ヘッダーをスキップ

Oracle Enterprise Manager アドバンスト構成
10gリリース5(10.2.0.5.0)

B53907-01
目次
目次
索引
索引

戻る 次へ

6 Enterprise Managerのファイアウォールの構成

ファイアウォールは、各ネットワーク・パケットを調べ適切な処理を決定することでネットワーク通信量を制限し、それによって、企業の情報技術(IT)インフラストラクチャを保護します。

ファイアウォールの構成には通常、ファイアウォールの片側(インターネットなど)に有効なポートの制限が含まれます。HTTPなど、特定のポートを通過できる通信の種類を限定するように設定することもできます。クライアントが制限付きポートに接続を試行したり不適切なプロトコルを使用した場合、クライアントは即座にファイアウォールによって切断されます。特定のサーバーへのユーザー・アクセスを制限するために、ファイアウォールを企業内で使用することもできます。

Oracle Enterprise Managerコンポーネントはエンタープライズ全体の異なるホストにデプロイできます。これらのホストはファイアウォールによって分割されます。この章では、Enterprise Managerコンポーネント間の通信を可能にするファイアウォールの構成方法について説明します。

関連項目

ネットワーク上のGrid Controlコンポーネントを構成するいくつかの方法の詳細は第3章  

この章では次のトピックについて説明します。

6.1 ファイアウォールを構成する前の確認事項

ファイアウォールの構成はEnterprise Managerのデプロイの最後に行います。ファイアウォールを構成する前に、Grid Controlコンソールにログインできることと管理エージェントが稼働中でターゲットを監視していることを確認してください。

ファイアウォールがすでにインストールされている環境でEnterprise Managerをデプロイする場合は、全通信に対するデフォルトのEnterprise Manager通信ポートを開きます。このポートは、インストールおよび構成プロセスを終了し、Oracle Enterprise Manager 10g Grid Controlコンソールにログインできることと、Oracle Management Agentが稼働中でターゲットを監視していることを確認できるまで開いておきます。

Enterprise Managerのデフォルトの通信ポートはインストール時に割り当てられます。デフォルトのポートを変更する場合は、必ずファイアウォール構成時の新規のポート割当てを使用してください。

関連項目

Oracle Management ServiceおよびOracle Management Agentに対するデフォルト・ポートの検索および変更の詳細は、第12章「管理エージェントと管理サービスの再構成」 

管理サービスについてEnterprise Manager Framework Securityを有効にしている場合、その構成プロセスの最終ステップは、管理エージェントからのアップロードをセキュアなチャンネルのみに限定することです。そのステップを終了する前に、管理エージェントと管理リポジトリの間でHTTPおよびHTTPS通信の両方が可能となるようにファイアウォールを構成し、Enterprise Managerにログインできることとデータがリポジトリにアップロード中であることを確認するテストを行います。

両方のプロトコルが有効な状態で管理サービスと管理エージェントが通信できることを確認した後、セキュア・モードへの移行を終了し、必要に応じてファイアウォール構成を変更します。ファイアウォールを段階的に構成していくと、構成上の問題をより簡単に解決できます。

6.2 Enterprise Managerコンポーネントのファイアウォール構成

Enterprise Managerをファイアウォール保護環境下で動作するように設定する際の主な作業は、可能な場合はプロキシ・サーバーを利用すること、必要なポートのみをセキュアな通信で使用可能にすること、およびビジネスの運営に必要なデータのみがファイアウォールを通過するようにすることです。

次の項では、セキュアなファイアウォール保護環境においてEnterprise Managerで必要なポートおよびデータの種類について説明します。

6.2.1 ブラウザとGrid Controlコンソールの間のファイアウォール

ブラウザからOracle Enterprise Manager 10g Grid Controlコンソールへの接続は、Oracle HTTP Serverで使用されるデフォルト・ポート経由で実行されます。

