| Oracle® Fusion Middleware Security Guide for Oracle Business Intelligence Enterprise Editionセキュリティ・ガイド 12c (12.2.1) E70043-01 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Security Guide for Oracle Business Intelligence Enterprise Editionセキュリティ・ガイド 12c (12.2.1) E70043-01 |
|
前 |
次 |
この付録では、Oracle Business Intelligenceのセキュリティの使用および構成時に発生する可能性のある一般的な問題と、それらの解決方法について説明します。項目は次のとおりです。
この項は、Oracle Business Intelligence Enterprise Edition 11gの使用時に発生する、ユーザーのログイン認証の失敗に関する最も一般的な問題の解決に役立ちます。考えられるすべてのシナリオを包括的に示すことを目的としているわけではありません。この項の内容は次のとおりです。
この項では、Oracle Business Intelligence Enterprise Editionにおける認証の基本的な概念について説明します。この項の説明を読む前提条件として、このガイド全体で説明されている概念を理解している必要があります。
第C.1.2項「ユーザーのログイン認証が失敗する原因の特定」
この項では、認証が失敗した原因を特定するためのチェックリストとして使用できる、原因と結果の図を提供します。
第C.1.3項「ユーザーのログイン認証が失敗する問題の解決」
この項では、ログイン認証が失敗する理由とその解決策を示します。
この項では、ログイン認証が失敗する問題の解決に役立つ、認証の概念について説明します。この項の内容は次のとおりです。
インストール直後、Oracle Business Intelligenceは、DefaultAuthenticatorを経由してWebLogic組込みLDAPサーバーに対してユーザーを認証するように構成されます。インストール時に入力された資格証明を使用するWebLogic Server管理者をはじめ、デフォルトのユーザー・アカウントが設定されています。
Oracle WebLogic Server管理コンソールおよびFusion Middleware Controlを使用して、Oracle Business Intelligenceを構成します。これらのアプリケーションの使用方法の詳細は、第1.6項「ツールの使用によるOracle Business Intelligenceのセキュリティの構成」を参照してください。
Oracle WebLogic Server管理コンソールおよびFusion Middleware Controlにログインする際は、インストール・プロセスで管理ユーザーに指定したユーザー名とパスワードを使用する必要があります。ただし、そのアカウントを変更または削除した場合や、適切なアクセス権を持つ別のアカウントを構成した場合は除きます(第C.1.1.4項「Oracle Business Intelligenceの主要なログイン・ユーザー・アカウント」を参照)。
ユーザーのログイン認証に関する問題を診断および解決するには、次に示すWebLogicドメインおよびログ・ファイルの場所を知っておく必要があります。
|
注意: この項は、インストールでデフォルトの場所が使用されたことを前提としています。異なるインストール場所を指定した場合は、それに合せてパスを変更する必要があります。 |
Oracle Business IntelligenceがインストールされるWebLogicドメイン
ORACLE_HOME/user_projects/domains/bi/
WebLogic管理サーバーのログ
ORACLE_HOME/user_projects/domains/bi/servers/AdminServer/logs/
WebLogic管理対象サーバーのログ
ORACLE_HOME/user_projects/domains/bi/servers/bi_server1/logs/
BIサーバーのログ
ORACLE_HOME/user_projects/domains/bi/servers/obis1/logs/
この項では、主要なログイン・ユーザー・アカウントについて説明します。この項の内容は次のとおりです。
WebLogic管理者ユーザー・アカウントを使用すると、WebLogic Serverを起動できます。また、Oracle WebLogic Server管理コンソールおよびFusion Middleware Controlを使用してWebLogic Serverを管理することもできます。WebLogic Server管理者アカウントは、Adminと呼ばれるWebLogic Serverグローバル・ロールを持っている必要があります(これは、Oracle Business Intelligenceアプリケーション・ロールではありません)。このロールは、新しいWebLogic Server管理者アカウントを追加することもできます。
Oracle WebLogic Server管理コンソールを使用してグローバルAdminロールに対するユーザーの追加または削除を行うには:
Oracle WebLogic Server管理コンソールにWebLogic Server管理者としてログインし、チェンジ・センターで「ロックして編集」をクリックします。
詳細は、第1.6.1項「Oracle WebLogic Server管理コンソールの使用」を参照してください。
左ペインで「セキュリティ・レルム」を選択し、「myrealm」をクリックします。
デフォルトのセキュリティ・レルムはmyrealmという名前です。
最上部に並んだタブから「ロールとポリシー」を選択します。
ロールのリストでプラス記号をクリックして「グローバル・ロール」→「ロール」を展開し、Adminグローバル・ロールの「ロール条件の表示」リンクをクリックします。
指定されている条件が、直接、または所属するグループに基づいて、ユーザーに一致することを確認します。
たとえば、条件にはUser=myadminaccountやGroup=Administratorsがあります。
変更したら、「保存」をクリックします。
チェンジ・センターで、変更のアクティブ化をクリックします。
ユーザーがシングル・サインオンを使用せずにOracle Business Intelligenceにログインするときに、認証およびユーザー・プロファイルの参照が行われます。シングル・サインオン(SSO)環境では、Oracle Business Intelligenceシステムの外部で認証が行われ、かわりにIDがアサートされますが、ユーザー・プロファイルの参照は引き続き行われます。
認証およびIDのアサートはそれぞれ認証プロバイダおよびアサーション・プロバイダによって行われ、Oracle WebLogic Server管理コンソールを使用して構成されます。電子メール、表示名、説明、言語などの様々な属性を取得するため、ユーザー・プロファイルがアイデンティティ・ストア内で参照されます。Oracle Business Intelligenceへの正常なログインには、最初に構成された認証プロバイダにユーザー移入が含まれていることが必要です。詳細は、第3.4項「代替認証プロバイダを使用するためのOracle Business Intelligenceの構成」を参照してください。
