10gリリース5(10.2.0.5.0)
B53907-01
 目次 |
 索引 |
| Oracle Enterprise Manager アドバンスト構成 10gリリース5(10.2.0.5.0) B53907-01 |
|
この章では、Oracle Enterprise Managerのセキュリティの構成方法を説明します。この章では特に、次の項について説明します。
Oracle Enterprise ManagerにはOracle環境の安全な管理に役立つツールと手順が用意されています。次のセクションでは、Enterprise Managerに用意されているセキュリティ機能について説明します。
Oracle Enterprise Managerのセキュリティの目的は次のとおりです。
この目的のため、ユーザーがEnterprise Managerコンソールにアクセスするためのユーザー名およびパスワードの資格証明、および重要なデータにアクセスするための適切な権限が要求されます。これには、Oracle Enterprise Manager 10g Grid ControlコンソールおよびOracle Enterprise Manager 10g Application Server Controlコンソールへのアクセスが含まれます。
この目的のため、Enterprise Manager Framework Securityを有効にします。Enterprise Manager Framework Securityによって、ネットワーク上にインストールされ構成されているEnterprise Managerコンポーネントのセキュリティ強化処理が自動化されます。
Oracle Enterprise Managerでは、ユーザーが管理している環境やOracle Enterprise Manager 10gを使用している内容に応じて、様々なクラスのOracleユーザーがサポートされます。次に例を示します。
Grid Controlコンソールで作成および管理できるEnterprise Manager管理者には、Grid Controlコンソールにログインし、特定のターゲット・タイプを管理し、特定の管理タスクを実行できるロールおよび権限が付与されます。
Grid Controlコンソールのデフォルトのスーパー管理者とは、Oracle Management Repositoryに関連付けられたデータベース・ユーザーであるSYSMANユーザーを指します。Enterprise Managerのインストール時にSYSMANアカウントのパスワードを定義します。
ias_admin)を使用します。
ias_adminアカウントを使用します。Oracle Application Serverのインストール時にias_adminアカウントのパスワードを定義します。
権限のあるユーザーのみにアクセスを限定し、Oracle Enterprise Manager 10gコンポーネント間の通信を保護するツールを提供することによって、Enterprise ManagerではOracle Management Repositoryの重要な情報が保護されています。
管理リポジトリには、エンタープライズ全体のパフォーマンスおよび可用性を監視するためにEnterprise Managerが使用する管理データが含まれています。このデータによって、パフォーマンス履歴や、アプリケーション、データベース、アプリケーション・サーバーおよびその他の管理対象ターゲットの特徴のみでなく、デプロイしているハードウェアおよびソフトウェアの種類についての情報も提供されます。
管理リポジトリには、管理データへのアクセス権限を持つEnterprise Manager管理者についての情報も含まれています。
Enterprise Managerに対する認証およびアクセスの実行は次のように管理されます。
ias_admin管理者アカウントを使用する管理者のみに限定されます。ias_adminアカウントは自動的に設定され、Oracle Application Serverのインストール時にそのアカウントのパスワードを割り当てます。Webベース・アプリケーションとしてのEnterprise Managerは、業界標準テクノロジを利用して、Oracle Enterprise Manager 10g Grid Controlコンソール、およびApplication Server Controlコンソールへのセキュアなアクセスを提供しています。
Oracle Enterprise Manager 10g Grid Control Consoleのセキュリティを構成する際、Enterprise Manager Framework SecurityにはEnterprise Managerインストールのコンポーネント間のセキュアな通信が用意されています。
|
関連項目
Enterprise Manager Framework Securityの詳細は、「Grid Controlのセキュリティの構成」 Oracle HTTPサーバーのセキュリティを設定の詳細は、『Oracle HTTP Server管理者ガイド』 |
Enterprise Manager Gridコンソール・アプリケーションは、OPMN管理OC4Jインスタンス内でデプロイされます。Gridコンソールについてのセキュリティを構成する際、Enterprise Managerでは管理データを保護するためにOC4JおよびOHSの標準のセキュリティ・サービスが使用されます。
Oracle Enterprise Manager 10gでは2つの方法でOracle Identity Managementが利用されます。
この項では次のトピックについて説明します。
Enterprise Manager Framework Securityによって、Enterprise Managerコンポーネント間の安全な通信チャネルが実現します。たとえば、Framework SecurityではOracle Management Serviceとその管理エージェントの間の接続が保護されます。
Enterprise Manager Framework Securityは、Oracle HTTP Server用に有効にする必要があるセキュリティ機能と連携して機能しますが、これに置き換わるものではありません。Oracle HTTP Serverは、管理サービスのJ2EE Webアプリケーションをデプロイするために使用されるOracle Application Serverインスタンスの一部です。
図5-1には、Enterprise Manager Framework SecurityによるEnterprise Managerコンポーネント間の接続に対するセキュリティの仕組みが示されています。
Enterprise Manager Framework Securityは、次のようなEnterprise Managerコンポーネント間のセキュアな接続を実装します。
Enterprise Manager Framework Securityを有効にするには、それぞれのEnterprise Managerコンポーネントを特定の順序で構成する必要があります。管理サービスおよび管理サービスにデータをアップロードする管理エージェントを保護するためのプロセスの概要を次に示します。
opmnctl stopallコマンドを使用して、管理サービス、Oracle HTTP Server、および管理サービスをデプロイするために使用されるOracle Application Serverの他のコンポーネントを停止します。
emctl secure omsを使用して、管理サービスのセキュリティを有効にします。
opmnctl startallコマンドを使用して、管理サービス、Oracle HTTP Server、OracleAS Web Cacheおよびその他のアプリケーション・サーバー・コンポーネントを再起動します。
emctl secure agentコマンドを使用して管理エージェントのセキュリティを有効にしてから、管理エージェントを再起動します。
emctl secure lockコマンドを使用して管理サービスへのHTTPアクセスを制限します。これにより、セキュリティが有効化されていない管理エージェントは管理サービスにデータをアップロードできなくなります。
次の項では、この各ステップの実行方法を詳しく説明します。
管理サービスに対してEnterprise Manager Framework Securityを有効にするには、管理サービスのホーム・ディレクトリの次のサブディレクトリにあるemctl secure omsユーティリティを使用します。
$ORACLE_HOME/bin
emctl secure omsユーティリティでは次の処理が実行されます。
emctl secure omsユーティリティを実行するには、エージェント登録パスワードを最初に選択する必要があります。エージェント登録パスワードは、Oracle Management AgentおよびOracle Management Serviceの今後のインストール・セッションでデータをEnterprise Managerインストールにロードする権限があることを検証するために使用されます。
Oracle Management ServiceについてEnterprise Manager Framework Securityを有効にするには、次のようにします。
ORACLE_HOME/opmn/bin
$PROMPT> ./opmnctl stopall
ORACLE_HOME/bin
$PROMPT> ./emctl secure oms
SYSMANのパスワードを入力します。
$PROMPT> cd $ORACLE_HOME/opmn/bin $PROMPT> ./opmnctl startall
https://hostname.domain:https_upload_port/em
次に例を示します。
https://mgmthost1.acme.com:1159/em
管理サービスのセキュリティが有効になっていると、ブラウザにはEnterprise Managerの「ログイン」ページが表示されます。
$PROMPT> ./emctl secure oms Oracle Enterprise Manager 10g Release 5 Grid Control Copyright (c) 1996, 2009 Oracle Corporation. All rights reserved. Securing OMS... Started. Securing OMS... Successful
もう1つの方法としてemctl secure omsコマンドをすべて1行で入力することもできますが、コマンドを1行で入力すると、パスワードが入力したとおりに画面上に表示されます。
$PROMPT> emctl secure oms [-sysman_pwd <sysman password>]
[-reg_pwd <registration password>][-host <hostname>][-reset]
[-secure_port <secure_port>][-upload_http_port <upload_http_port>]
[-slb_port <slb port>][-slb_console_port <slb console port>][-root_dc <root_dc>]
[-root_country <root_country>][-root_state <root_state>][-root_loc <root_loc>]
[-root_org <root_org>][-root_unit <root_unit>] [-root_email <root_email>]
[-wallet <wallet_loc> -trust_certs_loc <certs_loc>] [-wallet_pwd <pwd>]
