| Oracle Enterprise Manager管理 10gリリース5(10.2.0.5) B56251-01 |
|
 戻る |
 次へ |
この章では、Oracle Enterprise Managerのセキュリティの構成方法を説明します。この章では特に、次の項について説明します。
Oracle Enterprise ManagerにはOracle環境の安全な管理に役立つツールと手順が用意されています。Oracle Enterprise Managerのセキュリティの目的は次のとおりです。
特定の権限を持つユーザーのみが、重要な監視データおよび管理データにアクセスできるようにすること。
この目的のため、ユーザーがEnterprise Managerコンソールにアクセスするためのユーザー名およびパスワードの資格証明、および重要なデータにアクセスするための適切な権限が要求されます。これには、Oracle Enterprise Manager 10g Grid ControlコンソールおよびOracle Enterprise Manager 10g Application Server Controlコンソールへのアクセス権が含まれます。
Enterprise Managerコンポーネント間で転送されるすべてのデータが安全に転送されるようにすること。個々のOracle Management Agentによって収集されるすべてのデータは、その管理エージェントが構成される対象のOracle Management Serviceにのみ転送できるようにすること。
この目的のため、Enterprise Manager Framework Securityを有効にします。Enterprise Manager Framework Securityによって、ネットワーク上にインストールされ構成されているEnterprise Managerコンポーネントのセキュリティ強化処理が自動化されます。
ターゲット・サーバーにアクセスするために使用する資格証明などの機密データが保護されるようにすること。
この目的のため、Enterprise Managerの暗号化がサポートされます。機密データはemkeyを使用して暗号化されます。ベスト・プラクティスに従うことにより、リポジトリ所有者やSYSDBAでさえ機密データにアクセスできなくなります。
Grid Controlの認証は、Enterprise Manager Grid Controlにアクセスするユーザーの妥当性を確認するプロセスです。認証機能は、Enterprise Manager Grid ControlコンソールやEnterprise Managerコマンドライン・インタフェースなどの様々なユーザー・インタフェースで使用可能です。
次の認証スキームがあります。
リポジトリベースの認証: これは、デフォルトの認証オプションです。Enterprise Manager管理者はリポジトリ(データベース)ユーザーでもあります。このオプションを使用することにより、パスワード・プロファイルを介したパスワード制御、複雑なパスワードの強制、パスワード存続期間、許可する試行の失敗回数およびコントロールなど、この認証方法が持つすべての利点を活用できます。パスワードの猶予期間中、管理者はパスワードを変更するよう求められます。ただし、パスワードは期限が切れたら変更する必要があります。
SSOベースの認証: シングル・サインオンベースの認証により、エンタープライズ全体にわたって強化された一元的なユーザー・アイデンティティ管理を実現します。『Oracle Enterprise Managerアドバンスト構成』に示すように、Oracle Application Server Single Sign-Onコントロールを使用するようにEnterprise Managerを構成すると、シングル・サインオン・ユーザーを管理者として登録できます。これにより、シングル・サインオン資格証明を入力してOracle Enterprise Manager Grid Controlコンソールにアクセスできるようになります。
エンタープライズ・ユーザー・セキュリティベースの認証: エンタープライズ・ユーザー・セキュリティ(EUS)オプションを使用すると、LDAP準拠ディレクトリ・サーバーでOracle Databaseのエンタープライズ・ユーザーおよびロールを作成および保存できます。EUSを使用してリポジトリを構成した後、『Oracle Enterprise Managerアドバンスト構成』に示すように、EUSを認証メカニズムとして使用するようEnterprise Managerを構成できます。任意のEUSユーザーをEnterprise Manager管理者として登録できます。
EUSは、複数のデータベース間におけるユーザーとロールの管理を一元化する上で役に立ちます。管理対象データベースがEUSを使用して構成されている場合、これらのデータベースへのログイン・プロセスが容易になります。管理対象データベースにドリルダウンすると、Enterprise Managerはエンタープライズ・ユーザー・セキュリティを使用してデータベースへの接続を試行します。成功すると、ログイン・ページを表示することなくEnterprise Managerが直接データベースに接続されます。
Enterprise Manager管理者アカウントを作成および管理できます。管理者アカウントには、それぞれ独自のログイン資格証明や、アカウントに割り当てられた一連のロールおよび権限が含まれています。複数のカテゴリにわたって次の3人の管理者が存在します。
スーパー管理者: 強力な権限を持つEnterprise Manager管理者であり、Enterprise Managerの環境におけるすべてのターゲットおよび管理者アカウントに対する完全なアクセス権限を持っています。Enterprise Managerがインストールされると、スーパー管理者であるSYSMANがデフォルトで作成されます。スーパー管理者は、他の管理者アカウントを作成できます。
管理者: 一般的なEnterprise Manager管理者です。
リポジトリ所有者: 管理リポジトリ用のデータベース管理者です。このアカウントは、変更、複製または削除できません。
管理者が実行できる管理タスクおよびアクセスできるターゲットは、その管理者に付与されているロール、システム権限およびターゲット権限に依存します。スーパー管理者は他の管理者に対して、特定の管理タスクのみの実行、特定のターゲットのみへのアクセス、または特定のターゲットに対する特定の管理タスクの実行を許可するよう選択できます。このようにして、スーパー管理者はワークロードを管理者間に配分できます。管理者を作成、編集または表示する手順は、次のとおりです。
Grid Controlコンソールのページの上部にある「設定」をクリックします。
「管理者」をクリックします。「管理者」ページが表示されます。
「管理者」ページで適切なタスク・ボタンをクリックします。
Enterprise Managerに、選択したタスクのウィザード・ページが表示されます。管理者の詳細は、ウィザードページから「ヘルプ」をクリックします。
|
注意: ユーザー作成用のインタフェースは、選択した認証スキームによって異なる可能性があります。 |
システムのセキュリティは、エンタープライズの主要な関心事の1つです。すべてのシステムに対して同じレベルのアクセス権をすべての管理者に付与することは危険ですが、グループのすべての新規メンバーに数十、数百、場合によっては数千ものターゲットに対するアクセス権を個別に付与するのは時間のかかる作業です。Enterprise Managerの管理者の権限およびロール機能を使用すると、このタスクを何時間もかけずに数秒で実行できます。認可により、システム、ターゲットおよびオブジェクト・レベルの権限およびロールを介してEnterprise Managerによって管理されるセキュアなリソースへのアクセスを制御します。
