| Oracle® Fusion Middleware Identity Managementリリース・ノート 11gリリース2 (11.1.2.3) E61969-07 |
|
 前 |
 次 |
この章では、Identity Managementを含むOracle Fusion Middlewareの管理に関連する一般的な問題について説明します。次のトピックが含まれます:
この項では、一般的な問題および回避策について説明します。次のトピックが含まれます:
Oracle Database 12.2.*を使用する場合、次の問題が発生する可能性があります。
RCUを使用してMDSデータベース・スキーマを作成したり、Oracle Database 12.2に対するパッチ・セット・アシスタントを使用してMDSデータベース・スキーマをアップグレードするとき、操作が失敗する可能性があります。
エラー「ORA-28104: statement_typesの入力値が無効です」を受信する場合があります。これは、Oracle Database 12.2以降のセキュリティ修正の一部として、値にFALSE (デフォルト値)を指定した文タイプINSERTおよびUPDATE_CHECKが、DBMS_RLS.ADD_POLICYプロシージャについて許可されなくなったことが原因です。これにより、仮想プライベート・データベース・ポリシーの登録中に、ORA-28104エラーが発生します。
このエラーは、仮想プライベート・データベース・ポリシーがINSERT文に強制されているという誤った印象を与えないように返されます。
これを回避するには、次のSQLコマンドを実行して、"_allow_inserts_with_UPDATE_CHECK"にTrueを設定し、システムを構成します。
ALTER SYSTEM SET "_allow_insert_with_update_check"=TRUE scope=spfile
その後、RCUまたはパッチ・セット・アシスタントを再実行して、MDSデータベース・スキーマを作成またはアップグレードします。
Oracle Database 12.2.*でOracle Fusion Middlewareを使用する場合、次のエラーが発生する可能性があります。
ORA-00932: inconsistent datatypes: expected SYS.AQ$_JMS_MESSAGE gotSYS.AQ$_JMS_MESSAGE
エラーは、AQ$_JMS_MESSAGEタイプのエンキューおよびデキュー時に、データベース・サーバーに送信されたバージョン番号が一貫していない場合があることが原因で発生します。このことは、type$におけるAQ$_JMS_MESSAGEタイプのTOID (タイプの一意識別子)がユーザー定義のTOIDで、かつ、システム定義の固定されたTOIDではない場合に発生します。
このエラーを回避するには、次のパッチをインストールして、Oracle Fusion Middlewareによって使用されるojdbc6.jarファイルを置換します。
https://updates.oracle.com/download/21663638.html
Oracle Fusion Middleware 11gの場合は、リリース11.1.1.7 .0を選択します。
Oracle Fusion Middlewareリリース11gR1またはリリース11gR2の製品をOracle Database 12.2.0.1でインストールする場合、次のエラーが発生する可能性があります。
ORA-28040: No matching authentication protocol
このエラーは、プロキシ・ユーザーの11g検証が存在しないことが原因で発生します。
次の回避策を使用して、11g検証を作成し、Oracle Fusion Middlewareインストールから12.2.0.1 Oracle Databaseへの接続の続行を許可します。
ORACLE_HOMEをOracle Database 12.2.0.1のOracleホームに設定します。
sqlnet.oraファイル(ORACLE_HOME/network/admin内)に、次の行を追加します。
SQLNET.ALLOWED_LOGON_VERSION=11
データベースにsys as sysdbaユーザーとして接続し、次のSQLコマンドを実行します。
ALTER SYSTEM set sec_case_sensitive_logon=FALSE scope=spfile; shutdown immediate; startup; alter user sys identified by sys_password; alter user system identified by sys_password;
最新のDBセキュリティ機能を使用する場合は、SQLNET.ALLOWED_LOGON_VERSION=11を設定しないでください。2つの回避策のいずれかを適用できます。
回避策1: WeblogicサーバーがMW_HOMEにインストールされている場合は、次の操作を実行します。
RCU_HOME環境変数を設定します。次に例を示します。
UNIX: RCU_HOME=/stage/rcu/rcuHome; export RCU_HOME
Windows: set RCU_HOME=\stage\rcu\rcuHome
RCU_HOME/jdbc/lib/ojdbc6.jarのコピーを作成します。
RCU_HOME/jdbc/lib/ojdbc6.jarをWL_HOMEからのコピーで置換します。
UNIX: cp $WL_HOME/server/lib/ojdbc6.jar $RCU_HOME/jdbc/lib/
Windows: copy %WL_HOME%\server\lib\ojdbc6.jar %RCU_HOME%\jdbc\lib
回避策2: RCUにDBCPUjul2015パッチを適用します。
次の場所からパッチをダウンロードします。これはzipファイルの形式です。これを解凍します。
