| Oracle® Enterprise Manager Ops Centerセキュリティ・ガイド 12c リリース1 (12.1.3.0.0) B71918-02 |
|
 前 |
 次 |
Oracle Enterprise Manager Ops Centerは、1つのコンソールからハードウェアとソフトウェアの両方を管理するためのデータ・センター管理ソリューションです。このドキュメントでは、Oracle Enterprise Manager Ops Centerデプロイメントのセキュリティを管理するための推奨方法を示します。
Oracle Enterprise Manager Ops Centerソフトウェアでは、1つのマスター・コントローラ(エンタープライズ・コントローラ)と複数のコントローラ(プロキシ・コントローラ)を含む分散アーキテクチャを使用しています。各プロキシ・コントローラは、オペレーティング・システム・インスタンスでホストされている複数のエージェント・コントローラ、または管理対象システム、あるいはその両方に接続されます。図1-1は、1つのプロキシ・コントローラ(エンタープライズ・コントローラと同じシステムに配置できます)を使用するデプロイメントを示しています。
ナレッジ・ベースは、Oracle Solaris 10-8およびLinux OSコンポーネントに関するメタデータ用のリポジトリであり、OracleのWebサイトにあります。Oracle Enterprise Manager Ops Centerは、インターネット経由でナレッジ・ベースに接続され、OSの更新や製品ソフトウェアそのものの更新を取得できます。同様に、エンタープライズ・コントローラは、Oracle Solaris 11パッケージ・リポジトリにアクセスしてOracle Solaris 11のコンポーネントを更新できます。
エンタープライズ・コントローラはOracle Enterprise Manager Ops Centerの中央サーバーであり、各インストールにつきエンタープライズ・コントローラは1つのみ存在します。エンタープライズ・コントローラには、ファームウェア・イメージ、OSイメージ、計画、プロファイルおよびポリシーが格納されます。また、データベース内のアセット・データおよびサイト・カスタマイズも格納され、ユーザー・インタフェース・コンポーネント用のWebコンテナのホストとなります。エンタープライズ・コントローラは、すべてのユーザー認証および認可を処理します。すべての操作は、エンタープライズ・コントローラから開始されます。
エンタープライズ・コントローラにはファームウェア・イメージとOSイメージが格納されますが、これらのイメージはエンタープライズ・コントローラのバックアップには含まれません。ネットワーク接続型ストレージ(NAS)にOSイメージ用のソフトウェア・ライブラリを作成することをお薦めします。その後、ネットワーク・ストレージ・デバイスをサイトのバックアップ計画に組み入れてください。
プロキシ・コントローラは、管理対象アセットをエンタープライズ・コントローラにリンクし、管理対象アセットの近くに配置する必要のある操作(OSプロビジョニングなど)においてエンタープライズ・コントローラにかわって動作します。プロキシ・コントローラは、ネットワーク負荷を最小限に抑え、複雑なネットワーク・トポロジをサポートするためのファンアウト機能を提供します。また、ハードウェアをエージェントレスで監視および管理するためのロジックも含んでいます。
エージェントとは、OSアセットまたはOSインスタンスを表現および管理してプロキシ・コントローラからのリクエストに応答する軽量のJavaソフトウェアです。ハードウェア管理にはエージェントは必要ありません。エージェントはコマンドを受信して必要なアクションを実行し、結果をプロキシ・コントローラに報告します。エージェントがエンタープライズ・コントローラと直接通信することはありません。
エンタープライズ・コントローラでは、Oracle Database 11g Enterprise Editionデータベースを使用してOracle Enterprise Manager Ops Centerデータを格納します。データベースは、ローカルにもリモートにもできます。
ローカル・データベースはエンタープライズ・コントローラに埋め込まれ、製品のインストール時に作成されます。
リモート・データベースは、新規または既存の顧客管理データベースです。
Oracle Enterprise Manager Ops Centerには、ローカル・データベースの管理、ローカル・データベースから顧客管理データベースへのデータの移行、データベース・スキーマのバックアップとリカバリ、およびデータベース資格証明の変更に役立つユーティリティが備わっています。
デプロイメントをセキュアにするためには、各通信方向を保護する必要があります。各接続を保護するには、表1-1の手順を使用します。
表1-1 接続の保護
| 接続 | 保護する方法 |
|---|---|
|
インターネットからエンタープライズ・コントローラ |
|
|
エンタープライズ・コントローラとデータベースの間 |
|
|
エンタープライズ・コントローラとLDAPサーバーの間 |
「ディレクトリ・サーバーを追加する手順」の説明に従って、SSL認可を使用します。 |
|
エンタープライズ・コントローラとNFSサーバーの間 |
エンタープライズ・コントローラとNFSサーバーがファイアウォールによって分離されていないことを確認します。 NFSサーバーでNFSv4プロトコルが使用されていることを確認します。 |
|
エンタープライズ・コントローラとリモート・プロキシ・コントローラの間 |
製品ソフトウェアをインストールする際にリバースSSHトンネルを構成します。このオプションの詳細は、 |
|
プロキシ・コントローラとアセットの間 |
アセットの検出および管理時に、「プロキシ・コントローラとエージェントの間の認証」の説明に従って認証を構成します。 |
製品の通常の操作においては、様々なプロキシ・コントローラがアセット・データまたはステータスをリクエストし、各アセットからのレスポンスを受信します。次の項で説明するように、トランザクションごとにプロキシ・コントローラはアセットを認証する必要があり、各アセットはプロキシ・コントローラを認証する必要があります。アセットがエージェントレスで管理されている場合、「アセットの資格証明管理」で説明されているように、認証にはSSHパスワードが必要です。OSアセットに対してパスワードを必要としないようにする場合は、トークンを手動でインストールする手順もあります(これについても同じ項で説明されています)。
アセットがエージェントで管理されている場合、アセットの検出および管理時に認証を構成します。エンタープライズ・コントローラによって、エージェント・コントローラがアセットにインストールされます。これによって次の2つのアクションがトリガーされます。
エージェントの認証
エージェントが公開鍵と秘密鍵のペアを作成します。
エージェントは、鍵のペアを/var/opt/sun/xvm/persistence/scn-agent/connection.propertiesに保存します。
エージェント・プロパティ・ファイルを読み取ることができるのは、rootユーザーのみです。
エージェントは、(プロキシ・コントローラを介して)公開鍵をエンタープライズ・コントローラに送信します。
エンタープライズ・コントローラが、このエージェントに一意のクライアント登録IDを作成します。
エンタープライズ・コントローラは、公開鍵とクライアント登録IDを一緒にデータベースに保存します。
エンタープライズ・コントローラは、クライアント登録IDをエージェントに送信します。
エージェントは、クライアント登録IDを/var/opt/sun/xvm/persistence/scn-agent/connection.propertiesファイルに保存します。