[-key_strength <strength>][-cert_validity <validity>]
次に各パラメータについて説明します。
sysman_password: Oracle Management Repositoryのユーザー・パスワードです。
reg_pwd: 管理エージェントの登録パスワードです。
host: Oracle Management Serviceで使用される証明書で使用されるホスト名です。管理サービスの前にSLBがある場合は、SLBホスト名を使用する必要がある場合があります。
reset: Oracle Management Serviceがこのオプションで保護される場合、新しいルート証明書が生成されます。この新しいルート証明書を使用して、すべてのターゲットおよびOracle Management Serviceを保護する必要があります。
secure_port: セキュアな通信のために使用されるポートです。デフォルト値は4888です。
upload_http_port: アップロードの通信に使用されるポートです。
slb_port: このパラメータは、サーバー・ロード・バランサを使用する場合に必要です。これにより、サーバー・ロード・バランサ内で構成されているセキュアなアップロード・ポートが指定されます。
slb_console_port: このパラメータは、サーバー・ロード・バランサを使用する場合に必要です。これにより、サーバー・ロード・バランサ内で構成されているセキュアなアップロード・ポートが指定されます。
trust_certs_loc: trusted_certs.txtの場所です(サード・パーティの証明書を使用する場合に必要)。
root_dc: ルート証明書で使用されるドメイン・コンポーネントです。デフォルト値はcomです。
root_country: ルート証明書で使用される国です。デフォルト値はUSです。
root_state: ルート証明書で使用される州です。デフォルト値はCAです。
root_loc: ルート証明書で使用される場所です。デフォルト値は、EnterpriseManager on <hostname>です。
root_org: ルート証明書で使用される組織名です。デフォルト値は、EnterpriseManager on <hostname>です。
root_unit: ルート証明書で使用される組織単位です。デフォルト値は、EnterpriseManager on <hostname>です。
root_email: ルート証明書で使用される電子メール・アドレスです。デフォルト値は、EnterpriseManager@<hostname>です。
wallet: これは、httpsアップロード・ポート内で使用されるウォレットがあるディレクトリです。
wallet_pwd: これはウォレットのパスワードで、ウォレットがSSOウォレットではない場合のみ必要です。
key_strength: 使用される鍵の強度です。有効な値は、512、1024、2048、および4096です。
cert_validity: 自己署名付き証明書の有効日数です。有効な範囲は、1〜3650です。 emctl status oms -secureコマンドを入力して、管理サービスについてセキュリティが有効化されているかどうかを確認できます。
$prompt> emctl status oms -secure Oracle Enterprise Manager 10g Release 5 Grid Control Copyright (c) 1996, 2009 Oracle Corporation. All rights reserved. Checking the security status of the OMS at location set in /OH/oms10g/sysman/config/emoms.properties... Done. OMS is secure on HTTPS Port 1159
ホストに管理エージェントをインストールする際は、管理エージェントによって使用される管理サービスを指定する必要があります。指定した管理サービスがEnterprise Manager Framework Securityを利用するように構成されている場合は、エージェント登録パスワードが求められ、インストール時に管理エージェントに対してEnterprise Manager Framework Securityが有効になります。
そうでない場合、管理サービスがEnterprise Manager Framework Security用に構成されていないか、登録パスワードがインストール時に指定されていないと、セキュリティは管理エージェントに対して有効化されません。この場合、管理エージェントに対してEnterprise Manager Framework Securityを後から有効にできます。
管理エージェントに対してEnterprise Manager Framework Securityを有効にするには、管理エージェントのホーム・ディレクトリの次のディレクトリにあるemctl secure agentユーティリティを使用します。
AGENT_HOME/bin (UNIX) AGENT_HOME¥bin (Windows)
emctl secure agentユーティリティでは次の処理が実行されます。
管理エージェントについてEnterprise Manager Framework Securityを有効にするには、次のようにします。
AGENT_HOME/bin (UNIX) AGENT_HOME¥bin (Windows)
$PROMPT> ./emctl stop agent
$PROMPT> ./emctl secure agent (UNIX) $PROMPT> emctl secure agent (Windows)
emctl secure agentユーティリティはエージェント登録パスワードを要求し、そのパスワードを管理サービスに対して認証して、Enterprise Manager Framework Securityを使用するように管理エージェントを再構成します。
例5-4にはemctl secure agentユーティリティの出力例が示されています。
$PROMPT> ./emctl start agent
管理エージェントのホームページの「一般」セクション(図5-2)では、「セキュア・アップロード」フィールドにEnterprise Manager Framework Securityが管理エージェントに対して有効になっているかどうかが示されています。
$PROMPT> ./emctl secure agent Oracle Enterprise Manager 10g Release 5 Grid Control 10.2.0.5.0. Copyright (c) 1996, 2009 Oracle Corporation. All rights reserved. Securing agent... Started Securing agent... Successful.例5-5 emctl secure status agentコマンドの出力例
[oracle@stang14 bin]$ ./emctl status agent -secure Oracle Enterprise Manager 10g Release 5 Grid Control 10.2.0.5.0. Copyright (c) 1996, 2009 Oracle Corporation. All rights reserved. Checking the security status of the Agent at location set in /private/home/oracle/product/102/em/agent10g/sysman/config/emd.properties... Done. Agent is secure at HTTPS Port 3872. Checking the security status of the OMS at http://gridcontrol.oraclecorp.com:4889/em/upload/... Done. OMS is secure on HTTPS Port 4888図5-2 管理エージェントのホームページの「セキュア・アップロード」フィールド
すでにセキュアな管理サービスが稼働しており、同じ管理リポジトリを使用する追加の管理サービスをインストールする場合は、その新しい管理サービスに対してEnterprise Manager Framework Securityを有効にする必要があります。このタスクは、最初の管理サービスを保護する際に使用した、emctl secure omsユーティリティを実行する同じ手順を使用して実行されます。
すでに少なくとも1つのエージェント登録パスワードおよびルート鍵を管理リポジトリで設定しているため、これらを新規の管理サービスについて使用する必要があります。これにより、セキュアな管理エージェントがどの管理サービスに対しても動作できます。複数の管理サービスのインストールの詳細は、「複数の管理サービスの使用」を参照してください。
現在の管理リポジトリに割り当てられている登録パスワードはすべて、Oracle Enterprise Manager 10g Grid Controlコンソールの「登録パスワード」ページに一覧表示されます。
新しい管理リポジトリを使用する新しい管理サービスをインストールする場合、その新規の管理サービスは異なるエンタープライズであると認識されます。新規の管理サービスを、異なる管理リポジトリを使用する別の管理サービスと同じセキュリティ関係に加えることはできません。ある管理サービスのセキュアな管理エージェントは、他の管理サービスに対しては動作できません。
デフォルトでは、Oracle Management ServiceでEnterprise Manager Framework Securityを有効にする場合、HTTPアクセスについてのデフォルト制限はありません。Grid ControlコンソールはHTTP経由でもアクセス可能であり、Oracle Management AgentはHTTPSとHTTP経由でアップロードできます。
ただし、管理サービスのHTTPSチャネルを使用するセキュアな管理エージェント・インストールのみが、管理リポジトリにデータをアップロードでき、Grid ControlコンソールにはHTTPS経由でのみアクセス可能にすることが重要です。
管理エージェントがHTTPS経由でのみ管理サービスにデータをアップロードできるようにアクセスを制限するには、次のようにします。
$PROMPT> cd $ORACLE_HOME/opmn/bin $PROMPT> ./opmnctl stopall
$ORACLE_HOME/bin
$PROMPT> emctl secure lock -upload
$PROMPT> cd $ORACLE_HOME/opmn/bin $PROMPT> ./opmnctl startall
たとえば、次のURLにナビゲートします。
http://hostname.domain:4889/em/upload
次のメッセージと同様のエラー・メッセージが返されます。
Forbidden You don't have permission to access /em/upload on this server
たとえば、次のURLにナビゲートします。
https://hostname.domain:4888/em/upload
次のメッセージが返されますが、これは管理エージェントを保護するためにセキュアなアップロード・ポートが使用可能であることを示すものです。
Http XML File receiver Http Recceiver Servlet active!