このパッチはOracle Database 11.1.0.7リリースに基づいているため、11.1.0.7.0 Oracle Databaseに対して適用します。パッチを解凍したディレクトリで、次のコマンドを入力します。
setenv ORACLE_HOME oracle home of 11.1.0.7.0 db
setenv PATH $ORACLE_HOME/OPatch:$PATH
setenv PATH /usr/ccs/bin:$PATH
次のコマンドを実行して、パッチを解凍したディレクトリからパッチを適用します。
opatch napply -skip_subset -skip_duplicate
パッチの適用後、次のファイルをRCU_Homeの指定されたディレクトリにコピーします。
| パッチ適用済データベースからコピーするファイル | コピー先の場所 |
|---|---|
| ORACLE_HOME/jdbc/lib/ojdbc*.jar | RCU_HOME/jdbc/lib/ojdbc*.jar |
| ORACLE_HOME/lib/libclntsh.so.11.1 | ファイルの名前を変更して、次の場所にコピーします。
RCU_HOME/lib/libclntsh.so.11.1 RCU_HOME/lib/libclntsh.so.10.1 RCU_HOME/lib/libclntsh.so |
| ORACLE_HOME/sqlplus/lib/* | RCU_HOME/sqlplus/lib/*を置換します |
これで、RCUにセキュリティ・パッチが適用され、Oracle Fusion Middlewareスキーマのインストールに使用できるようになりました。
OPMNではopmnctlコマンドを提供しています。実行可能ファイルは次のディレクトリにあります。
ORACLE_HOME/opmn/bin/opmnctl: この場所のopmnctlコマンドは、ローカル・システムのOracleインスタンスまたはOracleインスタンスのコンポーネントの作成にのみ使用されます。この場所で生成されるすべてのopmnctlコマンドは、システム・プロセスの管理またはOPMNの起動には使用されません。
Windowsでは、この場所からopmnctl起動コマンドを使用してOPMNを起動すると、WindowsユーザーがログアウトしたときにOPMNとそのプロセスが終了します。
ORACLE_INSTANCE/bin/opmnctl: この場所でopmnctlコマンドを使用すると、Oracleインスタンスごとにopmnctlがインスタンス化されます。この場所からopmnctlコマンドを使用して、このOracleインスタンスのプロセスを管理します。また、このopmnctlを使用してOracleインスタンスのコンポーネントも作成できます。
Windowsでは、この場所からopmnctl起動コマンドを使用してOPMNを起動すると、OPMNがWindowsサービスとして起動されます。そのため、OPMN親プロセスおよびその下位のプロセスは、MS Windowsユーザーがログアウトした後も維持されます。
現在の環境にIPv6とIPv4のネットワーク・プロトコルが両方とも含まれる場合、特定の状況下でFusion Middleware Controlからエラーが返される可能性があります。
Fusion Middleware ControlにアクセスするブラウザがIPv4プロトコルを使用するホスト上に存在し、IPv6プロトコルを使用するホストにアクセスするコントロールを選択すると、Fusion Middleware Controlからエラーが返されます。同様に、Fusion Middleware ControlにアクセスするブラウザがIPv6プロトコルを使用するホスト上に存在し、IPv4プロトコルを使用するホストにアクセスするコントロールを選択すると、Fusion Middleware Controlからエラーが返されます。
たとえば、IPv4プロトコルを使用するホスト上のブラウザを使用しており、同時にFusion Middleware Controlを使用している場合、次のようにIPv6プロトコルを使用するホスト上で稼働するエンティティに移動すると、Fusion Middleware Controlからエラーが返されます。
Oracle Internet Directoryのホームページで、「Oracle Internet Directory」メニューから「Directory Services Manager」を選択する場合。Oracle Directory Services Managerは、IPv6プロトコルを使用するホスト上で稼働しています。
管理対象サーバーのホームページで、IPv6上で稼働するOracle WebLogic Server管理コンソールのリンクをクリックする場合。
IPv6を使用するホスト上のWebサービス・エンドポイントをテストする場合。
IPv6を使用するホスト上のアプリケーションURLまたはJavaアプリケーションをクリックする場合。
この問題を回避するには、/etc/hostsファイルに次のエントリを追加します。
nnn.nn.nn.nn myserver-ipv6 myserver-ipv6.example.com
この例で、nnn.nn.nn.nnは、管理サーバー・ホスト(myserver.example.com)のIPv4アドレスです。
テスト環境から本番環境に移行する場合は、次の制限および既知の問題に注意してください。
extractMovePlanスクリプトを実行すると、移動計画バージョンは11.1.1.9と表示されます。これによって、何が問題を起こることはありません。
Oracle Adaptive Access Manager 11gリリース1 (11.1.1.5.xまたは11.1.1.7.x)をAdaptive Access Manager 11.1.2.3.0にアップグレードした場合、一部のパッケージでコンポーネント・バージョンが11.1.1.5.xまたは11.1.1.7.xと表示されることがあります。次のパッケージが該当します。
