この章では、Oracle Identity and Access Management 11gリリース2 (11.1.2.3)のインストールと構成プロセスに関連する問題について説明します。次の項が含まれます:
この項では、インストールに関する問題およびその回避策について説明します。次のトピックが含まれます:
IDMLCMツールの使用によるIDMデプロイメントのホストの準備中に、lsb_releaseパッケージをインストールする必要があります。lsb Linuxパッケージがないときは、それぞれのホストが失敗するかどうかを事前確認します。その失敗はログ・ファイルIDMLCM_HOME/provisioning/logs/<machine-name>/healthcheck-error/logs/healthchecker/IDM_<machine-name>-PreInstallChecks_mandatory_<timestamp>.log
から確認できます。
ログ・ファイルには次のようなエラーが含まれています。
java.util.concurrent.ExecutionException: java.io.IOException: Cannot run program "lsb_release": error=2, No such file or directory
at java.util.concurrent.FutureTask.report(FutureTask.java:122)
デプロイメントにIDMLCMを使用しており、ユーザーがディレクトリを手動で準備および構成する場合(IDMLCMを使用してオプションディレクトリの準備を使用するのではない)、システム・ユーザーおよびグループを、ディレクトリの準備のためのサンプル入力ファイルに含まれているのと同じ名前で構成することをお薦めします。
このファイルは、idmlcm_home/existing_directory/idmtools/input_parameters.properties
にあります。
推奨されているユーザー名およびグループ名にしなかった場合は、デプロイメント中にエラーまたは障害が発生する可能性があります。
注意: そのファイルのとおり、同じユーザー名およびグループ名を使用することをお薦めします。ドメインを同じにする必要はありません。たとえば、cn=oamLDAP,dc=oracle,dc=com instead of cn=oamLDAP,dc=example,dc=comです。 |
前述の既知の問題の他に、この項では、次のトピックについても説明します。
注意: prov_run コマンドは、デプロイメント全体を自動的に実行します。これは、デプロイメントの実行にprov_run コマンドを使用している場合にのみサポートされます。runIAMDeployment コマンドを使用してデプロイメントを手動で実行している場合、IDMLCMディレクトリの準備はサポートされません。 |
Oracle SOA SuiteおよびOracle Identity and Access ManagementをSUSE Linux Enterprise Server 10 Service Pack (SP) 3+にインストールしようとするとき、compat-libstdc++-5.0.7
パッケージに関するシステム前提条件チェックが失敗します。このパッケージがシステムに存在しないためです。
他のシステム要件が満たされている場合は、インストーラの起動時に-ignoreSysPrereqs
を指定して、compat-libstdc++-5.0.7
パッケージに関するこのシステム前提条件チェックを無視することができます。
./runInstaller -ignoreSysPrereqs
Oracle Identity and Access Management 11gリリース2 (11.1.2)のインストール中、インストーラによる個別パッチの適用時にOpatchエラーが発生する場合があります。次のエラーがログに表示されます。
エラー-1
OPatch failed with error code 39 ] stderr=[[ Error during Prerequisite for apply Phase]. Detail: OPatch failed during prerequisite checks: Prerequisite check "CheckPatchApplicableOnCurrentPlatform" failed. Prerequisite check "CheckApplicable" failed. ]
説明および回避策:
これらの警告メッセージは無視してかまいません。
エラー-2
OPatch failed with error code 25 ] stderr=[[ Error during Oracle Home discovery Phase]. Detail: OPatch failed: ApplySession failed to prepare the system. To run in silent mode, OPatch requires a response file for Oracle Configuration Manager (OCM). Please run "/scratch/FMW_OAM/Oracle_OAM/OPatch/ocm/bin/emocmrsp" to generate an OCM response file. The generated response file can be reused on different platforms and in multiple OPatch silent installs. To regenerate an OCM response file, Please rerun "/scratch/FMW_OAM/Oracle_OAM/OPatch/ocm/bin/emocmrsp".