管理サービスがセキュアではない管理エージェントからのアップロードを受け取れるようにするには、次のコマンドを使用します。
$PROMPT> emctl secure unlock -upload
$prompt> emctl secure lock Oracle Enterprise Manager 10g Release 5 Grid Control Copyright (c) 1996, 2009 Oracle Corporation. All rights reserved. OMS Console is locked. Access the console over HTTPS ports. Agent Upload is locked. Agents must be secure and upload over HTTPS port.例5-7 emctl secure unlockコマンドの出力例
$prompt> emctl secure unlock Oracle Enterprise Manager 10g Release 5 Grid Control Copyright (c) 1996, 2009 Oracle Corporation. All rights reserved. OMS Console is unlocked. HTTP ports too can be used to access console. Agent Upload is unlocked. Unsecure Agents may upload over HTTP.
Oracle Enterprise Manager 10g Grid ControlコンソールへのHTTPアクセスを制限するには、emctl secure lock -consoleコマンドを使用します。
Enterprise Managerでは、Oracle Management AgentsのインストールがデータをOracle Management Serviceにロードする権限を持つことを検証するために、エージェント登録パスワードを使用します。
エージェント登録パスワードは、Oracle Management Serviceに対してセキュリティが有効な場合、インストール時に作成されます。
Grid Controlコンソールを使用して既存の登録パスワードの管理、または追加の登録パスワードの作成ができます。
Enterprise Managerに「登録パスワード」ページが表示されます(図5-3)。emctl secure omsコマンドの実行時に作成した登録パスワードが「登録パスワード」表に表示されます。
「登録パスワード」ページで管理エージェント登録パスワードを作成または編集するとき、パスワードを永続的にして複数の管理エージェントで使用するのか、1回のみまたは事前定義した期間のみ使用するのかを選択できます。
たとえば、管理者が特定のホストに管理エージェントをインストールすることを要求した場合、管理者が1つの管理エージェントをインストールおよび構成するために使用する、1回のみのパスワードを作成できます。
このケースとは逆に、期限切れになり管理者が新規パスワードを求めることが必要になるまで、次の2週間ずっと管理者が使用できる永続的なパスワードを作成することもできます。
新しいエージェント登録パスワードを追加するには、管理サービスがインストールされているマシン上で次のemctlコマンドを使用します。
$PROMPT> emctl secure setpwd [sysman pwd] [new registration pwd]
emctl secure setpwdコマンドを使用するには、エージェント登録パスワードのリセットを認証するため、Enterprise Managerのスーパー管理者ユーザーであるsysmanのパスワードが必要になります。
エージェント登録パスワードを変更する場合は、新規の管理エージェントのインストール、既存の管理エージェントに対するEnterprise Manager Framework Securityの有効化、または追加の管理サービスのインストールなどを行う必要がある他のEnterprise Manager管理者に、新しいパスワードを伝える必要があります。
他のセキュリティ・パスワードと同様に、定期的かつ頻繁にエージェント登録パスワードを変更し、パスワードが広く知られることのないようにしてください。
サーバー・ロード・バランサ(SLB)の裏で使用可能な管理サービスをデプロイする場合は、その管理サービスが使用可能なDNSホスト名に対して特別の注意が必要です。管理サービスは、myhost.mycompany.comなどの特定のローカル・ホストで稼働している場合もありますが、管理エージェントは、サーバー・ロード・バランサに割り当てられているホスト名を使用して管理サービスにアクセスします。たとえば、oracleoms.mycompany.comです。
このため、管理サービスに対してEnterprise Manager Framework Securityを有効化する場合は、サーバー・ロード・バランサのホスト名が、SSL通信のために管理サービスによって使用される証明書に埋め込まれていることを確認してください。これを行うには、次のコマンドを入力します。
これは、emctl secure omsを使用し、次のように、追加の-hostパラメータを使用してホスト名を指定することにより行うことができます。
emctl secure omsコマンドで-hostパラメータを指定します。 $PROMPT>emctl secure oms -host <hostname>
OMS_Home/Apache/Apache/conf/httpd.confファイル内で、UseCanonicalNameディレクティブをOnに設定します。
$PROMPT>emctl secure oms -host <slb_hostname>
[-slb_console_port <slb UI port>] [-slb_port <slb upload port>] [other params]
https://slbhost:slb_console_port/em
$PROMPT>emctl secure agent -emdWalletSrcUrl <SLB Upload url>
この項ではOracle Management Repositoryのセキュリティを有効にする方法を説明します。この項では次のトピックについて説明します。
管理リポジトリのセキュリティはOracle Advanced Securityを使用して有効にします。Oracle Advanced SecurityはOracleデータベースと双方向に転送されるデータのセキュリティを強化します。
管理リポジトリのデータベースについてOracle Advanced Securityを有効にするには、sqlnet.ora構成ファイルを変更する必要があります。sqlnet.ora構成ファイルは、Oracle Advanced Securityパラメータなどの様々なデータベース接続パラメータを定義するために使用されます。
sqlnet.oraファイルはデータベース・ホームの次のサブディレクトリにあります。
ORACLE_HOME/network/admin
管理リポジトリおよびその管理リポジトリと通信する管理サービスについてセキュリティを有効にした後で、管理エージェント・ホーム・ディレクトリのsqlnet.ora構成ファイルを変更して、管理エージェントに対するOracle Advanced Securityも構成する必要があります。
管理サービスおよび管理リポジトリの両方がOracle Advanced Securityを使用するように構成されていることが重要です。構成されていない場合、管理サービスが管理リポジトリへの接続を試行した際にエラーが発生します。たとえば、管理サービスでは次のエラーが返される場合があります。
ORA-12645: パラメータが存在しません
この問題を解決するには、管理サービスおよび管理リポジトリの両方が次の項で記述されているとおりに構成されるようにしてください。
管理サービス・データベースに対してOracle Advanced Securityを有効にしている場合、または管理リポジトリ・データベースに対してOracle Advanced Securityを有効にする予定の場合は、次の手順を使用して管理サービス対してOracle Advanced Securityを有効にします。
$PROMPT> ORACLE_HOME/bin/emctl stop oms
ORACLE_HOME/sysman/config/emoms.properties
emoms.propertiesファイルに追加します。表内のエントリは、Oracleデータベースに対するネットワーク・データ暗号化の構成時に設定できる有効なパラメータに相当します。
$PROMPT> ORACLE_HOME/bin/emctl start oms
データベースが保護され、暗号化されたデータのみがデータベース・サーバーとその他のソースの間で転送されることを確実にするため、Oracle Database 10gのドキュメント・ライブラリで入手可能なセキュリティに関するドキュメントを参照します。
次の手順は、管理リポジトリ・データベースおよびそのデータベースと管理サービスとの接続に対してOracle Advanced Securityが有効になっていることを確認する方法の例です。
sqlnet.ora構成ファイルを探します。
ORACLE_HOME/network/admin
sqlnet.oraファイル内で次のエントリ(または同様のエントリ)を探します。
