| Oracle Application Server Standard Edition Oneリリース・ノート 10g リリース2(10.1.2)for Microsoft Windows(32 Bit) B19168-03 |
|
 戻る |
 次へ |
| Oracle Application Server Standard Edition Oneリリース・ノート 10g リリース2(10.1.2)for Microsoft Windows(32 Bit) B19168-03 |
|
| 戻る |
次へ |
この章では、Oracle Internet Directoryに関する問題について説明します。 この章の内容は次のとおりです。
この項では、Oracle Internet Directoryの一般的な問題とその対処方法について説明します。 この項の内容は次のとおりです。
Oracle Internet Directory10g リリース2(10.1.2)では、複数の異なるバージョンのOracle Databaseを使用してディレクトリ・データを格納できます。これには、Oracle9i Database Serverリリース2(9.2.0.6)以上や、Oracle Database 10g リリース2(10.1.0.4)以上が含まれます。
Oracle Application Server 10g リリース2(10.1.2)では、Oracle9i Database Serverリリース2に対して実行されているディレクトリ・サーバーで次のプラグイン機能がサポートされていません。
Windows NTドメインの外部認証プラグイン
プラグイン定義の一部としてディレクトリ・サーバーに再接続するための、OID PL/SQL PLUGIN APIとして提供されているLDAP_PLUGINパッケージのsimple_bind_s()ファンクション
この項では、Oracle Internet Directoryの構成に関する問題とその対処方法について説明します。 この項の内容は次のとおりです。
10.2.1項「Oracle Internet Directoryユーザーの編集時に制約違反エラーが発生することがある」
10.2.3項「Oracle Internet Directoryサーバーの可用性をTCPベースで監視するとサービスが使用不可になることがある」
AL32UTF8キャラクタ・セットが使用されているOracle 10g DatabaseにOracleAS Metadata Repositoryをロードした場合、Oracle Internet Directoryでユーザーまたはグループを編集するか、またはID管理レルムを作成しようとすると、エラーが発生することがあります。ユーザーの編集には、既存のユーザーの属性の編集も含まれます。次のエラーがoidldap*.logファイルに生成されます。
ORA-01483: invalid length for DATE or NUMBER bind variable.
画面に次のエラーが表示される場合もあります。
LDAP: error code 19 - Constraint Violation
これらのエラーは、断続的に発生する可能性があるのみです。
この問題を回避するには、しばらく待機して、ユーザーの編集を再度試行します。
Oracle Application ServerツールRepCAを使用してOracle Internet Directoryスキーマを既存のOracle Databaseリリース2(10.1.0.3)データベースにロードすると、$ORACLE_HOME/assistants/repca/log/repca*logファイルに次のエラー・メッセージが表示される場合があります。
SP2-0332: Cannot create spool file.
このエラー・メッセージは無視してかまいません。
Oracle Internet Directoryサーバーの可用性の監視のためにF5ロード・バランサを使用する場合は、LDAPベースまたはHTTPベースの監視が使用されるようにロード・バランサを構成します(『Oracle Application Server高可用性ガイド』のOracleAS Cluster(Identity Management)のロード・バランサの構成に関する項を参照)。TCPベースの監視を行うと、オペレーティング・システムのバグのため、サービスが使用不可になる場合があります。
この項では、Oracle Internet Directoryの管理に関する問題とその対処方法について説明します。 この項の内容は次のとおりです。
Oracle Internet Directoryサーバー(ディレクトリ・サーバー、ディレクトリ・レプリケーション・サーバーおよびDirectory Integration and Provisioningサーバーのデーモン)を起動できるのは、Oracle Internet Directoryソフトウェアをインストールしたオペレーティング・システム・ユーザーのみです。
Oracle Identity Managementには、2つのタイプの特権ユーザーがあります。この特権ユーザー・アカウントは、いずれも特定のパスワード・ポリシーがアクティブである場合はロックできます。
