|
|
 Copyright © 2016, 2020, Oracle and/or its affiliates. All rights reserved. |
|
Oracle Unified Directoryリリース・ノート
11gリリース2 (11.1.2.3)
E61967-03(原本部品番号:E55519-03)
2020年10月
このドキュメントには、Oracle Unified Directory 11gリリース2 (11.1.2.3)のリリース情報が記載されています。このドキュメントでは、Oracle Unified Directory (OUD)に実際に搭載されている機能とドキュメントに記載されている機能との相違点について説明します。
OUDをインストールまたは使用する前に、このドキュメントの内容を確認することをお薦めします。
このドキュメントの内容は、その発行時点において正確です。オラクル社では、ソフトウェアのリリース後、リリース・ノートを定期的に更新します。最新情報やこれらのリリース・ノートの追加情報は、Oracle Help Center for OUD 11gリリース2 (11.1.2.3)のライブラリでリリース番号を検索してアクセスできます。Oracle Help Centerは次のWebサイトにあります。
このリリース・ノートの内容は次のとおりです。
OUD 11gリリース2 (11.1.2.3)での新機能を次に示します。
セキュリティの強化:
監査ログのパスワード・マスキング。詳細は、監査ログのマスキング属性に関する項およびレプリケーション・トポロジの暗号化のサポートに関する項を参照してください。
Linux暗号化アルゴリズムのサポート。詳細は、暗号化アルゴリズムに関する項を参照してください。
仮想属性として使用できるパスワード有効期限。詳細は、仮想属性の構成に関する項を参照してください。
次を使用した簡略化されたデプロイメント:
ODSMコンソールに表示されるOUDサーバー・メトリック。詳細は、サーバー・メトリックの表示に関する項を参照してください。
Sun DSEE 6.3を使用したネイティブ・レプリケーションのサポート。詳細は、(O)DSEEからOUDへのユーザー・データのエクスポートに関する項を参照してください。
仮想ディレクトリ機能:
複数のバックエンド間の結合。詳細は、複数のディレクトリからのエントリの使用に関する項およびリポジトリの仮想ディレクトリ・ビューの構成に関する項を参照してください。
データベース・コネクタ。詳細は、RDBMSに格納されているアイデンティティ・データへのアクセスの構成に関する項を参照してください。
パフォーマンスおよびスケーラビリティの向上:
大規模な静的グループのサポート。詳細は、グループの定義に関する項および追加のチューニングの推奨事項に関する項を参照してください。
エントリの圧縮および選択的属性キャッシングによるメモリー・フットプリントの削減。詳細は、選択的属性キャッシングの構成に関する項および属性値のトークンを使用したデータベース領域の節約に関する項を参照してください。
表1に、このリリースでサポートされる仮想ワークフロー要素のインタフェースをリストします。
|
ノート: 動的ツリーおよびフラット・ツリー・ワークフロー要素はこのリリースではサポートされません。インタフェースにこれらのワークフロー要素に対する関数が出現した場合、それらはサポートされていないため、実行しないでください。 |
表1 Oracle Unified Directory仮想化機能
| ワークフロー要素 | コマンドラインを使用した構成 | ODSMを使用した構成 | 追加情報 |
|---|---|---|---|
|
結合 |
はい |
はい |
リポジトリの仮想ディレクトリ・ビューの構成に関する項を参照してください |
|
HideByFilter |
はい |
いいえ |
HideByFilterを使用した検索結果のフィルタ処理に関する項を参照してください |
|
GetRidOfDuplicates |
あり |
なし |
GetRidOfDuplicatesを使用した検索結果からの重複エントリの削除に関する項を参照してください |
|
Active Directoryパスワード更新 |
あり |
なし |
Active Directoryに格納されているユーザー・パスワードの更新に関する項を参照してください |
|
RDBMS |
あり |
なし |
RDBMSに格納されたアイデンティティ・データへのアクセスの構成に関する項を参照してください |
|
VirtualMemberOf |
あり |
なし |
personエントリへのmemberofユーザー属性の追加に関する項を参照してください |
インストールを実行する前に、 システム要件および動作保証のドキュメントを読み、インストールする製品の最小インストール要件を環境が満たしていることを確認します。次のドキュメントをOracle Technology Network (OTN)から入手できます。
Oracle Identity and Access Management用Oracle Fusion Middlewareのシステム要件と仕様
このドキュメントには、OUDを他のOracle製品とともにインストールする場合のハードウェアとソフトウェアの要件、最小ディスク領域とメモリーの要件、および必要なシステム・ライブラリ、パッケージまたはパッチに関する詳細情報が記載されています。
Oracle Fusion Middlewareのサポートされるシステム構成
http://www.oracle.com/technetwork/middleware/ias/downloads/fusion-certification-100350.html
このランディング・ページには、Fusion Middlewareスイートの全製品の動作保証情報へのリンクが掲載されています。動作保証マトリックスを表示するには:
Oracle Fusion Middlewareでサポートされているシステム構成ランディング・ページにアクセスします。
http://www.oracle.com/technetwork/middleware/ias/downloads/fusion-certification-100350.html
Oracle Identity and Access Management 11gリリース2 (11.1.2.3.0)のシステム要件およびサポートされているプラットフォームまで下にスクロールします。
xlsのリンクをクリックして動作保証マトリックスを表示します。
このドキュメントには、OUDのインストールに際してサポートされるアプリケーション・サーバー、サポートされるクライアント、JDKの要件、およびIPv4/IPv6の動作保証に関する詳細情報が記載されています。このドキュメントは、新しい情報が提供されると更新されます。
『Oracle® Fusion Middleware Oracle Unified Directoryのインストール 11gリリース2 (11.1.2)』
第1章「Oracle Unified Directoryのインストール前に」には、インストール前のシステムに関するノートなど、OUDをインストールする前に確認しておく必要がある情報が記載されています。