SQLNET.ENCRYPTION_SERVER = REQUESTED SQLNET.CRYPTO_SEED = "abcdefg123456789"
管理リポジトリについてOracle Advanced Securityを有効にした後で、管理リポジトリを監視する管理エージェントについてもOracle Advanced Securityを有効にする必要があります。
sqlnet.ora構成ファイルを探します。
AGENT_HOME/network/admin (UNIX) AGENT_HOME¥network¥admin (Windows)
sqlnet.ora構成ファイルに次のエントリを追加します。
SQLNET.CRYPTO_SEED = "abcdefg123456789"
次に対してサード・パーティの証明書を構成できます。
次の2種類の方法で、HTTPSアップロード仮想ホスト用のサード・パーティの証明書を構成できます。
方法1
trusted_certs.txtという名前のファイルに記述します。
trusted_certs.txtファイルをダウンロードまたはコピーします。
emctl secure add_trust_cert -trust_certs_loc
<location of the trusted_certs.txt file>
emctl secure oms -wallet <location of wallet> -trust_certs_loc
<loc of trusted_certs.txt> [any other options]
方法2
trusted_certs.txtという名前のファイルに記述します。
trusted_certs.txtファイルをダウンロードまたはコピーします。
emctl secure oms -wallet <location of wallet> -trust_certs_loc
<loc of trusted_certs.txt> [any other options]
emctl secure agentコマンドを実行してエージェントを再度保護するか、emctl secure add_trust_cert -trust_certs_loc <trusted_certs.txtファイルの格納場所>コマンドを実行してトラスト・ポイントをインポートします。
HTTPS Apache仮想ホスト用のサード・パーティの証明書を構成する手順は次のとおりです。
emctl secure console -wallet <location of wallet>
この項では、実行可能な様々なユーザー管理タスクについて説明します。この章は次の項で構成されています。
Enterprise Manager管理者アカウントを作成および管理できます。管理者アカウントには、それぞれ独自のログイン資格証明や、アカウントに割り当てられた一連のロールおよび権限が含まれています。複数のカテゴリにわたって次の3人の管理者が存在します。
管理者が実行できる管理タスクおよびアクセスできるターゲットは、その管理者に付与されているロール、システム権限およびターゲット権限に依存します。スーパー管理者は他の管理者に対して、特定の管理タスクのみ実行させたり、特定のターゲットにのみアクセスさせたり、特定のターゲットに対する特定の管理タスクを実行させるように選択できます。このようにして、スーパー管理者はワークロードを管理者間に配分できます。管理者の作成、編集または参照を行う手順は、次のとおりです。
Enterprise Managerに、選択したタスクのウィザード・ページが表示されます。管理者の詳細は、ウィザードページから「ヘルプ」をクリックします。
現在Oracle Application Server Single Sign-Onを使用してエンタープライズのアクセスおよび認証を制御している場合、この機能をGrid Controlコンソールにも適用できます。
デフォルトでは、Grid Controlコンソールにナビゲートすると、Enterprise Managerのログイン・ページが表示されます。ただし、Grid Controlコンソールのユーザーを認証するため、Enterprise ManagerでOracle Application Server Single Sign-Onが使用されるように構成できます。Grid Controlコンソール・ユーザーに対して、Enterprise Managerのログイン・ページではなく、標準のOracle Application Server Single Sign-Onログイン・ページが表示されます。管理者は、ログイン・ページからOracle Application Server Single Sign-On資格証明を使用して、Oracle Enterprise Manager 10g Grid Controlコンソールにアクセスできます。
次の項では、Enterprise ManagerをOracleAS Single Sign-Onパートナ・アプリケーションとして構成する方法を説明します。
Grid ControlコンソールをOracle Application Server Single Sign-Onで使用するように構成する手順は、次のとおりです。
次に例を示します。
$PROMPT> setenv ORACLE_HOME /dev01/oracle/em10g_GridControl
$PROMPT> cd $ORACLE_HOME/opmn/bin
$PROMPT> ./opmnctl stopall
$PROMPT> cd $ORACLE_HOME/bin
$PROMPT> ./emctl config oms sso -host ssoHost -port ssoPort -sid ssoSid
-pass ssoPassword -das http://ssohost:port/
次に例を示します。
$PROMPT> ./emctl config oms sso -host sshost1.acme.com -port 1521 -sid asdb -pass Ch22x5xt -das http://ssohost1.acme.com:7777
表5-2にはemctl config oms ssoコマンドラインの引数が示されています。
例5-8はemctl config oms ssoコマンドによって生成される標準的な出力例です。
|
注意:
|
$PROMPT> cd $ORACLE_HOME/opmn/bin $PROMPT> ./opmnctl startall
次に例を示します。
https://mgmthost1.acme.com:7777/em
ブラウザには標準的なSingle Sign-Onログイン・ページが表示されます。
$prompt> ./emctl config oms sso -host <host>.com -port 1521 -sid orcl -pass W5RB9YD3 -das http://<host>.com:7777 oracle Oracle Enterprise Manager 10g Release 5 Grid Control 10.2.0.5.0. Copyright (c) 1996, 2009 Oracle Corporation. All rights reserved. /scratch/smptest/mm9/oms10g/Apache/Apache/conf/httpd.conf has been modified. /scratch/smptest/mm9/oms10g/sysman/config/emoms.properties has been modified. Registering to SSO server, please wait... Parameters passed to SSO registration tool : param0:-oracle_home_path param1:/scratch/smptest/mm9/oms10g param2:-host param3: <host>.com param4:-port param5:1521 param6:-sid param7:orcl param8: -schema param9:orasso param10:-pass param11:**** param12:-site_name param13:stam <host>.com:4889 param14:-success_url param15:http://<host>.com :4889/osso_login_success param16:-logout_url param17:http://<host>.com:4889/osso_logout_success param18:-cancel_url param19:http://stamt03.us.oracle. com:4889/ param20:-home_url param21:http://<host>.com:4889/ param22:- config_mod_osso param23:TRUE param24: param25:oracle param26:-sso_server_versi on param27:v1.2 -DinstallType= -DoldOracleHome= -DoldOHSUser=root Check /scratch/smptest/mm9/oms10g/sso/log/ssoreg.log for details of this registration SSO registration tool finished successfully. Done!
