C トラブルシューティング
次の各トピックでは、トラブルシューティングのヒントについて説明します。
C.1 Oracle Access Managementトラブルシューティングの概要
Oracle Access Managementはビジネス・クリティカルなシステムで、停止時間によりビジネスに高いコストが生じる可能性があります。システム分析の目標は、迅速な問題の切り分けおよび原因の修正です。これにはシステムの全体像と、使用中のシステムを監視し、コンポーネントをさらに大きな視野と関連付けるツールが必要です。
管理者による迅速な診断を支援するために、この項では次の項目を提供します。
C.1.1 システム分析と問題のシナリオ
システム分析には、製品の動作、失敗の可能性、起こりうる例、およびその影響または観測可能な問題の理解が含まれます。
システムの問題は次の基本的な2つのカテゴリに分類できます。
-
連鎖的で致命的な障害
-
漸進的なパフォーマンスの低下
連鎖的で致命的な障害は次のことが原因で発生する可能性があります。
-
LDAPサーバーがロードされて応答しない
-
朝のピーク負荷の開始
-
WebgateがプライマリOAMサーバーにリクエストを送信
-
Webgateリクエストがタイムアウトで、WebgateがセカンダリOAMサーバーに再試行
漸進的パフォーマンスの低下は、次のように、時間の経過にともなって発生する可能性があります。
-
OAMのサイズが変更され、10,000ユーザーおよび500グループ用にロールアウトされた
-
1年の間に、ユーザーおよびグループの数が大幅に増加(たとえば50,000ユーザーおよび250グループ)
最も一般的に発生する問題については、次の各項を参照してください。
C.1.2 LDAPサーバーまたはアイデンティティ・ストアの問題
この項では、次の問題の症状、考えられる原因および診断ステップを提供します。
症状: 動作が遅い
-
ユーザーの操作性の悪化
-
エージェントのタイムアウトによる複数回の再試行
原因
-
OAM以外の負荷がOAMの操作に影響を与える可能性がある
-
ピーク負荷の漸進的増加によるキャパシティの問題
症状: サービスがすべて失われる
サービスがすべて失われる
原因
-
すべてのLDAPサーバーの停止
-
ロード・バランサの古い接続のタイムアウト
診断
-
LDAPサーバーを停止します。
-
ブラウザを再起動します。
-
保護されたサイトにアクセスしてみます。
-
「コンポーネント・イベント・メッセージのロギング」(あるいは、「Fusion Middleware Controlによるパフォーマンスおよびログのモニタリング」)の説明に従って、OAMサーバーのログ・ファイルでエラーを確認します。
-
Oracle Access Managementコンソールにアクセスしてみます。
-
WebLogic AdminServerログ・ファイルでエラーを確認します。
-
LDAPサーバーを再度立ち上げます。
-
保護されたアプリケーションに再度アクセスしてみます。
-
Oracle Access Managementコンソールに再度アクセスしてみます。
-
環境に応じた要件に基づき問題を修正します。
C.1.3 OAMサーバーまたはホストの問題
この項では、次の問題の症状、考えられる原因および診断ステップを提供します。
症状: キャパシティの問題
-
動作の遅さによるユーザーの操作性の悪化
-
エージェントのタイムアウトと再試行のために余分な負荷が発生している
原因
-
CPUサイクル
-
メモリーの問題
症状: ホスト上の他のサービスとの衝突
-
動作の遅さによるユーザーの操作性の悪化
-
エージェントのタイムアウトと再試行のために余分な負荷が発生している
原因
-
CPUサイクルの競合
-
メモリーの競合
-
ファイル・システムが満杯
診断: OAMサーバー
-
OAMサーバーを停止します
-
Webgateにアクセスしてみます。
-
OAMサーバーを立上げます
-
アクセス・テスターを使用し、「アクセス・テスターを使用した接続性およびポリシーの検証」の説明に従って認証および認可をテストします。
-
アクセス・テスターを使用しながら、'top'を使用してOAMサーバーのCPUおよびメモリー消費を計算します
-
OAMサーバーのスレッド・ダンプを取得します。
診断: AdminServer
-
AdminServerを停止します。
-
ブラウザを再起動し、処理の必要がある保護されたリソースにアクセスします。
-
「OAMエージェントの登録および管理」の説明に従って、リモート登録を使用して新しいパートナを登録します(これは失敗します)。
-
OAM AdminServerを起動します。
C.1.4 エージェント側の構成およびロードの問題
この項では、エージェントとサーバー間の時間の問題の症状、考えられる原因および診断ステップを提供します。
症状
エージェントとサーバーでクロック時間が異なる
-
エージェントおよびサーバーの両方で高いCPU使用率
-
ユーザーにシステム停止が発生
原因
-
エージェントはサーバーが発行したトークンが無効だと判断
-
エージェントがトークンの再発行のためサーバーへ戻し続けている
診断
-
保護されたリソースにアクセスします。
-
確認: クライアント・アクセスがハングしています。
-
確認: エージェントおよびサーバーで高いCPU使用率。
C.1.5 実行時データベース(監査またはセッション・データ)の問題
監査およびセッション機能はどちらも書込み集中型の処理です。ポリシー・データベースは読取り集中型のサービスに対してチューニングできます。
症状
-
監査およびセッション処理が遅い
-
OAMサーバー上のファイル・システムが、まだデータベースに書き込まれていない監査データで満杯
-
クラスタ内のいずれかのサーバーの障害発生時にメモリー内セッションが消失
原因
-
データベースが書込み集中型の処理向けにチューニングされていない
-
データベースがメンテナンスにより使用できない
-
データベースの容量の問題
診断
-
監査およびセッション・データを格納するのに使用するデータベースを停止します。
-
保護されたリソースにアクセスしてみます。
-
「コンポーネント・イベント・メッセージのロギング」(あるいは、「Fusion Middleware Controlによるパフォーマンスおよびログのモニタリング」)の説明に従って、OAMサーバーのログ・ファイルでエラーおよび警告のメッセージを確認します。
C.1.6 変更の伝播またはアクティブ化の問題
この項では、次の問題の症状、考えられる原因および診断ステップを提供します。
症状
-
ポリシーへの変更がすぐに有効にならない
-
システム構成への変更がすぐに有効にならない
原因
-
サーバーがランタイム・リクエストの処理でビジー状態(CPUの競合)
診断
「ポリシー・ストア・データベースの問題」を参照してください。
C.2 その他のトラブルシューティング情報に関するMy Oracle Support
Oracle Fusion Middlewareの問題の解決にMy Oracle Support (以前のMetaLink)を使用できます。My Oracle Supportには、次のような有用なトラブルシューティング・リソースが含まれています。
-
ナレッジ・ベース記事
-
コミュニティ・フォーラムとディスカッション
-
パッチとアップグレード
-
動作保証情報
ノート:
My Oracle Supportを使用してサービス・リクエストを記録することもできます。
My Oracle Supportには、https://support.oracle.com
からアクセスできます。
C.3 データベースからセッションおよびプラグインをリストするSQL問合せ
セッションとプラグインはデータベースに格納されます。リストするには、SQL問合せを使用します。
セッションとプラグインのリスト | SQL問合せ |
---|---|
データベースからのセッションのリスト | SELECT * FROM AM_SESSION |
データベースからのプラグインのリスト | SELECT * FROM OAM_FILE_ARTIFACTS WHERE path='/oam/plugins/' |
C.4 管理者のロックアウト
問題点
管理者がOracle Access Managementコンソールへ正常にログインできない。次のメッセージが表示されます。
Manually Change Identity Store Settings at OPSS Level and configure the IDMDOmainAgent.
原因
Access Managerでは、IAM Suiteアプリケーション・ドメインの認証情報すなわちOAM管理コンソール・ポリシーに基づき、Oracle Access Managementコンソールを保護します。このポリシーは、フォーム・チャレンジ・メソッドおよびLDAP認証モジュールを使用する単一の認証スキーム(OAMAdminコンソール・スキーム)に基づいています。LDAP認証モジュールは、システム・ストアとして指定されたユーザー・アイデンティティ・ストアをポイントしている必要があります。
たとえば、開発モードを設定して、(すべての管理者、ユーザーおよびその中で定義されるグループが)Oracle Internet Directoryを使用できるようにすれば、LDAP認証モジュールはこのユーザー・アイデンティティ・ストアをポイントし、システム・ストアとして指定することになります。
解決方法
-
ユーザー・アイデンティティを、指定されたシステム・ストアと埋込みLDAPストアの両方に挿入します。
-
Oracle Access Managementコンソールにログインします。
-
「ネイティブ認証モジュールの管理」の説明に従い、指定されたシステム・ストアにより使用される
LDAP
認証モジュールを構成して、適切なユーザー・アイデンティティ・ストアをポイントするようにします。
C.5 PS1からPS2へのアップグレード後のフェデレーション構成中に発生するエラー
IAM Suiteは、OAM 11.1.2がインストールされているときに作成されるOOTBアプリケーション・ドメインです。このアプリケーション・ドメインはインストール後に名前を変更することもできますが、OAMを11.1.2.2.0にアップグレードするときにはIAM Suiteに名前を戻す必要があります。名前が変更されていると、WLS管理ログに次のエラーが表示されてアップグレード操作が失敗します。
java.lang.NullPointerException at oracle.security.am.common.policy.tools.upgrade.r2ps2.bootstrap.FedR2PS2Bootstr apHandler.createFedAuthnResource(FedR2PS2BootstrapHandler.java:505) at oracle.security.am.common.policy.tools.upgrade.r2ps2.bootstrap.FedR2PS2Bootstr apHandler.doBootstrap(FedR2PS2BootstrapHandler.java:151) at oracle.security.am.common.policy.tools.upgrade.r2ps2.bootstrap.R2PS2BootstrapH elper.doBootstrap(R2PS2BootstrapHelper.java:70) at oracle.security.am.common.policy.tools.PolicyComponentLifecycle.initialize(Pol . icyComponentLifecycle.java:99)
