1. Oracle Identity Managementリリース・ノート
  2. Oracle Unified Directory

6 Oracle Unified Directory

Oracle Unified Directoryの既知の問題と回避策には、Oracle Unified Directory、Oracle Unified Directory Services Managerおよび関連するディレクトリ・コンポーネントに関連する一般的な問題と既知の問題が含まれます。

内容は次のとおりです

ノート:

6.1 ディレクトリ仮想化機能のサポートされているインタフェース

この項では、ディレクトリ仮想化機能にサポートされるインタフェースを示します。

ノート:

ここで説明されている仮想ディレクトリ機能を使用するには、有効なOracle Directory Service Plusライセンスが必要です。

表1に、このリリースでサポートされる仮想ワークフロー要素のインタフェースをリストします。

ノート:

動的ツリーおよびフラット・ツリー・ワークフロー要素はこのリリースではサポートされません。インタフェースにこれらのワークフロー要素に対する関数が出現した場合、それらはサポートされていないため、実行しないでください。

表6-1 Oracle Unified Directory仮想化機能

ワークフロー要素 コマンドラインを使用した構成 OUDSMを使用した構成 追加情報

結合

はい

はい

『Oracle® Fusion Middleware Oracle Unified Directoryの管理』リポジトリの仮想ディレクトリ・ビューの構成に関する項参照。

HideByFilter

はい

いいえ

『Oracle® Fusion Middleware Oracle Unified Directoryの管理』HideByFilterを使用した検索結果のフィルタリングに関する項を参照。

GetRidOfDuplicates

はい

いいえ

『Oracle® Fusion Middleware Oracle Unified Directoryの管理』GetRidOfDuplicatesを使用した検索結果からの重複エントリの排除に関する項を参照。

Active Directoryパスワード更新

はい

いいえ

『Oracle® Fusion Middleware Oracle Unified Directoryの管理』Active Directoryに格納されているユーザー・パスワードの更新に関する項を参照。

RDBMS

はい

いいえ

『Oracle® Fusion Middleware Oracle Unified Directoryの管理』RDBMSに格納されているアイデンティティ・データへのアクセスの構成に関する項を参照。

VirtualMemberOf

はい

いいえ

『Oracle® Fusion Middleware Oracle Unified Directoryの管理』個人エントリへのmemberofユーザー属性の追加に関する項を参照。

6.2 Oracle Unified Directoryのシステム要件および仕様

システム要件および動作保証のドキュメントを読み、環境がインストールする製品の最小インストール要件を満たしていることを確認する必要があります。

インストールを実行する前に、 システム要件および動作保証のドキュメントを読み、インストールする製品の最小インストール要件を環境が満たしていることを確認します。次のドキュメントをOracle Technology Network (OTN)から入手できます。

  • Oracle® Fusion Middleware Oracle Unified Directoryのインストール12c (12.2.1.4.0)

    このドキュメントには、Oracle Unified Directoryを他のOracle製品とともにインストールする場合のハードウェアとソフトウェアの要件、最小ディスク領域とメモリーの要件、および必要なシステム・ライブラリ、パッケージまたはパッチに関する情報が記載されています。

  • Oracle Fusion Middlewareのサポートされるシステム構成

    http://www.oracle.com/technetwork/middleware/ias/downloads/fusion-certification-100350.html

    このランディング・ページには、Fusion Middlewareスイートの全製品の動作保証情報へのリンクが掲載されています。動作保証マトリックスを表示するには:

    1. Oracle Fusion Middlewareでサポートされているシステム構成ランディング・ページにアクセスします。

      http://www.oracle.com/technetwork/middleware/ias/downloads/fusion-certification-100350.html

    2. Oracle Identity and Access Management 12c (12.2.1.4.0)のシステム要件およびサポートされているプラットフォームまで下にスクロールします。

    3. xlsのリンクをクリックして動作保証マトリックスを表示します。

    このドキュメントには、Oracle Unified Directoryのインストールに際してサポートされるアプリケーション・サーバー、サポートされるクライアント、JDKの要件、およびIPv4/IPv6の動作保証に関する詳細情報が記載されています。このドキュメントには常に、特定リリースの最新情報が含まれます。

  • Oracle® Fusion Middleware Oracle Unified Directoryのインストール12c (12.2.1.4.0)

    Oracle Unified Directoryのプランニングに関する項には、インストール前のシステムに関する備考など、Oracle Unified Directoryをインストールする前に確認しておく必要がある情報が記載されています。

次の各項では、Oracle Unified Directoryのインストール要件に固有の追加情報について説明します。

6.2.1 ハードウェア要件

このリリースに推奨されているインストールの最小ハードウェア要件を把握しておく必要があります。

一般的なガイドラインとして、次のハードウェアが推奨されます。

表6-2 推奨されるハードウェア

ハードウェア・コンポーネント 要件

RAM

評価目的: 小規模なデータベースの場合、256MB以上の空きメモリーが必要です。

本番: 2GB以上が必要です。

ローカル・ディスク領域

評価目的: 小規模なデータベースの場合、十分なログ・ファイル領域を確保するには、100MB以上のローカル・ディスク空き領域がシステムに必要です。1GB以上のディスク領域を確保することをお薦めします。

本番: 最大 250,000 個のエントリ、イメージなどのバイナリ属性なしという一般的な本番デプロイメントの場合、データベースのみについては4GBのディスク領域で十分であると考えられます。ログ・ファイル用に1GBのディスク領域が別途必要になることがあります。変更ログ・データベース(DB)のディスク領域を決定する必要があります。これは、負荷(1秒当たりの更新件数)およびレプリケーション・パージ遅延(サーバーが内部更新に関する情報を保持する必要がある時間)によって決まります。1秒当たり1,000件の変更という負荷の場合、変更ログDBは30-40GBまで拡大する可能性があります。