1つ目のタイプの特権ユーザーは、DN cn=orcladminを持つスーパー・ユーザーであり、デフォルトのID管理レルムで特別ユーザー・エントリとして表されます。この特権によって、ディレクトリ管理者はDITおよびOracle Internet Directoryサーバーの構成を変更できます。たとえば、不正なパスワードによるバインドが何回も試行されたために、スーパー・ユーザー(orcladmin)のアカウントがロックされた場合、Oracle Internet Directoryリポジトリに対するDBA権限を持つ管理者は、oidpasswdツールによってそのアカウントのロックを解除できます。orcladminアカウントのロックを解除するには、次のコマンドを実行します。
oidpasswd unlock_su_acct=TRUE
2つ目の特権ユーザーは、レルム固有の特権ユーザーであり、レルム内のユーザーとグループの作成や削除などの機能、およびOracle Delegated Administration Serviceに関連するすべての機能を管理します。このアカウントは、DNがcn=orcladmin,cn=users,realm DNであるエントリで表されます。単一のスーパー・ユーザー・アカウントとは対照的に、各レルムにはレルム固有の特権ユーザーがいます。レルム固有の特権アカウントをロック解除するには、1つ目のタイプの特権ユーザーであるcn=orcladminが、Oracle Directory Managerを使用してアカウントのパスワードを変更できます。
ディレクトリ・レプリケーション・サーバー(oidrepld)またはDirectory Integration and Provisioningサーバー(odisrv)のいずれか、あるいはその両方を実行しているプライマリ・ノードに障害が発生すると、5分後にセカンダリ・ノードのOIDモニターがこれらのプロセスをセカンダリ・ノードで開始します。ただし、通常の停止はフェイルオーバーとしては処理されません。プライマリ・ノードを手動で再起動しても、これらのサーバーはプライマリ・ノードで自動的に再起動しません。
ODSデータベースのユーザー・パスワードを変更するには、oidpasswdツールを使用する必要があります。他の方法でODSデータベースのユーザー・パスワードを変更すると、Oracle Internet Directoryインスタンスは起動できなくなります。
Application Server Control Consoleでは、SSLモードでのみ実行されているOracleディレクトリ・サーバーのポート・ステータス情報は表示されません。
この項では、Oracle Internet Directoryのドキュメントの誤記について説明します。この項の内容は次のとおりです。
10.4.7項「マルチマスター・レプリケーション・グループをインストールおよび構成する際のディレクトリへのデータのロード手順の訂正」
10.4.8項「ldifwriteツールを使用したLDAPベース・レプリカの構成手順におけるbulkload.shコマンドラインの誤記」
10.4.11項「『Oracle Identity Management概要および配置プランニング・ガイド』の付録にある説明」
10.4.14項「『Oracle Identity Managementアプリケーション開発者ガイド』の「Oracle Internet Directory Serverプラグインの開発」の誤記」
データベースの起動時にinit$ORACLE_SID.oraを明示的に指定しないかぎり、データベース初期化パラメータをspfile$ORACLE_SID.oraから読み取ります。したがって、『Oracle Internet Directory管理者ガイド』でデータベース・パラメータの変更が指定されている場合は、必ず後続のデータベースの再起動時にinit$ORACLE_SID.oraファイルを明示的に指定する必要があります。 次に例を示します。
<>SQL> STARTUP PFILE = /u01/oracle/dbs/initmynewdb.ora
詳細は、『Oracle Database管理者ガイド』の第3章にあるSQL*Plusを使用したデータベースの起動に関する項を参照してください。
付録A「LDIFおよびコマンドライン・ツールの構文」のOIDモニターとOID制御ユーティリティを使用しないOracle Directory Integration and Provisioningサーバーの停止に関する項で、StopOdiServer.shツールのパス名と使用方法に誤記があります。正しいパス名は次のとおりです。
$ORACLE_HOME/ldap/odi/admin/stopodiserver.sh
正しい使用方法は次のとおりです。
$ORACLE_HOME/ldap/odi/admin/stopodiserver.sh [ -LDAPhost LDAP_server_host ] [ -LDAPport LDAP_server_port ] [ -binddn super_user_dn (default cn=orcladmin ) ] [ -bindpass bind_password (default=welcome) ] -instance instance_number_to_stop
