| Oracle® Fusion Middleware Oracle Privileged Account Managerの管理 11gリリース2 (11.1.2.3) E61951-02 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Privileged Account Managerの管理 11gリリース2 (11.1.2.3) E61951-02 |
|
前 |
次 |
この章では、Oracle Privileged Account Managerの使用中に発生する可能性のある一般的な問題と、その解決方法について説明します。
この章の内容は次のとおりです。
表示される可能性のあるエラー・メッセージの詳細は、この章およびOracle Fusion Middlewareエラー・メッセージ・リファレンスを参照してください。
この項では、この章の情報を使用する際のガイドラインとプロセスを示します。次のガイドラインおよびプロセスに従うことで、作業の焦点を問題解決に絞り、問題解決までの時間を短縮できます。
ガイドライン
この章の情報を使用する際は、次の点に留意してください。
この章の解決策を実行した後すぐに、このトラブルシューティング情報を利用するきっかけとなった失敗したタスクを再試行します。再試行してもタスクが失敗する場合、この章に記載されている2番目の解決策(ある場合)を実行し、再度失敗したタスクを実行します。このプロセスを問題が解決するまで繰り返します。
実行した解決策、確認された問題および兆候、トラブルシューティング中に収集したデータについて記録しておきます。この章の情報を使用しても問題が解決されずサービス・リクエストを記録することになった場合、これらの情報があると迅速な問題解決につながります。
プロセス
この章の情報を利用する場合は、表20-1に概要を示したプロセスに従ってください。特定の項の情報でも問題を解決できない場合は、このプロセスの次のステップに進んでください。
表20-1 この章の情報を利用するプロセス
| 手順 | 使用する項 | 目的 |
|---|---|---|
|
1 |
|
Oracle Privileged Account Managerのトラブルシューティングのスタート・ガイド。この項に示す手順によって、幅広い問題に迅速に対応できます。 |
|
2 |
|
Oracle Privileged Account Managerに関する問題別トラブルシューティングの手順を実行します。この項では、次の内容について説明します。
|
|
3 |
|
My Oracle Supportを使用して、Oracle FusionアプリケーションまたはOracle BIに関するトラブルシューティングの追加情報を取得します。My Oracle Supportから、ナレッジ・ベース記事、コミュニティ・フォーラム、ディスカッションを含むいくつかの有益なトラブルシューティング・リソースにアクセスできます。 |
|
4 |
|
この章とMy Oracle Supportの情報では問題を解決できない場合に、サービス・リクエストを記録します。サービス・リクエストを記録するには、 |
この項では、Oracle Privileged Account Managerの問題を診断する方法について説明します。内容は次のとおりです。
Oracle Privileged Account Managerでエラーが発生した場合、デバッグ情報やコネクタ・ロギングを含む完全なログを収集して、エラーの原因に関する多くの情報を収集できます。次の手順を実行します。
Oracle Privileged Account Managerのロギング・レベルを最も詳細なレベルのTRACE:32に設定します。
|
注意:
|
エラーの発生元であるタスクまたはプロシージャを再度実行します。
DEBUGレベルを使用して生成されたログ情報を調査します。
この項では、一般的な障害とその解決策について説明します。内容は次のとおりです。
第20.3.1項「コンソールがOracle Privileged Account Managerサーバーに接続できない」
第20.3.8項「グループ・メンバーシップの変更がOracle Privileged Account Managerに即座に反映されない」
第20.3.10項「Oracle Privileged Account Managerのエンド・ユーザーが明示的に付与されていない権限を取得する」
第20.3.16項「Oracle Identity Managerで作成された「#」文字を含むエンド・ユーザー名がOracle Privileged Account Managerにログインできない」
Oracle Privileged Account ManagerコンソールがOracle Privileged Account Managerサーバーに接続できません。
原因
コンソールがOracle Privileged Account Managerサーバーに接続できない場合は、コンソールまたはOracle Platform Security Services Trustに構成上の問題がある可能性があります。
解決方法
この問題を解決するには、次のようにします。
ホストおよびポート情報が正しいことを確認します。
コンソールに表示されている、生成されたURLが応答することを確認します。
『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』のインストール後のタスクに関する項に説明されているすべての構成手順を正しく完了したことを確認します。
|
注意: 高可用性インスタンスを構成している場合は、『Oracle Fusion Middleware高可用性ガイド』に説明されているすべてのOracle Privileged Account Manager構成手順を正しく完了したことを確認します。 |
複数のブラウザ・ウィンドウがある、または同一のOracle Privileged Account Managerコンソールに対して複数のコンソール・タブが開いている場合は、1つのウィンドウまたはタブで行われた更新は、別のウィンドウやタブに即座には反映されません。
原因
Oracle Privileged Account Managerコンソールでは、更新をブラウザに事前にプッシュしません。
解決方法
この問題を解決するには、ブラウザ・ウィンドウまたはタブをリフレッシュします。
ターゲットや特権アカウントにアクセスしようとすると失敗します。チェックアウト、チェックインまたはテストを実行できません。
原因1
Oracle Privileged Account Managerで使用されているICFコネクタに、ターゲット・システムとの相互作用に関する問題があります。
解決策1
この問題を解決するには、次のようにします。
ターゲット・システムが起動中で、該当の特権アカウントが存在することを確認します。