IAM Suiteアプリケーション・ドメインの名前が変更されている場合、アップグレード・プロセスの開始前に元のIAM Suiteの名前に戻しておく必要があります。アップグレード後、名前をカスタム名に変更しなおすことができます。
C.6 Oracle Access Management Consoleの状態が矛盾している
問題点
複数の管理者が更新を同時に実行すると、Oracle Access Managementコンソールのシステム構成が一貫性のない状態になります。
原因
構成の同時更新はサポートされていません。
解決方法
どのようなときでも、1人の管理者のみがシステム構成を変更できるようにする必要があります。
C.7 WebLogic Serverのインストール時に不正なJavaパスが指定されると管理サーバーが起動しない
WebLogic Server (wls1035_generic)インストールが、32ビットJava (jdk1.6.0_24)が搭載されたWindows 64ビットでは正常に行われます。setup.exeを実行するとき、インストール・シールドが正常に起動するように64ビットJava (jdk1.6.0_23)のパスを指定する必要があります。
32ビットのJava (jdk1.6.0_24)パスを指定すると、インストール・シールドは起動しません。ただし、config.cmdを\Middleware\Oracle_IDM1\common\binから実行すると、デフォルトでは32ビットJava (jdk1.6.0_24)パスが使用されます。しかしAccess Managerのインストールが正常に行われた後で、AdminServerを起動できません。
Windowsホストでは、32ビットのJAVA_HOME (c:\Program files (x86)\java\jdkxxx)はstartWeblogic.cmdによって正しく処理されません。SUN_JAVA_HOMEを短い名前のパス(c:\progra~2\java\jdkxxxx)を使用するよう置き換えることをお薦めします。
Windowsの場合、"dir /X"を実行することにより、短い名前を表示できます。
また、短い名前を使用してWindowsのコマンド・シェル変数JAVA_HOMEをパスに設定し、この中でstartWeblogic.cmdを実行することもできます。たとえば:
>set JAVA_HOME=c:\progra~2\java\jdkXXX
>startweblogic.cmd
C.8 エージェント名が一意ではない
各エージェント登録を一意に識別する名前がお薦めされます。ただし、
-
エージェント名が存在する場合、エラーは発生せず登録は失敗しません。かわりに、まだ使用されていなければAccess Managerによってポリシーが作成されます。
-
ホスト識別子が存在する場合、一意のエージェント・ベースURLが既存のホスト識別子に追加され、登録が先に進みます。
C.9 アプリケーションURLの要件
URLで使用可能な文字数は、ブラウザのバージョンに基づいています。
cookieサイズに影響するメイン属性が、リクエストされたURLの長さです。ADFアプリケーション用のシステム生成URLの一部はかなり長く、cookieが最大サイズを超える原因になる可能性があります。
別の事例としては、カスタム・プラグインを使用する場合です。プラグインが認証コンテキストに追加するデータがCookieで永続され、Cookieサイズを大きくする原因となる可能性があります。
複数の不正パスワードによる攻撃も、より多くのコンテキスト・データをCookieに追加する可能性があります。前述の事例が組み合さることで、Cookieサイズは急速に大きくなる可能性があります。
解決方法
Access Managerおよびブラウザが処理できる長さを超えたURLを、アプリケーションで使用しないようにしてください。
Cookieキャッシュ・モードは、デフォルトのCOOKIE
モードからFORM
モードへ変更できます。FORM
モードは、長いURLで機能します。動作における唯一の違いは、プログラム認証用であり、OAM_REQ
パラメータ・セットをフォームに渡すためには適切なフォームの提出が必要になるということです。カスタム資格証明収集ページで、フォームと一緒に提出されるOAM_REQ
パラメータを処理する必要があります。
また、長いURLをサポートするには、WLSTコマンドのconfigRequestCacheType
を使用して、serverRequestCacheType
パラメータをFORM
に設定します。ECCまたはDCC構成に対する影響の詳細は、表22-22のTempStateMode
を参照してください
C.10 認証の問題
この項では、次の情報について説明します。
C.10.1 匿名認証の問題
問題点
チャレンジ・リダイレクトURLはNULLでもかまいませんが、チャレンジ・メソッドにNULLは使用できません。
匿名認証スキームを開いて編集し、チャレンジ・メソッドの値を追加せずに「適用」をクリックすると、次のエラーが表示されることがあります。
Messages for this page are listed below. * Challenge Method You must make at least one selection. * Challenge Redirect You must enter a value.
解決方法
匿名認証スキームを編集するときは必ずチャレンジ・メソッドとチャレンジ・リダイレクトの両方を含める必要があります。
C.10.2 X.509スキームおよびSSLハンドシェイクの問題
Access Manager X.509認証スキームは、ユーザーのX.509証明書をOAMサーバーへ配信するSSLに基づきます。X.509認証スキームには、チャレンジ・メソッドの値としてX509プラグインが必要です(認証モジュールではありません)。
問題点
ユーザーがブラウザで証明書を選択しいるのに、OAMサーバーの証明書が有効ではない。
解決方法
具体的な解決策は、SSLハンドシェイク障害の理由により決まります。次に例を示します。
-
WebLogic Serverで切断するSSL接続のデバッグを行うには、
http://docs.oracle.com/cd/E12840_01/wls/docs103/secmanage/ssl.html
を参照してください。 -
OHSサーバーで切断するSSL接続のデバッグを行うには、
http://docs.oracle.com/cd/E12839_01/web.1111/e10144/under_mods.htm#i1007687
を参照してください。
SSLハンドシェイク障害の理由およびSSLハンドシェイクを終了させているピアを特定してください。解決策は次のカテゴリに類別されます。
C.10.2.1 構成の問題
「デフォルトでSSL実装のWebLogic ServerとのSSL接続」を確立させるのに問題がある場合は、WLS 10.3.3以降でサポートされているJSSE SSL実装の使用へ切り替えてください。
次のリストはその他の発生する可能性がある構成の問題を特定しています。
-
OHSプラグインの構成に間違いがあるため、ユーザー資格証明がWebLogicサーバーに送信されない。
-
暗号スイート: この構成が、ユーザー証明書と一致していない。
-
スマート・カード: ブラウザがスマートカード・リーダーと通信していない。
-
PKCS#11 (またはハードウエア暗号化): デバイスが作動していることを確認してください。
C.10.2.2 信頼性の問題
証明書内のサーバー名がホスト名に一致していません。この照合は構成により無効化できます。
サーバーが、トラスト・ストアにあるユーザー証明書パス上にCA証明書を実装していません。
C.10.3 X.509保護リソースおよびシングル・サインオフ
問題点
シングル・サインオフが、X.509認証でリソースにアクセスした後で機能しないことがあります。ユーザーがログアウトURLでログアウトして、同じブラウザでリソースにアクセスしようとすると、認証が行われないことがあります。かわりに、ユーザーは証明書ポップアップを使用した認証を求められます。
これは、いずれのエージェント・タイプでも起こる可能性があります。
解決方法
ログアウトURLを実行した後で、ブラウザで「SSL状態のクリア」を次のようにクリックしてから、X.509保護リソースにアクセスします。
ブラウザ・ウィンドウで、「ツール」メニューを開いて「インターネット オプション」をクリックし、「コンテンツ」、「SSL状態のクリア」の順に選択します。
C.10.4 X509CredentialExtractor証明書検証エラー
問題点
クライアント証明書認証は、WebLogic Serverと.oamkeystore keystoresにrootとsub CA証明書をインポートすると、標準X509認証モジュールを使用して正常に作動します。
しかし、カスタムX509プラグイン認証モジュールおよびWebLogic Serverと.oamkeystore keystoresにインポートされたrootとsub CA証明書を使用する場合、証明書検証エラーが発生する可能性があります。
解決方法
カスタムX509プラグイン認証モジュールと一緒に、rootおよびsub CA証明書を、DOMAIN_HOME/config/fmwconfig/amtruststore because the X509CredentialExtractor plug-in loads certificates from this locationに追加する必要があります。X509CredentialExtractorプラグインが、この保管場所から証明書をロードするからです。
C.11 認可の問題
この項では次のトピックを記載しています:
C.11.1 認可条件のエラー
IPv4範囲または一時的条件を作成または編集するたびに、エラーがoam-server診断ログ・ファイルに記録されます。
.... refreshPolicy specified but no response collector supplied
原因
これは誤ってERRORレベルでログに記録されるメッセージです。
解決方法
メッセージの正しいレベルはINFOです。
C.11.2 LDAP検索フィルタ・テストの結果
多すぎる結果が戻されると、次が示されます。
解決方法
-
「OK」をクリックします。
-
「テスト・フィルタ」をクリックして、新しいテストを開始します。
-
検索フィルタの編集ダイアログで変更します。
-
テスト結果を照合します。
C.12 認証LDAPまたはデータベースにアクセスできない
認証に使用されるLDAPディレクトリ(またはポリシー・ストアとして定義されているデータベース)が停止またはアクセスできない場合、高負荷またはタイムアウトが原因の可能性があります。このLDAPまたはポリシー・ストアを使用する保護されたリソースへアクセスしようとするとメッセージが表示されます。
解決方法
-
登録されたLDAPまたはデータベースを手動で停止します。
-
登録されたLDAPまたはデータベースを再起動します。
C.13 構成が見つからない
この項では、次のエラーと、解決策または回避策を示します。
C.13.1 ...の構成が存在しない
WebLogic ServerドメインのOAMサーバーを構成する前に、OAMサーバーの構成の詳細を作成および適用しようとすると、次のメッセージが表示されます。
Configuration does not exist for path /DeployedComponent/Server/oamServer/Instance/test For more information, please see the server's error log for an entry beginning with: Server Exception during PPR, #6.
