Tivoli Access Manager の共通問題のいくつかを示す前に、役立つものとして述べて
おきたいことは、最も共通する問題はインストールと構成上の次のような問題の結 果として起こるという点です。
v Tivoli Access Manager プロダクトが必要とするソフトウェア全部のインストール
の失敗。これは以下のソフトウェアが必要であったことを示します。
– オペレーティング・システムのソフトウェア – オペレーティング・システムのパッチ – 前提となるソフトウェア・プロダクト
– 前提となるソフトウェア・プロダクトのパッチ
v 以上のソフトウェアの正しいレベルのインストールの失敗
v 特定のタイプの Tivoli Access Manager システムに必要なソフトウェア・コンポ ーネントの全部のインストールの失敗
v 上記項目の正しいインストールと構成の失敗 v すべてのハードウェア前提条件の順守の失敗
Tivoli Access Manager の技術資料の中の情報は、問題の発生に対する最良の防護策
となるものです。
各節の概要は次のとおりです。
v 85 ページの『Tivoli Access Manager Base の共通問題』
v 90 ページの『LDAP の共通問題』
v 92 ページの『Tivoli Access Manager WebSEAL の共通問題』
v 92 ページの『Tivoli Access Manager for WebSphere Application Server の共通問 題』
v 96 ページの『Tivoli Access Manager for WebLogic Server の共通問題』
v 97 ページの『マイグレーション上の共通問題』
Tivoli Access Manager Base の共通問題
v 86 ページの『ポリシー・サーバーが構成できない』
v 87 ページの『新しいユーザーが作成できない』
v 87 ページの『アカウントが正しくない』
v 88 ページの『ディスク・スペースの不足による問題の発生』
v 88 ページの『ユーザーまたはグループの作成時の「見つかりません」エラー』
v 88 ページの『リソースのアクセスに対する予想できない許可と否認』
ポリシー・サーバーが構成できない
問題:
ポリシー・サーバーが構成できない。
解決策:
この問題には考え得る原因が多々あります。以下にいくつかの原因を示します。
考えられる原因 1:
ポリシー・サーバーが構成済みユーザー・レジストリーと通信できない可能性があ ります。考え得る次の原因について確認してください。
ユーザー・レジストリーが停止していないことを確認します。
ユーザー・レジストリーに LDAP を使用している場合は、マシン上の LDAP クラ イアントが LDAP サーバーとの通信を続行できることを確認します。次に示すよう な LDAP コマンド (1 行で入力してください) を出して、 LDAP サーバーの応答 を確認してください。
ldapsearch -h <ldapserver-hostname> -p 389 -D "<ldapadmin-DN>" ¥ -w <ldapadmin-password> -b "" -s base objectclass=*
このコマンドの出力は、サポートされているどの LDAP サーバーを使用しているか によって、異なったものとなるという点に留意してください。上記のコマンドで は、LDAP サーバーがポート 389 で listen するように構成されているものと仮定し ています。ユーザー・レジストリーが Tivoli Access Manager runtime の構成段階で
Tivoli Access Manager に対して指定されたのと同じポート上で通信するように構成
されていることも確認してください。
考えられる原因 2:
ユーザー・レジストリーとして IBM Secureway LDAP サーバーのバージョン 4.1 を使用するように Tivoli Access Manager を構成した場合、Tivoli Access Manager には、必須の secAuthority=default LDAP 接尾部に関連した LDAP オブジェクト の作成で問題が生じることがあります。
Access Manager の本リリースには、apply_ldap41_patch という名前のパッチ・フ ァイルが含まれています。上記の問題を修正するためにはこのファイルを実行しな くてはなりません。 IBM Tivoli Access Manager for e-business リリース情報 のパ ッチ・ファイルの説明を参照してください。
考えられる原因 3:
Tivoli Access Manager Runtime コンポーネントの構成時にユーザー・レジストリー に LDAP を選択した場合は、GSO データベース用の LDAP DN に対してインス タンス化された LDAP オブジェクトの DN を指定することに失敗すると、後で
Tivoli Access Manager のポリシー・サーバー構成する時に構成に失敗する場合があ
ります。
考えられる原因 4:
Tivoli Access Manager のユーザー・レジストリーに Domino を使用していて、ポリ シー・サーバーの構成に失敗した場合は、システムに Lotus Notes クライアントが インストールされて構成されていることと、システム・パスにファイル nNOTES.dll があることを確認してください。 nNOTES.dll がシステム・パスにない場合は、明 示的にシステム・パスにそのファイルを追加してください。
新しいユーザーが作成できない
問題:
新しい Tivoli Access Manager ユーザーの作成で問題が生じた。
解決策:
新しいユーザーの作成時に最もよく見られるエラー・メッセージの 1 つは、次のと おりです。
管理要求を実行できませんでした。
エラー: 英字が少なすぎるためにパスワードは拒否されました。
(状況 0x13212131)
このエラーは、たとえば、新しいユーザーを作成しようとして指定したパスワード の「abc」が Tivoli Access Manager に対して現在定義されている「ユーザー」パス ワードのポリシーの 1 つと一致しないことを示しています。Tivoli Access Manager のポリシー・コマンドに関連するヘルプ・テキストを表示するためには、次のコマ ンドを入力してください。
pdadmin> help policy
上記のパスワード・ポリシーに関するエラーは、以下のいずれかの解決策を用いて 解決することができます。
v Tivoli Access Manager に対して現在定義されている最低限の非英字ポリシーを決