グローバル索引レプリケーションを使用する場合は、レプリケーション変更ログ用に十分なディスク領域を確保してください。変更ログには、デフォルトで過去100時間の変更が格納されます。サービスの予想サイズに基づいて構成してください。たとえば、1秒当たりの変更件数が5,000件であれば、150GBが必要です。

最適なパフォーマンスを実現するには、JVMヒープおよびデータベース・キャッシュ用の十分なRAMメモリーがシステムに必要です。サーバーはすぐに使用できるチューニングも提供しています。JVMヒープおよびデータベース・キャッシュの設定の詳細は、『Oracle® Fusion Middleware Oracle Unified Directoryのインストール』JVM、Javaオプションおよびデータベース・キャッシュの構成に関する項を参照してください。

システムには、生成されたログ・ファイルを格納するための十分なディスク領域も必要です。デフォルトのサーバー設定では、サーバー・ログ・ファイルは最大1GBのディスク領域を消費する可能性があります。レプリケートされた環境では、1秒当たり1,000件の変更という負荷の場合、変更ログ・データベースは30-40GBまで拡大する可能性があります。ログ・ファイル・サイズの設定の詳細は、『Oracle® Fusion Middleware Oracle Unified Directoryの管理』ログ・ローテーション・ポリシーの構成に関する項を参照してください。

アプリケーションおよびパフォーマンスのニーズに応じて、使用するディスク領域を大幅に減らしたり、増やすようにOracle Unified Directoryを構成できます。設定に関するあらゆる考慮事項を検討した上で、サーバーのデータベースおよびログ・ファイルのメモリーの量を決定する必要があります。

SolarisおよびLinuxシステムでは、JVMヒープの2倍以上の仮想メモリーを確保するようにオペレーティング・システムを構成してください。そのためには、オペレーティング・システムのスワップ領域のサイズを大きくする必要がある場合があります。

6.2.2 ソフトウェア要件

インストールを開始する前に満たすべきソフトウェア要件を把握しておく必要があります。

次のドキュメントに記載されているオペレーティング・システム、アプリケーション・サーバーおよびJDKの要件に加えて、ソフトウェア要件を確認します。

http://www.oracle.com/technetwork/middleware/ias/downloads/fusion-certification-100350.html

次のオペレーティング・システム固有の要件を解決していることを確認します。

6.2.2.1 ファイル記述子の要件(Linuxシステム)

この項で説明する推奨事項はLinuxシステムにのみ関係します。サポートされている他のプラットフォームには影響しません。

最適なサーバー・パフォーマンスを確保するには、クライアント接続、データベース・ファイルおよびログ・ファイルの合計数がオペレーティング・システムのファイル記述子の上限(ulimit -n)を超えないようにしてください。ディレクトリ・サーバーでは、デフォルトで無制限に接続を開くことができますが、オペレーティング・システムのファイル記述子の制限によって制約を受けます。Linuxシステムでは、デフォルトでプロセスが開くことができるファイル記述子の数が1プロセス当たり1024に制限されます。

ディレクトリ・サーバーが1プロセス当たり1024というファイル記述子の制限を超えると、新しいプロセス・スレッドやワーカー・スレッドはブロックされます。たとえば、オペレーティング・システムがファイル記述子の制限を超えると、ディレクトリ・サーバーがOracle Berkeley Java Editionデータベース・ファイルを開こうとしても、接続を開けなくなり、データベース破損の例外が発生することがあります。同様に、オペレーティング・システムで設定されているファイル記述子の制限をディレクトリ・サーバーが超えた場合、LDAP接続ハンドラが新しい接続を開こうとしてCPUの処理を占有してしまうため、ディレクトリ・サーバーが応答しなくなることがあります。

この状況を修正するには、Linuxマシンでファイル記述子の上限を1プロセス当たり65535に設定します。

ファイル記述子の上限を表示するには、次のコマンドを実行します。

/sbin/sysctl -a | grep file-max

file-maxの値が65535未満の場合、次のステップを実行します。

  1. テキスト・エディタを使用して、/etc/sysctl.confファイルを作成または編集、および次のような行の追加または編集をします。
    fs.file-max = 65536
  2. カーネル・パラメータの現行の値を変更するには、次のコマンドを入力します。
    /sbin/sysctl -p
  3. コマンド/sbin/sysctl -a | grep file-maxを入力して、値が正しく設定されていることを確認します。
  4. テキスト・エディタを使用して、/etc/security/limits.confファイルを編集し、次の行を追加します。
    soft nofile 1024
hard nofile 65535

ノート:

/etc/sysctl.confまたは/etc/security/limits.confファイルで値を指定した場合、システムの再起動後も値が維持されます。

6.2.2.2 Solarisゾーンへのインストールに関する固有の要件

この項では、SolarisゾーンへのOracle Unified Directoryのインストールに固有の要件について説明します。

Oracle Unified Directoryソフトウェアは、グローバル・ゾーン、フル・ローカル・ゾーンおよびスパース・ゾーンを、独立した物理システムとして扱います。したがって、サーバーをどのタイプのSolarisゾーンにインストールしても、独立したシステムへのインストールと同様になります。このソフトウェアは、サービスやファイルの場所を他のゾーンと共有しません。

6.2.3 動作保証されている言語

動作保証されている言語と呼ばれる、サポートされている言語のリストを次に示します。

Oracle Unified Directoryは、次の言語について動作保証されています:

  • 中国語(簡体字)

  • 中国語(繁体字)

  • フランス語

  • ドイツ語

  • イタリア語

  • 日本語

  • 韓国語

  • スペイン語

  • ポルトガル語(ブラジル)

ノート:

一部のエラー・メッセージ(具体的にはSEVEREおよびFATALメッセージ)は英語でのみ表示されます。

6.3 ソフトウェア環境の制限事項と推奨事項

この項では、ディレクトリ・サーバーの初期デプロイメントに影響を与える可能性のある制限事項について説明します。

Oracle Unified Directory 12c (12.2.1.4.0)ソフトウェアには、ディレクトリ・サーバーの初期デプロイメントに影響する可能性がある制限事項がいくつかあります。この項で説明するデプロイメントの推奨事項に従ってください。

また、管理者は、十分なサイズのハードウェアで大量の書込み操作をサポートできるように、Oracle Unified Directoryディレクトリ・サーバーとそのJava仮想マシン(JVM)を適切にチューニングする必要があります。『Oracle Fusion Middleware Oracle Unified Directoryのインストール』JVM、Javaオプションおよびデータベース・キャッシュの構成に関する項を参照してください。

この節では、以下のトピックについて説明します。

6.3.1 OUD 12c (12.2.1.4.0)の制限事項

この項では、Oracle Unified Directory 12c (12.2.1.4.0)の制限事項について説明します。パラメータは次のとおりです。

  • Oracle Unified Directoryディレクトリ・サーバーは、別名の参照解除を除き、LDAPv3を完全にサポートしています。LDAPv2については制限付きでサポートしています。

  • エンタープライズ・ユーザー・セキュリティのためにOracle Unified Directoryはユーザーおよびグループのローカルでの格納および管理について検証され、他の外部ディレクトリ・サーバーへのプロキシについても検証されています。サポートされている外部ディレクトリ・サーバーのリストは、動作保証マトリックスに示されています。『Oracle Fusion Middleware Oracle Unified Directoryのインストール』動作保証マトリックスの表示に関する項を参照してください。

  • 検索問合せがエントリの(すべての属性ではなく)特定の必須属性を要求する場合、プロキシ・モードのOracle Unified Directoryサーバーで最適な検索パフォーマンスが得られます。

6.3.2 動作保証マトリックスの表示

この項では、動作保証マトリックスの表示手順を説明します。

動作保証マトリックスを表示するには:

  1. Oracle Fusion Middlewareでサポートされているシステム構成ランディング・ページにアクセスします。
  2. Oracle Identity and Access Management 12cリリース (12.2.1.4.0)のシステム要件およびサポートされているプラットフォームまで下にスクロールします。
  3. 「xls」リンクをクリックして動作保証マトリックスを表示し、「Interop」タブをクリックしてサポートされている外部ディレクトリ・サーバーのリストを表示します。

6.3.3 ソフトウェアの推奨事項

この項では、Oracle Unified Directoryを使用する際の推奨事項について説明します。

従うべき推奨事項は次のとおりです。

  • データベース・ファイルをすべてメモリーにキャッシュすると、ディレクトリ・サーバーのパフォーマンスが向上します。

  • Oracle Unified Directoryディレクトリ・サーバーのデフォルト設定は、最初、リソースの量が制限された機器を稼働している評価担当者や開発者を対象としています。そのため、Java仮想マシン(JVM)およびディレクトリ・サーバー自体をチューニングして、特に書込み操作についてスケーラビリティとパフォーマンスを向上させる必要があります。『Oracle Fusion Middleware Oracle Unified Directoryのインストール』JVM、Javaオプションおよびデータベース・キャッシュの構成に関する項を参照してください。

  • import-ldifコマンドを使用して大きいLDIFファイルをインポートする場合、--skipDNvalidationオプションを使用することをお薦めします。ただし、LDIFファイルが有効であるかどうかが不明な場合は、このオプションを使用しないでください。

  • 静的グループを含む複雑な検索でisMemberOf問合せを実行する場合は、同じバックエンドにグループ・メンバーシップおよびユーザー・エントリを保持することをお薦めします。

6.3.4非推奨のパスワード通知変更プラグイン

Oracle Unified Directory 12 c (12.2.1.4.0)以降、パスワード通知変更プラグイン(oidpwdcn.dll)は非推奨になりました。

Oracleでは、このプラグインをOracle Databaseが提供する中央管理されるユーザー(CMU)機能に置き換えることをお薦めします。

6.4 Oracle Unified Directory (OUD)の既知の問題と回避策

次の項では、このリリース時点でのOracle Unified Directory 12c (12.2.1.4.0)コア・サーバーの既知の問題と制限事項について説明します。

6.4.1 (バグ29964155) config.xmlファイルにシステム・コンポーネントの詳細が見つからない

問題

ユーザー名やパスワードなどのノード・マネージャ・プロパティを更新すると、config.xmlファイル内のシステム・コンポーネントの詳細が削除されます。これにより、stopComponent.shまたはstartComponent.shを使用してコンポーネントを起動/停止しようとしても、OUDシステム・コンポーネントを起動/停止できません。

回避策

システム・コンポーネントの作成後に、ノード・マネージャの詳細を更新しないでください。

6.4.2 JDKバグによってPBKDF2WithHmacSHA512ベースのパスワード記憶スキームが失敗することがある

問題

PBKDF2WithHmacSHA512アルゴリズムに基づく次のパスワード記憶スキームを使用している場合、予測できない結果が生じることがあります。この問題は、JDK 8の問題によって発生します。

  • cn=PBKDF2 HMAC SHA-512,cn=Password Storage Schemes,cn=config

  • cn=EUS PBKDF2 SHA-512,cn=Password Storage Schemes,cn=config

負荷の高いサーバーで前述のスキームを使用している場合、Oracle Unified Directoryにバインドできないことがあります。

回避策

この問題はJDK 9で修正されています。この修正は、JDK 8にバックポートされています。構成で前述のPBKDF2WithHmacSHA512ベースのパスワード記憶スキームを使用している場合は、JDKパッチを適用することをお薦めします。このパッチを適用する方法の詳細は、My Oracle Supportに問い合せてください。