この章では、Enterprise Managerの認可モデルについて説明します。これには、ユーザー・クラス、およびユーザー・クラスごとに割り当てられるロールと権限が含まれます。次のトピックについて説明します。
権限およびロール
権限の設定
認可およびアクセスの実行
ユーザー権限は、Enterprise Managerの基本レベルのセキュリティを提供します。ユーザー権限は、データに対するユーザー・アクセスを制御し、ユーザーが実行可能なSQL文の種類を制限するよう設計されています。ユーザーを作成する場合、データベースへの接続、問合せの作成および更新、スキーマ・オブジェクトの作成などの権限をユーザーに付与します。
Enterprise Managerがインストールされると、SYSMANユーザー(スーパー管理者)がデフォルトで作成されます。SYSMANスーパー管理者は、日々の管理作業を実行するために他の管理者アカウントを作成します。SYSMANアカウントを使用するのは、不定期に行うシステム全体のグローバル構成タスクを実行する場合のみにする必要があります。スーパー管理者は、管理者に付与するロール、システム権限およびターゲット権限を介して、ターゲット・アクセスのフィルタリング、または管理タスクへのアクセスのフィルタリング、あるいはその両方によって管理者間でワークロードを分配します。たとえば、スーパー管理者は、一部の管理者には任意のターゲットを表示してエンタープライズに追加する権限を付与する一方、他の管理者にはその管理者自身が担当するターゲットの保持やクローニングなどの特定の操作のみを実行する権限を付与できます。
ロールは、管理者または他のロールに付与できるEnterprise Managerのシステム権限またはターゲット権限、あるいはその両方の集合です。これらのロールは、地理的な場所(カナダのシステムを管理するためのカナダの管理者のロールなど)、業種(人事管理システムや販売管理システムの管理者のロールなど)、または他の任意のモデルに基づいて設定できます。グループのすべての新規メンバーに、数十、数百、場合によっては数千ものターゲットに対するアクセス権を個別に付与するタスクの実行は、管理者が望むものではありません。この場合、管理者はロールを作成することにより、チーム・メンバーに適したすべての権限が含まれるロールの割当てが可能になり、多くの権限を個別に付与する必要がなくなります。管理者は、ターゲット・アクセスのフィルタリング、または管理タスクへのアクセスのフィルタリング、あるいはその両方によって管理者間でワークロードを分配できます。
パブリック・ロール: Enterprise Managerではデフォルトで、パブリックと呼ばれる1つのロールを作成します。このロールは、スーパー管理者以外のすべての新規管理者の作成時に自動的に割り当てられる特別なロールです。デフォルトでは、このロールには権限が割り当てられていません。パブリック・ロールは、スーパー管理者以外の大部分の作成対象の管理者に割り当てる予定のデフォルトの権限定義に使用します。パブリック・ロールに権限を最初に割り当てる必要はありません。権限は後で追加できます。エンタープライズで使用しないロールは削除できます。ロールを削除した場合でも、後で実装を決定した際に再度追加できます。
権限は、Enterprise Manager内で管理アクションを実行する権利です。権限は、3つのカテゴリに分けることができます。
システム権限
ターゲット権限
オブジェクト権限
システム権限: この権限を使用すると、ユーザーはシステム全体にわたる操作を実行できます。この権限のリストを次に示します。
表4-1 システム権限
| システム権限 | 説明 |
|---|---|
|
VIEW ANY TARGET |
管理者は、Oracle Management AgentおよびOracle Management Serviceを含むシステム上の任意のターゲットを表示できます。 |
|
ADD ANY TARGET |
管理者は、監視および管理を目的として任意のターゲットをEnterprise Managerに追加できます。 |
|
USE ANY BEACON |
管理者は、監視対象のホストで任意のビーコンを使用して、トランザクション、URLおよびネットワーク・コンポーネントを監視できます。 |
|
GRANT ANY REPORT VIEWER |
管理者は、Enterprise ManagerレポートのWebサイトまたは「レポート」タブからレポートを表示する機能を通常のEnterprise Manager管理者と管理者以外のユーザーの両方に付与できます。システム権限を持つ管理者は、レポート定義の定義時に「Enterprise Managerにログインせずに表示可能」オプションを使用できます。 |
|
MONITOR ENTERPRISE MANAGER |
管理者は、Enterprise Manager自体の可用性およびパフォーマンスを監視できます。また、管理リポジトリに使用されるデータベース、管理サービスと管理リポジトリ、およびグローバル・エンタープライズ内のすべてのOracle Management Agentの各ターゲットに対するアクセス権を管理者に付与できます。 |
ターゲット権限: 管理者は、この権限を使用してターゲットに対する操作を実行できます。
表4-2 ターゲット権限
| ターゲット権限 | 説明 |
|---|---|
|
VIEW |
管理者は、プロパティおよびインベントリを表示し、ターゲットに関する情報を監視できます。表示権限は、グループやシステムなどの集約ターゲットのすべてのメンバーに伝播されます。 |
|
OPERATOR |
管理者は、ターゲットに対する起動、停止および編集操作を実行できます。 |
|
FULL |
すべてのターゲット権限を暗黙的に付与し、管理者が使用できるようにします。 |
|
BLACKOUT TARGET |
管理者は、ターゲットのブラックアウトを作成、編集、スケジュールおよび停止できます。 |
|
MANAGE TARGET METRICS |
管理者は、メトリックとポリシー設定のしきい値を編集し、監視テンプレートを適用し、ユーザー定義のメトリックを管理できます。 |
|
CONFIGURE TARGET |
管理者は、ターゲット・プロパティを編集し、監視構成を変更できます。 |
|
MANAGE TARGET ALERTS |
管理者は、ステートレス・アラートをクリアし、アラートを手動で再評価し、ターゲットのアラートを確認できます。 |
オブジェクト権限: 管理者は、この権限を使用して特定のスキーマ・オブジェクトに対する特定の操作を実行できます。様々なスキーマ・オブジェクトのタイプに対して様々なオブジェクト権限が用意されています。
この項では次のトピックについて説明します。
Enterprise Manager Framework Securityによって、Enterprise Managerコンポーネント間の安全な通信チャネルが実現します。たとえば、Framework SecurityではOracle Management Serviceとその管理エージェントの間の接続が保護されます。
|
関連項目: Enterprise Managerコンポーネントの概要は『Oracle Enterprise Manager概要』 |
Enterprise Manager Framework Securityは、Oracle HTTP Server用に有効にする必要があるセキュリティ機能と連携して機能しますが、これに置き換わるものではありません。Oracle HTTP Serverは、管理サービスのJ2EE Webアプリケーションをデプロイするために使用されるOracle Application Serverインスタンスの一部です。