この問題を解決するには、Access Managerで構成を登録する前にWebLogic ServerドメインにOAMサーバーを構成する必要があります。
C.15 部分トリガーが見つからない
管理サーバー出力では、(ポリシー構成ノードまたはホスト識別子ノードをクリックするたびに、また、ナビゲーション・ツリーの他のノードをクリックした際に)「部分トリガーが見つからない」というエラーが表示されることがあります。これは機能を妨げるものではありません。
C.16 サービス拒否攻撃
サービス拒否攻撃(DoS攻撃)または分散型サービス拒否攻撃(DDoS攻撃)は、コンピュータのリソースを対象ユーザーが利用できないようにする試みです。よくある1つの攻撃方法では、標的となるマシンを外部からの通信要求で溢れさせてしまいます。これにより、攻撃を受けたマシンは正規のトラフィックに応答できなくなるか、あるいは応答が遅くなり、事実上利用不可能になってしまいます。
サービス拒否攻撃は認証済リクエストと非認証リクエストに分類され、さらに次のように分類されます。
-
NAPリクエスト
-
HTTPリクエスト
認証済NAPリクエスト
認証済NAPリクエストの場合、OAMサーバーはセッション内でカウンタを使用して、再試行数を制限します。それでもユーザーはエラー・ページにリダイレクトされた後に、同じことを繰り返すことがあります。これによりサーバー・リソースが不必要に消費されて、OAMサーバーが過負荷状態になる可能性があります。
ノート:
OAMサーバーが認証済NAPリクエストで過負荷になるのを防ぐため、関連するWebLogic過負荷構成設定を使用します。これにより、サーバーは負荷でクラッシュしないようになります。しかし、これでは正当なユーザーが悪意のあるユーザーと区別されません。
認証済HTTPリクエスト
大量のHTTP認証済リクエストに対しては、WebLogic過負荷構成をmod_securityモジュール設定と組み合せることによって対処できます。
非認証NAPリクエスト
非認証NAPリクエストは、WebLogic MDBプール制限によって対処します。これにより、OAMサーバーに転送されるNAPリクエスト数が制限されます。
繰り返しますが、これでは正当なユーザーが悪意のあるユーザーと区別されません。
非認証HTTPリクエスト
OAMサーバーのフロントエンドとなるOHSサーバーにmod_securityモジュールを構成することにより、悪意のあるリクエスト(非認証HTTPリクエスト)を拒否できます。
詳細は、次を参照してください。
C.16.1 OAMサーバーを負荷でクラッシュしないようにする
OAMサーバーに対するリクエスト数が処理可能な量を予想外に上回ると、OAMサーバーはクラッシュすることがあります。
OAMサーバーに対するリクエストの数を制限するには:
-
WebLogicコンソールで、Message Driven Beanプールを使用してOAMサーバーに対するNAPリクエスト数を制限します。
MDBeanはNAPリクエストをサーバー・キューから取り出して、サーバーへ処理のために送ります。MDBeanインスタンスの数を制限することにより、任意の時点に処理されるリクエスト数が制限されます。
-
WebLogicコンソールで、(OAMサーバーに対するリクエスト数を制限するために)使用できるWebLogicワーカー・スレッドの数を構成します。
MDBeanはNAPリクエストをサーバー・キューから取り出して、サーバーへ処理のために送ります。MDBeanインスタンスの数を制限することにより、任意の時点に処理されるリクエスト数が制限されます。
-
WebLogicコンソールで、(OAMサーバーに対するリクエスト数を制限するために)使用できるWebLogicワーカー・スレッドの数を構成します。
『Oracle Fusion Middleware Oracle WebLogic Serverパフォーマンスおよびチューニング』のスレッド管理に関するトピックを参照してください。
-
WebLogicコンソールで、『Oracle Fusion Middleware Oracle WebLogic Serverパフォーマンスおよびチューニング』の次のトピックに従い、最大着信リクエスト・サイズ、完了メッセージ・タイムアウトを指定し、ファイル記述子の数を設定して、パフォーマンスを最適化します。
-
メッセージ・サイズのチューニング
-
完了メッセージ・タイムアウトのチューニング
-
ファイル記述子数のチューニング
-
C.16.2 ネットワーク遅延に対する補償
WebgateがOAMサーバーに認証リクエストを送信する場合を考えます。資格証明が正常に収集および検証された後で、OAMサーバーはセッションおよび関連Cookie (OAM_ID、ObSSOCookie)を作成します。ところがネットワーク遅延のために、OAMサーバーがそれをWebgateへ送信し、それによりWebgateが認証リクエストをOAMサーバーへ再送信する時間により、レスポンスはタイムアウトしてしまいます。OAMサーバーはセッションを認識し、それからObSSOCookieを再作成して、レスポンスをエージェントへ送信します。ネットワーク遅延がまだ続いていると、このサイクルはサーバーとWebgateの間で無限に繰り返します。ユーザーは再度ログインするように求められことがなく、エラー・メッセージも表示されません。
関連項目:
-
『パフォーマンスおよびチューニング・ガイド』の「ネットワーク待機時間の制御」。
C.16.3 OAMサーバーを大量のHTTPリクエストから守る
ModSecurityは、既存のApacheベースのWebサーバー・インフラストラクチャの一部分としてデプロイできるWebアプリケーション・ファイアウォール(WAF)です。このモジュールを、OAMサーバーのフロントエンドとなるOHSサーバーにプラグインできます。こうすると、Mod_securityモジュールがOAMサーバーをサービス拒否攻撃から守ります。
柔軟なルール・エンジンがModSecurityの中心になります。HTTPトランザクション・データと連携する特殊なプログラミング言語である、ModSecurityルール言語を実装しています。新しい構成ディレクティブはhttpd-guardianスクリプトを使用して、サービス拒否(DoS)攻撃をモニターします。デフォルトでは、httpd-guardianは1分間で120個以上、または5分間で360個以上のリクエストを送信するクライアントから防御します。
関連項目:
http://www.modsecurity.org/documentation/modsecurity-apache/2.5.12/html-multipage/configuration-directives.html#N10689
大量のHTTPリクエストから防御する手順
-
mod_securityモジュールを、OAMサーバーのフロントエンドとなるOHSサーバーに追加します。
-
OHSサーバーの構成で、サービス拒否(DoS)攻撃をモニターするhttpd-guardianスクリプトを使用するよう構成ディレクティブを設定します。
構文:
SecGuardianLog |/path/to/httpd-guardian
例:
SecGuardianLog |/usr/local/apache/bin/httpd-guardian
C.17 初期化およびパフォーマンスの問題の診断
この項には次のトピックが含まれます:
C.17.1 初期化の問題の診断
問題点
OAMサーバーが起動しない。
解決方法
-
OAMサーバーをホストしているコンピュータ上のOAMサーバー・ログ・ファイルを探して確認します。
DOMAIN_HOME/servers/SERVER-NAME/logs/SERVER-NAME-diagnostics.log
-
「コンポーネント・イベント・メッセージのロギング」の説明に従って、このコンピュータのロギングを有効にします。
DOMAIN_HOME/config/fmwconfig/servers/SERVER-NAME/logging.xml
-
OAMサーバーを再起動し、動作を監視し、必要ならばログ・ファイルを再度確認します。
C.17.2 パフォーマンスの問題の診断
問題点
OAMサーバーのモニタリングにより、認証中の待機時間の著しいスパイクが明らかになります。
解決方法
-
OAMサーバーをホストしているコンピュータ上のOAMサーバー・ログ・ファイルを探して確認します。
DOMAIN_HOME/servers/SERVER-NAME/logs/SERVER-NAME-diagnostics.log
-
「コンポーネント・イベント・メッセージのロギング」の説明に従って、このコンピュータのロギングを有効にします。
DOMAIN_HOME/config/fmwconfig/servers/SERVER-NAME/logging.xml
-
OAMサーバーを再起動し、動作を監視し、必要ならばログ・ファイルを再度確認します。
C.17.3 メモリー不足の問題のヒープ・ダンプを使用した診断
問題点
解析および評価のすべての式のデバッグにより、メモリーの増加が原因で、重大なパフォーマンスの負荷が20時間以内に発生し、メモリー不足で50時間以内実行していました。
構成: 2GBヒープ、3分のセッション・タイムアウト、jdbc接続をmin=32 max=200に調整、jdbc接続アイドル・タイムアウト無効、jboプール・サイズmin = 10 & max=150
解決方法
比較用のヒープ・ダンプを生成するには、次のコマンド行ツールjmap (Sun jvm用)、またはJAVA_HOME/binの下にあるjrcmd (jrockit jvm用)を使用します。
jrockit jvm用
jrcmd pid <command> /jrockit_160_14_R27.6.5-32/bin/jrcmd 16775 heap_diagnostics /jrockit_160_14_R27.6.5-32/bin/jrcmd 16775 print_threads /jrockit_160_14_R27.6.5-32/bin/jrcmd 16775 jrarecording ....
Sun jvm用
jmap -histo <pid> jmap -dump:live,format=b,file=heap.bin <pid>
C.18 IIS WebサーバーでのWindowsのチャレンジ/レスポンス認証の無効化
Windows上のIIS Webサーバーは、IISがインストールされたときのデフォルトであるチャレンジ/レスポンス認証をサポートします。これにより、ユーザーはIISからリソースをリクエストされ、Access Managerの認証と競合する可能性があるときにドメイン・ログインを使用できます。
たとえば、Internet Explorer (IE)ブラウザから、Access ManagerによりBasic認証スキームで保護されたIIS上のリソースへの最初のリクエスト時に、IEはドメインとAccess Managerにより提供されたユーザー名よびパスワード・ログインを要求するログイン・ダイアログ・ボックスを表示します。
Windowsのチャレンジ/レスポンス認証を無効にする手順
-
IIS用のMicrosoft Management Consoleを起動します。
-
左側のパネルで「Internet Information Server」の下の「Web Server Host」を選択します。
-
右クリックし、「プロパティ」を選択します。
-
スクロール・ダウンし、「Edit the Master Properties for WWW Service」を選択します。
-
「Directory Security」タブを選択します。
-
「Edit Anonymous Access and Authentication Control」を選択します。
-
使用しているプラットフォームに応じたステップを完了します。
Windows 2000: 「Integrate Windows Authentication」チェック・ボックスをクリアします。
-
「OK」をクリックします。
-
「Windows IIS properties」画面で「OK」をクリックします。
-
Microsoft Management Consoleを閉じます。
C.19 UserIdentityStore1タイプを変更すると管理者がロックアウトされる可能性がある
システム・ストアとして指定されているアイデンティティ・ストアを編集し、ストア・タイプを変更したり(たとえば、組込みLDAPからOIDへ)接続URLを変更しないようにする必要があります。
編集でのストア・タイプ変更を禁止するシステム・ストアとして指定されているアイデンティティ・ストアを変更する必要がある場合は、新規アイデンティティ・ストアを作成してから、この登録を編集してシステム・ストアとしてマークすることをお薦めします。
C.20 IIS Webサーバーの問題
C.20.1 フォーム認証またはパススルーが動作しない
フォーム認証またはパススルー機能が動作しない場合、問題はWebgateプロファイルの"UseWebGateExtForPassthrough
"パラメータがtrueに設定されていないか、webgate.dllがIISのWild Card Application Mappingのように構成されていないかのいずれかである可能性があります。このような場合、Webgateはフォームベース認証により保護されたリソースに対するHTTP "POST"リクエストの認証または認可を実行しません。
解決方法
WebgateプロファイルのUseWebGateExtForPassthrough
パラメータを値true
で構成し、webgate.dllをWild Card Application Mappingのように構成します。
C.20.2 IISおよび一般Webコンポーネントのガイドライン
Access Manager WebgatesとIIS Webサーバーのインストール時の一般的なガイドラインを次に示します。
アカウント権限: Access Managerのインストールを実行するアカウントには管理者権限が必要です。OAMサービスを実行するのに使用するユーザー・アカウントには"サービスとしてログオンする"権限が必要で、これは管理ツール、ローカル・ポリシー、ローカル・ポリシー、「ユーザー権限の割当て」、サービスとしてログオンを選択して設定できます。
IIS 6 Webサーバー: WWWサービスをIIS 5.0分離モードで実行する必要があります。これはISAPI postgateフィルタで必要です。Access Managerのインストール中に、これは通常自動的に設定されます。されなかった場合、デフォルトのWebサイトに手動で設定する必要があります。
IIS 7 Webサーバー用Webgate: フォームベース認証をパススルー機能を有効にしないで使用するには(たとえば、"access/oblix/apps/webgate/bin/webgate.dll"はフォームベース認証スキームのアクションです)、エントリ"<add segment="bin"/>"がapplicationHost.configファイルに存在しないようにします。エントリが存在する場合、削除する必要があります。このエントリを確認するには、次のステップを使用します。
-
Windows\System32\inetsrv\configに移動してファイルapplicationHost.configを開きます
-
<
hiddenSegments
>モジュールを検索し、存在する場合はエントリ<add segment="bin"/>
を削除します。
Webgate: IIS Webgateのインストール時に、NTFSをサポートするファイル・システムにインストールする場合にのみ、IIS Webgateでは、/accessディレクトリに対する様々な権限の設定が必要です。たとえば、FAT32ファイル・システムを実行しているWindows 2000コンピュータで、簡易または証明書モードでISAPI Webgateをインストールすると仮定します。最後のインストール・パネルには、FAT32ファイル・システム上で設定できない様々な権限を手動で設定するための指示が表示されます。この場合、これらの指示を無視できます。
C.20.3 IIS v6 Webサーバーの問題