める。
pdadmin> get min-password-non-alphas
次に、必要最小限の非英字を含むパスワードを使用してユーザーを作成する。
v Tivoli Access Manager の非英字ポリシーを修正してからユーザーを作成する。
pdadmin> set min-password-non-alphas <number>
アカウントが正しくない
問題:
最近になって作成した Tivoli Access Manager のユーザー ID を使用して認証する ことができない。
解決策:
最初は、Tivoli Access Manager のユーザー定義は次の属性を使用して作成されてい ます。
Account valid = no
この状態は頻繁に認証失敗の原因となります。次のコマンドを使用して、ユーザー の Account valid 属性を「yes」に変更してください。
pdadmin> user modify <user-name> account-valid yes
次のコマンドを使用して、変更が正しく行われたことを確認してください。
pdadmin> user show <user-name>
ディスク・スペースの不足による問題の発生
問題:
ディスク・スペースの不足により Tivoli Access Manager の問題が生じることがあ りますが、兆候を予想することは困難です。
解決策:
Tivoli Access Manager のインストールに使用したドライブ (Windows) またはファ イル・システム (UNIX) が何であれ、そこに適切なディスク・スペースがあること を確認してください。
Windows プラットフォームでは、適切なディスク・スペースについて配慮する時
に、以下のディレクトリーを含むドライブについても配慮してください。
v Tivoli Access Manager インストール・ディレクトリー
v WebSEAL インストール・ディレクトリー
v Tivoli Access Manager Plug-in for Web Servers インストール・ディレクトリー v Tivoli Access Manager Plug-in for Edge Server インストール・ディレクトリー UNIX プラットフォームでは、適切なディスク・スペースについて配慮する時に、
/opt および /var ディレクトリーを含むファイル・システムについても配慮してく ださい。df -k コマンドを使用して、ファイル・システムごとにフリー・ディス ク・スペースを表示してください。 -k オプションにより、ディスク・スペースが キロバイトで表示されます。
ユーザーまたはグループの作成時の「見つかりません」エラー
問題:
ユーザーまたはグループの作成時にエラーの詳細を伝えない、次の汎用的メッセー ジを受け取ることがある。
エラー: 見つかりません。 (状況 0x14c012f2)
解決策:
ユーザーまたはグループの作成時に出されるこのメッセージは、 LDAP ユーザー・
レジストリー内で識別名 (DN) が作成できないことを伝えるものです。この DN は、user create または group create コマンドで指定されているものです。入力 した DN が正しいことを確認してください。
IBM Secureway LDAP クライアントと一緒に出荷される dmt ツールを使用してく
ださい。これは、create コマンドに指定した、 DN の接尾部が LDAP レジストリ ーの中の既存の接尾部と一致するかの検査に役立ちます。
リソースのアクセスに対する予想できない許可と否認
問題:
保護システム・リソースに対するアクセスが不意に認可または否認される。
解決策:
Tivoli Access Manager のプロセスが正常に開始され、実行中であることの検査が第
一であり、これが常に賢明な対処法と言えます。 Tivoli Access Manager のメッセ ージ・ログ・ファイルに操作上の問題に関するフラグが設定されていないことも確 認してください。 Tivoli Access Manager に操作上の問題がないようであれば、保 護システム・リソースに定義し、適用されたポリシーが問題の原因であると考えら れます。
保護システム・リソースに対するアクセスの制御には、Tivoli Access Manager の 2 つのポリシー・メカニズム ACL と POP が使用できます。pdadmin コマンドを使 用して、保護オブジェクト・スペース階層内のどの ACL が問題の保護リソースに 対するアクセスを制御するのか確認してください。
ACL が問題の保護オブジェクトに直接に接続している場合は、これがそのオブジェ クトに対する ACL ポリシーを定義します。ACL が問題の保護オブジェクトに直接 に接続していない場合は、制御する ACL は保護オブジェクト階層内の最も近い上 位のものとなります。
次のコマンドは、Tivoli Access Manager で定義されるすべての ACL をリストしま す。
padmin> acl list
次のコマンドにより、これらの ACL のそれぞれの保護オブジェクト・スペース階 層内での接続先を確認することができます。
pdadmin> acl find <acl-name>
次のコマンドを使用して制御 ACL を調べて、その必要とされる制約のタイプが正 しいか確認してください。必要であれば、ACL の定義を訂正します。
pdadmin> acl show <acl-name>
Tivoli Access Manager のアクセス・コントロールは次の 2 つの条件に左右されま す。
v 要求されたオブジェクトを制御する ACL には、要求するユーザーに対する適切 なアクセス許可が含まれていなければなりません。
v 要求されたオブジェクトは、要求するユーザーがアクセス可能でなければなりま せん。
保護オブジェクトに対するアクセス可能性を制御するのは全探索 (T) 許可です。
全探索許可は、保護オブジェクト・スペース内のコンテナー・オブジェクトに適 用されるにすぎません。全探索許可による指定により、ACL 項目の中で識別され るユーザー、グループ、その他のユーザー、または非認証ユーザーは、階層内の 下位の保護リソース・オブジェクトへアクセスするために、このコンテナー・オ ブジェクトを通過する許可を得ます。
要求元が保護オブジェクトにアクセス可能となるのは、要求元がそれぞれの ACL に関する全探索許可を得ている場合です。この ACL は、root および root に向かう パス上の要求されたリソースの上位にあるコンテナー・オブジェクトに接続されて いるものです。