oracle.dogwood.top oracle.idm.oinav oracle.sdp.client oracle.oaam.suite oracle.oaam.oaam_admin oracle.oaam.oaam_server oracle.oaam.oaam_offline
これを解決するには、ドメイン・アップデータ・ユーティリティ(com.oracle.cie.domain-update_1.0.0.0.jar)を実行する必要があります。この手順により、domain-info.xmlが更新されます。必要なOracle Adaptive Access Managerパッケージを11.1.2.3.0にアップグレードするには、次の手順を実行します。
ORACLE_HOME/oaam/upgradeディレクトリに移動します。このディレクトリに、ドメイン・アップデータ・ユーティリティcom.oracle.cie.domain-update_1.0.0.0.jarファイルがあります。
次のコマンドを実行して、リストされるパッケージを11.1.1.5(7).xから11.1.2.3.0にアップグレードします。
java -cp $MW_HOME/utils/config/10.3/config-launch.jar:./com.oracle.cie.domain-update_1.0.0.0.jar com.oracle.cie.external.domain.DomainUpdater DOMAIN_HOME PACKAGE_NAME:11.1.1.7.0,:11.1.2.3.0
次に例を示します。
java -cp /scratch/Oracle/Middleware/utils/config/10.3/config-launch.jar:./com.oracle.cie.domain-update_1.0.0.0.jar com.oracle.cie.external.domain.DomainUpdater /scratch/Oracle/Middleware/user_projects/domains/OAAMDomain oracle.dogwood.top:11.1.1.7.0,:11.1.2.3.0
バージョン11.1.1.5または11.1.1.7が表示される他のパッケージについても前の手順を繰り返します。
ソース環境でIDSストアを構成していた場合に、IDストアを移動せずに同じIDストア・ホストとポートをターゲット環境でも維持しようとすると、pasteConfigスクリプトで次のエラーが返されます。
Specified host already configured in adapter
この問題を回避するには、生成されたmoveplan.xmlのconfigGroup LIBOVD_ADAPTERSの下で、移動する予定がないアイデンティティ・ストアを示すconfigPropertyを探します。移動計画内のアイデンティティ・ストアのconfigPropertyに対応するセクション全体をコメント・アウトしてから、pasteConfigスクリプトを実行します。
使用している環境にOracle WebLogic Serverがあり、あるリリースから別のリリースにアップグレードしている場合(例: 10.3.4から10.3.5)、pasteConfigスクリプトは次のエラーで失敗します。
Oracle_common_home/bin/unpack.sh line29: WL_home/common/bin/unpack.sh No such file or directory
この問題を回避するには、次のファイルを編集します。
MW_HOME/utils/uninstall/WebLogic_Platform_10.3.5.0/WebLogic_Server_10.3.5.0_Core_Application_Server.txt file
次のエントリを追加します。
/wlserver_10.3/server/lib/unix/nodemanager.sh /wlserver_10.3/common/quickstart/quickstart.cmd /wlserver_10.3/common/quickstart/quickstart.sh /wlserver_10.3/uninstall/uninstall.cmd /wlserver_10.3/uninstall/uninstall.sh /utils/config/10.3/setHomeDirs.cmd /utils/config/10.3/setHomeDirs.sh
Oracle Virtual Directoryを移動する場合、ソース環境のOracleインスタンスの名前は、ターゲット環境のOracleインスタンスの名前と同じにすることはできません。ターゲットのOracleインスタンスの名前は、ソースの名前とは異なっている必要があります。
Oracle Virtual Directoryをあるホストから別のホストに移動したら、ホストBのOracle Virtual DirectoryキーストアおよびEMエージェント・ウォレットに自己署名証明書を追加する必要があります。次の手順を実行してください。
ORACLE_HOMEおよびJAVA_HOME環境変数を設定します。
既存の自己署名証明書を削除します。
$JAVA_HOME/bin/keytool -delete -alias serverselfsigned -keystore ORACLE_INSTANCE/config/OVD/ovd_component_name/keystores/keys.jks -storepass OVD_Admin_password
鍵ペアを生成します。
$JAVA_HOME/bin/keytool -genkeypair -keystore ORACLE_INSTANCE/config/OVD/ovd_component_name/keystores/keys.jks -storepass OVD_Admin_password -keypass OVD_Admin_password -alias serverselfsigned -keyalg rsa -dname "CN=Fully_qualified_hostname,O=test"
