2 Oracle Identity and Access Managementのインストールおよび構成の問題

この章では、Oracle Identity and Access Management 11gリリース2 (11.1.2.3)のインストールと構成プロセスに関連する問題について説明します。次の項が含まれます:

• インストールの問題と回避策

• 構成の問題と回避策

2.1 インストールの問題および回避策

この項では、インストールに関する問題およびその回避策について説明します。次のトピックが含まれます:

• IDMLCMツールの使用によるIDMデプロイメントのホストの準備中に、lsb_releaseパッケージをインストールする必要があります。lsb Linuxパッケージがないときは、それぞれのホストが失敗するかどうかを事前確認します。その失敗はログ・ファイルIDMLCM_HOME/provisioning/logs/<machine-name>/healthcheck-error/logs/healthchecker/IDM_<machine-name>-PreInstallChecks_mandatory_<timestamp>.logから確認できます。

  ログ・ファイルには次のようなエラーが含まれています。

  java.util.concurrent.ExecutionException: java.io.IOException: Cannot run program "lsb_release": error=2, No such file or directory

  at java.util.concurrent.FutureTask.report(FutureTask.java:122)

• デプロイメントにIDMLCMを使用しており、ユーザーがディレクトリを手動で準備および構成する場合(IDMLCMを使用してオプションディレクトリの準備を使用するのではない)、システム・ユーザーおよびグループを、ディレクトリの準備のためのサンプル入力ファイルに含まれているのと同じ名前で構成することをお薦めします。

  このファイルは、idmlcm_home/existing_directory/idmtools/input_parameters.propertiesにあります。

  推奨されているユーザー名およびグループ名にしなかった場合は、デプロイメント中にエラーまたは障害が発生する可能性があります。

  
  

  注意: そのファイルのとおり、同じユーザー名およびグループ名を使用することをお薦めします。ドメインを同じにする必要はありません。たとえば、cn=oamLDAP,dc=oracle,dc=com instead of cn=oamLDAP,dc=example,dc=comです。

  
  

前述の既知の問題の他に、この項では、次のトピックについても説明します。

• 第2.1.1項「SUSE Linux Enterprise Server 10 SP 3+へのSOAおよびOracle Identity and Access Managementのインストール時に前提条件チェックが失敗する」

• 第2.1.2項「Oracle Identity and Access Managementのインストール中、個別パッチ適用時にOpatchエラーが発生する」

• 第2.1.3項「OIMのインストール中Solaris 11のヘルス・チェックが失敗する」

注意: prov_runコマンドは、デプロイメント全体を自動的に実行します。これは、デプロイメントの実行にprov_runコマンドを使用している場合にのみサポートされます。runIAMDeploymentコマンドを使用してデプロイメントを手動で実行している場合、IDMLCMディレクトリの準備はサポートされません。

2.1.1 SUSE Linux Enterprise Server 10 SP 3+へのSOAおよびOracle Identity and Access Managementのインストール時に前提条件チェックが失敗する

Oracle SOA SuiteおよびOracle Identity and Access ManagementをSUSE Linux Enterprise Server 10 Service Pack (SP) 3+にインストールしようとするとき、compat-libstdc++-5.0.7パッケージに関するシステム前提条件チェックが失敗します。このパッケージがシステムに存在しないためです。

他のシステム要件が満たされている場合は、インストーラの起動時に-ignoreSysPrereqsを指定して、compat-libstdc++-5.0.7パッケージに関するこのシステム前提条件チェックを無視することができます。

./runInstaller -ignoreSysPrereqs

2.1.2 Oracle Identity and Access Managementのインストール中、個別パッチ適用時にOpatchエラーが発生する

Oracle Identity and Access Management 11gリリース2 (11.1.2)のインストール中、インストーラによる個別パッチの適用時にOpatchエラーが発生する場合があります。次のエラーがログに表示されます。

エラー-1

OPatch failed with error code 39   ]           stderr=[[ Error during Prerequisite for apply Phase]. Detail: OPatch   failed during prerequisite checks: Prerequisite check   "CheckPatchApplicableOnCurrentPlatform" failed.   Prerequisite check "CheckApplicable" failed.   ]

