IBM TAM ESSO TroubleshootingGuide pdf...v IBM Security Access Manager for Enterprise Single Sign-On 計画とデプロイメントのガイド、SC88-5931-02 インストール・タスクおよび構成タスクを実行する前に、このガイドをお読みく

IBM® Security Access Manager forEnterprise Single Sign-Onバージョン 8.2

トラブルシューティングとサポート・ガイド

GC88-8275-01(英文原典：GC23-9693-01)

��

IBM® Security Access Manager forEnterprise Single Sign-Onバージョン 8.2

トラブルシューティングとサポート・ガイド

GC88-8275-01(英文原典：GC23-9693-01)

��

お願い本書および本書で紹介する製品をご使用になる前に、 61ページの『特記事項』に記載されている情報をお読みください。

注: 本書は、IBM Security Access Manager for Enterprise Single Sign-On (製品番号 5724–V67) のバージョン8.2、および新しい版で明記されていない限り、以降のすべてのリリースおよびモディフィケーションに適用されます。

お客様の環境によっては、資料中の円記号がバックスラッシュと表示されたり、バックスラッシュが円記号と表示されたりする場合があります。

　

原典： GC23-9693-01

IBM® Security Access Manager for Enterprise Single Sign-On

Version 8.2

Troubleshooting and Support Guide

発行：日本アイ・ビー・エム株式会社

担当：トランスレーション・サービス・センター

第1刷 2012.3

© Copyright IBM Corporation 2002, 2012.

目次本書について . . . . . . . . . . . . . v本書の対象読者 . . . . . . . . . . . . . v資料 . . . . . . . . . . . . . . . . . v

IBM Security Access Manager for Enterprise SingleSign-On ライブラリー . . . . . . . . . . v用語へのオンライン・アクセス . . . . . . viiiマニュアルへのオンライン・アクセス . . . . viiiマニュアルのご注文 . . . . . . . . . . viii

アクセシビリティー . . . . . . . . . . . viiiTivoli 技術研修 . . . . . . . . . . . . . viiiTivoli ユーザー・グループ . . . . . . . . . ixサポート情報 . . . . . . . . . . . . . . ix本書の規則 . . . . . . . . . . . . . . . ix書体の規則 . . . . . . . . . . . . . . ixオペレーティング・システムに依存する変数およびパス . . . . . . . . . . . . . . . . x

第 1 章トラブルシューティングおよびサポート . . . . . . . . . . . . . . . 1

第 2 章詳細の理解 . . . . . . . . . . 3トラブルシューティングについて . . . . . . . 3接続の問題について . . . . . . . . . . . . 5Security Access Manager for Enterprise Single Sign-Onについて . . . . . . . . . . . . . . . . 6About fixes and updatesフィックスおよび更新について . . . . . . . . . . . . . . . . . . 6メッセージについて . . . . . . . . . . . . 7パフォーマンス上の問題およびハングについて . . . 7トラップ、クラッシュ、およびアベンドについて . . 9

第 3 章トラブルシューティング・チェックリスト . . . . . . . . . . . . . . 11

第 4 章既知の問題および解決方法 . . . 13インストールに関する問題 . . . . . . . . . 13

AccessAgent をインストールできない . . . . . 13IMS Server をインストールできない . . . . . 14AccessAgent が IMS Server に接続できない . . 15AccessAgent が IMS Server 証明書をダウンロードできない . . . . . . . . . . . . . 16別のアプリケーションとの競合 . . . . . . . 16AccessAgent がモジュールを登録できない . . . 17

認証要素の問題 . . . . . . . . . . . . . 17アクティブな RFID カードを登録できない . . . 17アクティブな RFID カードでコンピューターをアンロックできない . . . . . . . . . . . 18アクティブな RFID カードを使用して Wallet にログオンできない . . . . . . . . . . . 18認証デバイスを逸失した . . . . . . . . . 19

Bio-key 検証 UI がプライベート・デスクトップに表示されない . . . . . . . . . . . . 19

パスワードの問題 . . . . . . . . . . . . 20一般的なパスワードの問題 . . . . . . . . 20AccessAssistant または Web Workplace にログオンできない - パスワードが同期化されていない . 20

Wallet 関連の問題 . . . . . . . . . . . . 21一般的な Wallet の問題 . . . . . . . . . 21マシン Wallet がダウンロードされていない . . 21

操作に関する問題 . . . . . . . . . . . . 22AccessAgent または Web Workplace でサインアップできない . . . . . . . . . . . . . 23AccessAdmin にログオンできない . . . . . . 23AccessAdmin へのフォーム・ベースのログオンが機能しない . . . . . . . . . . . . . 24AccessAdmin に接続できない . . . . . . . 25AccessAdmin - サービスが使用できません . . . 25Integrated Solutions Console にログオンできない 25IBM HTTP Server が始動しない . . . . . . 27httpd.conf ファイルを開けない . . . . . . . 27IMS Server 構成が失敗した . . . . . . . . 28ディレクトリー・サーバー構成の問題 . . . . 28ノード統合が失敗した . . . . . . . . . . 29リポジトリーが停止している場合に認証できない 29IMS Server がアプリケーションの証明書を発行できない . . . . . . . . . . . . . . . 30ポリシー pid_ts_logon_cache_enabled が表示されない . . . . . . . . . . . . . . . . 30AccessProfile がプロパティー・ペインに表示されない . . . . . . . . . . . . . . . . 30「次に変換」オプションを使用すると、AccessStudio が異常終了することがある . . . . 31コマンド・プロンプトでシングル・サインオンできない . . . . . . . . . . . . . . . 31AccessProfile を開く際のメモリー不足エラー . . 32低速パフォーマンス、始動およびログオンの失敗 32

ブラウザー関連の問題 . . . . . . . . . . . 33Microsoft Internet Explorer ブラウザーの使用時にファイルのダウンロードが失敗する . . . . . 33Microsoft Internet Explorer が異常終了する . . . 34Mozilla Firefox が AccessAgent のシングル・サインオン機能を妨害する . . . . . . . . . . 34シングル・サインオンが Mozilla Firefox で機能しない . . . . . . . . . . . . . . . 35Mozilla Firefox のポップアップ・ウィンドウでログオン資格情報を取り込めない . . . . . . . 35Web アプリケーションを起動できない . . . . 35「戻る」ボタンが機能しない . . . . . . . 36

検証 . . . . . . . . . . . . . . . . . 36IMS Server デプロイメントのタイプの判別 . . . 36サーバー AccessAgent のモードの判別 . . . . 37

© Copyright IBM Corp. 2002, 2012 iii

第 5 章フィックス . . . . . . . . . 39フィックスの入手 . . . . . . . . . . . . 39フィックス通知の受信 . . . . . . . . . . . 39

第 6 章知識ベースの検索 . . . . . . . 41

第 7 章データの分析 . . . . . . . . 43

第 8 章データの収集 . . . . . . . . 45メッセージ・ログおよびトレース・ログ . . . . . 46メッセージ・ログ . . . . . . . . . . . 46トレース・ログ . . . . . . . . . . . . 47

ログ設定の構成 . . . . . . . . . . . . . 48メッセージ・ロギングの構成 . . . . . . . 48トレース・ロギングの使用可能化 . . . . . . 50

ログの表示 . . . . . . . . . . . . . . 51IBM Support Assistant の使用 . . . . . . . . 52

グラフィック・モードでの IBM Support Assistantの使用 . . . . . . . . . . . . . . . 52コンソール・モードでの IBM Support Assistantの使用 . . . . . . . . . . . . . . . 53

第 9 章サポートへの連絡 . . . . . . . 55IBM Support Assistant . . . . . . . . . . . 55IBM ソフトウェア保守契約 . . . . . . . . . 57ビジネス・インパクトの判別 . . . . . . . . 57問題の記述 . . . . . . . . . . . . . . 57データの送信 . . . . . . . . . . . . . . 58

特記事項 . . . . . . . . . . . . . . 61

用語集 . . . . . . . . . . . . . . . 65

索引 . . . . . . . . . . . . . . . . 77

iv IBM® Security Access Manager for Enterprise Single Sign-On: トラブルシューティングとサポート・ガイド

本書について

IBM® Security Access Manager for Enterprise Single Sign-On では、サインオンおよびサインオフの自動化、認証管理、およびユーザー・トラッキングによる、シームレスなパスを強力なデジタル ID に提供します。「IBM Security Access Manager for

Enterprise Single Sign-On トラブルシューティングとサポート・ガイド」には、製品の別のコンポーネントのトラブルシューティングに関する情報が記載されています。

本書の対象読者本書は、IBM Security Access Manager for Enterprise Single Sign-On

AccessAgent、AccessAssistant、および Web Workplace を初めて使うユーザーおよび使用経験のあるユーザーを対象にしています。

本資料は、以下のタスクを実行する必要のあるユーザーを対象としています。

v ユーザー・ワークフローのセットアップ (個人用ワークステーション、共有デスクトップ、プライベート・デスクトップ、およびローミング・デスクトップ用)

v パスワードおよび認証のセットアップ

v ユーザーのリモート・アクセスのセットアップ

v パスワードのリセット、AccessAssistant を使用したログオン、および Active

Directory アカウントのアンロックなどの、セルフサービス・タスク

読者は以下のトピックに習熟している必要があります。

v 認証要素のインストールおよびセットアップ

v 組織のワークフロー設定 (例えば、サインアップ、ログオン、ログオフ、およびワークステーションのアンロックなどのタスク用)

資料このセクションには、IBM Security Access Manager for Enterprise Single Sign-On

ライブラリーにある資料がリストされています。このセクションでは、Tivoli® 資料へのオンラインでのアクセス方法や Tivoli 資料の注文方法について説明します。

IBM Security Access Manager for Enterprise Single Sign-Onライブラリー

IBM Security Access Manager for Enterprise Single Sign-On ライブラリーでは、以下の資料を入手できます。

v IBM Security Access Manager for Enterprise Single Sign-On Quick Start Guide、CF38DML

IBM Security Access Manager for Enterprise Single Sign-On をデプロイし、使用するための主なインストール・タスクおよび構成タスクについてのクイック・スタート・ガイドとして、この資料をお読みください。

© Copyright IBM Corp. 2002, 2012 v

v IBM Security Access Manager for Enterprise Single Sign-On 計画とデプロイメントのガイド、SC88-5931-02

インストール・タスクおよび構成タスクを実行する前に、このガイドをお読みください。このガイドは、デプロイメントの計画と環境の準備に役立ちます。このガイドは、製品のフィーチャーやコンポーネントの概要、必要なインストールと構成、さまざまなデプロイメント・シナリオについて説明しています。また、高可用性と災害復旧を実現する方法について説明しています。

v IBM Security Access Manager for Enterprise Single Sign-On インストール・ガイド、GI88-4225-01

IBM Security Access Manager for Enterprise Single Sign-On のインストール、アップグレード、およびアンインストールの詳細な手順については、このガイドをお読みください。

このガイドは、各種製品コンポーネントとそれぞれの必須ミドルウェアをインストールするとき、さらには製品のデプロイメントのために必要な初期構成を行うときにも役立ちます。仮想アプライアンス、WebSphere® Application Server Base

エディション、および Network Deployment を使用する手順が記載されています。

v IBM Security Access Manager for Enterprise Single Sign-On 構成ガイド、GC88-8274-01

IMS Server の設定、AccessAgent ユーザー・インターフェース、およびその動作を構成する場合に、このガイドをお読みください。

v IBM Security Access Manager for Enterprise Single Sign-On 管理者ガイド、SC88-5930-02

このガイドは、管理者を対象とします。さまざまな管理者タスクについて説明しています。このガイドは、ポリシー・テンプレートの作成と割り当て、ポリシーの値の編集、ログとレポートの生成、および IMS Server とそのデータベースのバックアップのための手順を記載しています。このガイドは、「IBM Security

Access Manager for Enterprise Single Sign-On ポリシー定義ガイド」と併せて使用してください。

v IBM Security Access Manager for Enterprise Single Sign-On ヘルプ・デスク・ガイド、SC88-5932-02

このガイドは、ヘルプ・デスク担当者を対象とします。このガイドは、通常は認証要素に関するユーザーからの照会や要求をヘルプ・デスク担当者が管理する際に役立ちます。このガイドは、「IBM Security Access Manager for Enterprise

Single Sign-On ポリシー定義ガイド」と併せて使用してください。

v IBM Security Access Manager for Enterprise Single Sign-On ポリシー定義ガイド、SC88-8276-01

管理者が AccessAdmin で構成できる各種のユーザー・ポリシー、マシン・ポリシー、およびシステム・ポリシーの詳細な説明については、このガイドをお読みください。このガイドは、「IBM Security Access Manager for Enterprise Single

Sign-On 管理者ガイド」と併せて使用してください。

vi IBM® Security Access Manager for Enterprise Single Sign-On: トラブルシューティングとサポート・ガイド

v IBM Security Access Manager for Enterprise Single Sign-On トラブルシューティングとサポート・ガイド、GC88-8275-01

インストール、アップグレード、および製品の使用に関して問題が発生した場合は、このガイドをお読みください。このガイドは、製品の既知の問題と制限事項について記載しています。問題の症状を確認し、回避策を見つけ出すのに役立ちます。フィックス、知識ベース、サポートに関する情報も提供します。

v IBM Security Access Manager for Enterprise Single Sign-On AccessStudio ガイド、SC88-5934-02

プロファイルを作成または編集する場合は、このガイドをお読みください。このガイドでは、さまざまなアプリケーション・タイプ用の標準の AccessProfile および拡張 AccessProfile の作成と編集の手順を説明しています。また、認証サービスとアプリケーション・オブジェクトの管理に関する情報、および AccessStudio のその他の機能やフィーチャーについての情報を提供します。

v IBM Security Access Manager for Enterprise Single Sign-On プロビジョニング・インテグレーション・ガイド、SC88-5935-02

プロビジョニングのための各種の Java API および SOAP API の情報については、このガイドをお読みください。また、このガイドでは、プロビジョニング・エージェントのインストールと構成の手順も説明しています。

v IBM Security Access Manager for Enterprise Single Sign-On 資格情報管理のためのWeb API、SA88-4639-00

このガイドは、資格情報の管理用の Web API をインストールおよび構成する場合にお読みください。

v IBM Security Access Manager for Enterprise Single Sign-On Lightweight

AccessAgent mode on Terminal Server SDK Guide、SC14-7657-00

AccessAgent を Terminal Services アプリケーションと統合する仮想チャネル・コネクターを作成する方法の詳細については、このガイドをお読みください。

v IBM Security Access Manager for Enterprise Single Sign-On Serial ID SPI Guide、SC14-7626-00

IBM Security Access Manager for Enterprise Single Sign-On は、RFID などの、シリアル番号を含むデバイスに対するサービス・プロバイダー・インターフェース(SPI) を備えています。シリアル番号を持つ任意のデバイスを統合し、そのデバイスを AccessAgent で第 2 認証要素として使用する方法を知りたい場合に、このガイドを参照してください。

v IBM Security Access Manager for Enterprise Single Sign-On Context Management

Integration Guide、SC23-9954-03

このガイドは、Context Management ソリューションをインストールおよび構成する場合にお読みください。

v IBM Security Access Manager for Enterprise Single Sign-On ユーザーズ・ガイド、SC88-5929-02

このガイドは、エンド・ユーザーを対象とします。このガイドでは、AccessAgent

および Web Workplace を使用する手順を説明しています。

本書について vii

v IBM Security Access Manager for Enterprise Single Sign-On エラー・メッセージリファレンス・ガイド、GA88-4640-00

このガイドでは、IBM Security Access Manager for Enterprise Single Sign-On に関連するすべての通知メッセージ、警告メッセージ、エラー・メッセージについて説明しています。

用語へのオンライン・アクセスIBM Terminology Web サイトは、IBM 製品ライブラリーの用語を 1 箇所にまとめた便利なサイトです。以下に示す Web アドレスで Terminology Web サイトにアクセスできます。

http://www.ibm.com/software/globalization/terminology

マニュアルへのオンライン・アクセス以下は英語のみの対応となります。IBM は、本製品および他の Tivoli 製品の資料が利用可能になったときおよび更新されたとき、Tivoli ソフトウェア・インフォメーション・センターの Web サイト (http://www.ibm.com/tivoli/documentation) に掲示しています。

注: PDF 文書をレターサイズ以外の用紙に印刷する場合は、Adobe Reader のメニューから「ファイル」 > 「印刷」を選択して表示されたウィンドウでオプションを設定し、レターサイズのページをご使用の用紙に印刷できるようにしてください。

マニュアルのご注文日本 IBM 発行のマニュアルはインターネット経由でもご購入いただけます。詳しくは http://www.ibm.com/jp/manuals/ の「マニュアル・出版物情報」をご覧ください。(URL は、変更になる場合があります)

アクセシビリティーアクセシビリティー機能は、運動障害または視覚障害など身体に障害を持つユーザーがソフトウェア・プロダクトを快適に使用できるようにサポートします。この製品では、インターフェースを音声出力してナビゲートする支援技術を利用できます。また、マウスではなくキーボードを使用して、グラフィカル・ユーザー・インターフェースのすべての機能を操作することもできます。

詳しくは、「IBM Security Access Manager for Enterprise Single Sign-On 計画とデプロイメントのガイド」の『アクセシビリティー機能』を参照してください。

Tivoli 技術研修以下は英語のみの対応となります。Tivoli 技術研修の情報については、IBM Tivoli

研修 Web サイト (http://www.ibm.com/software/tivoli/education) を参照してください。

viii IBM® Security Access Manager for Enterprise Single Sign-On: トラブルシューティングとサポート・ガイド

http://www.ibm.com/software/globalization/terminology

http://www.ibm.com/tivoli/documentation

http://www.ibm.com/software/tivoli/education

Tivoli ユーザー・グループTivoli ユーザー・グループは、Tivoli ユーザーに、Tivoli Software ソリューションの実装時に役立つ情報を提供する、独立した、ユーザーによって実行されるメンバーシップ組織です。これらのグループを介して、メンバーは情報を共有し、他のTivoli ユーザーの知識および経験から学ぶことができます。Tivoli ユーザー・グループには、以下のメンバーおよびグループが含まれます。

v 23,000 を超えるメンバー

v 144 を超えるグループ

Tivoli Users Group に関して詳しくは、www.tivoli-ug.orgにアクセスしてください。

サポート情報IBM ソフトウェアで問題が発生した場合、迅速な解決が望まれます。IBM では、以下の方法で必要なサポートを提供しています。

オンラインIBM ソフトウェア・サポート・サイト (http://www.ibm.com/software/support/

probsub.html (英語のみの対応)) にアクセスし、指示に従ってください。

IBM Support AssistantIBM Support Assistant は、無料のローカル・ソフトウェア保守ワークベンチであり、IBM ソフトウェア製品に関する質問や問題を解決するのに役立ちます。IBM Support Assistant を使用すると、サポートに関連する情報および保守容易性ツールに素早くアクセスして、問題を判別することができます。 IBM Support Assistant ソフトウェアをインストールするには、http://www.ibm.com/software/support/isa (英語のみの対応) にアクセスしてください。

トラブルシューティング・ガイド問題の解決について詳しくは、『IBM Security Access Manager for

Enterprise Single Sign-On トラブルシューティングとサポート・ガイド』を参照してください。

本書の規則本書では、特殊な用語やアクション、オペレーティング・システムに依存するコマンドやパス、およびマージン・グラフィックスに関していくつかの規則を使用しています。

書体の規則本書では、以下の書体の規則を使用します。

太字

v 周囲のテキストとの区別が難しい小文字コマンドおよび大/小文字混合コマンド

v インターフェース・コントロール (チェック・ボックス、プッシュボタン、ラジオ・ボタン、スピン・ボタン、フィールド、フォルダー、アイコン、リスト・ボックス、リスト・ボックス内の項目、複数列のリスト、コ

本書について ix

http://www.tivoli-ug.org

http://www.ibm.com/software/support/probsub.html


http://www.ibm.com/software/support/isa

ンテナー、メニュー選択、メニュー名、タブ、プロパティー・シート)、ラベル (「ヒント:」、および「オペレーティング・システムの考慮事項:」など)

v 本文中のキーワードおよびパラメーター

イタリック

v 引用 (例: 資料、ディスケット、および CD のタイトル)

v テキスト内で定義される単語 (例: 非交換回線は Point-to-Point 回線と呼ばれる)

v 単語や文字の強調 (単語の例:「単語 that を使用して、制限的関係詞節を導きます」文字の例:「LUN アドレスは、文字 L から開始する必要があります」)

v 本文中の新規の用語 (定義リスト内の用語は除く): ビューとは、ワークスペース内のフレームであり、データが含まれます。

v 指定する必要がある変数および値: ... ここで、myname は ... を表します。

モノスペース

v 例およびサンプル・コード

v ファイル名、プログラミング・キーワード、および周囲のテキストとの区別が困難なその他の要素

v ユーザーに対して表示されるメッセージ・テキストおよびプロンプト

v ユーザーが入力する必要があるテキスト

v 引数またはコマンド・オプションの値

オペレーティング・システムに依存する変数およびパスこの資料では、環境変数の指定、およびディレクトリー表記に UNIX 規則が使用されます。

Windows コマンド行を使用する場合、環境変数の $variable を % variable% に置き換え、ディレクトリー・パスのスラッシュ (/) を円記号 (¥) に置き換えてください。環境変数の名前は、Windows と UNIX 環境で常に同じというわけではありません。例えば、Windows 環境での %TEMP% は、UNIX 環境では $TMPDIR になります。

注: Windows システムで bash シェルを使用している場合、UNIX の規則を使用することができます。

x IBM® Security Access Manager for Enterprise Single Sign-On: トラブルシューティングとサポート・ガイド

第 1 章トラブルシューティングおよびサポート

一般に、トラブルシューティング・プロセスでは、問題を切り分けて識別した後、解決方法を探す必要があります。 IBM Security Access Manager for Enterprise

Single Sign-On では、トラブルシューティング・チェックリストを使用すると役立ちます。このチェックリストを使用しても解決できない場合は、追加診断データを収集して、自分で分析できます。また、そのデータを IBM ソフトウェア・サポートに分析のために送信することもできます。

IBM Security Access Manager for Enterprise Single Sign-On のトラブルシューティングのトピックは、以下のステップの順序に従って編成されています。

1. 症状または機能についての理解を深めます。

特定のプロダクト機能の症状または問題を正しくトラブルシューティングするには、事前にその症状または機能を基本的に理解しておく必要があります。

2. 該当する機能または症状のトラブルシューティング・チェックリストに従います。

トラブルシューティング・チェックリストには、問題の切り分けと識別のプロセスを誘導する一連の質問があります。 IBM に既知の問題である場合、チェックリストはユーザーを公開されている修正、解決方法、または回避策へ導きます。