ログイン・プロセスでは、まずユーザーがログイン画面で資格証明を入力し、その資格証明がプレゼンテーション・サービス、BIサーバーの順に送信されます。BIサーバーでは、BI Security Web Service (WebLogic管理対象サーバーにデプロイされ、Webサービス・セキュリティのポリシーによって保護されます)を呼び出すことによって、ユーザー資格証明の認証が試行されます。この呼び出しでは、BIサーバーがOracle Web Services Managerに対してBIサーバーを認証することが要求されます。認証後、BIサーバーをBI Security Serviceで受信できるようになります。
この項は、Oracle Business Intelligenceへのログイン時に認証が失敗する原因を特定するのに役立ちます。
図C-1および図C-2は原因と結果の図です。これらを使用して、ユーザーのログイン認証が失敗する原因として考えられる問題を特定できます。ユーザーのログイン認証が失敗する原因として考えられる問題を特定したら、第C.1.3項「ユーザーのログイン認証が失敗する問題の解決」で問題の解決方法を参照してください。
図C-1は、ログインが失敗する原因を特定するのに役立ちます。図C-1を使用しても、ログインが失敗する原因を特定できない場合は、かわりに図C-2を使用します。
図C-1の説明は、次のとおりです。
認証プロバイダが正しく構成されていない。
Oracle Business Intelligenceで認定されている正しい認証プロバイダがアイデンティティ・ストア用に構成されていることを確認します。
ユーザーがOracle WebLogic Server管理コンソールに表示されていることを確認します。
グループがOracle WebLogic Server管理コンソールに表示されていることを確認します。
適切な権限を持つユーザーがOracle WebLogic Server管理コンソールにログインできることを確認します。
認証プロバイダの順序および制御フラグが正しいことを確認します。
認証プロバイダが正しく構成されていない(二次的な問題)。
構成の変更後にWebLogic Serverが再起動されていることを確認します。
WebLogic Serverが起動しない場合は、WebLogic Server管理者ユーザーが正しくLDAPに移行していることを確認します。
指定した属性がLDAPストアにあるものと一致することを確認します。
名前指定によるフィルタの問合せが正しいことを確認します。
ユーザーおよびグループ・ベースDNの設定が正しいことを確認します。
LDAP接続に使用するアカウントが十分な権限を持っていることを確認します。
1人のユーザーのみが影響を受ける。
正しい資格証明が使用されていることを確認します。
ユーザー・アカウントがロックされていない、または失効していないことを確認します。
通信障害が発生する。
アイデンティティ・ストアが使用可能であることを確認します。
すべてのBIシステム・プロセスが実行中であることを確認します。
すべてのJEEアプリケーションが実行中であることを確認します。
図C-1を使用してもログインが失敗する原因を特定できない場合は、図C-2が別の原因の特定に役立ちます。ただし、図C-2を使用した後も、引き続きログインが失敗する原因を特定できない場合は、次の場所からOracleサポートに連絡してください。
図C-2の説明は、次のとおりです。
BIシステム・ユーザーの認証が失敗する。
BISystemユーザー・アカウントが存在し、正しいロールが割り当てられていることを確認します。
BISystemユーザーが資格証明ストアと同期されていることを確認します。
BISystemユーザー・アカウントがアイデンティティ・ストア内にあることを確認します。
BIシステム・ユーザーの資格証明に対する変更のWebLogic組込みLDAPレプリケーションが失敗していないことを確認します。
アイデンティティ・ストア・プロバイダ(OPSS)が正しく構成されていない。
SQL認証プロバイダを使用している場合、アダプタが正しく構成されていることを確認します。
ユーザー名に指定された属性が、WebLogic認証プロバイダのデフォルト値以外の値に設定されている場合、OPSSの構成が一致することを確認します。
Oracle Business Intelligenceリリース11.1.1.5(またはそれ以降)で、次の内容を確認します。
仮想化がtrueに設定されている。
制御フラグがOracle Business Intelligenceリリース11.1.1.3と同様に設定されている(次の項目を参照)。
Oracle Business Intelligenceリリース11.1.1.3で、(BIシステム・ユーザーのユーザー移入を参照する)認証プロバイダが、プロバイダのリストの先頭にある制御フラグであることを確認します。
構成の変更後にWebLogic Serverが再起動されることを確認します。
Oracle Business Intelligenceリリース11.1.1.5(またはそれ以降)で、仮想化がtrueに設定されていて、アイデンティティ・ストアでSSLが要求される場合は、仮想化が正しく構成されている必要があります。詳細は、第5.14.2項「複数認証プロバイダ使用時のSSLの構成」を参照してください。
Oracle Web Services Managerでエラーが発生する。
データベースが、インストール時に作成されたMDS-OWSMスキーマに接続されることを確認します。
OWSMでOWSMリソースへのアクセスに使用される、OracleSystemUserアカウントが動作していることを確認します。
この項では、ユーザーのログイン認証の失敗について、およびその問題の解決方法を説明します。この項の内容は次のとおりです。
第C.1.3.2項「認証プロバイダが正しく構成されていないことが原因でOracle Business Intelligenceにユーザーがログインできない」
第C.1.3.3項「Oracle Web Services Managerが動作していないときにOracle Business Intelligenceにユーザーがログインできない」
第C.1.3.4項「Oracle Business Intelligenceにユーザーがログインできない - BIシステム・ユーザーの認証が動作しているかどうか」
第C.1.3.5項「Oracle Business Intelligenceにユーザーがログインできない - 外部アイデンティティ・ストアが正しく構成されているかどうか」
この項には次のトピックが含まれます:
最初に確認することは、ユーザーがOracle Business Intelligenceにログインできない原因が、単純なエラーであるかどうかです。たとえば、ユーザーが正しくないパスワードを入力したことなどが考えられます。他のユーザーはOracle Business Intelligenceにログインできるが、1人のユーザーがログインできない場合は、ユーザーの資格証明を確認します。または、第C.1.3.1.2項を参照してください。
