11 Oracle Delegated Administration Services

この章では、Oracle Delegated Administration Services（DAS）およびOracle Internet Directoryセルフ・サービス・コンソールに関する問題について説明します。 この章の内容は次のとおりです。

• 11.1項「一般的な問題と対処方法」

• 11.2項「構成に関する問題と対処方法」

• 11.3項「管理に関する問題と対処方法」

• 11.4項「ドキュメントの誤記」

11.1 一般的な問題と対処方法

この項では、Oracle Delegated Administration Servicesに関する一般的な問題とその対処方法について説明します。 この項の内容は次のとおりです。

• 11.1.1項「パスワード・ポリシーからの要求に対しOracle Internet Directoryセルフ・サービス・コンソールを使用してパスワードを変更する」

• 11.1.2項「リリース9.0.2、9.0.4および10.1.2でOracle Delegated Administration Servicesの構成権限でレルムの値を編集できない」

• 11.1.3項「メンバーが指定されていないロールが「ユーザーの作成」および「ユーザーの編集」の「ロール割当て」セクションに表示されない」

• 11.1.4項「Oracle Application Server Single Sign-Onパスワードを再設定すると、ユーザーがOracle Delegated Administration Servicesのホームページにリダイレクトされる」

11.1.1 パスワード・ポリシーからの要求に対しOracle Internet Directoryセルフ・サービス・コンソールを使用したパスワードの変更

Oracle Internet Directory 10g リリース2（10.1.2）では、初回ログイン後にパスワードの変更を要求するようにパスワード・ポリシーを設定できます。このようにパスワード・ポリシーを設定すると、ユーザーはOracle Internet Directoryセルフ・サービス・コンソールの「パスワード変更」画面を使用して、パスワードを変更する必要があります。他のメカニズムは、パスワードの変更要件を満たさないことがあるため、次のログイン時にも同様にパスワードの変更を要求される場合があります。

11.1.2 リリース9.0.2、9.0.4および10.1.2ではOracle Delegated Administration Servicesの構成権限でレルムの値を編集できない

リリース9.0.2、9.0.4、および10.1.2のアップグレードでは、レルムの値を編集できるのはorcladminユーザーのみです。他のユーザーは、Oracle Delegated Administration Servicesの構成権限を付与されていても、この値を編集できません。これは、他のユーザーには「ユーザー検索ベース」、「ユーザー作成ベース」、「グループ検索ベース」および「グループ作成ベース」を読み込むための十分な権限がないためです。この問題を回避するには、これらのコンテナに対するACLを変更し、匿名参照アクセスを有効化します。

11.1.3 メンバーが指定されていないロールが「ユーザーの作成」および「ユーザーの編集」の「ロール割当て」セクションに表示されない

ロールには1つ以上の一意のメンバーを含める必要があります。これによって、ロールは「ユーザーの作成」ページと「ユーザーの編集」ページの「ロール割当て」セクションに表示されるようになります。

ロールに一意のメンバーを追加するには、LDIFファイルの構文は次のとおりです。

dn: DN_of_role_entry  changetype: modify  add:uniquemember  uniquemember:DN of member entry

ファイルを変更するには、次のコマンドを発行します。

ldapmodify -p oid_port -h oid_host -D "cn=orcladmin" -w admin_password -v -f file_name.ldif

11.1.4 Oracle Application Server Single Sign-Onパスワードを再設定すると、ユーザーがOracle Delegated Administration Servicesのホームページにリダイレクトされる

OracleAS Portalなどの様々なアプリケーションでは、Oracle Delegated Administration Servicesを使用してOracle Application Server Single Sign-Onパスワードを再設定します。ユーザーが独自のパスワードを再設定するには、ソース・アプリケーションのリンクをクリックして、Oracle Internet Directoryセルフ・サービス・コンソールの「Single Sign-Onパスワードのリセット」ページを表示します。ただし、パスワードを再設定して「OK」ボタンをクリックするか、または「取消」ボタンをクリックしてパスワードの変更プロセスを中断すると、参照アプリケーション・ページではなく、Oracle Delegated Administration Servicesのホームページにリダイレクトされます。