IIS 6 Webサーバーでのみ、WWWサービスをIIS 5.0分離モードで実行する必要があり、これはISAPI postgateフィルタの要件です。この例は、32ビットWindowsオペレーティング・システムで実行している32ビットのAccess Managerバイナリがある場合に動作します。しかし、IISが32ビット・モードで実行している64ビットWindowsマシンで32ビットpostgate.dllを実行しようとすると問題が発生します。
問題点
IISがIIS5.0分離モードで実行している場合、次のメッセージが表示されます。
ISAPIフィルタ'C:\webgate\access\oblix\apps\webgate\bin\webgate.dll'は構成の問題が原因でロードできませんでした。
原因
現在の構成はAMD 64ビット・プロセッサ・アーキテクチャ用に作成されたイメージのロードのみをサポートします。データ・フィールドにはエラー番号が含まれます。
解決方法
この問題についてさらに学習するには、この種類のプロセッサ・アーキテクチャの不一致のエラーのトラブルシューティング方法も含め、次のWebサイトを参照してください。
http://go.microsoft.com/fwlink/?LinkId=29349
詳細は、次のヘルプとサポート・センターを参照してください。
http://go.microsoft.com/fwlink/events.asp
問題点
IIS5は64ビットとして存在することはありません。しかし、64ビットWindowsコンピュータ上でのIIS v6のIIS5互換モードだけは64ビットとして実行します。
原因
次のURLで参照できるドキュメントで説明されているとおり、64ビットWindowsでIIS5分離モード32ビットを実行することはアーキテクチャ上不可能です。
http://www.microsoft.com/communities/newsgroups/en-us/default.aspx?dg=microsoft.pu blic.inetserver.iis&tid=5dd07102-8896-40cc-86cb-809060fa9426&cat=en_US_ 02ceb021-bb43-476d-8f8f-6c00a363ccf5&lang=en&cr=US&p=1
http://blogs.msdn.com/david.wang/archive/2005/12/14/HOWTO-Diagnose-one-cause-of-W3 SVC-failing-to-start-with-Win32-Error-193-on-64bit-Windows.aspx
C.20.4 ページが表示されないエラー
パススルー機能用にWebgateを構成した後に表示される、ページが表示できないというエラーは、構成の問題を示しています。
解決策: WebgateプロファイルのUseWebGateExtForPassthrough
パラメータを値true
で構成し、webgate.dllをWild Card Application Mappingのように構成します。
C.20.5 IIS DLLの削除および再インストール
Access ManagerがMicrosoftのIIS Webサーバーで実行している場合、Access Managerを再インストールするときには次のISAPIフィルタを手動でアンインストールおよび再インストールする必要があります。
-
tranfilter.dll
-
oblixlock.dll
(Webgateがインストール済の場合) -
webgate.dll
(Webgateがインストール済の場合)
IIS DLLを削除および再インストールする手順
-
Access Managerをアンインストールします。
-
前述のDLLを手動でアンインストールします。
-
Access Manager.Active Directoryを再インストールします。
-
DLLを手動で再インストールします。
ノート:
これらのフィルタは使用しているIISのバージョンにより異なる可能性があります。これらのフィルタが存在しないまたは別のものが存在する場合、存在するフィルタを削除する必要があるかどうかはOracleにお問い合せください。
C.21 インポートおよびファイル・アップロードの制限
UPLOAD_MAX_MEMORYとUPLOAD_MAX_DISK_SPACEは、50MBに設定されています。50MBを超えるアップロードに対応する場合は、これらの設定をweb.xmlで変更します。
メモリーおよびディスク領域のパラメータを変更するには
-
WEB-INF/lib/ngam-ui.war内で、web.xmlを探します。
-
ファイルを編集して、UPLOAD_MAX_MEMORYを変更します。たとえば:
<context-param> <param-name>org.apache.myfaces.trinidad.UPLOAD_MAX_MEMORY</param-name> <param-value>104857600</param-value> <context-param>
-
ファイルを編集して、UPLOAD_MAX_DISK_SPACEを変更します。たとえば:
<context-param> <param-name>org.apache.myfaces.trinidad.UPLOAD_MAX_DISK_SPACE</param-name> <param-value>104857600</param-value> <context-param>
-
ファイルを保存します。
-
OAMサーバーを再起動します。
関連項目:
Oracle Application Development Framework開発者ガイドのファイル・アップロード機能の提供に関する項。
C.22 jpsロガー・クラスのインスタンス化警告が認証時にログに記録される
jpsロガー・クラスのインスタンス化警告が認証時にバックエンドに表示されることがあります。しかしこれは無害な警告で対処する必要はありません。
C.23 国際化、言語および翻訳
C.23.1 自動生成された説明が翻訳されない
一部のコンポーネントの自動生成された「説明」は翻訳されません。これは異常ではなく、管理者が「説明」を必要にあわせて変更できるようにします。このような変更に従うため、Oracleによる翻訳が可能になっていません。
C.23.2 コンソールがきれいに表示されない
リモート登録用の入力構成ファイルがUTF-8形式でない場合や、OAMサーバーがUTF-8ロケール(たとえばen_US.utf8)で起動していない場合、Oracle Access Managementコンソールでポリシーおよびリソースが正しく表示されません。
認証ポリシーおよび保護リソースを生成するためにリモート登録ツール用の構成ファイルoamregを作成する場合は、UTF-8エンコーディングを必ず使用してください。また、OAMサーバーをUTF-8ロケールのマシンで起動することも必要です。それ以外の場合、インバンド登録が成功した後にOracle Access Managementコンソールでポリシーとリソースがきれいに表示されない可能性があります。
C.23.3 認証の失敗: ASCII以外の文字を含むユーザー
WNAチャレンジ・メソッドが含まれるKerberos認証スキームを使用するようにAccess Managerを構成し、Microsoft Active Directoryに非ASCIIユーザーを作成します。
問題点
ユーザー詳細を取得してサブジェクトにユーザーDNおよびGUID属性を移入しようとすると、例外が発生します。Active Directoryの非ASCIIユーザーがAccess Managerによって保護されたリソースにアクセスしようとすると、認証に失敗し、OAMサーバー・ログに次のエラーが記録されます。
... Failure getting users by attribute : cn, value ....
原因
属性のユーザー名はJava文字列としてそのまま渡されます。
解決方法
ASCII以外のユーザーは、次のJVMシステム・プロパティ(組込みのWebLogic SPNEGOサポート用)を適用することで、Kerberos WNAスキームで保護されたリソースにアクセスできるようになりました。
-Dsun.security.krb5.msinterop.kstring=true
C.23.4 ASCII以外のエージェント名ではアクセス・テスターが機能しない
ASCIIではない名前を使用して、WebゲートをAccess Managerに登録します。アクセス・テスターで、有効なIPアドレス、ポートおよびエージェントID(非ASCII名)を入力し、「接続」をクリックします。
接続テストは失敗します。
C.23.5 ロケール、言語およびOracle Access Managementコンソール・ログイン・ページ
ブラウザのロケールがサポートされていない場合、Oracle Access Managementコンソールのログイン・ページはサーバー・ロケールで表示されます。つまり、元の英語で表示されます。これは正常な動作です。
-
クライアントのロケールがサポートされていない場合、Oracle Access Managementはサーバー・ロケールに戻ります。
-
サーバー・ロケールがサポートされていない場合、Oracle Access Managementは英語に戻ります。
ユーザーがサポートされない言語を選択して「Access Manager SSO」ページに進むと、サーバー・ロケールで表示されます(たとえばドイツ語)。しかし、ログイン後は、すべてのページが英語で表示されます。
英語に戻る手順
「Access Manager SSO」ページを無効にすると、元のAccess Managerログイン・ページも英語に戻ります。
C.24 保護されたページへのログインの失敗
問題点
物理的なホストおよびポートを使用してOAMのインストールとページの保護後、OHS物理ホストおよびポートを使用してアプリケーションを登録します。保護されているページにアクセスするときに、ログインはユーザーへの資格証明の要求に失敗します。ログ・ファイルに、すべての構成と登録が正しく設定されているにもかかわらず、そのURLは仮想ホストにリダイレクトされたことが示されます。
解決方法
Oracle HTTP Server (OHS)物理ホストおよびポートを使用してページを保護する場合、httpd.confから仮想ホスト・ディレクティブを削除します。
C.25 OAMメトリック永続性タイマーIllegalStateException: SafeCluster
問題点
WebLogic構成ウィザードを使用して2つのコンピュータに1つのOAMサーバー・クラスタを作成し、AdminServerを開始した後で、すべてのサーバーが適切に開始します。停止後、WebLogic Server管理コンソールを使用して3つ目のサーバーを追加し、新しい管理対象サーバーを作成してクラスタに追加します。3つ目のサーバーは開始すると実行モードになりますが、いくつかの例外が開始ログに記録されます。
... Exception in thread "OAM Metric Persistence Timer"
解決方法
WebLogic管理コンソールでの操作に加えて、Oracle Access Managementコンソールを使用してサーバーを登録し、サーバーが自分自身を識別できるようにする必要があります。
ノート:
同じコンピュータに2つ目のサーバー・インスタンスを追加および登録する場合、すべてのポート、すなわちOAMプロキシ・ポート、WebLogic Serverコンソールのポートと必ず一致するポートおよびコヒーレンス・ポートの番号は異なる必要があります。
サーバー登録の詳細は、「個々のOAMサーバー登録の管理」を参照してください。
C.26 部分的なクラスタ障害および断続的なログインおよびログアウト障害
問題点
Access Managerの部分的な停止(クラスタのいくつかのインスタンス、ただしすべてではない)が発生したときに、エンド・ユーザーに断続的なログインおよびログアウト障害が発生することがあります。
回避方法
-
デプロイメントからOHSを削除します
-
OHSインスタンスを構成して、各OHSインスタンスをWebLogic Serverインスタンスに固定します。
-
正常に動作していないAccess Managerアプリケーションを伴うWebLogic Serverコンテナは、サービスから削除(停止)してリカバリ時に戻す必要があります。
C.27 RSA SecurIDの問題とログ
各OAM SecurID Serverは、RSA認証Managerとともに独立したエージェントとして登録する必要があります。これにより、OAM SecurID Serverでノード・シークレット・ファイルが使用できるように設定されます。すべてのOAM SecurID Serverで、OAM SecurID Serverの構成ファイルが、$DOMAIN_HOME/config/fmwconfig/servers/$SERVER_NAME/oamの下に保存される必要があります。
RSA SecurID認証プラグインがエラーを返すと、そのエラーはOAM Serverログに記録されます。Webサーバー・ログも、異常発生の可能性に関する手掛かりとなります。Webサーバーでログオンが有効であることを確認してください。
通信がAccess Serverと認証Managerとの間で確立されている場合、sdadmin
ツールによりレポート・メニュー下のログにアクセスできます。アクティビティ・レポートも例外レポートも役立つ情報になります。
認証Managerロギング構成およびレポートの検証
-
認証Manager管理者ツール、つまり
sdadmin
を使用して、ユーザーを追加し、トークンを割り当てていることを確認します。 -
sdconf.rec
ファイルをOAM Serverにコピーしていることを検証します。 -
認証Managerコンソール、つまりレポート・メニューから、有用な情報を得るためにアクティビティ・レポートと例外レポートを開きます。
SecurIDプラグイン・パラメータを変更されたHTMLフィールドと照合してください。
HTMLフォーム中のHTMLフィールド名を変更している場合は、RSA SecurIDプラグイン・パラメータが一致するように構成されていることを確認してください。
すべてのログイン属性値から@記号を削除してください。
ログイン属性値中にアットマーク(@)があると、ユーザー・ログインは失敗する可能性があります。これは、SecurIDの既知の問題です。
C.28 登録の問題
C.28.2 問題: ObAccessClient.xmlファイルが生成されない
解決方法
保護されたパブリック・リソースは、'/index.html'の形式の相対URLとして記述される必要があります。リソースの最初が'/'でないと、ObAccessClient.xmlファイルは生成されません。保護されたパブリック・リソースURLを確認し、すべてが"/"で始まるようにしてください。詳細は、「リソースURL、接頭辞およびパターン」を参照してください。
C.28.3 問題: パートナ登録の障害
パートナ登録は、一意のエージェント名を指定しないと失敗する場合があり、このエージェント名は、アプリケーション・ドメインを作成するためにも使用されます。エージェント名とアプリケーション・ドメイン名は同一であることと一意であることが必要です。エージェント名がアプリケーション・ドメイン名と一致しないと、oamreg検証コマンドの使用が失敗する場合があります。
解決方法
エージェント名およびアプリケーション・ドメイン名は必ず同じにします。
C.28.4 問題: アップグレードされたOAM12c環境のリモート登録の障害
ユーザーがOAM12cのOracleホームを使用していない場合、リモート登録が失敗して次のエラーが発生することがあります。
SEVERE: Exception encountered: RemoteAgentRegistrationException. Specific exception:Cannot reach admin server at : http://slc12ors.us.oracle.com:7001. Please make sure the server url provided is valid and that the server is up before trying again.