次の各項では、OUDのインストール要件に固有の追加情報について説明します。
一般的なガイドラインとして、次のハードウェアが推奨されます。
表2 推奨されるハードウェア
| ハードウェア・コンポーネント | 要件 |
|---|---|
|
RAM |
評価目的: 小規模なデータベースの場合、256MB以上の空きメモリーが必要です。 本番: 2GB以上が必要です。 |
|
ローカル・ディスク領域 |
評価目的: 小規模なデータベースの場合、十分なログ・ファイル領域を確保するには、100MB以上のローカル・ディスク空き領域がシステムに必要です。1GB以上のディスク領域を確保することをお薦めします。 本番: 最大 250,000 個のエントリ、イメージなどのバイナリ属性なしという一般的な本番デプロイメントの場合、データベースのみについては4GBのディスク領域で十分であると考えられます。ログ・ファイル用に1GBのディスク領域が別途必要になることがあります。変更ログ・データベース(DB)のディスク領域を決定する必要があります。これは、負荷(1秒当たりの更新件数)およびレプリケーション・パージ遅延(サーバーが内部更新に関する情報を保持する必要がある時間)によって決まります。1秒当たり1,000件の変更という負荷の場合、変更ログDBは30-40GBまで拡大する可能性があります。 グローバル索引レプリケーションを使用する場合は、レプリケーション変更ログ用に十分なディスク領域を確保してください。変更ログには、デフォルトで過去100時間の変更が格納されます。サービスの予想サイズに基づいて構成してください。たとえば、1秒当たりの変更件数が5,000件であれば、150GBが必要です。 |
最適なパフォーマンスを実現するには、JVMヒープおよびデータベース・キャッシュ用の十分なRAMメモリーがシステムに必要です。サーバーはすぐに使用できるチューニングも提供しています。JVMヒープおよびデータベース・キャッシュの設定の詳細は、『Oracle Fusion Middleware Oracle Unified Directoryのインストール』のJVM、Javaオプションおよびデータベース・キャッシュの構成に関する項を参照してください。
システムには、生成されたログ・ファイルを格納するための十分なディスク領域も必要です。デフォルトのサーバー設定では、サーバー・ログ・ファイルは最大1GBのディスク領域を消費する可能性があります。レプリケートされた環境では、1秒当たり1,000件の変更という負荷の場合、変更ログ・データベースは30-40GBまで拡大する可能性があります。ログ・ファイル・サイズの設定の詳細は、『Oracle Fusion Middleware Oracle Unified Directoryの管理』のログ・ローテーション・ポリシーの構成に関する項を参照してください。
アプリケーションおよびパフォーマンスのニーズに応じて、使用するディスク領域を大幅に減らしたり、増やすようにOracle Unified Directoryを構成できます。設定に関するあらゆる考慮事項を検討した上で、サーバーのデータベースおよびログ・ファイルのメモリーの量を決定する必要があります。
SolarisおよびLinuxシステムでは、JVMヒープの2倍以上の仮想メモリーを確保するようにオペレーティング・システムを構成してください。そのためには、オペレーティング・システムのスワップ領域のサイズを大きくする必要がある場合があります。
次のドキュメントに記載されているオペレーティング・システム、アプリケーション・サーバーおよびJDKの要件に加えて、ソフトウェア要件を確認します。
http://www.oracle.com/technetwork/middleware/ias/downloads/fusion-certification-100350.html
次のオペレーティング・システム固有の要件を解決していることを確認します。
この項で説明する推奨事項はLinuxシステムにのみ関係します。サポートされている他のプラットフォームには影響しません。
最適なサーバー・パフォーマンスを確保するには、クライアント接続、データベース・ファイルおよびログ・ファイルの合計数がオペレーティング・システムのファイル記述子の上限(ulimit -n)を超えないようにしてください。ディレクトリ・サーバーでは、デフォルトで無制限に接続を開くことができますが、オペレーティング・システムのファイル記述子の制限によって制約を受けます。Linuxシステムでは、デフォルトでプロセスが開くことができるファイル記述子の数が1プロセス当たり1024に制限されます。
ディレクトリ・サーバーが1プロセス当たり1024というファイル記述子の制限を超えると、新しいプロセス・スレッドやワーカー・スレッドはブロックされます。たとえば、オペレーティング・システムがファイル記述子の制限を超えると、ディレクトリ・サーバーがOracle Berkeley Java Editionデータベース・ファイルを開こうとしても、接続を開けなくなり、データベース破損の例外が発生することがあります。同様に、オペレーティング・システムで設定されているファイル記述子の制限をディレクトリ・サーバーが超えた場合、LDAP接続ハンドラが新しい接続を開こうとしてCPUの処理を占有してしまうため、ディレクトリ・サーバーが応答しなくなることがあります。
この状況を修正するには、Linuxマシンでファイル記述子の上限を1プロセス当たり65535に設定します。
ファイル記述子の上限を表示するには、次のコマンドを実行します。
/sbin/sysctl -a | grep file-max
file-maxの値が65535未満の場合、次のステップを実行します。
テキスト・エディタを使用して、/etc/sysctl.confファイルを作成または編集、および次のような行の追加または編集をします。
fs.file-max = 65536
カーネル・パラメータの現行の値を変更するには、次のコマンドを入力します。
/sbin/sysctl -p
コマンド/sbin/sysctl -a | grep file-maxを入力して、値が正しく設定されていることを確認します。
テキスト・エディタを使用して、/etc/security/limits.confファイルを編集し、次の行を追加します。
soft nofile 1024 hard nofile 65535
|
ノート: /etc/sysctl.confまたは/etc/security/limits.confファイルで値を指定した場合、システムの再起動後も値が維持されます。 |
Oracle Unified Directoryソフトウェアは、グローバル・ゾーン、フル・ローカル・ゾーンおよびスパース・ゾーンを、独立した物理システムとして扱います。したがって、サーバーをどのタイプのSolarisゾーンにインストールしても、独立したシステムへのインストールと同様になります。このソフトウェアは、サービスやファイルの場所を他のゾーンと共有しません。
Oracle Unified Directory 11g リリース2 (11.1.2.3)は、次の言語について動作が保証されています。
中国語(簡体字)
中国語(繁体字)
フランス語
ドイツ語
イタリア語
日本語
韓国語
スペイン語
ポルトガル語(ブラジル)
|