|
関連項目: 『Oracle Application Serverセキュリティ・ガイド』 |
図4-2には、Enterprise Manager Framework SecurityによるEnterprise Managerコンポーネント間の接続に対するセキュリティの仕組みが示されています。
Enterprise Manager Framework Securityは、次のようなEnterprise Managerコンポーネント間のセキュアな接続を実装します。
Enterprise Manager Framework Securityを有効にするには、それぞれのEnterprise Managerコンポーネントを特定の順序で構成する必要があります。管理サービスおよび管理サービスにデータをアップロードする管理エージェントを保護するためのプロセスの概要を次に示します。
|
注意: Enterprise Managerコンポーネントは、インストール中に構成されます。次のコマンドを使用して、任意のコンポーネントを再構成できます。 |
opmnctl stopallコマンドを使用して、管理サービス、Oracle HTTP Server、および管理サービスをデプロイするために使用されるOracle Application Serverの他のコンポーネントを停止します。
emctl secure omsを使用して、管理サービスのセキュリティを有効にします。
opmnctl startallコマンドを使用して、管理サービス、Oracle HTTP Server、OracleAS Web Cacheおよびその他のアプリケーション・サーバー・コンポーネントを再起動します。
それぞれの管理エージェントに対して、管理エージェントを停止し、emctl secure agentコマンドを使用して管理エージェントのセキュリティを有効にしてから、管理エージェントを再起動します。
すべての管理エージェントに対してセキュリティを有効にした後、emctl secure lockコマンドを使用して管理サービスへのHTTPアクセスを制限します。これにより、セキュリティが有効化されていない管理エージェントは管理サービスにデータをアップロードできなくなります。
次の項では、この各ステップの実行方法を詳しく説明します。
|
注意: emctl secure操作からのエラーを解決するには、$ORACLE_HOME/sysman/log/secure.logを参照して詳細を確認します。 |
管理サービスに対してEnterprise Manager Framework Securityを有効にするには、管理サービスのホーム・ディレクトリの次のサブディレクトリにあるemctl secure omsユーティリティを使用します。
$ORACLE_HOME/bin
emctl secure omsユーティリティでは次の処理が実行されます。
管理リポジトリ内にルート鍵を生成します。ルート鍵は、管理エージェントに対する一意のデジタル証明書を含むOracle Walletの配布時に使用されます。
Oracle HTTP Server内にある既存のHTTPS構成とは別に、管理サービスと管理エージェントの間のHTTPSチャネルが有効になるようにOracle HTTP Serverを変更します。
Enterprise Manager Framework Securityを使用した管理エージェントからのリクエストを管理サービスが受諾できるようにします。
emctl secure omsユーティリティを実行するには、エージェント登録パスワードを最初に選択する必要があります。エージェント登録パスワードは、Oracle Management AgentおよびOracle Management Serviceの今後のインストール・セッションでデータをEnterprise Managerインストールにロードする権限があることを検証するために使用されます。
Oracle Management ServiceについてEnterprise Manager Framework Securityを有効にするには、次のようにします。
ディレクトリを管理サービスのホームの次のディレクトリに変更します。
ORACLE_HOME/opmn/bin
管理サービス、Oracle HTTP Server、およびその他のアプリケーション・サーバー・コンポーネントを、次のコマンドを使用して停止します。
$PROMPT> ./opmnctl stopall
ディレクトリを管理サービスのホームの次のディレクトリに変更します。
ORACLE_HOME/bin
次のコマンドを入力します。
$PROMPT> ./emctl secure oms
Enterprise Managerのルート・パスワードを入力するよう求められます。SYSMANのパスワードを入力します。
エージェント登録パスワードを指定するよう求められます。このパスワードは、管理サービスを使用して保護しようとする管理エージェントに必要なパスワードです。管理サービスのエージェント登録パスワードを指定します。
操作が完了したら、管理サービス、Oracle HTTP ServerおよびOracleAS Web Cacheを再起動します。
$PROMPT> cd $ORACLE_HOME/opmn/bin $PROMPT> ./opmnctl startall
管理サービスが再起動した後、HTTPSプロトコルを使用して次のセキュアなURLを参照し、管理サービスへの保護された接続をテストします。
https://hostname.domain:https_upload_port/em
次に例を示します。
https://mgmthost1.acme.com:1159/em
管理サービスのセキュリティが有効になっていると、ブラウザにはEnterprise Managerの「ログイン」ページが表示されます。
|
注意: ポート番号1159は、管理サービスにデータをアップロードするために管理エージェントで使用されるデフォルトのセキュアなポートです。デフォルト・ポートが使用できない場合、このポート番号は変わる可能性があります。 |
|
注意: emctl secure omsコマンドによって、セキュアな管理エージェント・アップロード・ポートを使用してGrid Controlコンソールへの迅速なHTTPSブラウザ・アクセスを使用できますが、管理者がGrid Controlコンソールの表示に使用するデフォルトのOracleAS Web Cacheのポートに対するセキュリティは有効になりません。
OracleAS Web Cacheを経由してGrid Controlにアクセスするユーザーに対するセキュリティを有効にするには、『Oracle Application Serverセキュリティ・ガイド』を参照してください。 |
$PROMPT> ./emctl secure oms Oracle Enterprise Manager 10g Release 5 Grid Control Copyright (c) 1996, 2009 Oracle Corporation. All rights reserved. Securing OMS... Started. Securing OMS... Successful
もう1つの方法としてemctl secure omsコマンドをすべて1行で入力することもできますが、コマンドを1行で入力すると、パスワードが入力したとおりに画面上に表示されます。
例4-2 emctl secure omsコマンド(II)の使用方法