解決方法
リモート登録でR2PS3ではなくOAM12cのOracleホームを使用していることを確認してください。
C.29 Rowkeyに主キー属性がないエラー
「リソース・タイプ」タブの「リソース表」の参照中に、次のエラー・メッセージがログに記録されます。
@ <Error> <oracle.adfinternal.view.faces.model.binding.CurrencyRowKeySet> @ <BEA-000000> <ADFv: Rowkey does not have any primary key attributes. Rowkey: oracle.jbo.Key[], table: model.ResTypeVOImpl@620289.>
これは無害で機能を妨げるものではありません。
C.30 SELinuxの問題
Oracle Enterprise Linuxに同梱されているSELinux変更は、Linuxカーネル内でLinux Security Modules (LSM)の使用を介して様々なポリシーを提供します。
SELinuxには、Access Manager Webgateのインストール後、関連するWebサーバーの開始前に、追加のステップの実行が必要です。
問題点
より厳密なSELinuxポリシーが存在するLinux配布上のWebサーバーを開始するときに(Webgateのインストール後)、次のエラーがログ/コンソールに記録されることがあります。
OAM Webgate
$Webgate_OH/webgate/ohs/lib/webgate.so: cannot restore segment prot after reloc: Permission denied.
原因
これらのエラーはファイルのセキュアLinuxセキュリティ・コンテキスト・ポリシーにより報告されます。
解決方法
これらのエラーを防ぎ、Webサーバーを開始するには、次のchcon
コマンドを実行し、各Access Manager Webコンポーネントのインストール後、関連するWebサーバーの再起動前に、ファイルのセキュリティ・コンテキストを変更します。chcon
コマンドの詳細は、ご使用のLinuxのドキュメントを参照してください。
-
chcon -t texrel_shlib_t PATH_TO_LIBWEBPLUGINS.SOを実行します。たとえば:
chcon -t texrel_shlib_t /Webgate_install_dir/access/oblix/lib/webgate.so ... and libxmlengine.so
-
chcon -t texrel_shlib_t PATH_TO_LIBWEBGATE.SOを実行します。たとえば:
chcon -t texrel_shlib_t /Webgate_install_dir/access/oblix/apps/webgate/ bin/webgate.so
C.31 セッションの問題
C.31.1 セッション偽装がデフォルトでは有効になっていない
セッション偽装はデフォルトでは有効になっていません。oam-config.xmlの値を更新し、oam-config.xmlのバージョンを更新してImpersonationConfigステータスをすべての管理対象サーバーへ、再起動することなく伝播できます。
セッション偽装を有効にする手順
-
DOMAIN_HOME/config/fmwconfig/oam-config.xmlをバックアップします。
-
ImpersonationConfig
をtrue
に設定します。<Setting Name="ImpersonationConfig" Type="htf:map"> <Setting Name="EnableImpersonation" Type="xsd:boolean">false</Setting> </Setting>
-
構成バージョン: 次に示すように、
Version xsd:integer
をこの例の最終行の値まで増分します(既存の値(ここでは25) + 1)。例:
<Setting Name="Version" Type="xsd:integer"> <Setting xmlns="http://www.w3.org/2001/XMLSchema" Name="NGAMConfiguration" Type="htf:map:> <Setting Name="ProductRelease" Type="xsd:string">11.1.1.3</Setting> <Setting Name="Version" Type="xsd:integer">25</Setting> </Setting>
-
oam-config.xmlを保存します。
C.31.2 Oracle Identity Federation 11.1.1と統合されたOracle Access Manager 11.1.1とのセッション
予想される動作: Oracle Identity Federation 11.1.1セッションがクリアされない。
Oracle Access Manager 11.1.1がOracle Identity Federation 11.1.1と統合される場合、コンソールを使用してセッションをクリアすると、Oracle Access Managerセッションのみがクリアされます。Oracle Identity Federationセッションはクリアされません。
C.32 SSLとオープンな通信の比較
管理対象サーバーのSSLおよびオープン・ポートの両方が有効な場合、管理対象サーバーはデフォルトでSSLポートに設定されます。
SSL以外のポートを使用する必要がある場合、認証スキームの資格証明コレクタのURLは、プロトコルとして'http'およびSSL以外のポートを指す絶対URLに設定する必要があります。
C.33 起動の問題
この項では、起動の問題とその解決策を示します。
C.33.1 AIXプラットフォームでのAdminServer起動(またはリモート登録ツールの障害)
問題点
AdminServerの起動が、次のメッセージを表示して失敗します。
"java.net.SocketException: No buffer space available".
オペレーティング・システムに設定されたAIXファイル記述子の数の構成が著しく高い場合(ファイル記述子ulimit
)、バッファ・オーバーフローが発生して、リモート登録は次のメッセージを表示して失敗します。
ulimit値はアプリケーションに依存しており、アプリケーション・プログラム・データおよびアプリケーション・スタックに排他的に適用されます。オープン・ファイルのデフォルト数設定(2000)は、通常はほとんどのアプリケーションで十分です。この値が低すぎると、ファイルを開く際や接続を確立する際にエラーが発生します。この値はサーバー・プロセスが開けるファイル記述子数を制限するため、値が低すぎると最適なパフォーマンスが損なわれます。AIXオペレーティング・システムでは、デフォルト設定は2000です。
解決方法
ulimit
ファイル記述子限度を大きくすると、パフォーマンスが向上する場合があります。アプリケーションによっては、他の限度を大きくすることが必要になる場合もあります。
-
rootユーザーでログインします。
-
オープン・ファイル限度を10,000ファイルに変更するには、次のステップを実行します。
-
コマンド・ウィンドウを開きます。
-
/etc/security/limitsファイルを探して、AdminServerプロセスを実行するユーザー・アカウントに次の行を追加して編集します。
nofiles = 10000 nofiles_hard = 10000
-
ファイルを保存してAIXを再起動します。
-
-
コマンド・ウィンドウでTCP_TIMEWAIT間隔を、次のコマンドで状態を15秒に設定して減らします(これによりTCPはクローズした接続を速く解放でき、オープン接続が使用できるリソース数が増えます)。
/usr/sbin/no –o tcp_timewait =1
-
次のパラメータを、次に示すように256kにチューニングします。
no -a |grep space tcp_recvspace = 262144 tcp_sendspace = 262144 udp_recvspace = 262144 udp_sendspace = 262144
-
次のパラメータを、次に示すようにチューニングします。
no -o rfc1323=1 no -o sb_max=4194304
C.34 OAMサーバー・クロックの同期化
セッションの状態は依存側にとっての真のソースです。様々なサーバーのシステム・クロックは同期が必要です。
依存側のシステム・クロックは、SMEクロックの同期の範囲外であることがあります。依存側のクロックが次の場合:
-
セッション・クロックよりも進んでいる: 依存側の認証のリクエストが作成されアクティブ・セッションIDが戻されます。
-
セッション・クロックよりも遅れている: 依存側ヘルプへのイベント通知によりセッションが無効になります。
たとえば、Webサーバー・クロックがサーバー・クロックよりも進んでいる場合、WebgateからOAMサーバーに送信されるリクエストには、OAMサーバーではまだ発生していない時間が含まれます。これによりログイン・イベントが失敗することがあります。簡易または証明書モードで実行している場合、タイムスタンプは同期の範囲外となるか、またはクライアント証明書が無効のように見えることがあります。
ノート:
イベント通知の問題を防止するには、すべてのOAMサーバーのクロックをNISTインターネット・タイム・サービスのようなタイム・サービスに同期させるようにします。
正常な動作のために、次のようにします。
-
すべてのコンピュータ・クロックが同期しているようにします。許容レベルはありません。たとえば、WebgateクロックがわずかでもOAMサーバー・クロックより進んでいる場合、Webgateにより生成されたCookieは未来のものと見なされ、OAMサーバーで問題を引き起こす可能性があります。
-
Webgateが実行している各コンピュータのクロックが、関連するOAMサーバーよりも進んでいないことを確認します。OAMサーバーは最大60秒までWebgateのクロックよりも進んでいる必要があります。
C.35 構成変更の時間遅延
なんらかの構成変更がなされると、その変更が実行時にリフレッシュされるための時間遅延が発生する場合があります。この時間遅延が発生する理由は、構成の変更後にサーバーがその構成をリフレッシュするために数秒必要とするためです。
たとえば、パスワード・ポリシーで以前のパスワードを不許可オプションを設定した後に新しいパスワードを作成したとします。以前のパスワードでは保護リソースにアクセスできないはずです。この場合、ユーザーが60秒待機することなくパスワードを使用しようと試みる場合、以前のパスワードが有効です。
解決方法
構成を変更した場合、変更が反映されるまで最小60秒待つ必要があります。
C.36 検証エラー
次の各項では、検証エラーと問題の解決策について説明します。
C.36.1 リソースが認証または認可ポリシーに追加されない
問題点
認証または認可ポリシーの作成中に、別の認証または認可ポリシーで使用したことのあるリソースを追加する場合、「適用」をクリックするときに検証エラーが表示されます。これは予期された動作です。
エラー・ウィンドウで「OK」をクリックすると、別の認証または認可ポリシーで使用されていない有効なリソースを追加することを求められ、そのリソースは追加されず、認可または認証ポリシーは作成されません。
解決方法
-
「適用」をクリックして、「認証ポリシー」または「認可ポリシー」ページを閉じます。
-
ナビゲーション・ツリーでポリシー名を再度クリックし、「編集」をクリックしてページを開き、新しいリソースを追加します。
C.37 Webサーバーの問題
Webサーバーで次の問題が発生することがあります。
C.37.1 Apache Webサーバー上のサーバー障害
症状
Apache Webサーバーを実行中に、OAMサーバーが次のメッセージを表示して失敗します。
libthread panic: cannot create new lwp (PID: 9035 LWP 2). stackrace: ff3424cc 0
この症状は、Apache Webサーバーが多くの自分自身のインスタンスを起動することにより発生することがあります。1つまたは複数のWebgateおよびOAMサーバー間の接続数をサービスするにはもっと多くのインスタンスが必要だとサーバーが判断したときに、これが発生することがあります。
追加のインスタンスはさらに多くの接続を作成し、OAMサーバーによる接続数を超過します。
解決方法
MinSpareServers
、MaxSpareServers
、StartServers
およびMaxClients
パラメータの数を減らします。
OAMサーバーの構成ディレクトリに移動し、http.d
構成ファイルを開きます。
推奨するパラメータ設定は次のとおりです。
-
MinSpareServers
1 -