ノート: 一部のエラー・メッセージ(具体的にはSEVEREおよびFATALメッセージ)は英語でのみ表示されます。 |
Oracle Unified Directory 11g リリース2 (11.1.2.3)ソフトウェアには、ディレクトリ・サーバーの初期デプロイメントに影響する可能性がある制限事項がいくつかあります。この項で説明するデプロイメントの推奨事項に従ってください。
また、管理者は、十分なサイズのハードウェアで大量の書込み操作をサポートできるように、Oracle Unified Directoryディレクトリ・サーバーとそのJava仮想マシン(JVM)を適切にチューニングする必要があります。詳細は、『Oracle Fusion Middleware Oracle Unified Directoryのインストール』のJVM、Javaオプションおよびデータベース・キャッシュの構成に関する項を参照してください。
この項では、次の項目について説明します。
この項では、Oracle Unified Directory 11g リリース2 (11.1.2.3)の制限事項について説明します。パラメータは次のとおりです。
Oracle Unified Directoryディレクトリ・サーバーは、別名の参照解除を除き、LDAPv3を完全にサポートしています。LDAPv2については制限付きでサポートしています。
エンタープライズ・ユーザー・セキュリティのためにOracle Unified Directoryはユーザーおよびグループのローカルでの格納および管理について検証され、他の外部ディレクトリ・サーバーへのプロキシについても検証されています。サポートされている外部ディレクトリ・サーバーのリストは、動作保証マトリックスに示されています。動作保証マトリックスを表示するには:
Oracle Fusion Middlewareでサポートされているシステム構成ランディング・ページにアクセスします。
http://www.oracle.com/technetwork/middleware/ias/downloads/fusion-certification-100350.html
Oracle Identity and Access Management 11gリリース2 (11.1.2.3.0)のシステム要件およびサポートされているプラットフォームまで下にスクロールします。
「xls」リンクをクリックして動作保証マトリックスを表示し、「Interop」タブをクリックしてサポートされている外部ディレクトリ・サーバーのリストを表示します。
検索問合せがエントリの(すべての属性ではなく)特定の必須属性を要求する場合、プロキシ・モードのOracle Unified Directoryサーバーで最適な検索パフォーマンスが得られます。
この項では、Oracle Unified Directory 11g リリース2 (11.1.2.3)を使用する際の推奨事項について説明します。パラメータは次のとおりです。
データベース・ファイルをすべてメモリーにキャッシュすると、ディレクトリ・サーバーのパフォーマンスが向上します。
Oracle Unified Directoryディレクトリ・サーバーのデフォルト設定は、最初、リソースの量が制限された機器を稼働している評価担当者や開発者を対象としています。そのため、Java仮想マシン(JVM)およびディレクトリ・サーバー自体をチューニングして、特に書込み操作についてスケーラビリティとパフォーマンスを向上させる必要があります。詳細は、『Oracle Fusion Middleware Oracle Unified Directoryのインストール』のJVM、Javaオプションおよびデータベース・キャッシュの構成に関する項を参照してください。
import-ldifコマンドを使用して大きいLDIFファイルをインポートする場合、--skipDNvalidationオプションを使用することをお薦めします。ただし、LDIFファイルが有効であるかどうかが不明な場合は、このオプションを使用しないでください。
Oracle Fusion Middlewareに使用可能なセキュリティ関連のクリティカル・パッチ・アップデートを定期的に検索し、必要に応じて環境に適用することをお薦めします。クリティカル・パッチ・アップデートおよびセキュリティ・アラートの詳細は、https://www.oracle.com/security-alerts/を参照してください
次の各項では、このリリース時点でのOracle Unified Directory 11g リリース2 (11.1.2.3)コア・サーバーの既知の問題と制限事項について説明します。
passwordexpirationtime仮想属性がある場合、コマンドstart-ds --upgradeが失敗するOracle Unified Directoryのインスタンスを11g R2 PS1または11g R2PS2から、passwordExpirationTime仮想属性("cn=Password Expiration Time,cn=Virtual Attributes,cn=config")を含む11g R2PS3にアップグレードするとstart-ds --upgradeコマンドで次のエラー・メッセージがスローされる場合があります。
「以前のOUDバージョンから現在のバージョンへのパッチに失敗しました: エントリcn=Password Expiration Time,cn=Virtual Attributes,cn=configを追加できません。その名前のエントリはすでに存在します」
このエラーは、サーバーにすでにpasswordExpirationTime仮想属性が含まれているために発生します。
回避策
警告を無視してサーバーを再起動します。
アップグレードを実行する前に、パスワード有効期限の構成を削除する回避策を適用することもできます。詳細は、Oracle Unified Directoryの管理のdsconfigを使用した仮想属性の構成を参照してください。
11.1.2.2.0から11.1.2.3.0にアップグレードすると、11.1.2.3.0のcompact-encoding機能のデフォルト動作が原因で、属性値の大文字と小文字の区別が失われる場合があります。
回避策
アップグレードの直前にcompact-encodingフラグの値をfalseに設定すれば、大文字と小文字が区別された値を保持できます。詳細は、Oracle Unified Directoryの管理のアップグレード時の属性の大文字と小文字の区別の保持を参照してください。
manage-suffixを使用してサフィックスとEUSを統合する場合、次の構成変更が見つかりません。
デフォルトのパスワード・ポリシーのパスワード記憶スキームの更新
インポート・パスワード・ポリシー・プラグインのパスワード記憶スキームの更新
LDAPS接続ハンドラの暗号スイートの更新
回避策
EUSと統合するためにmanage-suffixを使用してサフィックスを構成した場合、次のコマンドラインを実行して、パスワード記憶スキーム構成およびLDAP接続ハンドラ暗号スイート構成を更新します。
<OUD_INSTANCE_ROOT>/bin/dsconfig set-password-policy-prop \
--policy-name Default\ Password\ Policy \