6.4.3 (バグ20109035) OUDのアップグレードがds-sync-hist索引でパージ・フラグの設定に失敗する

問題

バグ番号: 20109035

ds-cfg-purgingds-sync-histフラグがfalseに設定されている場合、OUDのアップグレードがds-sync-hist索引でパージ・フラグの設定に失敗します。

回避策

ds-sync-hist索引のds-cfg-purgingフラグをtrueに設定します。その後、次のようにds-sync-hist索引を再構築します。 

./dsconfig set-local-db-index-prop --element-name userRoot --index-name 
ds-sync-hist --set purging:true 
 
./rebuild-index -b "dc=example,dc=com" -i ds-sync-hist

6.4.4 (バグ19786556) 大規模な静的グループの変更中に、管理上の制限を超える場合がある

問題

バグ番号: 19786556

大規模な静的グループを変更する場合に誤った追加情報が発生します。

回避策

member-lookthrough-limitプロパティを増やします。『Oracle® Fusion Middleware Oracle Unified Directoryの管理』100,000を超えるメンバーを含む静的グループの管理に関する項を参照してください。

6.4.5 (バグ19767906) ECLの変更がトポロジのサーバー間のクロックの誤差によって遅延する

問題

バグ番号: 19767906

レプリケーション・トポロジに2つのサーバーがありますが、結果が1つのサーバーからのみ戻ります。このエラーは、レプリケーション・サーバー間のデータ転送中に発生します。

回避策

現在のところ、この問題に対する回避策はありません。

6.4.6 (バグ19260923) シグナルSIGSTOPを使用すると障害が発生する

問題

バグ番号: 19260923

シグナルSIGSTOPを使用してサーバーを一時停止する場合、SIGSCONTの使用時にバックエンドを無効化してサーバー処理を再開できます。SIGSTOPがOUDによってサポートされていないため、この問題が発生します。

回避策

BDB JEラッチ・タイムアウトをSIGSTOPおよびSIGCONT間の期間よりも長い期間に設定します。例は次のとおりです: dsconfig set-workflow-element-prop --add je-property:je.env.latchTimeout="12 h"

6.4.7 (バグ17874888) ユーザーのdata-sync権限を削除すると、そのユーザーのすべての権限が削除される

問題

バグ番号: 17874888

data-sync権限は操作権限ではなかったため、OUDサーバーはこの権限を認識しません。たとえば、ルート・ユーザーが次のように作成されたとします。

dn: cn=myroot,cn=Root DNs,cn=config
objectClass: inetOrgPerson
objectClass: person
objectClass: top
objectClass: ds-cfg-root-dn-user
objectClass: organizationalPerson
userPassword: admin-password
cn: myroot
sn: myroot
ds-cfg-alternate-bind-dn: cn=myroot
givenName: My Root User
ds-privilege-name: -data-sync

この場合、OUDサーバーではこの権限が認識されないので、削除できません。かわりに、OUDサーバーではこのユーザーのすべての権限が削除されます。

回避策

OUDサーバー構成内のこの権限へのすべての参照を削除する必要があります。次に例を示します。

$ ldapmodify -h localhost -p 4444 --useSSL
dn: cn=myroot,cn=Root DNs,cn=config
changetype:modify
delete:ds-privilege-name
ds-privilege-name: -data-sync

6.4.8 (バグ17797663)パススルー認証がKerberos認証プロバイダで構成されている場合、制約を受ける

問題

バグ番号: 17797663

パススルー認証(PTA)がKerberos認証プロバイダで構成されている場合、正常にバインドするには、一定の条件を満たす必要があります。

回避策

次の条件を満たすようにPTAを構成します。

  • ユーザー・プロバイダはローカル・バックエンドである必要があります。

  • PTAサフィックス、ユーザー・サフィックスおよび認証サフィックスは同じである必要があります。サフィックスが同じになるように構成する最も簡単な方法は、PTAサフィックスを定義し、それ以外のサフィックスを定義しないことです。

6.4.9 (バグ17689711) 2つのサーバーのサフィックスの変更ログを有効化すると、サフィックスのレプリケーションが予期せず有効になる

問題

バグ番号: 17689711

この問題は、レプリケーション対象としてすでに構成されているサフィックス(dc=example,dc=comなど)とレプリケーション対象として構成されていないサフィックス(cn=companynameなど)の2つのサフィックスを含む2台のサーバーがある場合に発生することがあります。両方のサーバーでcn=companynameについて変更ログを有効にすると、サーバー自体はすでに定義され、レプリケーション対象として構成されているため、cn=companynameサフィックスのレプリケーションが自動的に構成されます。

回避策

現在のところ、この問題に対する回避策はありません。

6.4.10 (バグ14772631) AddOutboundTransformationの定義にドットが含まれている場合、検索リクエストが失敗することがある

問題

バグ番号: 14772631

virtualAttr={%sn%.%cn%@o.com}を指定してAddOutboundTransformationを構成するときに、定義にドットが含まれている場合、virtualAttrパラメータにフィルタを含む検索リクエストが正しく動作しないことがあります。

たとえば、"sn:sn.light""cn:cn.light."のように、snおよびcnバックエンド属性値にドットが含まれているとします。この場合、"virtualAttr=sn.light.cn.light@o.com"など、virtualAttrにフィルタを含む検索リクエストが正しく動作しないことがあります。

回避策

現在のところ、この問題に対する回避策はありません。

6.4.11 (バグ14080885)キー・ストアのPINファイルのパスを更新するためのフィールドがmoveplanインタフェースにない

問題

バグ番号: 14080885

moveplanインタフェースには、クローニング・プロセス中にキー・ストアのPINファイルのパスを更新するためのフィールドがありません。

回避策

クローニングするインスタンスでdsconfigコマンドを使用して、JKSキー・マネージャ・プロバイダkey-store-pin-file値を更新します。

6.4.12 (バグ14652478) runInstallerコマンドが適切なOSの確認に失敗する

問題

バグ番号: 14652478

Oracle Linux Enterprise 6では、runInstallerコマンドを実行するには、i686パッケージがシステムにインストールされている必要がある場合があります。OUDが正しく動作するためにこれらのパッケージが直接必要なわけではありませんが、インストール・プロセスでは必要です。