Oracle Delegated Administration Servicesのホームページ以外の場所にユーザーをリダイレクトするには、参照アプリケーション・ページのリンクに、正しい戻りURLを含む問合せ文字列を追加します。問合せ文字列には、doneURL属性およびcancelURL属性の2つの名前/値ペアを含めてください。doneURL属性には、ユーザーが「OK」ボタンをクリックした場合にコールされるリダイレクトURLを指定します。cancelURL属性には、ユーザーが「取消」ボタンをクリックした場合にコールされるリダイレクトURLを指定します。doneURL属性およびcancelURL属性を指定した「アプリケーション・パスワードの変更」ページへのURLの作成例を、次に示します。

http://host:port/oiddas/ui/oracle/ldap/DASStep1ResetPwd?
cancelURL=http://www.domain.com&doneURL=http://www.domain.com

11.2 構成に関する問題と対処方法

この項では、Oracle Delegated Administration Servicesの構成に関する問題とその対処方法について説明します。 この項の内容は次のとおりです。

• 11.2.1項「個別のホストへのOracle Delegated Administration Servicesのデプロイ」

• 11.2.2項「10g（9.0.4）から10g リリース2（10.1.2）にアップグレードされたOracle Internet Directoryのインストールに対して実行するためのOracle Delegated Administration Servicesの構成」

11.2.1 個別のホストへのOracle Delegated Administration Servicesのデプロイ

個別のOracleホームにOracle Delegated Administration Servicesを構成する場合は、スタンドアロン・インストールを実行します。このインストールを実行するには、Identity Managementインストール・タイプを選択し、構成オプション画面でDelegated Administration Servicesを選択します。

11.2.2 10g（9.0.4）から10g リリース2（10.1.2）にアップグレードされたOracle Internet Directoryのインストールに対して実行するためのOracle Delegated Administration Servicesの構成

10g（9.0.4）から10g リリース2（10.1.2）にアップグレードしたOracle Internet Directoryのインストールに対してOracle Delegated Administration Services 10g リリース2（10.1.2）が実行されるようにするには、次の手順を実行します。

「ユーザー検索ベース」、「ユーザー作成ベース」、「グループ検索ベース」および「グループ作成ベース」コンテナに対するACLを変更し、匿名参照アクセスを有効にします。

11.3 管理に関する問題と対処方法

この項では、Oracle Delegated Administration Servicesの管理に関する問題とその対処方法について説明します。 この項の内容は次のとおりです。

• 11.3.1項「Oracle Internet Directoryセルフ・サービス・コンソールのユーザー・エントリの欠落」

• 11.3.2項「権限の割当てと取消しには新規セルフ・サービス・コンソール・セッションの開始が必要」

• 11.3.3項「Oracle Internet Directoryセルフ・サービス・コンソールではUnified MessagingのボイスメールPINフィールドのラベルが適切に表示されない」

• 11.3.4項「特権ユーザー・アカウントのロック解除」

• 11.3.5項「異なるDNSドメインでのOracle Delegated Administration ServicesとOracleAS Portalの実行」

• 11.3.6項「ユーザーが表示されない、または検索が失敗する」

11.3.1 Oracle Internet Directoryセルフ・サービス・コンソールのユーザー・エントリの欠落

inetOrgPersonオブジェクト・クラスに属さないOracle Internet Directoryのユーザー・エントリは、Oracle Internet Directoryセルフ・サービス・コンソールに表示されません。Oracle Directory Managerまたはldapmodifyコマンドを使用して、ユーザー・エントリをオブジェクト・クラスに割り当てます。

参照: Oracle Directory Managerおよびldapmodifyコマンドの使用については、『Oracle Internet Directory管理者ガイド』を参照してください。

11.3.2 権限の割当てと取消しには新規セルフ・サービス・コンソール・セッションの開始が必要

ユーザーおよびグループに対するロールの割当ておよび取消しは、セルフ・サービス・コンソールが新規作成された場合にのみ施行されます。ロールの割当てまたは取消し後にコンソールからログアウトし、再度ログインします。

11.3.3 Oracle Internet Directoryセルフ・サービス・コンソールではUnified MessagingのボイスメールPINフィールドのラベルが適切に表示されない

Oracle Collaboration Suiteユーザーが、セルフ・サービス・コンソールを使用して自分のパスワードを変更する場合、ユーザーのボイスメールPIN番号に関連付けられたフィールド名が「EmailServerContainer」と誤って表示されます。この問題を解決するには、次の手順を実行します。

1. Oracle Directory Managerを使用して、DN（cn=orclpwdverifierconfig,cn=EMailServerContainer, cn=Products,cn=OracleContext,cn=subscriber realm）のエントリにナビゲートします。