--set allow-pre-encoded-passwords:true \
--set default-password-storage-scheme:Salted\ SHA-1 \
--hostname <host name> \
--port <admin port> \
--trustAll \
--bindDN cn=Directory\ Manager \
--bindPasswordFile <file containing directory manager password> \
--no-prompt
<OUD_INSTANCE_ROOT>/bin/dsconfig set-plugin-prop \
--plugin-name Password\ Policy\ Import \
--set default-auth-password-storage-scheme:Salted\ SHA-1 \
--set default-user-password-storage-scheme:Salted\ SHA-1 \
--hostname <host name> \
--port <admin port> \
--trustAll \
--bindDN cn=Directory\ Manager \
--bindPasswordFile <file containing directory manager password> \
--no-prompt
各LDAPS接続ハンドラの構成も更新する必要があります。暗号が変更された場合、次を実行します。
<OUD_INSTANCE_ROOT>/bin/dsconfig set-connection-handler-prop \
--handler-name LDAPS\ Connection\ Handler \
--add ssl-cipher-suite:jvm \
--add ssl-cipher-suite:SSL_DH_anon_EXPORT_WITH_DES40_CBC_SHA \
--add ssl-cipher-suite:SSL_DH_anon_EXPORT_WITH_RC4_40_MD5 \
--add ssl-cipher-suite:SSL_DH_anon_WITH_3DES_EDE_CBC_SHA \
--add ssl-cipher-suite:SSL_DH_anon_WITH_DES_CBC_SHA \
--add ssl-cipher-suite:SSL_DH_anon_WITH_RC4_128_MD5 \
--hostname <host name> \
--port <admin port> \
--trustAll \
--bindDN cn=Directory\ Manager \
--bindPasswordFile <file containing directory manager password> \
--no-prompt
暗号スイートの構成を変更した場合(たとえば、JVMで提供されるスイート以外のスイートを構成した場合)、かわりに次を実行します。
<OUD_INSTANCE_ROOT>/bin/dsconfig set-connection-handler-prop \
--handler-name LDAPS\ Connection\ Handler \
--add ssl-cipher-suite:SSL_DH_anon_EXPORT_WITH_DES40_CBC_SHA \
--add ssl-cipher-suite:SSL_DH_anon_EXPORT_WITH_RC4_40_MD5 \
--add ssl-cipher-suite:SSL_DH_anon_WITH_3DES_EDE_CBC_SHA \
--add ssl-cipher-suite:SSL_DH_anon_WITH_DES_CBC_SHA \
--add ssl-cipher-suite:SSL_DH_anon_WITH_RC4_128_MD5 \
--hostname <host name> \
--port <admin port> \
--trustAll \
--bindDN cn=Directory\ Manager \
--bindPasswordFile <file containing directory manager password> \
--no-prompt
ds-cfg-purgingのds-sync-histフラグがfalseに設定されている場合、OUDのアップグレードがds-sync-hist索引でパージ・フラグの設定に失敗します。
回避策
ds-sync-hist索引のds-cfg-purgingフラグをtrueに設定します。その後、次のようにds-sync-hist索引を再構築します。
./dsconfig set-local-db-index-prop --element-name userRoot --index-name ds-sync-hist --set purging:true ./rebuild-index -b "dc=example,dc=com" -i ds-sync-hist
大規模な静的グループを変更する場合に誤った追加情報が発生します。
回避策
member-lookthrough-limitプロパティを増やします。詳細は、『Oracle Unified Directoryの管理』の100,000を超えるメンバーを使用した静的グループの管理に関する項を参照してください。
dsreplication initialize-allコマンドを実行すると、初期化するリモート・サーバーのいずれかが停止しているか遅すぎる場合に失敗する可能性があります。
回避策
dsreplication initialize-allコマンドを再実行します。
レプリケーション・トポロジに2つのサーバーがありますが、結果が1つのサーバーからのみ戻ります。このエラーは、レプリケーション・サーバー間のデータ転送中に発生します。
回避策
現在のところ、この問題に対する回避策はありません。
シグナルSIGSTOPを使用してサーバーを一時停止する場合、SIGSCONTの使用時にバックエンドを無効化してサーバー処理を再開できます。SIGSTOPがOUDによってサポートされていないため、この問題が発生します。
回避策
BDB JEラッチ・タイムアウトをSIGSTOPおよびSIGCONT間の期間よりも長い期間に設定します。例は次のとおりです: dsconfig set-workflow-element-prop --add je-property:je.env.latchTimeout="12 h"
初期化がレプリケーション・トポロジで開始される場合、dsreplication initialize-allおよびdsreplication initializeコマンドがいくつかのエントリの送信後にハングします。これは処理中に発生します。
回避策
コマンドを再実行してください。
data-sync権限は操作権限ではなかったため、OUDサーバーはこの権限を認識しません。たとえば、ルート・ユーザーが次のように作成されたとします。