説明および回避策:

これらの警告メッセージは無視してかまいません。

エラー-2

OPatch failed with error code 25 ]         stderr=[[ Error during Oracle Home discovery Phase]. Detail: OPatch failed: ApplySession failed to prepare the system. To run in silent mode, OPatch requires a response file for Oracle Configuration Manager (OCM). Please run "/scratch/FMW_OAM/Oracle_OAM/OPatch/ocm/bin/emocmrsp" to generate an OCM response file. The generated response file can be reused on different platforms and in multiple OPatch silent installs. To regenerate an OCM response file, Please rerun "/scratch/FMW_OAM/Oracle_OAM/OPatch/ocm/bin/emocmrsp".

2.1.3 OIMのインストール中Solaris 11のヘルス・チェックが失敗する

インストール中にSolaris 11でヘルス・チェックを実行すると、不足パッケージの検出に失敗します。デフォルトでは、Solaris 11にusrucbpsは事前インストールされていません。その結果、/usr/ucb/ps -auxwwwコマンドを使用してノード・マネージャが正常に起動されたかどうかをチェックし、この段階で失敗します。

この問題を解決するには、OIMをインストールする前に次のコマンドを実行します。

pkg install compatibility/ucb

2.2 構成の問題および回避策

この項では、構成の問題および回避策について説明します。次の項目が含まれます。

• 第2.2.1項「統合されたOIM、OAM、OMSSおよびActive Directory環境でのOIMユーザー・ロールの問題」

• 2.2.2項「WebLogic Administration ServerがWindowsでSQLIntegrityConstraintViolationExceptionエラーで起動できない」

• 2.2.3項「Oracle Database 11gでOAMスキーマのパスワードの期限が180日ごとに切れる」

• 第2.2.4項「Identity and Access Managementのデプロイメント中にAdminServer.logでbip_datasource例外が表示される」

• 第2.2.5項「サービス開始中のCoherenceリクエスト・タイムアウト例外」

  
  

  注意: IDMLCMツールを使用したIDM R2PS3デプロイメントという、特定のシナリオでは、すべてのOUDインスタンスにおいてOracle Unified Directory ACIが更新されない場合があります。デプロイメント後に、すべてのOUDインスタンスで、OUD_ORACLE_INSTANCE/OUD/config/config.ldifファイルにOracle Fusion Middleware Oracle Identity and Access Managementエンタープライズ・デプロイメント・ガイドドキュメントの「LDAP同期のためのOracle Unified Directory ACIの更新」の項で示したACIが存在することを確認します。

  
  

OIMでアイデンティティ監査機能を有効にする際、OIM-BI Publisher統合が問題なく機能するように、次の構成変更を実行します。

1. IAMGovernanceDomain Enterprise管理コンソールにログインします。

2. システムMBeanブラウザを開き、MBeanを更新します。

   oracle.iam:Location=wlsoim1,name=Discovery,type=XMLConfig.DiscoveryConfig,XMLConfig=Config,Application=oim,ApplicationVersion=11.1.2.0.0
   

   値をhttp://igdadmin.example.com/として、ここでは、igdadmin.example.comはGovernance Domain管理ロード・バランサURLです。

2.2.1 統合されたOIM、OAM、OMSSおよびActive Directory環境でのOIMユーザー・ロールの問題

統合されたOracle Identity Manager (OIM)、Oracle Access Manager (OAM)およびOracle Mobile Security Suite (OMSS)環境で、Microsoft Active DirectoryをLDAPディレクトリとして構成した場合、OIMで作成されたすべてのユーザー・ロールはOAMまたはOMSSでは認識されません。

たとえば、OIMコンソールにログインしてomssroleという新しいロールを作成してから、OAMコンソールにログインしてそのロールを検索しても見つかりません。

この問題の回避策は、Active DirectoryインスタンスにOIMが作成する各グループについて、sAMAccountName属性をCN属性と同じ値に設定するようにOIMを構成することです。この回避策は、OIMに新しいロールを作成する前に適用する必要があります。

