Oracle Application Serverリリース・ノート 10gリリース2(10.1.2)for Solaris Operating System (SPARC) B15829-14 |
|
戻る |
次へ |
この章では、Oracle Delegated Administration Services(DAS)およびOracle Internet Directoryセルフサービス・コンソールに関する問題について説明します。この章の内容は次のとおりです。
この項では、Oracle Delegated Administration Servicesの一般的な問題とその対処方法について説明します。この項の内容は次のとおりです。
第24.1.1項「リリース9.0.2、9.0.4および10.1.2のOracle Delegated Administration Servicesの構成権限でレルムの値を編集できない」
第24.1.2項「メンバーが指定されていないロールが「ユーザーの作成」および「ユーザーの編集」の「ロール割当て」セクションに表示されない」
リリース9.0.2、9.0.4および10.1.2のアップブレードでは、レルムの値を編集できるのはorcladmin
ユーザーのみです。他のユーザーは、Oracle Delegated Administration Servicesの構成権限を付与されていても、この値を編集できません。他のユーザーは「ユーザー検索ベース」、「ユーザー作成ベース」、「グループ検索ベース」および「グループ作成ベース」を読み取るための十分な権限がありません。この問題を回避するには、これらのコンテナに対するACLを変更し、匿名参照アクセスを有効にします。
ロールには1つ以上の一意のメンバーを含める必要があります。これによって、ロールは「ユーザーの作成」ページと「ユーザーの編集」ページの「ロール割当て」セクションに表示されるようになります。
ロールに一意のメンバーを追加するLDIFファイルの構文は、次のとおりです。
dn: DN_of_role_entry changetype: modify add:uniquemember uniquemember:DN of member entry
ファイルを変更するには、次のコマンドを発行します。
ldapmodify -p oid_port -h oid_host -D "cn=orcladmin" -w admin_password -v -f file_name.ldif
OracleAS Portalなどの各種アプリケーションは、Oracle Application Server Single Sign-OnのパスワードのリセットにOracle Delegated Administration Servicesを使用します。ソース・アプリケーションのリンクをクリックすると、Oracle Internet Directoryセルフサービス・コンソールの「Single Sign-Onパスワードのリセット」ページが開きます。ユーザーはそこから自分のパスワードをリセットできます。しかし、ユーザーがパスワードのリセット後に「OK」ボタンをクリックしたり、パスワード変更プロセスを中断するために「取消」ボタンをクリックすると、アプリケーションの参照先ページではなく、Oracle Delegated Administration Servicesのホーム・ページにリダイレクトされます。
ユーザーをOracle Delegated Administration Servicesのホーム・ページ以外の場所にリダイレクトするには、アプリケーションの参照先ページのリンクに、返す正しいURLを含む問合せ文字列を追加します。問合せ文字列に、doneURL
およびcancelURL
属性用にname=valueの組合せをそれぞれ組み込みます。doneURL
属性は、ユーザーが「OK」ボタンをクリックしたときにコールされるリダイレクトURLです。cancelURL
属性は、ユーザーが「取消」ボタンをクリックしたときにコールされるリダイレクトURLです。次は、doneURL
およびcancelURL
属性を含む「アプリケーション・パスワードの変更」ページへのURLの構築例です。
http://host:port/oiddas/ui/oracle/ldap/DASStep1ResetPwd? cancelURL=http://www.domain.com&doneURL=http://www.domain.com
Oracle Internet Directoryで、レルムDNがルートDSE(DSA固有のエントリ)である1レベル・レルムを作成できます。1レベル・レルムを使用すると、Oracle Internet DirectoryでルートDSEがサブスクライバ検索ベースになります。Oracle Application Server Single Sign-OnおよびOracle Delegated Administration Servicesは、1レベル・レルムの使用により正しく機能します。ただし、Oracle Delegated Administration Servicesによってユーザーのリソース・アクセス記述子(RAD)の取得が試行されると、oracle.ldap.util.User.getExtendedProperties()
からNullPointerExection
がスローされます。1レベルのOracle Internet Directoryレルムと統合された場合や、カスタム・アプリケーションからoracle.ldap.util.User.getExtendedProperties()
メソッドがコールされた場合に、この例外はOracle Application Server Forms ServicesおよびReports Servicesに対してスローされます。
この問題は、今後のパッチ・リリースで修正される予定です。