『Oracle Internet Directory管理者ガイド』の第27章にある、図27-1「Oracle Application Serverクラスタ(ID管理)構成のアーキテクチャ」と、図27-2「Oracle Application Serverクラスタ(ID管理)構成におけるロード・バランシング」で、Directory Integration Serverがすべてのノードで実行されているように記載されていますが、実際には、ノードAでのみ実行されます。
『Oracle Internet Directory管理者ガイド』の第29章にある、図29-1「基本的な高可用性構成構成のOracle Internet Directory」で、ノード1は、正しくは次のサーバー・プロセスを実行します。
Oracleディレクトリ・サーバー・インスタンス1
Oracle Directory Integration Server
Oracleディレクトリ・レプリケーション・サーバー
Oracleデータベース・サーバー・インスタンス1
ノード2は、正しくは次のサーバー・プロセスを実行します。
Oracleディレクトリ・サーバー・インスタンス2
Oracleデータベース・サーバー・インスタンス2
『Oracle Internet Directory管理者ガイド』の第25章にあるマルチマスター・レプリケーション(Oracle Databaseアドバンスト・レプリケーション・タイプのみ)のノードの追加に関する項で、ldifwriteを使用したスポンサ・ノードに関するタスクのldifwriteコマンドラインに誤記があります。コマンドラインは次のように示されています。
ldifwrite -c connect_string \
-b "orclAgreementID=000001,cn=replication_configuration" \
-f output_ldif_file
正しくは次のとおりです。
ldifwrite -c connect_string \
-b "orclAgreementID=000001,cn=replication configuration" \
-f output_ldif_file
つまり、cn=replication configurationには、「_」ではなく、空白が入ります。また、replication configurationはイタリック体ではありません。
『Oracle Internet Directory管理者ガイド』で、ldapsearchコマンドのフィルタが一重引用符で囲まれている箇所が数箇所あります。フィルタには二重引用符を使用する必要があるため、これは誤記です。たとえば、次のコマンドラインは誤記です。
ldapsearch -h host_name -p port_number -s base -b "" 'objectclass=*' lastchangenumber
正しくは次のとおりです。
ldapsearch -h host_name -p port_number -s base -b "" "objectclass=*"lastchangenumber
Oracle Internet Directory 10g リリース2(10.1.2)では、ods_serverロールが廃止されました。『Oracle Internet Directory管理者ガイド』の第32章と『Oracle Identity Managementアプリケーション開発者ガイド』の第5章では、GRANT EXECUTE文を使用してプラグイン・モジュールの実行権限をods_serverに付与する方法の記載に誤記があります。次の行があります。
GRANT EXECUTE ON LDAP_PLUGIN_EXAMPLE1 TO ods_server;
この行は、10g リリース2(10.1.2)のプラグインによって起動されるPL/SQLプログラムには、含めないでください。
『Oracle Internet Directory管理者ガイド』の第25章にあるマルチマスター・レプリケーション・グループのインストールおよび構成に関する項のタスク4に誤記があります。ディレクトリへのデータのロードに関する内容を次のテキストに置き換えてください。
タスク4(任意): ディレクトリへのデータのロード
ディレクトリにデータをロードする場合、次のいずれかの方法を選択できます。
少数のエントリをDRGに追加するには、DRGの構成が完了するまで待機します。次に、ldapaddを使用して、ノードの1つにデータをロードします。エントリは、指定した時間に別のノードにレプリケートされます。
大量のデータを追加してDRGにロードするには、bulkloadユーティリティを使用します。
DRGに含まれ、ディレクトリにldifファイルをロードするノードで、次のように入力します。
bulkload.sh -connect connect_string -check \
-generate file_with_absolute_path_name
|