dn: cn=myroot,cn=Root DNs,cn=config objectClass: inetOrgPerson objectClass: person objectClass: top objectClass: ds-cfg-root-dn-user objectClass: organizationalPerson userPassword: admin-password cn: myroot sn: myroot ds-cfg-alternate-bind-dn: cn=myroot givenName: My Root User ds-privilege-name: -data-sync
この場合、OUDサーバーではこの権限が認識されないので、削除できません。かわりに、OUDサーバーではこのユーザーのすべての権限が削除されます。
回避策
OUDサーバー構成内のこの権限へのすべての参照を削除する必要があります。例:
$ ldapmodify -h localhost -p 4444 --useSSL dn: cn=myroot,cn=Root DNs,cn=config changetype:modify delete:ds-privilege-name ds-privilege-name: -data-sync
Windowsサービスとして実行するようにOUDを設定し、Windowsシステムを再起動すると、エラー・メッセージが表示されます。Windowsサービスを開始できません。これは、管理者がインスタンス・パスに対するアクセス権を持っていない場合に発生します。
回避策
インスタンス・パスおよびインスタンス・パスの下位ディレクトリ(特にデフォルトで'db'というデータベースを含むディレクトリ)に対する管理者のアクセス権限を有効化します。
パススルー認証(PTA)がKerberos認証プロバイダで構成されている場合、正常にバインドするには、一定の条件を満たす必要があります。
回避策
次の条件を満たすようにPTAを構成します。
ユーザー・プロバイダはローカル・バックエンドである必要があります。
PTAサフィックス、ユーザー・サフィックスおよび認証サフィックスは同じである必要があります。サフィックスが同じになるように構成する最も簡単な方法は、PTAサフィックスを定義し、それ以外のサフィックスを定義しないことです。
Oracle Directory Server Enterprise EditionコンソールDSCCを使用してレプリケーション・ゲートウェイを監視しているときに、「ディレクトリ・サーバー」タブで、操作のステータスが「予期しないエラー」を示します。
回避策
レプリケーション・ゲートウェイを停止します。
レガシー構成ファイルを編集します
<INSTANCE_PATH>/OUD/config/legacy-config.ldif.
「予期しないエラー」のためにDSCCを使用して管理できないサフィックスに対応するマッピング・ツリー・エントリを探します。cn値にあるバックスラッシュ文字(\)を削除します。
たとえば、変更後のエントリが次のようになるようにしてください。
dn: cn=dc=example\,dc=com,cn=mapping tree,cn=gwconfig objectClass: extensibleobject objectClass: nsMappingTree objectClass: top nsslapd-state: backend nsslapd-backend: example1 cn: dc=example,dc=com entryUUID: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
レプリケーション・ゲートウェイを再起動します。
DSCCのページをリフレッシュします。
この問題は、レプリケーション対象としてすでに構成されているサフィックス(dc=example,dc=comなど)とレプリケーション対象として構成されていないサフィックス(cn=companynameなど)の2つのサフィックスを含む2台のサーバーがある場合に発生することがあります。両方のサーバーでcn=companynameについて変更ログを有効にすると、サーバー自体はすでに定義され、レプリケーション対象として構成されているため、cn=companynameサフィックスのレプリケーションが自動的に構成されます。
回避策
現在のところ、この問題に対する回避策はありません。
ldapcompareを使用して属性値を比較すると、ldapcompareがこのリリースでサポートされていないためエラーになります。
回避策
ldapcompareがこのリリースでサポートされていないため、この問題の回避策は現在ありません。
virtualAttr={%sn%.%cn%@o.com}を指定してAddOutboundTransformationを構成するときに、定義にドットが含まれている場合、virtualAttrパラメータにフィルタを含む検索リクエストが正しく動作しないことがあります。
たとえば、"sn:sn.light"や"cn:cn.light."のように、snおよびcnバックエンド属性値にドットが含まれているとします。この場合、"virtualAttr=sn.light.cn.light@o.com"など、virtualAttrにフィルタを含む検索リクエストが正しく動作しないことがあります。
回避策
現在のところ、この問題に対する回避策はありません。
moveplanインタフェースには、クローニング・プロセス中にキー・ストアのPINファイルのパスを更新するためのフィールドがありません。
回避策
クローニングするインスタンスでdsconfigコマンドを使用して、JKSキー・マネージャ・プロバイダのkey-store-pin-file値を更新します。
Oracle Linux Enterprise 6では、runInstallerコマンドを実行するには、i686パッケージがシステムにインストールされている必要がある場合があります。OUDが正しく動作するためにこれらのパッケージが直接必要なわけではありませんが、インストール・プロセスでは必要です。
回避策
runInstallerコマンドを実行する前に、必要なi686パッケージをインストールします。『Oracle Unified Directoryのインストール』のシステム要件と動作保証に関する項を参照してください。
oudCopyConfig,oudExtractMovePlanのメッセージとヘルプおよびOracle Unified DirectoryのoudPasteConfigコマンドライン・ツールは、英語でのみ使用できます。
回避策
現在のところ、この問題に対する回避策はありません。
Windowsシステムでは、パラメータ-j, --rootUserPasswordFileの値が相対パスとして指定されている場合、oud-setup、oud-proxy-setupおよびoud-replication-gateway-setupコマンドが失敗します。
回避策
-j, --rootUserPasswordFileパラメータに絶対パスを指定します。
例:
-j C:\local\Password.txt
相対パスを指定した場合、gicadmコマンドでカタログがインポートされません。
回避策
カタログをインポートするには、絶対パスを指定します。