回避策

runInstallerコマンドを実行する前に、必要なi686パッケージをインストールします。『Oracle Unified Directoryのインストール』システム要件と動作保証に関する項を参照してください

6.4.13 (バグ14065106)一部のエラー・メッセージおよびオンライン・ヘルプの翻訳がサポートされていない

問題

バグ番号: 14065106

oudCopyConfig,oudExtractMovePlanのメッセージとヘルプおよびOracle Unified DirectoryのoudPasteConfigコマンドライン・ツールは、英語でのみ使用できます。

回避策

現在のところ、この問題に対する回避策はありません。

6.4.14 (バグ14055062)パラメータ-j, --rootUserPasswordFileの値が相対パスとして指定されている場合、コマンドが失敗する

問題

バグ番号: 14055062

Windowsシステムでは、パラメータ-j, --rootUserPasswordFileの値が相対パスとして指定されている場合、oud-setup、oud-proxy-setupおよびoud-replication-gateway-setupコマンドが失敗します。

回避策

-j, --rootUserPasswordFileパラメータに絶対パスを指定します。

次に例を示します。

-j C:\local\Password.txt

6.4.15 (バグ13996369) gicadmコマンドでカタログがインポートされない

問題

バグ番号: 13996369

相対パスを指定した場合、gicadmコマンドでカタログがインポートされません。

回避策

カタログをインポートするには、絶対パスを指定します。

6.4.16 (バグ13965857)クローニングするサーバー・インスタンスの代替場所を指定した場合、クローニングされたサーバー・インスタンスが完全には構成されない

問題

バグ番号: 13965857

oudPasteConfigコマンドの-tih, -targetInstanceHomeLocオプションを使用すると、クローニングするサーバー・インスタンスの場所を指定できます。クローニングするサーバー・インスタンスの代替場所を指定しても、インスタンスはデフォルトの場所(TARGET_ORACLE_HOME/../TARGET_INSTANCE_NAME)に作成され、エラー・メッセージは生成されません。ただし、クローニングされたサーバー・インスタンスでは一部のカスタム・パラメータが更新されないため、クローニングされたサーバーは一部しか構成されません。

回避策

-tihパラメータは必須です。そのため、サーバー・インスタンスを正常にクローニングするには、次のように-tihパラメータにデフォルトの場所を明示的に指定する必要があります。

-tih TARGET_ORACLE_HOME/../TARGET_INSTANCE_NAME

6.4.17 (バグ13954545) ldapsearch.batクライアントで末尾のアスタリスク文字が正しく処理されない

問題

バグ番号: 13954545

JDK 1.7 (アップデート11より前) JVMインスタンスを実行しているWindowsシステムでは、ldapsearch.bat クライアントで末尾の*が正しく処理されないことがあります。

回避策

最新のJDKバージョンをダウンロードして、Java SEプラットフォームに追加されている修正およびアップデートを適用します。

6.4.18 (バグ12291860)資格証明を指定せずにstop-dsコマンドを使用してサーバーを停止した場合、SNMPトラップが送信されない

問題

バグ番号: 12291860

Windowsシステムでは、資格証明を指定せずにstop-dsを使用してサーバーを停止した場合、SNMPトラップは送信されません。ただし、サーバーは正しく停止します。

stop-ds -D bindDN -p passwordを使用してサーバーを停止すると、SNMPトラップが送信されます。

回避策

現在のところ、この問題に対する回避策はありません。

6.4.19 (バグ12280658) グローバル索引カタログ(GIC)でDNの索引が作成される場合、DN変更操作はサポートされない

問題

バグ番号: 12280658

分散でGICが使用され、GICでエントリDNの索引が作成される場合、DN変更操作はサポートされません。

DNの索引がグローバル索引カタログで作成されない場合は、DN変更操作がサポートされます。それ以外の場合は、RDN変更操作のみがサポートされます。

回避策

パフォーマンス上の理由からはDNの索引を作成することをお薦めしますが、この状況の回避策としては、DNの索引を作成しないでください。

6.4.20 (バグ12266690)ロード・バランシング・ルートが警告なしで削除される

問題

バグ番号: 12266690

ロード・バランシング・ワークフロー要素またはロード・バランシング・アルゴリズムを削除すると、ロード・バランシング・ルートも削除されます。その際、警告は表示されません。

回避策

現在のところ、この問題に対する回避策はありません。

6.4.21 (バグ11718654)負荷が高い場合、レプリケートされたトポロジでエラーが発生する

問題

バグ番号: 11718654

レプリケートされたトポロジでは、サーバーの負荷が高い場合、「複数回試行した後、サーバーは親エントリdc=example, dc=comの読取りロックの取得に失敗しました」というエラー・メッセージがエラー・ログに記録されます。

回避策

より大きいデータベース・キャッシュを構成します。『Oracle® Fusion Middleware Oracle Unified Directoryの管理』サーバー構成のチューニングに関する項を参照してください。

6.5 Oracle Unified Directory Services Manager (Oracle Unified Directory Services Manager)の既知の問題と回避策

次の各項では、Oracle Unified Directory 12c (12.2.1.4.0)のリリース時点でのOracle Unified Directory Services Managerの既知の問題について説明します。

ノート:

Oracle Unified Directoryを最近更新した場合、Oracle Unified Directory Services Managerを起動しようとすると問題が発生する場合があります。Oracle Unified Directoryの更新操作時、Oracle Unified Directory Services Managerも更新され、Oracle Unified Directory Services Manager URLが変更されることがあります。この問題は、通常、ブラウザを使用して以前のバージョンのOracle Unified Directory Services Managerを起動した場合に発生します。