多くのLDAP認証プロバイダでは、ログインの試行回数が指定されたしきい値を超えた場合、ユーザー・アカウントがロックされます。たとえば、ログインの試行が3回失敗したら、自動攻撃を受けないようアカウントがロックされる場合があります。
選択したアイデンティティ・ストアのドキュメントを参照し、ユーザー・アカウントのロックを解除する方法を確認します。たとえば、WebLogic組込みLDAPの使用時にロックされたユーザー・アカウントのロックを解除するには、Oracle Fusion Middleware Oracle WebLogic Server管理コンソール・オンライン・ヘルプのユーザー・アカウントのロック解除に関する項を参照してください。
認証が失敗する最も一般的な原因は、WebLogic Serverで認証プロバイダが正しく構成されていないことです。内容は次のとおりです。
WebLogic Serverでは、組込みLDAP認証プロバイダに加えて、様々なサーバー固有の認証プロバイダが使用されます。ただし、組込みLDAP認証プロバイダは、汎用的なLDAPサーバーではない一部LDAPサーバー製品に対しては問合せできない場合があります。たとえば、汎用LDAPサーバーは、Active Directory (AD)がLDAPを完全に実装していることが明らかで、正常にADをLDAPサーバーとして多くのLDAP問合せツールに提供している場合でも、ADと連携して動作しません。システムが使用するLDAPサーバーに基づいた適切な認証プロバイダを構成してください。
プライマリ・アイデンティティ・ストアとして使用するLDAPサーバーの構成設定が正しく構成されていない場合は、ユーザーを正しく認証できません。いくつかの一般的なチェック項目は、次のとおりです。
LDAP接続に使用するアカウント。
LDAP認証プロバイダに固有の構成で、LDAPサーバーへの接続に使用されるプリンシパルのDNを指定する必要があります。このアカウントが存在し、ユーザーまたはグループ・ベースDNに指定されたツリーからユーザーまたはグループ移入を取得する問合せを実行するのに十分な権限を持っている必要があります。制限付きのLDAP環境では、通常のユーザー・アカウントに付与される権限よりも上位の昇格した権限が必要になる場合があります。
ユーザーおよびグループ・ベースDNが正しいことを確認します。
グループおよびユーザーは、どちらもユーザーまたはグループ・ベースDNによって指定されたツリー内で検索されます。指定されたツリーに、実際にユーザーまたはグループ移入が含まれていることを確認してください。
名前指定によるフィルタの問合せが正しいことを確認します。
グループおよびユーザーはベースDNに指定されたツリー内で検索します。これには、「名前指定によるユーザー・フィルタ」および「名前指定によるグループ・フィルタ」に指定された問合せが使用されます。%uは、特定ユーザーの問合せ時(認証時も含まれます)に渡されるユーザーIDのプレースホルダとして使用され、%gは、特定グループの問合せ時に渡されるグループ名のプレースホルダとして使用されます。問合せがディレクトリにとって構文的および論理的に正しいことを確認します。また、認証プロバイダの構成で指定した資格証明を使用して、それらの問合せをLDAPブラウザから実行できる(および予想どおりの結果が得られる)ことをテストします。
指定した属性がLDAPストアにあるものと一致することを確認します。
ユーザーおよびグループの属性やオブジェクト・クラスが、認証プロバイダの構成で指定されていることを確認します。必ずしも、認証プロバイダの事前構成済のデフォルト値を使用しなければならないわけではありません。たとえば、ユーザー名の属性に指定された値が存在すること、およびその値がサイト上のLDAPサーバーのユーザー名に使用されていることを確認する必要があります。
WebLogic Server管理者ユーザーはLDAPに移行され、WebLogic Serverを起動できません。
WebLogic Server管理者ユーザーを組込みLDAPサーバーから別のLDAPサーバーに移行し、組込みLDAPサーバーからDefaultAuthenticatorも削除する場合、管理者ユーザーを認証する際、LDAPに依存するほかなくなります。LDAP認証プロバイダの構成が不適切だった場合、WebLogic Serverは起動しません。
ユーザーがOracle WebLogic Server管理コンソールにログインできるか確認します。
WebLogic Serverの起動時に使用していた資格証明でOracle WebLogic Server管理コンソールにログインできる場合、次の方法で、他のLDAPユーザーがOracle WebLogic Server管理コンソールにログインできるか確認できます。
WebLogic ServerグローバルAdminロールをLDAPユーザーに付与し、そのユーザーがOracle WebLogic Server管理コンソールに(URL http://<biserver>:9501/consoleを使用して)ログインできた場合、LDAP認証プロバイダは正しく構成されています。
|
注意: このシナリオをテストするためにWebLogic ServerグローバルAdminロールを一時的にユーザーに付与した場合、その資格のないユーザーについては、テスト終了後、このロールを削除する必要があります。 |
LDAPユーザーがOracle Business Intelligenceにログインできない場合:
ユーザーが格納されたアイデンティティ・ストアが、アイデンティティ・ストアとしてOPSSに公開されているか確認します。認証プロバイダの順序および制御フラグに関する項を確認してください(第C.1.3.2.3項「認証プロバイダの制御フラグが正しく設定され順序付けされているかどうか」を参照)。
ユーザーがLDAPに対して正しく認証されても、BIシステム・ユーザーに問題があり、BI Security Serviceでユーザーを認証できない場合を確認します(第C.1.3.4項「ユーザーがOracle Business Intelligenceにログインできない - BIシステム・ユーザーの認証が動作しているかどうか」を参照)。
プライマリ・アイデンティティ・ストアは、認証プロバイダのリストの先頭項目として設定されている必要があります(Oracle Business Intelligenceリリース11.1.1.5(またはそれ以降)では、仮想化がtrueに設定されている場合、この制限は適用されません)。Oracle Business Intelligenceでは、OPSSのユーザー・ロールAPI(アプリケーション・プログラミング・インタフェース)が使用されます。このAPIでは、ユーザー、プロファイル情報、ロールを参照するときなど、認証プロバイダのリストの先頭にあるアイデンティティ・ストアのみが参照されます。このため、ユーザーはOracle WebLogic Server管理コンソールにログインできます(認証の成功が示されます)が、Oracle Business Intelligenceにはログインできません(ユーザーが格納されたアイデンティティ・ストアがリストの先頭にないため)。
複数の認証プロバイダを構成する場合、通常はすべての制御フラグをSUFFICIENTに設定する必要があります。これにより、認証が成功するまで、各認証プロバイダに対して順に認証を試行できるようになります。認証が成功すると、それ以降の認証プロバイダに対しては認証が試行されません。すべての認証プロバイダで、提供された資格証明を認証できなかった場合、認証プロセス全体が失敗します。