MaxSpareServers
5 -
StartServers
3 -
MaxClients
5
C.37.2 HP-UX上のApache v2
HP-UX上でApache v2を実行している場合、共有メモリーが動作できないため、「ユーザー」または「グループ」にnobody
は使用できません。そのかわりに、「ユーザー名」にログイン名を、HP-UX上の「グループ名」に使用しているグループを使用します(Solarisでは"www"は"nobody"と同等です)。
HPUX 11.11上でApache v2を実行している場合、Apache httpd.confファイルのAcceptMutex
ディレクティブがfcntl
に設定されていることを確認します。ディレクティブが存在しない場合、httpd.confファイルに追加します(AcceptMutex fcntl
)。詳細は、次を参照してください。
C.37.3 Red Hat Enterprise Linux 4にバンドルされたApache v2
問題点
ベンダー・バンドルApacheにWebgateをインストールした後、Webサーバーの開始時に次のエラーが発生することがあります。
Error: Cannot load libgcc_s.so.1 library - Permission denied.
解決方法
Access Manager Webゲートのセキュリティ強化Linux (SELinux)のポリシー・ルールを変更します。
C.37.4 セキュリティ強化LinuxにバンドルされたApache v2
Access Manager Webコンポーネントのインストール後、より厳密なSELinuxポリシーが存在するLinux配布上のWebサーバーを開始するときに、エラーがWebServerのログ/コンソールに記録されることがあります。Webサーバーを再起動する前に、インストールされたWebコンポーネント用の適切なchcon
コマンドを実行することにより、これらのエラーを防止できます。
関連項目:
C.37.5 Webgateのmpm_worker_moduleを使用したUNIX上のApache v2
次の項目は、UNIX上でWebgate用のApache v2をmpm_worker_moduleを使用してコンパイルする場合にのみ必要です。この場合、UNIX環境用にApacheソースからthread.cファイルを変更する必要があります。この変更を行うことで、Webgateのデフォルトのpthreadスタック・サイズによりマルチスレッド・サーバーの実装中に最適なパフォーマンスが得られるようになります。この変更が行われないと、デフォルトのpthreadスタック・サイズはWebgateに対して十分ではなく、クラッシュしてしまうことがあります。
Apache 2.0はThreadStackSizeオプションをサポートしません。そのため、次のようになります。
-
UNIXベースのApache v2.1およびそれ以降では、クライアント接続を処理し、それらの接続の処理を手助けするモジュールを呼び出すスレッドのスタック・サイズ(autodata用)を、ThreadStackSizeディレクティブを使用して設定する必要があります。
-
UNIXベースのApache 2では、mpm_worker_moduleの追加およびthread.cファイルの変更の間に互換ソースを使用してスタック・オーバーフローを防止することが最適です。
次の手順は、Apache v2.0のthread.cファイルを変更して、マルチスレッド・サーバーの実装中に最適なパフォーマンスを得るためにWebgateに必要なデフォルトのpthreadスタックサイズを指定する方法を示します。Apache v2.1とThreadStackSizeディレクティブの詳細は、http://httpd.apache.org/docs/2.2/mod/mpm_common.html#threadstacksize
を参照してください。
ノート:
次の手順はApache 2.0 Webgateでのみ実行してください。それ以外の場合、デフォルトのpthreadスタック・サイズではWebgateに対して十分ではなく、クラッシュしてしまうことがあります。
UNIX環境でWebgate用のApache v2.0 thread.cファイルを変更する手順
-
thread.cファイルを探します。たとえば:
APACHE 2.0.52 source/srclib/apr/threadproc/unix/thread.c
-
次のコード・セグメントでapr_threadattr_createという名前の関数(apr_threadattr_t **new、apr_pool_t *pool)を探します。
**new,apr_pool_t *pool) in the following code segment: 1-----> apr_status_t stat; 2 3-----> (*new) = (apr_threadattr_t *)apr_pcalloc(pool, sizeof(apr_threadattr_t)); 4-----> (*new)->attr = (pthread_attr_t *)apr_pcalloc(pool, sizeof(pthread_attr_t)); 5 6-----> if ((*new) == NULL || (*new)->attr == NULL) { 7-----> return APR_ENOMEM; 8-----> } 9 10----->(*new)->pool = pool; 11----->stat = pthread_attr_init((*new)->attr); 12 13-----> if (stat == 0) { 14-----> return APR_SUCCESS; 15-----> } 16----->#ifdef PTHREAD_SETS_ERRNO 17----->stat = errno; 18----->#endif 19 20----->return stat; 21
-
次のコードを13行目よりも前に追加します。
int stacksize = 1 << 20; pthread_attr_setstacksize(&(*new)->attr, stacksize);
-
configure、make、make installを実行して、mpm_worker_moduleを使用するApache Webサーバーを設定します。
C.37.6 Domino Webサーバーの問題
認証イベントの失敗: Domino Webサーバーの場合、Access Managerを介したURLのりダイレクトは、認証タイプがBasic Over LDAPに設定され、リダイレクトされるURLが次のいずれかで示されていると、動作しないことがあります。
- 同じWebサーバー上に存在する相対パス
- または、ホスト識別子文字列の組合せで定義されたコンピュータ名を含む、同じWebサーバー上のフルパス
認証の失敗イベントを解決するには、ホスト識別子グループの下で定義されていないコンピュータ名を使用してリダイレクトされるURLを設定する必要があります。たとえば、コンピュータのIPアドレスです。
この問題はフォームベースの認証タイプでは発生しません。
ヘッダー変数: クライアント証明書認証スキームを使用しているときに、REMOTE_USER以外のヘッダー変数を、Lotus Notes Domino WebサーバーにインストールされたWebgateに渡すことができない場合があります。
たとえば、ヘッダー変数はクライアント証明書認証を発生させるリクエストには設定できません。しかし、その他のすべてのリクエストにはヘッダー変数を設定できます。
C.37.7 エラー、アクセスの消失および予期しない動作
症状
Webサーバー・インスタンスの作成に使用したものと違うユーザーIDを使用してUNIXにAccess Managerをインストールすると、Access Managerが不安定になることがあります。次のような動作が発生する可能性があります。
-
ランダムなバグ・レポート・ページ
-
ログ・ファイルへの書込み失敗エラー
-
Webページへのアクセスの消失
解決方法
chownコマンドを使用してファイルの権限を変更します。Access Managerディレクトリを、Webサーバー・インスタンスを作成するのに使用したのと同じユーザーIDに変更します。
C.37.8 ISA Webサーバーの既知の問題
WebgateはISAPIの拡張を使用してユーザー拒否エラー・メッセージおよび診断ページを表示します。しかし、ISA 2006は拡張をサポートしていません。そのため、次のようになります。
-
ユーザーがWebgateによりアクセス拒否される場合、ユーザーはAccess Managerのアクセス拒否エラー・メッセージではなく、ページが表示されないエラー・メッセージを受け取ります。
-
診断URL、http(s)://hostname:port/access/oblix/apps/webgate/bin/webgate.dll?progid=1は、ISAに対しては動作しません。
C.37.9 LinuxThreadsでOracle HTTP Serverが開始しない
問題点
Oracle HTTP ServerにWebgateインスタンスをインストールすると、サーバーが起動しません。
ノート:
Access Managerの実行時は、デフォルトではLinuxThreadsが使用されます。これは環境変数LD_ASSUME_KERNELが2.4.19に設定されていることが必要です。NPTLをAccess Managerとともに使用している場合、LD_ASSUME_KERNELは2.4.19.9に設定しません。
原因
これは、Access Managerで古いLinuxスレッド・モデルを使用しているために発生します。
解決方法
LinuxThreadsモードを使用している場合、次の手順の説明に従い、httpd.confファイルのPerlモジュールをコメント・アウトし、LD_ASSUME_KERNEL環境変数を更新して再起動します。
LinuxThreadsモードでOracle HTTP Serverの開始の失敗を解決する手順
-
次の場所にあるhttpd.confファイルのPerlモジュールをコメントアウトします。
Oracle HTTP Server 11g:
$ORACLE_INSTANCE/config/OHS
/ohs_name/
httpd.conf
Oracle HTTP Server v2:
OH$
/ohs/conf/httpd.conf
Oracle HTTP Server v1.3:
OH$
/Apache/Apache/conf/httpd.conf
-
LD_ASSUME_KERNELの値を更新するには、テキスト・エディタで次のファイルを開きます。
OH$
/opmn/conf/opm.xml
-
次の行を探します。
<process-type id="HTTP_Server" module-id="OHS">
前のステップで見つけた行の下に次の情報を追加します。
<environment> <variable id="LD_ASSUME_KERNEL" value="2.4.19" /> </environment>
-
このファイルを保存します。
-
次のコマンドを実行して変更を実装します。
opmnctl stopall opmnctl startall
C.37.10 Linux Red Hat 4上でOracle HTTP Server Webgateが初期化されない
この状況はAccess ManagerをLinuxThreadsまたはNPTLのどちらとともに使用していても発生する可能性があります。
症状
Red Hat Enterprise Serverバージョン4.0が2.6.9-34.ELよりも低いカーネル・バージョンで実行しているOracle HTTP Serverにインストールされた場合に、Webゲートは初期化に失敗します。バージョン2.6.9-34.ELはRed Hatバージョン4、アップデート3とともに提供されます。
解決方法
この問題を防ぐには、Red Hatバージョン4、アップデート3またはそれ以上にアップグレードする必要があります。
C.37.11 Oracle HTTP Server Web Server構成ファイルの問題
問題点
Oracle Application Server 10.1.x、OC4Jでは、Webgateのインストール中にhttpd.confファイルが自動的に修正されるときに、破損する可能性があります。
解決方法
Webgateのインストール前に、次のコマンドを実行して、httpd.confファイルが上書きされることを防ぎます。
$ORACLE_HOME/dcm/bin/dcmctl updateConfig -ct ohs
C.37.12 IIS v6 Webサーバーの問題
IIS 6 Webサーバーでのみ、WWWサービスをIIS 5.0分離モードで実行する必要があり、これはISAPI postgateフィルタの要件です。この例は、32ビットWindowsオペレーティング・システムで実行している32ビットのAccess Managerバイナリがある場合に動作します。しかし、IISが32ビット・モードで実行している64ビットWindowsマシンで32ビットpostgate.dllを実行しようとすると問題が発生します。