oudPasteConfigコマンドの-tih, -targetInstanceHomeLocオプションを使用すると、クローニングするサーバー・インスタンスの場所を指定できます。クローニングするサーバー・インスタンスの代替場所を指定しても、インスタンスはデフォルトの場所(TARGET_ORACLE_HOME/../TARGET_INSTANCE_NAME)に作成され、エラー・メッセージは生成されません。ただし、クローニングされたサーバー・インスタンスでは一部のカスタム・パラメータが更新されないため、クローニングされたサーバーは一部しか構成されません。
回避策
-tihパラメータは必須です。そのため、サーバー・インスタンスを正常にクローニングするには、次のように-tihパラメータにデフォルトの場所を明示的に指定する必要があります。
-tih TARGET_ORACLE_HOME/../TARGET_INSTANCE_NAME
JDK 1.7 (アップデート11より前) JVMインスタンスを実行しているWindowsシステムでは、ldapsearch.batクライアントで末尾の*が正しく処理されないことがあります。
回避策
最新のJDKバージョンをダウンロードして、Java SEプラットフォームに追加されている修正およびアップデートを適用します。
Windowsシステムでは、資格証明を指定せずにstop-dsを使用してサーバーを停止した場合、SNMPトラップは送信されません。ただし、サーバーは正しく停止します。
stop-ds -D bindDN -p passwordを使用してサーバーを停止すると、SNMPトラップが送信されます。
回避策
現在のところ、この問題に対する回避策はありません。
分散でGICが使用され、GICでエントリDNの索引が作成される場合、DN変更操作はサポートされません。
DNの索引がグローバル索引カタログで作成されない場合は、DN変更操作がサポートされます。それ以外の場合は、RDN変更操作のみがサポートされます。
回避策
パフォーマンス上の理由からはDNの索引を作成することをお薦めしますが、この状況の回避策としては、DNの索引を作成しないでください。
ロード・バランシング・ワークフロー要素またはロード・バランシング・アルゴリズムを削除すると、ロード・バランシング・ルートも削除されます。その際、警告は表示されません。
回避策
現在のところ、この問題に対する回避策はありません。
継続的な高負荷状態では、データベースの消去プロセスが終了しない場合があります。
回避策
より大きいデータベース・キャッシュを構成します。詳細は、『Oracle Fusion Middleware Oracle Unified Directoryの管理』のサーバー構成のチューニングに関する項を参照してください。
Windowsシステムでは、-jreLocオプションのJavaインストールへのパスに空白文字が含まれていると、インストーラが適切に実行されず、終了します。
回避策
JavaインストールへのパスをDOS 8.3形式で指定します。
例:
-jreloc C:\Progra~1\Java\jdk1.7
詳細は、『Oracle Fusion Middleware Oracle Unified Directoryのインストール』のOracle Unified Directoryのインストールに関する項を参照してください。
次の各項では、Oracle Unified Directory (OUD) 11g リリース2 (11.1.2.3)のリリース時点でのOracle Directory Services Managerの既知の問題について説明します。
|
ノート: Oracle Unified Directoryを最近更新した場合、ODSMを起動しようとすると問題が発生する場合があります。Oracle Unified Directoryの更新操作時、ODSMも更新され、ODSM URLが変更されることがあります。この問題は、ブラウザを使用して以前のバージョンのODSMを起動した場合に通常発生します。したがって、更新されたバージョンのODSMを起動するには、まずブラウザのキャッシュとCookieをクリアします。 |
レプリケートされたサフィックス、レプリケーション・サーバーの順に無効化してODSMを使用してサーバーのレプリケーションを無効にする場合、新しいサーバーをそのトポロジに追加しようとすると、dsreplicationの有効化に失敗します。
回避策
次のdsreplicationコマンドライン・ツールを実行して、サーバーのレプリケーションを無効にします。
$ bin/dsreplication disable --disableAll
ODSMの起動後に、次の例のような警告およびエラーが管理サーバー・ログに記録されることがあります:
[ACTIVE].ExecuteThread: '0' for queue: 'weblogic.kernel.Default (self-tuning)'] [userId: <WLS Kernel>] [ecid: 0000LCSOW504Mu65zNw0yW1MnzX9000 003,0] ADF detected an ADFContext leak.[[ Please see the documentation for more information about handling ADFContext leaks. For more information about the leaking ADFContext please enable logging for oracle.adf.share.ADFContext at FINEST level
回避策
このエラーによる機能への影響はありません。このメッセージは無視してかまいません。
データ・ビューでエントリにアクセスすると、WebLogic Serverのログに次のエラー・メッセージが表示されます。
<Oct 9, 2013 8:04:17 AM PDT> <Error> <oracle.adf.controller.internal.binding.TaskFlowRegionInitialConditions> <ADFC-64007> <ADFc: Task flow binding parameter 'entryObject' of type 'oracle.idm.directoryservices.odsm.model.oid.UserEntry' on binding 'oidDBdetailtaskflow' is not serializable, potential for incorrect application behavior or data loss.>
回避策
このエラーは、WebLogic Serverの機能には影響しません。このメッセージは無視してかまいません。
ODSMを使用したOUDの新しいACIの作成に失敗すると、LDAP: エラー・コード21- エントリdc-example、dc-comのACI属性タイプを変更しようとして失敗しました....エラーが発生します。
回避策
テキスト・エディタ・ビューで、「null」から「AND」にACIバインド・ルールのブール演算子値を変更します。
ページ結果が5に設定されているODSMの拡張検索ページングを使用すると、結果がページング時と同じままになります。ページごとの結果が4に設定されている場合、問題は発生しません。
