E.9 認証の問題

この項では、次の情報について説明します。

• 匿名認証の問題

• X.509スキームおよびSSLハンドシェイクの問題

• X.509保護リソースおよびシングル・サインオフ

• X509CredentialExtractor証明書検証エラー

E.9.1 匿名認証の問題

問題

チャレンジ・リダイレクトURLはNULLでもかまいませんが、チャレンジ・メソッドにNULLは使用できません。

匿名認証スキームを開いて編集し、チャレンジ・メソッドの値を追加せずに「適用」をクリックすると、次のエラーが表示されることがあります。

Messages for this page are listed below. 

* Challenge Method You must make at least one selection. 
 
* Challenge Redirect You must enter a value. 

解決策

匿名認証スキームを編集するときは必ずチャレンジ・メソッドとチャレンジ・リダイレクトの両方を含める必要があります。

E.9.2 X.509スキームおよびSSLハンドシェイクの問題

Access Manager X.509認証スキームは、ユーザーのX.509証明書をOAMサーバーへ配信するSSLに基づきます。X.509認証スキームには、チャレンジ・メソッドの値としてX509プラグインが必要です(認証モジュールではありません)。

問題

ユーザーがブラウザで証明書を選択しいるのに、OAMサーバーの証明書が有効ではない。

解決策

具体的な解決策は、SSLハンドシェイク障害の理由により決まります。次に例を示します。

• WebLogic Serverで切断するSSL接続のデバッグを行うには、http://docs.oracle.com/cd/E12840_01/wls/docs103/secmanage/ssl.htmlを参照してください。

• OHSサーバーで切断するSSL接続のデバッグを行うには、http://docs.oracle.com/cd/E12839_01/web.1111/e10144/under_mods.htm#i1007687を参照してください。

SSLハンドシェイク障害の理由およびSSLハンドシェイクを終了させているピアを特定してください。解決策は次のカテゴリに類別されます。

• 構成の問題

• 信頼性の問題

• 証明書検証の問題

E.9.2.1 構成の問題

「デフォルトでSSL実装のWebLogic ServerとのSSL接続」を確立させるのに問題がある場合は、WLS 10.3.3以降でサポートされているJSSE SSL実装の使用へ切り替えてください。

次のリストはその他の発生する可能性がある構成の問題を特定しています。

• OHSプラグインの構成に間違いがあるため、ユーザー資格証明がWebLogicサーバーに送信されない。

• 暗号スイート: この構成が、ユーザー証明書と一致していない。

• スマート・カード: ブラウザがスマートカード・リーダーと通信していない。

• PKCS#11 (またはハードウエア暗号化): デバイスが作動していることを確認してください。

E.9.2.2 信頼性の問題

証明書内のサーバー名がホスト名に一致していません。この照合は構成により無効化できます。

サーバーが、トラスト・ストアにあるユーザー証明書パス上にCA証明書を実装していません。

E.9.2.3 証明書検証の問題

次のリストは発生する可能性がある構成の問題を特定しています。

• 証明書が期限切れになっている。

• 証明書が失効している。

• 資格証明検証の構成に間違いがあるか、接続に問題があるために、この検証が機能していない。

E.9.3 X.509保護リソースおよびシングル・サインオフ

問題

シングル・サインオフが、X.509認証でリソースにアクセスした後で機能しないことがあります。ユーザーがログアウトURLでログアウトして、同じブラウザでリソースにアクセスしようとすると、認証が行われないことがあります。かわりに、ユーザーは証明書ポップアップを使用した認証を求められます。

これは、いずれのエージェント・タイプでも起こる可能性があります。

解決策

ログアウトURLを実行した後で、ブラウザで「SSL状態のクリア」を次のようにクリックしてから、X.509保護リソースにアクセスします。

ブラウザ・ウィンドウで、「ツール」メニューを開いて「インターネット オプション」をクリックし、「コンテンツ」、「SSL状態のクリア」の順に選択します。

E.9.4 X509CredentialExtractor証明書検証エラー

問題

クライアント証明書認証は、WebLogic Serverと.oamkeystore keystoresにrootとsub CA証明書をインポートすると、標準X509認証モジュールを使用して正常に作動します。

しかし、カスタムX509プラグイン認証モジュールおよびWebLogic Serverと.oamkeystore keystoresにインポートされたrootとsub CA証明書を使用する場合、証明書検証エラーが発生する可能性があります。

解決策

カスタムX509プラグイン認証モジュールと一緒に、rootおよびsub CA証明書を、DOMAIN_HOME/config/fmwconfig/amtruststore because the X509CredentialExtractor plug-in loads certificates from this locationに追加する必要があります。X509CredentialExtractorプラグインが、この保管場所から証明書をロードするからです。