Oracle Internet Directoryは、共通の監査フレームワークと統合されています。監査構成の包括的な説明は、『Oracle Fusion Middlewareセキュリティ・ガイド』を参照してください。この章では、Oracle Internet Directoryに固有の情報のみを対象とします。
この章の項目は次のとおりです。
この概要の項目は次のとおりです。
監査とは、セキュリティ要求およびその要求に対する結果に関連する情報を収集および格納するプロセスです。これにより、否認防止を目的として、選択されたシステム・アクティビティの電子証跡が提供されます。監査は一定の監査基準に基づいて、特定のセキュリティ・イベントや管理操作を追跡するように構成できます。監査レコードは、集中型リポジトリ(LDAP、データベースまたはファイル)に保持されます。これにより、監査レポートを作成、表示および格納できます。11gリリース1(11.1.1)以降、Oracle Internet DirectoryではOracle Fusion Middlewareと統合された監査フレームワークを使用します。Oracle Internet Directoryは、このフレームワークを使用してセキュリティ関連の重要な操作を監査します。このフレームワークの機能は次のとおりです。
ASコンポーネントから監査情報を収集するAPI
すべてのASコンポーネントで使用される共通監査レコード形式
企業内のコンポーネントによって生成される監査レコードを収集する監査リポジトリ・データベース(Audit Vaultをリポジトリとして使用することもできます)
監査機能によって取得した情報のタイプを制御するための管理インタフェース
この章を読む前に、『Oracle Fusion Middlewareセキュリティ・ガイド』の監査に関する章を参照してください。
新しいOracle Internet Directory監査フレームワークには、次の利点があります。
他のOracle Application Serverコンポーネントと同じレコード形式を使用します。
パフォーマンスとセキュリティの向上のため、レコードはOracle Databaseの表に格納されます。
レコードをAudit Vaultに格納して、セキュリティをさらに向上できます。
管理者として、Enterprise Managerを使用して監査レコードに取得される情報のタイプを構成できます。
構成変更はすぐに有効になります。
管理者は監査レコードを表示できます。
Enterprise Manager
XMLパブリッシャに基づくサマリー・レポート
インスタンス管理者によって行われるすべての監査構成が監査されます。これは無効にできません。
関連項目: 監査リポジトリおよび監査フィルタの構成の詳細は『Oracle Fusion Middlewareセキュリティ・ガイド』を参照してください。 |
Oracle Internet Directoryの監査構成は、インスタンス固有のエントリの3つの属性から構成されます。
cn=componentname,cn=osdldapd,cn=subconfigsubentry
表21-1にこれらの属性を示します。
表21-1 Oracle Internet Directoryの監査構成属性
詳細は、『Oracle Fusion Middlewareセキュリティ・ガイド』を参照してください。
レプリケーションとOracle Directory Integration Platform監査は、インスタンス固有のエントリの属性orclextconfflag
の値を変更することで有効にできます。デフォルト値は3
で、レプリケーションとOracle Directory Integration Platform監査の両方が無効です。両方を有効にするには、7
に変更します。これがorclextconfflag
に行える唯一の変更で、これ以外は内部属性です。
「コマンドラインを使用したレプリケーションとOracle Directory Integration Platform監査の有効化」を参照してください。
イベント・カテゴリ: イベントのクラス(認証、認可など)
イベント名
イニシエータ: 操作を開始するユーザー
ステータス: 成功または失敗
認証方式
セッションID: 接続ID
ターゲット: 操作の実行対象となるユーザー
イベント日時
リモートIP: クライアントのソースIPアドレス
コンポーネント・タイプ: OID
ECID
リソース: 操作が行われるエントリまたは属性。
監査情報は、最終的な場所に書き込まれる前に、バスストップと呼ばれる場所に一時的に格納されます。
このファイルは、ディレクトリORACLE_INSTANCE
/auditlogs/
componentType
/
componentName
にあります。
監査ファイルは、XMLファイルまたはデータベースに永続的に格納されます。XMLファイルは、監査レコードのデフォルトの記憶域メカニズムです。Oracleインスタンスごとに1つのXMLリポジトリがあります。特定のOracleインスタンス内で実行されるすべてのコンポーネントについて生成される監査レコードは、同じリポジトリに格納されます。データベース・リポジトリを使用している場合、ドメイン内のすべてのOracleインスタンス内のすべてのコンポーネントによって生成される監査レコードは、同じリポジトリに格納されます。
監査レポートの生成の詳細は、『Oracle Fusion Middlewareセキュリティ・ガイド』の監査の分析およびレポートに関する章を参照してください。
監査の管理には、Oracle Enterprise Manager Fusion Middleware Controlを使用できます。インタフェースは、『Oracle Fusion Middlewareセキュリティ・ガイド』に記載されているように、すべてのOracle Fusion Middlewareコンポーネントに対して基本的に同じです。
「Oracle Internet Directory」メニューから、「セキュリティ」を選択し、「監査ポリシー設定」を選択します。
「監査ポリシー」リストから、「カスタム」を選択して独自のフィルタを構成するか、または事前設定済フィルタ(「なし」、「低」または「中」のいずれかを選択します。(Fusion Middleware ControlからはAll
を設定できません。)
障害のみを監査する場合は、「障害のみ選択」をクリックします。
フィルタを構成するには、フィルタ名の横にある「編集」アイコンをクリックします。そのフィルタに対して「フィルタの編集」ダイアログが表示されます。
フィルタ条件は、ボタン、メニューからの選択、および文字列の入力で指定します。条件の対象には、HostID、HostNwaddr、InitiatorDN、TargetDN、Initiator、Remote IPおよびRolesがあります。条件のテストには、-contains、-contains_case、endswith、endswith_case、-eq、-ne、-startswithおよび-startswith-caseがあります。テストに使用する値は文字列として入力します。グループ化する場合はカッコを、組合せを作成する場合はANDおよびORを使用します。