プロキシ・コントローラの認証
SSLハンドシェイクの一部として、プロキシ・コントローラのサーバー側証明書がエージェントに要求されます。
エージェントが証明書を受け入れます。
エージェントは、証明書を/var/opt/sun/xvm/security/jsse/scn-agent/truststoreにローカルに保存します。
エージェントが照会を受けるたびに、次の処理が行われます。
プロキシ・コントローラのWebサーバーが、その証明書をエージェントに送信します。
エージェントは、/var/opt/sun/xvm/security/jsse/scn-agent/truststoreに保存されている受入れ済の証明書を使用してこの証明書を確認します。これがSSLハンドシェイクです。
エージェントによってプロキシ・コントローラの証明書が確認されない場合、SSLハンドシェイクは失敗します。データは送信されません。これによって侵入から保護します。
エージェントが照会に応答すると、次の処理が行われます。
エージェントは、クライアントの登録IDおよび秘密鍵から文字列を作成します。文字列はそのシグネチャです。
エージェントは、シグネチャおよびリクエストされたデータのHTTPS POSTをプロキシ・コントローラに送信します。
プロキシ・コントローラは、エージェントのクライアント登録IDの公開鍵をデータベースから取得します。
プロキシ・コントローラは、メッセージの署名が公開鍵と一致する秘密鍵から作成されたことを確認します。
プロキシ・コントローラでメッセージの秘密鍵が公開鍵と一致していないことが検出されると、接続は許可されません。これによって、エンティティがエージェントとして間違われることを防ぎます。
この項では、ソフトウェアを安全に使用するための原則について説明します。
すべてのソフトウェア・バージョンおよびパッチが最新になっていると、セキュリティは保たれます。このドキュメントでは、Oracle Enterprise Manager Ops Centerバージョン12cリリース1 (12.1.3.0.0)について説明しています。Oracle Enterprise Manager Ops Centerの新バージョンまたは更新が使用可能になった時点で、できるだけ早く新しいソフトウェアをインストールしてください。
ファイアウォールによって、システムへのアクセスを、監視および制御が可能な特定のネットワーク・ルートに制限します。複数のファイアウォールを組み合せて使用する場合、1つのDMZ (信頼されないネットワークから信頼されるネットワークへのアクセスを制御するサブネットワークを表す用語)が作成されます。ファイアウォールを使用してDMZを作成すると、次の2つの不可欠な機能が提供されます。
不正であると確認されているトラフィック・タイプをブロックします。
プロセスまたはプロセッサを乗っ取ろうとする侵入を含めます。
デプロイメントにおいて、システムとインターネットの間にファイアウォールを設定し、システムと企業イントラネットの間にファイアウォールを設定して、エンタープライズ・コントローラのシステムをDMZに配置する環境を設計します(図1-2を参照)。このようなタイプの環境では、エンタープライズ・コントローラはインターネットに接続して、接続モード中に操作を実行し、アセットへのアクセスをアセットの管理操作のみに制限できます。エンタープライズ・コントローラが非接続モードのときは、インターネットへのアクセスなしで動作します。
データ・センターにリモート・プロキシ・コントローラが含まれる場合、エンタープライズ・コントローラのシステムとプロキシ・コントローラのシステムの間にファイアウォールを使用します。
Oracle Enterprise Manager Ops Centerを接続モードで使用するには、表1-2の情報を使用して、エンタープライズ・コントローラとインターネットの間にファイアウォールを構成します。
表1-2 IPアドレスおよびポートの要件
| サイト | IPアドレス | ポート | 目的 |
|---|---|---|---|
|
|
192.9.164.103 |
ポート80 |
OCDoctorユーティリティの更新 |
|
|
192.9.164.103 |
ポート80 |
Oracle Solaris Clusterプロファイルおよびスクリプトへのアクセス。 |
|
|
141.146.8.119 |
ポート443 |
Oracleサイトへのログイン |
|
|
141.146.44.51 |
ポート443 |
OSの更新のためのOracle Knowledge Baseへのアクセス |
|
|
192.18.110.10 |
ポート443 |
製品登録 |
|
|
192.18.110.11 |
ポート443 |
製品登録 |
|
|
141.146.54.16 |
ポート443 |
My Oracle Support |
|
|
96.17.111.33 96.17.111.49 |
ポート80 |
- |
|
|
na |
ポート80 |
ローカルIPアドレスを指定して、ダウンロード・スピードを最適化します。 |
|
|
na |
ポート443 |
ローカルIPアドレスを指定して、ダウンロード・スピードを最適化します。 |
エンタープライズ・コントローラとプロキシ・コントローラまたは企業ネットワークとの間にファイアウォールを構成するには、表1-3のポートおよびプロトコルを許可します。
表1-3 必要なポートおよびプロトコル
| 通信方向 | プロトコルおよびポート | 目的 |
|---|---|---|
|
エンタープライズ・コントローラ |
ポート443、ポート11165の順 ポート8005 |
非接続モードのエンタープライズ・コントローラ |
|
エンタープライズ・コントローラ |
ポート443、ポート11165の順 |
接続モードのエンタープライズ・コントローラ |
|
ブラウザからエンタープライズ・コントローラ |
HTTP、TCP: ポート80 |
ポート9443へのリダイレクト |
|
ブラウザからエンタープライズ・コントローラ |
HTTPS、TCP: ポート9443 |
Webインタフェース |
|
エンタープライズ・コントローラからローカル・データベース |
ポート11176 |
Oracleリスナー・ポート |
|
エンタープライズ・コントローラからプロキシ・コントローラ |
SSH、TCP: ポート22 ICMP Ping: タイプ8 コード0 (エコー・リクエスト) |
エンタープライズ・コントローラは、UIを介してプロキシ・コントローラをインストールまたはアップグレードします。 |
|
プロキシ・コントローラからエンタープライズ・コントローラ |
HTTPS、TCP: ポート443 |
プロキシ・コントローラはアセットのデータをエンタープライズ・コントローラにプッシュします。 プロキシ・コントローラは、ジョブ、更新、エージェント・コントローラおよびOSイメージのデータをエンタープライズ・コントローラからプルします。 |
|
プロキシ・コントローラからエンタープライズ・コントローラ |
HTTP: ポート8004 |
WANブート・トラフィック |
|
プロキシ・コントローラからエンタープライズ・コントローラ |
ICMP Ping: タイプ0 コード0 (エコー・リプライ) |
プロキシ・コントローラは、アップグレード中にICMP Pingを使用します。 |
|
リモート・プロキシ・コントローラからエンタープライズ・コントローラ(SSHトンネル経由) |
SSH、ポート21161 |
プロキシ・コントローラがファイアウォール外部のネットワーク上にデプロイされている場合、SSHトンネルとポート21161では、リモート・プロキシ・コントローラがエンタープライズ・コントローラとの通信を開始しないように通信方向が変更されます。 |