証明書をエクスポートします。
$JAVA_HOME/bin/keytool -exportcert -keystore ORACLE_INSTANCE/config/OVD/ovd_component_name/keystores/keys.jks -storepass OVD_Admin_password -rfc -alias serverselfsigned -file ORACLE_INSTANCE/config/OVD/ovd_component_name/keystores/ovdcert.txt
EMエージェントにウォレットを追加します。
ORACLE_HOME/../oracle_common/bin/orapki wallet add -wallet ORACLE_INSTANCE/EMAGENT/EMAGENT/sysman/config/monwallet -pwd EM_Agent_Wallet_password -trusted_cert -cert ORACLE_INSTANCE/config/OVD/ovd_component_name/keystores/ovdcert.txt
Oracle Virtual Directoryサーバーを停止して起動します。
EMエージェントを停止して起動します。
Oracle Platform Securityを移動し、LDAPストアを使用している場合、ソース環境のLDAPストアは稼働しており、pasteConfig操作中にターゲットからアクセスできる必要があります。
Oracle HTTP Serverリリース11.1.1.6を使用してWebGateを構成している場合、移動スクリプトを使用する前に次のパッチをOracle HTTP Serverに適用する必要があります。
13897557
移行スクリプトは、リリース11.1.2.1以前のOracle Identity Managerのリリースについて、移行スクリプトの使用または手動の手順による別の環境への移行をサポートしていません。さらに、リリース11.1.2.1以前のOracle Identity Managerのリリースが他のコンポーネントのソース環境の一部である場合、その環境に対する移行スクリプトは失敗します。
Oracle Adaptive Access Managerの移動後、copyConfig操作の一環としてOPSSデータが移行されない場合にのみ(opssdataexportパラメータで指定)、Oracle Adaptive Access Managerのデータベース・スキーマのユーザー名が変更されます。
Access ManagerとOracle Adaptive Access Managerが統合された環境を移行する場合、次のエラーが発生する可能性があります。
####<Mar 23, 2013 4:38:12 AM PDT> <Error> <Security> <slc01age> <AdminServer> <[ACTIVE] ExecuteThread: '0' for queue: 'weblogic.kernel.Default (self-tuning)'> <<WLS Kernel>> <> <> <1332502692218> <BEA-090870> <The realm "myrealm" failed to be loaded: weblogic.security.service.SecurityServiceException: java.lang.AssertionError: java.lang.reflect.InvocationTargetException. weblogic.security.service.SecurityServiceException: java.lang.AssertionError: java.lang.reflect.InvocationTargetException
この場合、次の手順に従います。
ソース環境にデプロイされたAccess ManagerコンソールとOracle WebLogic Server管理コンソールから、IAMSuiteAgentのアクセス・クライアント・パスワードを削除します。
ソース環境でcopyConfigスクリプトを実行します。
ターゲット環境でpasteConfigスクリプトを実行します。
pasteConfigスクリプトの実行時、アーカイブにOracle Platform Security Servicesが含まれる場合、スクリプトは次のエラーを返す可能性があります。
oracle.security.audit.util.StrictValidationEventHandler handleEvent
WARNING: Failed to validate the xml content. Reason: cvc-complex-type.2.4.b:
The content of element '' is not complete. One of
'{"http://xmlns.oracle.com/ias/audit/audit-2.0.xsd":source}' is expected..
Apr 24, 2013 6:28:29 AM
oracle.security.audit.util.StrictValidationEventHandler handleEvent
WARNING: Failed to validate the xml content. Reason: cvc-complex-type.2.4.b:
The content of element '' is not complete. One of
'{"http://xmlns.oracle.com/ias/audit/audit-2.0.xsd":source}' is expected..