条件を追加するには、「追加」アイコンをクリックします。
フィルタが完了したら、「適用」をクリックして変更を保存するか、「元に戻す」をクリックして変更を破棄します。
Oracle Internet Directoryでは、その監査構成は表21-1「Oracle Internet Directoryの監査構成属性」に示すインスタンス固有の3つの構成エントリ属性に格納されます。「監査ポリシー」ページのフィールドと属性の対応を表21-2に示します。
『Oracle Fusion Middlewareセキュリティ・ガイド』のWLSTを使用した監査ポリシーの管理に関する項に記載のように、wlst
を使用して監査を管理できます。コマンドgetAuditPolicy()
、setAuditPolicy()
またはlistAuditEvents()
を使用します。
Oracle Internet Directoryなど監査ポリシーをローカルで管理するコンポーネントについては、コマンドの引数としてMBean名を含める必要があります。監査MBeanの名前の形式は次のとおりです。
oracle.as.management.mbeans.register:type=component.auditconfig, name=auditconfig1,instance=INSTANCE,component=COMPONENT_NAME
次に例を示します。
oracle.as.management.mbeans.register:type=component.auditconfig,
name=auditconfig1,instance=instance1,component=oid1
使用する必要のある別のwlst
コマンドはinvoke()
です。「WLSTを使用したシステム構成属性の管理」に記載のとおり、属性に変更を加える前にMBeanが現在のサーバー構成を持っていることを確認する必要があります。これを行うには、invoke()
コマンドを使用してOracle Internet DirectoryサーバーからMBeanに構成をロードする必要があります。変更後、invoke()
コマンドを使用してOracle Internet DirectoryサーバーにMBean構成を保存する必要があります。このようにinvoke()
を使用するには、ツリーのルート・プロキシMBeanに移動する必要があります。ルート・プロキシMBeanの名前の形式は次のとおりです。
oracle.as.management.mbeans.register:type=component,name=COMPONENT_NAME,instance=INSTANCE
次に例を示します。
oracle.as.management.mbeans.register:type=component,name=oid1,instance=instance1
次に、setAuditPolicy()
およびinvoke()
を使用したwlst
セッションの例を示します。
ORACLE_HOME/common/bin/wlst.sh connect('username', 'password', 'localhost:7001') custom() cd('oracle.as.management.mbeans.register') cd('oracle.as.management.mbeans.register:type=component,name=oid1,instance=instance1') invoke('load',jarray.array([],java.lang.Object),jarray.array([],java.lang.String)) setAuditPolicy(filterPreset='None', on='oracle.as.management.mbeans.register:type=component.auditconfig, name=auditconfig1,instance=instance1,component=oid1') invoke('save',jarray.array([],java.lang.Object),jarray.array([],java.lang.String))
LDAPツールを使用して監査を管理できます。
ldapsearch
を使用して監査構成を表示できます。次に例を示します。
ldapsearch -p 3060 -h myhost.example.com -D cn=orcladmin -q \ -b "cn=oid1,cn=osdldapd,cn=subconfigsubentry" \ -s base "objectclass=*" > /tmp/oid1-config.txt grep orclaud oid1-config.txt orclaudsplusers=cn=orcladmin orclaudcustevents=UserLogin.FAILURESONLY, UserLogout, CheckAuthorization, ModifyDataItemAttributes, CompareDataItemAttributes, ChangePassword.FAILURESONLY orclaudfilterpreset=custom
ldapmodify
コマンドを使用して監査を管理できます。LDIFファイルを作成して、属性orclAudFilterPreset、orclAudCustEventsおよびorclAudSplUsersに対して必要な変更を加える必要があります。
コマンドは次のとおりです。
ldapmodify -D cn=orcladmin -q -p portNum -h hostname -f ldifFile
たとえば、ユーザー・ログイン・イベントについてのみ監査を有効にするには、前述のldapmodify
コマンドに次のLDIFファイルを使用します。
dn: cn=componentname,cn=osdldapd,cn=subconfigsubentry
changetype: modify
replace: orclaudFilterPreset
orclaudFilterPreset: Custom
-
replace: orclaudcustevents
orclaudcustevents: UserLogin
詳細は、『Oracle Fusion Middlewareセキュリティ・ガイド』を参照してください。
次のLDIFでは、レプリケーションとOracle Internet Directory監査の両方が有効になります。
dn: cn=oid1,cn=osdldapd,cn=subconfigsubentry changetype: modify replace: orclextconfflag orclextconfflag: 7
次のLDIFファイルでは両方が無効になります。
dn: cn=oid1,cn=osdldapd,cn=subconfigsubentry changetype: modify replace: orclextconfflag orclextconfflag: 3
ldapmodify -h host -p port -D "cn=orcladmin" -q -f ldiffile