|
プロキシ・コントローラからALOMサービス・プロセッサ |
SSH、TCP: ポート22またはTelnet、TCP: ポート23 SNMP、UDP: ポート161 TCP: ポート6481 (サービス・タグによる検出用) |
プロキシ・コントローラは、サービス・プロセッサを検出、管理および監視します。 |
|
プロキシ・コントローラからILOMサービス・プロセッサ |
SSH、TCP: ポート22 SNMP、UDP: ポート161 IPMI、TCP、UDP: ポート623 TCP: ポート6481 (サービス・タグによる検出用) |
プロキシ・コントローラは、サービス・プロセッサを検出、管理および監視します。 |
|
プロキシ・コントローラからALOMまたはXCSFサービス・プロセッサ |
FTP、TCP: ポート21 |
プロキシ・コントローラでは、ALOMサービス・プロセッサにファームウェアをプロビジョニングします。ポート21でファームウェア・イメージを転送します。操作が継続している間は一時的なランダム・ポートが開きます。 |
|
プロキシ・コントローラからILOMサービス・プロセッサ |
TFTP、UDP: ポート69 |
プロキシ・コントローラでは、ILOMサービス・プロセッサにファームウェアをプロビジョニングします。ポート69でファームウェア・イメージを転送します。操作が継続している間は一時的なランダム・ポートが開きます。 |
|
サービス・プロセッサからプロキシ・コントローラ |
SNMP、UDP: ポート162 ICMP Ping: タイプ0 (エコー・リプライ) |
ハードウェアの監視では、サービス・プロセッサからプロキシ・コントローラにSNMPトラップが送信されます。 接続が失敗した場合、プロキシ・コントローラではICMP Pingタイプ3 (宛先到達不可)を受信します。 |
|
プロキシ・コントローラからOSホスト |
SSH、TCP: ポート22またはTelnet、TCP: ポート23 TCP: ポート6481 (サービス・タグによる検出および監視用) ICMP、タイプ0 コード0 (エコー・リプライ) |
プロキシ・コントローラは、アセットを検出、管理および監視します。 |
|
プロキシ・コントローラからOSホスト |
DHCP、UDP: ポート67 |
プロキシ・コントローラがOSをプロビジョニングします。 |
|
OSホストからプロキシ・コントローラ |
HTTP、TCP: ポート8004 Oracle Solaris 11 Automated Installer Webサーバー: プロビジョニング中に、ポート5555でOSホストからのリクエストを受け入れます。
|
OSホストは、OSの更新のステータスとエージェント・コントローラ・インストールのステータスを報告します。 OSホストはエージェント・コントローラ・アーカイブ・ファイルをダウンロードします。 |
|
OSホストからプロキシ・コントローラ |
DHCP、UDP: ポート68 TFTP、UDP: ポート69 TCP+UDP: ポート37 HTTP、TCP: ポート8004 |
OSホストは、ベアメタルOSプロビジョニング中にプロキシ・コントローラ照会に応答します。 |
|
エージェント・コントローラからプロキシ・コントローラ |
HTTPS、TCP: ポート21165 |
エージェント・コントローラはアセット・データをプロキシ・コントローラにプッシュします。 エージェント・コントローラはジョブのデータをプルします。 |
|
エージェント・コントローラからプロキシ・コントローラ |
HTTPS、TCP: ポート8002 |
エージェント・コントローラはプロキシ・コントローラから更新をプルします。 |
|
Oracle Solaris OSまたはOracleハードウェアのエージェント・コントローラから同じ場所にあるプロキシ・コントローラ |
SNMP: ポート1162、または1100から1200の範囲内のポート |
アセットを監視するため、エージェント・コントローラはトラップ通知および障害管理アラート(FMA)をローカル・トラフィックとしてプロキシ・コントローラに送信します。プロキシ・コントローラがポート162を使用するため、同じ場所にあるエージェント・コントローラはポート1162 (使用可能な場合)またはポート1100から1200の範囲内のポートを使用します。 |
|
JavaクライアントからパブリックAPIへ |
TLS: ポート11172 |
クライアントからのJMXアクセス |
|
プロキシ・コントローラのWMIクライアントからエージェント・コントローラ |
ポート11162 |
WMIクライアントはプロキシ・コントローラに常駐し、エージェント・コントローラ上のWMIサーバーと通信します。 プロキシ・コントローラは、DCOMプロトコルを使用してWindowsシステムを監視します。プロキシ・コントローラがWindows DCOMレジストリ・ポート(TCP 135)へのTCP接続を開き、これによってWMIスクリプトDCOMオブジェクトへのルックアップ・サービスが提供されます。プロキシ・コントローラがDCOMオブジェクトに接続されます。この接続のポート番号は、Windowsシステムによって割り当てられます。 |
|
プロキシ・コントローラからNFSサーバー |
プロキシ・コントローラと同じファイアウォール側にあるNFSサーバーを使用します。 NFSサーバーを設定するには、OSのドキュメントを参照してください。 |
プロキシ・コントローラは、NASライブラリからプロビジョニング・イメージをプルします。 |
|
グローバル・ゾーンまたはOracle VM ServerからNFSサーバー |
プロキシ・コントローラと同じファイアウォール側にあるNFSサーバーを使用します。 NFSサーバーを設定するには、OSのドキュメントを参照してください。 |
グローバル・ゾーンおよびOracle VM Serverは、NASライブラリからメタデータおよび仮想ホスト・イメージをプッシュします。 |
|
OCDoctorから |
HTTPS、TCP: ポート80 |
製品更新を取得します。 |
最小権限の原則は、ユーザーにタスクの実行権限を最小限に付与することを規定したものです。ユーザーの職責を超えるロールまたは権限を付与すると、システムは非準拠の可能性に晒されます。権限が各ユーザーの現在のジョブ職責に適しているか判断するために、権限を定期的に確認してください。
各ユーザーに対して、ユーザーが実行できるタスクと実行できないタスクを決定するロール・セットと、ユーザーのロールを適用するアセット、ネットワークまたは他のオブジェクトを指定する権限セットを付与します。これによって、ユーザーが実行できるアクションをきめ細かく制御できます。
表1-4に、各アクションの実行に必要な権限を示します。Oracle Enterprise Manager Ops Centerでは、権限をロールにグループ化して、ユーザー・アカウントに1つ以上のロールを割り当てます。表1-5に、各ロールにより付与される権限を示します。
表1-4 タスクおよび権限
| タスク | 権限 |
|---|---|
|
Read Access |
Read Access |
|
Add Assets Find Assets |
Discover Assets |
|
Manage Assets Delete Assets |
Manage Assets |
|
Create Group Edit Group Add Assets to Group Delete Group |
Asset Group Management |
|
New Update OS Job Deploy or Update Software Compare System Catalog Create Catalog Snapshot View and Modify Catalog |