$PROMPT> emctl secure oms [-sysman_pwd <sysman password>][-reg_pwd <registration password>][-host <hostname>][-reset][-secure_port <secure_port>][-upload_http_port <upload_http_port>][-slb_port <slb port>][-slb_console_port <slb console port>][-root_dc <root_dc>][-root_country <root_country>][-root_state <root_ state>][-root_loc <root_loc>][-root_org <root_org>][-root_unit <root_unit>] [-root_email <root_email>][-wallet <wallet_loc> -trust_certs_loc <certs_loc>] [-wallet_pwd <pwd>][-key_strength <strength>][-cert_validity <validity>]
次に各パラメータについて説明します。
sysman_pwd: Oracle Management Repositoryのユーザー・パスワードです。
reg_pwd: 管理エージェントの登録パスワードです。
host: Oracle Management Serviceで使用される証明書で使用されるホスト名です。管理サービスの前にSLBがある場合は、SLBホスト名を使用する必要がある場合があります。
reset: Oracle Management Serviceがこのオプションで保護される場合、新しいルート証明書が生成されます。この新しいルート証明書を使用して、すべてのターゲットおよびOracle Management Serviceを保護する必要があります。
secure_port: セキュアな通信のために使用されるポートです。デフォルト値は4888です。
upload_http_port: アップロードの通信に使用されるポートです。
slb_port: このパラメータは、サーバー・ロード・バランサを使用する場合に必要です。これにより、サーバー・ロード・バランサ内で構成されているセキュアなアップロード・ポートが指定されます。
slb_console_port: このパラメータは、サーバー・ロード・バランサを使用する場合に必要です。これにより、サーバー・ロード・バランサ内で構成されているセキュアなアップロード・ポートが指定されます。
trust_certs_loc: trusted_certs.txtの場所です(サード・パーティの証明書を使用する場合に必要)。
root_dc: ルート証明書で使用されるドメイン・コンポーネントです。デフォルト値はcomです。
root_country: ルート証明書で使用される国。デフォルト値はUSです。
root_state: ルート証明書で使用される州です。デフォルト値はCAです。
root_loc: ルート証明書で使用される場所です。デフォルト値は、EnterpriseManager on <hostname>です。
root_org: ルート証明書で使用される組織名です。デフォルト値は、EnterpriseManager on <hostname>です。
root_unit: ルート証明書で使用される組織単位です。デフォルト値は、EnterpriseManager on <hostname>です。
root_email: ルート証明書で使用される電子メール・アドレスです。デフォルト値は、EnterpriseManager@<hostname>です。
wallet: これは、httpsアップロード・ポート内で使用されるウォレットがあるディレクトリです。
wallet_pwd: これはウォレットのパスワードで、ウォレットがSSOウォレットではない場合のみ必要です。
key_strength: 使用される鍵の強度です。有効な値は、512、1024、2048、および4096です。
cert_validity: 自己署名付き証明書の有効日数です。有効な範囲は、1〜3650です。
|
注意: key_strengthおよびcert_validityパラメータは、-walletオプションが使用されない場合にのみ適用可能です。 |
emctl status oms -secureコマンドを入力して、管理サービスについてセキュリティが有効化されているかどうかを確認できます。
例4-3 emctl secure status omsコマンドの出力例
$prompt> emctl status oms -secure Oracle Enterprise Manager 10g Release 5 Grid Control Copyright (c) 1996, 2009 Oracle Corporation. All rights reserved. Checking the security status of the OMS at location set in /OH/oms10g/sysman/config/emoms.properties... Done. OMS is secure on HTTPS Port 1159
ホストに管理エージェントをインストールする際は、管理エージェントによって使用される管理サービスを指定する必要があります。指定した管理サービスがEnterprise Manager Framework Securityを利用するように構成されている場合は、エージェント登録パスワードが求められ、インストール時に管理エージェントに対してEnterprise Manager Framework Securityが有効になります。
そうでない場合、管理サービスがEnterprise Manager Framework Security用に構成されていないか、登録パスワードがインストール時に指定されていないと、セキュリティは管理エージェントに対して有効化されません。この場合、管理エージェントに対してEnterprise Manager Framework Securityを後で有効にできます。
管理エージェントに対してEnterprise Manager Framework Securityを有効にするには、管理エージェントのホーム・ディレクトリの次のディレクトリにあるemctl secure agentユーティリティを使用します。
AGENT_HOME/bin (UNIX) AGENT_HOME\bin (Windows)
emctl secure agentユーティリティでは次の処理が実行されます。
管理エージェントに対する一意のデジタル証明書を含むOracle Walletを管理サービスから取得します。この証明書は、管理エージェントがセキュアな管理サービスとSSL通信を行うために必要です。
管理サービスで登録されている管理エージェントのエージェント・キーを取得します。
ネットワーク上でHTTPS経由で使用可能となるように管理エージェントを構成し、それによって管理サービスとのすべての通信で管理サービスのHTTPSアップロードURLを使用するように構成します。
管理エージェントについてEnterprise Manager Framework Securityを有効にするには、次のようにします。
管理サービスと管理リポジトリを稼働状態にします。
ディレクトリを次のディレクトリに変更します。
AGENT_HOME/bin (UNIX) AGENT_HOME\bin (Windows)
管理エージェントを停止します。
$PROMPT> ./emctl stop agent
次のコマンドを入力します。
$PROMPT> ./emctl secure agent (UNIX) $PROMPT> emctl secure agent (Windows)