|
注意: インストール時に、DefaultAuthenticatorはREQUIREDに設定されます。別の認証プロバイダを構成し、DefaultAuthenticatorを保持する場合は、DefaultAuthenticatorをSUFFICIENTまたはOPTIONALに設定する必要があります。SUFFICIENTが推奨設定です。 |
Oracle Web Services Manager (OWSM)によってBI Security Serviceが保護されるため、OWSMが動作していない場合、どのプログラムもBI Security Serviceを呼び出すことができず、この問題が解決されるまで認証は成功しません。
OWSMが失敗する一般的な原因は、次のとおりです。
第C.1.3.3.1項「データベースに関する問題 - OWSMでポリシーを取得できない」
インストール時に作成されたMDS-OWSMスキーマへの接続に関する問題です。
第C.1.3.3.2項「OracleSystemUserに関する問題 - OWSMでポリシーを取得できない」
OWSMでOWSMリソースへのアクセスに使用されるOracleSystemUserアカウントに関する問題です。
BIシステム・ユーザーの認証が失敗する問題の詳細は、第C.1.3.4項「Oracle Business Intelligenceにユーザーがログインできない - BIシステム・ユーザーの認証が動作しているかどうか」を参照してください。
OWSMでは、ポリシー定義を含むOWSMのメタデータが、MDSスキーマのOWSMサブセクションに格納されます。このメタデータへのアクセスには、インストール時に作成される、mds-owsmという接続プールが使用されます。スキーマへのアクセスに関する問題が発生した場合(たとえば、データベースが使用できない、正しくない資格証明がある、データベース・アカウントがロックされているなど)、Oracle Business Intelligenceの認証は失敗します。
管理対象サーバーの診断ログに、次のようなエラー・メッセージが記録されます。
[2011-06-28T14:59:27.903+01:00] [bi_server1] [ERROR] [] [oracle.wsm.policymanager.bean.util.PolicySetBuilder] [tid: RTD_Worker_2] [userId: <anonymous>] [ecid: de7dd0dc53f3d0ed:11d7f503:130d6771345:-8000-0000000000000003,0] [APP: OracleRTD#11.1.1] 無効な構成または非アクティブ状態のために\\\"t3://biserver:7001,biserver:9704\\\"でポリシー・マネージャへの接続を確立できないことが原因で、URI \\\"oracle/wss_username_token_client_policy\\\"により参照されるポリシーを取得できませんでした。
また、データ・ソースの接続プールを確立または作成できないことに関する複数のエラーが管理サーバーのログに記録されます。
この問題を解決するには、次の内容を確認する必要があります。
MDS-OWSMデータ・ソースに指定したデータベース・スキーマが使用できるかどうか。
正しい資格証明を指定したかどうか。
それらの資格証明を使用して標準のデータベース・ツール(SQL Plus、Jdeveloper DBツールなど)でスキーマにアクセスできるかどうか。
mds-owsmデータ・ソースが正しく構成されているかどうか。
MDS-OWSMデータ・ソースをテストするには:
Oracle WebLogic Server管理コンソールにログインします。
左ペインで「サービス」をクリックし、「データ・ソース」をクリックします。
「構成」ページを表示し、「mds-owsm」をクリックします。
「監視」タブを選択し、「テスト」ページを表示します。
サーバーを選択し、「データ・ソースのテスト」をクリックします。
MDS-OWSMデータ・ソースを構成するには:
Oracle WebLogic Server管理コンソールにログインし、「チェンジ・センター」で「ロックして編集」をクリックします。
左ペインで「サービス」をクリックし、「データ・ソース」をクリックします。
「構成」ページを表示し、「mds-owsm」をクリックします。
「構成」タブを選択し、「接続プール」ページを表示します。
適切な変更を構成します。
「保存」をクリックして変更を保存します。
チェンジ・センターで、変更のアクティブ化をクリックします。
WebLogic ServerおよびOracle Business Intelligenceコンポーネントを再起動します。
OWSMでは、デフォルトでポリシーの取得にOracleSystemUserアカウントが使用されます。このアカウントが見つからず認証できない場合や、このアカウントに正しいWebLogicグローバル・ロールが割り当てられていない場合、処理は失敗します。
管理対象サーバーの診断ログに、次のようなログ・メッセージが記録されます。
[2011-06-28T14:59:27.903+01:00] [bi_server1] [ERROR] [] [oracle.wsm.policymanager.bean.util.PolicySetBuilder] [tid: RTD_Worker_2] [userId: <anonymous>] [ecid: de7dd0dc53f3d0ed:11d7f503:130d6771345:-8000-0000000000000003,0] [APP: OracleRTD#11.1.1] 無効な構成または非アクティブ状態のために\\\"t3://biserver:7001,biserver:9704\\\"でポリシー・マネージャへの接続を確立できないことが原因で、URI \\\"oracle/wss_username_token_client_policy\\\"により参照されるポリシーを取得できませんでした。[[
OWSMがOracleSystemRole WebLogic Serverグローバル・ロールに含まれていないことが問題である場合、このエントリの後に、次のログ・エントリが記録されます。
java.rmi.AccessException: [EJB:010160]セキュリティ違反: ユーザー''OracleSystemUser''にはEJB type=<ejb>, application=wsm-pm, module=wsm-pmserver-wls.jar, ejb=DocumentManager, method=retrieveDocuments, methodInterface=Remote, signature={java.lang.String,java.util.Map}にアクセスするための許可がありません。
OracleSystemUserがアイデンティティ・ストアにあるOracleSystemGroupグループのメンバーであること、およびグループにWebLogic Serverグローバル・ロールOracleSystemRoleが割り当てられていることを確認する必要があります。詳細は、第3.4.9.1項「唯一の認証プロバイダとしてのOracle Internet Directory LDAP認証の構成」の手順3から6を参照してください(これらの手順は、引き続き他のLDAPサーバーに適用されます)。
