Oracle Database Vaultのインストール後、Oracle Database Vaultをデータベースに登録する必要があります。
Oracle Database Vaultを登録するには、次のようにします。
Database Configuration Assistantを起動します。
UNIXシステム: 端末ウィンドウで次のコマンドを入力します。
dbca
デフォルトでは、dbca
は$ORACLE_HOME/bin
ディレクトリ内にあります。
Microsoft Windows: 「スタート」メニューから「すべてのプログラム」をクリックします。次に、「Oracle - ORACLE_HOME」、「Configuration and Migration Tools」、「Database Configuration Assistant」をクリックします。
あるいは、コマンド・プロンプトでDatabase Configuration Assistantを起動することもできます。
dbca
UNIXの場合と同様に、通常、dbca
はORACLE_BASE
\
ORACLE_HOME
\bin
ディレクトリ内にあります。
「ようこそ」ページで「次へ」をクリックします。
「操作」ページが表示されます。
「データベース・オプションの構成」を選択し、「次へ」をクリックします。
「データベース」ページが表示されます。
リストから、Oracle Databaseをインストールしたデータベースを選択し、「次へ」をクリックします。
「データベース・コンテンツ」ページが表示されます。
「Oracle Database Vault」(まだインストールされていない場合は「Oracle Label Security」も)を選択し、「次へ」をクリックします。
「Oracle Database Vault」がすでにチェックされていてその名前がグレー表示されている場合、Oracle Database Vaultはすでに登録済です。
「Oracle Database Vault」を選択すると、「Oracle Database Vault資格証明」ページが表示されます。
Database Vault所有者アカウントの名前とパスワード(たとえば、DBVOWNER
)を指定し、Database Vaultアカウント・マネージャ・アカウントの名前とパスワード(たとえば、DBVACCTMGR
)を指定します。
『Oracle Databaseセキュリティ・ガイド』のパスワードのガイドラインに従って、安全なパスワードを入力します。Oracle Database Vaultには追加的なパスワード要件があり、誤ったパスワードを作成しようとすると、これらの要件が表示されます。
「次へ」をクリックします。
「接続モード」ページが表示されます。
(このデータベースを作成したときに選択した内容に応じて)「専用サーバー・モード」または「共有サーバー・モード」のいずれかを選択して「終了」をクリックし、確認プロンプトで「OK」をクリックします。
Database Configuration AssistantによってOracle Database Vaultが登録され、データベース・インスタンスが再起動されます。
Database Configuration Assistantを終了します。
NLS_LANGUAGE
初期化パラメータの値が、Oracle Databaseのインストール先のコンピュータのオペレーティング・システムで使用されているロケールおよびNLS設定(NLS_LANG
またはLANG
環境変数)と一致していることを確認してください。これらの値が一致していないと、Database Vault Administratorには、デフォルトのレルム、コマンド・ルール、ルール・セットまたはファクタが表示されません。
たとえば、オペレーティング・システムのロケール設定($LANG
変数)がen_US.UTF-8
である場合、対応するNLS_LANG
環境変数をAMERICAN_AMERICA.AL32UTF8
に、データベースのNLS_LANGUAGE
初期化パラメータ値をAMERICAN
に設定する必要があります。データベースのNLS_LANGUAGE
パラメータは、オペレーティング・システムのNLS_LANG
環境変数から導出されます。
ロケールおよびNLS設定の確認と構成の詳細は、使用しているプラットフォームに対応するOracle Databaseのインストレーション・ガイドのグローバリゼーション・サポートに関する付録を参照してください。
Oracleデータベースを手動で作成し、Enterprise Manager Configuration Assistantを使用してOracle Enterprise Manager Database Controlを構成した場合は、Oracle Database Vault Administratorを手動でデプロイする必要があります。この手順では、新しいアプリケーションを作成せずに、現行のEnterprise Managerと同じOC4JコンテナにDatabase Vault Administratorをデプロイします。
Database Vault Administratorを手動でデプロイするには、次のようにします。
Oracleデータベース・コンソールを停止します。
UNIXシステムの場合: $ORACLE_HOME/bin
ディレクトリに移動して次のコマンドを実行します。
./emctl stop dbconsole
Microsoft Windowsの場合: 「管理ツール」で「サービス」ユーティリティを選択した後、「OracleDBConsolesid」サービスを右クリックします。メニューから「停止」を選択します。
バックアップ・コピーを作成し、$ORACLE_HOME/oc4j/j2ee/OC4JDBConsole_
service_name
/config/server.xml
ファイルを開きます。
</application-server>
要素の前に次の行を追加します。
<application name="dva" path="$ORACLE_HOME/dv/jlib/dva_webapp.ear" parent="default" start="true" />
Windowsシステムの場合、$ORACLE_HOME