1. OIMがインストールされているホストで新しいターミナル・ウィンドウを開きます。

2. OIMガバナンス・ドメイン管理サーバーに接続します。

   たとえば、次のようになります。

   WL_HOME/server/bin/setWLSEnv.sh
   WL_HOME/common/bin/wlst.sh
   wls:/offline> connect ("weblogic", "admin_password",
                            "t3://OIMHOST.example.com:7001")
   

3. 次のWLSTコマンドを入力して、sAMAccountName属性をディレクトリのすべてのグループに追加します。

   wls:/IAMGovernanceDomain/serverConfig>
   addPluginParam(adapterName='dir1',pluginName='UserManagement',
                         paramKeys='addAttribute',paramValues='group,
                         samaccountname=%cn%',contextName='oim')
   

4. WLSTを終了し、ドメイン・ホーム・ディレクトリで次のファイルを探します。

   DOMAIN_HOME/config/fmwconfig/ovd/oim/adapters.os_xml
   

5. 次のエントリがadapters.os_xmlファイルに追加されたことを確認します。

   <ns2:param name="addAttribute" value="group,samaccountname=%cn%"/>
   

6. OIM管理対象サーバー(たとえばwls_oim1)を再起動します。

2.2.2 WebLogic Administration ServerがWindowsでSQLIntegrityConstraintViolationExceptionエラーで起動できない

Oracle Identity and Access Managementをインストールおよび構成した後で、WebLogic管理サーバーをWindowsで開始しようとすると、管理サーバーがjava.sql.SQLIntegrityConstraintViolationExceptionエラーで開始できないことがあります。

回避策として、DOMAIN_HOME\bin\setDomainEnv.cmdファイルを開き、-DDISABLE_CONFIG_ENTITYをtrueに設定します。

たとえば、次のようになります。

-DDISABLE_CONFIG_ENTITY=true

その後、管理サーバーを再起動します。

2.2.3 Oracle Database 11gでOAMスキーマのパスワードの期限が180日ごとに切れる

新しくインストールされたOracle Database 11gデータベースで作成されたユーザーの、デフォルトのパスワードの期限は180日です。180日が経過すると、パスワードは自動的に期限切れとなります。Oracle Access Manager (OAM)スキーマのパスワードの期限が切れると、OAM環境は操作できなくなります。

この問題を回避するには、次のいずれかを行います。

解決策1: 現在のOAMスキーマのパスワードの期限が切れることのないように、DEFAULTデータベース・プロファイル(またはOAMスキーマに割り当てられた別の関連プロファイル)のパスワード設定を構成することにより、データベースのデフォルトのパスワード・ポリシーを変更します。

これを行うには、OAMスキーマのユーザーのプロファイルで、ALTER PROFILE文を使用してPASSWORD_LIFE_TIMEおよびPASSWORD_GRACE_TIMEパラメータをUNLIMITEDに設定します。

パスワード関連設定の詳細およびその構成方法については『Oracle Databaseセキュリティ・ガイド』のデフォルト・プロファイルのパスワード設定の構成に関する項を参照してください。

ALTER PROFILEを使用したデフォルトのパスワード設定の変更の詳細は、『Oracle Database SQL言語リファレンス』を参照してください。

もしくは次を入力します。

解決策2: 期限が切れる前にパスワードをリセットします。

Oracle Database 11gデータベースでOAMスキーマのパスワードをリセットするには、WebLogic Server管理コンソールでOPSSスキーマおよびOAMスキーマの両方のパスワードを更新してからデータベースのパスワードを更新する必要があります。

