Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
![]() 前 |
![]() 次 |
この項では、次の情報について説明します。
問題
チャレンジ・リダイレクトURLはNULLでもかまいませんが、チャレンジ・メソッドにNULLは使用できません。
匿名認証スキームを開いて編集し、チャレンジ・メソッドの値を追加せずに「適用」をクリックすると、次のエラーが表示されることがあります。
Messages for this page are listed below. * Challenge Method You must make at least one selection. * Challenge Redirect You must enter a value.
解決策
匿名認証スキームを編集するときは必ずチャレンジ・メソッドとチャレンジ・リダイレクトの両方を含める必要があります。
Access Manager X.509認証スキームは、ユーザーのX.509証明書をOAMサーバーへ配信するSSLに基づきます。X.509認証スキームには、チャレンジ・メソッドの値としてX509プラグインが必要です(認証モジュールではありません)。
問題
ユーザーがブラウザで証明書を選択しいるのに、OAMサーバーの証明書が有効ではない。
解決策
具体的な解決策は、SSLハンドシェイク障害の理由により決まります。次に例を示します。
WebLogic Serverで切断するSSL接続のデバッグを行うには、http://docs.oracle.com/cd/E12840_01/wls/docs103/secmanage/ssl.html
を参照してください。
OHSサーバーで切断するSSL接続のデバッグを行うには、http://docs.oracle.com/cd/E12839_01/web.1111/e10144/under_mods.htm#i1007687
を参照してください。
SSLハンドシェイク障害の理由およびSSLハンドシェイクを終了させているピアを特定してください。解決策は次のカテゴリに類別されます。
「デフォルトでSSL実装のWebLogic ServerとのSSL接続」を確立させるのに問題がある場合は、WLS 10.3.3以降でサポートされているJSSE SSL実装の使用へ切り替えてください。
次のリストはその他の発生する可能性がある構成の問題を特定しています。
OHSプラグインの構成に間違いがあるため、ユーザー資格証明がWebLogicサーバーに送信されない。
暗号スイート: この構成が、ユーザー証明書と一致していない。
スマート・カード: ブラウザがスマートカード・リーダーと通信していない。
PKCS#11 (またはハードウエア暗号化): デバイスが作動していることを確認してください。
証明書内のサーバー名がホスト名に一致していません。この照合は構成により無効化できます。
サーバーが、トラスト・ストアにあるユーザー証明書パス上にCA証明書を実装していません。
問題
シングル・サインオフが、X.509認証でリソースにアクセスした後で機能しないことがあります。ユーザーがログアウトURLでログアウトして、同じブラウザでリソースにアクセスしようとすると、認証が行われないことがあります。かわりに、ユーザーは証明書ポップアップを使用した認証を求められます。
これは、いずれのエージェント・タイプでも起こる可能性があります。
解決策
ログアウトURLを実行した後で、ブラウザで「SSL状態のクリア」を次のようにクリックしてから、X.509保護リソースにアクセスします。
ブラウザ・ウィンドウで、「ツール」メニューを開いて「インターネット オプション」をクリックし、「コンテンツ」、「SSL状態のクリア」の順に選択します。
問題
クライアント証明書認証は、WebLogic Serverと.oamkeystore keystoresにrootとsub CA証明書をインポートすると、標準X509認証モジュールを使用して正常に作動します。
しかし、カスタムX509プラグイン認証モジュールおよびWebLogic Serverと.oamkeystore keystoresにインポートされたrootとsub CA証明書を使用する場合、証明書検証エラーが発生する可能性があります。
解決策
カスタムX509プラグイン認証モジュールと一緒に、rootおよびsub CA証明書を、DOMAIN_HOME/config/fmwconfig/amtruststore because the X509CredentialExtractor plug-in loads certificates from this locationに追加する必要があります。X509CredentialExtractorプラグインが、この保管場所から証明書をロードするからです。