Update |
|
New Simulated OS Update Job |
Update Simulation |
|
Configure and Deploy Server Install Server Configure RAID |
Server Deployment |
|
Add or delete storage Assign or detach network Start Guest Shut Down Guest Migrate Guest Clone Guest Lifecycle actions |
Virtualization Guest Management |
|
Assign Incidents Add Annotation to incidents Acknowledge incidents Take Actions on Incidents Mark Incidents as Repaired Close Incidents Delete Notifications Take Actions on Notification |
Fault Management |
|
Update Management Credentials Any Actions related to changing credentials |
Credential Management |
|
Edit Network Domain Edit Network Attributes Edit Network Services |
Network Management |
|
Fabric Management |
Fabric Management |
|
Import ISO Upload image Edit Attributes |
Storage Management |
|
Create reports Delete reports |
Report Management |
|
Create, delete, and modify profiles and plans |
Plan/Profile Management |
|
Create/Update/Delete Instance Attach/Detach Volume to Instance Create/Delete/Update Security Group Create/Update/Delete Volume Upload/Register/Delete templates Create/RollbackTo/Delete Snapshot Shutdown All servers Link/Launch OVAB |
Cloud Usage |
|
Create/Delete/Update Cloud Create/Delete/Update Cloud Domain Create Public Security Group Share Public Security Group Create VM Instance Type |
Cloud Management |
|
Manage Enterprise Controller |
Enterprise Controller Management |
|
Unconfigure/Uninstall Proxy Controller Configure Agent Controller Unconfigure Agent Controller DHCP configuration Subnets External DHCP Servers |
Proxy Controller Management |
|
Configure/Connect Disconnect/Unconfigure Cloud Control Console |
Cloud Control Management |
|
Unconfigure SCCM Configuration |
Windows Update Management |
|
Add Users Remove Users |
User Management |
|
Assign Roles |
Role Management |
|
Asset Management |
Asset Management |
|
Write Access |
Write Access |
|
Open Service Request |
Service Request |
|
Power On Power Off Power on with Net Boot Set Power Policy |
Power Management |
|
Chassis Management |
Chassis Management |
|
Storage Server Management |
Storage Server Management |
|
Launch Switch UI |
Switch Management |
|
Reset Servers Reset Service Processors Refresh Locator Light On/Off Snapshot Bios Configuration Snapshot Bios Configuration |
Server Management |
|
Reboot Upgrade Agent Controller |
Operating System Management |
|
Cluster Management |
Cluster Management |
|
Aggregate Links |
Link Aggregation |
|
IPMP Groups |
IPMP Groups |
|
Update Firmware |
Update Firmware |
|
Upgrade Proxy Controller |
Proxy Controller Upgrade |
|
Execute Operation |
Operation Execution |
|
Unconfigure Enterprise Controller |
Unconfigure EC |
|
Add Product Alias |
Add Product Alias |
|
Upgrade Enterprise Controller |
EC Upgrade |
|
Set Enterprise Controller Storage Library |
EC Storage Library Management |
|
Configure Local Agent Unconfigure Local Agent |
EC Local Agent Management |
|
Proxy Deployment Wizard |
EC Proxy Management |
|
Set up Connection Mode |
EC Connection Mode Management |
|
Register Enterprise Controller |
EC Registration |
|
Change HTTP Proxy |
EC HTTP Proxy Management |
|
Edit Energy Cost |
EC Energy Cost Management |
|
Ops Center Downloads |
Ops Center Downloads |
|
Activate Boot Env and Reboot Create New Boot Env. Synchronize Boot Env. |
Boot Environment Management |
|
Create Server Pool |
Server Pool Creation |
|