Oracle Privileged Account Managerのロギング・レベルをTRACE:32 (最も詳細なレベル)に上げてトレース・ログを確認し、障害の発生箇所を特定します。
不具合が環境上の問題によって発生することはよくあります。これは、トレース・ログを使用して識別し、ターゲット・システムで構成を修正することにより是正できます。詳細は、第16章「Oracle Privileged Account Managerの監査およびロギングの管理」を参照してください。
コネクタに問題がある可能性があります。再現可能なテスト・ケース、ターゲット・システムの詳細およびトレース・ログを含むバグを送信します。
原因2
ユーザーがOracle Privileged Account Managerからアウトオブバンドでターゲットのサービス・アカウント・パスワードを変更しました。たとえば、ユーザーが、DBホストを使用して、または別のドメインにある別のOracle Privileged Account Managerインスタンスを使用してパスワードを変更した場合は、元のOracle Privileged Account Managerサーバーの「パスワードの表示」機能によって変更が反映されることはなく、そのターゲットに接続しようとすると失敗します。
解決策2
この問題を解決するには、Oracle Privileged Account Managerコンソールまたはコマンド行を使用してターゲットを編集することで、新しいパスワードを更新する必要があります。詳細は、第9.8項「特権アカウントのパスワードの管理」または第A.6.8項「resetpasswordコマンド」を参照してください。
この項では、データベース・ターゲットの追加を阻む問題について説明します。
sysdbaロールでOracle Databaseに接続できないsysdbaロールを使用してOracle Databaseに接続しようとすると失敗し、次のエラー・メッセージが表示されます。
Invalid Connection Details, see server log for details.
原因
sysdbaロールを持つユーザーとしてOracle Databaseに接続するには、「拡張プロパティ」オプションを値internal_logon=sysdbaで構成する必要があります。
この設定は、Oracle Database SYSアカウントにも指定する必要があります。これには、sysdbaロールで接続する必要があります。Oracle Database SYSユーザーは特別なアカウントであるため、このロールを使用しない場合、接続が失敗する可能性があります。ただし、SYSを使用するかわりに、サービス・アカウントを作成する方が適しています。
解決方法
この問題を解決するには、次のようにします。
sysdbaロールを持つユーザーとしてOracle Databaseに接続します。
|
注意: これらの構成手順は、通常のユーザーとして接続している場合には必要ありません。 |
ターゲットの「一般」タブを開き、「拡張構成」を開いて構成オプションを表示します。
internal_logon=sysdba値を接続プロパティ・フィールドに入力します。
「テスト」をクリックして接続を再テストします。
変更を保存します。
Oracle RACデータベースなどのデータベース・ターゲットに接続したり、Secure Socket Layer (SSL)を使用するための構成オプションを検出できません。
原因
Oracle Privileged Account Managerでは、汎用的なデータベース・コネクタを使用しています。この場合、特定のデータベース・ターゲット・システムの特別な構成オプションはクリーンで直観的な方法では公開されません。
解決方法
この問題を解決するには、データベース接続URLおよび接続プロパティ・パラメータ値を変更することにより、データベース・ターゲットの特別な接続オプションを定義します。
|
注意:
|
接続のテスト、アカウントの検索またはパスワードのチェックアウト時にMicrosoft Active Directoryを使用するLDAPターゲットに障害が発生します。
原因
Active Directoryはデフォルトで特定の構成を必要とするため、LDAPターゲットの汎用的なデフォルト値を変更する必要があります。Oracle Privileged Account Managerでは、汎用LDAPコネクタを使用しています。この場合、特定のLDAPターゲット・システムの特別な構成オプションやカスタムな構成オプションは容易にはわかりません。通常、問題が生じるのはActive Directory LDAPターゲットのみです。
解決方法
この問題を解決するには、LDAPターゲットを追加するときに次のことを確認します。
Active Directoryとの通信にSSLを使用します。
SSL証明書をOracle Privileged Account Managerを実行するWebLogicインスタンスにインポートします。詳細は、第17.1項「SSL経由でターゲット・システムと接続するためのOracle Privileged Account Managerの構成」を参照してください。
「ターゲット」ページから、TCPポートをActive Directory SSLポートに設定し、「SSL」チェック・ボックスを有効化します。
次の「拡張構成」パラメータを指定します。
パスワード属性をunicodepwdに設定します。
「拡張構成」→アカウント・オブジェクト・クラスをtop|person|organizationalPerson|userに設定します。
Active Directory内のデータに適切な属性(uidやsamaccountnameなど)をアカウント・ユーザー名属性、Uid属性およびアカウント取得用LDAPフィルタの各構成パラメータに指定します。
権限受領者がアカウントをチェックアウトしようとすると、Insufficient Privilegesエラーが発生して失敗します。
原因
Oracle Privileged Account Managerの権限付与ではユーザー名は大文字と小文字が区別されますが、WebLogic認証では常にそうとはかぎりません。
解決方法
この問題を解決するには、製品アイデンティティ・ストアに使用されているオーセンティケータの取得したユーザー名をプリンシパルとして使用するオプションを必ず有効化してください。詳細は、第3.3.2項「Oracle Privileged Account Managerの外部アイデンティティ・ストアの構成」を参照してください。
ユーザーまたはグループに対して権限を付与する場合に、構成済のリモート・アイデンティティ・ストアからのユーザーおよびロールすべては表示できません。
原因1
ユーザーやロールを含むアイデンティティ・ストアに対応するオーセンティケータの制御フラグが、SUFFICIENTに設定されていません。
原因2
検索しているユーザーやロールが、プロバイダ・リストに表示されている最初のオーセンティケータに存在しません。