したがって、更新されたバージョンのOracle Unified Directory Services Managerを起動するには、まずブラウザのキャッシュとCookieをクリアします。

この項では、次の既知の問題および回避方法について説明します。

6.5.1 (バグ17582404) WebLogic ServerのログにADFエラーが表示される

問題

バグ番号: 17582404

データ・ビューでエントリにアクセスすると、WebLogic Serverのログに次のエラー・メッセージが表示されます。

<Oct 9, 2013 8:04:17 AM PDT> <Error>
<oracle.adf.controller.internal.binding.TaskFlowRegionInitialConditions>
<ADFC-64007> <ADFc: Task flow binding parameter 'entryObject' of type
'oracle.idm.directoryservices.odsm.model.oid.UserEntry' on binding
'oidDBdetailtaskflow' is not serializable, potential for incorrect
application behavior or data loss.>

回避策

このエラーは、WebLogic Serverの機能には影響しません。このメッセージは無視してかまいません。

6.5.2 (バグ18789805/18915580/18905879/18884612/18874750) JOINワークフロー要素の変更の問題

問題

バグ番号: 18789805/18915580/18905879/18884612/18874750

OUDSMのJOINワークフロー要素の特定の要素およびパラメータの変更結果が保存されません。

保存されないパラメータのリストは次のとおりです。

  • プライマリ参加者およびセカンダリ参加者の両方の「属性の格納」、「属性の取得」

  • 結合サフィックス値

  • 結合条件

  • 参加者関係のバインドの優先度

  • LDAP操作

回避策

dsconfigを使用して変更を行います。

6.5.3 (バグ18871434) 結合DN属性がOUDSMの拡張検索で戻らない

問題

バグ番号: 18871434

OUDSMで、拡張検索を使用した問合せが結合DN属性を戻しません。ldapsearchを使用すると、検索が結合dn属性を戻します。

回避策

ldapsearchを使用して、結合DN属性を取得します。

6.5.4 (バグ19028533) Adv Search: Issue with Search in pick attributes table

問題

バグ番号: 19028533

「拡張検索」ページで、「フェッチされた属性」および「結果のソート」セクションに対する「属性ピッカー」ウィンドウの検索操作によって次のエラーが戻されます: 解決できないエラーが発生しました。詳細は、管理者に問い合せてください。

回避策

「属性の選択」表を下にスクロールして、属性を手動で選択します。

6.5.5 (バグ17462792) Solarisでサブタブが設計どおりに表示されないことがある

問題

バグ番号: 17462792

SolarisシステムでFirefoxを使用して「Directory Service Manager」タブまたは「トポロジ・マネージャ」タブにアクセスしたときに、サブタブが正しく表示されないことがあります。

回避策

「>>」ボタンまたは「<<」ボタンをクリックしてメニューを開き、サブタブ間を移動します。

6.5.6 (バグ17262682) Windows 2008 R2では、デフォルトのブラウザ設定でOUDSM URLがアクセス可能として許可されないことがある

問題

バグ番号: 17262682

Windows 2008 R2にOUDおよびOUDSMをインストールした後、OUDSM URLにアクセスしようとすると、「Oracle Directory Services Managerを起動しています」というメッセージが表示されますが、OUDSMアプリケーションがブラウザに正しくロードされません。これは、Microsoft Internet Explorerバージョン8または9のブラウザを使用している場合に発生することがあります。

回避策

  1. JavaScriptが有効になっていることを確認します。

  2. OUDSM URLを信頼済サイトに追加します。

    「ツール」→「インターネット オプション」→「セキュリティ」→「信頼済みサイト」→「サイト」→「追加」を選択します。「追加」をクリックしてOUDSM URLをサイトに追加します。

6.5.7 (バグ16946878)アラートが設計どおりに送信されない

問題

バグ番号: 16946878

「アラート・ハンドラ・プロパティ」ページで、「無効なアラート・タイプ」フィールドと「有効なアラート・タイプ」フィールドが設計どおりに動作しません。これらのフィールドの設定に関係なく、アラートが正しく送信されることはありません。

回避策

dsconfig set-alert-handler-propを使用して、enabled-alert-typeまたはdisabled-alert-typeの値を追加または削除します。

enabled-alert-typeのアラート・タイプ値を追加するには、dsconfig set-alert-handler-prop --add enabled-alert-type: alert type valueを使用します。

enabled-alert-typeのアラート・タイプ値を削除するには、dsconfig set-alert-handler-prop set-alert-handler-prop --remove enabled-alert-type:alert type valueを使用します。

例:

# dsconfig -h slc03roj -p 4444 -D "cn=Directory Manager" -j /tmp/oud -n -X set-alert-handler-prop --handler-name "SMTP Alert handler name" --remove enabled-alert-type:org.opends.server.DirectoryServerShutdown

6.5.8 (バグ16056177)「拡張検索」ページで、「検索結果」の表内のエントリをクリックしたときに、一部のボタンが正しく動作しない

問題

バグ番号: 16056177

「拡張検索」ページで、「検索結果」の表内のエントリをクリックしたときに、「オプション属性」がすでに開いていると、「属性の表示」ボタンが表示されません。ただし、「オプション属性」を閉じて、もう一度開くと、「属性の表示」ボタンが表示されます。しかし、ボタンをクリックしても、「属性の選択」ダイアログ・ボックスは空白です。

回避策

エントリの詳細を表示するには、「データ・ブラウザ」タブから該当するエントリを選択します。

6.5.9 (バグ15928439)指定されたオブジェクト・クラスが変更ログ・エントリに含まれていない場合、Java NullPointer例外が発生する

問題

バグ番号: 15928439

このNullPointer例外が発生した場合、OUDSMからその変更ログ・エントリの内容にアクセスすることはできません。引き続き、OUDSMを使用して他のタスクを実行したり、他のエントリにアクセスすることはできます。