emctl secure agentユーティリティはエージェント登録パスワードを要求し、そのパスワードを管理サービスに対して認証して、Enterprise Manager Framework Securityを使用するように管理エージェントを再構成します。
|
注意: もう1つの方法としてコマンドをすべて1行で入力することもできますが、コマンドを1行で入力すると、パスワードが入力したとおりに画面上に表示されます。$PROMPT> ./emctl secure agent agent_registration_pwd (UNIX) $PROMPT> emctl secure agent agent_registration_pwd (Windows) |
例4-4にはemctl secure agentユーティリティの出力例が示されています。
管理エージェントを再起動します。
$PROMPT> ./emctl start agent
管理エージェントのホームページをチェックして、管理エージェントが保護されていることを確認します。
|
注意: また、emctl status agent -secureコマンドを実行するか、emctl status agentコマンドの出力に含まれるエージェントおよびリポジトリのURLをチェックすることによっても、管理エージェントが保護されているかどうかを確認できます。 |
管理エージェントのホームページの「一般」セクション(図4-3)では、「セキュア・アップロード」フィールドにEnterprise Manager Framework Securityが管理エージェントで有効になっているかどうかが示されています。
|
関連項目: Enterprise Managerのオンライン・ヘルプのOracle Management Agentのステータス確認に関する項 |
例4-4 emctl secure agentユーティリティの出力例
$PROMPT> ./emctl secure agent Oracle Enterprise Manager 10g Release 5 Grid Control 10.2.0.5.0. Copyright (c) 1996, 2009 Oracle Corporation. All rights reserved. Securing agent... Started Securing agent... Successful.
例4-5 emctl secure status agentコマンドの出力例
[oracle@stang14 bin]$ ./emctl status agent -secure Oracle Enterprise Manager 10g Release 5 Grid Control 10.2.0.5.0. Copyright (c) 1996, 2009 Oracle Corporation. All rights reserved. Checking the security status of the Agent at location set in /private/home/oracle/product/102/em/agent10g/sysman/config/emd.properties... Done. Agent is secure at HTTPS Port 3872. Checking the security status of the OMS at http://gridcontrol.oraclecorp.com:4889/em/upload/... Done. OMS is secure on HTTPS Port 4888
すでにセキュアな管理サービスが稼働しており、同じ管理リポジトリを使用する追加の管理サービスをインストールする場合は、その新しい管理サービスに対してEnterprise Manager Framework Securityを有効にする必要があります。このタスクは、最初の管理サービスを保護する際に使用した、emctl secure omsユーティリティを実行する同じ手順を使用して実行されます。
すでに少なくとも1つのエージェント登録パスワードおよびルート鍵を管理リポジトリで設定しているため、これらを新規の管理サービスについて使用する必要があります。これにより、セキュアな管理エージェントがどの管理サービスに対しても動作できます。
現在の管理リポジトリに割り当てられている登録パスワードはすべて、Oracle Enterprise Manager 10g Grid Controlコンソールの「登録パスワード」ページに一覧表示されます。
新しい管理リポジトリを使用する新しい管理サービスをインストールする場合、その新規の管理サービスは異なるエンタープライズであると認識されます。新規の管理サービスを、異なる管理リポジトリを使用する別の管理サービスと同じセキュリティ関係に加えることはできません。ある管理サービスのセキュアな管理エージェントは、他の管理サービスに対しては動作できません。
デフォルトでは、Oracle Management ServiceでEnterprise Manager Framework Securityを有効にする場合、HTTPアクセスについてのデフォルト制限はありません。Grid ControlコンソールはHTTP経由でもアクセス可能であり、Oracle Management AgentはHTTPSとHTTP経由でアップロードできます。
ただし、管理サービスのHTTPSチャネルを使用するセキュアな管理エージェント・インストールのみが、管理リポジトリにデータをアップロードでき、Grid ControlコンソールにはHTTPS経由でのみアクセス可能にすることが重要です。
管理エージェントがHTTPS経由でのみ管理サービスにデータをアップロードできるようにアクセスを制限するには、次のようにします。
管理サービス、Oracle HTTP Server、およびその他のアプリケーション・サーバー・コンポーネントを停止します。
$PROMPT> cd $ORACLE_HOME/opmn/bin $PROMPT> ./opmnctl stopall
ディレクトリを管理サービスのホームの次の場所に変更します。
$ORACLE_HOME/bin
次のコマンドを入力して、管理エージェントがHTTP経由で管理サービスにデータをアップロードできないようにします。
$PROMPT> emctl secure lock -upload
|
注意:
|
管理サービス、Oracle HTTP Server、およびその他のアプリケーション・サーバー・コンポーネントを再起動します。
$PROMPT> cd $ORACLE_HOME/opmn/bin $PROMPT> ./opmnctl startall
HTTPプロトコルを使用して管理エージェントのアップロードURLにアクセスできないことを検証します。
たとえば、次のURLにナビゲートします。
http://hostname.domain:4889/em/upload
次のメッセージと同様のエラー・メッセージが返されます。
ForbiddenYou don't have permission to access /em/upload on this server
HTTPSプロトコルを使用して管理エージェントのアップロードURLにアクセスできることを検証します。
たとえば、次のURLにナビゲートします。
https://hostname.domain:4888/em/upload
次のメッセージが返されますが、これは管理エージェントを保護するためにセキュアなアップロード・ポートが使用可能であることを示すものです。
Http XML File receiverHttp Recceiver Servlet active!