トラブルシューティング・チェックリストから解決に至らない場合は、次のステップに進みます。

3. 診断データを収集します。

本書では、問題の原因を判別するためにユーザーまたは IBM ソフトウェア・サポートが持っている必要がある情報の収集方法を説明しています。

4. 診断データを分析します。

本書では、収集した診断データを分析方法を説明しています。

© Copyright IBM Corp. 2002, 2012 1

2 IBM® Security Access Manager for Enterprise Single Sign-On: トラブルシューティングとサポート・ガイド

第 2 章詳細の理解

トラブルシューティング・プロセスにおける最初のステップは、問題の症状について、または影響を受けるプロダクト機能について学ぶことです。

以下のトピックは、IBM Security Access Manager for Enterprise Single Sign-On での問題を効果的にトラブルシューティングするために必要となる概念的な情報を入手するのに役立ちます。

v 『トラブルシューティングについて』

v 5ページの『接続の問題について』

v 6ページの『Security Access Manager for Enterprise Single Sign-On について』

v 6ページの『About fixes and updatesフィックスおよび更新について』

v 7ページの『メッセージについて』

v 7ページの『パフォーマンス上の問題およびハングについて』

v 9ページの『トラップ、クラッシュ、およびアベンドについて』

トラブルシューティングについてトラブルシューティングは、問題を解決するための体系的な手法です。その目標は、ある部分が期待されたとおりに動作しない理由と、その問題を解決する方法を判別することです。

トラブルシューティング・プロセスにおける最初のステップは、問題を完全に記述することです。問題の記述は、IBM が問題の原因を特定する上でどこから開始したらよいのかを判別するのに役立ちます。このステップには、以下の基本的な質問を自問することが含まれます。

v 問題の症状は何ですか。

v 問題はどこで発生しますか。

v 問題はいつ発生しますか。

v 問題はどのような条件下で発生しますか。

v 問題を再現できますか。

上記の質問に回答することは、通常、問題を的確に記述することになります。問題の適切な記述は、問題解決への道筋をつけるための最良の方法です。

問題の症状は何ですか。

問題の記述を始めるときに、最も明らかな質問は「問題は何か」というものです。この質問は簡単に思えますが、それをさらに的を絞った複数の質問に分けることで、問題の全体像をより詳しく記述できます。このような質問には、以下のものが含まれます。

v 誰が、または何が問題を報告していますか。

v エラー・コードおよびメッセージは何ですか。


v システムにはどのように障害が起きますか。例えば、ループ、ハング、失敗、パフォーマンス低下、または正しくない結果のどれに該当しますか。

v 問題は業務にどのように影響しますか。

問題はどこで発生しますか。

問題がどこで発生しているかを判別するのは必ずしも容易ではありませんが、これは、問題解決の最も重要なステップの 1 つです。障害を報告しているコンポーネントと障害が起きているコンポーネントとの間には、テクノロジーの多数のレイヤーが存在する場合があります。ネットワーク、ディスク、およびドライバーは、問題を調査するときに考慮すべきコンポーネントの数例でしかありません。問題のレイヤーを切り分けるために、どこで問題が発生しているかに焦点を当てる際に、以下の質問が役立ちます。

v 問題は 1 つのプラットフォームまたはオペレーティング・システムに固有ですか。それとも、複数のプラットフォームまたはオペレーティング・システムにわたって共通していますか。

v 現行の環境および構成はサポートされていますか。

あるレイヤーから報告書を取得しても、そのレイヤーから問題が発生したことを示しているわけではないことに留意してください。問題がどこで発生したかの識別には、その問題が存在する環境を理解することが含まれます。時間をとって、オペレーティング・システムとそのバージョン、対応するすべてのソフトウェアとバージョン、およびハードウェア情報などの、問題となっている環境を完全に記述してください。サポートされた構成の環境内で実行していることを確認してください。多くの問題は、一緒に実行するよう意図されていない、または一緒に十分なテストが行われていない非互換のレベルのソフトウェアが原因である場合があります。

問題はいつ発生しますか。

障害に至るまでのイベントの詳細なタイムラインを作成します。特に、一回限りの発生である場合に必要です。問題のタイムラインを最も容易にトレースするには、前にさかのぼります。エラーが報告された時点 (可能な限り正確に、ミリ秒単位まで) から開始して、使用可能なログおよび情報を前にたどります。

通常、診断ログに見つけた最初の疑わしいイベントまでを調べるだけで十分です。ただし、これを行うことは必ずしも容易ではなく、訓練が必要です。どこで調査を終了するかを判断するのは、テクノロジーの複数のレイヤーが関係している場合、また、それぞれのレイヤーが独自の診断情報を持っている場合には、特に難しくなります。

イベントの詳細なタイムラインを作成するには、以下の質問に答えてください。

v 問題は昼間または夜間の特定時刻のみに発生しますか。

v 問題はどのくらいの頻度で発生しますか。

v 問題が報告された時刻に至るまでに、どのような順序でイベントが実行されましたか。

v 問題は、ソフトウェアまたはハードウェアのアップグレードやインストールなどの環境の変更後に発生しましたか。


前述の質問に答えることは、問題を調べるための基本的な情報を得るのに役立ちます。

問題はどのような条件下で発生しますか。

問題が発生したときに他のどのシステムおよびアプリケーションが実行されていたかを知ることは、トラブルシューティングの重要な一部です。ユーザーの環境についての以下の質問は、問題の根本原因を識別する際に役立ちます。

v 同じタスクを実行しているとき常に問題が起こりますか。

v 問題が表面化するために、特定の順序でイベントが発生する必要がありますか。

v その他のアプリケーションで、同時に障害が起こるものはありますか。

問題を再現できますか。

トラブルシューティングの見地からは、理想的な問題とは、再現できる問題です。再現できる問題には、通常、調査に役立つ、自由に使える大規模なツールまたはプロシージャーのセットがあります。結果的に、再現できる問題は、より簡単にデバッグおよび解決できる場合が多いです。しかし、再現できる問題には欠点がある場合があります。業務に深刻な影響を与える問題の場合、繰り返し発生させることは望ましくありません。できれば、テスト環境または開発環境で問題を再現してください。通常、調査中にさらに柔軟性が得られ、制御しやすくなります。

v 問題をテスト・マシン上で再現できますか。

v 複数のユーザーまたはアプリケーションが、同じタイプの問題に直面していますか。

v 単一コマンド、1 まとまりのコマンド、特定アプリケーション、またはスタンドアロン・アプリケーションのいずれかを実行することにより、問題を再現できますか。

接続の問題について接続の問題には、通常、ソフトウェア、ハードウェア、および通信を含む複数のシステムが関わっています。接続の問題をトラブルシューティングする最善の方法は、除去プロセスを使用することです。

まず、関連するデータを収集して、分かっていることは何か、収集していないデータは何か、および、どのパスを除去できるかを判別します。最低でも、以下の質問に回答します。

v 通信パスは操作可能ですか。

v 初期接続は正常に行われましたか。

v 問題は偶発的または持続的ですか。

v 以前のディレクトリー項目を無効にするような、通信ネットワークへの変更を行いましたか。

v 通信の切断はどこで発生していますか。例えば、クライアントとサーバーの間で切断されましたか。

v 問題は特定のアプリケーション内でのみ発生しますか。

v メッセージの内容およびメッセージで返されたトークンから、判別できることは何ですか。

第 2 章詳細の理解 5

v 他のシステムでは、同様のタスクを正常に実行できますか。このタスクがリモート・タスクである場合、ローカルで実行すると正常に行われますか。

次に、 11ページの『第 3 章トラブルシューティング・チェックリスト』の質問に回答して、問題を切り分けてみてください。

Security Access Manager for Enterprise Single Sign-On について以下は英語のみの対応となります。問題をトラブルシューティングする際の最初のステップは、影響を受けるソフトウェア機能について知ることです。

IBM Security Access Manager for Single Sign-On の詳細については、インフォメーション・センター (http://publib.boulder.ibm.com/infocenter/tivihelp/v2r1/topic/

com.ibm.itamesso.doc/ic-homepage.html) で確認することができます。

About fixes and updatesフィックスおよび更新についてIBM Security Access Manager for Enterprise Single Sign-On ソフトウェアで問題が発生した場合は、最初に、更新のリストを確認して、ご使用のソフトウェアが最新の保守レベルになっていることを確かめます。次に、修正された問題のリストを確認して、IBM が既にその問題を解決するための個々のフィックスを公開しているかどうかを調べます。

これらのリストは、IBM Security Access Manager for Enterprise Single Sign-On

(http://www.ibm.com/software/sysmgmt/products/support/index.html) についての Tivoli

サポート Web サイトにあります。「特定の Tivoli 製品のサポート (Support forspecific Tivoli products)」リストから「IBM Security Access Manager forEnterprise Single Sign-On」を選択します。

IBM Security Access Manager for Enterprise Single Sign-On での問題点を解決するために、個々のフィックスを必要に応じてできるかぎり頻繁に公開しています。IBM Security Access Manager for Enterprise Single Sign-On 用に、フィックスを累積した 2 種類のコレクション (フィックスパックおよびリフレッシュ・パック) が定期的に公開されています。フィックスパックおよびリフレッシュ・パックにより、ユーザーの保守レベルが最新の状態になります。問題を防止するために、これらの更新パッケージはできるだけ早急にインストールしてください。

フィックスおよび更新の通知を毎週受け取るには、My Support E メール更新に加入します。詳しくは、 39ページの『フィックス通知の受信』を参照してください。

以下の表に、それぞれのフィックスの特性を説明します。

表 1. 保守タイプ

名前特性

フィックス v 更新の合間に公開される、特定の問題を解決するための単一フィックス。

v フィックスをインストールしたら、修正されたコンポーネントが影響を及ぼす可能性がある機能をすべてテストします。


http://publib.boulder.ibm.com/infocenter/tivihelp/v2r1/topic/com.ibm.itamesso.doc/ic-homepage.html

http://publib.boulder.ibm.com/infocenter/tivihelp/v2r1/topic/com.ibm.itamesso.doc/ic-homepage.html

http://www.ibm.com/software/sysmgmt/products/support/index.html

表 1. 保守タイプ (続き)

名前特性

フィックスパック

v フィックスパックには、前のフィックスパックまたはリフレッシュ・パック以降に公開されたすべてのフィックスが含まれます。フィックスパックには、新規フィックスが含まれる場合もあります。

v フィックスパックは、製品の修正レベルを増分し、それに応じて名前が付けられます (5.0.1 など)。

v フィックスパックは特定のコンポーネントを更新する場合も、製品イメージ全体を更新する場合もあります。

v フィックスパックのインストール時に、過去に適用されたフィックスはすべて自動的にアンインストールされます。

v フィックスパックをインストールした後に、すべての重要な機能についてリグレッション・テストを行います。

v 最新の 2 個のフィックスパックがダウンロード可能です (例えば 5.0.2 および 5.0.1)。それ以前のフィックスパックは利用できません。

リフレッシュ・パック

v リフレッシュ・パックには、前のフィックスパックまたはリフレッシュ・パック以降に公開されたすべてのフィックス、および新しいフィックスが含まれます。

v リフレッシュ・パックは、通常、フィックスに加えて新機能を含んでおり、製品イメージ全体を更新します。

v リフレッシュ・パックは、製品の修正レベルを増分し、それに応じて名前が付けられます (5.0.1 など)。

v リフレッシュ・パックのインストール時に、過去に適用されたフィックスはすべて自動的にアンインストールされます。

v リフレッシュ・パックをインストールした後に、すべての重要な機能についてリグレッション・テストを行います。

メッセージについて多くの場合、IBM Security Access Manager for Enterprise Single Sign-On から受け取った警告またはエラー・メッセージに記述された問題は、メッセージ・テキスト全体およびメッセージに関連したリカバリー・アクションを参照することで解決できます。

メッセージの全文、その説明、およびリカバリー・アクションを見つけるには、「IBM Security Access Manager for Enterprise Single Sign-On エラー・メッセージリファレンス・ガイド」でメッセージ ID を検索します。

パフォーマンス上の問題およびハングについてパフォーマンス上の問題は、多くの異なる状態で発生します。ハングは、パフォーマンス上の問題の 1 タイプであり、ユーザーは無期限に応答を待ちます。ハングに対するトラブルシューティングの手法は、他のパフォーマンス上の問題で使用する手法と同様です。

パフォーマンス上の問題が明らかになる状況の例を以下に示します。


v 照会のパフォーマンスが、期待されるより遅い。

v ワークロードまたはバッチ・ジョブが、期待されるほど即座に完了しない、または、トランザクション速度またはスループットの減少が起こる。

v システム全体の速度が低下する。

v プロセッサー、I/O、またはメモリーなどのいずれかのシステム・リソースで、ボトルネックの可能性がある。

v 照会またはその他のワークロード処理で、予想されている、または使用可能である量より多くリソースを使用している。

v あるシステムが、他のシステムよりもパフォーマンスが優れている。

v 照会、アプリケーション、またはシステムがハングする。

ハングは、症状が他の問題の症状と一致するように見えることが多いため、トラブルシューティングが困難な場合があります。例えば、照会からの応答を長時間待機している場合、ユーザーはシステムがハングしたと考える可能性があります。多くの場合、照会は複雑になることがあり、その時点でシステムの使用負荷が大きくなっている可能性もあるため、システムはハングしていません。ただし、システムの応答が遅くなる可能性があります。また、システム・シャットダウンの際に、アクティビティーの重要な構築を行うと、大部分の、またはすべてのコマンドがハングしているように見える場合があります。

症状の内容および症状が観察される場所という観点から問題の特徴を正しく理解することに加え、問題の背景を把握するために他の情報がいくつか必要になります。通常、症状は速度低下やリソースの過剰使用などさまざまです。症状は一般的に、照会、アプリケーション、システム・リソースなどに現れます。

パフォーマンス上の問題の原因究明を始める最適な場所を素早く決定するために、以下の質問に回答してください。

1. 問題が最初に発生したのはいつですか。

問題が発生してしばらく経っている場合は、履歴データを使用して相違点を見つけられることがあります。履歴データは、システム動作の変化に焦点を当て、さらにそれらの変化が生じた理由に焦点を当てるのに役立ちます。また、ハードウェアやソフトウェアのアップグレード、新規アプリケーションの投入、追加ユーザーなど、最近の変更がないかについても考慮する必要があります。

2. パフォーマンスの問題は恒常的または偶発的ですか。

ローパフォーマンスが続く場合は、システムがより大きなワークロードの処理を開始したかどうかを確かめます。また、共有データベース・リソースがボトルネックになっているかどうかを確認できます。その他のパフォーマンス低下の潜在的な原因には、ユーザー・アクティビティーの増加、複数の大規模アプリケーション、またはハードウェア・デバイスの取り外しなどがあります。短時間のみパフォーマンスが低下する場合は、低下したときに実行していた共通のアプリケーションまたはユーティリティーを探すことから始めます。複数ユーザーが、一まとまりのアプリケーションでパフォーマンスの問題が起きていることを報告している場合、それらのアプリケーションに注目して分析を開始できます。

3. 問題はシステム共通のようですか。あるいは IBM Security Access Manager for

Enterprise Single Sign-On またはそのコンポーネントに切り分けられそうですか。


システム共通のパフォーマンス上の問題は、IBM Security Access Manager for

Enterprise Single Sign-On の外部の問題を示唆しています。オペレーティング・システム・レベルで何らかのことに対処しなければなりません。

4. 問題が 1 つのコンポーネントに切り分けられる場合、ある特定のアクティビティーが問題の原因となっていますか。

あるコンポーネントが問題の原因となっていると思われる場合は、その特定アクティビティーを報告しているユーザーがスローダウンに遭遇しているかどうかを評価できます。問題を 1 つのコンポーネントおよび特定のアクティビティーに切り分けることができる場合があります。

5. ローパフォーマンスに共通の特性に気が付きましたか。または、問題はランダムに発生していますか。

共通の機能が関係しているかどうかを判別します。機能の関与は、当該機能が競合の要因になっていることを示している場合があります。

トラップ、クラッシュ、およびアベンドについて用語トラップ、クラッシュ、および異常終了 (アベンド) は、同義語として用いられることがよくあります。

IBM Security Access Manager for Enterprise Single Sign-On は、トラップ、セグメンテーション違反、または例外の結果、処理を続行できない場合、エラーを生成します。

IBM Security Access Manager for Enterprise Single Sign-On のほとんどのトラップ、クラッシュ、およびアベンドは例外という結果になります。例外はメッセージ・ログに書き込まれ、通常は、その例外を報告するためにトレースを使用可能にする必要は生じません。しかし、IBM サポート担当員にトレース・ロギングを使用可能に設定するよう指示された場合、これらのエラーをトレース・ログに記録できます。IBM に問題報告書を開示する場合は、分析用にトレース・ログを提供しなければなりません。

IBM サポート担当員にトレース・ロギングを使用可能に設定するよう指示された場合、これらのエラーをトレース・ログに記録できます。

IBM に問題報告書を開示する場合は、分析用にトレース・ログを提供しなければならないことがあります。

IBM Security Access Manager for Enterprise Single Sign-On はオンデマンドでトレース・ログを生成できますが、IBM ソフトウェア・サポートに依頼された場合にのみトレース・ファイルを生成するべきです。詳しくは、 47ページの『トレース・ログ』を参照してください。



第 3 章トラブルシューティング・チェックリスト

IBM Security Access Manager for Enterprise Single Sign-On で発生している問題のソースを識別する際に、以下の質問が役立ちます。

1. ご使用のフィックスおよびフィックスパックは最新ですか。

詳しくは、 39ページの『フィックスの入手』を参照してください。

2. IBM 知識ベースには、その問題に関する追加情報がありますか。

41ページの『第 6 章知識ベースの検索』を参照してください。

3. エラー・メッセージを受け取っていますか。

エラー・メッセージについては、IBM Security Access Manager for Enterprise

Single Sign-On IBM Security Access Manager for Enterprise Single Sign-On エラー・メッセージ・リファレンスを参照してください。

4. ログには、その問題に関するメッセージが入っていますか。

詳しくは、 46ページの『メッセージ・ログ』および 47ページの『トレース・ログ』を参照してください。

5. その問題は、以下のいずれかの機能をインストールまたはアンインストールしている間に発生しますか。

v IBM Security Access Manager for Enterprise Single Sign-On またはそのコンポーネント

「IBM Security Access Manager for Enterprise Single Sign-On インストール・ガイド」を参照してください。

v WebSphere Application Server

IBM WebSphere Application Server インフォメーション・センター(http://www.ibm.com/software/webservers/appserv/was/library/) で、インストールのトラブルシューティングのトピックを参照してください。

6. IBM Security Access Manager for Enterprise Single Sign-On の構成時に問題が発生しましたか。

「IBM Security Access Manager for Enterprise Single Sign-On 構成ガイド」を参照してください。

7. 前述のステップで問題を解決できない場合は、問題が発生している場所、または以下のような問題が発生している状態に関する追加情報を収集します。

v 問題はランタイム処理中に発生しますか。

– 接続に失敗しましたか。

– 異常終了しましたか。

– 応答が遅いなどのパフォーマンスの問題、あるいは「ハング」がありましたか。

– アベンド、トラップ、または Java 例外のスローがありましたか。


http://www.ibm.com/software/webservers/appserv/was/library/

v 特定機能の構成時に問題が発生しましたか。

v 特定タスクの実行時に問題が発生しましたか。

これらの質問への回答は、問題の場所を判別するのに役立ち、その問題に関する追加情報を見つける際の手掛かりになることがあります。例えば、特定機能の構成時または特定タスクの実行時に問題が発生した場合は、その機能またはタスクに関する文書に解決方法が見つかる可能性があります。

このチェックリストで解決されない場合は、追加の診断データを収集することができます。この追加データは、ユーザーが問題のトラブルシューティングを続けることができるように、IBM サポート担当員が必要とする場合があります。 45ページの『第 8 章データの収集』を参照してください。


第 4 章既知の問題および解決方法

IBM Security Access Manager for Enterprise Single Sign-On をデプロイまたは使用する際に、問題が発生することがあります。発生した問題が該当する可能性のあるカテゴリーを選択して、問題および回避策を検索します。

以下のトピックを参照してください。

v 『インストールに関する問題』

v 17ページの『認証要素の問題』

v 20ページの『パスワードの問題』

v 21ページの『Wallet 関連の問題』

v 22ページの『操作に関する問題』

v 33ページの『ブラウザー関連の問題』

v 36ページの『検証』

問題の詳細を確認するには、 45ページの『第 8 章データの収集』を参照してください。

インストールに関する問題製品コンポーネントのインストール中またはインストール後に、問題が発生する可能性があります。そのような問題により、コンポーネントを正常にインストールまたは使用できない場合があります。

考えられる問題および回避策については、以下のトピックを参照してください。

v 『AccessAgent をインストールできない』

v 14ページの『IMS Server をインストールできない』

v 15ページの『AccessAgent が IMS Server に接続できない』

v 16ページの『AccessAgent が IMS Server 証明書をダウンロードできない』

v 16ページの『別のアプリケーションとの競合』

v 17ページの『AccessAgent がモジュールを登録できない』

AccessAgent をインストールできないさまざまな要因が原因で、AccessAgent のインストールが失敗する可能性があります。

以下のいずれかの理由のため、AccessAgent のインストールが失敗することがあります。

AccessAgent インストーラーは破損している可能性があります。AccessAgent のインストール・ファイルが正常にダウンロードされていない場合、そのファイルは破損している可能性があります。ファイルを再度ダウンロードして、必要なすべてのファイルを使用可能な状態にしてください。


AccessAgent が、共有の場所またはサーバーからインストールされています。共有の場所およびサーバーから AccessAgent をインストールしないでください。インストーラーを実行する前に、コンピューター上のローカル・ディスクにインストーラーをコピーしてください。

AcessAgent インストーラーに、オペレーティング・システムとの互換性がありません。 64 ビットのオペレーティング・システムを使用している場合は、64 ビット

の AccessAgent インストーラーを使用してください。32 ビットのオペレーティング・システムを使用している場合は、32 ビットの AccessAgent インストーラーを使用してください。

AccessAgent をインストールしたユーザーが管理者特権を持っていません。AccessAgent をインストールするには、管理者特権が必要です。

Windows 設定の「データの保護」が有効になっています。この設定により、AccessAgent インストーラーを起動できません。インストーラーを右クリックして、「データの保護」オプションをクリアしてください。

Windows Scripting Host のバージョンが使用可能になっていません。AccessAgent インストーラーをサイレント・モードで実行すると、インストールは完了しますが、コンピューターを再始動すると、インストール済み環境が破損しています。

AccessAgent をインストールする前に、以下のレジストリーを確認してください。

v HKEY_CURRENT_USER¥Software¥Microsoft¥Windows Script

Host¥Settings¥Enabled

v HKEY_LOCAL_MACHINE¥Software¥Microsoft¥Windows Script

Host¥Settings¥Enabled

IMS Server をインストールできないさまざまな要因が原因で、IMS Server のインストールが失敗する可能性があります。

以下のいずれかの理由のため、IMS Server のインストールが失敗することがあります。

データベース・サーバーが低ディスク・スペース状態になっている

IMS Server をインストールする前に、データベース・サーバー用、およびIMS Server をホスティングするコンピューター用に十分なディスク・スペースがある状態にしてください。「IBM Security Access Manager for