2. エントリを選択します。

3. 「プロパティの表示」で「すべて」を選択します。

4. 表示名テキスト・ボックスに、Voicemail PINと入力します。

5. 「適用」を選択します。

11.3.4 特権ユーザー・アカウントのロック解除

Oracle Identity Managementには、2つのタイプの特権ユーザーがあります。この特権ユーザー・アカウントは、いずれも特定のパスワード・ポリシーがアクティブである場合はロックできます。

1つ目のタイプの特権ユーザーは、DN cn=orcladminを持つスーパー・ユーザーであり、デフォルトのID管理レルムで特別ユーザー・エントリとして表されます。この特権によって、ディレクトリ管理者はDITおよびOracle Internet Directoryサーバーの構成を変更できます。たとえば、不正なパスワードによるバインドが何回も試行されたために、スーパー・ユーザー（orcladmin）のアカウントがロックされた場合、Oracle Internet Directoryリポジトリに対するDBA権限を持つ管理者は、oidpasswdツールによってそのアカウントのロックを解除できます。orcladminアカウントのロックを解除するには、次のコマンドを実行します。

oidpasswd unlock_su_acct=TRUE

2つ目の特権ユーザーは、レルム固有です。このユーザーは、レルム内のユーザーとグループの作成や削除などの機能、およびOracle Delegated Administration Servicesに関連するすべての機能を管理します。このアカウントは、DN cn=orcladmin,cn=users,realm_DN であるエントリで表されます。単一のスーパー・ユーザー・アカウントとは対照的に、各レルムにはレルム固有の特権ユーザーがいます。レルム固有の特権アカウントをロック解除するには、管理者が、Oracle Directory Managerを使用して、レルム固有の特権ユーザー・アカウントのパスワードを変更します。

11.3.5 異なるDNSドメインでのOracle Delegated Administration ServicesとOracleAS Portalの実行

1つのドメインでOracle Delegated Administration Servicesを実行し、別のドメインでOracleAS Portalを実行する場合は、『Oracle Application Server Portal構成ガイド』のOracleAS PortalとOracle Internet Directoryの関係の項を参照してください。

11.3.6 ユーザーが表示されない、または検索が失敗する

OracleAS Cluster（Identity Management）環境でOracle Delegated Administration Servicesにログインしている場合に、OracleAS Metadata RepositoryデータベースまたはOracle Internet Directoryで障害が発生すると、ロード・バランサはリクエストを別のインスタンスに転送します。ただし、Oracle Delegated Administration Servicesは、障害が発生したインスタンスに接続されたままになります。このため、Oracle Internet DirectoryまたはOracleAS Metadata Repositoryへの接続が必要な操作が失敗します。また、Oracle Delegated Administration Servicesで、障害に関するエラー・メッセージが表示されない場合があります。たとえば、Oracle Delegated Administration Servicesで、ユーザーまたはグループの表示やユーザーの検索を行うことができません。

この問題を解決するには、Oracle Delegated Administration Servicesをログアウトし、再度ログインします。その後、操作を再試行します。

11.4 ドキュメントの誤記

この項の内容は次のとおりです。

• 11.4.1項「Oracle Internet Directoryセルフ・サービス・コンソールに表示するユーザー・エントリの作成に関する情報が不完全」

• 11.4.2項「レルム構成の変更に関する情報の誤記」

11.4.1 Oracle Internet Directoryセルフ・サービス・コンソールに表示するユーザー・エントリの作成に関する情報が不完全

『Oracle Identity Management統合ガイド』には、Oracle Directory Managerを使用したユーザー・エントリの作成時に、エントリをOracle Internet Directoryセルフ・サービス・コンソールに表示する必要がある場合は、inetorgpersonオブジェクト・クラスを明示的にそのエントリに関連付ける必要があると記載されていますが、これは誤記です。Oracle Internet Directoryセルフ・サービス・コンソールを使用してユーザー・エントリを作成すると、inetorgpersonオブジェクト・クラスは自動的にエントリに関連付けられます。

11.4.2 レルム構成の変更に関する情報の誤記

Oracle Internet Directoryセルフ・サービス・コンソールのオンライン・ヘルプには、特定のレルムを検索した後で、検索結果のページからそのレルムを選択して「続行」を選択すると、そのレルムを変更できると記述されていますが、それは誤記です。検索結果のページでは、選択したレルムを表示できますが、変更はできません。レルム構成を変更するには、「構成」タブを選択して変更内容を入力し、次に「発行」を選択します。レルムの構成設定の表示および変更の手順については、『Oracle Identity Management委任管理ガイド』のOracle Internet Directoryセルフ・サービス・コンソールに関する章を参照してください。