インストール中にSolaris 11でヘルス・チェックを実行すると、不足パッケージの検出に失敗します。デフォルトでは、Solaris 11にusrucbps
は事前インストールされていません。その結果、/usr/ucb/ps -auxwww
コマンドを使用してノード・マネージャが正常に起動されたかどうかをチェックし、この段階で失敗します。
この問題を解決するには、OIMをインストールする前に次のコマンドを実行します。
pkg install compatibility/ucb
この項では、構成の問題および回避策について説明します。次の項目が含まれます。
第2.2.1項「統合されたOIM、OAM、OMSSおよびActive Directory環境でのOIMユーザー・ロールの問題」
2.2.2項「WebLogic Administration ServerがWindowsでSQLIntegrityConstraintViolationExceptionエラーで起動できない」
第2.2.4項「Identity and Access Managementのデプロイメント中にAdminServer.logでbip_datasource例外が表示される」
第2.2.5項「サービス開始中のCoherenceリクエスト・タイムアウト例外」
注意: IDMLCMツールを使用したIDM R2PS3デプロイメントという、特定のシナリオでは、すべてのOUDインスタンスにおいてOracle Unified Directory ACIが更新されない場合があります。デプロイメント後に、すべてのOUDインスタンスで、OUD_ORACLE_INSTANCE/OUD/config/config.ldifファイルにOracle Fusion Middleware Oracle Identity and Access Managementエンタープライズ・デプロイメント・ガイドドキュメントの「LDAP同期のためのOracle Unified Directory ACIの更新」の項で示したACIが存在することを確認します。 |
OIMでアイデンティティ監査機能を有効にする際、OIM-BI Publisher統合が問題なく機能するように、次の構成変更を実行します。
IAMGovernanceDomain Enterprise管理コンソールにログインします。
システムMBeanブラウザを開き、MBeanを更新します。
oracle.iam:Location=wlsoim1,name=Discovery,type=XMLConfig.DiscoveryConfig,XMLConfig=Config,Application=oim,ApplicationVersion=11.1.2.0.0
値をhttp://igdadmin.example.com/として、ここでは、igdadmin.example.comはGovernance Domain管理ロード・バランサURLです。
統合されたOracle Identity Manager (OIM)、Oracle Access Manager (OAM)およびOracle Mobile Security Suite (OMSS)環境で、Microsoft Active DirectoryをLDAPディレクトリとして構成した場合、OIMで作成されたすべてのユーザー・ロールはOAMまたはOMSSでは認識されません。
たとえば、OIMコンソールにログインしてomssroleという新しいロールを作成してから、OAMコンソールにログインしてそのロールを検索しても見つかりません。
この問題の回避策は、Active DirectoryインスタンスにOIMが作成する各グループについて、sAMAccountName
属性をCN
属性と同じ値に設定するようにOIMを構成することです。この回避策は、OIMに新しいロールを作成する前に適用する必要があります。
OIMがインストールされているホストで新しいターミナル・ウィンドウを開きます。
OIMガバナンス・ドメイン管理サーバーに接続します。
たとえば、次のようになります。
WL_HOME/server/bin/setWLSEnv.sh WL_HOME/common/bin/wlst.sh wls:/offline> connect ("weblogic", "admin_password", "t3://OIMHOST.example.com:7001")
次のWLSTコマンドを入力して、sAMAccountName
属性をディレクトリのすべてのグループに追加します。
wls:/IAMGovernanceDomain/serverConfig> addPluginParam(adapterName='dir1',pluginName='UserManagement', paramKeys='addAttribute',paramValues='group, samaccountname=%cn%',contextName='oim')
WLSTを終了し、ドメイン・ホーム・ディレクトリで次のファイルを探します。
DOMAIN_HOME/config/fmwconfig/ovd/oim/adapters.os_xml
次のエントリがadapters.os_xmlファイルに追加されたことを確認します。
<ns2:param name="addAttribute" value="group,samaccountname=%cn%"/>
OIM管理対象サーバー(たとえばwls_oim1)を再起動します。
Oracle Identity and Access Managementをインストールおよび構成した後で、WebLogic管理サーバーをWindowsで開始しようとすると、管理サーバーがjava.sql.SQLIntegrityConstraintViolationException
エラーで開始できないことがあります。
回避策として、DOMAIN_HOME
\bin\setDomainEnv.cmd
ファイルを開き、-DDISABLE_CONFIG_ENTITY
をtrue
に設定します。
たとえば、次のようになります。
-DDISABLE_CONFIG_ENTITY=true
その後、管理サーバーを再起動します。
新しくインストールされたOracle Database 11gデータベースで作成されたユーザーの、デフォルトのパスワードの期限は180日です。180日が経過すると、パスワードは自動的に期限切れとなります。Oracle Access Manager (OAM)スキーマのパスワードの期限が切れると、OAM環境は操作できなくなります。
この問題を回避するには、次のいずれかを行います。