回避策

オブジェクト・クラスが指定されていない変更ログ・エントリにアクセスするには、別のLDAPクライアントを使用します。

6.5.10 (バグ12363352) screenReaderモードでは、一部のボタンのフォーカスが正しく動作しない

問題

バグ番号: 12363352

screenReaderモードでは、変更後に、OUDSMインタフェースの「作成」、「適用」および「取消」ボタンにフォーカスが設定されません。

回避策

目的のボタンにフォーカスが設定されるまで[Tab]キーを押します。また、マウスを使用して目的のボタンをアクティブにすることもできます。

6.6 関連するOracle Directoryコンポーネントの既知の問題と回避策

この項では、Oracle Directory Integration PlatformとOracle Identity Governance Frameworkの既知の問題と回避策について説明します。

内容は次のとおりです

6.6.1 Oracleディレクトリ統合プラットフォーム

Oracle Directory Integration Platformの既知の問題と回避策には、一般的な問題と構成の問題が含まれます。

内容は次のとおりです

6.6.1.1 Oracle Directory Integration Platformの一般的な問題および回避策

この項では、一般的な問題および回避策について説明します。

内容は次のとおりです

6.6.1.1.1 Oracle WebLogic Server上でドメイン全体の管理ポートを有効にするとDIPコマンドライン・インタフェースを使用できなくなる

問題

ディレクトリ統合プラットフォームが稼働する任意のWebLogicサーバー上でドメイン全体の管理ポートを有効にすると、標準的な管理者アカウントでDIPコマンドライン・インタフェースを使用できなくなるので注意してください。DIPコマンドを入力すると、次のようなエラーが発生します。

ユーザー: "weblogic"の認証に失敗しました。

回避策

ただし管理者は、Enterprise Manager (EM) GUIを使用してOracle Directory Integration Platformを構成および管理することはできます。

6.6.1.1.2 LDIFファイルにネイティブ・エンコーディングがある場合は、非ASCII文字を含むLDIFファイルによってtestProfileコマンド・オプションが失敗する可能性がある

問題

コマンドラインからDIPテスターを実行する場合、-ldiffileオプションが指定されており、LDIFファイルに非ASCII文字があると、manageSyncProfiles testProfileコマンドは失敗します。

回避策

この制限は、UTF-8エンコーディングのLDIFには影響しません。マルチバイト文字を含むLDIFファイルでUTF-8エンコーディングを保存できない場合、次の回避策を使用します。

  1. コマンド行から、ldapaddコマンドを使用してエントリを追加し、-Eオプションでロケールを指定します。必要なコマンド構文については、『Oracle Fusion Middleware Oracle Identity Managementリファレンス』ldapaddコマンドのリファレンスを参照してください。

  2. 最後の追加操作では、特定のchangeNumberを取得します。

  3. 前のステップのchangeNumberを使用して、testProfileコマンドを実行します。

    詳細は、『Oracle Fusion Middleware Oracle Directory Integration Platformの管理』WLSTコマンドライン・インタフェースからのDIPテスターの実行に関する項を参照してください。

6.6.1.1.3 拡張モードでLDIFファイル・オプションを指定してtestProfileコマンドを実行すると失敗する

問題

-ldiffileオプションが指定されている場合、拡張モードでコマンドラインからDIPテスターを実行すると、manageSyncProfiles testProfileコマンドが失敗し、間違った操作が同期されることがあります。

回避策

この問題を解決するには、manageSyncProfile updatechgnumコマンドを実行します。『Oracle Fusion Middleware Oracle Directory Integration Platformの管理』WLSTコマンドライン・インタフェースからのDIPテスターの実行に関する項を参照してください。

6.6.1.1.4 高負荷のソース・ディレクトリでの競合状態によって一部の変更が同期されない

問題

ソース・ディレクトリの負荷が高い場合、データベースのコミットがlastchangenumberへの更新に対応できなくなる競合状態が発生する場合があります。この競合状態が発生すると、Oracle Directory Integration Platformでは一部の変更を同期できなくなります。

ノート:

この問題は、Oracle Internet Directoryをバックエンド・ディレクトリとして使用する場合にのみ発生します。

回避策

この問題を解決するには、次のステップを実行して、データベースのコミットがlastchangenumberに対応できるようにします。

  1. 同期プロファイルの「スケジューリングの間隔」の値を増やします。

  2. プロファイルでsearchDeltaSizeパラメータを設定することで、同期サイクルの中でソース・ディレクトリで実行される検索の回数を制御します。最初は値を10に設定し、後で必要に応じて値を調整することをお薦めします。

6.6.1.1.5 manageSyncProfilesユーティリティから接続ディレクトリのパスワードを要求される

問題

manageSyncProfilesユーティリティを実行してデータベースを同期する際、manageSyncProfiles registerから接続ディレクトリのパスワードを要求されます。

回避策

ディレクトリのパスワードではなく接続データベースのパスワードを指定してください。

6.6.1.1.6 Oracle Password Filter for Microsoft Active Directoryのインストール画面に11gバージョンが表示される

機能に影響はなく、ユーザーによる処置は必要ありません。

6.6.1.1.7 「リソース使用率」チャートが表示されない

Oracle Directory Integration Platform 12c (12.2.1.3)でDIPホームページに「リソース使用率」チャートが表示されません。

6.6.1.2 Oracle Directory Integration Platformの構成の問題および回避策

この項では、構成に関する問題およびその回避方法について説明します。次のトピックが含まれています:

6.6.1.2.1 同期プロファイルの作成時のサービス名の指定

同期プロファイルを作成する際は、SIDではなくデータベース・サービス名を指定してください。

例:

データベースに接続するには、ディレクトリ同期プロファイルのodip.profile.condirurl接続詳細プロパティにフォームhost:port:serviceNameを使用します。

Oracle Enterprise Manager Fusion Middleware Controlの「同期プロファイルを作成」ページでデータベース・サービスIDのデータベース・サービス名を指定します。『Oracle Fusion Middleware Oracle Directory Integration Platformの管理』同期プロファイルの作成に関する項を参照してください。

6.6.1.2.2 Oracle Internet Directoryがバックエンド・ディレクトリの場合、Oracle Directory Integration Platformの構成時にlocalhostをOracle Internet Directoryのホスト名として使用しない

構成ウィザードを使用してOracle Directory Integration Platformを既存のOracle Internet Directoryに対して構成する場合、完全修飾ドメイン名(myhost.example.comなど)を使用してOracle Internet Directoryのホスト名を指定する必要があります。Oracle Directory Integration PlatformとOracle Internet Directoryが同じホストに共存する場合でも、localhostをOracle Internet Directoryのホスト名とし使用しないでください。

localhostをOracle Internet Directoryのホスト名として使用すると、Oracle Directory Integration PlatformをホストするOracle WebLogic管理対象サーバーを起動できません。

6.6.1.2.3 Oracle Unified Directoryに対してdipConfiguratorを実行した後にDirectory Integration Platformの再起動が必要な場合がある

Oracle Unified Directory (OUD)エンドポイントに対してdipConfiguratorを実行した後に、Enterprise MangerでDirectory Integration Platform (DIP) UIを開けない場合は、DIPを停止して起動し、UIの問題を解決してください。

6.6.1.2.4 プロファイルの構成時、マッピング・ルールを表示するのに空白のセクションを越してスクロールすることが必要な場合がある

Internet Explorerを使用してDirectory Integration Platform (DIP) UIを表示しているとき、プロファイル・マッピング・ルール・セクションを確認するために、大きな空白領域を越してスクロールすることが必要な場合があります。この問題は、他のブラウザに影響を与えるか不明です。

6.6.1.2.5 Oracle RACデータベースのホスト名とポート番号を指定

問題

Oracle Internet Directoryにバックエンド・ディレクトリとしてOracle Directory Integration Platformを構成する際、dbconfigファイルでRACデータベースのURLのみを指定した場合、次のエラー・メッセージが表示されます。 

Error occurred in configuring DataSource. 
Error occurred in rolling back DataSource changes. 
Error occurred in configuring DataSource. 
Error occurred during DIP configuration Step - DataSourceConfigurationStep. 
Error occurred in DIP configuration against OID as backend.

回避策

この問題を解決するには、dbconfigファイルでOracle RACデータベースのURLDB_HOSTおよびDB_PORTを指定します。

6.6.1.3 プロビジョニングの問題
6.6.1.3.1 インターフェイス・プロトコル(インバウンド)バージョン3.0を使用して変更内容が伝播されないことがある

問題

インタフェース・プロトコル・バージョン3.0を使用してOracle Internet Directory (バックエンド・ディレクトリ)でインバウンド・プロビジョニング・プロファイルが構成されている場合、変更内容が伝播されないことがあります。

回避策

https://support.oracle.comを参照してください。

6.6.1.3.2 Oracle Internet Directory (バックエンド・ディレクトリ)からアプリケーションへのプロビジョニングが失敗することがある

問題

Oracle Internet Directoryのプロビジョニング・プロファイルを削除し、同じ名前で再作成した場合、Oracle Internet Directoryからアプリケーションへのプロビジョニングが失敗することがあります。

回避策

この問題を解決するには、プロビジョニング・プロファイルを作成して、新しい名前を指定します。

プロビジョニング・プロファイルの作成の詳細は、『Oracle Fusion Middleware Oracle Directory Integration Platformの管理』manageProvProfilesコマンドの概要に関する項を参照してください。

6.6.2 Oracle Identity Governance Framework

Oracle Identity Governance Frameworkの既知の問題と回避策には、一般的な問題とIdentity Governance Framework、Library Oracle Virtual Directory (LibOVD)およびIdentity Directory Service (IDS)に関連する既知の問題が含まれます。

内容は次のとおりです

6.6.2.1 LibOVDおよびIDSの既知の問題と回避策
6.6.2.1.1 libovdconfig.batスクリプトがファイル・パスに含まれるスペースをサポートしない

問題

Microsoft Windowsプラットフォームで、-jreLocオプションのJavaインストールのパスに空白が含まれる場合、libovdconfig.batスクリプトは動作しません。たとえば、C:\Program Files\Java\jdk1.7.0_21.などです

回避策

JavaインストールへのパスをDOS 8.3形式で指定します。

次に例を示します。

-jreloc C:\Progra~1\Java\jdk1.7.0_21

6.6.2.1.2 複数のアイデンティティ・ストアでユーザーの名前が同じである

問題

同じユーザー名が複数のLDAPリポジトリ内に存在し、virtualizeプロパティがLibOVDを使用するよう設定されている場合、Identity Directory APIを使用してそのユーザー名の問合せを行うと、それらのリポジトリのいずれかのみのデータが返されます。

回避策

現在、この問題を回避する方法はありません。

6.6.2.2 Oracle Identity Governance Frameworkのドキュメントの変更

Identity Governance Frameworkの12c (12.2.1.3.0)リリースでは、いくつかの動作変更が導入されました。これには、非推奨となった、およびサポートが終了した機能とコンポーネントが含まれます。

非推奨となった章またはブック

非推奨になると、機能は強化されなくなりますが、12c (12.2.1.3.0)リリースの有効期間中は引き続きサポートされます。サポートが終了すると、Oracleではその機能に関連するバグは修正されなくなり、コードが完全に削除される可能性があります。記載がある場合、非推奨となった機能は今後のメジャー・リリースではサポートされなくなる可能性があります。