Delete Server Pool |
Server Pool Deletion |
|
Rebalance Resource Edit Server Pool Attribute Attach Network to Server Pool Associate Library to Server Pool Add/Remove Virtual Host |
Server Pool Management |
|
Create OVM virtual Servers Create zone servers Create Logical Domains |
Server Pool Usage |
|
Create Virtualization Host |
Virtualization Host Creation |
|
Delete Virtualization Host |
Virtualization Host Deletion |
|
Add/Remove Virtual Host to/from Server Pool Edit Tags Edit Attributes Reboot Change Routing Configuration Change NFS4 Domain Change Naming Service Change Remote Logging Configuration |
Virtualization Host Management |
|
Create Logical Domains Create zones Create OVM virtual servers |
Virtualization Host Usage |
|
Create Logical Domains Create zones Create OVM virtual servers |
Virtualization Guest Creation |
|
Delete Logic Domain Delete Zones Delete OVM Virtual Servers |
Virtualization Guest Deletion |
|
Start Guest Shutdown Guest Migrate Guest Clone Guest |
Virtualization Guest Usage |
|
Create Library |
Storage Creation |
|
Delete Library |
Storage Deletion |
|
Associate Library |
Storage Usage |
|
Create Network Domain Create Network Domain |
Network Creation |
|
Delete Network Domain Delete Network |
Network Deletion |
|
Assign Network Connect Guests |
Network Usage |
|
Create Fabric |
Fabric Creation |
|
Delete Fabric |
Fabric Deletion |
|
Fabric Management |
Fabric Usage |
|
Chassis Usage |
Chassis Usage |
|
Storage Server Usage |
Storage Server Usage |
|
Switch Usage |
Switch Usage |
|
Launch LOM Controller Edit Tags |
Server Usage |
|
Edit Tags Edit Attributes |
Operating System Usage |
|
Create Rack |
Rack Creation |
|
Directory Server Management |
Directory Server Management |
|
Power Distribution Unit Usage |
Power Distribution Unit Usage |
|
Power Distribution Unit Management |
Power Distribution Unit Management |
|
Rack Creation |
Rack Creation |
|
Rack Deletion |
Rack Deletion |
|
Rack Management |
Rack Management |
|
Rack Usage |
Rack Usage |
|
OVM Manager Usage |
OVM Manager Usage |
|
OVM Manager Management |
OVM Manager Management |
|
Network Domain Creation |
Network Domain Creation |
|
Network Domain Deletion |
Network Domain Deletion |
|
Network Domain Management |
Network Domain Management |
|
Network Domain Usage |
Network Domain Usage |
|
Asset Network Management |
Asset Network Management |
|
Job Management |
Job Management |
表1-5 ロールおよび権限
| ロール | 権限 |
|---|---|
|
Asset Admin |
Asset Management Asset Network Management Boot Environment Management Chassis Management Chassis Usage Cluster Management Discover Assets IPMP Groups Link Aggregation Manage Assets Network Management Operating System Management Operating System Usage Power Distribution Unit Management Power Distribution Unit Usage Power Management Rack Creation Rack Deletion Rack Management Rack Usage Read Access Server Management Server Usage Service Request Storage Server Management Storage Server Usage Switch Management Switch Usage Write Access |
|
Cloud Admin |
Asset Management Asset Network Management Cloud Management Cloud Usage Fabric Creation Fabric Deletion Fabric Management Fabric Usage IPMP Groups Link Aggregation Manage Assets Network Creation Network Deletion Network Domain Creation Network Domain Deletion Network Domain Management Network Domain Usage Network Management Network Usage Operating System Management Operating System Usage OVM Manager Management OVM Manager Usage Profile Plan Management Read Access Role Management Server Management Server Pool Management Server Pool Usage Server Usage Storage Management Storage Server Management Storage Server Usage Storage Usage Switch Management Switch Usage Virtualization Guest Creation Virtualization Guest Deletion Virtualization Guest Management Virtualization Guest Usage Virtualization Host Management Virtualization Host Usage Write Access |