回避策
ページ結果を5に設定しないでください。
ODSMのJOINワークフロー要素の特定の要素およびパラメータの変更結果が保存されません。
保存されないパラメータのリストは次のとおりです。
プライマリ参加者およびセカンダリ参加者の両方の「属性の格納」、「属性の取得」
結合サフィックス値
結合条件
参加者関係のバインドの優先度
LDAP操作
回避策
dsconfigを使用して変更を行います。
ODSMで、拡張検索を使用した問合せが結合DN属性を戻しません。ldapsearchを使用すると、検索が結合dn属性を戻します。
回避策
ldapsearchを使用して、結合DN属性を取得します。
「拡張検索」ページで、「フェッチされた属性」および「結果のソート」セクションに対する「属性ピッカー」ウィンドウの検索操作によって次のエラーが戻されます: 解決できないエラーが発生しました。詳細は、管理者に問い合せてください。
回避策
「属性の選択」表を下にスクロールして、属性を手動で選択します。
SolarisシステムでFirefoxを使用して「Directory Service Manager」タブまたは「トポロジ・マネージャ」タブにアクセスしたときに、サブタブが正しく表示されないことがあります。
回避策
「>>」ボタンまたは「<<」ボタンをクリックしてメニューを開き、サブタブ間を移動します。
Windows 2008 R2にOUDおよびODSMをインストールした後、ODSM URLにアクセスしようとすると、「Oracle Directory Services Managerを起動しています」というメッセージが表示されますが、ODSMアプリケーションがブラウザに正しくロードされません。これは、Microsoft Internet Explorerバージョン8または9のブラウザを使用している場合に発生することがあります。
回避策
JavaScriptが有効になっていることを確認します。
ODSM URLを信頼済サイトに追加します。
「ツール」→「インターネット オプション」→「セキュリティ」→「信頼済みサイト」→「サイト」→「追加」を選択します。「追加」をクリックしてODSM URLをサイトに追加します。
「アラート・ハンドラ・プロパティ」ページで、「無効なアラート・タイプ」フィールドと「有効なアラート・タイプ」フィールドが設計どおりに動作しません。これらのフィールドの設定に関係なく、アラートが正しく送信されることはありません。
回避策
dsconfig set-alert-handler-propを使用して、enabled-alert-typeまたはdisabled-alert-typeの値を追加または削除します。
enabled-alert-typeのアラート・タイプ値を追加するには、dsconfig set-alert-handler-prop --add enabled-alert-type: alert type valueを使用します。
enabled-alert-typeのアラート・タイプ値を削除するには、dsconfig set-alert-handler-prop set-alert-handler-prop --remove enabled-alert-type:alert type valueを使用します。
例:
# dsconfig -h slc03roj -p 4444 -D "cn=Directory Manager" -j /tmp/oud -n -X set-alert-handler-prop --handler-name "SMTP Alert handler name" --remove enabled-alert-type:org.opends.server.DirectoryServerShutdown
「拡張検索」ページで、「検索結果」の表内のエントリをクリックしたときに、「オプション属性」がすでに開いていると、「属性の表示」ボタンが表示されません。ただし、「オプション属性」を閉じて、もう一度開くと、「属性の表示」ボタンが表示されます。しかし、ボタンをクリックしても、「属性の選択」ダイアログ・ボックスは空白です。
回避策
エントリの詳細を表示するには、「データ・ブラウザ」タブから該当するエントリを選択します。
このNullPointer例外が発生した場合、ODSMからその変更ログ・エントリの内容にアクセスすることはできません。引き続き、ODSMを使用して他のタスクを実行したり、他のエントリにアクセスすることはできます。
回避策
オブジェクト・クラスが指定されていない変更ログ・エントリにアクセスするには、別のLDAPクライアントを使用します。
この項では、Oracle Fusion Middleware Oracle Unified Directory構成リファレンスの訂正箇所について説明します。
「空きディスク容量ログ保持ポリシー」ページに「このポリシーはJava 6でのみ使用可能です。」と表示されます。正しくは、「このポリシーはJava 7でのみ使用可能です。」です。このガイドの他のJava 6の参照も正しくはJava 7に対するものです。Oracle Unified DirectoryでサポートされるJava 7のバージョンについては、第3項「システム要件と仕様」の動作保証マトリックスを参照してください。
この項では、一般的な問題および回避策について説明します。
JDK 8u31、JDK 7u75およびJDK 6u91から、Javaランタイム環境でSSLv3がデフォルトでは無効になりました。この変更の詳細は、http://www.oracle.com/technetwork/java/javase/documentation/cve-2014-3566-2342133.htmlを参照してください。
これらのJava更新のいずれかを適用した場合、SSLv3を使用してOracle Unified Directoryに接続しようとすると失敗します。
回避策
この問題を解決するには、別のプロトコルを使用するようクライアントLDAPアプリケーションを構成します。クライアントLDAPアプリケーションでの別のプロトコルの使用を可能にする修正があるかどうかを確認する必要がある場合があります。
Oracleのアクセシビリティについての詳細情報は、Oracle Accessibility ProgramのWebサイト(http://www.oracle.com/pls/topic/lookup?ctx=acc&id=docacc)を参照してください。
Oracle Supportへのアクセス
サポートを購入したオラクル社のお客様は、My Oracle Supportを介して電子的なサポートにアクセスできます。詳細情報は(http://www.oracle.com/pls/topic/lookup?ctx=acc&id=info)か、聴覚に障害のあるお客様は(http://www.oracle.com/pls/topic/lookup?ctx=acc&id=trs)を参照してください。
Oracle® Fusion Middleware Oracle Unified Directoryリリース・ノート 11g リリース2 (11.1.2.3)
E61967-03
Copyright © 2016, 2020, Oracle and/or its affiliates.