デフォルトでは、httpsポートがSingle Sign-onサーバーに登録されています。httpポートをSingle Sign-onサーバーに登録する場合は、次のように-unsecureパラメータを指定できます。
$prompt>emctl config oms sso -host ssoHost -port ssoPort -sid ssoSid
-pass ssoPassword -das dasURL -unsecure
詳細は次のとおりです。
host ssoHost: 完全修飾ホスト名です。
port ssoPort: SSOデータベースのリスナー・ポートです。
sid ssoSid: SSOデータベースのSIDです。
pass ssoPassword: orassoユーザーのパスワードです。このパラメータはオプションです。
das dasURL: これは、OIDDAS URLのhttp://host:portを意味し、ホストがssoHost、ポートがhttp portであることを意味します。
unsecure: httpポートをSingle Sign-Onサーバーに登録する場合に使用されます。
一部の環境では、資格証明を共有しない、複数の異なる管理者によってSingle Sign-Onサーバーが管理される場合があります。osso.confファイルを使用するか、osso.confファイルの作成に必要な必須パラメータ値を指定できます。
Enterprise Managerをパートナ・アプリケーションとして手動で登録するには、次の手順に従います。
http://sso_host:sso_port/pls/orasso
orcladminユーザーでログインし、「SSO管理」をクリックします。
Name: <EMPartnerName> Home URL: protocol://em_host:em_port Success URL: protocol://em_host:em_port/osso_login_success Logout URL: protocol://em_host:em_port/osso_logout_success Administrator Email: user@host.com
ここでhost、portおよびprotocolは、使用されるEMのホスト、ポートおよびプロトコル(httpまたはhttps)を指します。
osso.txtを生成します。これらのパラメータのサンプル値は次のとおりです。
sso_server_version: v1.2 cipher_key: <EncryptionKeyValue> site_id: <IDValue> site_token: <TokenValue> login_url: protocol://sso_host:sso_port/pls/orasso/
orasso.wwsso_app_admin.lslogin logout_url=protocol://sso_host:sso_port/pls/orasso/
orasso.wwsso_app_admin.ls_logout cancel_url=protocol://em_host:em_port sso_timeout_cookie_name=SSO_ID_TIMEOUT sso_timeout_cookie_key=9E231B3C1A3A808A
osso.confファイルを生成するには、次のコマンドを入力します。
$ORACLE_HOME/Apache/Apache/bin/iasobf osso.txt osso.conf root
osso.confファイルを使用して、次のように登録します。
$emctl config oms sso -ossoconf osso.conf -das http://sso_host:sso_port/
Opmnctl stopall Opmnctl startall
Single Sign-Onログイン・ページを使用するようにEnterprise Managerを構成すると、Single Sign-OnユーザーをEnterprise Manager管理者として登録できます。
次に例を示します。
http://mgmthost1.acme.com:7777/em
ブラウザには標準的なSingle Sign-Onログイン・ページが表示されます。
Single Sign-OnユーザーがEnterprise Manager管理者ではない場合、ブラウザには一部変更されたEnterprise Managerログイン・ページが表示されます(図5-5)。
Enterprise ManagerがSingle Sign-Onを使用するように構成されているため、管理者の作成ウィザードの最初のページでは、登録されているOracle Internet Directoryユーザーに基づいて管理者を作成するオプションが表示されます(図5-6)。
Enterprise Managerには管理者アカウントの設定を示すサマリー・ページが表示されます。
これによってOIDユーザーがEnterprise Manager管理者のリストに含まれました。Grid Controlコンソールをログアウトし、Single Sign-Onログイン・ページでOIDユーザーの資格証明を使用してログインしなおすことによって、アカウントを検証できます。
次のEMCLIコマンドを使用して、Single Sign-Onユーザーを作成できます。
./emcli create_user -name=ssouser -type=EXTERNAL_USER
このコマンドは、Single Sign-Onユーザーに対して認証されるssouserという名前のユーザーを作成します。
例1
emcli create_user -name="new_admin" -password="oracle" -email="first.last@oracle.com;joe.shmoe@shmoeshop.com" -roles="public" -privilege="view_job;923470234ABCDFE23018494753091111" -privilege="view_target;<host>.com:host"
この例では、new_adminという名前のEnterprise Manager管理者が作成されます。この管理者は、ID 923470234ABCDFE23018494753091111のジョブを表示する権限とターゲット<host>.com:hostを表示する権限の2つを持っています。管理者new_adminには、PUBLICロールが付与されています。
例2
emcli create_user -name="User1" -type="EXTERNAL_USER" -input_file="privilege:/home/user1/priv_file" Contents of priv_file are: view_target;<host>.com:host
この例では、外部で作成されたuser1をEnterprise Managerユーザーにします。user1は、<host>.com:hostに対する表示権限を持ちます。
例3
emcli create_user -name="User1" -desc="This is temp hire." -prevent_change_password="true" -profile="MGMT_ADMIN_USER_PROFILE
この例では、user1がEnterprise Managerユーザーとして説明付きで設定されます。prevent_change_passwordがTrueに設定され、user1によってパスワードが変更できなくなり、profileがMGMT_ADMIN_USER_PROFILEに設定されます。
例4
emcli create_user -name="User1" -desc="This is temp hire." -expire="true"
この例では、user1がEnterprise Managerとして説明付きで設定されます。パスワードは即時に期限切れになる設定にされているため、ユーザーの初回ログイン時に、パスワードを変更するように要求されます。
emctl config oms ssoコマンドによってOracle Enterprise Manager 10g Grid ControlコンソールがOracle Application Server Single Sign-Onのパートナ・アプリケーションとして追加されます。パートナ・アプリケーションとは、Oracle Application Server Single Sign-On Serverに認証処理を委譲したアプリケーションを指します。
パートナ・アプリケーションの一覧を参照するには次のURLにナビゲートします。
http://hostname:port/pls/orasso/orasso.home
次に例を示します。
http://ssohost1.acme.com:7777/pls/orasso/orasso.home
Single Sign-Onログイン・ページを使用するようにEnterprise Managerを構成した後、次のURLを入力することで、Single Sign-Onページを迂回して直接Enterprise Managerログイン・ページに移動できます。
http://hostname.domain:port/em/console/logon/logon
次に例を示します。
http://mgmthost1.acme.com:7777/em/console/logon/logon
エンタープライズ・ユーザー・セキュリティを使用すると、LDAP準拠ディレクトリ・サーバーでディレクトリ・オブジェクトとしてOracle9iデータベース情報を作成および保存できます。たとえば、管理者はOracle9iデータベースに対するエンタープライズ・ユーザーおよびロールをディレクトリに作成して保存できます。これによって複数のデータベースにわたるユーザーおよびロールの管理を一元化できます。
現在すべてのOracle9iデータベースについてエンタープライズ・ユーザー・セキュリティを使用している場合、この機能をEnterprise Managerにも適用できます。エンタープライズ・ユーザー・セキュリティを使用するためのEnterprise Managerの構成によって、Oracle Enterprise Manager 10g Grid Controlコンソールで管理しているデータベース・ターゲットへのログイン・プロセスが簡略化されます。
エンタープライズ・ユーザー・セキュリティを使用するためにEnterprise Managerを構成する手順は、次のとおりです。
ORACLE_HOME/sysman/configディレクトリに変更し、テキスト・エディタでemoms.propertiesファイルを開きます。
emoms.propertiesファイルに次のエントリを追加します。
oracle.sysman.emSDK.sec.DirectoryAuthenticationType=EnterpriseUser oracle.sysman.emSDK.sec.eus.Domain=<ClientDomainName>
(For example: mydomain.com) oracle.sysman.emSDK.sec.eus.DASHostUrl=<das_url> (For example: oracle.sysman.emSDK.sec.eus.DASHostUrl=http://my.dashost.com:7777 )
emoms.propertiesファイルを保存して閉じます。