Enterprise Single Sign-On 計画とデプロイメントのガイド」の『ハードウェアおよびソフトウェア要件』を参照してください。

WebSphere Application Server のセキュリティー詳細が正しくない

正しいアプリケーション・セキュリティー詳細を指定してください。

v 正しい SOAP ポートを入力するようにしてください。

注: 各プロファイルの以下のディレクトリーで、正しいポート番号を判別できます。例えば、次のようにします。


スタンドアロン: <was_home>/profiles/<AppSrv01>/logs/

AboutThisProfile.txt

Network Deployment: <was_home>/profiles/<Dmgr01>/logs/

AboutThisProfile.txt

例えば、以下のようにします。

– WebSphere Application Server スタンドアロンでは、アプリケーション・サーバーの SOAP ポートは 8880 です。

– WebSphere Application Server Network Deployment では、Deployment

Manager の SOAP ポートは 8879 です。

v WebSphere Application Server のセキュリティー検証が失敗する場合は、入力した情報が正しくありません。その場合は、インストーラーを再始動できます。

WebSphere Application Server 管理セキュリティー設定が正しくない以下を正しく指定してください。

v WebSphere 管理ユーザー名およびパスワード

v SSL トラステッド鍵ストア・パスワード

WebSphere Application Server が使用できません。以下を確認してください。

v WebSphere Application Server が始動されている。

v ホスト名を解決できる。

AccessAgent が IMS Server に接続できないさまざまな要因が、AccessAgent と IMS Server との接続に影響する可能性があります。

コンピューターが IMS Server に接続できるかどうかを検証するには、クライアント・コンピューターで、ブラウザーに AccessAdmin URL を入力します。AccessAdmin ページが表示されない場合は、接続は確立されていません。

AccessAgent が IMS Server に接続できない理由には、以下のものがあります。

IMS Server が実行されていない。Integrated Solutions Console で ISAMESSOIMS アプリケーションが開始されている状態にしてください。

IMS Server の場所が正しくない。

AccessAgent は、インストール中に自動的に IMS Server に接続しようとします。接続を確立できない場合には、IMS Server のロケーションの入力を求めるプロンプトが出されます。正しい情報を指定してください。

IMS Server 証明書「cn」が AccessAgent と整合していない。IMS Server 証明書の cn が、AccessAgent で指定されたものと同じ名前になるようにしてください。

ネットワーク接続がない。インターネットへの接続を確認してください。

第 4 章既知の問題および解決方法 15

クライアント・コンピューターに、AccessAgent からのトラフィックを妨害するパーソナル・ファイアウォールまたはアンチスパイウェアが存在する。

パーソナル・ファイアウォールおよびアンチスパイウェアによってwinlogon.exe からのトラフィックがブロックされないようにしてください。

AccessAgent が IMS Server 証明書をダウンロードできないAccessAgent が IMS Server に接続できない場合に、IMS Server 証明書のダウンロードが失敗することがあります。 IMS Server 証明書は、IMS Server を識別するために使用されます。

この問題は、以下の場合に発生します。

v AccessAgent が IMS Server に接続しようとしたが、高負荷のため、接続がタイムアウトになった。

v IMS Server が始動中で、IMS Server がまだ使用可能になっていないため、接続が失敗した。

正しく構成されていれば、AccessAgent は IMS Server 証明書をコンピューターにダウンロードします。IMS Server 証明書が自動的にダウンロードされない場合は、AccessAgent のインストール後に、以下のオプションを使用して証明書をダウンロードします。

v 「スタート」 > 「すべてのプログラム」 > 「AccessAgent」 > 「IMS Serverロケーションの設定」を選択

v C:¥Program Files¥IBM¥ISAM ESSO¥SetupCertDlg.exe を実行します。

別のアプリケーションとの競合コンピューターにインストールされている特定のアプリケーションが、AccessAgent

のインストールと競合する可能性があります。

症状: AccessAgent のインストール中に、以下のメッセージが表示されます。

AccessAgent セットアップは、コンピューターにインストールされている<Application Name> との競合を検出しました。この競合により、AccessAgent が正しく実行できない可能性があります。競合しているアプリケーションをアンインストールしてください。セットアップを終了するには「はい」をクリックします。競合を無視し、インストールを続行するには「いいえ」をクリックします。

解決方法:

1. AccessAgent のインストールをキャンセルします。

2. 競合の原因となっているアプリケーションをアンインストールします。

注: アプリケーションをアンインストールする前に、アプリケーションが使用されていないことを確認します。

3. AccessAgent インストーラーを再実行します。

注: メッセージ・プロンプトを無視してインストールを続行すると、AccessAgent が正しく機能しない場合があります。


AccessAgent がモジュールを登録できないAccessAgent のインストール中にモジュール関連の問題が発生することがあります。

症状: AccessAgent のインストール中に、以下のメッセージが表示されます。

The system encountered a problem while registering a module (Error 1904).

解決方法:

1. 以下を確認してください。

v 管理者特権を持っている。

v レジストリーに書き込む許可を持っている。

v system32.dll レジストリーへのアクセスが、サード・パーティー・アプリケーションによって妨げられていない。

2. AccessAgent をアンインストールします。

3. AccessAgent をインストールします。

認証要素の問題認証要素を登録または使用する際に問題が発生することがあります。


v 『アクティブな RFID カードを登録できない』

v 18ページの『アクティブな RFID カードでコンピューターをアンロックできない』

v 18ページの『アクティブな RFID カードを使用して Wallet にログオンできない』

v 19ページの『認証デバイスを逸失した』

v 19ページの『Bio-key 検証 UI がプライベート・デスクトップに表示されない』

アクティブな RFID カードを登録できないさまざまな要因によって、アクティブな RFID カードの登録が失敗する可能性があります。

以下のいずれかの理由のため、登録が失敗することがあります。

アクティブな RFID カードが登録済み

アクティブな RFID カードが IMS Server に登録済みの場合、メッセージが表示されます。アクティブな RFID カードが別のユーザーによって使用されていますが、IMS Server から取り消されていません。

アクティブな RFID カードを返却して、新しいアクティブな RFID カードを要求します。

アクティブな RFID カードが取り消されている

アクティブな RFID カードを失ったと報告された場合、それを取り消す必要があります。逸失したアクティブな RFID カードが見つかり、AccessAgent へのログオンにそのカードを使用した場合は、アクティブなRFID が取り消されているというメッセージが表示されます。


取り消されたアクティブな RFID カードを使用するには、許可コードを要求します。

アクティブな RFID カードを検出できない

リーダーからのカードの距離および配置が、RFID 信号の受信に影響を及ぼす可能性があります。リーダーとカードは同じ高さに位置している必要があります。例えば、リーダーがモニターに取り付けられている場合は、カードは上半身になければなりません。

アクティブな RFID カードでコンピューターをアンロックできない

アクティブな RFID カードを再始動するか、アクティブな RFID カードが機能しない場合は、「Windows でアンロック」オプションを使用してコンピューターをアンロックします。

症状: アクティブな RFID カードを使用してコンピューターをアンロックすると、パスワードを検証できないというメッセージが表示されます。

解決方法:

1. アクティブな RFID カードをオフにしてから、オンにします。

2. リストからアクティブな RFID カードを選択します。

3. 対応するパスワードを入力します。

4. 問題が解決しない場合は、Windows ユーザー名とパスワードを使用してコンピューターをアンロックします。

5. 「コンピューターのアンロック」ウィンドウのナビゲーション・パネルで「Windows でアンロック」を選択します。

6. Windows にログオンします。

7. Windows パスワードをリセットします。

アクティブな RFID カードを使用して Wallet にログオンできない

アクティブな RFID カードの使用時に、入力したパスワード、あるいはアクティブな RFID カードまたはリーダーが原因で、Wallet にログオンできません。

Wallet へのログオンは、以下の理由で失敗することがあります。

正しくないパスワード

正しくないパスワードを入力しました。パスワードを再入力してください。

注: Caps Lock キーをアクティブでない状態にして、パスワード文字の大/小文字を正しく入力してください。

パスワードを忘れたパスワードを忘れた場合には、許可コードを要求することにより、パスワードをリセットできます。

アクティブな RFID カードまたはリーダーを損傷または破損した


アクティブな RFID が損傷または破損した場合は、交換用の新しいバッジを要求します。

アクティブな RFID カードを検出できない

以下が発生している可能性があります。

v アクティブな RFID カード検出のタイムアウト。カードは、オン状態が9 時間を超えると、自動的にオフになる場合があります。カードをオフに切り替えてから、オンにします。問題が解決しない場合は、コンピューターを再始動します。

v バッテリー電力の大幅な低下。その場合は、バッテリーを交換してください。

認証デバイスを逸失したスマート・カード、RFID カード、またはアクティブな RFID カードは、ログオン、AccessAgent のロック、AccessAgent のアンロック、および Wallet へのアクセスに使用されるデバイスです。認証デバイスを逸失した場合は、Wallet にログオンできなくなり、またアプリケーションへのシングル・サインオンを実行できなくなります。

認証デバイスを逸失した場合は、以下のようにします。

1. 新規スマート・カード、RFID カードまたはアクティブな RFID カード (該当する方) を要求します。

2. 許可コードを要求します。

許可コードは、Wallet を新規認証デバイスに関連付けるため、また交換用デバイスがまだ入手できない場合に Wallet に一時的にアクセスできるようにするために必要です。

Bio-key 検証 UI がプライベート・デスクトップに表示されない指紋を指紋リーダーでにスキャンしたが成功しなかった場合は、BIO-key 検証 UI

が表示されるはずです。

症状: BIO-key 検証 UI は有効になっています。それにもかかわらず、質が悪いために指紋スキャンが失敗したときに、検証 UI が表示されません。

解決方法:

1. レジストリー・エディターを開きます。

2. [HKEY_LOCAL_MACHINE¥SOFTWARE¥IBM¥ISAM ESSO¥SOCIAccess¥DSPList¥{6EA4B6D4-

8CDF-4C4E-8B40-CA6A20D0CD6B}¥Devices¥{5994DB8B-A2C3-4e0a-BC79-

F274AE5ECC11}¥UISPList¥{68F86CB2-630B-4F15-9E2B-5A77B294E9E2}] にナビゲートします。

3. Enabled レジストリー値を 1 に設定します。

4. Windows からログオフします。

5. Windows にログオンします。

注: Windows XP を使用している場合は、EnGINA で変更を有効にするために、コンピューターを再始動します。


パスワードの問題パスワードを変更またはリセットした場合、または ISAM ESSO のパスワードがActive Directory のパスワードと同期化されていない場合に、問題が発生することがあります。


v 『一般的なパスワードの問題』

v 『AccessAssistant または Web Workplace にログオンできない - パスワードが同期化されていない』

一般的なパスワードの問題ISAM ESSO パスワードは、ユーザーの ID を認証するために使用されます。システムにアクセスするには、ユーザーは、その前に認証を受ける必要があります。パスワードを使用してログオンする際、またはパスワードを変更またはリセットする際に、問題が発生することがあります。

以下のいずれかの理由のため、AccessAgent がパスワードを受け入れないことがあります。

正しいパスワードを入力しなかった。

パスワードを忘れた場合には、ヘルプ・デスクに許可コードを要求して、パスワードをリセットしてください。

パスワードの大/小文字を正しく入力しなかった。

Caps Lock キーがアクティブになっていないかどうか、および入力した文字の大/小文字が正しいことを確認してください。

パスワードが、必要な長さの範囲内にない。

パスワードの長さは、管理者により構成可能です。パスワードの長さは 6

文字から 20 文字までとすることができ、組織の設定によって異なります。パスワード長のポリシーを満たす新規パスワードを入力してください。

「パスワードの確認」フィールドに同じパスワードを入力しなかった。

パスワードを変更する際に、「新規パスワード」フィールドと「パスワードの確認」フィールドに同じパスワードを入力してください。

AccessAssistant または Web Workplace にログオンできない -パスワードが同期化されていない

ISAM ESSO のパスワードが Active Directory のパスワードと同期化されていない場合、ログオンが失敗することがあります。

この問題は、以下の場合に発生します。

1. AccessAgent でパスワードを変更またはリセットした。

2. 古いパスワードを使用して、AccessAssistant または Web Workplace にログオンした。

エラー・メッセージ「ISAM ESSO パスワードは、Active Directory パスワードと同期していません」が表示されます。


この動作は、Microsoft の制限によるものです。詳しくは、「http://

support.microsoft.com/kb/906305/en-us」を参照してください。

Wallet 関連の問題Wallet の使用、ダウンロード、またはログオン時に問題が発生することがあります。


v 『一般的な Wallet の問題』

v 『マシン Wallet がダウンロードされていない』

一般的な Wallet の問題マシンまたはユーザー Wallet の使用時に問題が発生する場合があります。一般的なWallet の問題および考えられる解決方法について、このトピックを参照してください。

キャッシュされた共有 Wallet を使用できない

キャッシュされた共有 Wallet は、コピー保護が有効な場合は使用できません。共有 Wallet デプロイメントのポリシーを有効にしないでください。

詳細については、IBM Security Access Manager for Enterprise Single Sign-On

ポリシー定義ガイドの『pid_wallet_cache_security_enabled』を参照してください。

Wallet に対する一時アクセス権限の有効期限が切れている

Wallet への一時アクセス権限を付与されている場合、そのアクセス権限は事前定義された期間のみ有効です。一時アクセスの有効期限が切れると、そのWallet を使用できなくなります。新しい許可コードを要求して、Wallet にアクセスできるようにしてください。

Wallet がロックされている

ログオン試行が事前定義された回数失敗すると、Wallet はロックされます。ログオン試行の失敗が許可される回数は、管理者が構成できます。

Wallet がロックされている場合には、管理者にお問い合わせください。

マシン Wallet がダウンロードされていないAccessAgent は、最新のポリシーおよび AccessProfile を現在の IMS Server からダウンロードして、マシン Wallet を作成します。

IMS Server からポリシーおよび AccessProfile が正常にダウンロードされないと、AccessAgent にログオンできません。

AccessAgent が IMS Server に接続できない場合は、AccessAgent はファイルC:¥Program Files¥ISAM ESSO¥AA¥all_sync_data.xml に指定されたポリシーおよびAccessProfile を使用します。


http://support.microsoft.com/kb/906305/en-us

http://support.microsoft.com/kb/906305/en-us

何回か手動同期化を試行しても AccessAgent がポリシーおよび AccessProfile をIMS Server から正常にダウンロードできない場合は、『マシン Wallet のダウンロード』を参照してください。

ダウンロードされたマシン Wallet の検証

以下の手順を実行して、マシン Wallet が正しくダウンロードされたことを確認します。

1. AccessStudio を実行します。

2. AccessAgent から AccessProfile をロードします。

3. 「AccessProfile」下で「sso_site_web_ims_admin」をクリックします。

右側のパネルの「@domain」フィールドが IMS Server 名に設定されている場合、マシン Wallet は正常です。「@domain」フィールドに $hostname が表示される場合、マシン Wallet は正常にダウンロードされていません。

マシン Wallet のダウンロード

マシン Wallet が破損している場合は、マシン Wallet を再度ダウンロードします。

1. AccessAgent からログオフします (ログオンしている場合)。

2. タスク・マネージャーを使用して、以下の AccessAgent プロセスを停止します。

v AATray.exe

v Sync.exe

3. net stop dataprovider を使用して、DataProvider サービスを停止します。

4. net stop sociaccess を使用して SOCIAccess サービスを停止します。SOCIAccess サービスでは、マシン Wallet ファイルが削除されると、そのファイルが自動的に置き換えられます。

5. マシン Wallet (machine.wlt) を削除します。

6. コンピューターを再始動します。

7. AccessStudio を起動します。

8. 「ツール」 > 「システム・データを IMS からファイルにバックアップ」を選択します。

9. 「バックアップ」をクリックします。

10. all_sync_data.xml を AccessAgent インストーラー・パッケージの Config フォルダーに保存します。

操作に関する問題IMS

Server、AccessAgent、AccessStudio、AccessAdmin、AccessAssistant、WebWorkplace

などの製品コンポーネントの使用時に問題が発生することがあります。問題は、パフォーマンス、ブラウザー、マシン Wallet、またはユーザー Wallet に関係する可能性があります。

考えられる問題および解決方法については、以下のトピックを参照してください。


v 『AccessAgent または Web Workplace でサインアップできない』

v 『AccessAdmin にログオンできない』

v 24ページの『AccessAdmin へのフォーム・ベースのログオンが機能しない』

v 25ページの『AccessAdmin に接続できない』

v 25ページの『AccessAdmin - サービスが使用できません』

v 25ページの『Integrated Solutions Console にログオンできない』

v 27ページの『IBM HTTP Server が始動しない』

v 27ページの『httpd.conf ファイルを開けない』

v 28ページの『IMS Server 構成が失敗した』

v 28ページの『ディレクトリー・サーバー構成の問題』

v 29ページの『ノード統合が失敗した』

v 29ページの『リポジトリーが停止している場合に認証できない』

v 30ページの『IMS Server がアプリケーションの証明書を発行できない』

v 30ページの『ポリシー pid_ts_logon_cache_enabled が表示されない』

v 30ページの『AccessProfile がプロパティー・ペインに表示されない』

v 31ページの『「次に変換」オプションを使用すると、AccessStudio が異常終了することがある』

v 31ページの『コマンド・プロンプトでシングル・サインオンできない』

v 32ページの『AccessProfile を開く際のメモリー不足エラー』

v 32ページの『低速パフォーマンス、始動およびログオンの失敗』

AccessAgent または Web Workplace でサインアップできないActive Directory に保管されたユーザー名にアポストロフィ (') などの特殊文字が含まれている場合は、ユーザーは AccessAgent または Web Workplace でサインアップできません。

症状: この問題は、以下のシナリオで発生します。

1. IMS Server が、WebSphere Application Server 7 およびフィックスパック 9 と共に、適切にインストールおよび構成されている。

2. ディレクトリー・サーバーが適切に構成されている。

3. ユーザーが AccessAgent または Web Workplace でサインアップすると、以下のエラー・メッセージが表示される。

予期しないエラーが発生したため、登録できません。再試行してください。問題が解決しない場合は、ヘルプ・デスクに連絡してください。

解決方法: WebSphere Application Server フィックスパック 15 以降を適用してください。

AccessAdmin にログオンできないさまざまな要因が原因で、AccessAdmin へのログオンが失敗する可能性があります。

以下の場合は、AccessAdmin にログオンできません。


管理者権限を持っていない

AccessAdmin にログオンできるのは、管理者権限またはヘルプ・デスク権限を持っている場合のみです。

Web サーバーの DNS 名に特殊文字が含まれている

DNS 名に特殊文字 (「_」など) が含まれないようにしてください。

フォーム・ベースのログオンが無効になっている

以下の場合、フォーム・ベースのログオンを有効にしてください。

v リモート・コンピューター上のブラウザーから AccessAdmin にログオンしており、かつ

v そのリモート・コンピューター上で AccessAgent にログオンしていない

以下の場合は、フォーム・ベースのログオンは不要です。

v ローカル・コンピューター上のブラウザーから AccessAdmin にログオンしており、かつ

v そのリモート・コンピューター上で AccessAgent にログオンしている

マシン Wallet がダウンロードされていない

リモート・コンピューター上のブラウザーから AccessAdmin にログオンし、AccessAgent にログオンされている場合は、マシン Wallet をダウンロードしてください。

AccessAdmin へのフォーム・ベースのログオンが機能しないフォーム・ベースのログオンが有効になっていない場合は、AccessAgent を備えたリモート・コンピューターから AccessAdmin にログオンできません。

このタスクについて

IBM Security Access Manager for Enterprise Single Sign-On バージョン 8.2 では、フォーム・ベースのログオンは、デフォルトで有効になっています。

前のリリースでデフォルトでフォーム・ベースのログオンが有効になっていない場合、バージョン 8.2 にアップグレードすると、フォーム・ベースのログオンは有効になりません。8.2 では、前の設定が引き継がれます。

手順1. IMS 構成ユーティリティーを開きます。

2. 「AccessAdmin」 > 「ログイン」を選択します。

3. 「AccessAdmin への、リモート・マシンからのフォーム・ベース・ログインを許可」リストから「真」を選択します。

4. 「更新」をクリックします。

注: ローカル IMS Server マシンからのフォーム・ベースのログオンが機能しない場合には、DNS ドメイン名の代わりに、IMS Server マシンから URL

https://localhost/admin を使用してください。

5. WebSphere Application Server スタンドアロン・デプロイメントの場合は、ISAMESSOIMS アプリケーションを再始動します。


WebSphere Application Server Network Deployment の場合は、完全同期を実行してからクラスターを再始動します。

AccessAdmin に接続できないさまざまな要因が、AccessAdmin への接続に影響する可能性があります。

以下の場合は、AccessAdmin に接続できません。

IMS Server が実行されていない。Integrated Solutions Console で ISAMESSOIMS アプリケーションが開始されている状態にしてください。

ネットワーク接続がない。AccessAdmin を開始する前に、ネットワークに接続してください。

ポートが使用できません必要なポートを使用可能な状態にしてください。

AccessAdmin - サービスが使用できませんAccessAdmin を開くと、サービスが使用できず、エラーが表示されます。詳細については、ログを確認してください。

このエラーは、WebSphere Application Server Network Deployment で発生します。

症状: SystemOut.log ファイル内に、java.io serializable エラーが表示されます。ISAMESSOIMS EAR ファイルのセッション管理がオーバーライドされていません。

解決方法: セッション管理をオーバーライドします。「IBM Security Access Manager

for Enterprise Single Sign-On インストール・ガイド」の『ISAMESSOIMS のセッション管理のオーバーライド』を参照してください。

Integrated Solutions Console にログオンできないさまざまな要因が原因で、Integrated Solutions Console へのログオンが失敗する可能性があります。

以下のいずれかの理由のため、Integrated Solutions Console にログオンできません。

パスワードが正しくありません正しいパスワードを入力するようにしてください。

WebSphere Application Server 管理者ユーザー名が、WebSphere ApplicationServer と Active Directory に保管されています

v WebSphere 管理者として指定した管理ユーザー名は、ディレクトリー・サーバーに存在してはなりません。Active Directory からユーザー名を削除します。

v WebSphere 管理者と同じユーザー名の管理ユーザーを作成しないでください。例えば、指定した WebSphere 管理者が wasadmin の場合、ユーザー wasadmin は、企業のエンタープライズ・ディレクトリーに存在してはなりません。


v WebSphere Application Server 管理者として administrator を使用しないでください。

v 既存のエンタープライズ・ディレクトリー・ユーザーと競合する可能性が最も低いユーザー名を選択してください。

Active Directory が停止しているか、Active Directory に接続できませんすべての Active Directory が使用可能および接続可能な状態にしてください。

関連する問題: 新規ユーザーのサインアップが失敗する

Active Directory と IMS 構成ユーティリティーの参照ユーザー・パスワードが異なる場合は、新規ユーザーのサインアップ・タスクが失敗します。

症状:

1. Integrated Solutions Console にログオンできません。

2. ユーザーのサインアップを試行しましたが、失敗します。

解決方法:

オプション 1参照ユーザー・パスワードを古いパスワードに変更します。

オプション 2エンタープライズ・ディレクトリーで参照ユーザーを作成する際に、パスワードを変更せず、パスワードの有効期限が無期限になるように、パスワード設定を構成します。