これらのエラーは無視できます。
pasteConfigスクリプトの実行時、次のエラー・メッセージがpasteConfigのログに記録される場合があります。
SEVERE: 2013-10-22 01:06:33.432/953.466 Oracle Coherence GE 3.7.1.1 <Error>
(thread=Configuration Store Observer, member=n/a): Error while starting
cluster: (Wrapped) java.io.FileNotFoundException:
config/fmwconfig/.cohstore.jks (No such file or directory)
at com.tangosol.util.Base.ensureRuntimeException(Base.java:288)
at com.tangosol.util.Base.ensureRuntimeException(Base.java:269)
at com.tangosol.net.ssl.SSLSocketProvider.setConfig(SSLSocketProvider.java:444)
at com.tangosol.net.SocketProviderFactory.createProvider(SocketProviderFactory.java:77)
at com.tangosol.net.SocketProviderFactory.ensureProvider(SocketProviderFactory.java:152)
at com.tangosol.coherence.component.net.Cluster.configureSockets(Cluster.CDB:28)
これらのエラーは無視できます。
copyConfigスクリプトは次の警告を返す場合があります。
======================================================================= WARNING: Unsupported configuration store version detected. Required "11.1.2.2.0" but found "11.1.2.1.0". Nov 03, 2013 10:16:41 PM oracle.security.am.admin.config.BasicFileConfigurationStore loadConfiguration WARNING: Unsupported configuration store version detected. Required "11.1.2.2.0" but found "11.1.2.1.0". Nov 03, 2013 10:16:42 PM oracle.security.am.admin.config.BasicFileConfigurationStore loadConfiguration WARNING: Unsupported configuration store version detected. Required "11.1.2.2.0" but found "11.1.2.1.0". =======================================================================
これらの警告は無視してかまいません。
Access Manager、Oracle Identity ManagerおよびOracle Adaptive Access Managerが含まれる環境では、ターゲット環境の次のデータ・ソース・プロパティに、無効な値が含まれる場合があります。
portNumber SID serverName
これらはドメイン内のすべてのデータ・ソースに含まれる冗長なプロパティであるため、これらのプロパティ値が無効であっても、機能が失われることはありません。
Oracle Adaptive Access Managerを含む環境でpasteConfigスクリプトを実行するときに、有効なドメインが存在していない場合、pasteConfgの手順がスキップされ、スクリプトによって次のエラーが返されます。
Not valid OAAM Domain. Skipping OAAM-specific copy configuration steps.
メッセージは正しくは次のとおりです。
Not valid OAAM Domain. Skipping OAAM-specific paste configuration steps.
Access ManagerとOracle Adaptive Access Managerを含むドメインに対してcopyConfigスクリプトを実行した後で、次のエラーが生成されることがありますが、無視してください。
javax.management.InstanceNotFoundException: java.lang:type=Runtime at weblogic.rjvm.ResponseImpl.unmarshalReturn(ResponseImpl.java:237) at weblogic.rmi.internal.BasicRemoteRef.invoke(BasicRemoteRef.java:223) at javax.management.remote.rmi.RMIConnectionImpl_1036_WLStub.getAttribute(Unknown Source)
Web層環境を移動すると、copyBinaryスクリプトで次のメッセージが返されることがあります。
Warning Message :1 Nov 20, 2014 10:47:57 - WARNING - CLONE-20266 Unable to archive a file. Nov 20, 2014 10:47:57 - CAUSE - CLONE-20266 The file "/scratch/oracle/webtier6400/network/log/cgisock.9465" did not have sufficient permission to access. Nov 20, 2014 10:47:57 - ACTION - CLONE-20266 Correct the permission of above file and run copyBinary again.
このメッセージは無視して問題ありません。
この時点で既知の構成の問題はありません。
ここでは、『管理者ガイド』および『Oracle Fusion Middleware高可用性ガイド』のドキュメントの訂正箇所を示します。
現時点では『管理者ガイド』に訂正箇所はありません。
この項には、『Oracle Fusion Middleware高可用性ガイド11g リリース2 (11.1.2.1.0)』(原本部品番号E28391-04)の次の訂正箇所が含まれます。
第8.3.3.1.1項「Oracle WebLogic Serverのインストール」の手順5「「製品とコンポーネントの選択」画面で「Oracle JRockit SDK」のみを選択し、「次へ」をクリックします。」の記述は正しくありません。「「製品とコンポーネントの選択」画面で、認証済JDKを選択します。」と記述する必要があります。Oracleの認証マトリックスを参照して、適切なJDKを選択してください。http://www.oracle.com/technetwork/middleware/downloads/fmw-11gr1certmatrix.xlsを参照してください。