をOracle Databaseホームの絶対パスで置き換えます。
バックアップ・コピーを作成し、$ORACLE_HOME/oc4j/j2ee/OC4JDBConsole_
service_name
/config/HttpWebsite.xml
ファイルを開きます。
</web-site>要素の前に次の行を追加します。
<web-app application="dva" name="dva_webapp" load-on-startup="true" root="/dva" shared="true"/>
Oracleデータベース・コンソールを再起動します。
UNIXシステムの場合: $ORACLE_HOME/bin
ディレクトリに移動して次のコマンドを実行します。
./emctl start dbconsole
Microsoft Windowsの場合: 「管理ツール」で「サービス」ユーティリティを選択した後、「OracleDBConsolesid」サービスを右クリックします。メニューから「開始」を選択します。
これらの手順を完了すると、次のURLを使用してOracle Database Vault Administratorを起動できます。
https://hostname:port/dva
たとえば、次のようになります。
https://myserver:1158/dva
ポート番号が不明な場合は、ORACLE_HOME
/
host_sid
/sysman/config/emd.properties
ファイルを開いてREPOSITORY_URL
を検索します。ほとんどの場合、ホスト名およびポート番号はOracle Enterprise Manager Database Controlと同じです。
デフォルトでは、Oracle Database Vaultセッションは35分間続きます。セッションの持続時間を変更する場合は、この項の手順に従ってください。
Oracle Database Vault Administratorのセッション時間を設定するには、次のようにします。
web.xml
ファイルをバックアップします。このファイルは、デフォルトでは$ORACLE_HOME/dv/jlib/dva_webapp/dva_webapp/WEB-INF
ディレクトリにあります。
テキスト・エディタで、web.xml
ファイルを開きます。
次の設定を検索します。
<session-config> <session-timeout>35</session-timeout> </session-config>
<session-timeout>
設定を希望する時間に分単位で設定します。
変更を保存して、web.xml
ファイルを閉じます。
Database Vault Administratorを停止し、再起動します。
UNIXシステムの場合: $ORACLE_HOME/bin
ディレクトリに移動して次のコマンドを実行します。
./emctl stop dbconsole ./emctl start dbconsole
Windowsシステムの場合: 「管理ツール」で「サービス」ユーティリティを選択した後、「OracleDBConsolesid」サービスを右クリックします。メニューから「停止」を選択します。コンソールの停止後、「開始」を選択します。
Database Vault Administratorを、障害を持つお客様がデータにアクセスしてご利用いただけるように設定できます。Database Vault Administratorのアクセシビリティを完全に有効にする方法について、次の項で説明します。
Oracle Database Vault Administratorは、ユーザー操作の応答性を向上させるユーザー・インタフェース開発テクノロジを利用しています。たとえば、表内の新規のレコード・セットに移動する際、Oracle Database Vault AdministratorではHTMLページ全体が再表示されるわけではありません。ただし、このパフォーマンス向上のためのテクノロジは、一般にスクリーン・リーダーではサポートされていません。障害を持つユーザーがDatabase Vault AdministratorのHTMLページにより簡単にアクセスできるようにする目的でこの機能を無効にする場合は、次の手順を使用します。
HTMLページ全体の表示を有効にするには、次のようにします。
uix-config.xml
構成ファイルを検索します。
デフォルトでは、uix-config.xml
ファイルは次のディレクトリにあります。
$ORACLE_HOME/oc4j/j2ee/oc4j_applications/applications/em/em/WEB-INF
テキスト・エディタを使用してuix-config.xml
ファイルを開き、次のエントリを検索します。
<!-- An alternate configuration that disables accessibility features --> <default-configuration> <accessibility-mode>inaccessible</accessibility-mode> ... </default-configuration>
accessibility-modeプロパティの値をinaccessible
からaccessible
に変更します。
変更を保存して、uix-config.xml
ファイルを閉じます。
Database Vault Administratorを再起動します。
「Oracle Database Vault Administratorの起動」を参照してください。
Database Vault Administratorの「監視」ページにはセキュリティ・ポリシー・データがグラフで表示されます。ただし、グラフの情報は、スクリーン・リーダーで読み取れるようには変換されません。この問題に対処するため、各グラフの完全なテキスト表示を提供するようにDatabase Vault Administratorを設定できます。デフォルトでは、グラフのテキスト表示のサポートは無効です。グラフのテキスト説明を有効にすると、Database Vault Administratorではグラフ・データがテキスト表示されます。