オプション 3

1. すべての WebSphere Application Server Java 関連プロセスを停止します。

2. <was_home>/profiles 内の security.xml を変更します。

最初に出現する「enabled」のインスタンスを見つけて、パラメーター値を False に設定します。

ヒント: security.xml ファイルを変更する前に、そのファイルをバックアップします。

3. WebSphere Application Server を始動します。

4. Active Directory で、新規参照ユーザーを作成するか、既存参照ユーザーのパスワードをリセットします。

5. IMS 構成ユーティリティーで、参照ユーザー・パスワードを変更するエンタープライズ・ディレクトリーを編集します。

6. WebSphere Application Server を停止します。

7. WebSphere Application Server を始動します。

8. Integrated Solutions Console で、管理セキュリティーを有効にします。

a. Integrated Solutions Console のナビゲーション・ペイン上で、「セキュリティー」 > 「グローバル・セキュリティー」を選択します。

b. 「グローバル・セキュリティー」ページで、「管理セキュリティーを使用可能にする」を選択します。


c. 「適用」をクリックします。

d. ページ上部にある「メッセージ」ボックスで、「保存」をクリックします。

IBM HTTP Server が始動しないIMS Server のインストールおよび構成中に IBM HTTP Server を始動する必要が生じる場合があります。

以下の場合は、IBM HTTP Server を始動できません。

同じポートを listen しているアプリケーションが既に存在しているnetstat のようなユーティリティーを使用して、ポートが既に使用中かどうかを確認してください。例えば、netstat -na -p tcp -o を使用します。

管理者パスワードが変更された

管理者パスワードが変更されているかどうかを確認してください。パスワードが変更されている場合は、Windows サービス定義パネルでサービスのパスワードを変更してください。

httpd.conf ファイルを開けないSSL ディレクティブを有効にする際に、httpd.conf ファイルを開くことができません。この問題は、IBM HTTP Server が停止している場合、またはノードが始動されていない場合に発生します。

症状: httpd.conf ファイルを開くとエラー・メッセージが表示され、テキスト域が空です。

解決方法:

1. Web サーバーが管理対象ノードで作成されている場合は、そのノードのノード・エージェントが使用可能 (始動されている) かどうかを確認します。

2. Web サーバーが非管理対象ノードで作成されている場合は、資格情報を確認します。

a. 管理コンソールで、「サーバー」 > 「サーバー・タイプ」 > 「Web サーバー」をクリックします。

b. <Web_server_name> をクリックします。例: webserver1。

c. 「構成」タブの「追加プロパティー」セクションで、「リモート Web サーバーの管理」をクリックします。

d. IBM HTTP Server 管理サーバーの認証ユーザー ID およびパスワードを入力します。例: ihsadmin。

e. 「SSL を使用」チェック・ボックスをクリアします。

f. 「OK」をクリックします。

g. 「メッセージ」」ボックスで、「保存」」をクリックします。

3. IBM HTTP Server を始動します。


IMS Server 構成が失敗したデータベースを手動で作成し、スキーマを手動で作成する場合は、SQL データベース・サーバーから SA としてログアウトし、SQL にログオンします。データベースのユーザー名およびスキーマ名を作成したときに指定したユーザー名を使用して、SQL にログオンします。このようにしない場合、誤ったデータベース構成が原因で、IMS Server の構成が失敗することがあります。IMS 構成ウィザードを実行する前に、この手順を実行する必要があります。

症状: IMS 構成ウィザードで「保存」をクリックすると、エラー・メッセージ「IMS Server Soft CA をアップロードできませんでした」が表示されます。

解決方法:

SQL データベース・サーバーのスキーマ名が、データベースに対して作成したユーザーに属しているかどうかを確認します。

データベースおよびスキーマを手動でセットアップするステップについては、「IBM

Security Access Manager for Enterprise Single Sign-On インストール・ガイド」を参照してください。

IMS Server 構成を再度実行するには、以下の手順に従います。

v C:¥Program Files¥IBM¥ISAM ESSO¥IMS Server¥bin¥ にある cleanImsConfig.bat

スクリプトを実行します。

v データベースおよびスキーマのセットアップ後に IMS 構成ウィザードを実行します。

ディレクトリー・サーバー構成の問題ディレクトリー・サーバー構成に関する問題が発生することがあります。この問題により、IMS Server のデプロイメントが失敗する可能性があります。

ディレクトリー・サーバーの構成時のヒントを以下に示します。

v WebSphere 管理者として指定した管理ユーザー名は、ディレクトリー・サーバーに存在してはなりません。Active Directory からユーザー名を削除します。

v WebSphere 管理者と同じユーザー名の管理ユーザーを作成しないでください。例えば、指定した WebSphere 管理者が wasadmin の場合、ユーザー wasadmin は、企業のエンタープライズ・ディレクトリーに存在してはなりません。

v WebSphere Application Server 管理者として administrator を使用しないでください。

v 既存の潜在的エンタープライズ・ディレクトリー・ユーザーと競合する可能性が最も低いユーザー名を選択してください。

v ディレクトリー・サーバーが SSL 接続を使用している場合は、必ず、ディレクトリー・サーバーの SSL 証明書を WebSphere Application Server に追加してください。「IBM Security Access Manager for Enterprise Single Sign-On インストール・ガイド」の『WebSphere Application Server へのディレクトリー・サーバーのSSL 証明書の追加』を参照してください。


v ディレクトリー・サーバーの構成後に、WebSphere Application Server を即時に再始動して、構成の変更を適用してください。WebSphere Application Server を再始動する前に Web サーバー定義およびディレクトリー・サーバーを構成した場合、その構成は保存されません。

v ディレクトリー・サーバーのリポジトリーが実行されていて、そのリポジトリーに接続できる状態にしてください。構成されている 1 つ以上のリポジトリーに接続できない場合は、WebSphere Application Server に対して認証および停止を実行できません。

この問題は、仮想メンバー・マネージャーのセキュリティー機能によるものです。仮想メンバー・マネージャーは常に、ユーザーを認証する前にすべてのリポジトリーを検査します。解決方法について詳しくは、http://publib.boulder.ibm.com/

infocenter/wasinfo/v7r0/index.jsp?topic=/com.ibm.websphere.wim.doc/

UnableToAuthenticateWhenRepositoryIsDown.html を参照してください。

v NetBIOS 名は検証されません。ユーザーは、正しい名前を指定する必要があります。

v 正しい NetBIOS コンピューター名を判別するには、Microsoft Web サイト(www.microsoft.com) にアクセスして、「nbtstat」を検索します。nbtstat を使用して NetBIOS コンピューター名を判別する方法に関する説明を参照してください。

ノード統合が失敗したIMS Server をデプロイするクラスターを作成するために、ノードを統合します。

以下の場合は、ノード統合が失敗することがあります。

Deployment Manager が始動していないノードを再度統合する前に、Deployment Manager が始動している状態にしてください。

ノードのフィックスパック・レベルが Deployment Manager よりも新しいDeployment Manager のフィックスパック・レベルよりも新しい WebSphere

Application Server フィックスパック・レベルを適用しないでください。

ノードまたは Deployment Manager に接続できない

統合ノードと Deployment Manager との間、およびノード間には両方向の接続が確立されている必要があります。各ノードは、他のノードおよびDeployment Manager に接続できなければなりません。

ping コマンドを使用して、接続を確認してください。

リポジトリーが停止している場合に認証できない構成されている 1 つ以上のリポジトリーが停止している場合は、WebSphere

Application Server に対して認証および停止を実行できません。

症状: 以下の例外が表示されます。

CWWIM4520E The ’javax.naming.CommunicationException:Extdomain1.altext.ibm.com:389[Root exception is java.net.ConnectException: Connection refused: connect]’naming exception occurred during processing.


http://publib.boulder.ibm.com/infocenter/wasinfo/v7r0/index.jsp?topic=/com.ibm.websphere.wim.doc/UnableToAuthenticateWhenRepositoryIsDown.html



http://www.microsoft.com

at com.ibm.ws.wim.adapter.ldap.LdapConnection.reCreateDirContext(LdapConnection.java:613)at com.ibm.ws.wim.adapter.ldap.LdapConnection.search(LdapConnection.java:2419)

解決方法:

この問題および考えられる解決方法について詳しくは、以下を参照してください。

v http://publib.boulder.ibm.com/infocenter/wasinfo/v7r0/index.jsp?topic=/

com.ibm.websphere.wim.doc/UnableToAuthenticateWhenRepositoryIsDown.html

v http://publib.boulder.ibm.com/infocenter/wasinfo/v7r0/index.jsp?topic=

%2Fcom.ibm.websphere.nd.doc%2Finfo%2Fae%2Fae%2Frxml_atidmgrrealmconfig.html

IMS Server がアプリケーションの証明書を発行できないIMS Server は、下線文字 (_) が含まれた ID を持つ認証サービスに対して SCR または CAPI 証明書を発行できません。

アプリケーションの証明書認証を使用するデプロイメントで問題が発生する可能性があるため、IMS Server 証明書のサブジェクト・フィールドには、下線文字 (_) を含めることはできません。

証明書認証を使用する認証サービス ID からすべての下線文字 (_) を削除してください。

ポリシー pid_ts_logon_cache_enabled が表示されないAccessAdmin UI でポリシー pid_ts_logon_cache_enabled が表示されません。


以前のバージョンの IMS Server でこのポリシーを有効にしていて、IMS Server 8.2

にアップグレードした場合は、AccessAdmin UI でこのポリシーを構成できません。以下の手順を使用して、IMS Server 8.2 でこのポリシーを有効にします。

手順1. <WAS_Profile_Dir>/config/tamesso/config/ にある policyConfig.xml ファイルにナビゲートします。

2.  を<value xml:lang="en">pid_ts_logon_cache_enabled</value> で置き換えます。

AccessProfile がプロパティー・ペインに表示されないAccessStudio で AccessProfile を開くと、その内容がプロパティー・ペインに表示されるはずです。

これは再現性の低い問題です。

症状: AccessStudio 8.2 で AccessProfile を開いたとき、および AccessProfile をクリックしたときに、プロパティー・ペインに何も表示されません。

解決方法: AccessStudio のウィンドウをサイズ変更してください。




http://publib.boulder.ibm.com/infocenter/wasinfo/v7r0/index.jsp?topic=%2Fcom.ibm.websphere.nd.doc%2Finfo%2Fae%2Fae%2Frxml_atidmgrrealmconfig.html

http://publib.boulder.ibm.com/infocenter/wasinfo/v7r0/index.jsp?topic=%2Fcom.ibm.websphere.nd.doc%2Finfo%2Fae%2Fae%2Frxml_atidmgrrealmconfig.html

「次に変換」オプションを使用すると、AccessStudio が異常終了することがある

Web アプリケーション用の AccessProfile を開き、「次に変換」オプションを使用してトリガーを変換すると、AccessStudio が異常終了することがあります。この問題は、Web アプリケーションが Microsoft Internet Explorer または Mozilla Firefox

で実行されている場合に発生します。

症状: AccessStudio で、トリガーを右クリックし、その他のトリガーへの「次に変換」を選択すると、アプリケーションで未処理例外が発生したというプロンプトが出されます。

解決方法: 「次に変換」オプションを使用するのではなく、以下の手順を使用します。

1. トリガーを追加します。

2. 既存のトリガーのトリガー詳細を新規トリガーにコピーします。

3. 既存のトリガーを削除します。

コマンド・プロンプトでシングル・サインオンできないAccessAgent のインストール時に、デフォルトでは、コンソール・アプリケーション・サポートは有効になっていません。そのため、コマンド・プロンプトにシングル・サインオンできません。

コンソール・アプリケーション・サポートを有効にするには、SetupHlp.ini を使用するか、InstallConsoleSupport.vbs を実行します。

SetupHlp.ini 内でコンソール・アプリケーション・サポートを使用可能にする

AccessAgent のインストール時に、SetupHlp.ini 内でコンソール・アプリケーション・サポートを使用可能にします。

1. AccessAgent インストーラ―で、Config フォルダーを開きます。

2. SetupHlp.ini をダブルクリックして、構成設定ファイルを開きます。

3. 「セットアップ時のみのオプション」カテゴリーで、ConsoleAppSupportEnabled

の値に 1 を設定します。

InstallConsoleSupport.vbs を実行します。

AccessAgent のインストール中に、InstallConsoleSupport.vbs が自動的にAccessAgent インストール・ディレクトリーにインストールされます。

AccessAgent をインストールしていて、コンソール・アプリケーション・サポートを使用可能にしたい場合には、次の手順を実行します。

1. InstallConsoleSupport.vbs を実行します。

注: スクリプトを実行する前に、管理者特権を持っていることを確認してください。

2. コンピューターを再始動します。


AccessProfile を開く際のメモリー不足エラーAccessStudio 8.2 は、大きなサイズの AccessProfile を処理できません。

症状: サイズが 9 MB 以上の AccessProfile を開くと、システムのメモリー不足例外が発生します。

解決方法: AccessProfile のファイル・サイズを小さくしてください。

低速パフォーマンス、始動およびログオンの失敗AccessAgent または IMS Server のパフォーマンスが低速である場合、またはAccessAgent のログオンまたは始動が失敗する場合は、インストールされているアンチウィルス・ソフトウェアが原因で問題が生じている可能性があります。


アンチウィルス・ソフトウェアが原因で、以下の問題が発生する可能性があります。

v ユーザー・コンピューターおよび Citrix/Terminal Server での AccessAgent のパフォーマンスの低速化。

v ユーザー・コンピューターおよび Citrix/Terminal Server での AccessAgent の始動の失敗。

v Citrix/Terminal Server での断続的な AccessAgent のログオンの失敗。

v IMS Server のパフォーマンスの低速化。

これらの問題を解決するには、アンチウィルス・ソフトウェアの除外リストに IBM

Security Access Manager for Enterprise Single Sign-On のフォルダーを含めます。McAfee アンチウィルスを使用している場合は、以下の手順を使用します。

手順1. アンチウィルス・スキャン・プログラムのプロパティー・ページを開きます。

2. 「検出」タブの「スキャン対象外」で、除外機能を使用します。

3. 「除外対象」をクリックして、「除外対象の設定」ダイアログ・ボックスを開きます。

4. ファイル、フォルダー、またはドライブを追加するか、リスト内の項目を編集します。

5. 項目を追加するには、「追加」をクリックして「除外項目の追加」ダイアログ・ボックスを開きます。

6. 「除外対象」で、「名前/場所で指定」を使用してフォルダーを選択します。

7. 「除外条件」で、すべてのオプションを指定します。

8. 「OK」をクリックしてこれらの設定を保存し、「除外対象の設定」ダイアログ・ボックスに戻ります。

9. 「OK」をクリックしてこれらの設定を保存し、「検出」タブに戻ります。

10. 「適用」をクリックして、これらの設定を保存します。

注: この解決方法でコンピューターのパフォーマンスが改善されない場合は、アンチウィルス・ソフトウェアを最新バージョンにアップグレードします。ア


ップグレード後も引き続き問題が発生する場合には、トラブルシューティングのため、または一時的な解決策として、アンチウィルス・ソフトウェアをアンインストールしてください。

ブラウザー関連の問題ブラウザーの使用時に問題が発生することがあります。

問題および回避策については、以下のトピックを参照してください。

v 『Microsoft Internet Explorer ブラウザーの使用時にファイルのダウンロードが失敗する』

v 34ページの『Microsoft Internet Explorer が異常終了する』

v 34ページの『Mozilla Firefox が AccessAgent のシングル・サインオン機能を妨害する』

v 35ページの『シングル・サインオンが Mozilla Firefox で機能しない』

v 35ページの『Mozilla Firefox のポップアップ・ウィンドウでログオン資格情報を取り込めない』

v 35ページの『Web アプリケーションを起動できない』

v 36ページの『「戻る」ボタンが機能しない』

Microsoft Internet Explorer ブラウザーの使用時にファイルのダウンロードが失敗する

症状: 任意の Web サイトからファイルをダウンロードする際に、ブラウザーが応答しなくなり、ダウンロードが失敗します。この問題は、Microsoft Internet Explorer

バージョン 7.0 および 8.0 で発生します。

解決方法: Microsoft Internet Explorer AccessProfile を編集して、ブラウザー・ヘルパー・オブジェクトを一時的に無効にしてください。

注: 以下のステップを実行してこの問題を解決する前に、管理者特権を持っていることを確認してください。


2. 「ファイル」->「IMS からのデータのインポート」をクリックして、AccessProfile を IMS Server からインポートします。

3. AccessProfile リストで、sso_site_wnd_iexplore プロファイルをクリックします。各種の状態およびプロパティーが表示されます。

4. state_start から state_deactivate_bho への状態遷移中に実行されるトリガーを展開します。

5. 「ウィンドウがアクティブ化される」トリガーをクリックします。

6. 「条件」プロパティーを展開します。

7. VBScript コードで、行「DisableBHOAtDownload = 0」を「DisableBHOAtDownload = 1」に変更します。

8. AccessProfile を保存します。


9. AccessProfile リストで、sso_site_wnd_iexplore プロファイルを右クリックし、「IMS へのアップロード」を選択します。

Microsoft Internet Explorer が異常終了する

症状: 任意のランダムな Web サイトのブラウズ時に、Microsoft Internet Explorer が異常終了します。この問題は、Microsoft Internet Explorer バージョン 7.0 および8.0 において、任意のランダムな Web サイトで発生します。

解決方法: Web サイト用の AccessProfile を作成し、ブラウザー・ヘルパー・オブジェクトを有効にするかどうかを指定します。

注: 以下のステップを実行してこの問題を解決する前に、管理者特権を持っていることを確認してください。


2. このエラーが表示される Web サイト用の基本 AccessProfile を作成します。

3. 「状態編集」を使用可能にします。

4. 新しい状態を作成します。例: newstate1。

5. 開始状態から newstate1 への「即時に起動」トリガーを挿入します。

6. 「VBScript または JScript を実行」アクションを追加します。

7. スクリプトに以下のコードを貼り付けます。

dim objBHO objBHO = runtime.getBrowserObject() objBHO.enableBHO(false)

8. 別の新規状態を作成します。例: newstate2

9. newstate1 から newstate2 への「指定時間後に起動」トリガーを挿入します。

10. トリガー・タイムアウトを、Web ページのロードにかかる時間に設定します。

11. 「VBScript または JScript を実行」アクションを追加します。

12. スクリプトに以下のコードを貼り付けます。

dim objBHO objBHO = runtime.getBrowserObject() objBHO.enableBHO(true)

13. 新規 AccessProfile を IMS Server にアップロードします。

Mozilla Firefox が AccessAgent のシングル・サインオン機能を妨害する

Mozilla Firefox を使用してアプリケーションにログオンする際に、Mozilla Firefox

と AccessAgent の両方でパスワードを保存するためのフォームが表示されます。

Mozilla Firefox では、デフォルトで、「サイトのパスワードを記憶する」オプションが有効になっています。この機能は、ユーザーのパスワードを取り込んで、Web

サイトにログオンするたびに、そのパスワードが自動的に入力されるようにします。AccessAgent がユーザーのログオン資格情報を取り込む際に、Mozilla Firefox

でもパスワードを保存するための別のフォームが表示されます。

AccessAgent のインストール中に、インストーラーは、Mozilla Firefox の「サイトのパスワードを記憶する」オプションを自動的に無効にします。しかし、まだWindows デスクトップにログオンしていない、かつ以前に Mozilla Firefox を使用していない場合には、このオプションを手動で無効にします。


Mozilla Firefox でこの機能を無効にするには、以下のようにします。

1. Mozilla Firefox を起動します。

2. 「ツール」 > 「オプション」 > 「セキュリティ」 > 「パスワード」に移動します。

3. 「サイトのパスワードを記憶する」チェック・ボックスをクリアします。

または、ご使用のマシンで C:¥Program Files¥IBM¥ISAM ESSO¥AA フォルダーに移動して、InstallFirefoxXpCom.vbs をダブルクリックします。

シングル・サインオンが Mozilla Firefox で機能しないMozilla Firefox は、AccessAgent の前にインストールする必要があります。そうしないと、シングル・サインオンが Mozilla Firefox で機能しません。

症状: シングル・サインオンが Mozilla Firefox で機能しません。

解決方法: AccessAgent が Mozilla Firefox より先にインストールされている場合は、C:¥Program Files¥IBM¥ISAM ESSO¥AA にナビゲートして、InstallFirefoxXPCOM.vbs バッチ・スクリプトを実行します。このスクリプトにより、Mozilla Firefox でシングル・サインオンをサポートできるようになります。

Mozilla Firefox のポップアップ・ウィンドウでログオン資格情報を取り込めない

Mozilla Firefox のポップアップ・ウィンドウで、AccessAgent がログオン資格情報を取り込めません。

症状: 何らかの Web ページ認証で、ポップアップ・ウィンドウにユーザー名とパスワードの入力を求めるプロンプトが出る場合があります。ユーザーが Mozilla

Firefox を使用している場合、AccessAgent は入力を取り込むことができず、またポップアップ・ウィンドウ内のアクション・トリガーを検出することができません。

解決方法: 以下の手順を使用して、ログオン資格情報を取り込みます。

1. 「ウィンドウがアクティブ化される」トリガーを使用して、基本認証ウィンドウ・ポップアップ・イベントを検出します。

2. このトリガー下で、「拡張アクション」 > 「ログオン資格情報を取り込むダイアログを表示」を使用してください。

Web アプリケーションを起動できないブラウザーがオフラインで作業するように設定されている場合は、Microsoft Internet

Explorer で Web アプリケーションを起動できません。

症状: Microsoft Internet Explorer ウィンドウを起動して、ネットワーク接続関連のメッセージが表示された場合は、Microsoft Internet Explorer がオフライン・モードに設定されている可能性があります。

解決方法: Microsoft Internet Explorer の「ファイル」メニューを選択して、Microsoft Internet Explorer がオフラインで作業するように設定されているかどうか


を確認します。「オフライン作業」オプションが選択されている場合には、インターネットに接続することはできません。この問題を解決するには、「オフライン作業」オプションをクリアします。

「戻る」ボタンが機能しないAccessAdmin、AccessAssistant、および Web Workplace で「戻る」ボタンが機能しない。

AccessAdmin、AccessAssistant、および Web Workplace の使用時に、Web ブラウザーで「戻る」ボタンを使用できません。

AccessAssistant と Web Workplace は、セキュリティー上の理由からこのように設計されていますが、AccessAdmin は実装上の特定の制約のためこのように設計されています。

検証このセクションでは、バージョン、モード、および使用デプロイメント・タイプを検証する方法に関するヒントを示します。

以下のトピックを参照してください。

v 『IMS Server デプロイメントのタイプの判別』

v 37ページの『サーバー AccessAgent のモードの判別』

IMS Server デプロイメントのタイプの判別IMS Server がどのようにデプロイされているか (仮想アプライアンスを使用しているのか、標準プロセスを使用しているのか) を知るには、プロファイル名およびオペレーティング・システムを確認するか、Integrated Solutions Console を確認します。

プロファイル名およびオペレーティング・システムを使用する場合

System.Out ログ・ファイルを確認します。このログ・ファイルには、プロファイル名およびオペレーティング・システムが示されています。

各ログ・ファイルの先頭に出力された環境変数内で、以下を見つけます。

user.install.root = /opt/IBM/WebSphere/Profiles/DefaultAppSrv01

仮想アプライアンス・デプロイメントの場合、プロファイル名は常にDefaultAppSrv01 であり、オペレーティング・システムは SUSE Linux

Enterprise Server です。

Integrated Solutions Console を使用する場合仮想アプライアンス・デプロイメントの場合、「ようこそ」リンクをクリックすると、WebSphere Application Server と WebSphere HyperVisor の両方の項目が表示されます。それ以外の場合は、WebSphere Application Server

のみが表示されます。


IMS Server のバージョンの確認

AccessAdmin ナビゲーション・パネルで、「システム」 > 「状況」を選択して、サーバーの可用性やバージョン番号などのシステム状況を表示します。

サーバー AccessAgent のモードの判別サーバー AccessAgent が標準モードで実行されているのか、軽量モードで実行されているのかを知るには、ログを確認します。

サーバーで軽量モード設定を判別するには、ログ・レベル 3 を使用します。以下のメッセージを持つ TSVCServer.exe のログを確認します。

Lightweight mode AccessAgent disabled orClient AccessAgent has no V3 message support.

