.configuration.ldap.LdapServiceEnabler ", command)
例:
= ("java -Xms512M -Xmx512M -Djavax.net.ssl.trustStorePassword=password1
-Djavax.net.ssl.keyStorePassword=password2
-Djavax.net.ssl.keyStore=/scratch/certs/dbcerts/mycerts/keystore.jks
-Djavax.net.ssl.trustStore=/scratch/certs/dbcerts/mycerts/truststore.jks
-Doracle.net.ssl_version=1.0 ",
"oracle.security.jps.internal.tools.configuration.ldap.LdapServiceEnabler ", command)
774行目の次を編集します。
full_command_parts = ("java -Xms512M -Xmx512M ", "oracle.security.jps.internal.tools.configuration.ldap.LdapServiceEnabler ", command)
変更後
full_command_parts = ("java -Xms512M -Xmx512M -Djavax.net.ssl.trustStorePassword=<truststore_password> -Djavax.net.ssl.keyStorePassword=<keystore_password> -Djavax.net.ssl.keyStore=<path_to_keystore> -Djavax.net.ssl.trustStore=<path_to_truststore> -Doracle.net.ssl_version=<TLS_version> ", "oracle.security.jps.internal.tools.configuration.ldap.LdapServiceEnabler ", command)
例:
full_command_parts = ("java -Xms512M -Xmx512M
-Djavax.net.ssl.trustStorePassword=password1
-Djavax.net.ssl.keyStorePassword=password2
-Djavax.net.ssl.keyStore=/scratch/certs/dbcerts/mycerts/keystore.jks
-Djavax.net.ssl.trustStore=/scratch/certs/dbcerts/mycerts/truststore.jks
-Doracle.net.ssl_version=1.0 ",
"oracle.security.jps.internal.tools.configuration.ldap.LdapServiceEnabler ", command)
configureSecurityStore.pyスクリプトを保存して終了します。
次の手順でstartWebLogicスクリプトを編集します。
編集するためにDOMAIN_HOME/bin/startWebLogic.shを開きます。
28行目の次を編集します。
JAVA_OPTIONS="${JAVA_OPTIONS} -Dlaunch.main.class=${SERVER_CLASS} -Dlaunch.class.path="${CLASSPATH}" -Dlaunch.complete=weblogic.store.internal.LockManagerImpl -cp ${WL_HOME}/server/lib/pcl2.jar"
変更後
JAVA_OPTIONS="${JAVA_OPTIONS} -Djavax.net.ssl.trustStorePassword=<truststore_password> -Djavax.net.ssl.keyStorePassword=<keystore_password> -Djavax.net.ssl.keyStore=<path_to_keystore> -Djavax.net.ssl.trustStore=<path_to_truststore> -Doracle.net.ssl_version=<TLS_version> -Dlaunch.main.class=${SERVER_CLASS} -Dlaunch.class.path="${CLASSPATH}" -Dlaunch.complete=weblogic.store.internal.LockManagerImpl -cp ${WL_HOME}/server/lib/pcl2.jar"
例:
JAVA_OPTIONS="${JAVA_OPTIONS} -Djavax.net.ssl.trustStorePassword=password1
-Djavax.net.ssl.keyStorePassword=password2
-Djavax.net.ssl.keyStore=/scratch/certs/dbcerts/mycerts/keystore.jks
-Djavax.net.ssl.trustStore=/scratch/certs/dbcerts/mycerts/truststore.jks
-Doracle.net.ssl_version=1.0 -Dlaunch.main.class=${SERVER_CLASS}
-Dlaunch.class.path="${CLASSPATH}"
-Dlaunch.complete=weblogic.store.internal.LockManagerImpl -cp ${WL_HOME}/server/lib/pcl2.jar"
ファイルを保存して終了します。
|
注意: 管理対象サーバーがある場合、startWebLogic.shスクリプトについて示しているのと同様に、スクリプトDOMAIN_HOME/bin/startManagedWebLogic.shを更新する必要があります。 |
configureSecurityStore.pyスクリプトを実行して、データベース・セキュリティ・ストアを構成します。詳細は、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』のOracle Identity and Access Managementドメインに対するデータベース・セキュリティ・ストアの構成に関する項を参照してください。
データベース・セキュリティ・ストア構成後、ドメインを起動します。DB SSL接続を使用していることを検証できるようになりました。