注意: 詳細は、My Oracle SupportのドキュメントID 1545889.1を参照してください。

1. WebLogic Server管理コンソールでOPSSのパスワードを更新します。

   1. 「ドメイン構造」メニューで、「サービス」を開き、「データ・ソース」をクリックします。

   2. 「データ・ソース」表でopss-DBDSデータ・ソースを選択します。

   3. 「構成」→「接続プール」サブ・タブを選択します。

   4. 「チェンジ・センター」で「ロックして編集」をクリックします。

   5. 「パスワード」および「パスワードの確認」フィールドにOPSSスキーマの新しいパスワードを入力します。

   6. 「保存」をクリックして新しいパスワードを保存します。

2. WebLogic Server管理コンソールでOAMのパスワードを更新します。

   1. 「ドメイン構造」メニューで、「サービス」を開き、「データ・ソース」をクリックします。

   2. 「データ・ソース」表でoamDSデータ・ソースを選択します。

   3. 「構成」→「接続プール」サブ・タブを選択します。

   4. 「パスワード」および「パスワードの確認」フィールドにOAMスキーマの新しいパスワードを入力します。

   5. 「保存」をクリックして新しいパスワードを保存してから、チェンジ・センターで「変更のアクティブ化」をクリックします。

3. 環境内のサーバー(管理サーバーおよび管理対象サーバー)を停止します。

4. SYSデータベース・ユーザーとしてsqlplusにログオンし、データベースのスキーマ・パスワードを更新します。

   SQL> ALTER USER OAM_SCHEMA_USER IDENTIFIED BY NEW_PASSWORD;
   SQL> ALTER USER OPSS_SCHEMA_USER IDENTIFIED BY NEW_PASSWORD;
   

   たとえば、次のようになります。

   SQL> ALTER USER DEV_OAM IDENTIFIED BY password;
   SQL> ALTER USER DEV_OPSS IDENTIFIED BY password;
   

5. MW_HOME/oracle_common/common/binディレクトリからWLSTを開始します。たとえば、次のようになります。

   cd MW_HOME/oracle_common/common/bin
   ./wlst.sh
   

6. 次のようにmodifyBootStrapCredential WLSTコマンドを実行します。

   modifyBootStrapCredential(jpsConfigFile='DOMAIN_HOME/config/fmwconfig/jps-config.xml', username='prefix_OPSS', password='new_password')
   

7. WLSTを終了します。

   exit()
   

8. 環境内のサーバーを開始します。

2.2.4 Identity and Access Managementのデプロイメント中にAdminServer.logでbip_datasource例外が表示される

Life Cycle Management (LCM)ツールを使用してIdentity and Access Managementデプロイメントを実行している場合、事前構成段階の間に、AdminServer.logファイル内でbip_datasource接続プールについて次の例外が発生する可能性があります。

java.net.UnknownHostException: dbhost.example.com: Name or service not known

bip_datasource接続プールによるdbhost.example.comの使用に関連するこの例外は、無害であり、安全に無視できます。

2.2.5 サービス開始中のCoherenceリクエスト・タイムアウト例外

LCMツールを使用して自動的にOracle Identity and Access Managementをデプロイしているときの特定のシナリオでは、RequestTimeoutExceptionが生成され、IAMアクセス・ドメイン・サーバー・ログに表示される場合があります。

com.tangosol.net.RequestTimeoutException: Timeout during service start

このエラーが発生した場合は、次の回避策を実行します。

1. 管理サーバーおよび管理対象サーバーを含め、アクセス・ドメイン・サーバーをシャットダウンします。

   正しい順序でのサーバーの停止の詳細は、Oracle Fusion Middleware Oracle Identity and Access Managementエンタープライズ・デプロイメント・ガイドの「IAMAccessDomainサービスの開始および停止」を参照してください。

2. アクセス・ドメイン管理サーバーを起動するためにnodemanagerによって使用されるstartup.propertiesファイルを見つけます。

    IAD_ASERVER_HOME/servers/AdminServer/data/nodemanager/startup.properties
   

3. startup.propertiesファイルを編集し、ファイル内でプロパティArgumentsを見つけ、それに追加します。

   -Djava.net.preferIPv4Stack=true

4. 管理サーバーおよび管理対象サーバーを含め、アクセス・ドメイン・サーバーを再起動します。

   正しい順序でのサーバーの起動の詳細は、Oracle Fusion Middleware Oracle Identity and Access Managementエンタープライズ・デプロイメント・ガイドの「IAMAccessDomainサービスの開始および停止」を参照してください。