管理サービスがセキュアではない管理エージェントからのアップロードを受け取れるようにするには、次のコマンドを使用します。
$PROMPT> emctl secure unlock -upload
|
注意:
|
例4-6 emctl secure lockコマンドの出力例
$prompt> emctl secure lock Oracle Enterprise Manager 10g Release 5 Grid Control Copyright (c) 1996, 2009 Oracle Corporation. All rights reserved. OMS Console is locked. Access the console over HTTPS ports. Agent Upload is locked. Agents must be secure and upload over HTTPS port.
例4-7 emctl secure unlockコマンドの出力例
$prompt> emctl secure unlock Oracle Enterprise Manager 10g Release 5 Grid Control Copyright (c) 1996, 2009 Oracle Corporation. All rights reserved. OMS Console is unlocked. HTTP ports too can be used to access console. Agent Upload is unlocked. Unsecure Agents may upload over HTTP.
Oracle Enterprise Manager 10g Grid ControlコンソールへのHTTPアクセスを制限するには、emctl secure lock -consoleコマンドを使用します。
Enterprise Managerでは、Oracle Management AgentのインストールがデータをOracle Management Serviceにロードする権限を持つことを検証するために、エージェント登録パスワードを使用します。
エージェント登録パスワードは、Oracle Management Serviceに対してセキュリティが有効な場合、インストール時に作成されます。
|
注意: 新しいエージェントがインストールされないようにするには、登録パスワードをすべて削除します。 |
Grid Controlコンソールを使用して既存の登録パスワードの管理、または追加の登録パスワードの作成ができます。
Grid Controlコンソールのページの上部にある「設定」をクリックします。
「登録パスワード」をクリックします。
Enterprise Managerに「登録パスワード」ページが表示されます(図4-4)。emctl secure omsコマンドの実行時に作成した登録パスワードが「登録パスワード」表に表示されます。
「登録パスワード」ページを使用して登録パスワードの変更、追加の登録パスワードの作成、または現在の管理リポジトリに関連付けられている登録パスワードの削除を行います。
「登録パスワード」ページで管理エージェント登録パスワードを作成または編集するとき、パスワードを永続的にして複数の管理エージェントで使用するのか、1回のみまたは事前定義した期間のみ使用するのかを選択できます。
たとえば、管理者が特定のホストに管理エージェントをインストールすることを要求した場合、管理者が1つの管理エージェントをインストールおよび構成するために使用する、1回のみのパスワードを作成できます。
このケースとは逆に、期限切れになり管理者が新規パスワードを求めることが必要になるまで、次の2週間ずっと管理者が使用できる永続的なパスワードを作成することもできます。
新しいエージェント登録パスワードを追加するには、管理サービスがインストールされているマシン上で次のemctlコマンドを使用します。
$PROMPT> emctl secure setpwd [sysman pwd] [new registration pwd]
emctl secure setpwdコマンドを使用するには、エージェント登録パスワードのリセットを認証するため、Enterprise Managerのスーパー管理者ユーザーであるsysmanのパスワードが必要になります。
エージェント登録パスワードを変更する場合は、新規の管理エージェントのインストール、既存の管理エージェントに対するEnterprise Manager Framework Securityの有効化、または追加の管理サービスのインストールなどを行う必要がある他のEnterprise Manager管理者に、新しいパスワードを伝える必要があります。
他のセキュリティ・パスワードと同様に、定期的かつ頻繁にエージェント登録パスワードを変更し、パスワードが広く知られることのないようにしてください。
サーバー・ロード・バランサ(SLB)の裏で使用可能な管理サービスをデプロイする場合は、その管理サービスが使用可能なDNSホスト名に対して特別の注意が必要です。管理サービスは、myhost.mycompany.comなどの特定のローカル・ホストで稼働している場合もありますが、管理エージェントは、サーバー・ロード・バランサに割り当てられているホスト名を使用して管理サービスにアクセスします。たとえば、oracleoms.mycompany.comです。
このため、管理サービスに対してEnterprise Manager Framework Securityを有効化する場合は、サーバー・ロード・バランサのホスト名が、SSL通信のために管理サービスによって使用される証明書に埋め込まれていることを確認してください。これを行うには、次のコマンドを入力します。
これは、emctl secure omsを使用し、次のように、追加の-hostパラメータを使用してホスト名を指定することにより行うことができます。
次のように、emctl secure omsコマンドで-hostパラメータを指定します。
$PROMPT>emctl secure oms -host <hostname>
OMS_Home/Apache/Apache/conf/httpd.confファイル内で、UseCanonicalNameディレクティブをOnに設定します。
次のコマンドを入力して管理サービス上でセキュリティを有効化します。
$PROMPT>emctl secure oms -host <slb_hostname> [-slb_console_port <slb UI port>] [-slb_port <slb upload port>] [other params]
サーバー・ロード・バランサ上に仮想サーバーとプールを作成します。
次のURLを使用してコンソールにアクセスできることを検証します。
https://slbhost:slb_console_port/em
次のコマンドを使用して、サーバー・ロード・バランサでエージェントを再度保護します。