セッションが軽量モードで実行されているかどうかを判別するには、以下のメッセージを持つ TSVCServer.exe のログを確認します。

"Launch AATray success."標準モードで実行されています。

"Not launching AATray."軽量モードで実行されています。



第 5 章フィックス

製品サポート Web サイトからフィックスを入手したり、フィックスを含む製品サポート情報の通知を受けられるように申し込むことができます。

フィックスの入手以下は英語のみの対応となります。お客様の問題の解決に、プロダクトのフィックスが有効な場合があります。 IBM Security Access Manager for Enterprise Single

Sign-On で入手可能なフィックスを判別するには、プロダクト・サポート・サイトを確認してください。

始める前に

以下のプロダクト・サポート Web サイトを確認して、IBM Security Access

Manager for Enterprise Single Sign-On で入手可能なフィックスを判別できます。

手順1. 以下の IBM Security Access Manager for Enterprise Single Sign-On の IBM ソフトウェア・サポート Web サイトにアクセスします: http://www.ibm.com/software/

sysmgmt/products/support/index.html

2. 「特定の Tivoli 製品のサポート (Support for specific Tivoli products)」ドロップダウン・リストから「IBM Security Access Manager for Enterprise SingleSign-On」を選択します。最新のフィックスがページの「Download」セクションにリストされています。

3. フィックスの名前をクリックして説明を読みます。このフィックスをダウンロードすることもできます。

フィックス通知の受信新規フィックスパックおよび IBM プロダクトに関するその他のニュースに関する通知を受け取るための E メール通知およびサブスクリプションを有効にします。

手順

以下は英語のみの対応となります。フィックスやその他の IBM 製品に関するニュースについての通知を E メールで受信するには、以下のステップを実行してください。

1. 以下の IBM Security Access Manager for Enterprise Single Sign-On の IBM ソフトウェア・サポート Web サイトにアクセスします: http://www.ibm.com/

software/sysmgmt/products/support/index.html

2. 「特定の Tivoli 製品のサポート (Support for specific Tivoli products)」ドロップダウン・リストから「IBM Security Access Manager for Enterprise SingleSign-On」を選択します。






3. ページの右上隅の「マイ・サポート (My Support)」をクリックします。サインイン・ページが表示されます。

4. 登録済みの場合は、次のステップに進みます。登録していない場合は、「今すぐ登録 (Register now)」をクリックして、ユーザー ID とパスワードを設定します。

5. 「マイ・サポート (My support)」にサインインします。

6. 「プロファイルの編集 (Edit profile)」タブをクリックします。

7. 表示されたフィールドで「ソフトウェア」 > 「セキュリティー」 > 「アクセス」を選択します。

8. 表示される製品のリストから「IBM Security Access Manager for EnterpriseSingle Sign-On」を選択します。

9. 「製品の追加 (Add products)」をクリックします。

10. E メール通知を有効にするには、ページ上部の「E メールの購読 (Subscribe toemail)」をクリックします。

11. リストから「ソフトウェア」をクリックします。

12. 受け取る E メール通知を最も適切に表したチェック・ボックスを選択します。

13. 「更新」をクリックします。

14. 「サインアウト」をクリックしてセッションからサインアウトするか、「個人設定ページへ移動 (Go to my personalized page)」をクリックして個人別設定サポート・ページを表示します。


第 6 章知識ベースの検索

IBM Security Access Manager for Enterprise Single Sign-On の IBM サポートでは、技術的な資料、問題、および回避策の知識ベースを保守しています。


IBM Support Assistant には、特定の製品、プラットフォーム、または問題に関連した情報の重点的な検索に役立つ階層検索ツールが組み込まれています。詳しくは、55ページの『IBM Support Assistant』を参照してください。

以下の手順は、手動で情報を検索する方法の説明です。

手順1. 以下の IBM Security Access Manager for Enterprise Single Sign-On の IBM ソフトウェア・サポート Web サイトにアクセスします: http://www.ibm.com/software/

sysmgmt/products/support/index.html

2. 「特定の Tivoli 製品のサポート (Support for specific Tivoli products)」ドロップダウン・リストから「IBM Security Access Manager for Enterprise SingleSign-On」を選択します。

3. 「Solve a problem」で、以下のオプションのいずれかをクリックします。

v 「Technotes」。記事タイトルごとに製品についての情報がリストされます。

v 「APARs」。プログラム診断依頼書番号に従って既知の問題がリストされます。

4. オプションとして、製品サポート・ページにある「検索」フィールドを使用して、特定の用語、エラー・コード、または APAR を検索します。「Technotes」ページまたは「APARs」ページ全体をブラウズすることもできます。





第 7 章データの分析

複数のソースからデータを収集した後に、そのデータをどのように役立てれば問題を解決できるかを判断する必要があります。

データを分析するには、以下のアクションを実行します。

v その問題についての情報が含まれる可能性が最も高いデータ・ソースを判別して、そのソースから分析を開始します。例えば、問題がインストールに関連したものならば、インストール・ログ・ファイル (存在する場合) から開始します。このアクションにより、一般的な製品またはオペレーティング・システムのログ・ファイルから開始せずに、問題を絞り込むことができます。

v さまざまなデータの断片同士がどのように関連し合っているかを理解します。例えば、データが複数のシステムに渡っている場合、データのどの断片がどのソースに由来するものか分かるように、データを整理された状態にしておきます。

v タイム・スタンプを使用して、診断データの各部と問題のタイミングとの関連を確認します。

注: 各種ソースのデータのタイム・スタンプ・フォーマットは異なる可能性があります。各タイム・スタンプ・フォーマットにおける各種要素の順序を理解して、各種イベントがいつ発生したかを識別できるようにしてください。

具体的な分析方法は各データ・ソースに固有です。大部分のトレースおよびログ・ファイルに適用できるヒントの 1 つとして、問題が発生したデータ・ポイントを識別することから開始することが挙げられます。そのようなポイントを識別した後に、データ全体を調べて、問題の根本原因をトレースします。

問題を調査するには、正常に機能する環境と機能しない環境についての比較データがある場合は、それぞれの環境について、オペレーティング・システムおよび製品構成の詳細を比較することから始めます。



第 8 章データの収集

症状のトラブルシューティング以外にも、問題を解決する方法があります。問題を解決する他の方法は、追加の診断データの収集です。

問題報告書用のデータ収集を開始する前に、IBM Support Assistant をインストールして実行します。このトラブルシューティング・ツールには、ユーザーがオンラインの問題管理レコード (PMR) を送信できるコンソールが組み込まれています。そのプロセスの一部として、ご使用のシステム、環境、および製品に固有の情報が、IBM ソフトウェア・サポートが使用する 1 つのファイルに集約されます。IBM

Support Assistant について詳しくは、 55ページの『IBM Support Assistant』を参照してください。

問題管理レコード (PMR) を開く前であっても、データを早期に収集すると、以下の質問に答える際に役立ちます。

1. 症状は既知の問題と一致していますか。

2. 一致している場合、フィックスや回避策は公開されていますか。

3. 問題は、コード修正をしないで識別および解決可能な、欠陥指向でない問題ですか。

4. 問題はどこで発生していますか。

収集する必要がある診断データ、およびそのデータの収集元のソースは、調査対象の問題のタイプに依存します。

問題がどのコンポーネントから発生しているのかを見分けることができるように、IBM Security Access Manager for Enterprise Single Sign-On のトラブルシューティング・チェックリストの質問に答えてください。

一般データの収集

IBM ソフトウェア・サポートに問題を送信する場合、通常は以下のような基本情報セットによって、影響を受けるシステムに関する詳細を提供する必要があります。

v IBM Security Access Manager for Enterprise Single Sign-On のバージョン、および影響を受けるシステムのパッチ・レベル

v オペレーティング・システムの名前およびバージョン

v ご使用の環境の構造についての一般的な詳細 (例えば、インストール済みのサーバーおよびソフトウェアの数や、構成済みのドメインおよびフェデレーションなど)

問題固有のデータの収集

特定の症状、または製品の特定部分における問題の場合は、メッセージ情報やトレース情報などの追加データを収集しなければなりません。詳しくは、 46ページの『メッセージ・ログおよびトレース・ログ』を参照してください。適切な診断データを収集した後は、そのデータを自分で分析してみるか、または、IBM ソフトウェア・サポートに送信することができます。


メッセージ・ログおよびトレース・ログIBM Security Access Manager for Enterprise Single Sign-On のメッセージ・ログおよびトレース・ログは、WebSphere Application Server によって管理および保管されます。

ログおよびロギングについて詳しくは、WebSphere Application Server インフォメーション・センターのトラブルシューティングのトピックを参照してください。

メッセージ・ログメッセージ・ログは、システムの動作が記録されているテキスト・ファイルです。

以下のメッセージのタイプが、デフォルトで記録されます。

通知メッセージ留意するに値するが、予防措置を講じたり、処置したりする必要のない状態を示します。

警告メッセージ意識すべき状態が検出されたが、必ずしも処置する必要のない状態を示します。

エラー・メッセージ処置を必要とする状態が発生したことを示します。

メッセージ・ログ・ファイル

すべての IBM Security Access Manager for Enterprise Single Sign-On メッセージは、以下に示すデフォルトの WebSphere Application Server メッセージ・ログに記録されます。

表 2. メッセージ・ログ

ログデフォルト・ファイル名内容

JVM ログ SystemOut.log テキスト形式でのアプリケーション・サーバー・インスタンスのメッセージ。

IBM サービス・ログ activity.log アプリケーション・サーバーのインストール用のバイナリー Common Base Event フォーマットのメッセージ。注: このフォーマットを表示するためのツールは、WebSphere Application Server

で提供されています。詳しくは、WebSphere Application

Server インフォメーション・センターを参照してください。

WebSphere Application Server 管理コンソールを使用して、以下のログ設定を構成できます。


v 場所

v 名前

v ログ・ファイルの最大サイズ

v ログに記録する重大度のレベル (「WARNING」や「SEVERE」など)

詳しくは、 48ページの『ログ設定の構成』を参照してください。

メッセージ・ログの場所

デフォルトでは、メッセージ・ログは以下のディレクトリーにあります。

表 3. アプリケーション・サーバーのデフォルトのメッセージ・ログの場所

ログパス

JVM ログ Windows:

C:¥Program Files¥IBM¥WebSphere¥AppServer¥profiles¥

profile_name¥logs¥server_name¥SystemOut.log

IBM サービス・ログ Windows:


profile_name¥logs¥server_name¥activity.log

HTTP Server ログ C:¥Program Files¥IBM¥HTTPServer¥logs

ISAM ESSO ログ C:¥Program Files¥IBM¥ISAM ESSO¥Logs

コンソール・メッセージ・ログは、管理コンソールがインストールされているWebSphere Application Server ノードのメッセージ・ログ・ディレクトリーに保存されます。

トレース・ログトレース・ロギング、またはトレースは、問題が発生した時点でのシステムの状態に関連する追加情報を IBM ソフトウェア・サポート担当者に提供します。

トレース・ログは、コンポーネントまたはアプリケーションが期待どおりに機能しない場合の現行稼働環境に関する一過性の情報を収集します。メッセージ・ログは注目に値するイベントの発生のみを記録するため、トレース・ログはメッセージ・ログとは異なります。トレース・ログは英語でのみ入手できます。

トレース・ロギングは、デフォルトでは使用可能に設定されていません。一部の環境では、トレース・ロギングが原因で短期間に大量のデータが収集されることが原因で、パフォーマンスが大幅に低下することがあります。したがって、トレース・ロギングは IBM ソフトウェア・サポート担当者の指示があった場合にだけ、使用可能にしてください。詳しくは、 48ページの『ログ設定の構成』を参照してください。

トレース・ログ項目は、以下のレベルの詳細を提供できます。

細分化最小限の詳細。

高細分化普通の詳細。

第 8 章データの収集 47

最高細分化最大限の (冗長な) 詳細。

トレース・ログ・ファイル

アプリケーション・サーバーについてトレースが使用可能に設定されている場合、IBM Security Access Manager for Enterprise Single Sign-On トレース情報は次のデフォルトの WebSphere Application Server トレース・ログに記録されます。

表 4. トレース・ログ

デフォルト・ログ名デフォルト・ファイル名内容

診断トレース trace.log テキスト形式でのアプリケーション・サーバー・インスタンスのトレース情報。

WebSphere Application Server 管理コンソールを使用して、場所、名前、ログ・ファイルの最大サイズ、および詳細のレベル (細分化、高細分化、最高細分化など) といった、ログの一部の設定を構成できます。詳しくは、『ログ設定の構成』を参照してください。

トレース・ログの場所

デフォルトでは、トレース・ログは以下のディレクトリー内にあります。

表 5. アプリケーション・サーバーのデフォルトのトレース・ログの場所

ログパス

診断トレース UNIX および Linux:

/opt/IBM/WebSphere/AppServer/profiles/profile_name/logs/

server_name/trace.log

Windows:


profile_name¥logs¥server_name¥trace.log

コンソール・トレース・ログは、管理コンソールがインストールされているWebSphere Application Server ノードのトレース・ログ・ディレクトリーに保存されます。

ログ設定の構成管理コンソールを使用して、メッセージ・ログおよびトレース・ログの設定を構成できます。メッセージ・ロギングは、デフォルトで使用可能に設定されています。トレース・ロギングは、IBM サポート担当員から指示があった場合にのみ有効にする必要があります。

メッセージ・ロギングの構成JVM ログおよび IBM サービス・ログへのメッセージ・ロギングは、デフォルトで使用可能に設定されています。いずれのログも、すべての IBM Security Access


Manager for Enterprise Single Sign-On コンポーネントについて、すべての深刻度レベルのメッセージを記録するように構成されています。名前、場所、ファイル・サイズ、および、ログに記録される深刻度レベルを変更できます。

JVM ログの構成ファイル名、場所、ファイル・フォーマット、ファイル・サイズ、ロギングの開始および停止時刻、保持するログの数、および JVM ログに記録される深刻度レベルを変更できます。


SystemOut.log とも呼ばれる JVM ログは、メッセージに使用される標準のWebSphere Application Server ログです。詳しくは、WebSphere Application Server

インフォメーション・センターの JVM ログのトピックを参照してください。

手順1. WebSphere Application Server 管理コンソールを開始してログオンします (必要な場合)。

2. 「トラブルシューティング」 > 「ログおよびトレース」をクリックして、「ロギングおよびトレース」ページを開きます。

3. 構成するサーバーの名前をクリックします。例えば、server1。

4. 「JVM ログ」をクリックして、構成オプションを表示します。

5. 「構成」タブを選択します。

6. パネルをスクロールして、構成する属性を表示します。

7. 適切な構成属性を変更します。

8. 「適用」をクリックします。

9. 構成変更を保存します。

IBM サービス・ログの構成IBM サービス・ログは、デフォルトで使用可能に設定されています。この設定を変更したり、名前、場所、ファイル・サイズ、および、ログに記録される深刻度レベルを変更することができます。


サービス・ログ (activity.log とも呼ばれる) は、メッセージに使用される標準的なWebSphere Application Server ログです。このログについて詳しくは、WebSphere

Application Server インフォメーション・センターの、サービス・ログのトピックを参照してください。



3. 構成するサーバーの名前をダブルクリックします。例えば、server1。

4. 「IBM サービス・ログ」をクリックして、構成オプションを表示します。


5. 「サービス・ログを使用可能に設定」ボックスを選択またはクリアして、ロギングを使用可能または使用不可に設定します。サービス・ログは、デフォルトで使用可能に設定されています。

6. 「ファイル名」フィールドに、サービス・ログの名前を設定します。デフォルトの名前は activity.log です。名前が変更された場合、ランタイムで新規ファイルへの書き込み権限が必要となり、そのファイルは .log 拡張子を使用する必要があります。

7. 「最大ファイル・サイズ」フィールドに、ファイルに許容される最大メガバイト数を指定します。ファイルがこのサイズに達すると、ファイルは循環し、最も古いデータが最新のデータに置き換えられます。

8. 「適用」をクリックして、構成変更を保存します。

9. 構成変更を有効にするために、サーバーを再始動してください。

トレース・ロギングの使用可能化サーバー始動時に、または稼働中のサーバーで、トレース・ロギングを使用可能に設定できます。システム・パフォーマンスを維持するために、トレース・ロギングは、IBM サポート担当員の指示があった場合にのみ使用可能に設定してください。

サーバー始動時のトレースの使用可能化サーバー始動時に、トレース・ロギングを使用可能に設定できます。


トレース・ログは、トレース情報用に使用される標準の WebSphere Application

Server ログです。このログについて詳しくは、WebSphere Application Server インフォメーション・センターを参照してください。



3. 構成するサーバーの名前 (「server1」など) をクリックします。

4. 「診断トレース」をクリックして、構成オプションを表示します。

5. 「構成」タブをクリックします。

6. 「ログを使用可能に設定」ボックスを選択またはクリアして、ロギングを使用可能または使用不可に設定します。トレース・ログは、デフォルトで使用不可に設定されています。

7. IBM サポート担当員の指示に従って、構成を完了させます。構成設定についての追加情報は、WebSphere Application Server インフォメーション・センターのトラブルシューティングおよびトレース・ログのトピックを参照してください。

8. 「適用」をクリックして、構成変更を保存します。

9. 以下のようにしてトレース・ストリングを入力し、トレースの指定を必要な状態に設定します。


a. 「トラブルシューティング」 > 「ログおよびトレース」をクリックして、「ロギングおよびトレース」ページを開きます。

b. 構成するサーバー (「server1」など) をクリックします。

c. 「ログ詳細レベルの変更」をクリックします。

d. 「すべてのコンポーネント」オプションが有効になっている場合は、そのオプションをオフにしてから、特定のコンポーネントを有効にします。

10. コンポーネント名またはグループ名をクリックしてください。

11. トレース・ストリング・ボックスにトレース・ストリングを入力します。トレース・ストリングについて詳しくは、WebSphere Application Server インフォメーション・センターを参照してください。

12. 「OK」をクリックします。

13. 「保存」をクリックして、変更を保存します。変更を有効にするためには、WebSphere Application Server を再始動する必要があります。

稼働中サーバーでのトレースの使用可能化稼働中のサーバーで、トレース・ロギングを使用可能に設定できます。


トレース・ログは、トレース情報用に使用される標準の WebSphere Application

Server ログです。このログについて詳しくは、WebSphere Application Server インフォメーション・センターを参照してください。



3. 構成するサーバーの名前 (「server1」など) をクリックします。

4. 「診断トレース」をクリックします。

5. 「ランタイム」タブをクリックします。

6. 変更をサーバーの構成に書き戻す場合は、「ランタイムの変更を構成にも保存」ボックスを選択します。

7. トレース指定を、希望の状態に変更することにより、既存のトレース状態を変更します。

8. 既存のトレース出力を変更する場合は、トレース出力を構成します。

9. 「適用」をクリックします。

ログの表示ログの形式によって、ログを表示できる方法が決まります。

JVM ログ

以下のオプションのいずれかを使用して、JVM ログを表示できます。


v WebSphere Application Server 管理コンソールを使用します。このコンソールでは、リモート・マシンからの表示もサポートされます。

v ログ・ファイルが保管されているマシン上でテキスト・エディターを使用します。

詳しくは、WebSphere Application Server インフォメーション・センターで「JVMログの表示」を参照してください。

IBM Support Assistant の使用IBM Support Assistant ツールは、IBM Security Access Manager for Enterprise Single

Sign-On のトラブルシューティングに役立ちます。このツールを使用して、問題データを自動的に収集します。

IBM Security Access Manager for Enterprise Single Sign-On インストールの一部として、IBM Support Assistant 用の IBM Security Access Manager for Enterprise

Single Sign-On プラグインをインストールする必要があります。製品のインストール時に IBM Support Assistant コンポーネントを指定しなかった場合は、この時点でインストールします。

ツールを使用するには、以下を参照してください。

v 『グラフィック・モードでの IBM Support Assistant の使用』

v 53ページの『コンソール・モードでの IBM Support Assistant の使用』

グラフィック・モードでの IBM Support Assistant の使用IBM Support Assistant で、グラフィカル・ユーザー・インターフェースを使用してデータを収集します。


グラフィカル・ユーザー・インターフェースにアクセスするには、コマンド行からスクリプトを実行します。

手順1. Java 環境が正しく構成されていることを確認してください。

a. Java ランタイム環境が 1.4.2 以上のレベルであることを確認します。

b. Java ランタイム環境の場所が、PATH 環境設定に含まれているかどうかを判別します。場所がパスに含まれていない場合は、変数 JAVA_HOME を、Java ランタイム環境を指すように設定します。

表 6. 環境用の JAVA_HOME の指定

オペレーティング・システムサンプル・コマンド

Windows 例えば、Java Development Kit が c:¥jre1.4.2 にインストールされている場合は、以下のコマンドを使用します。

SET JAVA_HOME=c:¥jre1.4.2

2. 以下のように、IBM Support Assistant ツールを開始します。


コマンド・ウィンドウを開き、ディレクトリーを ISAlite インストール・ディレクトリーに変更します。コマンド runISALite.bat を入力します。これで、IBM Support Assistant でグラフィカル・ユーザー・インターフェースが開始されます。

3. 「問題タイプ」ウィンドウで、問題タイプを選択します。

フォルダーを展開して、すべての問題タイプを表示します。該当する問題タイプを見つけて選択します。

4. データ収集 .zip ファイルのファイル名を指定します。

任意のファイル名を使用できます。ツールにより .zip ファイル拡張子が自動的に付加されます。例えば、ファイル名 Install_problem を入力した場合は、ファイルの名前は Install_problem.zip になります。

5. 「データの収集」をクリックします。

収集スクリプトが実行されて、追加情報を求めるプロンプトが出されます。この情報には、構成情報や問題に至る一連のイベントを含めることができます。また、スクリプトにより、データ収集の設定を求めるプロンプトが出される場合もあります。