次回、Oracle Enterprise Manager 10g Grid Controlコンソールを使用して管理対象データベースへドリルダウンすると、Enterprise Managerはエンタープライズ・ユーザー・セキュリティを使用してデータベースへの接続を試行します。成功すると、ログイン・ページを表示することなくEnterprise Managerがデータベースに接続されます。エンタープライズ・ユーザー・セキュリティの使用に失敗すると、Enterprise Managerではデータベースの資格証明が求められます。
エンタープライズ・ユーザーを使用するようにEnterprise Managerを構成した後、次の手順に従って、既存のエンタープライズ・ユーザーをEnterprise Managerユーザーとして登録し、そのユーザーがEnterprise Managerを効果的に管理するために必要な権限を付与できます。
これによってOIDユーザーがEnterprise Manager管理者のリストに含まれました。Grid Controlコンソールをログアウトし、Single Sign-Onログイン・ページでOIDユーザーの資格証明を使用してログインしなおすことによって、アカウントを検証できます。
エンタープライズ・ユーザーをEnterprise Managerユーザーとして登録するには、次のコマンドを入力します。
./emcli create_user -name=eususer -type=DB_EXTERNAL_USER
このコマンドは、eususerをEnterprise Managerユーザーとして登録します。このeususerは既存のエンタープライズ・ユーザーです。詳細は、「EMCLIを使用したSingle Sign-Onユーザーの作成」を参照してください。
この項では、次について説明します。
SYSMANユーザーのパスワードを変更するには、次のコマンドを入力します。
emctl config oms -change_repos_pwd [-change_in_db] [-old_pwd <old_pwd>]
[-new_pwd <new_pwd>] [-use_sys_pwd [-sys_pwd <sys_pwd>]]
使用中の環境に含まれるそれぞれの管理サービス上でこのコマンドを実行する必要があります。
MGMT_VIEWユーザーのパスワードを変更するには、次のコマンドを入力します。
emctl config oms -change_view_user_pwd [-sysman_pwd <sysman_pwd>]
[-user_pwd <user_pwd>] [-auto_generate]
| パラメータ | 説明 |
|---|---|
|
|
SYSMANユーザーのパスワード。 |
|
|
MGMT_VIEWユーザーの新しいパスワード。これはオプションのパラメータであり、指定されていない場合、パスワードは自動生成されます。 |
|
|
このオプションが指定されている場合、パスワードは自動生成されます。 |
ユーザーの作成、権限の付与、パッチまたはクローニングのようなリモート・ジョブの起動など、Enterprise Managerユーザーによって実行されるすべての操作は、Sarbanes-Oxley Act of 2002(SAS 70)に準拠していることを確認するために、監査を受ける必要があります。この法令は、サービス組織の契約に基づく内部統制を評価するために監査者が使用する必要のある基準を定義するものです。操作の監査を行うことで、管理者は問題を監視、検出および調査し、エンタープライズ全体にセキュリティ・ポリシーを強制できます。
ユーザーがどのようにEnterprise Managerにログインしたかに関係なく、監査が有効になっている場合は各ユーザー・アクションが監査され、監査の詳細が記録されます。
次のオプションを使用して、Enterprise Manager監査システムを構成できます。
次のemcliコマンドを使用できます。
enable_audit: すべてのユーザー操作に対して監査を有効にします。
disable_audit: すべてのユーザー操作に対して監査を無効にします。
show_audit_actions_list: 監査対象のユーザー操作のリストを表示します。
show_audit_settings: 監査ステータス、操作リスト、外部化サービスの詳細およびパージ期間の詳細を表示します。
Enterprise Managerの監査システムを設定するには、次の操作を実行します。
sysmanユーザーとしてEnterprise Manager管理リポジトリにログインします。監査機能を有効にするには、次のコマンドを入力します。
SQL> exec mgmt_audit_admin.enable_audit; SQL> commit;
監査データは、数年間保護および保管する必要があります。監査データは非常に大量になる可能性があり、システムのパフォーマンスに影響を与える場合があります。リポジトリに保存されるデータの量を制限するために、定期的に監査データを外部化するかアーカイブする必要があります。アーカイブされた監査データは、ODL形式に準拠したXMLファイルで保存されます。監査データを外部化するには、EM_AUDIT_EXTERNALIZATION APIが使用されます。<file-prefix>.NNNNN.xmlというフォーマットのレコード(NNNNは番号)が生成されます。この番号には、00001から99999まで使用されます。
以下のemcliコマンドを使用して、監査データをファイル・システムにエクスポートするよう監査外部化サービスを設定できます。
update_audit_setting -file_prefix=<file_prefix>
-directory_name=<directory_name> -file_size = <file size>
-data_retention_period=<period in days>: ファイル・システムへ監査データをエクスポートする外部化サービスを設定します。
EMCLI動詞の詳細は、『Enterprise Manager Command Line Reference』を参照してください。
指定した期間内に生成された監査データを検索できます。次のような検索も可能です。
監査データを表示するには、「設定」オプションをクリックします。「設定」ページで、「管理サービスとリポジトリ」タブをクリックします。「概要」ページが表示されます。「監査」セクションにある「監査データ」リンクをクリックします。「監査データ」ページが表示されます。
フィールドに検索条件を指定し、「実行」をクリックします。結果が「サマリー」表に表示されます。
検索条件と一致するレコードごとの詳細を表示するには、「表示」ドロップダウン・リストから「詳細」を選択します。レコードの完全な詳細にドリルダウンするには、「タイムスタンプ」をクリックします。「監査レコード」ページが表示されます。
emkeyは、ホストのパスワード、データベースのパスワードなど、Enterprise Manager内の機密性の高いデータを暗号化および複合化するために使用される暗号化キーです。デフォルトでは、emkeyは、$ORACLE_HOME/sysman/config/emkey.oraファイル内に格納されます。このファイルの場所は変更可能です。
起動時に、Oracle Management Serviceは、emkeyのステータスを確認します。emkeyが適切に構成されている場合、暗号化および複合化データが使用されます。emkeyが適切に構成されていない場合、次のエラー・メッセージが表示されます。
$prompt> emctl start oms Oracle Enterprise Manager 10g Release 10.2.0.0.0 Copyright (c) 1996, 2005 Oracle Corporation. All rights reserved. Starting HTTP Server ... Starting Oracle Management Server ... Checking Oracle Management Server Status ... Oracle Management Server is not functioning because of the following reason: The Em Key is not configured properly. Run "emctl status emkey" for more details.
emkeyは、Oracle Management Repositoryのインストール中に生成され、表に格納されるランダムな数値です。Oracle Management Serviceがインストールされると、emkeyが管理リポジトリからemkey.oraファイルにコピーされ、各Oracle Management ServiceのORACLE_HOME/sysman/config/ディレクトリに格納されます。
emkeyに関連するemctlコマンドを次に示します。
emctl status emkey
emctl config emkey -repos
emctl config emkey -emkeyfile
emctl config emkey -emkey
emctl config emkey -remove_from_repos
emctl config emkey -copy_to_repos
これらのコマンドの使用方法を次に示します。
$prompt> emctl status emkey [-sysman_pwd <sysman password>] $prompt> emctl config emkey -repos [-emkeyfile <emkey.ora path>] [-force]
[-sysman_pwd <sysman password>] $prompt> emctl config emkey -emkeyfile <emkey.ora path> [-force]
[-sysman_pwd <sysman password>] $prompt> emctl config emkey -emkey [-emkeyfile <emkey.ora path>] [-force]
[-sysman_pwd <sysman password>] $prompt> emctl config emkey -remove_from_repos [-sysman_pwd <sysman password>] $prompt> emctl config emkey -copy_to_repos [-sysman_pwd <sysman password>]
このコマンドは、emkeyの状態またはステータスを示します。emkeyのステータスに応じて、次のメッセージが表示されます。
emkeyが管理サービスで適切に構成されていないが、管理リポジトリ内に存在する場合、次のメッセージが表示されます。Oracle Enterprise Manager 10g Release 10.2.0.0.0 Copyright (c) 1996, 2005 Oracle Corporation. All rights reserved. The Em Key is configured properly, but is not secure. Secure the Em Key by running "emctl config emkey -remove_from_repos".