$PROMPT>emctl secure agent -emdWalletSrcUrl <SLB Upload url>
この項ではOracle Management Repositoryのセキュリティを有効にする方法を説明します。この項では次のトピックについて説明します。
管理リポジトリのセキュリティはOracle Advanced Securityを使用して有効にします。Oracle Advanced SecurityはOracleデータベースと双方向に転送されるデータのセキュリティを強化します。
|
関連項目: 『Oracle Database Advanced Security管理者ガイド』 |
管理リポジトリのデータベースについてOracle Advanced Securityを有効にするには、sqlnet.ora構成ファイルを変更する必要があります。sqlnet.ora構成ファイルは、Oracle Advanced Securityパラメータなどの様々なデータベース接続パラメータを定義するために使用されます。
sqlnet.oraファイルはデータベース・ホームの次のサブディレクトリにあります。
ORACLE_HOME/network/admin
管理リポジトリおよびその管理リポジトリと通信する管理サービスについてセキュリティを有効にした後で、管理エージェント・ホーム・ディレクトリのsqlnet.ora構成ファイルを変更して、管理エージェントに対するOracle Advanced Securityも構成する必要があります。
管理サービスおよび管理リポジトリの両方がOracle Advanced Securityを使用するように構成されていることが重要です。構成されていない場合、管理サービスが管理リポジトリへの接続を試行した際にエラーが発生します。たとえば、管理サービスでは次のエラーが返される場合があります。
ORA-12645: Parameter does not exist
この問題を解決するには、管理サービスおよび管理リポジトリの両方が次の項で記述されているとおりに構成されるようにしてください。
管理サービス・データベースに対してOracle Advanced Securityを有効にしている場合、または管理リポジトリ・データベースに対してOracle Advanced Securityを有効にする予定の場合は、次の手順を実行し、管理サービスに対してOracle Advanced Securityを有効にします。
管理サービスを停止します。
$PROMPT> ORACLE_HOME/bin/emctl stop oms
管理サービスのホーム・ディレクトリで次の構成ファイルを探します。
ORACLE_HOME/sysman/config/emoms.properties
テキスト・エディタを使用して、表4-4に記述されているエントリをemoms.propertiesファイルに追加します。
表内のエントリは、Oracleデータベースに対するネットワーク・データ暗号化の構成時に設定できる有効なパラメータに相当します。
|
関連項目: 『Oracle Application Server管理者ガイド』のOracleサーバーおよびクライアントに対するネットワーク・データ暗号化および整合性の構成に関する項 |
変更を保存してテキスト・エディタを終了します。
管理サービスを再起動します。
$PROMPT> ORACLE_HOME/bin/emctl start oms
表4-4 Enterprise Managerプロパティ・ファイル内のOracle Advanced Securityプロパティ
| プロパティ | 説明 |
|---|---|
|
Enterprise Managerが管理サービスと管理リポジトリの間で暗号化を使用するかどうかを定義します。可能な値はTRUEおよびFALSEです。デフォルト値はFALSEです。次に例を示します。
|
|
|
管理サービスの暗号化要件を定義します。可能な値は、REJECTED、ACCEPTED、REQUESTEDおよびREQUIREDです。デフォルト値はREQUESTEDです。つまり、データベースでセキュアな接続がサポートされている場合は管理サービスでセキュアな接続が使用され、サポートされていない場合はセキュアではない接続が使用されます。 次に例を示します。
|
|
|
クライアントでサポートされている別の種類の暗号化アルゴリズムを定義します。可能な値は丸カッコで囲まれています。デフォルト値は 次に例を示します。
|
|
|
クライアントのチェックサム要件を定義します。 可能な値は、REJECTED、ACCEPTED、REQUESTEDおよびREQUIREDです。 デフォルト値はREQUESTEDです。つまり、サーバーでチェックサム対応接続がサポートされている場合は管理サービスでその接続が使用され、サポートされていない場合は通常接続が使用されます。 次に例を示します。
|
|
|
クライアントでサポートされている別の種類のチェックサム・アルゴリズムを定義します。 可能な値は丸カッコで囲まれています。デフォルト値は( MD5 )です。 次に例を示します。
|
データベースが保護され、暗号化されたデータのみがデータベース・サーバーとその他のソースの間で転送されることを確実にするため、Oracle Database 10gのドキュメント・ライブラリで入手可能なセキュリティに関するドキュメントを参照します。
|
関連項目: 『Oracle Database Advanced Security管理者ガイド』 |
次の手順は、管理リポジトリ・データベースおよびそのデータベースと管理サービスとの接続に対してOracle Advanced Securityが有効になっていることを確認する方法の例です。
データベースのOracleホームの次のディレクトリにあるsqlnet.ora構成ファイルを探します。
ORACLE_HOME/network/admin
テキスト・エディタを使用して、sqlnet.oraファイル内で次のエントリ(または同様のエントリ)を探します。
SQLNET.ENCRYPTION_SERVER = REQUESTED SQLNET.CRYPTO_SEED = "abcdefg123456789"
|
関連項目: 『Oracle Application Server管理者ガイド』のOracleサーバーおよびクライアントに対するネットワーク・データ暗号化および整合性の構成に関する項 |
変更を保存してテキスト・エディタを終了します。
管理リポジトリについてOracle Advanced Securityを有効にした後で、管理リポジトリを監視する管理エージェントについてもOracle Advanced Securityを有効にする必要があります。
管理リポジトリを監視している管理エージェントのホーム・ディレクトリの、次のディレクトリにあるsqlnet.ora構成ファイルを探します。
AGENT_HOME/network/admin (UNIX) AGENT_HOME\network\admin (Windows)
テキスト・エディタを使用して、sqlnet.ora構成ファイルに次のエントリを追加します。