また、OracleSystemUserアカウントを認証できないか、このアカウントが存在しない(LDAPアイデンティティ・ストアに移行し、新しいOracleSystemUserアカウントを新しいアイデンティティ・ストアに作成することなくDefaultAuthenticatorを削除した場合など)ことが問題である場合、次のようなログ・エントリが記録されます。
原因: javax.security.auth.login.FailedLoginException: [Security:090304]ユーザーOracleSystemUserの認証が失敗しました。javax.security.auth.login.FailedLoginException: [Security:090302]認証が失敗しました。ユーザーOracleSystemUserが拒否されました
: weblogic.security.providers.authentication.LDAPAtnLoginModuleImpl.login(LDAPAtnLoginModuleImpl.java:261)
このエラー・メッセージは、次のようないくつかの異なる問題が原因で記録されます。
DefaultAuthenticatorを削除し、そのかわりに使用している新しいアイデンティティ・ストアにOracleSystemUserというアカウントを作成していない。
新しいアイデンティティ・ストアの認証プロバイダを正しく構成していないことが原因で、OracleSystemUserアカウントが見つからない。
LDAPサーバーでOracleSystemUserアカウントがなんらかの原因でロックされているか無効になっている。
考えられるそれぞれの問題についてシステムを確認し、必要に応じてシステムを再構成および再起動した後、再試行します。
BIシステム・ユーザー・アカウント(デフォルトの名前はBISystemUserです)は、BI Security ServiceおよびOracle Business Intelligenceの認証機能全体において重要です。ユーザーがログイン時に提供した資格証明の確認がBIサーバーによって試行されるときに、BIシステム・ユーザー・アカウントによって、BIサーバーで実行されるBI Security Serviceへの呼び出しが認証されます。この呼び出しが失敗した場合、Oracle Business Intelligenceでは、優先メカニズムであるFusion Middlewareのセキュリティに対してユーザー・ログイン(つまり、WebLogicを通じて構成されたアイデンティティ・ストア内のユーザー)を認証できません。BIシステム・ユーザーの認証が失敗した場合、次のエラー・メッセージがBIサーバーのnqserver.logに記録されることがあります。
[2011-06-28T11:30:36.000+00:00] [OracleBIServerComponent] [ERROR:1] [] [] [ecid: c594c519d241c3b9:-2173cea0:130d2098159:-8000-00000000000019ba] [tid: 4734ba0] BI Security Serviceからのエラー・メッセージ: FailedAuthentication : セキュリティ・トークンを認証できません。
[2011-06-28T11:30:36.000+00:00] [OracleBIServerComponent] [ERROR:1] [] [] [ecid: c594c519d241c3b9:-2173cea0:130d2098159:-8000-00000000000019ba] [tid: 4734ba0] [nQSError: 43126] 認証に失敗しました: ユーザーまたはパスワードが無効です。
また、対応する次のようなエントリも管理対象サーバーの診断ログに記録されます。
[2011-06-27T11:06:46.698-07:00] [bi_server1] [NOTIFICATION] [] [oracle.bi.security] [tid: [ACTIVE].ExecuteThread: '0' for queue: 'weblogic.kernel.Default (self-tuning)'] [userId: BISystemUser] [ecid: 004dfIJ^08LATOB[2011-06-28T04:27:48.011-07:00] [bi_server1] [ERROR] [WSM-00008] [oracle.wsm.resources.security] [tid: [ACTIVE].ExecuteThread: '2' for queue: 'weblogic.kernel.Default (self-tuning)'] [userId: <anonymous>] [ecid: c594c519d241c3b9:-2173cea0:130d2098159:-8000-00000000000019a1,0:1:1:8:1] [WSM_POLICY_NAME: oracle/wss_username_token_service_policy] [APP: bimiddleware#11.1.1] Webサービス認証に失敗しました。[[
javax.security.auth.login.LoginException: [Security:090303]ユーザーBISystemUserの認証が失敗しました。weblogic.security.providers.authentication.LDAPAtnDelegateException: [Security:090295]予期しない例外が捕捉されました
: oracle.security.jps.internal.jaas.module.authentication.JpsUserAuthenticationLoginModule.login(JpsUserAuthenticationLoginModule.java:71)
このメッセージは、BIサーバーからBI Security Serviceへの正常な呼び出しがOWSMによって許可されなかったことを示しています。許可されなかった理由は、OWSMで(ログイン時のエンド・ユーザーではなく)BIサーバーによって提供された資格証明を有効なものとして認証できなかったためです。BIサーバーでは、oracle.bi.systemマップのsystem.userキーを参照することによって、資格証明ストアからこの呼び出しに使用する資格証明が取得されます。これらがOWSMによって認証される資格証明です。
次のリストは、BISystemUserアカウントでの失敗について考えられる理由を示しています。
第C.1.3.4.1項「BIシステム・ユーザー・アカウントが存在しない、正しいロールが割り当てられていない、または資格証明ストアと同期されていない」
外部LDAPストアを使用している理由で、DefaultAuthenticatorを削除し、新しいアイデンティティ・ストアにBIシステム・ユーザー・アカウントを作成しなかった。
資格証明ストアのsystem.userキーに指定したアカウントを変更したが、新しいアカウントに正しいロールが割り当てられていない。