Oracle Application Serverを10gリリース2(10.1.2)にアップグレードすると、Oracle Delegated Administration Servicesに構成したユーザー属性カテゴリのカスタム順序が上書きされることがあります。上書きされた場合、アップグレード後にOracle Internet Directoryセルフサービス・コンソールの「属性カテゴリの構成」ウィンドウから、カテゴリ・リストの順序を変更する必要があります。
「属性カテゴリの構成」ウィンドウでカテゴリ・リストの順序を変更するには、『Oracle Identity Management委任管理ガイド』の第5章「Oracle Internet Directoryセルフサービス・コンソールでのユーザーおよびグループの管理」、ユーザー・エントリの構成に関する項を参照してください。
この項では、Oracle Delegated Administration Servicesの管理に関する問題とその対処方法について説明します。この項の内容は次のとおりです。
第24.2.2項「Oracle Internet Directoryセルフサービス・コンソールでUnified MessagingのボイスメールPINフィールドのラベルが適切に表示されない」
第24.2.4項「Oracle Internet Directoryセルフサービス・コンソールの「ユーザーの作成」および「ユーザーの編集」ウィンドウに「タイムゾーン」フィールドが2つ表示される」
ユーザーおよびグループに対するロールの割当ておよび取消しは、セルフサービス・コンソールが新規作成された場合にのみ適用されます。ロールの割当てまたは取消し後に、コンソールをログアウトして再度ログインします。
Oracle Collaboration Suiteのユーザーがセルフサービス・コンソールを使用してパスワードを変更すると、ボイスメールPIN番号に関連付けられたフィールドがEmailServerContainerとして誤って表示されます。この問題を解決する手順は次のとおりです。
Oracle Directory Managerを使用して次のDNのエントリにナビゲートします。cn=orclpwdverifierconfig,cn=EMailServerContainer, cn=Products,cn=OracleContext,cn=subscriber realm
エントリを選択します。
「プロパティの表示」で「すべて」を選択します。
「表示名」テキスト・ボックスに「Voicemail PIN
」と入力します。
「適用」を選択します。
Oracle Identity Managementには、特権ユーザーの固有タイプが2つあります。どちらの特権ユーザー・アカウントも、特定のパスワード・ポリシーがアクティブな場合にロックできます。
最初のタイプの特権ユーザーは、DN cn=orcladmin
を持つスーパー・ユーザーで、デフォルトのID管理レルムにある特殊ユーザー・エントリとして表されます。この特権により、ディレクトリ管理者はDITおよびOracle Internet Directoryサーバーの構成を変更できます。不正なパスワードによるバインドが何度も試行された結果、スーパー・ユーザー(orcladmin
)のアカウントがロックされた場合などは、Oracle Internet Directoryリポジトリに対するDBA権限を持つ管理者は、oidpasswdツールを使用してロックを解除できます。orcladmin
アカウントをロック解除するには、次のコマンドを実行します。
oidpasswd unlock_su_acct=TRUE
2番目の特権ユーザーは、レルム固有のものです。このユーザーは、レルム内のユーザーやグループの作成および削除などの機能やOracle Delegated Administration Servicesに関するすべての機能を管理します。このアカウントは、DN cn=orcladmin,cn=users,
realm_DN
を持つエントリで表されます。単一のスーパー・ユーザー・アカウントとは対照的に、各レルムにレルム固有の特権ユーザーが存在します。レルム固有の特権アカウントをロック解除するには、管理者がOracle Directory Managerを使用してレルム固有の特権ユーザー・アカウントのパスワードを変更します。
Oracle Internet Directoryの分散インストールでは、Oracle Internet Directoryセルフサービス・コンソールの「ユーザーの作成」および「ユーザーの編集」ウィンドウに「タイムゾーン」フィールドが2つ表示されることがあります。重複フィールドを削除する手順は次のとおりです。
Oracle Directory Managerを起動して、orcladmin
としてログインします。
ナビゲータ・ペインで、「Oracle Internet Directoryサーバー」→「<ディレクトリ・サーバー・インスタンス>」→「エントリ管理」を開きます。
「エントリ管理」の下のサブツリーで、次のDNを開きます。realm_DN
, cn=oraclecontext, cn=Products, cn=DAS,cn=Attribute Configuration, cn=User Configuration, cn=categories, cn=Basic Info
cn=categories
ノードの下のcn=Basic Info
を選択します。
「プロパティ」タブ・ページで、orcldasattrname
属性を特定してorcltimezone;;;7
の値を削除します。
「適用」をクリックします。
Oracle Delegated Administration Servicesを再起動して、Oracle Internet Directoryセルフサービス・コンソールにログインします。
「構成」タブで、「ユーザー・エントリ」を選択します。
「ページのリフレッシュ」をクリックします。