たとえば、Oracle HTTP Serverのデフォルトの保護されていないポートは、通常、ポート
7778です。次のURLおよびポートを使用してGrid Controlコンソールにアクセスする場合は、ポート7778経由のHTTP通信をGrid Controlコンソールが受信できるようにファイアウォールを構成する必要があります。

http://mgmthost.acme.com:7778/em

一方、Oracle HTTP Serverのセキュリティを有効にしている場合は、サーバーのデフォルトのセキュア・ポートを使用する場合がほとんどであり、これは通常、ポート4443です。次のURLおよびポートを使用してGrid Controlコンソールにアクセスする場合は、ポート4443経由のHTTP通信をGrid Controlコンソールが受信できるようにファイアウォールを構成する必要があります。

https://mgmthost.acme.com:4443/em

関連項目

『Oracle Application Serverセキュリティ・ガイド』 

図6-2には、ブラウザと、管理サービスによってレンダリングされたGrid ControlコンソールのWebベース・コンソールの間にあるファイアウォールの標準的な構成が示されています。

図6-2    ブラウザとGrid Controlコンソールの間のファイアウォール


画像の説明

6.2.2 ファイアウォールで保護されたホスト上の管理エージェントの構成

管理エージェントがファイアウォールで保護されたホスト上にインストールされ、管理サービスがファイアウォールの反対側にある場合は、次の作業を実行する必要があります。

図6-3には、管理エージェントがファイアウォールで保護されている場合に設定する必要がある接続が示されています。

図6-3    管理エージェントがファイアウォール内にある場合の構成タスク


画像の説明

6.2.2.1 プロキシ・サーバーを使用するための管理エージェントの構成

ファイアウォール外の管理サービスとの通信にプロキシ・サーバーを使用するように、またはファイアウォール外のターゲットを管理するように管理エージェントを構成します。

  1. テキスト・エディタを使用して、次の管理エージェント構成ファイルを開きます。

    AGENT_HOME/sysman/config/emd.properties (UNIX)
    AGENT_HOME¥sysman¥config¥emd.properties (Windows)
    
    
  2. emd.propertiesファイル内の次のエントリを探します。

    # If it is necessary to go through an http proxy server to get to the
    # repository, uncomment the following lines
    #REPOSITORY_PROXYHOST=
    #REPOSITORY_PROXYPORT=
    
    
  3. プロキシ・サーバーの認証サポートを有効化するには、次の追加のプロパティを指定する必要があります。

    #REPOSITORY_PROXYREALM=
    #REPOSITORY_PROXYUSER=
    #REPOSITORY_PROXYPWD=
    
    
  4. 各行の先頭でポンド記号(#)を削除し、次のように値を入力して、次のプロパティを編集します。

    # If it is necessary to go through an http proxy server to get to the
    # repository, uncomment the following lines
    REPOSITORY_PROXYHOST=proxyhostname.domain
    REPOSITORY_PROXYPORT=proxy_port
    REPOSITORY_PROXYREALM=realm
    REPOSITORY_PROXYUSER=proxyuser
    REPOSITORY_PROXYPWD=proxypassword
    
    

    次に例を示します。

    REPOSITORY_PROXYHOST=proxy42.acme.com
    REPOSITORY_PROXYPORT=80
    REPOSITORY_PROXYREALM=
    REPOSITORY_PROXYUSER=
    REPOSITORY_PROXYPWD=
    
    
  5. 変更を保存してemd.propertiesファイルを閉じます。

  6. 管理エージェントを停止してから起動します。

    関連項目

    「Oracle Management Agentの制御」 


    注意:

    プロキシ・パスワードは、管理エージェントを再起動する際にリライトされます。 


6.2.2.2 管理サービスから通信を受信できるようにするためのファイアウォールの構成

環境内の管理エージェントが管理対象ホストから管理サービスへデータをアップロードする一方で、管理サービスは管理エージェントと通信を行う必要もあります。このため、管理エージェントがファイアウォールで保護されている場合、管理サービスが管理エージェント・ポート上のファイアウォールを介して管理エージェントに接続できるようにします。