グラフのテキスト表示を有効にするには、次のようにします。
web.xml
構成ファイルを検索します。
インストールしたOracle Database 10gのweb.xml
ファイルを検索するには、ディレクトリをOracleホームの次の場所に変更します。
$ORACLE_HOME/dv/jlib/dva_webapp/dva_webapp/WEB-INF/
テキスト・エディタを使用してweb.xml
ファイルを開き、次の6行の場所を検索します。
<!-- Uncomment this to enable textual chart descriptions <context-param> <param-name>enableChartDescription</param-name> <param-value>true</param-value> </context-param> -->
最初の行と最後の行を削除してこのセクションのコメントを削除すると、このセクションは次の4行のみになります。
<context-param> <param-name>enableChartDescription</param-name> <param-value>true</param-value> </context-param>
変更を保存して、web.xml
ファイルを終了します。
Database Vault Administratorを再起動します。
「Oracle Database Vault Administratorの起動」を参照してください。
Oracle Real Application Clusters(RAC)インスタンスに対してOracle Database Vaultをインストールした場合、他のすべてのRACノードで、-action
optionrac
オプションを使用してOracle Database Vault Configuration Assistant(DVCA)を実行する必要があります。
Database Vaultのインストールを実行したノードを除くすべてのOracle RACノードで、このコマンドを実行する必要があります。この手順は、Oracle Database Vaultに用意されている拡張セキュリティ機能を有効にするために必要です。
この項の内容は次のとおりです。
dvca -action optionrac
を使用するための構文は、次のとおりです。
dvca -action optionrac -oh Oracle_home -instance Oracle_instance_name -dbname database_name -jdbc_str jdbc_connection_string -sys_passwd SYS_password [-silent] [-logfile ./dvca.log] [-nodecrypt] [-lockout]
ここでは、次のようになります。
-action
は、実行するアクションです。optionracは、Oracle RACインスタンスのインスタンス・パラメータを更新するアクションを実行します。また、このフラグには、インスタンスに対してSYSDBAオペレーティング・システム・アクセスを無効にするオプションも備わっています。
-racnode
は、アクションを実行するOracle RACノードのホスト名です。ホスト名にドメイン名を付加しないでください。
-oh
は、Oracle RACインスタンスのOracleホームです。ORACLE_HOME
パスを指定します。
-instance
は、データベース・インスタンスの名前です。
-dbname
はデータベース名です。
-jdbc_str
は、データベースへの接続に使用されるJDBC接続文字列です。たとえば、次のようになります。
jdbc:oracle:oci:@orcl1
-sys_passwd
は、SYS
ユーザーのパスワードです。コマンドラインでクリアテキスト・パスワードを使用する場合は、nodecrypt
オプションを指定する必要があります。パスワードを省略すると、DVCAによってパスワードの入力を求められます。できれば、最初はパスワードを省略し、入力を求められたらそれに応じてパスワードを入力してください。
-logfile
は、ログ・ファイルの名前と場所を指定するためのオプションのフラグです。絶対パスを入力することも、$ORACLE_HOME
/bin
ディレクトリからの相対パスを入力することもできます。
-silent
は、コマンドライン・モードで実行するためのオプションです。DVCAをxtermウィンドウで実行しない場合、このオプションが必要です。
-nodecrypt
は、プレーン・テキスト・パスワードを読み取るためのオプションです。
-lockout
は、SYSDBA
オペレーティング・システム認証を無効にするために使用するフラグです。
RACノードでOracle Database Vaultを構成するには、次のようにします。
DVCAを実行するノードで、リスナーおよびデータベース・インスタンスが実行されていることを確認します。
コマンド・プロンプトで、DVCAコマンドを入力します。たとえば、次のようになります。
dvca -action optionrac
-oh c:\oracle\product\11.1.0\db_1
-jdbc_str jdbc:oracle:oci:@orcl1
-racnode mynode
-silent
-logfile ./dvcalog.txt
Enter SYS password: sys_password
デフォルトでは、Oracle Database Vaultによって英語表のみがロードされます。DVCAを使用して、dvca -action
オプションにaddlanguages
フラグを指定することにより、Oracle Database Vaultに他の言語を追加できます。
この項の内容は次のとおりです。
dvca -action addlanguages
を使用するための構文は、次のとおりです。