指定したアカウントのパスワードを変更したが、資格証明ストアを新しい資格証明で更新していない(またはその後システムを再起動していない)。
第C.1.3.4.2項「基礎となるアイデンティティ・ストアのBIシステム・ユーザー・アカウントに関する問題」
BIシステム・ユーザー・アカウントとして指定したアカウントがロックされているか、パスワードの期限が切れている(基礎となるアイデンティティ・ストアのアカウントに問題がある)。
第C.1.3.4.3項「BIシステム・ユーザーの資格証明に対する変更の組込みWebLogic Server LDAPレプリケーションが失敗した」
指定したアカウントのパスワードを変更したことが原因で、管理対象サーバーへのレプリケーションが失敗した(これはDefaultAuthenticatorをWebLogic Server組込みLDAPで使用した場合のみ該当します)。
BISystemUserアカウントに関するこれらの問題を解決するには、第3.5項「BIシステム・ユーザーの資格証明のリセット」の手順に従います。
指定したアカウントにBISystemアプリケーション・ロールおよびWebLogic ServerのグローバルAdminロールが割り当てられ、資格証明ストアのsystem.userキーが新しいアカウント名とパスワードで更新される必要があります。
これらの手順を完了したら、すべてのOracle Business IntelligenceコンポーネントとWebLogic管理対象サーバーおよび管理サーバーを再起動し、Oracle Business IntelligenceコンポーネントをBI Security Serviceと同期します。これを行わなかった場合、問題が解決されない可能性があります。
認証の試行が複数回失敗した後で、ユーザー・アカウントをロックするよう一部のLDAPサーバーを構成することは珍しくありません。BI Security Serviceとの通信を試行する際に、BIサーバーによって自動的にBIシステム・ユーザーの資格証明が提供されます。パスワードの変更時に資格証明ストアの再同期やサービスの再起動を行わなかった場合、BIサーバーによる認証の試行が複数回失敗し、意図しないアカウントのロックが発生することがあります。
同様に、一部のサーバーは、資格証明の期限が一定期間後に切れ、リセットされることを要求するよう構成されます。これもBIシステム・ユーザーの認証が失敗する原因となります。
アカウントが誤ってロックされたり期限が切れたりすることを防ぐために、LDAPサーバーのポリシーを確認します。
このシナリオが発生することはほとんどなく、システムでDefaultAuthenticatorを通じてWebLogic Server組込みLDAPが使用されたときのみ発生します。このシナリオを理解するには、BIシステム・ユーザーのパスワードの変更(Oracle WebLogic Server管理コンソールを使用します)が、まず管理サーバーで行われ、その後管理対象サーバーにレプリケートされることを理解する必要があります。BI Security Serviceでは、管理対象サーバーにレプリケートされたコピーに対して認証が行われます。ただし、管理対象サーバーへのレプリケーションが失敗したことに気付かず、資格証明ストアの資格証明を変更し、新しいパスワードと同期した場合、この2つは一致しなくなります。この状況が発生した場合、次のようなログ・エントリが管理サーバーのログに作成されます。
####<2011/06/09 17:18:17 GMT> <Error> <EmbeddedLDAP> <bisrv01> <AdminServer> <VDE Replication Thread> <<anonymous>> <> <3425d20f6361741a:-2e8537d2:130736e27a9:-8000-000000000000000f> <1307607517792> <BEA-000000> <承諾'bi_server1': 変更番号1698の送信中にエラーが発生しました - 無効な名前: cn=",ou=groups,ou=myrealm,dc=bifoundation_domain。
この問題が発生しているように見えるが、該当するエントリが見つからない場合、最も可能性が高いのは、資格証明ストアの資格証明が純粋にアイデンティティ・ストアのものと一致していないことです。両方の場所に正しく変更が適用され、変更後にすべてのサービスが再起動されたことを再度確認します。
外部アイデンティティ・ストアをプライマリ・ユーザー移入として構成した場合は、プロバイダ構成の次の内容を確認します。
プライマリ・ユーザー移入を参照する認証プロバイダは、プロバイダの中で最初に設定する必要があります(リリース11.1.1.5以上を使用している、および仮想化がtrueに設定されている場合は除きます)。
DefaultAuthenticatorが引き続き有効になっている場合は、DefaultAuthenticatorと、プライマリ・ユーザー移入を参照する認証プロバイダの両方がSUFFICIENTに設定されていることを確認します。
username属性をデフォルト値以外の値に設定した場合は、第3.4.3項「アイデンティティ・ストアのユーザーおよびグループ名属性の構成」の手順に従う必要があります。たとえば、OID認証プロバイダでは、UserName属性がcnであることを想定してデフォルト値が設定されますが、実際には多くの組織で、かわりに属性uidが使用されます。この場合、手順に従い、Fusion Middleware Controlのアイデンティティ・ストア構成で、username.attrとuser.login.attrの両方をuidに設定します。
Oracle Business Intelligenceリリース10gでは、メタデータ・リポジトリを通じて認証が管理され、外部データベース・テーブルに対して認証を行う必要があるユーザーは、初期化ブロックの設定を使用し、その操作を実行できます。この機能は引き続きOracle Business Intelligence 11gおよび12cでも提供され、残念ながら、発行された問合せによってユーザーのパスワードが確認されないよう、これらのブロックを構成できます。たとえば、次の問合せ
SELECT USER_ID FROM USERS WHERE USER_ID = ':USER'
ユーザーIDのみが確認され、パスワードが正しいかどうかは確認されません。そのように初期化ブロックが構成されているシナリオでは、ユーザーが任意のパスワード(またはパスワードなし)でログインできる場合があります。
このシナリオによって、一貫性がないように見えるなんらかの動作が発生することもあります。たとえば、ユーザーAおよびBがプライマリ・アイデンティティ・ストア(Oracle Internet Directory)内に存在するが、この項で説明した初期化ブロックによって参照されるデータベース内にも、ユーザーBが存在する場合が考えられます。ユーザーAおよびBが正しくないパスワードを使用してログインしようとすると、これらの両方がOIDに対する認証に失敗します。ただし、BIサーバーでも各ユーザーの初期化ブロックの実行が試行されます。ユーザーAは失敗しますが、ユーザーBのログインは成功します。この理由は、ユーザーBのユーザー名がUSERS表のUSER_ID列にあり、初期化ブロックの問合せが、ユーザーのパスワードを確認しないにもかかわらず成功するためです。このようなシナリオは回避する必要があるため、このように動作する認証初期化ブロックを見つけた場合は、そのブロックを削除または変更する必要があります。