デフォルトでは、Enterprise Managerのインストール時にポート1830が管理エージェントに割り当てられます。ただし、そのポートが使用中の場合は別のポート番号が割り当てられる可能性があります。


注意:

管理エージェントのポート番号はEnterprise Manager Framework Securityを有効にしても変更されません。詳細は、「Grid Controlのセキュリティの構成」を参照してください。 


また、管理者はインストール後に管理エージェント・ポートを変更することもできます。

関連項目

"Oracle Management ServiceおよびOracle Management Agentに対するデフォルト・ポートの検索および変更の詳細は、第12章「管理エージェントと管理サービスの再構成」 

管理エージェントに割り当てるポート番号を決定した後、そのポートでHTTPまたはHTTPS(Enterprise Manager Framework Securityが有効か無効かによって変わる)通信を受信できるようにファイアウォールを構成する必要があります。

関連項目

HTTPまたはHTTPS通信に対する特定のポートの開き方の詳細は、使用するファイアウォールのドキュメント

Enterprise Manager Framework Securityの詳細は「Grid Controlのセキュリティの構成」 

6.2.3 ファイアウォールで保護されたホスト上の管理サービスの構成

管理サービスがファイアウォールで保護されたホスト上にインストールされ、管理データを提供する管理エージェントがファイアウォールの反対側にある場合は、次の作業を実行する必要があります。

図6-4には、管理サービスがファイアウォールで保護されている場合に設定する必要がある接続が示されています。

図6-4    管理サービスがファイアウォール内にある場合の構成タスク


画像の説明

6.2.3.1 プロキシ・サーバーを使用するための管理サービスの構成

この項では、ファイアウォール外の管理エージェントとの通信にプロキシ・サーバーを使用するように管理サービスを構成する方法を説明します。


注意:

この項に記述されているプロキシ構成プロパティは、ネットワークがファイアウォールで保護されておりEnterprise Managerで自動的に重要なパッチおよびパッチ・セットを検索する場合に、変更が必要な管理サービス・プロパティと同じプロパティです。詳細は、Enterprise Managerのオンライン・ヘルプのパッチ資格証明の指定に関する項を参照してください。 


プロキシ・サーバーを使用するために管理サービスを構成するには、次のようにします。

  1. テキスト・エディタを使用して、次の管理サービス・ホーム・ディレクトリの構成ファイルを開きます。

    ORACLE_HOME/sysman/config/emoms.properties
    
    
  2. emoms.propertiesファイルに次のエントリを追加します。

    proxyHost=proxyhost.domain
    proxyPort=proxy_port
    dontProxyFor=.domain1, .domain2, .domain3, ...
    proxyRealm=realm
    proxyUser=proxyuser
    proxyPwd=proxypassword
    

    次に例を示します。

    proxyHost=proxy42.acme.com
    proxyHost=80
    dontProxyFor=.acme.com, .acme.us.com
    proxyRealm
    proxyUser
    proxyPwd
    

    dontProxyForプロパティは、プロキシが使用されない特定のURLドメインを指定します。proxyRealmプロパティは、認証が必要な保護領域を示します。

    関連項目

    dontProxyForプロパティを適切に使用するときのガイドラインは「dontProxyforプロパティについて」 

  3. 変更を保存してemoms.propertiesファイルを閉じます。

  4. 管理サービスを停止してから起動します。

    $PROMPT> ORACLE_HOME/bin/emctl stop oms
    $PROMPT> ORACLE_HOME/bin/emctl start oms
    


    注意:

    プロキシ・パスワードは、管理サービスを再起動する際にリライトされます。 


6.2.3.2 dontProxyforプロパティについて

プロキシ・サーバーを使用するために管理サービスを構成する際、プロキシが使用されない特定のURLドメインを指定するdontProxyForプロパティの目的を理解することが重要です。