|
Cloud User |
Asset Management Asset Network Management Cloud Usage Fabric Creation Fabric Deletion Fabric Usage Manage Assets Network Creation Network Deletion Network Domain Management Network Domain Usage Network Management Network Usage Operating System Management Operating System Usage OVM Manager Usage Read Access Server Pool Usage Server Usage Storage Management Storage Server Usage Storage Usage Switch Usage Virtualization Guest Creation Virtualization Guest Deletion Virtualization Guest Management Virtualization Guest Usage Virtualization Host Management Virtualization Host Usage Write Access |
|
Exalogic Systems Admin |
Asset Management Credential Management Directory Server Management EC Energy Cost Management EC HTTP Proxy Management EC Registration Fabric Creation Fabric Deletion Fabric Management Fabric Usage Job Management Link Aggregation Network Creation Network Deletion Network Domain Creation Network Domain Deletion Network Domain Management Network Domain Usage Network Management Network Usage Operating System Management Operating System Usage Operation Execution OVM Manager Management OVM Manager Usage Power Distribution Unit Management Power Distribution Unit Usage Profile Plan Management Proxy Controller Management Read Access Report Management Role Management Server Deployment Server Management Server Usage Service Request Storage Creation Storage Deletion Storage Management Storage Server Management Storage Server Usage Storage Usage Switch Usage Update Firmware User Management Write Access |
|
Fault Admin |
Fault Management Read Access Write Access |
|
Network Admin |
Asset Management Asset Network Management Fabric Creation Fabric Deletion Fabric Management Fabric Usage IPMP Groups Link Aggregation Network Creation Network Deletion Network Domain Creation Network Domain Deletion Network Domain Management Network Domain Usage Network Management Network Usage Read Access Write Access |
|
Ops Center Admin |
Add Product Alias Discover Assets EC Connection Mode Management EC Energy Cost Management EC HTTP Proxy Management EC Local Agent Management EC Proxy Management EC Registration EC Storage Library Management EC Upgrade Enterprise Controller Management Cloud Control Management Job Management Manage Assets Ops Center Downloads OVM Manager Management OVM Manager Usage Proxy Controller Management Proxy Controller Upgrade Read Access Unconfigure EC Windows Update Management Write Access |
|
Plan/Profile Admin |
Plan/Profile Management Read Access Write Access |
|
Read |
Read Access |
|
Report Admin |
Read Access Report Management Update Simulation Write Access |
|
Role Management Admin |
Read Access Role Management Write Access |
|
Security Admin |
Credential Management Read Access Write Access |
|
Apply Deployment Plans |
Operation Execution Read Access Server Deployment Update Firmware Write Access |
|
Storage Admin |
Asset Management Read Access Storage Creation Storage Deletion Storage Management Storage Server Management Storage Server Usage Storage Usage Write Access |