このソフトウェアおよび関連ドキュメントの使用と開示は、ライセンス契約の制約条件に従うものとし、知的財産に関する法律により保護されています。ライセンス契約で明示的に許諾されている場合もしくは法律によって認められている場合を除き、形式、手段に関係なく、いかなる部分も使用、複写、複製、翻訳、放送、修正、ライセンス供与、送信、配布、発表、実行、公開または表示することはできません。このソフトウェアのリバース・エンジニアリング、逆アセンブル、逆コンパイルは互換性のために法律によって規定されている場合を除き、禁止されています。
ここに記載された情報は予告なしに変更される場合があります。また、誤りが無いことの保証はいたしかねます。誤りを見つけた場合は、オラクル社までご連絡ください。
このソフトウェアまたは関連ドキュメントを、米国政府機関もしくは米国政府機関に代わってこのソフトウェアまたは関連ドキュメントをライセンスされた者に提供する場合は、次の通知が適用されます。
米国政府機関エンド・ユーザー: オラクル社のプログラム(オペレーティング・システム、統合ソフトウェア、提供されたハードウェアに対して組み込まれたか、インストールされたか、アクティブ化されたプログラム、およびそのようなプログラムの変更版など)、およびオラクル社によるコンピュータ・ドキュメント、または米国政府機関エンド・ユーザーに提供されたかそれらがアクセスしたその他のOracleデータは、適用可能な連邦政府調達規則および政府機関固有の補足規則に準拠した「商用コンピュータ・ソフトウェア」または「商用コンピュータ・ソフトウェア・ドキュメント」です。そのようなものとして、i)オラクル社のプログラム(オペレーティング・システム、統合ソフトウェア、提供されたハードウェアに対して組み込まれたか、インストールされたか、アクティブ化されたプログラム、およびそのようなプログラムの変更版など)、ii)オラクル社によるコンピュータ・ドキュメントまたはiii)その他のOracleデータ(またはそれらすべて)の使用、模造、複製、リリース、表示、開示、変更、派生物の準備、または改作(またはそれらすべて)は、適用可能な契約に含まれているライセンスで指定された、権利および制限の対象となります。The terms governing the U.S. Government’s use of Oracle cloud services are defined by the applicable contract for such services.No other rights are granted to the U.S. Government.
このソフトウェアまたはハードウェアは様々な情報管理アプリケーションでの一般的な使用のために開発されたものです。このソフトウェアまたはハードウェアは、危険が伴うアプリケーション(人的傷害を発生させる可能性があるアプリケーションを含む)への用途を目的として開発されていません。このソフトウェアもしくはハードウェアを危険が伴うアプリケーションで使用する際、安全に使用するために、適切な安全装置、バックアップ、冗長性(redundancy)、その他の対策を講じることは使用者の責任となります。このソフトウェアまたはハードウェアを危険が伴うアプリケーションで使用したことに起因して損害が発生しても、オラクル社およびその関連会社は一切の責任を負いかねます。
OracleおよびJavaはOracle Corporationおよびその関連企業の登録商標です。その他の名称は、それぞれの所有者の商標または登録商標です。
IntelおよびIntel Insideは、Intel Corporationの商標または登録商標です。すべてのSPARCの商標はライセンスをもとに使用し、SPARC International, Inc.の商標または登録商標です。AMD、EpycおよびAMDロゴは、Advanced Micro Devices, Inc.の商標または登録商標です。UNIXは、The Open Groupの登録商標です。
このソフトウェアまたはハードウェア、そしてドキュメントは、第三者のコンテンツ、製品、サービスへのアクセス、あるいはそれらに関する情報を提供することがあります。お客様との間に適切な契約が定められている場合を除いて、オラクル社およびその関連会社は、第三者のコンテンツ、製品、サービスに関して一切の責任を負わず、いかなる保証もいたしません。お客様との間に適切な契約が定められている場合を除いて、オラクル社およびその関連会社は、第三者のコンテンツ、製品、サービスへのアクセスまたは使用によって損失、費用、あるいは損害が発生しても一切の責任を負いかねます。