たとえば、次のような状況を想定します。

このケースでは、管理サービスを、プロキシ・サーバーを使用せずに直接ファイアウォール内の管理エージェントに接続する場合があります。その一方、ファイアウォール外の管理エージェントおよびOracleMetaLinkインターネット・サイト(次のURLを参照)には、プロキシ・サーバーを使用して管理サービスを接続する場合があります。

http://metalink.oracle.com

emoms.propertiesファイルの次のエントリにより、管理サービスはファイアウォール内の管理エージェントへの接続にプロキシ・サーバーを使用しません。OracleMetaLinkおよびファイアウォール外の管理エージェントへの接続はプロキシ・サーバーを経由して行われます。

proxyHost=proxy42.acme.com
proxyHost=80
dontProxyFor=.acme.com, .acme.us.com

6.2.3.3 管理エージェントから管理データを受信できるようにするためのファイアウォールの構成

環境内の管理エージェントが管理対象ホスト上の管理エージェントへ接続する必要がある一方で、管理サービスが管理エージェントからのアップロード・データを受信できる必要もあります。管理サービスがファイアウォールの内側にある場合、管理エージェントがアップロード・ポート上でデータをアップロードできるようにファイアウォールを構成します。

デフォルトでは、Enterprise Managerのインストール時にポート4889がリポジトリのアップロード・ポートとして割り当てられます。ただし、そのポートが使用中の場合は別のポート番号が割り当てられます。

また、Enterprise Manager Framework Securityを有効にすると、アップロード・ポートは自動的にセキュアな1159 HTTPSポートに変更されます。

関連項目

Enterprise Manager Framework Securityの詳細は「Grid Controlのセキュリティの構成」 

管理者はインストール後にアップロード・ポートを変更することもできます。

関連項目

Oracle Management ServiceおよびOracle Management Agentに対するデフォルト・ポートの検索および変更の詳細は、第12章「管理エージェントと管理サービスの再構成」 

管理サービスのアップロード・ポートに割り当てるポート番号を決定した後、そのポートでHTTPまたはHTTPS(Enterprise Manager Framework Securityが有効か無効かによって変わる)通信を受信できるようにファイアウォールを構成する必要があります。

関連項目

HTTPまたはHTTPS通信に対する特定のポートの開き方の詳細は、使用するファイアウォールのドキュメント 

6.2.4 管理サービスと管理リポジトリの間のファイアウォール

管理サービスと管理リポジトリの間のセキュアな接続はOracle Advanced Securityの機能を使用して実行されます。このため、管理サービスと管理リポジトリがファイアウォールで分割されている場合は、Oracle Netのファイアウォール・プロキシ・アクセスを使用できるようにファイアウォールを構成する必要があります。

関連項目

『Oracle Database Advanced Security管理者ガイド』のSecure Sockets Layer認証の構成に関する項 

図6-5には、管理サービスと管理リポジトリの間にあるファイアウォールの標準的な構成が示されています。

図6-5    管理サービスと管理リポジトリの間のファイアウォール


画像の説明

6.2.5 Grid Controlと管理対象データベース・ターゲットの間のファイアウォール

Grid Controlコンソールを使用してデータベースを管理している場合、特定の監視および管理タスクを実行するにはGrid Controlコンソールからデータベースにログインする必要があります。ファイアウォールの反対側のデータベースにログインする場合は、Oracle Netのファイアウォール・プロキシ・アクセスを使用できるようにファイアウォールを構成する必要があります。

特に、管理対象データベースで管理アクティビティを実行する場合は、Oracle Management ServiceがOracleリスナー・ポート経由でデータベースと通信するようにファイアウォールが構成されている必要があります。

リスナー・ポートはGrid Controlコンソールのリスナー・ホームページを参照して取得できます。

関連項目

『Oracle Database Advanced Security管理者ガイド』 

図6-6には、Grid Controlと管理リポジトリの間にあるファイアウォールの標準的な構成が示されています。

図6-6    Grid Controlと管理対象データベース・ターゲットの間のファイアウォール


画像の説明

6.2.6 複数の管理サービスで使用されるファイアウォール

Enterprise Managerでは共通の管理リポジトリと通信する複数の管理サービスの使用がサポートされています。たとえば、複数の管理サービスを使用すると、E-Businessエンタープライズの成長に伴い集中管理機能を拡大していく場合のロード・バランシングに役立ちます。