|
Supercluster Systems Admin |
Asset Management Cluster Management Credential Management Directory Server Management EC Energy Cost Management EC HTTP Proxy Management EC Registration Fabric Creation Fabric Deletion Fabric Management Fabric Usage Job Management Link Aggregation Network Creation Network Deletion Network Domain Creation Network Domain Deletion Network Domain Management Network Domain Usage Network Management Network Usage Operating System Management Operating System Usage Operation Execution Power Distribution Unit Management Power Distribution Unit Usage Profile Plan Management Proxy Controller Management Read Access Report Management Role Management Server Deployment Server Management Server Usage Service Request Storage Creation Storage Deletion Storage Management Storage Server Management Storage Server Usage Storage Usage Switch Usage Update Firmware User Management Write Access |
|
Update Admin |
Boot Environment Management Read Access Update Update Simulation Windows Update Management Write Access |
|
Update Simulation Admin |
Read Access Update Simulation Write Access |
|
User Management Admin |
Directory Server Management Read Access User Management Write Access |
|
Virtualization Admin |
Asset Management Asset Network Management Fabric Creation Fabric Deletion Fabric Management Fabric Usage IPMP Groups Link Aggregation Manage Assets Network Creation Network Deletion Network Domain Creation Network Domain Deletion Network Domain Management Network Domain Usage Network Management Network Usage Operating System Management OVM Manager Management OVM Manager Usage Read Access Server Deployment Server Management Server Pool Creation Server Pool Deletion Server Pool Management Server Pool Usage Storage Creation Storage Deletion Storage Management Storage Server Management Storage Server Usage Storage Usage Virtualization Guest Creation Virtualization Guest Deletion Virtualization Guest Management Virtualization Guest Usage Virtualization Host Creation Virtualization Host Deletion Virtualization Host Management Virtualization Host Usage Write Access |
「LDAPサーバーの構成」で説明しているように、ユーザー・アカウントは、エンタープライズ・コントローラのオペレーティング・システムのローカル認証サブシステムから、または個別のディレクトリ・サーバーから作成されます。
ユーザー・アカウントにロールを付与し、権限を変更するには、ロール管理者ロールが必要です。
「Navigation」ペインで「Administration」を選択します。
「Roles」タブをクリックします。「Roles」ページが表示されます。
ユーザーのリストからユーザーを選択します。
「Manage User Roles」アイコンをクリックします。
ロール・リストから1つ以上のロールを追加または削除します。デフォルトで、ユーザーには割り当てられたロールのすべての権限が付与されます。ユーザーのロールの範囲を制御するには、次のようにして特定の権限を削除します。
「Use the default Role associations」ボックスの選択を解除します。「Next」をクリックします。
ターゲットの各タイプの権限が別々のページに表示されます。各ターゲットに適用するロールを選択し、「Next」をクリックします。
「Summary」ページが表示されます。ユーザーに割り当てられたロールおよび権限を確認し、「Finish」をクリックします。
Oracle Enterprise Manager Ops Centerの各コンポーネントには、監査機能が備わっています。このドキュメントの監査アドバイスに従って、監査レコードを定期的に監視してください。
Oracle Enterprise Manager Ops Centerでは、各アクションがジョブとして実行されます。ジョブの詳細に、ジョブの操作の順序と、ジョブのターゲットの管理対象アセットが表示されます。ジョブの詳細は、ブラウザまたはコマンドライン・インタフェースから表示できます。Oracle Enterprise Manager Ops Centerでは、ジョブが明示的に削除されるまで、各ジョブが保存されます。
ログ・ファイルは、ジョブ・レコードに加えて、アクティビティ・レコードのソースにもなります。ログは操作中に書き込まれ、システム・アクティビティに関する追加の詳細を提供する場合があります。ログ・ファイルはファイル権限によって保護されるため、ファイルにアクセスするためにはユーザーは権限を持っている必要があります。
ユーザー・セッション・アクティビティは、BUIログ・ファイル(/var/opt/sun/xvm/logs/emoc.log)に含められます。
各ユーザーのログインおよびログアウトの操作に対するメッセージの形式は次のとおりで、タイムスタンプが追加されます。
User login: User <username> logged in. User logout: User <username> logged out. User login session expire: User <username> logged in.