WebLogic Serverを起動するには、WebLogic Serverの(Oracle Business Intelligenceではなく)グローバルAdminロールに関連付けられた管理ユーザーの資格証明を使用する必要があります。Oracle Business Intelligenceのインストール時、インストーラによって管理ユーザー名とパスワードの入力が求められます。これらのユーザー名とパスワードは、組込みLDAPで作成され、DefaultAuthenticatorを通じてアクセスされます。組込みLDAPではなく外部LDAPアイデンティティ・ストアを使用するよう変更する必要がある場合は、外部ストアに新しいWebLogic Server管理ユーザーを作成し、そのユーザーにWebLogic ServerのグローバルAdminロールが割り当てられていることを確認してから、DefaultAuthenticatorを削除します。
ただし、これらの手順を実行した後で、WebLogic Serverの起動に使用するユーザーが格納されたアイデンティティ・ストアの認証プロバイダを正しく構成していない場合は、サーバーを起動できません。これを回避するには、DefaultAuthenticatorを削除する前に存在していた構成設定に戻します。
WebLogic BIドメインのドメイン・ホームは、(インストール時に別の場所を明示的に要求していないかぎり)次の場所にあります。
ORACLE_HOME/user_projects/domains/bi/
このディレクトリには、すべての認証プロバイダなど、ドメイン全体の構成ファイルを含む構成ディレクトリが格納されます。構成設定を更新すると、メイン構成ファイルconfig.xmlのバックアップが作成されます。バックアップ・ファイルの名前は、backup_config.xmlから始まり、その後のリビジョンごとに番号が付けられます(backup_config7.xmlなど)。
問題が発生した場合に備えて、現在のconfig.xmlおよび最新のbackup_config XMLファイルをコピーしてください。構成をリストアするには、現在のconfig.xmlファイルを最新のbackup_config XMLファイルに置き換え、WebLogic ServerおよびすべてのOracle Business Intelligenceコンポーネントを再起動します。WebLogic Serverの再起動時に、DefaultAuthenticatorはリストアされます。
リポジトリ、Oracle BIプレゼンテーション・カタログ、アイデンティティ・ストアの間には非一貫性の問題が数多く生じることがあります。次の各項では、これらが発生することのある通常の過程とその非一貫性の解決方法について説明します。
動作
アイデンティティ・ストアからユーザーが削除されると、そのユーザーはOracle Business Intelligenceにログインできなくなります。ただし、削除されたユーザーへの参照は、管理者がそれらを削除するまでリポジトリ内に残ります。
原因
削除されたユーザーへの参照は引き続きリポジトリ内に残りますが、そのユーザーはOracle Business Intelligenceにログインできません。この動作により、ユーザーが不注意で削除され、アイデンティティ・ストアに再度作成された場合に、ユーザーのアクセス制御ルールを再入力する必要はありません。
処置
管理者は、オンライン・モードでOracle BI管理ツールの整合性チェッカを実行して、非一貫性を特定できます。
動作
アイデンティティ・ストアでユーザーの名前が変更され、その後、そのユーザーが新しい名前でリポジトリにログインできません。
原因
これは、元の名前によるユーザーへの参照がリポジトリ内に残っている場合に発生することがあります。
処置
管理者は、BIサーバーを再起動するか、またはOracle BI管理ツールの整合性チェッカを実行してリポジトリを更新し、新しい名前によるユーザーへの参照を反映する必要があります。これが解決されると、Oracle BI Presentation Servicesは、このユーザーの次回ログイン時に新しいユーザー名を参照するようにOracle BI Presentation Catalogを更新します。
動作
ユーザー名に関連付けられているグループがアイデンティティ・ストアに存在しない場合、nqserver.logに次のエラーが記録されている可能性があります。
[2012-10-04T12:00:00.000+00:00] [OracleBIServerComponent] [ERROR:1] [] []
[ecid: <ecidID>] [tid: d10] SecurityService::assertUserWithLanguage
[OBI-SEC-00018] Identity found <GUID> but could not be asserted
bi_server1-diagnostic.log (簡易インストールの場合はadminserver-diagnostic.log)からECIDを探します。次のような警告メッセージが含まれている可能性があります。
[2012-10-04T12:00:00.314+02:00] [bi_server1] [WARNING] []
[oracle.jps.authentication] [tid: [ACTIVE].ExecuteThread: '2' for queue:
'weblogic.kernel.Default (self-tuning)'] [userId: OBISystemUser] [ecid:
<ecidID>] [WEBSERVICE_PORT.name: SecurityServicePort] [APP:
bimiddleware#11.1.1] [J2EE_MODULE.name: bimiddleware/security]
[WEBSERVICE.name: SecurityService] [J2EE_APP.name: bimiddleware_11.1.1]
javax.security.auth.login.FailedLoginException:
[Security:090305]Authentication Failed Getting Groups for User <UserID>
weblogic.management.utils.NotFoundException: [Security:090255]User or Group
<Groupname>[[
oracle.security.jps.internal.api.jaas.AssertionException:
javax.security.auth.login.FailedLoginException:
[Security:090305]Authentication Failed Getting Groups for User <UserID>
weblogic.management.utils.NotFoundException: [Security:090255]User or Group
<Groupname>[[
...