ファイアウォールで保護された環境で複数の管理サービスをデプロイするときは、次のことに注意してください。

6.2.7 ビーコンに対するICMPおよびUDP通信を可能にするためのファイアウォールの構成

Oracleビーコンにより、アプリケーションのパフォーマンス可用性およびパフォーマンス監視が提供されます。これらはEnterprise Managerのサービス・レベル管理機能の一部です。

関連項目

Enterprise Managerのオンライン・ヘルプのサービス・レベル管理に関する項 

Enterprise Managerでは、業界標準のInternet Control Message Protocol(ICMP)およびユーザー・データグラム・プロトコル(UDP)を使用して、ビーコンと監視対象のネットワーク・コンポーネントの間のデータ転送を行います。Webアプリケーション・コンポーネントとそのコンポーネントを監視するために使用しているビーコンが、ファイアウォールによって分割される場合があります。このようなケースでは、ICMP通信、UDP通信およびHTTP通信ができるようにファイアウォールを構成する必要があります。

関連項目

「HTTPS経由でWebアプリケーションを監視するためのビーコンの構成」 

6.2.8 Oracle Application Serverを管理する場合のファイアウォールの構成

Oracle Application Serverのインスタンスの管理にGrid Controlを使用している場合、構成によっては、ファイアウォールを通過してアクセスするには他のポートを使用する必要があります。

たとえば、Grid ControlコンソールからOracle Application Serverインスタンスのパフォーマンスを監視している場合、Application Serverホームページの「管理」をクリックしてApplication Server Controlコンソールを表示します。監視しているOracle Application Serverターゲットが、ファイアウォールによってGrid Controlコンソールから遮断されている場合、Application Server Controlコンソール・ポート(通常1810)を介したHTTP接続またはHTTPS接続を可能にするには、ファイアウォールを構成する必要があります。

関連項目

Oracle Application Serverに対するポートの構成の詳細は『Oracle Application Server管理者ガイド』 

6.3 アプリケーション・サーバーのインストール時に割り当てられるポートのサマリーの表示

この章のこれまでの項で記述されているとおり、ファイアウォールを構成する前にOracle Enterprise Manager 10gの各コンポーネントで使用されているポートを理解し認識することが重要です。

Oracle Application Server 10gまたはOracle Enterprise Manager 10g Grid Controlをインストールする際、次のファイルの内容を表示することによってアプリケーション・サーバーのインストール時に割り当てられたポートのリストを参照できます。

ORACLE_HOME/install/portlist.ini


注意:

portlist.iniファイルにはインストール時に割り当てられたポート番号が一覧表示されます。インストール後にポート番号が変更されてもこのファイルは更新されません。 


また、Application Server Controlコンソールを使用してアプリケーション・サーバーで使用中のすべてのポートのリストを表示することもできます。

  1. Application Server ControlコンソールのApplication Serverホームページにナビゲートします。

  2. 「ポート」をクリックします。

    関連項目

    Enterprise Managerのオンライン・ヘルプのアプリケーション・サーバーのポート割当ての表示および変更に関する項 

6.4 Windows XPに関連するその他の考慮事項

セキュアなエージェントのインストールのため、Windows XPでHTTPまたはHTTPS通信に対するファイアウォール設定が無効になっていることを確認します。

  1. 「スタート」「コントロール パネル」を選択します。

  2. 「コントロール パネル」で、「Windowsファイアウォール」をクリックします。

  3. 「Windowsファイアウォール」ダイアログ・ボックスの「例外」タブで、「ポートの追加」をクリックします。

  4. 「ポートの追加」ダイアログ・ボックスで、ポートの名前および番号を指定します。

  5. 「スコープの変更」をクリックして、ポートがブロック解除されているコンピュータを指定します。


戻る 次へ
Oracle
Copyright © 2003, 2009 Oracle Corporation.

All Rights Reserved.
目次
目次
索引
索引