解決方法
この問題を解決するには、次のようにします。
必要なオーセンティケータすべての制御フラグをSUFFICIENTに設定します。
デフォルトでは、Oracle Privileged Account Managerにより、プロバイダ・リストの最初のオーセンティケータでユーザーやグループが検索されます。ただし、jps-config.xmlのvirtualizeプロパティをtrueに設定した場合はと、Oracle Privileged Account Managerにより、すべてのLDAPオーセンティケータからエンティティが取得されます。次に例を示します。
<serviceInstance name="idstore.ldap" provider="idstore.ldap.provider"> <property name="idstore.config.provider" value="oracle.security.jps.wls .internal.idstore.WlsLdapIdStoreConfigProvider"/> <property name="CONNECTION_POOL_CLASS" value= "oracle.security.idm.providers.stdldap.JNDIPool"/> <property name="virtualize" value="true"/> </serviceInstance>
WebLogicでは、jps-config.xmlファイルは次の場所にあります。
DOMAIN_HOME/config/fmwconfig
グループ・メンバーシップを通じて権限が間接的に付与されているため、グループ・メンバーシップを更新してもOracle Privileged Account Managerに即座には反映されません。
たとえば、ユーザーをOracle Privileged Account Manager管理ロールに、またはOracle Privileged Account Manager特権アカウントを付与されたグループに割り当てても、その変更を即座に参照できないことがあります。
原因
WebLogicでは、デフォルトで、グループ・メンバーシップおよびアイデンティティ・アサーションをキャッシュします。したがって、ソースの場所での変更は、キャッシュ・エントリが再計算されるまでOracle Privileged Account Managerに反映されません。
解決方法
この問題を解決するには、要件に合うように、WebLogicオーセンティケータおよびアサータの構成のキャッシング設定を変更します。
|
注意: 詳細は、次を参照してください。
|
exportまたはimport操作に、128ビットより大きなサイズの鍵は使用できません。
原因
デフォルトのJREインストールには、Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy Files 6は含まれません。
解決方法
この問題を解決するには、http://www.oracle.com/technetwork/java/javase/downloads/jce-6-download-429243.htmlからダウンロード可能なJCEパッチを適用してください。
Oracle Privileged Account Managerエンド・ユーザーは、ユーザーに関連付られているすべてのグループにアクセスできますが、これらのグループへのアクセス権は明示的に付与されていません。
原因1
複数の値をそのネーミング値として使用するLDAPグループを通じて、Oracle Privileged Account Managerエンド・ユーザーにアクセス権を付与した場合。
たとえば、CNをそのネーミング属性として使用し、2つのグループAとBを含む環境を構成したとします。グループAにはCN値、cn=GroupAが1つのみ含まれており、グループBには2つのCN値、cn=GroupAとcn=GroupBが含まれているとします。
Oracle Privileged Account Managerホスト・コンテナ(WebLogicまたはWebSphere)は、GroupAの実際のメンバーがGroupAのメンバーであることをアサートします。ただし、ホスト・コンテナはGroupBの実際のメンバーがGroupAのメンバーであることもアサートします。つまり、GroupBのメンバーはGroupAに関連付けられている権限を間違って取得することを意味しています。
原因2
ネストされたグループ・メンバーシップを使用した場合。
グループBがグループAのメンバーであり、グループAにOracle Privileged Account Managerリソースへのアクセス権を付与した場合は、この権限をグループBに暗黙的に付与することになります。
解決方法
この問題を解決するには、LDAP内のグループ・エントリで、使用されるネーミング属性に対して1つの値のみが設定されていることを確認する必要があります。
MSSQLサーバー・データベース・ターゲットやアカウントへアクセスしようとすると失敗します。テスト、チェックアウトまたはチェックインを実行できません。この問題は、次の2つの原因で発生します。
原因1
MSSQLドライバsqljdbc4.jarがありません。
原因2
JAVA Bug 7105007が発生している可能性があります。これは、Javaバージョン: 1.6.0_26および
1.6.0_29に影響します。http://bugs.sun.com/bugdatabase/view_bug.do?bug_id=7105007を参照してください。
解決方法
この問題を解決するには、次のようにします。
表6-0「データベース・ターゲットの構成」のデータベース・タイプの説明に記載されているように、MSSQLドライバがサーバーで使用できることを確認します。
JAVAバージョン1.6.0_30以上を使用して、前述のJAVAバグの発生を防ぎます。
この項では、Oracle Database透過的データ暗号化(TDE)モードでOracle Privileged Account Managerを設定または運用しようとする場合に発生する可能性がある問題について説明します。これらの問題には、次のようなものがあります。
TDEモードを有効化した後、次のエラー・メッセージのうちの1つが表示されます。
No TDE wallet found
TDE wallet is closed
TDE wallet is undefined
TDE wallet is open but has no master key
Columns are encrypted but TDE wallet is not open
原因
予期されていたTDEウォレットのステータスはopenです。
解決方法
TDEウォレットでの問題を解決するには、『Oracle Database Advanced Security管理者ガイド』の透過的データ暗号化の有効化に関する項を参照してください。