問題点
IISがIIS5.0分離モードで実行している場合、次のメッセージが表示されます。
ISAPIフィルタ'C:\webgate\access\oblix\apps\webgate\bin\webgate.dll'は構成の問題が原因でロードできませんでした。
原因
現在の構成はAMD 64ビット・プロセッサ・アーキテクチャ用に作成されたイメージのロードのみをサポートします。データ・フィールドにはエラー番号が含まれます。
解決方法
この問題についてさらに学習するには、この種類のプロセッサ・アーキテクチャの不一致のエラーのトラブルシューティング方法も含め、次のWebサイトを参照してください。
http://go.microsoft.com/fwlink/?LinkId=29349
詳細は、次のヘルプとサポート・センターを参照してください。
http://go.microsoft.com/fwlink/events.asp
問題点
IIS5は64ビットとして存在することはありません。しかし、64ビットWindowsコンピュータ上でのIIS v6のIIS5互換モードだけは64ビットとして実行します。
原因
次のURLで参照できるドキュメントで説明されているとおり、64ビットWindowsでIIS5分離モード32ビットを実行することはアーキテクチャ上不可能です。
http://www.microsoft.com/communities/newsgroups/en-us/default.aspx?dg=microsoft.pu blic.inetserver.iis&tid=5dd07102-8896-40cc-86cb-809060fa9426&cat=en_US_ 02ceb021-bb43-476d-8f8f-6c00a363ccf5&lang=en&cr=US&p=1
http://blogs.msdn.com/david.wang/archive/2005/12/14/HOWTO-Diagnose-one-cause-of-W3 SVC-failing-to-start-with-Win32-Error-193-on-64bit-Windows.aspx
C.37.13 Sun Webサーバーの開始時のPCLOSEエラー
症状
Sun Webサーバーを開始しようとしたときに、次のようなエラーが発生します。
Unable to start, PCLOSE
解決方法
解決策: たくさんの問題がこのエラーを引き起こす可能性があります。
-
obj.conf
ファイルの構文エラー -
obj.conf
ファイルの先頭のスペース -
Webサーバー・インスタンスの作成に使用したのとは異なるユーザーIDでのAccess Managerのインストール
-
obj.conf
ファイルの最後にある改行
C.37.14 IIS DLLの削除および再インストール
Access ManagerがMicrosoftのIIS Webサーバーで実行している場合、Access Managerを再インストールするときには次のISAPIフィルタを手動でアンインストールおよび再インストールする必要があります。
-
tranfilter.dll
-
oblixlock.dll
(Webgateがインストール済の場合) -
webgate.dll
(Webgateがインストール済の場合)
IIS DLLを削除および再インストールする手順
-
Access Managerをアンインストールします。
-
前述のDLLを手動でアンインストールします。
-
Access Manager.Active Directoryを再インストールします。
-
DLLを手動で再インストールします。
ノート:
これらのフィルタは使用しているIISのバージョンにより異なる可能性があります。これらのフィルタが存在しないまたは別のものが存在する場合、存在するフィルタを削除する必要があるかどうかはOracleにお問い合せください。
C.38 Windowsネイティブ認証
問題点
Windowsネイティブ認証の設定後、およびWNA保護ページにアクセスすると、ブラウザはユーザー名またはパスワード(およびその両方)が正しくないことを示すエラーを受け取ることがあります。
原因
Oracle Access Managementが使用するアイデンティティ・ストアがWindows Active Directoryを指していない可能性があります。デフォルトでは、アイデンティティ・ストアは組込みLDAPです。
解決方法
-
Oracle Access Managementコンソールで、アイデンティティ・ストアの構成(「システム構成」、「データ・ソース」、「ユーザー・アイデンティティ・ストア」)を確認します。
-
LDAPストア設定がActive Directoryを指していることを確認します。
C.39 マルチデータ・センターのためのWLSTコマンド
次に示すWebLogic Scripting Tool (WLST)コマンドは、マルチデータ・センター・デプロイメントに固有です。詳細は、次の各項に記載されています。
C.39.1 enableMultiDataCentreMode
マルチデータ・センター・モードの有効化に使用されるオンライン・コマンド。
説明
このコマンドは、マルチデータ・センター・モードを有効にします。MDC.propertiesファイルのフルパスおよびファイル名と等しい値を取ります。
ノート:
管理コンソールでSSOトークンのバージョンを5に設定することは、サポートされていません。このようにするには、「Access Managerの設定」ページに変更を加え、WLSTのenableMultiDataCentreMode
コマンドを実行して設定します。
構文
enableMultiDataCentreMode(propfile="../MDC_properties/oamMDCProperty.properties")
引数 | 説明 |
---|---|
|
必須。 |
表C-1 oamMDC.propertiesのプロパティ
プロパティ | 説明 |
---|---|
SessionMustBeAnchoredToDataCenterServicingUser |
True (無効化)またはFalse (無効化しない)の値を取ります。 |
SessionDataRetrievalOnDemand |
True (他DCから取得)またはFalse (いいえ)の値を取ります。MDCを無効にせずにデータ取得をオフにできます。Falseの場合、ユーザーがDC間で移動すると、セッション・データは転送されませんが、SSOは引き続き実行されます。 ノート: 共存モードをデプロイする場合は、SessionDataRetrievalOnDemandをFalseに設定する必要があります。 |
Reauthenticate |
True (強制的に再認証)またはFalse (強制的再認証なし)の値を取ります。 |
SessionDataRetrievalOnDemandMax_retry_attempts |
データ取得に失敗したときの再試行回数を表すバイナリに等しい値を取ります。デフォルトは2です。 |
SessionDataRetrievalOnDemandMax_conn_wait_time |
接続を待つ時間の合計(ミリ秒)を表すバイナリに等しい値を取ります。デフォルトは1000です。 |
SessionContinuationOnSyncFailure |
フェイルオーバー時のセッション・アダプション・アクションを決定します。'true'に設定すると、親DCが停止/アクセスできない場合でも、現在のリクエストを処理するDC上でセッションが続行されます。着信トークンに使用可能な必須の最小情報から、セッションが現在のリクエストを処理するDCに作成されます。'false'に設定すると、フェイルオーバー・シナリオでユーザーがチャレンジされます。 |
MDCGitoCookieDomain |
OAM_GITO Cookieをどのドメインで設定するかを指定します。共通Cookieドメイン階層を導出できないMDCデプロイメントでは、この設定をコメント化または削除する必要があります(非アクティブ・タイムアウトのシナリオの説明を参照)。 |
oamMDCProperty.propertiesファイルのサンプル
SessionMustBeAnchoredToDataCenterServicingUser=false SessionDataRetrievalOnDemand=true Reauthenticate=true SessionDataRetrievalOnDemandMax_retry_attempts=3 SessionDataRetrievalOnDemandMax_conn_wait_time=80 SessionContinuationOnSyncFailure=true #MDCGitoCookieDomain=.example.com <This setting should be provided only if there is a common cookie subdomain across the WGs and DCs>
例
次のコマンドを実行すると、このデータ・センターが有効になります。
enableMultiDataCentreMode(propfile="../MDC_properties/oamMDCProperty.properties")
C.39.2 disableMultiDataCentreMode
マルチデータ・センター・モードの無効化に使用されるオンライン・コマンド。
説明
このコマンドは、マルチデータ・センター・モードを無効にします。
構文
disableMultiDataCentreMode()
このコマンドには引数はありません。
例
次のコマンドを実行すると、マルチデータ・センター・モードが無効になります。
disableMultiDataCentreMode()
C.39.3 addPartnerForMultiDataCentre
n
個のデータ・センターを持つMDCデプロイメントでは、各データ・センターに、他の(n-1)個のデータ・センターそれぞれと通信するための登録済パートナがあります。つまり、パートナ登録の総数は(n) x (n-1)です。このオンライン・コマンドは、データ・センター間OAP通信用のパートナを追加するのに使用されます。
ノート:
MDCパートナ・プロファイルは、各データ・センターが公開するものであり、他のデータ・センターがそのデータ・センターとの通信に使用します。MDCパートナの登録は、2ステップのプロセスです。1つのMDCに3つのデータ・センターがあるとします。DC1で、OAM Webゲートを作成することによってMDCパートナ・プロファイルを公開します(DC1_MDC_Partner)。次に、DC1_MDC_PartnerをDC2およびDC3で、addPartnerForMultiDataCentreを使用して登録します。詳細は、「addPartnerForMultiDataCentre」を参照してください。
説明
このコマンドは、パートナをデータ・センターに追加します。partnerInfo.properties
ファイルのフルパスおよび名前と等しい値を取ります。
構文
addPartnerForMultiDataCentre(propfile="../MDC_properties/partnerInfo.properties")
引数 | 説明 |
---|---|
|
必須。partnerInfo.propertiesファイルのパスおよび名前と等しい値を取ります。 |
|
オプション。値として、Access Manager RESTサービスにアクセスできるHTTP/HTTPS URLを取ります。 |
表C-2は、partnerInfo.properties
を構成するプロパティを示します。プロパティ・ファイルのサンプルは、「マルチデータ・センターのセキュリティ・モード」を参照してください。
表C-2 partnerInfo.propertiesのプロパティ
プロパティ | 説明 |
---|---|
remoteDataCentreClusterId |
OAP通信を確立する必要のあるリモート・データ・センターのクラスタID。 |
oamMdcAgentId |
リモート・データ・センター内の登録済パートナ・プロファイルのパートナID。このパートナの"管理操作を許可"フラグがリモート・データ・センターで設定されている必要があります。 |
PrimaryHostPort |
remoteDataCentreClusterIdで指定されたリモートDCに対応するプライマリAccess Managerサーバーのfully-qualified-host-name:OAM-portを値として取ります。たとえば: PrimaryHostPort=abc.example.com:5575 |
SecondaryHostPort |