メッセージ: /var/adm/messages*
BUI: /var/opt/sun/xvm/logs/emoc.log
エンタープライズ・コントローラでのBUIおよびリモート・クライアントのアクション:
Oracle Solarisの場合: /var/cacao/instances/oem-ec/audits/
Linuxの場合: /var/opt/sun/cacao/instances/oem-ec/audits/
コントローラとエージェントの間のイベント:
Oracle Solarisエンタープライズ・コントローラの場合: /var/cacao/instances/oem-ec/logs/cacao.n
Linuxエンタープライズ・コントローラの場合: /var/opt/sun/cacao/instances/oem-ec/logs/cacaon
各Oracle Solarisプロキシ・コントローラの場合: /var/cacao/instances/scn-proxy/logs/cacao.n
各Linuxプロキシ・コントローラの場合: /var/opt/sun/cacao/instances/scn-proxy/logs/cacao.n
Oracle Enterprise Manager Ops Centerが高可用性構成になっている場合、各エンタープライズ・コントローラはクラスタウェア・ノードになります。クラスタウェア・リソース・アクティビティはログに記録され、アクティブなエンタープライズ・コントローラのリソース・アクション・スクリプトのcheck()関数が実行されるたびに次のログ・ファイルが更新されます。デフォルトの間隔は60秒です。
Oracle Solarisの場合: /var/opt/sun/xvm/ha/EnterpriseController.log
ソフトウェア更新コンポーネントには、独自のログを使用する独自のサーバーがあります。次のログに、このサーバーのアクティビティに関する情報が提供されます。
監査ログ
Oracle Solarisの場合: /var/opt/sun/xvm/uce/var.opt/server/logs/audit.log
Linuxの場合: /usr/local/uce/server/logs/audit.log
エラー
Oracle Solarisの場合: /var/opt/sun/xvm/uce/var.opt/server/logs/error.log
Linuxの場合: /usr/local/uce/server/logs/error.log
ダウンロード・ジョブ: /opt/SUNWuce/server/logs/SERVICE_CHANNEL/error.log
ジョブ・ログ
Oracle Solarisの場合: /var/opt/sun/xvm/uce/var.opt/server/logs/job.log
Linuxの場合: /usr/local/uce/server/logs/job.log
インストール・イベントのログ:
/var/opt/sun/xvm/oracle/cfgtoollogs/dbca/OCDB/*
/var/tmp/installer.log.latest
ecadm sqlplusユーティリティによって報告された操作イベントのログ:
/var/opt/sun/xvm/oracle/diag/rdbms/ocdb/OCDB/alert/log.xml.*/var/opt/sun/xvm/oracle/diag/rdbms/ocdb/OCDB/trace/alert_OCDB.log.*/var/opt/sun/xvm/oracle/diag/tnslsnr/<hostname>/oclistener/alert/log.xml.*/var/opt/sun/xvm/oracle/diag/tnslsnr/<hostname>/oclistener/trace/listener.log.*スキーマ変更のログ:
/var/opt/sun/xvm/log/satadmsqlplus.log
/var/opt/sun/xvm/logs/alter_oracle_schema.out
/var/opt/sun/xvm/logs/alter_oracle_storage.out
バックアップ、リストアおよび移行の操作のログ:
/var/opt/sun/xvm/logs/sat-backup-date-time.log
/var/opt/sun/xvm/logs/sat-restore-date-time.log
/var/opt/sun/xvm/logs/migrate.log
プロキシ・コントローラの場合: /var/opt/sun/xvm/proxydb/*
各エージェントの場合: /var/opt/sun/xvm/agentdb/*