TDEを設定した後、TDEウォレットは開いているが、列が暗号化されていないことに気が付きます。
原因
セキュアなOracle Privileged Account Manager列が暗号化されていません。
解決方法
この問題を解決するには、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』のOracle Privileged Account Managerの構成に関する項に記載されている手順を実行します。
例:
sqlplus DEV_OPAM/password1 @IAM_HOME/opam/sql/opamxencrypt.sql
この項では、セッション記録トランスクリプトまたはビデオ記録を表示しようとすると発生する可能性がある問題について説明します。これらの問題には、次のようなものがあります。
Internet Explorer、SafariまたはFirefox 33以上のブラウザを使用してOracle Privileged Account Managerコンソールにログインしましたが、アカウントのチェックアウト履歴ページ結果からリンクに従った後、記録トランスクリプトまたはビデオ記録を表示できませんでした。
原因
Internet Explorer、SafariまたはFirefox 33以上のブラウザでは1024ビットを超える鍵サイズが要求されますが、Oracle WebLogic Serverによって生成されるそのままで使用できるDemoCAおよび証明書は512ビットです。
解決方法
この問題を回避するには、1024ビットを超える鍵サイズを持つ自己署名証明書を生成する必要があります。次の手順に従います。
2048ビットの鍵サイズを持つ自己署名証明書を生成します。
|
注意: 詳細は、Oracle Fusion Middleware Oracle WebLogic Serverコマンド・リファレンスのOracle WebLogic Server Javaユーティリティの使用方法に関する項を参照してください。 |
java utils.CertGen -keyfilepass <CAPassword> -certfile <hostname>-cert -keyfile <hostname>-key -cn <fully qualified hostname> -strength 2048 -selfsigned -keyusagecritical false -keyusage digitalSignature,nonRepudiation, keyEncipherment,dataEncipherment,keyAgreement,keyCertSign,cRLSign
例:
java utils.CertGen -keyfilepass password123 -certfile adc2120745-cert -keyfile adc2120745-key -cn adc2120745.example.com -strength 2048 -selfsigned -keyusagecritical false -keyusage digitalSignature,nonRepudiation, keyEncipherment,dataEncipherment,keyAgreement,keyCertSign,cRLSign
demoidentity別名を持つ鍵をdemoidentityoldに移動します。
cd MW_HOME/wlserver/server/lib keytool -list -keystore DemoIdentity.jks -storepass DemoIdentityKeyStorePassPhrase keytool -changealias -alias demoidentity -destalias demoidentityold -keypass DemoIdentityPassPhrase -keystore DemoIdentity.jks -storepass DemoIdentityKeyStorePassPhrase keytool -list -keystore DemoIdentity.jks -storepass DemoIdentityKeyStorePassPhrase
DemoIdentityStoreを手順1で生成した証明書および鍵で更新します。
|
注意: 詳細は、Oracle Fusion Middleware Oracle WebLogic Serverコマンド・リファレンスのOracle WebLogic Server Javaユーティリティの使用方法に関する項を参照してください。 |
cd MW_HOME/wlserver/server/lib java utils.ImportPrivateKey -keystore DemoIdentity.jks -storepass DemoIdentityKeyStorePassPhrase -keyfile <hostname>-key.pem -keyfilepass <CAPassword> -certfile <hostname>-cert.pem -alias demoidentity -keypass DemoIdentityPassPhrase
手順1で生成した証明書をDemoTrust.jksファイルにインポートします。
keytool -importcert -v -trustcacerts -file <hostname>-cert.pem -keystore DemoTrust.jks -storepass DemoTrustKeyStorePassPhrase -alias <hostname>
Oracle WebLogic Serverドメインを再起動します。
|
注意: 複数のサーバー上でホストされている環境の場合は、この手順を各サーバーに対して繰り返します。最も重要なのは、1つのサーバー上で実行した更新( MW_HOME/wlserver/server/lib内)を他のサーバーにコピーまたは複製する必要があることです。 |
セッション記録またはビデオ記録を表示しようとすると、エラー・メッセージThis web page is not availableが表示され、ホスト名としてlocalhostを使用するURLにリダイレクトされます。
原因
Oracle Privileged Account Managerのサーバー構成で構成されたOracle Privileged Account ManagerサーバーURLでは、そのURL内にlocalhostが定義されています。このホスト名は外部ホストから解決できません。
解決方法
「サーバー構成」ページを使用して、Oracle Privileged Account ManagerサーバーURLを、Oracle Privileged Account Managerサーバーの完全修飾ホスト名を反映するように変更します。