emkeyが管理サービスで適切に構成されており、管理リポジトリから削除された場合、次のメッセージが表示されます。Oracle Enterprise Manager 10g Release 10.2.0.0.0 Copyright (c) 1996, 2005 Oracle Corporation. All rights reserved. The Em Key is configured properly.
emkey.oraファイルが破損または消失したが、管理リポジトリ内に存在する場合は、次のメッセージが表示されます。Oracle Enterprise Manager 10g Release 10.2.0.0.0 Copyright (c) 1996, 2005 Oracle Corporation. All rights reserved. The Em Key exists in the Management Repository, but is not configured properly or is corrupted in the file system. Configure the Em Key by running "emctl config emkey -repos".
emkey.oraファイルが破損または消失したが、管理リポジトリ内に存在しない場合は、次のメッセージが表示されます。Oracle Enterprise Manager 10g Release 10.2.0.0.0 Copyright (c) 1996, 2005 Oracle Corporation. All rights reserved. The Em Key is not configured properly or is corrupted in the file system and does not exist in the Management Repository. To correct the problem: 1) Copy the emkey.ora file from another OMS or backup machine to the OH/sysman/
config directory. 2) Configure the emkey.ora file by running "emctl config emkey -emkeyfile
<emkey.ora file location>".
このコマンドは、emkeyを管理リポジトリからemkey.oraファイルにコピーします。
$ emctl config emkey -repos -emkeyfile /tmp/emkey.ora.0 -force Oracle Enterprise Manager 10g Release 10.2.0.0.0 Copyright (c) 1996, 2005 Oracle Corporation. All rights reserved. Please enter repository password: The Em Key has been configured successfully.
この例では、emkeyが管理リポジトリから/tmp/emkey.ora.0ファイルにコピーされます。このコマンドは、emoms.propertiesのoracle.sysman.emkeyfileプロパティがこのファイルを指すように構成します。
このコマンドは、新しいemkey.oraファイルを構成する場合に使用できます。
$ emctl config emkey -emkeyfile /tmp/emkey.ora.1 -force Oracle Enterprise Manager 10g Release 10.2.0.0.0 Copyright (c) 1996, 2005 Oracle Corporation. All rights reserved. Please enter repository password: The Em Key has been configured successfully.
このコマンドは、/tmp/emkey.ora.1ファイルを新しいemkey.oraファイルとして構成します。また、このコマンドは、emoms.propertiesのoracle.sysman.emkeyfileプロパティがこのファイルを指すように構成します。emkey.oraファイルがすでに構成されている場合にのみ、-forceオプションが必要です。
このコマンドは、新しいemkeyを構成する場合に使用されます。
$ emctl config emkey -emkey -emkeyfile /tmp/emkey.ora.2 -force Oracle Enterprise Manager 10g Release 10.2.0.0.0 Copyright (c) 1996, 2005 Oracle Corporation. All rights reserved. Please enter repository password: Please enter the em key: The Em Key has been configured successfully.
このコマンドは、標準の入力として提供されるemkeyを/tmp/emkey.ora.2ファイルに書き込み、構成します。emkey.oraファイルがすでに構成されている場合にのみ、-forceオプションが必要です。-emkeyfileオプションが指定されていない場合、emkeyは、構成済のemkey.oraファイルに上書きされます。
このコマンドは、管理リポジトリからemkeyを削除します。
$ emctl config emkey -remove_from_repos Oracle Enterprise Manager 10g Release 10.2.0.0.0 Copyright (c) 1996, 2005 Oracle Corporation. All rights reserved. Please enter repository password: The Em Key has been removed from the Management Repository. Make a backup copy of OH/sysman/config/emkey.ora file and store it on another machine. WARNING: Encrypted data in Enterprise Manager will become unusable if the emkey.ora file is lost or corrupted.
このコマンドは、emkeyを管理リポジトリにコピーします。
$ emctl config emkey -copy_to_repos Oracle Enterprise Manager 10g Release 10.2.0.0.0 Copyright (c) 1996, 2005 Oracle Corporation. All rights reserved. Please enter repository password: The Em Key has been copied to the Management Repository. This operation will cause the Em Key to become unsecure.
|
注意: このコマンドは、追加のOracle Management Serviceのインストール中に使用されます(5.5.3項を参照)。このコマンドを使用すると、emkeyが管理リポジトリに置かれます。これはセキュアな状態ではないとみなされます。追加のOracle Management Serviceのインストール後にこのコマンドを実行して、保護できます。 emctl config emkey -remove_from_repos |
この項では、emkeyのインストールおよびアップグレードの例について説明します。
管理リポジトリがインストールされると、ランダム数値として新しいemkeyが生成されます。
Oracle Management Serviceをインストールすると、インストーラは、emkeyを管理リポジトリからコピーし、emkey.oraファイルに格納します。
最初のOracle Management Serviceのインストールと同様に、インストーラは、emkeyを管理リポジトリから追加のOracle Management Serviceのemkey.oraファイルにコピーします。
管理リポジトリは通常どおりアップグレードされます。Oracle Management Serviceがアップグレードされると、アップグレード・スクリプトはemkeyを管理リポジトリから各Oracle Management Serviceのemkey.oraファイルにコピーします。
管理リポジトリが再作成されると、新しいemkeyが生成されます。この新しいキーは、Oracle Management Serviceのホーム・ディレクトリ内の既存のemkey.oraと同期化されません。emctl config emkey -repos -forceコマンドを入力して、新しいemkeyをemkey.oraファイルに上書きします。
Enterprise Managerのコンポーネントおよびフレームワークについてセキュリティを有効にした後、考慮が必要なその他のセキュリティ関連事項があります。この項では次のトピックについて説明します。
この項では、セキュアな環境でEnterprise Managerを使用している際の、ブラウザ固有のセキュリティ証明書アラート・ダイアログ・ボックスへの対応方法を説明します。
この項で記述されているセキュリティ・アラート・ダイアログ・ボックスは、Enterprise Manager Framework Securityを有効にしているが、Oracle HTTP Serverを保護するためのより細かい処理を適切に終了していない場合にのみ、表示されます。
この項では次のトピックについて説明します。
管理サービスのセキュリティを有効にしているが、Oracle HTTP Serverのより細かいセキュリティ機能を有効にしていない場合、Internet Explorerで最初にHTTPS URLを使用してGrid Controlコンソールを表示しようとすると、図5-10のような「セキュリティの警告」ダイアログ・ボックスが表示される可能性があります。