at
oracle.bi.security.subject.SubjectAsserter.assertUser(SubjectAsserter.java:85)
at
oracle.bi.security.service.URServiceBean.assertUserWithLanguage(URServiceBean.java:97)
at
oracle.bi.security.service.SecurityServiceBean.getGrantedRolesForUser(SecurityServiceBean.java:270)
at
oracle.bi.security.service.SecurityWebService$1GetGrantedRolesForUserAction.run(SecurityWebService.java:391)
at
oracle.bi.security.service.SecurityWebService$1GetGrantedRolesForUserAction.run(SecurityWebService.java:381)
at java.security.AccessController.doPrivileged(Native Method)
at
oracle.bi.security.service.SecurityWebService.getGrantedRolesForUser(SecurityWebService.java:397)
...
Caused by: javax.security.auth.login.FailedLoginException:
[Security:090305]Authentication Failed Getting Groups for User <UserID>
weblogic.management.utils.NotFoundException: [Security:090255]User or Group
<Groupname>[[
原因
ユーザー名に関連付けられているグループがアイデンティティ・ストアに存在しない場合に、このことが発生する可能性があります。
処置
このユーザーに割り当てられているLDAPグループが実際に存在していて、このグループが、LDAPにアクセスするためにWebLogicが使用するプリンシパルによって読取り可能であるかどうか確認してください。
Oracle BI Presentation Catalogとポリシー・ストアの間には、非一貫性の問題が数多く生じることがあります。次の各項では、これらが発生することのある通常の過程とその非一貫性の解決方法について説明します。
動作
ポリシー・ストアからアプリケーション・ロールが削除された後、オフライン・モードで操作したときに、そのロール名が引き続きOracle BI管理ツールに表示されます。ただし、ロール名はプレゼンテーション・サービスに表示されなくなり、ユーザーには、削除されたロールに関連付けられた権限が付与されません。
原因
削除されたロール名への参照がリポジトリ内に残っていると、オフライン・モードで操作したときにロール名が管理ツールに表示されます。
処置
管理者は、オンライン・モードでOracle BI管理ツールの整合性チェッカを実行し、削除されたアプリケーション・ロール名に対するリポジトリ内の参照を削除します。
動作
ポリシー・ストアでアプリケーション・ロールの名前が変更された後、新しい名前がオフライン・モードの管理ツールに表示されません。ただし、新しい名前は、プレゼンテーション・サービスと管理ツールのリストにただちに表示されます。ユーザーには、引き続き、ロールによって付与されている権限が表示されます。
原因
元のロール名への参照がリポジトリ内に残っていると、オフライン・モードで操作したときにロール名が管理ツールに表示されます。
処置
管理者はBIサーバーを再起動するか、管理ツールの整合性チェッカを実行し、リポジトリを更新して新しいロール名を反映します。
動作
通信エラー。プロセス(クライアント)が別のプロセス(サーバー)と通信できません。
処置
SSL通信問題が存在すると、通常はクライアントが通信エラーを表示します。エラーには「client refused」(クライアントが拒否されました)とだけ示され、それ以外の情報は示されません。サーバーのログ・ファイルで、対応する障害エラー・メッセージを調べてください。このログ・ファイルには通常、問題の詳細が記述されています。
動作
BIDomain MBean (oracle.biee.admin:type=BIDomain, group=Service)を使用してコミット操作を実行した後、次のエラー・メッセージが表示されます。
SEVERE: Element Type: DOMAIN, Element Id: null, Operation Result: VALIDATION_FAILED, Detail Message: SSL must be enabled on AdminServer before enabling on BI system; not set on server: AdminServer
処置
このメッセージは、Oracle WebLogic Server管理対象サーバーで、前提条件にもなっているSSLの有効化が行われていないことを示しています。詳細は、第5.2.2.5項「HTTPの無効化」を参照してください。
カスタムSSO環境を設定する際に問題が発生する場合があります。たとえば、Windowsネイティブ認証とActive DirectoryでSSOを設定する場合やSiteMinderでSSOを設定する場合などがあります。
詳細は、次のMy Oracle Supportの記事ID 1287479.1および記事ID 1274953.1を参照してください。
Oracle BIのRSSフィードを読み取ろうとすると、SSOを使用したRSSリーダーの認証にトラブルが発生する場合があります。これは、Oracle SSOがそのRSSリーダーのリクエストをインターセプトする方法が原因です。この場合、Oracleはフィード・リーダー・アプリケーションを制御できません。ただし、SSOがサポート可能なシナリオが2つあります。
FirefoxのWizz RSSのようなブラウザベースのRSSリーダーを使用し、Firefoxを使用して、フィードにアクセスする前にSSOにログインします。
Internet Explorerを使用するRSSリーダーでWindowsの統合認証を使用します。
FirefoxはWindows認証をサポートできるため、この場合でも使用可能です。
環境のデプロイメント戦略を検証する必要があります。