エンド・ユーザーには、アカウントへのアクセス権が付与されています。しかし、そのユーザーがそのアカウントを使用してOracle Privileged Session Managerに接続しようとすると、その接続は許可されません。
原因
エンド・ユーザーにアカウントへのアクセス権が付与されていても、有効な使用ポリシーに許可されるチェックアウト・タイプとして「セッション」が含まれていません。使用ポリシーで「セッション」アクセスを明示的に付与する必要があります。
解決方法
有効な使用ポリシーを変更して、「セッション」アクセスも付与します。
Internet Explorer 11ブラウザでコンソールを使用してOracle Privileged Account Managerにログインしようとしました。エラー・メッセージはレポートされませんが、ログインは成功しませんでした。
原因
Oracle Privileged Account ManagerのログインはInternet Explorer 11ブラウザでは機能しません。
回避策
Internet Explorerまたは別のブラウザの以前のバージョン(リリース11より前)を使用します。
解決方法
ダウンロードしたパッチのREADMEの説明に従って、Oracle Universal Installer (OUI)のOracle Bug#18071063用のパッチを適用します。
このパッチをダウンロードするには、https://support.oracle.comにログインします。「パッチと更新版」タブを選択し、パッチ番号18071063を検索します。
Oracle Identity Managerで番号(#)記号または文字を含むエンド・ユーザー名を作成した場合、そのユーザーはOracle Privileged Account Managerにログインできません。
原因
WebSphereは番号(#)記号をDNでエンコードします。
回避策
Oracle Privileged Account Managerにログインするエンド・ユーザー名では番号(#)記号の使用を避けてください。
監査レコードがBIレポートに表示されるまでに、長い遅延が発生します。
原因
Oracle Privileged Account Manager監査レコードは間隔に基づいてデータベースにプッシュされます。この間隔は監査用のOPSSスクリプトを使用して指定されます。
解決方法
監査レコードがデータベースにプッシュされる後の間隔を短くするには、監査のためのOPSSスクリプトで提供されているsetAuditRepositoryコマンドを使用します。setAuditRepositoryコマンドの使用方法の詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』の監査のためのOPSSスクリプトに関する項を参照してください。
また、BI Publisherではデータをキャッシュしてパフォーマンスを向上できます。Oracle Privileged Account Manager監査レポートのキャッシュ設定はBI Publisherで調整または無効化できます。キャッシュ設定の詳細は、『Oracle Fusion Middleware Oracle Business Intelligence Publisherレポート・デザイナーズ・ガイド』のキャッシュ・プロパティの設定に関する項を参照してください。
Oracle Privileged Account Managerサーバーの起動時に、「Windowsコネクタのロードに失敗しました」という例外が発生します。
原因
Oracle Privileged Account Manageでは、コネクタ・サーバー構成を使用して、Windowsコネクタが正常にデプロイされているコネクタ・サーバーを検索します。このコネクタ・サーバーが見つからないと、「failure to load windows connector」(Windowsコネクタのロードに失敗しました)という例外が表示されます。
解決方法
Windowsコネクタをホストしているコネクタ・サーバーのコネクタ・サーバー構成情報が正しく指定されていることを確認してください。ない場合は、Oracle Privileged Account Managerで正しいコネクタ・サーバー構成情報を指定してサーバーを再起動します。
接続のテスト、アカウントの検索またはパスワードのチェックアウト時にUNIXターゲットに障害が発生します。この問題は、次のいずれかまたは両方が原因で発生している可能性があります。
原因1
Sudo認可プロパティが正しく定義されていないため、UNIXシステムとの通信でエラーが発生しています。
解決策
UNIXシステムへの接続に使用されるターゲットのサービス・アカウントのタイプに基づいて、Sudo認可プロパティを定義する必要があります。ターゲットのサービス・アカウントにSudo認可プロパティを定義する必要があるかどうかは、次のようにして確認できます。
アカウント自体にroot権限があるかどうかを確認します。たとえば、アカウントがrootアカウントであるかどうかを確認します。「はい」の場合は、ターゲットのサービス・アカウントの構成時に、構成プロパティのSudo認可プロパティを選択しないでください。
アカウントがsudo認可を実行してrootアカウントになる必要があるかどうかを確認します。たとえば、adminという名前のアカウントを使用していて、sudo認可を実行してこのアカウントをrootアカウントに変更する場合は、ターゲットのサービス・アカウントの構成時にSudo認可プロパティを選択します。
ただし、sudoアカウントを使用している場合は、『Oracle Identity Manager UNIXコネクタ・ガイド』のコネクタ操作用のターゲット・システムSUDOユーザー・アカウントの作成に関する項で説明している手順に従います。
アカウントにroot権限があるかどうか、またはsudo認可を実行してrootアカウントになれるかどうかを確認します。該当しない場合、そのアカウントはターゲットのサービス・アカウントとして使用できません。root権限を持っているか、sudo認可を実行してrootアカウントになることのできるアカウントを選択してください。
原因2
ログイン・シェル・プロンプト・プロパティが正しく定義されていないため、UNIXシステムとの通信でエラーが発生しています。
解決策
ログイン・シェル・プロンプトは、ターゲットのサービス・アカウントを使用してUNIXシステムへログインする際に画面に表示されるプロンプトを定義します。デフォルトでは、次の例のように、一般的に使用される値のリストです。
[$#%>~]
前述の例で、角カッコは正規表現を形成し、リストされている記号のいずれかがプロンプトとして使用されることを示しています。次のケースを確認して、このプロパティを定義してください。
rootアカウントを使用している場合は、rootアカウントとしてログインして、プロンプトを確認します。