解決策1: 現在のOAMスキーマのパスワードの期限が切れることのないように、DEFAULT
データベース・プロファイル(またはOAMスキーマに割り当てられた別の関連プロファイル)のパスワード設定を構成することにより、データベースのデフォルトのパスワード・ポリシーを変更します。
これを行うには、OAMスキーマのユーザーのプロファイルで、ALTER PROFILE
文を使用してPASSWORD_LIFE_TIME
およびPASSWORD_GRACE_TIME
パラメータをUNLIMITED
に設定します。
パスワード関連設定の詳細およびその構成方法については『Oracle Databaseセキュリティ・ガイド』のデフォルト・プロファイルのパスワード設定の構成に関する項を参照してください。
ALTER PROFILE
を使用したデフォルトのパスワード設定の変更の詳細は、『Oracle Database SQL言語リファレンス』を参照してください。
もしくは次を入力します。
解決策2: 期限が切れる前にパスワードをリセットします。
Oracle Database 11gデータベースでOAMスキーマのパスワードをリセットするには、WebLogic Server管理コンソールでOPSSスキーマおよびOAMスキーマの両方のパスワードを更新してからデータベースのパスワードを更新する必要があります。
WebLogic Server管理コンソールでOPSSのパスワードを更新します。
「ドメイン構造」メニューで、「サービス」を開き、「データ・ソース」をクリックします。
「データ・ソース」表でopss-DBDSデータ・ソースを選択します。
「構成」→「接続プール」サブ・タブを選択します。
「チェンジ・センター」で「ロックして編集」をクリックします。
「パスワード」および「パスワードの確認」フィールドにOPSSスキーマの新しいパスワードを入力します。
「保存」をクリックして新しいパスワードを保存します。
WebLogic Server管理コンソールでOAMのパスワードを更新します。
「ドメイン構造」メニューで、「サービス」を開き、「データ・ソース」をクリックします。
「データ・ソース」表でoamDSデータ・ソースを選択します。
「構成」→「接続プール」サブ・タブを選択します。
「パスワード」および「パスワードの確認」フィールドにOAMスキーマの新しいパスワードを入力します。
「保存」をクリックして新しいパスワードを保存してから、チェンジ・センターで「変更のアクティブ化」をクリックします。
環境内のサーバー(管理サーバーおよび管理対象サーバー)を停止します。
SYS
データベース・ユーザーとしてsqlplusにログオンし、データベースのスキーマ・パスワードを更新します。
SQL> ALTER USER OAM_SCHEMA_USER IDENTIFIED BY NEW_PASSWORD; SQL> ALTER USER OPSS_SCHEMA_USER IDENTIFIED BY NEW_PASSWORD;
たとえば、次のようになります。
SQL> ALTER USER DEV_OAM IDENTIFIED BY password; SQL> ALTER USER DEV_OPSS IDENTIFIED BY password;
MW_HOME
/oracle_common/common/bin
ディレクトリからWLSTを開始します。たとえば、次のようになります。
cd MW_HOME/oracle_common/common/bin
./wlst.sh
次のようにmodifyBootStrapCredential
WLSTコマンドを実行します。
modifyBootStrapCredential(jpsConfigFile='DOMAIN_HOME/config/fmwconfig/jps-config.xml', username='prefix_OPSS', password='new_password')
WLSTを終了します。
exit()
環境内のサーバーを開始します。
Life Cycle Management (LCM)ツールを使用してIdentity and Access Managementデプロイメントを実行している場合、事前構成段階の間に、AdminServer.log
ファイル内でbip_datasource
接続プールについて次の例外が発生する可能性があります。
java.net.UnknownHostException: dbhost.example.com: Name or service not known
bip_datasource
接続プールによるdbhost.example.com
の使用に関連するこの例外は、無害であり、安全に無視できます。
LCMツールを使用して自動的にOracle Identity and Access Managementをデプロイしているときの特定のシナリオでは、RequestTimeoutExceptionが生成され、IAMアクセス・ドメイン・サーバー・ログに表示される場合があります。
com.tangosol.net.RequestTimeoutException: Timeout during service start
このエラーが発生した場合は、次の回避策を実行します。
管理サーバーおよび管理対象サーバーを含め、アクセス・ドメイン・サーバーをシャットダウンします。
正しい順序でのサーバーの停止の詳細は、Oracle Fusion Middleware Oracle Identity and Access Managementエンタープライズ・デプロイメント・ガイドの「IAMAccessDomainサービスの開始および停止」を参照してください。
アクセス・ドメイン管理サーバーを起動するためにnodemanagerによって使用されるstartup.propertiesファイルを見つけます。
IAD_ASERVER_HOME/servers/AdminServer/data/nodemanager/startup.properties
startup.propertiesファイルを編集し、ファイル内でプロパティArgumentsを見つけ、それに追加します。
-Djava.net.preferIPv4Stack=true
管理サーバーおよび管理対象サーバーを含め、アクセス・ドメイン・サーバーを再起動します。
正しい順序でのサーバーの起動の詳細は、Oracle Fusion Middleware Oracle Identity and Access Managementエンタープライズ・デプロイメント・ガイドの「IAMAccessDomainサービスの開始および停止」を参照してください。