Internet Explorerで「セキュリティの警告」ダイアログ・ボックスが表示された場合は、次の手順を使用して証明書をインストールし、以後のEnterprise Managerセッションで再度このダイアログ・ボックスが表示されないようにします。
Internet Explorerには「証明書」ダイアログ・ボックスが表示されます。
証明書が正しくインポートされたことを示すメッセージ・ボックスが表示されます。
これで、このブラウザを使用したEnterprise Managerへの今後の接続で「セキュリティの警告」ダイアログ・ボックスが表示されることはなくなります。
管理サービスのセキュリティを有効にしているが、Oracle HTTP Serverのより細かいセキュリティ機能を有効にしていない場合、Netscape Navigatorで最初にHTTPS URLを使用してGrid Controlコンソールを表示しようとすると、図5-12のような「新しいサイト証明書」ダイアログ・ボックスが表示される可能性があります。
Netscape Navigatorで「新しいサイト証明書」ダイアログ・ボックスが表示された場合は、次の手順を使用して証明書をインストールし、以後のEnterprise Managerセッションで再度このダイアログ・ボックスが表示されないようにします。
これで、現在のブラウザを使用したときに「新しいサイト証明書」ダイアログ・ボックスが表示されることはなくなります。
管理サービスのセキュリティを有効にした後、特定のEnterprise Managerページにアクセスすると図5-13のようなダイアログ・ボックスが表示される可能性があります。
このダイアログ・ボックスが表示されないようにするには、次のようにします。
Internet Explorerには「セキュリティの設定」ダイアログ・ボックスが表示されます。
Oracleビーコンにより、アプリケーションのパフォーマンス可用性およびパフォーマンス監視が提供されます。これらはEnterprise ManagerのApplication Service Level Management機能の一部です。
ビーコンがSecure Sockets Layer(SSL)経由で(HTTPS URLを使用して)URLを監視するために使用されるとき、そのURLのWebサイトによって使用されている認証局を認識するように、ビーコンが構成される必要があります。
ビーコン・ソフトウェアは、セキュアなインターネットWebサイトによって使用されている可能性が高い、最も一般的な認証局を認識するように事前構成されています。ただし、HTTPS経由が可能ながらも、ビーコンが認識できる一般的な認証局によって署名されている証明書を持たないWebサイトもあります。次は、ビーコンによって認識される即時利用可能な証明書です。
このケースでは、たとえばビーコンの「パフォーマンス」ページの「テスト」セクションを使用してセキュアなURLのHTTPレスポンスをテストした場合、次のようなエラーが、「URLテスト」ページにある「レスポンス・メトリック」表の「ステータスの説明」列に表示されます。
javax.net.ssl.SSLException: SSL handshake failed: X509CertChainIncompleteErr--https://mgmtsys.acme.com/OracleMyPage.Home
この問題を解決するには、HTTPSをサポートするそのWebサイトで使用された認証局をビーコンが認識するようにします。その認証局の証明書を、ビーコンで認識される認証局のリストに追加する必要があります。
認証局を認識するためビーコンを構成するには、次のようにします。
ブラウザに「証明書」ダイアログ・ボックスが表示されます。ここにはWebサイトで使用されている証明書が記述されています。他のブラウザでも同様のメカニズムを使用してWebサイトの証明書の詳細が表示されます。
beacon_certificate.cerなどのわかりやすい名前を付けて証明書をテキスト・ファイルに保存します。
証明書ファイルの内容は例5-19に示されている内容と同様になります。
管理エージェントを再起動した後、ビーコンで認識される認証局のリストへの追加がビーコンで検知されるため、セキュアなWebサイトのURLの可用性およびパフォーマンスを監視できるようになります。
-----BEGIN CERTIFICATE----- MIIDBzCCAnCgAwIBAgIQTs4NcImNY3JAs5edi/5RkTANBgkqhkiG9w0BAQQFADCB ... base64 certificate content... -----END CERTIFICATE-----
この項では、Enterprise Managerのセキュリティ機能について説明します。
Oracle Enterprise Manager 10gリリース2では、ORACLE_HOMEについて特別な資格証明を持つORACLE_HOMEの所有者を指定する、ORACLE_HOME資格証明の概念が導入されました。このソフトウェアをインストールするオペレーティング・システムのユーザーは、パッチを実行する必要もあります。Oracle Enterprise Manager 10gリリース2では、ORACLE_HOME資格証明を明示的に設定して、管理リポジトリ内に格納することができます。パッチの適用中には、既存のオペレテーティング・システムの資格証明を使用するか、または特別な状況下ではこれを上書きできます。ユーザーはORACLE_HOME資格証明を指定できます。また、今後の使用のために、同じインタフェースで管理リポジトリ内に格納できます。
Enterprise Managerのコマンドライン・インタフェース(EM CLI)にも、ORACLE_HOME資格証明の設定機能が備わっています。これは、スーパー管理者が資格証明を設定し、パッチ・ジョブを開始するユーザーが実際の資格証明を知らない場合に便利です。セキュリティ保護されたデータ・センターでの監査のために、通常、ソフトウェアの所有者はパッチ・ジョブを開始するユーザーとは別になっています。パッチを適用するアプリケーションによって、内部でユーザー・コンテキストがソフトウェア所有者に切り替わり、ソフトウェアにパッチが適用されます。そのようなケースに対応するため、パッチ管理者はORACLE_HOME資格証明をORACLE_HOMEの所有者に設定します。パッチ・ジョブを実行するGrid Controlのユーザーは、資格証明のことは知りません。パッチ・ジョブは、ORACLE_HOMEの所有者として内部で実行されます。Grid Controlはパッチ・ジョブを監査し、ジョブを開始したGrid Controlユーザーの名前を識別します。たとえば、ORACLE_HOMEの所有者が「X」である場合、Grid Controlのパッチのスーパー管理者は「Y」で、Grid Controlのターゲット管理者は「Z」です。「Y」は、EMCLIパスワードを使用して、ORACLE_HOME資格証明を「X」に設定します。「Z」は、すでに格納された優先資格証明を使用してパッチ・ジョブを発行します。Grid Controlは、ジョブを「Z」により発行されたものとして監査します。
次は、コマンドラインを使用したOracleホーム資格証明の設定例です。
./emcli set_credential -target_type=host -target_name=val1 -credential_set=OHCreds -column="OHUsername:val2;OHPassword:val3" -oracle_homes="val4"
詳細は次のとおりです。
val1 = ホスト名
val2 = Oracleホームのユーザー名
val3 = Oracleホームのパスワード
val4 = Oracleホームの場所
次のコマンドを使用して、同じホスト上の複数のOracleホームについて資格証明を設定することもできます。
./emcli set_credential -target_type=host -target_name=val1 -credential_set=OHCreds -column="OHUsername:val2;OHPassword:val3" -oracle_homes="val4;val5
詳細は次のとおりです。
val1 = ホスト名
val2 = Oracleホームのユーザー名
val3 = Oracleホームのパスワード
val4 = Oracleホームの場所1
val5 = Oracleホームの場所2
emcli set_credentialコマンドは、指定ユーザーに対して優先資格証明を設定します。
表5-3で、emcli set_credentialコマンドの入力値について説明します。
Oracleユーザーがロックされており、このユーザーが使用しているOracleホームにパッチを適用するには、次の操作を実行します。
クローニング・アプリケーションは、ウィザード方式です。クローニングされるOracleホームのソースは、インストールされたOracleホームまたはソフトウェア・ライブラリのいずれかです。クローニング・プロセスの手順は次のとおりです。
クローニングの詳細は、Enterprise Managerオンライン・ヘルプを参照してください。
sudoを使用すると、許可されたユーザーは、sudoersファイルで指定されているスーパーユーザーまたは別のユーザーとしてコマンドを実行できます。ジョブを発行するユーザー(有効なオペレテーティング・システムのユーザー)がsudoを実行できるようにするには、(sudoersファイルを編集して)ポリシーを設定する必要があります。詳細は、UNIX上のsudo(man sudo)に関するマニュアルのページを参照してください。Enterprise Managerは、sudoを使用するユーザーを認証し、sudoとしてスクリプトを実行します。
たとえば、実行されるコマンドがfoo -arg1 -arg2である場合、このコマンドは
sudo -S foo -arg1 -arg2として実行されます。
|
 Copyright © 2003, 2009 Oracle Corporation. All Rights Reserved. |
|