注意: ldifwriteを使用してOracle Internet Directoryからデータを抽出する場合は、その他のオプションに加え、-restoreオプションを使用して操作属性をリストアします。
|
同じノードで、次のように入力します。
bulkload.sh -connect connect_string_1 -load
DRGのすべてのノードにデータがロードされるまで、同じノードで手順bを繰り返します。実行するたびに、connect_string_1 をDRGの別のノードの接続文字列に置き換えます。たとえば、次のように入力します。
bulkload.sh –connect connect_string_2 -load
続けて、次のように入力します。
bulkload.sh –connect connect_string_3 –load
このように、DRGのすべてのノードにデータがロードされるまで入力を続けます。
『Oracle Internet Directory管理者ガイド』の第25章にあるldifwriteツールを使用したLDAPベース・レプリカの構成に関する項で、新しいコンシューマへのデータのロードに関するタスクの最後のbulkload.shコマンドラインに誤記があります。コマンドラインから引数file_with_absolute_path_nameを削除してください。
『Oracle Internet Directory管理者ガイド』の第3章「インストール後のタスクと情報」には、次の誤記があります。
OIDモニターの起動およびサーバー・インスタンスの起動に関するタスクは不要です。正常にインストールが行われると、最後にoidmon、およびoidldapdのインスタンスが起動されます。
デフォルトのセキュリティ構成のリセットに関するタスクで、デフォルトのパスワードはwelcomeではありません。デフォルトのパスワードは、インストール中に指定したOracle Application Serverの管理者パスワードです。
OIDデータベースの統計収集ツールの実行に関するタスクで、ツールのファイル・パスは、正しくは$ORACLE_HOME/ldap/admin/oidstats.shとなります。
『Oracle Internet Directory管理者ガイド』の第5章「Oracleディレクトリ・サーバーの管理」のエイリアス・エントリの追加に関する項のLDAP例には、次の誤記があります。
コンテナo=oracleのすべてのインスタンスは、正しくはo=MyCompanyです。
エントリ:
dn: cn=John Doe, o=MyCompany, c=us cn: John Doe objectclass: person
は、正しくは次のとおりです。
dn: cn=John Doe, o=MyCompany, c=us cn: John Doe sn: Doe objectclass: person
『Oracle Identity Management概要および配置プランニング・ガイド』の付録AおよびBには、マルチマスター・レプリケーションおよびファンアウト・レプリケーションのそれぞれでOracle Identity Managementをインストールするための説明があります。さらに詳細な説明は、他のドキュメントに記載されています。レプリケーションでのOracle Internet Directoryのインストールの詳細は、『Oracle Internet Directory管理者ガイド』およびOracle Application Serverのインストレーション・ガイドを参照してください。
『Oracle Internet Directory管理者ガイド』の第25章には、マルチマスター・レプリケーションをインストールし構成するための前提に関する項のOracle Internet Directoryをマスターとしてインストールする場合の手順4に誤記があります。最初の2つの文を次の内容に置き換えてください。
マスターのインストール時には、レプリケーションの「構成オプションの選択」画面で「高可用性およびレプリケーション」を選択しないでください。「高可用性およびレプリケーション」を選択しないと、Oracle Internet Directoryのデフォルト・インストールが実行されます。つまり、新しいOracle Internet Directoryがマスター・ノードとしてインストールされます。
表B-24には、パスワードの有効期限後の猶予期間ログインの回数のデフォルト値は3と記述されています。実際のデフォルト値は0です(猶予期間ログインはできません)。Oracle Internet Directoryのインストール後に、3以上に設定することをお薦めします。
表5-2「操作ベースと属性ベースのプラグイン・プロシージャのシグネチャ」では、一部の起動コンテキストのINパラメータ列に誤記があります。正しくは次のとおりです。
「ldapadd前」のINパラメータの値は、ldapcontext、DN、Entryです。
「ldapadd時」の値は、ldapcontext、DN、Entryです。
「ldapadd時(ただし、デフォルト・サーバーの動作を置換)」の値は、ldapcontext、DN、Entryです。
「ldapadd後」の値は、ldapcontext、Add result、DN、Entryです。