スクリプトでセットアップ情報の収集が終了すると、必要なデータが収集されます。このツールで、IBM サポートに送信できる .zip ファイルが作成されます。

6. プロンプトが出されたら、「出力ファイル名/パス」ボックスにファイル名を入力します。

入力したファイル名に、サーバー・ホスト名と現在のタイム・スタンプがツールにより付加されます。

7. .zip ファイルを IBM サポートに送信します。

ファイル転送には、FTP または HTTPS を選択できます。

注: FTP の場合は暗号化されず、HTTPS の場合は暗号化されます。

コンソール・モードでの IBM Support Assistant の使用コンソール・モードで、IBM Support Assistant を使用してデータを収集できます。


コンソール・モードでは、IBM Support Assistant Lite 収集スクリプトをコマンド行で制御できます。このツールにより、コンソール・モードのセッションでのユーザーの応答を応答ファイルに記録できます。その後、この応答ファイルを使用して、同じ収集スクリプトを再度実行できます。

手順1. Java 環境が正しく構成されていることを確認してください。

a. Java ランタイム環境が 1.4.2 以上のレベルであることを確認します。

b. Java ランタイム環境の場所が、PATH 環境設定に含まれているかどうかを判別します。場所がパスに含まれていない場合は、変数 JAVA_HOME を、Java ランタイム環境を指すように設定します。


表 7. 環境用の JAVA_HOME の指定

オペレーティング・システムサンプル・コマンド

Windows 例えば、Java Development Kit が c:¥jre1.4.2 にインストールされている場合は、以下のコマンドを使用します。

SET JAVA_HOME=c:¥jre1.4.2

2. 以下のように、IBM Support Assistant ツールを開始します。

コマンド・ウィンドウを開き、ディレクトリーを ISAlite インストール・ディレクトリーに変更します。これで、IBM Support Assistant がコンソール・モードで開始されます。

3. コマンド runISALiteConsole.bat -record response.txt を使用して、応答ファイルを作成します。

response.txt には、独自のファイル名を指定できます。

このモードで実行する場合は、対話式セッション中にデータ入力を行います。ツールによって、応答が指定したファイルに記録されます。

4. 作成した応答ファイル runISALiteConsole.bat response.txt を使用してツールを実行します。

Notes®:

v 応答ファイルはプレーン・テキスト・ファイルです。必要に応じて、ファイルを編集して値を変更できます。例えば、応答ファイルの値を調整して別のローカル・コンピューター用の設定を反映した後に、そのコンピューターでそのファイルを使用できます。

v 応答ファイルには、ユーザー名やパスワードなどの機密情報が保管される可能性があることに留意してください。ファイルは注意深く管理して、重要な情報に対する無許可アクセスが起こらないようにしてください。

v 一部のデータ収集セッションではユーザーとの対話が必要になるため、サイレント収集オプションに適さない場合があります。例えば、ログおよびトレース・ファイルを収集するために、IBM サポートが、データ収集中に問題を再現するようにお客様に求めることがあります。この場合、サイレント収集では、一部のステップを記録および再現できません。


第 9 章サポートへの連絡

以下は英語のみの対応となります。 IBM ソフトウェア・サポートは、製品の問題に関する支援を提供いたします。

以下のようにして、IBM ソフトウェア・サポートに連絡を取ることができます。

v IBM Support Assistant: IBM Support Assistant を使用して、問題に関する情報を検索し、問題をトラブルシューティングするために必要なログ情報を収集できます。これを使用して、問題管理報告書 (PMR) をオンラインで開くことができます。また、IBM Support Assistant の使用は IBM ソフトウェア・サポートに問題を報告するのにも役に立ちます。IBM Support Assistant を使用して PMR を送信するには、ユーザー・アカウント ID およびパスワードが必要です。 IBM

Support Assistant クライアントは製品 CD に組み込まれており、更新は Web サイト http://www.ibm.com/software/support/isa/ からダウンロード可能です。

v オンライン: IBM ソフトウェア・サポート・サイト (http://www.ibm.com/software/

support/probsub.html) の「Submit」タブおよび「track problems」タブにアクセスします。適切な問題送信ツールに情報を入力します。

v 電話による登録: 国別の電話番号については、「IBM ソフトウェア・サポート・ハンドブック」(http://www14.software.ibm.com/webapp/set2/sas/f/handbook/

contacts.html) の「Contacts」ページで、該当する地域の名前をクリックしてください。

送信いただいた問題がソフトウェア障害、内容の欠落、または不正確な資料に関する場合、IBM ソフトウェア・サポートは、プログラム診断依頼書 (APAR) を作成します。APAR には、問題が詳細に記述されています。IBM ソフトウェア・サポートでは、APAR が解決されてフィックスが配信されるまで、可能なかぎり、ユーザーが実行できる回避策を提供します。IBM は、解決済みの APAR をソフトウェア・サポートの Web サイトで毎日公開し、同じ問題に直面する他のユーザーが同じ解決方法を利用できるようにしています。

IBM ソフトウェア・サポートに問題を送信する前に、以下の質問に答えてください。

1. 有効な IBM ソフトウェア保守契約を保有していますか。

2. その問題による業務への影響を把握していますか。

3. その問題を記述できますか。

IBM Support AssistantIBM Support Assistant は、ソフトウェアの問題について調査および報告するプロセスを簡略化してくれます。

IBM Support Assistant では、問題判別のためのサポート関連情報およびサービス性ツールに素早くアクセスできます。IBM Support Assistant は、以下の 3 つのツールから成ります。

検索複数のフィルターを使用して検索範囲を絞り、トラブルシューティング・リ


http://www.ibm.com/software/support/isa/



http://www14.software.ibm.com/webapp/set2/sas/f/handbook/contacts.html


ポジトリー情報に素早くアクセスします。同時検索ツールにより、大量のIBM 文書にわたって検索し、容易に検討できるようソースごとに分類された結果を返します。

製品情報リンクこれらの自助的なリンクには、以下のものがあります。

v 製品サポート・ページ

v 製品ホーム・ページ

v 製品トラブルシューティング・ガイド

v 製品の教育ロードマップおよび IBM Education Assistant

v 製品の更新

v 製品ニュース・グループおよびフォーラム

サービス機能サービス機能は、自動化システム・コレクターかつ症状ベースのコレクターです。システム・コレクターは、ご使用のオペレーティング・システム、レジストリー、およびその他のソースから一般情報を収集します。症状ベースのコレクターは、ユーザーがかかえる特定の問題に関係する詳しい製品情報を収集します。サービス機能を使用して、データ収集プロセスで IBM サポートを支援するために、自動的にトレースを設定します。

サービス機能を使用すると、IBM ソフトウェア・サポートに問題をオンラインで送信することもできます。資格情報を一度入力すれば、それ以降のセッション用に保存されます。次に、IBM 宛てに問題報告書を作成して、収集したデータをコレクター・ファイルに添付できます。

IBM Support Assistant は、完全なオンライン・ユーザー・ガイドを提供しており、ツールのセットアップおよび使用時にユーザーを支援します。以下のステップで、IBM Support Assistant を使用するためにご使用のシステムをセットアップする基本手順を説明します。

1. 製品 CD または下記の Web サイトから、IBM Support Assistant ツールをインストールします。


2. IBM ソフトウェア・リポジトリーで、実行中の WebSphere Application Server

のバージョンに合った IBM Support Assistant プラグインの場所を探索します。IBM Security Access Manager for Enterprise Single Sign-On プラグインは、WebSphere Application Server プラグインを基本コードとして使用します。

注: WebSphere Application Server プラグインをダウンロードする際は、しばらく待つ必要があります。ネットワーク・トラフィックや、システム・リソースの可用性によっては、長時間かかる場合があるからです。

3. WebSphere Application Server プラグインを、IBM Support Assistant インストール・ディレクトリーの ¥plugin サブディレクトリーにインストールします。

4. 製品 CD または IBM ソフトウェア・リポジトリーで、IBM Security Access

Manager for Enterprise Single Sign-On 用の IBM Support Assistant プラグインの場所を探索します。



5. IBM Support Assistant プラグインを、IBM Support Assistant インストール・ディレクトリーの ¥plugin サブディレクトリーにインストールします。

6. 開始するには、IBM Support Assistant デスクトップ・アイコンをクリックします。各種の使用可能なタスクの実行についての情報を見るには、「ユーザー・ガイド」タブを選択します。

IBM ソフトウェア保守契約IBM ソフトウェア・サポートに問題を送信する前に、お客様の会社が有効な保守契約をお持ちであることを確認してください。お客様が、IBM に問題を提出する権限があることも確認してください。

どのタイプのソフトウェア保守契約が必要かわからない場合は、米国では1-800-IBMSERV (1-800-426-7378) に電話してください。お客様の国での連絡先の電話番号を調べるには、「IBM ソフトウェア・サポート・ハンドブック」(http://www14.software.ibm.com/webapp/set2/sas/f/handbook/contacts.html) の連絡先のページにアクセスし、お客様の地域名をクリックしてください。

ビジネス・インパクトの判別IBM に問題を処理依頼するとき、お客様は深刻度レベルを指定するよう求められます。このため、お客様は報告する問題のビジネス・インパクトを理解および評価する必要があります。

以下の基準を使用してください。

表 8. 深刻度レベル

深刻度 1 この問題には重大なビジネス・インパクトがあります。プログラムを使用できない結果、運用に重大なインパクトが生じています。この状態では、即時の解決が必要です。

深刻度 2 この問題には大きなビジネス・インパクトがあります。プログラムは使用可能ですが、大幅に制限されています。

深刻度 3 この問題にはいくらかのビジネス・インパクトがあります。プログラムは使用可能ですが、あまり重要でない (運用上重大でない) 機能が使用できません。

深刻度 4 この問題には最小のビジネス・インパクトがあります。プログラムは運用にほとんどインパクトを与えていないか、問題に対する適当な迂回策が実施されています。

問題の記述IBM に問題を説明する際には、できるだけ具体的に記述します。IBM ソフトウェア・サポート・スペシャリストが効率的に問題解決の手助けができるように、関連するすべての背景情報を記載してください。

時間の節約のために、以下の質問に対する回答を用意しておいてください。

v 問題発生時に実行していたソフトウェアのバージョンは何ですか。

v 問題の症状に関連するログ、トレース、およびメッセージが出ていますか。

第 9 章サポートへの連絡 57


v その問題を再現できますか。再現できる場合、問題を再現するためにどのようなステップを実行しますか。

v システムに何らかの変更を加えましたか。例えば、ハードウェア、オペレーティング・システム、ネットワーキング・ソフトウェア、またはその他のシステム・コンポーネントに何らかの変更を加えましたか。

v 現在、その問題の回避策を使用していますか。使用している場合は、問題を報告する際に、その回避策を説明できるようにしておいてください。

データの送信ログ・ファイルや構成ファイルなどの診断データを IBM ソフトウェア・サポートへ送信できます。

以下のいずれかの方法を使用します。

v IBM Support Assistant

v FTP (EcuRep)

v ESR ツール

IBM Support Assistant

IBM Support Assistant には、自動化されたシステム・コレクターと症状ベースのコレクターを備えたサービス機能が組み込まれています。システム・コレクターは、ご使用のオペレーティング・システム、レジストリー、およびその他のソースから一般情報を収集します。症状ベースのコレクターは、現在発生している特定の問題に関連した詳しい製品情報を収集します。また、このサービス機能を使用すると、自動的にトレースを設定して、IBM サポートのデータ収集プロセスを支援することもできます。IBM Support Assistant について詳しくは、 55ページの『IBM Support

Assistant』を参照してください。

FTP (EcuRep)

EcuRep という FTP サービスを使用して、データ・ファイルを IBM に送信します。収集したデータ・ファイルを ZIP または TAR 形式にパッケージ化し、そのパッケージに問題管理レコード (PMR) ID に応じた名前を付けます。ファイルには、PMR と正しく関連付けるために、以下の命名規則を使用する必要があります。

xxxxx.bbb.ccc.yyy.yyy

各要素について以下で説明します。

表 9. ファイルの命名規則

xxxxx PMR 番号

bbb PMR ID からの分岐

ccc PMR からの国別コード

yyy.yyy ファイル・タイプ (ZIP または TAR 形式)

FTP を使用して、ファイルを転送し、以下のステップに従います。


1. FTP ユーティリティーを使用して、emea.ibm.com サーバーに接続します (例えば、ftp.emea.ibm.com)。

2. anonymous としてログオンします。

3. E メール・アドレスをパスワードとして入力します。

4. toibm にディレクトリーを変更します (例えば、cd toibm)。

5. プラットフォーム固有のサブディレクトリーの 1 つ (aix、 cae、 hw、 linux、lotus、 mvs、 os2、 os400、 swm、 tivoli、 unix、 vm、 vse、および windows)

に移動します。

6. バイナリー (bin) モードに変更します (例えば、bin)。

7. ファイルをサーバー上に置きます。FTP サーバー上にファイルを送信できますが、更新することはできません。したがって、あとでファイルを変更する必要があるときは、固有の名前でファイルを作成します。

EcuRep サービスについて詳しくは、http://www.ibm.com/de/support/ecurep/index.html

の IBM EMEA Centralized Customer Data Store Service を参照してください。

ESR ツール

許可された呼び出し元のリストに載っている登録済みユーザーは、Electronic Service

Request (ESR) ツールを使用して診断データを送信できます。ESR ツールを使用して、問題管理レコード (PMR) を 1 日 24 時間、週 7 日、年 365 日、オンデマンドで送信および管理します。

ESR を使用してデータを送信するには、以下の手順を実行します。

1. ESR にサインオンします。

2. 「ようこそ」ページで、「Enter a report number」フィールドに PMR 番号を入力し、「Go」をクリックします。

3. 「Attach Relevant File」フィールドまでスクロールダウンします。

4. 「Browse」をクリックして、IBM ソフトウェア・サポートに送信するログ、トレース、または他の診断ファイルを指定します。

5. 「Submit」をクリックします。ファイルが FTP を通じて IBM ソフトウェア・サポートへ転送され、PMR に関連付けられます。

第 9 章サポートへの連絡 59


特記事項

本書は米国 IBM が提供する製品およびサービスについて作成したものであり、本書に記載の製品、サービス、または機能が日本においては提供されていない場合があります。日本で利用可能な製品、サービス、および機能については、日本 IBM

の営業担当員にお尋ねください。本書で IBM 製品、プログラム、またはサービスに言及していても、その IBM 製品、プログラム、またはサービスのみが使用可能であることを意味するものではありません。これらに代えて、IBM の知的所有権を侵害することのない、機能的に同等の製品、プログラム、またはサービスを使用することができます。ただし、IBM 以外の製品とプログラムの操作またはサービスの評価および検証は、お客様の責任で行っていただきます。

IBM は、本書に記載されている内容に関して特許権 (特許出願中のものを含む) を保有している場合があります。本書の提供は、お客様にこれらの特許権について実施権を許諾することを意味するものではありません。実施権についてのお問い合わせは、書面にて下記宛先にお送りください。

〒103-8510

東京都中央区日本橋箱崎町19番21号日本アイ・ビー・エム株式会社法務・知的財産知的財産権ライセンス渉外

以下の保証は、国または地域の法律に沿わない場合は、適用されません。

IBM およびその直接または間接の子会社は、本書を特定物として現存するままの状態で提供し、商品性の保証、特定目的適合性の保証および法律上の瑕疵担保責任を含むすべての明示もしくは黙示の保証責任を負わないものとします。

国または地域によっては、法律の強行規定により、保証責任の制限が禁じられる場合、強行規定の制限を受けるものとします。

この情報には、技術的に不適切な記述や誤植を含む場合があります。本書は定期的に見直され、必要な変更は本書の次版に組み込まれます。 IBM は予告なしに、随時、この文書に記載されている製品またはプログラムに対して、改良または変更を行うことがあります。

本書において IBM 以外の Web サイトに言及している場合がありますが、便宜のため記載しただけであり、決してそれらの Web サイトを推奨するものではありません。それらの Web サイトにある資料は、この IBM 製品の資料の一部ではありません。それらの Web サイトは、お客様の責任でご使用ください。

IBM は、お客様が提供するいかなる情報も、お客様に対してなんら義務も負うことのない、自ら適切と信ずる方法で、使用もしくは配布することができるものとします。


本プログラムのライセンス保持者で、(i) 独自に作成したプログラムとその他のプログラム (本プログラムを含む) との間での情報交換、および (ii) 交換された情報の相互利用を可能にすることを目的として、本プログラムに関する情報を必要とする方は、下記に連絡してください。

IBM Corporation

2Z4A/101

11400 Burnet Road

Austin, TX 78758 U.S.A.

本プログラムに関する上記の情報は、適切な使用条件の下で使用することができますが、有償の場合もあります。

本書で説明されているライセンス・プログラムまたはその他のライセンス資料は、IBM 所定のプログラム契約の契約条項、IBM プログラムのご使用条件、またはそれと同等の条項に基づいて、IBM より提供されます。

この文書に含まれるいかなるパフォーマンス・データも、管理環境下で決定されたものです。そのため、他の操作環境で得られた結果は、異なる可能性があります。一部の測定が、開発レベルのシステムで行われた可能性がありますが、その測定値が、一般に利用可能なシステムのものと同じである保証はありません。さらに、一部の測定値が、推定値である可能性があります。実際の結果は、異なる可能性があります。お客様は、お客様の特定の環境に適したデータを確かめる必要があります。

IBM 以外の製品に関する情報は、その製品の供給者、出版物、もしくはその他の公に利用可能なソースから入手したものです。IBM は、それらの製品のテストは行っておりません。したがって、他社製品に関する実行性、互換性、またはその他の要求については確証できません。IBM 以外の製品の性能に関する質問は、それらの製品の供給者にお願いします。

IBM の将来の方向または意向に関する記述については、予告なしに変更または撤回される場合があり、単に目標を示しているものです。

表示されている IBM の価格は IBM が小売り価格として提示しているもので、現行価格であり、通知なしに変更されるものです。卸価格は、異なる場合があります。

本書はプランニング目的としてのみ記述されています。記述内容は製品が使用可能になる前に変更になる場合があります。

本書には、日常の業務処理で用いられるデータや報告書の例が含まれています。より具体性を与えるために、それらの例には、個人、企業、ブランド、あるいは製品などの名前が含まれている場合があります。これらの名称はすべて架空のものであり、名称や住所が類似する企業が実在しているとしても、それは偶然にすぎません。

著作権使用許諾:

本書には、様々なオペレーティング・プラットフォームでのプログラミング手法を例示するサンプル・アプリケーション・プログラムがソース言語で掲載されています。お客様は、サンプル・プログラムが書かれているオペレーティング・プラット


フォームのアプリケーション・プログラミング・インターフェースに準拠したアプリケーション・プログラムの開発、使用、販売、配布を目的として、いかなる形式においても、IBM に対価を支払うことなくこれを複製し、改変し、配布することができます。このサンプル・プログラムは、あらゆる条件下における完全なテストを経ていません。従って IBM は、これらのサンプル・プログラムについて信頼性、利便性もしくは機能性があることをほのめかしたり、保証することはできません。お客様は、IBM のアプリケーション・プログラミング・インターフェースに準拠したアプリケーション・プログラムの開発、使用、販売、配布を目的として、いかなる形式においても、IBM に対価を支払うことなくこれを複製し、改変し、配布することができます。

この情報をソフトコピーでご覧になっている場合は、写真やカラーの図表は表示されない場合があります。

商標

IBM、IBM ロゴ、および ibm.com® は、世界の多くの国で登録された International

Business Machines Corporation の商標です。他の製品名およびサービス名等は、それぞれ IBM または各社の商標である場合があります。現時点での IBM の商標リストについては、http://www.ibm.com/legal/copytrade.shtml をご覧ください。

Adobe、PostScript は、Adobe Systems Incorporated の米国およびその他の国における登録商標または商標です。

IT Infrastructure Library は英国 Office of Government Commerce の一部である the

Central Computer and Telecommunications Agency の登録商標です。

インテル、Intel、Intel ロゴ、Intel Inside、Intel Inside ロゴ、Intel Centrino、Intel

Centrino ロゴ、Celeron、Intel Xeon、Intel SpeedStep、Itanium、Pentium は、Intel

Corporation または子会社の米国およびその他の国における商標または登録商標です。

Linux は、Linus Torvalds の米国およびその他の国における商標です。

Microsoft、Windows、Windows NT および Windows ロゴは、Microsoft Corporation

の米国およびその他の国における商標です。

ITIL は英国 Office of Government Commerce の登録商標および共同体登録商標であって、米国特許商標庁にて登録されています。

UNIX は The Open Group の米国およびその他の国における登録商標です。

Java およびすべての Java 関連の商標およびロゴは Oracle やその関連会社の米国およびその他の国における商標または登録商標です。

Cell Broadband Engine, Cell/B.E は、米国およびその他の国における Sony Computer

Entertainment, Inc. の商標であり、同社の許諾を受けて使用しています。

特記事項 63

Linear Tape-Open、LTO、LTO ロゴ、Ultrium、および Ultrium ロゴは、HP、IBM

Corp. および Quantum の米国およびその他の国における商標です。


用語集合言葉 (secret). ユーザーしか知らない情報。

アカウント・データ (account data). 認証サービスを検証するために必要なログオン情報。ユーザー名、パスワード、およびログオン情報が格納されている認証サービスが該当する。

アカウント・データ・テンプレート (account data

template). 特定の AccessProfile を使用して収集される資格情報用に、保管されるアカウント・データのフォーマットを定義する。

アカウント・データ・バッグ (account data bag). アプリケーションでシングル・サインオンが実行されている間、ユーザー資格情報をメモリーに保持するデータ構造体。

アカウント・データ項目 (account data item). ログオンに必要なユーザー資格情報。

アカウント・データ項目テンプレート (account data

item template). アカウント・データ項目のプロパティーを定義する。

アクション (action). プロファイルにおいて、アクションとは、トリガーへの応答として実行できる操作のことである。例えば、サインオン・ウィンドウが表示されるとすぐに、ユーザー名とパスワードの詳細を自動入力するなど。

アクティブ RFID (ARFID) (Active RFID (ARFID)).

ARFID は、第 2 要素とプレゼンス検出機能の両方である。これはユーザーのプレゼンスを検出でき、特定のアクションを実行するように AccessAgent を構成することができる。

アクティブな近接バッジ (Active Proximity Badge).