sudoアカウントを使用している場合は、複数のプロンプトが表示される場合があります。sudoアカウントとしてログインして、プロンプトを確認します。次に、sudo認可を実行してrootアカウントに切り替え、プロンプトを確認します。このプロンプトが異なる場合があります。必ず両方の値を角カッコで囲まれたリスト内に含めてください。
今日のメッセージがプロンプトの検出を妨げている可能性があります。一部のシステムでは、システムへのログイン時になんらかのメッセージが画面に表示されることがあります。
たとえば、「## This is a production system, use carefully ##」というメッセージが表示されたとします。このメッセージに含まれている番号(#)記号は、ログイン・シェル・プロンプトの構成でも使用されます。これがエラーの原因になる可能性があります。メッセージを修正し、ログイン・シェル・プロンプトの構成で使用されている文字を削除する必要があります。
HA環境でパスワードをクリップボードにコピー操作に失敗します。
原因
パスワードをクリップボードにコピー操作は、ZeroClipboard Javascriptライブラリ・ファイルに依存しますが、これらのライブラリ・ファイルはOracle Privileged Account Managerに付属していません。現在、HA環境のロード・バランサでは、これらのライブラリ・ファイルを検出できません。これは、ADFフレームワークで<af:resource>タグのsource属性が遅延EL式をサポートしていないことが原因です。かわりに、WebLogic ServerのフルパスURLまたは相対URLのみを受け付けます。
解決方法
この問題を回避するために、次の手順を実行してください。
第17.4.1項「ZeroClipboardライブラリ・ファイルのダウンロードおよびサーバーへのデプロイ」の説明に従って、ZeroClipboardライブラリ・ファイルを、Oracle Privileged Account Managerのインスタンス(Oracle Privileged Account Managerがインストールされているコンピュータ)にデプロイします。
次の例に示したURLを使用して、ZeroClipboard.jsファイルとZeroClipboard.swfファイルを検証します。
"ZeroClipboard.js"ファイルを検証する場合の実行URL:
http://myhost.example.com:2001/ZeroClipboard/ZeroClipboard.js
"ZeroClipboard.js"ファイルを検証する場合の実行URL:
http://myhost.example.com:2001/ZeroClipboard/ZeroClipboard.swf
oinav.earファイルを次の場所から一時フォルダにコピーします。
$ORACLE_HOME/oinav/modules/oinav.ear_11.1.1.3.0/
|
注意: この.earファイルのコピーをバックアップとして別に作成してから、この手順の残りの手順を実行します。 |
oinav.earファイルとoiNavApp-war.warファイルを解凍します。oiNavApp-warフォルダを探し、そのフォルダ内で次に指定した場所にあるMyAccount.jsff、MyChkout.jsffおよびServerConfig.jsffファイルを検索して、提示されたようにコードを変更する必要があります。
MyAccount.jsffの検索と変更:
taskflows/opam/myaccount/フォルダ内で、MyAccount.jsffファイルを見つけ、この.jsffファイルを次のように編集します。
12行目で、次のテキストを検索します。
<af:resourcetype="javascript"source="//ZeroClipboard/ZeroClipboard.js"/>
それを次のテキストで置き換えます。
<af:resource type="javascript" source="http://myhost.example.com:2001/ZeroClipboard/ZeroClipboard.js"/>
|
注意: 前述の例で、http://myhost.example.com:2001/ZeroClipboard/ZeroClipboard.jsは.jsライブラリ・ファイルの場所の例です。それを、使用環境での実際のライブラリ・ファイルの場所で置き換える必要があります。 |
27行目で、次のテキストを検索します。
moviePath : '/ZeroClipboard/ZeroClipboard.swf'
それを次のテキストで置き換えます。
moviePath : 'http://my host.example.com:2001/ZeroClipboard/ZeroClipboard.swf'
|
注意: 前述の例で、http://myhost.example.com:2001/ZeroClipboard/ZeroClipboard.swfは.swfライブラリ・ファイルの場所の例です。それを、使用環境での実際のライブラリ・ファイルの場所で置き換える必要があります。 |
MyChkout.jsffの検索と変更:
taskflows/opam/mychkout/フォルダ内で、MyChkout.jsffファイルを見つけ、この.jsffファイルを次のように編集します。
14行目で、次のテキストを検索します。
source="//ZeroClipboard/ZeroClipboard.js"/>
それを次のテキストで置き換えます。
source="http://myhost.example.com:2001/ZeroClipboard/ZeroClipboard.js"/>
|
注意: 前述の例で、http://myhost.example.com:2001/ZeroClipboard/ZeroClipboard.jsは.jsライブラリ・ファイルの場所の例です。それを、使用環境での実際のライブラリ・ファイルの場所で置き換える必要があります。 |
26行目で、次のテキストを検索します。
moviePath : '/ZeroClipboard/ZeroClipboard.swf'
それを次のテキストで置き換えます。
moviePath : 'http://myhost.example.com:2001/ZeroClipboard/ZeroClipboard.swf'
|
注意: 前述の例で、http://myhost.example.com:2001/ZeroClipboard/ZeroClipboard.swfは.swfライブラリ・ファイルの場所の例です。それを、使用環境での実際のライブラリ・ファイルの場所で置き換える必要があります。 |
ServerConfig.jsffの検索と変更:
taskflows/opam/serverconfig/フォルダ内で、ServerConfig.jsffファイルを見つけ、この.jsffファイルを次のように編集します。
14行目で、次のテキストを検索します。
source="//ZeroClipboard/ZeroClipboard.js"/>
それを次のテキストで置き換えます。
source="myhost.example.com:2001/ZeroClipboard/ZeroClipboard.js"/>
|
注意: 前述の例で、http://myhost.example.com:2001/ZeroClipboard/ZeroClipboard.jsは.jsライブラリ・ファイルの場所の例です。それを、使用環境での実際のライブラリ・ファイルの場所で置き換える必要があります。 |
20行目で、次のテキストを検索します。
moviePath : '/ZeroClipboard/ZeroClipboard.swf'
それを次のテキストで置き換えます。
moviePath : 'http://myhost.example.com:2001/ZeroClipboard/ZeroClipboard.swf'
|
注意: 前述の例で、http://myhost.example.com:2001/ZeroClipboard/ZeroClipboard.swfは.swfライブラリ・ファイルの場所の例です。それを、使用環境での実際のライブラリ・ファイルの場所で置き換える必要があります。 |
新しい.warファイルと.earファイルを再作成して、変更を組み込みます。
すべてのWebLogicプロセスを停止し、Oracle Privileged Account ManagerのすべてのインスタンスまたはOracle Privileged Account Managerが動作しているすべてのマシン上で、変更済のoinav.earファイルを次の場所に再配置します。
$ORACLE_HOME/oinav/modules/oinav.ear_11.1.1.3.0/
すべてのWebLogicプロセスを再起動し、WebLogicコンソールを使用してデプロイメントの更新を実行します。
サーバーの起動時にSAPクラスをロードできなかったことを示す警告が、診断ログに表示されます。
次の警告が表示されます。
[ICF][WARN]org.identityconnectors.framework.impl.api.local.LocalConnectorInfoManagerImpl:createConnectorInfo() - Unable to load class org.identityconnectors.sap.SAPConnection$SAPDestinationDataProvider from bundle file:<path to org.identityconnectors.sap-2.0.0.jar>
原因
サードパーティのSAP jarがコピーされておらず、SAPコネクタのロード時に見つかりません。
解決方法
SAPターゲットについて、SAPコネクタのロード前にサードパーティのjarがコピーされる必要があります。これを行うには、第6.2.4.2項「SAPUMおよびSAPUMEターゲットのサードパーティJARのコピー」を参照してください。
チェックアウト履歴検索でパターン検索を行うと、最近のセッション記録が見つかりません。
原因
Oracle Privileged Account Managerでは、Oracle Text索引を使用してセッション記録の索引付けを行います。索引はデフォルトで毎時に同期化されるため、パターン検索によって最新のセッション記録が返されない場合があります。
解決方法
最近のセッション記録をパターン検索結果に含めるには、次のURLをコールして、索引の更新リクエストを送信します。
https://<opamhost>:<opamport>/opam/checkout/syncindex
|
注意: 索引を更新できるのは、セキュリティ管理者、ユーザー・マネージャおよびセキュリティ監査者です。 |
第17.5.5項「セッション記録用のOracle Text索引の管理」の説明に従って、索引の更新頻度を変更することも可能です。
OPAMエージェントの登録が成功した後すぐにOPAMAgentServiceサービスが停止します。
原因1
サービスがターゲット・システム上で必要なDLLファイルを見つけられないと、例外がスローされてサービスが停止します。このエラーは、特にMicrosoft Windows Server 2008、Microsoft Windows Server 2012およびMicrosoft Windows Server 2012 R2ターゲット・システムで発生する場合があります。
解決策1
この問題を回避するには、次の相対パスにあるOPAMAgentServiceログ・ファイルを確認します。
\\logs\OpamAgentService_YEAR_MONTH_DAY_HOUR_MINUTE_SECOND.log.
|
注意: 前述の相対パスの「YEAR_MONTH_DAY_HOUR_MINUTE_SECOND」はプレースホルダで、ログが保存された日付と時刻の形式を表します。 |
このログに、「Required DLLs could not be found」(必要なDLLが見つかりませんでした)というメッセージが含まれている場合は、第8.2.1.1項「Microsoft Windows Serverへのインストールに関する重要な注意」を参照して、この問題を回避してください。
原因2
使用中のMicrosoft Windowsオペレーティング・システムのバージョンはサポートされていません。
このエラーを回避するには、次の相対パスにあるOPAMAgentServiceログ・ファイルを確認します。
\\logs\OpamAgentService_YEAR_MONTH_DAY_HOUR_MINUTE_SECOND.log.
|
注意: 前述の相対パスの「YEAR_MONTH_DAY_HOUR_MINUTE_SECOND」はプレースホルダで、ログが保存された日付と時刻の形式を表します。 |
このログに「ERROR : Uploader Config : No known OS detected !Exiting Agent」(エラー: アップローダ構成: 既知のOSが検出されません。エージェントを終了しています)メッセージが含まれる場合は、第8.2.1項「サポートされているコンポーネントと、インストールに関する重要な注意の確認」でMicrosoft Windowsオペレーティング・システムのサポートされているバージョンのリストを参照してください。
原因3
使用中の.NETバージョンはサポートされていません。
このエラーを回避するには、次の相対パスにあるOPAMAgentServiceログ・ファイルを確認します。
\\logs\OpamAgentService_YEAR_MONTH_DAY_HOUR_MINUTE_SECOND.log.