dvca -action addlanguages -oh Oracle_home -instance Oracle_instance_name -dbname database_name -jdbc_str jdbc_connection_string -sys_passwd SYS_password -dvsys_passwd DVSYS_password -languages language_list [-owner_account DV_owner_account_name] [-owner_passwd DV_owner_account_password>] [-acctmgr_account DV_account_manager_account_name>] [-acctmgr_passwd DV_account_manager_password] [-silent] [-logfile ./dvca.log] [-nodecrypt] [-lockout] [-racnode node]
ここでは、次のようになります。
-action
は、実行するアクションです。この場合、アクションはaddlanguages
です。
-oh
は、Oracle RACインスタンスのOracleホームです。ORACLE_HOME
パスを指定します。
-instance
は、データベース・インスタンスの名前です。
-dbname
はデータベース名です。
-sys_passwd
は、SYS
ユーザーのパスワードです。コマンドラインでクリアテキスト・パスワードを使用する場合は、nodecrypt
オプションを指定する必要があります。パスワードを省略すると、DVCAによってパスワードの入力を求められます。できれば、最初はパスワードを省略し、入力を求められたらそれに応じてパスワードを入力してください。
-dvsys_passwd
は、DVSYS
ユーザーのパスワードです。コマンドラインでクリアテキスト・パスワードを使用する場合は、nodecrypt
オプションを指定する必要があります。パスワードを省略すると、DVCAによってパスワードの入力を求められます。できれば、最初はパスワードを省略し、入力を求められたらそれに応じてパスワードを入力してください。
-jdbc_str
は、データベースへの接続に使用されるJDBC接続文字列です。たとえば、次のようになります。
jdbc:oracle:oci:@orcl1
-languages
は、ロードする言語のリストです。次の書式で、言語を文字列としてリストします。
UNIXシステム: {"
language_1
,
language_2
,
language_n
"}
Microsoft Windows: {"
language_1
","
language_2
","
language_n
"}
Oracle Database Vaultでは、次の言語がサポートされています。
en : 英語 |
ja : 日本語 |
|
de : ドイツ語 |
ko : 韓国語 |
|
es : スペイン語 |
pt_BR : ポルトガル語(ブラジル) |
|
fr : フランス語 |
zh_CN : 簡体字中国語 |
|
it : イタリア語 |
zh_TW : 繁体字中国語 |
たとえば、ドイツ語とスペイン語をロードする場合、次のように入力します。
UNIXシステム: -languages {"de,es"}
Microsoft Windows: -languages {"de","es"}
-owner_account
は、Oracle Database Vault所有者アカウントの名前です。
-owner_passwd
は、Oracle Database Vault所有者アカウントのパスワードです。コマンドラインでクリアテキスト・パスワードを使用する場合は、nodecrypt
オプションを指定する必要があります。パスワードを省略すると、DVCAによってパスワードの入力を求められます。できれば、最初はパスワードを省略し、入力を求められたらそれに応じてパスワードを入力してください。
-acctmgr_account
は、Oracle Database Vaultアカウント・マネージャのユーザー名です。
-acctmgr_passwd
は、Oracle Database Vaultアカウント・マネージャのパスワードです。コマンドラインでクリアテキスト・パスワードを使用する場合は、nodecrypt
オプションを指定する必要があります。パスワードを省略すると、DVCAによってパスワードの入力を求められます。できれば、最初はパスワードを省略し、入力を求められたらそれに応じてパスワードを入力してください。
-logfile
は、ログ・ファイルの名前と場所を指定するためのオプションのフラグです。絶対パスを入力することも、$ORACLE_HOME
/bin
ディレクトリからの相対パスを入力することもできます。
-silent
は、コマンドライン・モードで実行するためのオプションです。DVCAをxtermウィンドウで実行しない場合、このオプションが必要です。
-nodecrypt
は、プレーン・テキスト・パスワードを読み取るためのオプションです。
-lockout
は、SYSDBA
オペレーティング・システム認証を無効にするために使用するフラグです。
Oracle Database Vaultに言語を追加するには、次のようにします。
「手順1: Oracle Database Vaultの無効化」の次の手順を実行して、Oracle Database Vaultを無効にします。
DVCAを使用して、目的の言語を追加します。
たとえば、次のようになります。
dvca -action addlanguages -oh c:\oracle\product\11.1.0\db_1 -instance myinstance -dbname mydbname -jdbc_str jdbc:oracle:oci:@orcl1 -languages {"es","ja"} -silent -logfile dvcalog.txt Enter SYS password: sys_password Enter DVSYS password: dvsys_password Enter owner password: owner_password Enter DV account manager password: dv_acct_password
「手順3: Oracle Database Vaultの有効化」の次の手順を実行して、Oracle Database Vaultを有効にします。