ARFID カードとも呼ばれる。RFID カードと似ているが、より遠方の近接リーダーで検出される。

アプリケーション (application). AccessStudio では、認証資格情報を読み取ったり入力したりするためのユーザー・インターフェースを提供するシステムを指す。

アプリケーション・プログラミング・インターフェース(API) (Application Programming Interface (API)). 高水準言語で書かれたアプリケーション・プログラムが、オペレーティング・システムまたは他のプログラムの特定データまたは機能を使用できるようにするためのインターフェース。

アプリケーション・ポリシー (application policies). アプリケーションに割り当てられたポリシー。例えば、パスワード・ポリシー、再認証ポリシー、ログオフ・ポリシーなどがある。

暗号化アプリケーション・プログラミング・インターフェース (CAPI) (Cryptographic Application

Programming Interface (CAPI)). Windows オペレーティング・システムのアプリケーション・プログラミング・インターフェースの一つ。暗号化を使用してWindows ベースのアプリケーションを保護するためのツールを開発者に提供する。

暗号化サービス・プロバイダー (CSP) (Cryptographic

Service Provider (CSP)). このモジュールは、暗号化機能とスマート・カードに対する CAPI インターフェースを提供する。

暗証番号 (PIN) (Personal Identification Number

(PIN)). スマート・カードへのアクセスを保護するパスワードを表す。 PIN は、スマート・カードで使用される。

イベント・コード (event code). 追跡されて ESSO 監査ログ・テーブルに記録される特定の ESSO イベントを表す。

エンタープライズ・ディレクトリー (enterprise

directory). IBM Security Access Manager for Enterprise

Single Sign-On ユーザーを定義するユーザー・アカウントのディレクトリー。これは、パスワードがエンタープライズ・ディレクトリー・パスワードと同期している場合、ユーザーの資格情報をサインアップおよびログオンのときに検証する。エンタープライズ・ディレクトリーの例としては、Active Directory がある。

エンタープライズ・ユーザー名 (enterprise user

name). エンタープライズ・ディレクトリー内のユーザー・アカウントのユーザー名。

カード・シリアル番号 (CSN) (Card Serial Number

(CSN)). ハイブリッド・スマート・カードを識別する固有のデータ。スマート・カードにインストールされている証明書とは無関係である。

鍵ストア (keystore). セキュリティーにおいて、ID および秘密鍵が保管されるファイルまたはハードウェア暗号カードで、認証および暗号化に使用する。一部の鍵ストアは、トラステッド鍵つまり公開鍵も含む。


仮想アプライアンス (virtual appliance). 特定用途向けの仮想マシン・イメージであり、仮想化プラットフォームにデプロイされる。

仮想チャネル・コネクター (virtual channel

connector). 仮想チャネル・コネクターは、端末サービス環境で使用される。仮想チャネル・コネクターは、クライアント AccessAgent コンポーネントとサーバーAccessAgent コンポーネント間のリモート・セッションを管理するための仮想通信チャネルを確立する。

仮想プライベート・ネットワーク (VPN) (Virtual

Private Network (VPN)). 公衆または私設ネットワークの既存のフレームワーク上に拡張した企業イントラネット。VPN は、接続の 2 つの終点間で送信されたデータを確実にセキュアに保つ。

仮想メンバー・マネージャー (VMM) (Virtual Member

Manager (VMM)). 基本的な組織エンティティー・データ (個人、ログオン・アカウント、セキュリティー役割など) に安全にアクセスする機能をアプリケーションに提供する WebSphere Application Server コンポーネント。

監査 (audit). ユーザー、管理者、およびヘルプ・デスクのアクティビティーをログに記録するプロセス。

間接認証情報 (indirect auth-info). プロファイルにおいて、間接認証情報とは、既存の認証サービスに対する間接的な参照である。

完全修飾ドメイン名 (FQDN) (fully qualified domain

name (FQDN)). ドメイン・ネームのすべてのサブネームを含むホスト・システムの名前。例:

ims.example.com。

管理者 (Administrator). この役割を所有すると、各ユーザー、役割、ポリシー、およびレポートを管理できるようになる。管理者は、IMS Server から AccessProfile

の作成、アップロードおよびダウンロードを行える。

管理対象ノード (managed node). Websphere

Application Server では、デプロイメント・マネージャーに統合されており、ノード・エージェントが組み込まれているノードを指す。このノードには、管理対象サーバーを含めることができる。

基本識別名 (base distinguished name). ディレクトリー・サーバー内の検索開始点を示す。

共有デスクトップ (shared desktop). 複数のユーザーが汎用の Windows デスクトップを共有するデスクトップ・スキーム。

共有ワークステーション (shared workstation). 複数のユーザー間で共有されるワークステーション。

強力なデジタル ID (strong digital identity). 偽名を使用するのが困難な、オンライン上の人物。スマート・カードの秘密鍵で保護されている場合がある。

強力な認証 (strong authentication). 企業の境界の内部および外部の両方で、多要素認証デバイスを使用して機密の企業情報と IT ネットワークへの無許可アクセスを防止するソリューション。

許可コード (authorization code). IBM ヘルプ・デスク・ユーザーが生成する英数字コード。AccessAgent、AccessAssistant、および Web Workplace

でパスワード・リセットまたは 2 要素認証バイパスを完了するためにユーザーに提供される。

クライアント AccessAgent (Client AccessAgent). クライアント・マシンにインストールされ、稼働しているAccessAgent。

クライアント・ワークステーション、クライアント・マシン、クライアント・コンピューター (client

workstation, client machine, client computers).

AccessAgent がインストールされているコンピューター。

クラスター (clusters). WebSphere Application Server において、クラスターとはワークロード・バランシングとフェイルオーバーのためにコラボレーションするアプリケーション・サーバーのグループである。

クラスター化 (clustering). WebSphere Application

Server では、クラスター化とはアプリケーション・サーバーをグループ化する機能である。

グラフィカル識別および認証 (GINA) (Graphical

Identification and Authentication (GINA)). 認証要素に強固に統合されたユーザー・インターフェース、およびパスワードのリセット・オプションと第 2 要素のバイパス・オプションを提供する Windows のダイナミック・リンク・ライブラリー。

グループ・ポリシー・オブジェクト (GPO) (Group

Policy Object (GPO)). Active Directory 内のグループ・ポリシー設定のコレクション。グループ・ポリシー・オブジェクトは、グループ・ポリシー・スナップインによって作成される文書である。グループ・ポリシー・オブジェクトはドメイン・レベルで保管され、サイト、ドメイン、および組織単位に含まれているユーザーとコンピューターに影響を及ぼす。

軽量モード (lightweight mode). サーバー AccessAgent

のモード。軽量モードで実行すると、Citrix/Terminal


Server 上の AccessAgent のメモリー・フットプリントが削減され、シングル・サインオンの起動の所要時間が短縮される。

公開済みアプリケーション (published application).

Citrix XenApp サーバーにインストールされており、Citrix ICA クライアントからアクセス可能なアプリケーション。

公開デスクトップ (published desktop). ユーザーがいつでも、どこでも、どのデバイスからでも、Windows デスクトップ全体に対してリモート・アクセスできるCitrix XenApp の機能。

高可用性 (HA) (high availability (HA)). 事前定義されたサービス・レベルにしたがってすべての停止に耐え、処理機能を提供し続ける、IT サービスの能力。対象となる停止には、保守やバックアップなどの計画されたイベントと、ソフトウェア障害、ハードウェア障害、電源障害、および災害などの計画外のイベントの両方が含まれる。

個人用アプリケーション (personal applications).

AccessAgent が資格情報を保管および入力できるWindows および Web ベースのアプリケーション。

個人用アプリケーションの例としては、Web ベースのメール・サイト (企業のメールなど)、インターネット・バンキング・サイト、オンライン・ショッピング・サイト、チャット、インスタント・メッセージング・プログラムなどがある。

個人用デスクトップ (personal desktop). このデスクトップは、他のどのユーザーとも共有されない。

コマンド行ツール (CLT) (Command Line tool

(CLT)). 特定のタスクを実行するコマンドを入力することにより、コンピューターのオペレーティング・システムまたはソフトウェアと対話するメカニズム。

サーバー AccessAgent (Server AccessAgent). Microsoft

Windows Terminal Server または Citrix サーバーにデプロイされた AccessAgent。

サーバー・ロケーター (server locator). 同じ認証サービスでの認証が必要な、関連する一連の Web アプリケーションをグループ化する。AccessStudio では、サーバー・ロケーターは、アプリケーション画面が関連付けられている認証サービスを識別する。

サービス・プロバイダー・インターフェース (SPI)

(Service Provider Interface (SPI)). このインターフェースにより、ベンダーは、シリアル番号を備えた任意のデバイスを IBM Security Access Manager for Enterprise

Single Sign-On に統合し、そのデバイスを AccessAgent

の第 2 要素として使用できる。

災害復旧 (disaster recovery). サービスとデータを復元して、災害から復旧するプロセス。

災害復旧サイト (disaster recovery site). 2 次的な実稼働環境の場所。

サイレント・モード (silent mode). ユーザーがプログラムと対話しないインストール・モード。ソフトウェアは、スクリプトを通じてインストールされる。

サインアップ (sign-up). IMS Server を使用したアカウントの要求。プロセスの一環として、ユーザーに Wallet

が発行される。その後ユーザーは、1 つ以上の第 2 要素を IMS Server に登録できる。

サインオン情報 (sign-on information). セキュア・アプリケーションへのアクセス権をユーザーに付与するために必要な情報。この情報には、ユーザー名、パスワード、ドメイン情報、および証明書が含まれる。

サインオンの自動化 (sign-on automation). アプリケーション・ユーザー・インターフェースと連動してユーザーのサインオン・プロセスを自動化するテクノロジー。

参照ユーザー (lookup user). エンタープライズ・ディレクトリーで自分自身を認証して、他のユーザーを検索するユーザー。IBM Security Access Manager for

Enterprise Single Sign-On は、参照ユーザーを使用して、Active Directory または LDAP エンタープライズ・リポジトリーからユーザー属性を取得する。

資格情報 (credentials). ユーザー名、パスワード、証明書、および認証に必要なその他の情報。認証要素は、資格情報としての役割を果たす。IBM Security Access

Manager for Enterprise Single Sign-On では、資格情報はWallet で保管および保護される。

識別名 (distinguished name). ディレクトリー内の項目を一意的に識別する名前。識別名は、属性と値のペアをコンマで区切ったものから構成される。例えば、CN は個人名であり、C は国または地域である。

シグニチャー (signature). プロファイルにおいて、シグニチャーとは、任意のアプリケーション、ウィンドウ、またはフィールドの固有識別情報である。

システム・モーダル・メッセージ (system modal

message). 通常、重要なメッセージを表示するために使用されるシステム・ダイアログ・ボックス。システム・モーダル・メッセージが表示されたときは、そのメッセージを閉じるまで、画面上で他に何も選択できない。

用語集 67

質問と合言葉 (secret question and answer). ユーザーしか答えを知らない質問。IBM Security Access Manager

for Enterprise Single Sign-On の知識ベース認証の一環として、ユーザーは、いくつかの合言葉について質問される。

自動サインオン (automatic sign-on). ユーザーがサインオン自動化システムにログオンすると、システムがそのユーザーを他のすべてのアプリケーションにログオンさせる機能。

自動取得 (auto-capture). システムが、各種アプリケーションのユーザー資格情報を記憶することを可能にする機能。これらの資格情報は、最初に使用されるときに取り込まれ、今後の使用のために Wallet で保管および保護される。

自動注入 (auto-inject). システムが、ログオン自動化により、各種アプリケーションのユーザー資格情報を自動的に入力することを可能にする機能。

従来のシングル・サインオン (conventional single

sign-on). Web ベースのシングル・サインオン・システム。通常は、集中型アーキテクチャーによるサーバー・サイドの統合が必要である。

シリアル ID サービス・プロバイダー・インターフェース (SPI) (Serial ID Service Provider Interface (SPI)).

2 要素認証に使用されるサード・パーティー製のシリアル ID デバイスに AccessAgent を統合するためのプログラマチック・インターフェース。

シリアル番号 (serial number). IBM Security Access

Manager for Enterprise Single Sign-On キーに埋め込まれる固有の番号。キーごとに固有であり、変更できない。

シン・クライアント (thin client). ソフトウェアがほとんど、または全くインストールされていないクライアント・マシン。接続先のネットワーク・サーバー上で稼働しているアプリケーションとデスクトップ・セッションにアクセスできる。シン・クライアント・マシンは、ワークステーションのような完全な機能を持つクライアントの代替である。

シングル・サインオン (single sign-on). ユーザー ID

とパスワードを 1 回指定するだけで、複数のアプリケーションにアクセスできる機能。

スタンドアロン・サーバー (stand-alone server). 他のすべてのサーバーから独立して管理される、完全に作動可能なサーバー。独自の管理コンソールを使用する。

スタンドアロン・デプロイメント (stand-alone

deployment). 独立した WebSphere Application Server

プロファイル上に IMS Server をデプロイするデプロイメント・タイプ。

スマート・カード (smart card). スマート・カードは、内蔵回路のネットワークを使用してデータ処理を行うよう作成された、ポケット・サイズのカード。スマート・カードは、アプリケーションから入力を受信することができ、情報を送信することもできる。

スマート・カード・ミドルウェア (smart card

middleware). スマート・カード・アプリケーションとスマート・カード・ハードウェア間のインターフェースとして機能するソフトウェア。通常、このソフトウェアは、PKCS#11 を実装したライブラリーと、スマート・カードへの CAPI インターフェースから構成される。

制御 (control). 画面上の任意のフィールド。例えば、Web ページ上のユーザー名のテキスト・ボックスまたは「OK」ボタン。

セキュア・リモート・アクセス (Secure Remote

Access). ファイアウォールの外部から、すべてのアプリケーションへの Web ブラウザー・ベースのシングル・サインオンを提供するソリューション。

セキュリティー trust サービス・チェーン（security

trust service chain). trust サービス・チェーンは、一緒に使用するように構成されたモジュール・インスタンスのグループである。チェーン内の各モジュール・インスタンスは、順次呼び出され、要求に対する全体の処理の一部として特定の機能を実行する。

セキュリティー・トークン・サービス (STS) (Security

Token Service (STS)). セキュリティー・トークンの発行および交換に使用される Web サービス。

セキュリティー担当者 (security officer). ID Wallet セキュリティー・ポリシーおよびその他のアプリケーション・ポリシーを定義する担当者。

セッション管理 (session management). 専用デスクトップおよび共有デスクトップ上でのユーザー・セッションの管理。

セル (cell). WebSphere Application Server において、セルとはデプロイメント・マネージャーと 1 つ以上のノードから構成される仮想的な単位である。

セルフサービス機能 (self-service features). ユーザーがヘルプ・デスクや管理者からの支援をできるだけ受けずに、基本的なタスク (パスワードや合言葉のリセットなど) を行えるようにする IBM Security Access Manager

for Enterprise Single Sign-On の機能。


双方向言語サポート (bidirectional language support).

テキストが右から左へと表示されるヘブライ語とアラビア語に対するサポート。

ダイナミック・リンク・ライブラリー (DLL) (dynamic

link library (DLL)). リンク中ではなく、ロード時または実行時にプログラムにバインドされる実行可能コードおよびデータを含むファイル。DLL 内のコードおよびデータは、複数のアプリケーションで同時に共有できる。このファイルは、Windows プラットフォームにのみ適用される。

対話式グラフィック・モード (interactive graphical

mode). 一連のパネルが順次表示され、指示に従って情報を入力していくとインストールが完了する。

直接認証情報 (direct auth-info). プロファイルにおいて、直接認証情報とは既存の認証サービスに対する直接的な参照である。

データ・ソース (data source). アプリケーションがデータベースからデータにアクセスする方法。

データベース (DB) サーバー (Database (DB) server).

データベース・マネージャーを使用してソフトウェア・プログラムまたはコンピューターにデータベース・サービスを提供するソフトウェア・プログラム。

データベース・レプリケーション (database

replication). 同じデータベースのコピーを複数作成して保持すること。

ディレクトリー (directory). 組織内の個人とリソースに関する情報の構造化リポジトリー。これにより、管理と通信が容易になる。

ディレクトリー・サーバー (directory server). ディレクトリー・サービスをホストするサーバー。

ディレクトリー・サービス (directory service). ネットワーク上のすべてのユーザーおよびリソースの名前、プロファイル情報、マシン・アドレスのディレクトリー。ユーザー・アカウントおよびネットワーク・アクセス権を管理する。ユーザー名を送信すると、そのユーザーの属性が返される。これには、電話番号および E メール・アドレスが含まれる場合がある。ディレクトリー・サービスでは、通常は階層化された設計で素早い検索を可能にする、高度に分化したデータベースを使用する。

デスクトップ・アプリケーション (desktop

application). デスクトップで実行されるアプリケーション。

デスクトップ・マネージャー (Desktop Manager). 1 つのワークステーション上の同時ユーザー・デスクトップを管理する。

デプロイメント・マネージャー (deployment manager).

他のサーバーの論理グループ、すなわちセルの操作を管理および構成するサーバー。

デプロイメント・マネージャー・プロファイル(deployment manager profiles). 他のサーバーの論理的なグループまたはセルの運用を管理する WebSphere

Application Server ランタイム環境。

透過的画面ロック (transparent screen lock). IBM

Security Access Manager for Enterprise Single Sign-On

の機能。有効にすると、ユーザーはデスクトップ画面をロックできるが、デスクトップの内容は引き続き参照できる。

登録 (register). IBM Security Access Manager for

Enterprise Single Sign-On アカウントにサインアップして、IMS Server に第 2 要素を登録すること。

ドメイン・ネーム・サーバー (DNS) (domain name

server (DNS)). ドメイン・ネームを IP アドレスにマップすることにより、名前とアドレス間の変換を提供するサーバー・プログラム。

トラストストア (truststore). セキュリティーにおける記憶オブジェクト (ファイルまたはハードウェア暗号カード)。このオブジェクトには、Web トランザクションの認証に使用するために、信頼できる証明書の形式で公開鍵が保管される。アプリケーションによっては、これらの信頼できる証明書がアプリケーション鍵ストアに移動され、秘密鍵と一緒に保管される。

トリガー (trigger). プロファイルにおいて、トリガーとは、状態エンジン内で状態の遷移を引き起こすイベントである (Web ページのロードや、デスクトップ上のウィンドウの表示など)。

取り消し (revoke). IBM Security Access Manager for

Enterprise Single Sign-On において、取り消しとは、ユーザーの認証要素を取り消すこと、またはユーザー自体を取り消すことを指す。

認証局 (CA) (Certificate authority (CA)). デジタル証明書を発行する信頼できる組織または企業。認証局は、通常、固有の証明書を付与された個人の身元を証明する。

認証サービス (authentication service). IBM Security

Access Manager for Enterprise Single Sign-On において、アカウントの妥当性を当該アカウントのユーザー・ストアまたは企業のディレクトリーと照合して検証する

用語集 69

サービス。画面に関連付けられた認証サービスを識別する。特定の認証サービスで保存されたアカウント・データが、定義中のログオン画面に取得され、自動入力される。定義されたログオン画面から収集されたアカウント・データは、この認証サービスで保存される。

認証要素 (authentication factor). デジタル ID の検証のために資格情報として必要な、各種デバイス、バイオメトリクス、または合言葉。認証要素の例としては、パスワード、スマート・カード、RFID、バイオメトリクス、およびワンタイム・パスワード・トークンがある。

ネットワーク・デプロイメント (network deployment).

クラスター・デプロイメントとも呼ばれる。WebSphere

Application Server クラスターに IMS Server をデプロイするデプロイメント・タイプ。

ノード (nodes). Websphere Application Server において、ノード・エージェントと 1 つ以上のサーバー・インスタンスから構成される仮想的な単位を指す。

ノード・エージェント (node agent). Websphere

Application Server において、ノード・エージェントは、サーバー・プロセスを作成および終了するプロセスである。ノード・エージェントは、デプロイメント・マネージャーとノード間で構成の同期も行う。

バイオメトリクス (biometrics). ユーザーの身体的特性(指紋、虹彩、顔、声、または筆跡など) に基づいたユーザーの識別。

ハイブリッド・スマート・カード (hybrid smart card).

公開鍵暗号チップと RFID チップを搭載した、ISO-7816

準拠のスマート・カード。暗号チップは、接触インターフェースを通じてアクセスできる。RFID チップは、非接触 (RF) インターフェースを通じてアクセスできる。

バインド識別名 (bind distinguished name). アプリケーション・サーバーがディレクトリー・サービスに接続するために使用する資格情報を指定する。ディレクトリー内の項目を一意的に識別する識別名。「識別名(distinguished name)」も参照。

パスワード・エージング (password aging). ユーザーが自分のパスワードを変更できる頻度を示す。

パスワード入力オプション (password entry option).

AccessAgent のパスワード入力方法に関するオプション。「自動ログオン」、「常時」、「尋ねる」、「何もしない)」を選択できる。

パスワードの複雑さ (password complexity). パスワードの最小長と最大長、英数字の最小数、および大/小文字の混在の可否を示す。

秘密鍵 (private key). 所有者によって秘密のままにされる、暗号化または暗号化解除の鍵。公開鍵暗号方式で暗号化および暗号化解除に使用される 2 つの鍵のペアのうちの 1 つである。

フィックスパック (fix pack). スケジュールされたリフレッシュ・パック、マニュファクチャリング・リフレッシュ、またはリリースの間で使用可能になったフィックスの累積の集合。これは、お客様が特定の保守レベルに移行できることを目的としている。

フェイルオーバー (failover). ソフトウェア、ハードウェア、またはネットワークの中断が発生した場合に冗長システムまたはスタンバイ・システムにシステムを切り替える自動操作。

プライベート・デスクトップ (private desktop). このデスクトップ・スキームでは、ユーザーはワークステーション内に各自の Windows デスクトップを持つ。前のユーザーがワークステーションに戻ってアンロックすると、AccessAgent は前のユーザーのデスクトップ・セッションに切り替え、最後に行われていたタスクを再開する。

プレゼンス検出機能 (presence detector). このデバイスをコンピューターに設置すると、ユーザーがコンピューターを離れたことが検出されるようになる。このデバイスにより、短時間コンピューターから離れるときに、コンピューターを手動でロックする必要がなくなる。

プロビジョニング API (Provisioning API). IBM


がユーザーのプロビジョニング・システムと統合できるようにするインターフェース。

プロビジョニング・システム (provisioning system). エンタープライズ内のアプリケーション・ユーザーの ID

ライフ・サイクル管理を提供し、それらのユーザーの資格情報を管理するシステム。

プロビジョニング・ブリッジ (provisioning bridge).

SOAP 接続を使用する API ライブラリーを使用して、サード・パーティー・プロビジョニング・システムによる IMS Server 資格情報の配布プロセスを自動化する。

プロビジョン (provision). サービス、コンポーネント、アプリケーション、またはリソースを提供、デプロイ、および追跡すること。

プロビジョン解除 (deprovision). サービスまたはコンポーネントを削除すること。例えば、アカウントのプロビジョン解除はリソースからのアカウントの削除を意味する。


分散 IMS Server (distributed IMS Server). IMS

Server は、複数の地域にデプロイされる。

ヘルプ・デスク役割 (Help desk role). IBM Security

Access Manager for Enterprise Single Sign-On ユーザーの特定のグループを管理する権限を所有者に付与する役割。ヘルプ・デスクのタスクとしては、パスワードのリセット、許可コードの発行、ユーザーのアクセス権の取り消しなどがある。

ポータル (portal). カスタマイズおよび個別設定できる、さまざまな情報、アプリケーション、および個人にアクセスするための単一の安全なポイント。

ホスト名 (host name). インターネット通信において、コンピューターに与えられる名前。ホスト名は、完全修飾ドメイン・ネーム (例:

mycomputer.city.company.com) あるいは特定のサブネーム (例: mycomputer) を指定できる。

ホット・キー (hot key). 異なるアプリケーション間、またはアプリケーションの異なる機能間で操作をシフトするために使用されるキー・シーケンス。

ポリシー (policy). IBM Security Access Manager for

Enterprise Single Sign-On Enterprise の運用を管理するためのもの。

ポリシー・テンプレート (policy template). ユーザーが固定ポリシー要素と可変ポリシー要素を指定することによりポリシーを定義できる、事前定義のポリシー・フォーム。これには、マシン・ポリシー・テンプレート、ユーザー・ポリシー・テンプレート、およびシステム・ポリシー・テンプレートがある。

マシン登録/サインアップ (machine registration / sign

up). サービスを使用するためにマシンを ISAM ESSO

に登録するプロセス。

無線による個体識別 (RFID) (Radio Frequency

Identification (RFID)). 製品のシリアル番号を、タグからスキャナーへ、人が介入することなく伝送する無線テクノロジー。

モバイル認証 (mobile authentication). モバイル・ユーザーが、ネットワークのどこからでも企業のリソースに安全にサインオンできるようにする認証要素。IBM


では、Wallet およびその他のエンタープライズ・アプリケーション用のオプションの認証要素が提供される。例えば、SMS やショート・メッセージング・サービスを通じて、IBM Security Access Manager for Enterprise

Single Sign-On ActiveCode がモバイル・デバイスに送信される。

ユーザー・プロビジョニング (user provisioning). IBM


を使用するためにユーザーをサインアップすること。

ユーザー・プロビジョン解除 (user deprovisioning).