|
注意: 前述の相対パスの「YEAR_MONTH_DAY_HOUR_MINUTE_SECOND」はプレースホルダで、ログが保存された日付と時刻の形式を表します。 |
このログに「ERROR : Uploader Config : .NET version below 4.0 !Exiting Agent」(エラー: アップローダ構成: .NET 4.0より前のバージョンです。エージェントを終了しています)メッセージが含まれている場合は、既存のバージョンをアップグレードするか新しいインスタンスをインストールして、.NETバージョンを4.5にしてください。
Oracle Privileged Account Managerのエンド・ユーザーが他のユーザーに関連付けられている権限付与にアクセスできます。
原因
WebLogic内で、制御フラグがSUFFICIENTに設定された複数のオーセンティケータが構成され、同じユーザー名を持つユーザーが複数のオーセンティケータに存在します。
解決方法
この問題を回避するには、次のいずれかの解決策を使用できます。
オーセンティケータは1つのみを使用し、他は削除します。
複数のオーセンティケータを使用する必要がある場合は、重複ユーザーをオーセンティケータから削除します。
Windowsターゲットの一部の属性に対する、ローカライズされたコンテンツまたは翻訳が見つかりません。
原因
コネクタ・サーバー構成が初めてOracle Privileged Account Managerに追加され、サーバーが再起動していません。コネクタ・サーバー・プロパティの翻訳はサーバーの起動中にピックアップされてキャッシュされます。
解決方法
サーバーを再起動します。
委任されたユーザーとしてログインすると、管理タブが見つかりません。
原因
Oracle Privileged Account Managerの委任ではユーザー名は大文字と小文字が区別されますが、Weblogic認証では常にそうとはかぎりません。
解決方法
この問題を解決するには、製品アイデンティティ・ストアに使用されているオーセンティケータの取得したユーザー名をプリンシパルとして使用するオプションを必ず有効化してください。外部アイデンティティ・ストアの操作の詳細は、第3.3.2項「Oracle Privileged Account Managerの外部アイデンティティ・ストアの構成」を参照してください。
この章では、Oracle Privileged Account Managerとその機能に関連するよくある質問に回答しています。
ZeroClipboardファイルがWebLogicサーバーに適切にデプロイされているかテストする方法を教えてください。
ZeroClipboardファイルがWebLogicサーバーに適切にデプロイされているかどうか確認するには、次の方法のいずれかを使用します。
WebLogic Server管理コンソールにログインし、「デプロイメント」をクリックして、デプロイメント・リストに「ZeroClipboard」があるかどうかを確認します。
ブラウザを開き、次のパスを入力して、.jsファイルを正常に表示できるかどうかを確認します。
http://{YOUR_SERVER_PATH}:{SERVER_PORT}/ZeroClipboard/ZeroClipboard.js
パスワード表示オプションの構成時に、ファイルが正しくロードされていませんというエラー・メッセージが表示されるのはなぜですか。
この問題は、ファイルが適切にデプロイされていない、Flashプラグインが適切にインストールされていない、またはブラウザによってFlashプラグインがブロックされている場合に発生する可能性があります。
この問題を回避するには、次の確認を実行します。
WebLogic Server管理コンソールにログインし、「デプロイメント」をクリックして、デプロイメント・リストに「ZeroClipboard」があるか確認し、ない場合は、第17.4.1項「ZeroClipboardライブラリ・ファイルのダウンロードおよびサーバーへのデプロイ」で説明している手順をもう一度実行します。
フォルダ名を確認します。フォルダ名は「ZeroClipboard」と正確に一致する必要があります。
次のリンク先でFlashがインストールされているかどうかを確認し、ない場合は、同じリンク先でFlashをインストールすることもできます。
ブラウザによってFlashプラグインがブロックされているかどうかを確認します。Flashプラグインを有効にするには、次のリンク先にある「Flash Playerを有効にします」の項を参照してください。
なんらかの変更を加えたら、ブラウザのキャッシュを消去します。
Oracle Privileged Account Managerからログアウトして、もう一度ログインします。
場合によっては、ブラウザの更新、Flashの更新またはZeroClipboard内のバグが原因で問題が発生することがあります。次のリンク先にあるZeroClipboardコミュニティ・フォーラムで問題の最新情報を確認するか、必要に応じて最新のZeroClipboardライブラリ・ファイルをダウンロードします。
現在の環境にFlashプラグインが適切にインストールされているかテストする方法を教えてください。
次のリンク先にある「Flash Playerのインストール状況をチェックします」の項を参照してください。
パスワードをクリップボードにコピー機能をサポートしているブラウザを教えてください。
ZeroClipboardライブラリv1.xは、IE7以降およびその他の主要ブラウザのほとんどで機能します。Flash Player 10とも完全な互換性があります。
Oracle Fusion Middlewareの問題の解決にMy Oracle Support (以前のMetaLink)を使用できます。My Oracle Supportには、次のような有用なトラブルシューティング・リソースが含まれています。
ナレッジ・ベース記事
コミュニティ・フォーラムとディスカッション
パッチとアップグレード
動作保証情報
|
注意: My Oracle Supportを使用してサービス・リクエストを記録することもできます。 |
My Oracle Supportにはhttps://support.oracle.comからアクセスできます。