remoteDataCentreClusterIdで指定されたリモートDCに対応するセカンダリAccess Managerサーバーのfully-qualified-host-name:OAM-portを値として取ります。たとえば: SecondaryHostPort=abc.example.com:5577 OAM MDCメンバー・データ・センターに2つの管理対象サーバーがあり、場所はabc.example.comで、ポートがoam_server1 (5575)およびoam_server2 (5577)であるとします。OAP SDKパートナの高可用性/フェイルオーバーを実現するには、PrimaryHostPortおよびSecondaryHostPortを次のとおりに設定します。 PrimaryHostPort=abc.example.com:5575 SecondaryHostPort=abc.example.com:5577 |
AccessClientPasswd |
リモート・データ・センターで登録済のMDCパートナのアクセス・クライアント・パスワード。 |
oamMdcSecurityMode |
MDCセキュリティ・モードを定義します。値はOPEN/SIMPLE/CERTです。(CERTモードをお薦めします。SIMPLEでも問題ありませんが、OPENはお薦めできません。) SIMPLEモードおよびCERTモードの場合は、次に示す値を適宜指定する必要があります。OPENモードの場合は、これらの値は適用されません。「マルチデータ・センターのセキュリティ・モード」を参照してください。 |
agentVersion |
有効なエージェント・バージョン11g。 |
trustStorePath |
トラストストア・ファイルへの絶対パス[SIMPE/CERT]。 |
keyStorePath |
キーストア・ファイルへの絶対パス[SIMPLE/CERT]。 |
globalPassPhrase |
パートナ登録時に設定されたグローバル・パスフレーズ[SIMPLE/CERT]。 |
keystorePassword |
パートナ構成時に設定されたキーストア・パスワード[SIMPLE/CERT]。 |
例
次のコマンドを実行すると、このデータ・センターがマスターとして定義されます。
addPartnerForMultiDataCentre(propfile="../MDC_properties/partnerInfo.properties")
C.39.4 removePartnerForMultiDataCentre
登録済のリモート・パートナをデータ・センター構成から削除するために使用されるオンライン・コマンド。
説明
このコマンドは、登録済リモート・パートナを構成済データ・センターから削除します。有効なremoteDataCentreClusterIdと等しい値を取ります。
構文
removePartnerForMultiDataCentre=("<cluster_ID>")
引数 | 説明 |
---|---|
|
必須。クラスタIDに等しい文字列値を取ります。 |
例
次のコマンドは、削除するパートナを定義します。
removePartnerForMultiDataCentre("99bf9-adc2120609")
C.39.5 setMultiDataCenterType
データ・センターのタイプ(マスターまたはクローン)の設定に使用されるオンライン・コマンド。
説明
MDCデプロイメントでは、1つのデータ・センターがマスターとして指定され、その他がクローンとして指定されます。基本的に、MDC全体でのグローバル構成およびポリシーの更新はすべてマスターに適用し、クローンに伝播する必要があります。このコマンドは、データ・センターのタイプを設定します。値はMasterまたはCloneです。
構文
setMultiDataCenterType(DataCenterType="<Master|Clone>")
引数 | 説明 |
---|---|
|
必須。MasterまたはCloneの文字列値を取ります。 |
例
次のコマンドを実行すると、このデータ・センターがマスターとして定義されます。
setMultiDataCenterType(DataCenterType="Master")
C.39.6 setMultiDataCenterWrite
クローン・データ・センターでのシステムおよびポリシーの構成に対する変更の書込み保護を設定するために使用されるオンライン・コマンド。
説明
クローン・データ・センターは、WriteEnabledFlag
をfalseに設定することで書込み保護できます。この場合、クローン・データ・センターでは、Oracle Access ManagementコンソールまたはWLSTコマンドによる更新を許可しません。初期設定の完了後の間違った更新に対するクローン・データ・センターの書込み保護にコマンドが使用されるため、データ同期は引き続き更新されます。
構文
setMultiDataCenterWrite(WriteEnabledFlag="<true|false>")
引数 | 説明 |
---|---|
|
必須。trueまたはfalseの文字列値を取ります。 |
例
次の例では、間違った上書きからクローン・データ・センターを保護します。
setMultiDataCenterWrite(WriteEnabledFlag = "false")
C.39.7 setMultiDataCentreClusterName
データ・センターのクラスタ名を指定の文字列に設定するためのオンライン・コマンド。
説明
このコマンドは、マルチデータ・センターのクラスタ名を設定します。値は文字列です。
構文
setMultiDataCentreClusterName(clusterName="<string_value>")
引数 | 説明 |
---|---|
|
必須。クラスタ名に等しい文字列を取ります。 |
例
次のコマンドを実行すると、このデータ・センターが有効になります。
setMultiDataCentreClusterName(clusterName="MyCluster")
C.39.8 validateMDCConfig
マルチデータ・センターの構成が正しいことを保証するために使用されるオンライン・コマンド。
説明
このコマンドは、マルチデータ・センターの構成の必須エントリがoam-config.xml
に存在することを検証します。MDCソリューションでは、認可時にMDCセッションを作成または更新するにはmdc_session_update
という名前の新しいAccess Managerイベントが必要です。Access Managerイベント・モデルでは、一連の構成がoam-config.xml
構成ファイルに存在することが要求されます。必須の構成を静的に追加することはできないため、validateMDCConfig
によってmdc_session_update
の必須のエントリを検証し、まだ存在しない構成をシードします。
構文
validateMDCConfig()
このコマンドには引数はありません。
例
次のコマンドを実行すると、MDC構成が検証されます。
validateMDCConfig()
C.39.9 exportAccessStore
マスター・データ・センターUDMメタデータのZIPファイルを作成するためのオンライン・コマンド。
説明
このコマンドでは、マスター・データ・センターUDMメタデータのZIPファイルを作成します。
構文
exportAccessStore(toFile="<name and location of ZIP", namePath="/")
例
exportAccessStore(toFile="/master/location/dc1metadata.zip", namePath="/")
C.39.10 importAccessStore
マスター・データ・センターUDMメタデータのZIPファイルをクローン・データ・センターにインポートするためのオンライン・コマンド。
説明
このコマンドでは、マスター・データ・センターUDMメタデータのZIPファイルをクローン・データ・センターにインポートします。
構文
importAccessStore(fromFile="<name and location of ZIP", namePath="/")
例
importAccessStore(fromFile="/master/location/dc1metadata.zip", namePath="/")
C.40 11gと12cのMDC構成で使用されるデフォルトのパラメータおよび値の比較
12c環境でのMDCの構成は、MDC Admin REST APIの新しいセットの使用によって簡単になります。11gでは手動で設定していた多くのパラメータとプロパティが、12cではデフォルト設定されています。
次の表に、デフォルト設定される12.2.1.3.0のパラメータの詳細を示します。デフォルト設定は、必要に応じてオーバーライドできます。
パラメータと説明 | 必須/オプション | デフォルト値 |
mdcTopologyType (ACTIVE_ACTIVEまたはDISASTER_RECOVERY) | 必須 | なし |
masterMDCAgentID (マスターのMDC NAPエージェント名) | 必須 | なし |
cloneMDCAgentID (クローンのMDC NAPエージェント名) | 必須 | なし |
accessClientPassword (マスターとクローンのMDC NAPエージェントで使用するパスワード) | 必須 | なし |
cloneServerURL (クローン管理サーバーのURLまたはクローン管理サーバーのフロント・エンドとなっているリバース・プロキシのURL) | 必須 | なし |
agentKeyPassword (CERTモードでパートナの登録に使用したエージェント・キー・パスワード) | 必須 | なし |
certModeKeystorePassword (clientTrustStore.jksおよびclientKeyStore.jksを保護するために使用したキーストア・パスワード) | 必須 | なし |
masterServerURL (マスター管理サーバーのURLまたはマスター管理サーバーのフロント・エンドとなっているリバース・プロキシのURL) | マスター構成の場合はオプション、クローン構成の場合は必須 | 指定しない場合、マスター構成中に、MBeanから管理サーバーのホストおよびポートの詳細が取得されます。 |
artifactPassword (クローニング・アーティファクトを保護するために使用したパスワード。) | 必須 | なし |
cloneAdminUserNamePassword (クローンDC管理者のユーザー名:パスワード。マスターとクローンの管理者ユーザー/パスワードが異なる場合にのみ指定します) | オプション。 | マスター・データ・センターのユーザー名:パスワード。 |
trustStorePath (clientTrustStore.jksファイルへのパス。clientTrustStore.jksファイルがDOMAIN_HOME/config/fmwconfig/oam-mdc-cert-artifacts 以外のフォルダに存在する場合にのみ指定します)
|
オプション。 | CERTモード: %DOMAIN_HOME%/config/fmwconfig/oam-mdc-cert-artifacts
SIMPLEモード: %DOMAIN_HOME%/output/webgate-ssl-SHA-256/ |
keyStorePath (clientKeyStore.jksファイルへのパス。clientTrustStore.jksファイルがDOMAIN_HOME/config/fmwconfig/oam-mdc-cert-artifacts 以外のフォルダに存在する場合にのみ指定します)
|
オプション。 |
CERTモード: %DOMAIN_HOME%/config/fmwconfig/oam-mdc-cert-artifacts SIMPLEモード: %DOMAIN_HOME%/output/webgate-ssl-SHA-256/ |
artifactsZipLocation (アーティファクトが格納される場所。アーティファクトが/tmp 以外の場所に格納される場合に指定します)
|
オプション。 | /tmp |
isMultiDataCenterEnabled (MDCを無効化するために使用します) | 必須 | なし |
isBackwardCompatible (マスターとクローンのデータ・センターのOAMバージョンが異なる場合に下位互換性を有効化するために使用します) | 必須 | なし |
clusterName (データ・センターのクラスタ名) | 必須 | なし |
masterArtifactsZipLocation (クローニング・アーティファクトがマスターに存在する場所。マスター・データ・センターの構成中に、入力でartifactsZipLocationを使用した場合にのみ指定します) | オプション。 | /tmp |