IBM Security Access Manager for Enterprise Single

Sign-On からユーザー・アカウントを削除すること。

ユーザー資格情報 (user credential). ユーザー、グループ関連付け、またはその他のセキュリティー関連の識別属性を記述する情報。認証中に取得され、権限付与、監査、委任などのサービスを実行するために使用される。例えば、ユーザー ID とパスワードは、ネットワークおよびシステム・リソースへのアクセスを可能にする資格情報である。

ユーザー登録/サインアップ (user registration / sign

up). サービスを使用するためにユーザーをシステムに登録するプロセス。

ユーザーの簡易切り替え (fast user switching). アプリケーションを終了してログアウトしなくても、単一のワークステーション上で複数のユーザー・アカウントを切り替えることのできる機能。

ユーザー役割 (user role). サインオン自動化のためAccessAgent を使用するのに必要な役割。この役割は、IBM Security Access Manager for Enterprise Single

Sign-On システムにおいて、3 つある事前定義済みのIBM Security Access Manager for Enterprise Single

Sign-On 役割の一つである。

有効範囲 (scope). IBM Security Access Manager for

Enterprise Single Sign-On では、ポリシーが適用される範囲を指す。システム、ユーザー、またはマシン・レベルに設定できる。

ランダム・パスワード (random passwords). 生成されるパスワードで、クライアントとサーバー間の認証セキュリティーを強化する。ランダム・パスワードの変更とは、クライアントとサーバー間のアクセス・コードをランダムな文字列を使用して変更するプロセスである。

この変更は、クライアントとサーバーがセキュアなセッションを共有している場合にのみ実行できる。次回クライアントがサーバーにアクセスする必要があるときは、新しいランダム・パスワードを使用して、セキュアなセッションを再確立できる。

リモート・デスクトップ・プロトコル (RDP) (Remote

Desktop Protocol (RDP)). Windows ベースのサーバー・アプリケーションのリモート表示および入力をネットワーク接続を介して容易に行うことができるようにするプロトコル。RDP は、さまざまなネットワーク・トポロジーと、複数の接続をサポートしている。

用語集 71

ルート認証局 (CA) (root certificate authority (CA)).

認証局階層の最上部の認証局。証明書所有者の ID の正真性を証明する。

レジストリー (registry). マシン・ポリシーは、通常AccessAdmin で構成されるが、必要であれば Windows

レジストリーで構成することもできる。特にpid_machine_policy_override_enabled ポリシーが「はい」に設定されている場合はこの構成を使用する。「はい」は、管理者が Windows レジストリーを使用してマシン・ポリシーを変更しなければならないことを意味する。

レジストリー・ハイブ (registry hive). Windows システムで、レジストリーに保管されているデータの構造。

連邦情報処理標準 (FIPS) (Federal Information

Processing Standard (FIPS)). 米国連邦情報・技術局が作成した標準規格。

ロード・バランサー (load balancer). ネットワークまたはアプリケーションのトラフィックを多数のサーバーに分散するハードウェアまたはソフトウェア。

ロード・バランシング (load balancing). アプリケーション・サーバーのモニター、およびサーバー上のワークロード管理。1 つのサーバーがそのワークロードを超えると、より能力の高い別のサーバーに要求が転送される。

ワンタイム・パスワード (OTP) (One-Time Password

(OTP)). 認証イベントのために生成される、1 回限りのパスワード。クライアントとサーバーの間で、セキュアなチャネルを介して伝達されることがある。

1 次認証要素 (primary authentication factor). IBM


のパスワード、またはディレクトリー・サーバーの資格情報。

2 要素認証 (two-factor authentication). ユーザー認証時に 2 要素を使用すること。例えば、AccessAgent へのログオン時にパスワードと RFID カードを使用すること。

AccessAdmin. 管理者とヘルプ・デスク担当者が IMS

Server の管理、およびユーザーとポリシーの管理のために使用する、Web ベースの管理コンソール。

AccessAgent. ユーザー ID の管理、ユーザーの認証、およびシングル・サインオン/サインオフの自動化を行うクライアント・ソフトウェア。

AccessAgent プラグイン (AccessAgent plug-in). 条件のカスタム検査またはカスタム・アクションの実行のため

に AccessProfile 内に埋め込まれる、VBscript またはJavascript で作成されたスクリプトの断片。AccessProfile

の機能を組み込みトリガーおよびアクションを超えて拡張するために使用される。

AccessAssistant. ユーザーが自分のパスワードをリセットしたりアプリケーションの資格情報を取得したりするために役立つ、Web ベースのインターフェース。

AccessProfiles. AccessAgent は、この XML 仕様を使用して、シングル・サインオンと自動化を実行できるアプリケーション画面を識別する。

AccessStudio. 管理者が AccessProfile の作成と保守のために使用するアプリケーション。

Active Directory (AD). ネットワーク全体の安全な集中管理を可能にする階層ディレクトリー・サービス。Microsoft Windows プラットフォームの中心構成要素である。

Active Directory 資格情報 (Active Directory

credentials). Active Directory ユーザー名およびパスワード。

Active Directory パスワードの同期 (Active Directory

password synchronization). ISAM ESSO パスワードとActive Directory パスワードを同期させる IBM Security

Access Manager for Enterprise Single Sign-On の機能。

ActiveCode. IBM Security Access Manager for

Enterprise Single Sign-On で生成および検証される、一時的な認証コード。 ActiveCode には、Mobile

ActiveCode と Predictive ActiveCode の 2 種類がある。

Mobile ActiveCode は、IBM Security Access Manager

for Enterprise Single Sign-On で生成され、ユーザーの携帯電話または E メール・アカウントにディスパッチされる。Predictive ActiveCode (ワンタイム・パスワード)

は、ユーザーがボタンを押したときに OTP トークンから生成される。

代替チャネルまたはデバイスと結合すると、ActiveCodes

は有効な第 2 認証要素を提供する。

Clinical Context Object Workgroup (CCOW) (Clinical

Context Object Workgroup (CCOW)). 健康管理業界において臨床アプリケーション間で情報を交換するための、ベンダーに依存しない標準。

DB2®. リレーショナル・データベース管理用の IBM

ライセンス・プログラム・ファミリー。

Enterprise Single Sign-On (ESSO). ユーザー名および関連する資格情報 (パスワードなど) を 1 回指定するだ


けで、エンタープライズにデプロイされたすべてのアプリケーションにログオンできるメカニズム。

ESSO GINA. 以前は、Encentuate GINA (EnGINA) と呼ばれていた。IBM Security Access Manager for

Enterprise Single Sign-On GINA には、認証要素に統合されたユーザー・インターフェースと、パスワードのリセット・オプションおよび第 2 要素のバイパス・オプションがある。

ESSO 監査ログ (ESSO audit logs). システム・イベントおよび応答のレコードが含まれるログ・ファイル。ESSO 監査ログは IMS データベースに保管される。

ESSO 資格情報 (ESSO credentials). ISAM ESSO ユーザー名およびパスワード。

ESSO 資格情報プロバイダー (ESSO Credential

Provider). これは、Windows Vista と Windows 7 用のIBM Security Access Manager for Enterprise Single

Sign-On GINA である。以前は、Encentuate 資格情報プロバイダー (EnCredentialProvider) と呼ばれていた。

ESSO ネットワーク・プロバイダー (ESSO Network

Provider). 以前は、Encentuate ネットワーク・プロバイダー (EnNetworkProvider) と呼ばれていた。 Active

Directory サーバーの資格情報を収集し、それらの資格情報を使用してユーザーを自動的に Wallet にログオンさせる AccessAgent モジュール。

ESSO パスワード (ESSO password). ユーザー Wallet

へのアクセスを保護するパスワード。

IBM HTTP Server. Web サーバー。IBM は、IBM

HTTP Server という名前の Web サーバーを提供している。この Webサーバーは、クライアントからの要求を受け入れて、アプリケーション・サーバーに転送する。

ID Wallet (identity wallet). ユーザーのアクセス資格情報および関連する情報 (ユーザー ID、パスワード、証明書、暗号鍵など) を保管する、保護されたデータ・ストア。Wallet とは、ID Wallet である。

IMS Server. エンタープライズのセキュア・アクセス管理の中心点を提供する ISAM ESSO の統合管理システム。これにより、ユーザー ID、AccessProfiles、認証ポリシーの中央管理が可能になり、エンタープライズの損失管理、証明書管理、および監査管理を行える。

IMS Server 証明書 (IMS Server Certificate). IBM


で使用される。IMS Server 証明書を使用すると、クライアントは、IMS Server を識別して認証することができる。

IMS 構成ウィザード (IMS Configuration Wizard). インストール時、管理者はこのウィザードを使用して IMS

Server を構成する。

IMS 構成ユーティリティー (IMS Configuration Utility)

. 管理者が IMS Server の下位レベル構成設定を管理できるようにする、IMS Server のユーティリティー。

IMS コネクター (IMS Connector). IMS™ を外部システムに接続して、モバイル・アクティブ・コードをメッセージング・ゲートウェイにディスパッチするためのモジュール。

IMS データ・ソース (IMS data source). IMS データベースにアクセスするための場所とパラメーターを定義した Websphere Application Server の構成オブジェクト。

IMS データベース (IMS Database). IMS Server がESSO システム、マシン、およびユーザーに関するデータと監査ログをすべて保管するリレーショナル・データベース。

IMS ブリッジ (IMS Bridge). プロビジョニングなどを目的として IMS API を呼び出すために、サード・パーティー製のアプリケーションやシステムに埋め込まれるモジュール。

IMS ルート CA (IMS Root CA). AccessAgent と IMS

Server 間のトラフィックを保護するための証明書に署名するルート認証局。

IP アドレス (IP address). インターネット・プロトコルの標準規格を使用する、ネットワーク上のデバイスまたは論理装置の固有のアドレス。

iTag. すべての写真入りバッジまたは個人用オブジェクトを、近接型デバイス (強力な認証のために使用可能)

に変換できる、特許出願中のテクノロジー。

Java Management Extensions (JMX). Java テクノロジーを介して Java テクノロジーの管理を行う手段のこと。JMX は、管理用の Java プログラミング言語のユニバーサルかつオープンな拡張機能であり、管理が必要とされるすべての業界でデプロイできる。

Java 仮想マシン (JVM) (Java Virtual Machine

(JVM)). コンパイルされた Java コード (アプレットおよびアプリケーション) を実行するプロセッサーのソフトウェア実装。

Java ランタイム環境 (JRE) (Java Runtime

Environment (JRE)). 標準的な Java プラットフォームを構成する中核の実行可能プログラムおよびファイルを含む Java Developer Kit のサブセット。 JRE には、

用語集 73

Java 仮想マシン (JVM)、コア・クラス、およびサポート・ファイルが組み込まれている。

Lightweight Directory Access Protocol (LDAP).

TCP/IP を使用して X.500 モデルをサポートするディレクトリーにアクセスできるようにするオープン・プロトコル。LDAP を使用して、インターネットまたはイントラネット・ディレクトリー内の個人、組織、その他のリソースを見つけることができる。

Microsoft Cryptographic Application Programming

Interface (CAPI). スマート・カードへのアクセスが可能であり、暗号機能を備えたモジュール用の、Microsoft

によるインターフェース仕様。

Mobile ActiveCode (MAC). Web Workplace やAccessAssistant などのアプリケーションで 2 要素認証のためにユーザーが使用するワンタイム・パスワード。この OTP は、ランダムに生成され、SMS または E メールを通じてユーザーにディスパッチされる。

OTP トークン. デジタル・システムまたは物理資産(あるいはその両方) へのアクセスを許可するために所有者が持っている、小型で携帯性に優れたハードウェア・デバイス。

PKCS#11. RSA 研究所が定義した Public Key

Cryptography Standard 11 は、暗号機能を実行するデバイス (スマート・カードなど) に対するインターフェースである。

RADIUS. Remote Authentication Dial-In User Service。

Secure Sockets Layer (SSL). 通信プライバシーを提供するセキュリティー・プロトコル。 SSL を使用すると、クライアント/サーバー・アプリケーションは、盗聴、改ざん、およびメッセージ偽造を防ぐように設計された方法で通信することができる。

Simple Mail Transfer Protocol (SMTP). インターネット・ユーザー間でメールの転送を行うためのインターネット・アプリケーション・プロトコル。

Simple Object Access Protocol (SOAP). XML ベースのメッセージをコンピューター・ネットワーク上で交換するためのプロトコルで、通常は HTTP を使用する。SOAP は、Web サービス・スタックのファウンデーション層を形成し、より抽象的な層を構築できる基本的なメッセージング・フレームワークを提供する。

SSL 仮想プライベート・ネットワーク (SSL VPN)

(Secure Sockets Layer virtual private network (SSL

VPN)). 標準の Web ブラウザーで使用できる形式のVPN。

SSO 項目 (SSO-items). AccessAgent が資格情報を収集または自動入力する際の、情報の取得元の画面上のフィールド。「情報項目 (info-items)」も参照。

Tivoli Common Reporting ツール (Tivoli Common

Reporting Tool). レポートの作成、カスタマイズ、および管理が可能なレポート作成コンポーネント。

Tivoli Identity Manager アダプター (Tivoli Identity

Manager Adapter). IBM Security Access Manager for

Enterprise Single Sign-On が Tivoli Identity Manager と通信できるようにする仲介ソフトウェア・コンポーネント。

trust サービス・チェーン (trust service chain). さまざまなモード (検証、マップ、発行など) で動作するモジュールのチェーン。

TTY. 端末エミュレーター、端末アプリケーション。他のディスプレイ・アーキテクチャー内でビデオ端末をエミュレートするプログラム。「端末」という用語は通常、コマンド行シェルまたはテキスト端末の同義語として使われるが、この用語はグラフィカル・インターフェースを含むすべてのリモート端末を表すこともある。通常、グラフィカル・ユーザー・インターフェース内の端末エミュレーターは、端末ウィンドウと呼ばれる。

Uniform Resource Identifier. 抽象的または物理的なリソースを識別するための簡潔な文字ストリング。

Visual Basic (VB). Microsoft が提供するイベント・ドリブン・プログラミング言語および統合開発環境(IDE)。

Wallet. ユーザーのアクセス資格情報および関連情報(ユーザー ID、パスワード、証明書、暗号鍵など) を保管する ID Wallet。それぞれが、ユーザーの個人用メタディレクトリーとして機能する。資料には、ID Wallet、ユーザー Wallet、マシン Wallet、資格情報 Wallet などが記載されている。

Wallet キャッシング (Wallet caching). アプリケーションに対してシングル・サインオンを実行する場合、AccessAgent は、ユーザー資格情報 Wallet からログオン資格情報を取得する。ユーザー資格情報 Wallet は、ユーザー・マシンのキャッシュに格納されると共に、IMS Server にも安全に保管される。そのため、ユーザーは、後で別のマシンから IBM Security Access

Manager for Enterprise Single Sign-On にログオンしたときでも、自分の Wallet にアクセスできる。

Wallet パスワード (Wallet Password). Wallet へのアクセスを保護するパスワード。


Wallet マネージャー (Wallet manager). ユーザーが個人用 ID Wallet でアプリケーション資格情報を管理できるようにする IBM Security Access Manager for

Enterprise Single Sign-On GUI コンポーネント。

Web Workplace. アプリケーションごとにパスワードを入力しなくても、リンクをクリックするだけでエンタープライズ Web アプリケーションにログオンできるWeb ベースのインターフェース。このインターフェースは、ユーザーの既存のポータルまたは SSL VPN と統合できる。

Web サーバー (web server). Hypertext Transfer

Protocol (HTTP) 要求を管理できるソフトウェア・プログラム。IBM は、Apache をベースとした IBM HTTP

Server と呼ばれる Web サーバーを提供している。

Web サービス (web service). 内蔵タイプの自己記述型モジュラー・アプリケーションであり、標準のネットワーク・プロトコルを使用することによりネットワークを介して公開、検出、および起動できる。通常、データは、XML を使用してタグ付けされる。データを転送するときは、SOAP が使用される。使用可能なサービスについて記述するときは WSDL が使用され、使用可能なサービスをリストするときは UDDI が使用される。

WebSphere Application Server. e-ビジネス・アプリケーションのデプロイ、統合、実行、および管理が可能な、Web サーバー上で稼働するソフトウェア。

WebSphere Application Server プロファイル(WebSphere Application Server profile). WebSphere

Application Server の管理者のユーザー名とプロファイル。ランタイム環境を定義する。

WebSphere 管理コンソール (WebSphere Administrative

console). 管理サーバー内のリソース Bean に対するメソッド呼び出しを作成してドメイン内のリソースへのアクセスまたはリソースの変更を行う、グラフィカルな管理用 Java アプリケーション・クライアント。

Windows Terminal Services. リモート・コンピューター上のアプリケーションとデータにネットワーク経由でアクセスするためにユーザーが使用する Microsoft

Windows コンポーネント。

Windows ネイティブのユーザーの簡易切り替え(Windows native fast user switching). 複数のユーザー・アカウントを迅速に切り替えることができるWindows XP の機能。

Windows ログオン画面、Windows ログオン UI モード(Windows logon screen, Windows logon UI mode).

Windows デスクトップにログオンするために、ユーザーが自分のユーザー名とパスワードを入力する画面。

WS-Trust. トラスト・モデルのフレームワークを定義して Webサービス間のトラストを確立する、Web サービス・セキュリティー仕様。

用語集 75


索引日本語, 数字, 英字, 特殊文字の順に配列されています。なお, 濁音と半濁音は清音と同等に扱われています。

［ア行］アクセシビリティー viii

アクティブな RFID カードWallet へのログオン 18

アクティブな近接バッジコンピューターのアンロック 18

登録の問題 17

アベンド 9

異常終了 9

インターネット、ソフトウェアの問題の解決のための検索 39

エラー・メッセージ 7

オンライン資料アクセス viii

［カ行］環境変数、表記 x

規則書体 ix

契約、ソフトウェア保守 57

研修参照： Tivoli 技術研修

研修、Tivoli 技術 viii

［サ行］証明書アプリケーション用に発行されない

30

書体の規則 ix

資料 v

アクセス、オンライン viii

注文 viii

製品に対する更新 6

製品に対するフィックス 6

製品についての研修 6

製品フィックス 6

接続トラブルシューティング 5

接続の問題概要 5

ソフトウェア保守契約 57

ソフトウェア・サポート、連絡 55

［タ行］知識ベース、検索 41

データ、問題のための収集 45

ディレクトリー名、表記 x

トラップ 9

トラブルシューティング症状の把握 3

チェックリスト 1, 11

process 1

トラブルシューティング用チェックリスト1, 11

トレース・ログ 47

トレース・ログのファイル名 48

［ナ行］認証要素 (authentication factor)

逸失 19

［ハ行］パス名、表記 x

パスワードの問題 20

パフォーマンス上の問題 7

表記環境変数 x

書体 x

パス名 x

フィックス、入手 39

フィックス通知、セットアップ 39

フィックス提供 Web サイト 6

フィックスパック (fix pack) 6

ブック参照：資料

変数、表記 x

保守契約 57

［マ行］マニュアル参照：資料

マニュアルのご注文 viii

メッセージ 7

メッセージのタイプ 46

メッセージ・ログ 46

メッセージ・ログのファイル名 47

問題症状の把握 3

データの収集 45

問題 (続き)

パフォーマンス 7

レポート 57

問題固有のデータ 45

問題の深刻度レベル 57

問題のためのデータの収集 45

［ヤ行］ユーザー・グループ、Tivoli ix

［ラ行］リフレッシュ・パック 6

ログ稼働中サーバーでのトレースの使用可能化 51

サーバー始動時のトレースの使用可能化 50

データの分析 43

トレース 47, 48

場所 47, 48

表示 51

ファイル名 46, 47

メッセージ 47

メッセージ・タイプ 46

ログオン資格情報 35

ログの表示 51

ログ・データの分析 43

AAccessAdmin

クラスター・ホスト名が機能しない24

トラブルシューティング 24, 36

「戻る」ボタンが機能しない 36

AccessAgent

アプリケーションが競合 16

コンソール・アプリケーション・サポートが使用不可 31

トラブルシューティング 16, 17, 21,

32, 34

モジュールの登録 17

AccessAgent インストール・ファイルの破損 13

IMS Server が見つからない 15

IMS Server 証明書のダウンロード 16

Mozilla Firefox シングル・サインオン機能 34


AccessAgent (続き)

Mozilla Firefox の前にインストール35

AccessAssistant および Web Workplace

トラブルシューティング 36

「戻る」ボタンが機能しない 36

activity.log 46, 49

APAR 41

EEcuRep サービス 58

Electronic Service Request 59

ESR ツール 59

FFTP EcuRep サービス 58

IIBM Support Assistant 45, 55, 58

IBM サービス・ログ構成のステップ 49

パス 47

IBM ソフトウェア・サポートへの連絡55

IBM にデータを送信する方法 58

IBM へのデータの送信、方法 58

IMS Server

トラブルシューティング 24, 30, 32

Internet explorer の問題 35

JJVM ログ構成のステップ 49

ファイル・パス 47

SSystemOut.log 46

TTechnotes 41

Tivoli インフォメーション・センターviii

Tivoli 技術研修 viii

Tivoli ユーザー・グループ ix

trace.log 48

WWallet 関連の問題 21


��

Printed in Japan

GC88-8275-01

Documents

IBM TAM ESSO TroubleshootingGuide pdf...v IBM Security Access Manager for Enterprise Single Sign-On 計画とデプロイメント のガイド、SC88-5931-02 インストール・タスクおよび構成タスクを実行する前に、このガイドをお読みく

IBM TAM ESSO TroubleshootingGuide pdf...v IBM Security Access Manager for Enterprise Single Sign-On 計画とデプロイメントのガイド、SC88-5931-02 インストール・タスクおよび構成タスクを実行する前に、このガイドをお読みく