SQLNET.CRYPTO_SEED = "abcdefg123456789"
|
関連項目: 『Oracle Application Server管理者ガイド』のOracleサーバーおよびクライアントに対するネットワーク・データ暗号化および整合性の構成に関する項 |
変更を保存してテキスト・エディタを終了します。
管理エージェントを再起動します。
次に対してサード・パーティの証明書を構成できます。
次の2種類の方法で、HTTPSアップロード仮想ホスト用のサード・パーティの証明書を構成できます。
方法1
グリッド内のOMSごとにウォレットを作成します。
ウォレットを作成する際に、OMSがインストールされているマシンのホスト名、またはロード・バランサ名(OMSがロード・バランサ内にある場合)を共通名に指定します。
証明連鎖に含まれるすべての認証局(ルート認証局、中間認証局など)の証明書をtrusted_certs.txtという名前のファイルに記述します。
OMSと通信する各エージェントを実行中のホスト・マシンにtrusted_certs.txtファイルをダウンロードまたはコピーします。
エージェントごとに次のコマンドを実行して、エージェントを再起動します。
emctl secure add_trust_cert -trust_certs_loc <location of the trusted_certs.txt file>
OMSごとに次のコマンドを実行します。
emctl secure oms -wallet <location of wallet> -trust_certs_loc <loc of trusted_certs.txt> [any other options]
|
注意: ウォレットがシングル・サインオン・ウォレットでない場合、パスワードが要求されます。 |
方法2
グリッド内のOMSごとにウォレットを作成します。
OMSがインストールされているマシンのホスト名、またはロード・バランサ名(OMSがロード・バランサ内にある場合)を共通名に指定します。
証明連鎖に含まれるすべての認証局(ルート認証局、中間認証局など)の証明書をtrusted_certs.txtという名前のファイルに記述します。
OMSと通信する各エージェントを実行中のホスト・マシンにtrusted_certs.txtファイルをダウンロードまたはコピーします。
OMSごとに次のコマンドを実行します。
emctl secure oms -wallet <location of wallet> -trust_certs_loc <loc of trusted_certs.txt> [any other options]
|
注意: ウォレットがシングル・サインオン・ウォレットでない場合、パスワードが要求されます。 |
emctl secure agentコマンドを実行してエージェントを再度保護するか、emctl secure add_trust_cert -trust_certs_loc <trusted_certs.txtファイルの格納場所>コマンドを実行してトラスト・ポイントをインポートします。
HTTPS Apache仮想ホスト用のサード・パーティの証明書を構成する手順は、次のとおりです。
グリッド内のOMSごとにウォレットを作成します。OMSがインストールされているマシンのホスト名、またはロード・バランサ名(OMSがロード・バランサ内にある場合)を共通名に指定します。
OMSごとに次のコマンドを実行します。
emctl secure console -wallet <location of wallet>
|
注意: ウォレットがシングル・サインオン・ウォレットでない場合、ウォレットのパスワードが要求されます。 |
|
注意: emctl secure agentコマンドを使用してApplication Server Controlコンソールを保護する前に、Application Server Controlコンソールを停止するようにしてください。 |
Application Server Controlのセキュリティを構成するには、次の手順を使用します。
IAS_HOME/binディレクトリで次のコマンドを入力してApplication Server Controlコンソールを停止します。
$PROMPT> ./emctl stop iasconsole
ORACLE_HOME/binディレクトリで次のコマンドを入力します。
$PROMPT> ./emctl secure em
Enterprise Managerにより、Application Server Controlコンソールが保護されます。emctl secure emコマンドの出力例は、例4-8を参照してください。
IAS_HOME/binディレクトリで次のコマンドを入力してApplication Server Controlコンソールを起動します。
$PROMPT> ./emctl start iasconsole
Webブラウザに次のURLを入力してApplication Server Controlコンソールのセキュリティをテストします。
https://hostname:port/
次に例を示します。
https://mgmthost1:1812/
$PROMPT> ./emctl secure em Oracle Enterprise Manager 9.0.4 Copyright (c) 2002, 2003 Oracle Corporation. All rights reserved. Generating Standalone Console Root Key (this takes a minute)... Done. Fetching Standalone Console Root Certificate... Done. Generating Standalone Console Agent Key... Done. Generating Oracle Wallet for the Standalone Console Agent... Done. Configuring Agent for HTTPS... Done. EMD_URL set in /dsk01/oracle/appserver1/sysman/config/emd.properties Generating Standalone Console Java Keystore... Done. $PROMPT>
この項では、Oracle Enterprise Manager 10g Grid Controlのセキュリティのアーキテクチャおよび構成について説明します。
Enterprise Managerへのすべての接続に対してSecure Socket Layer(SSL)プロトコルおよびHTTPSを使用し、有効なデジタル・セキュリティ証明書を使用することをお薦めします。
Database Controlのセキュリティを構成する手順は、次のとおりです。
ORACLE_HOME/binディレクトリ(UNIX)またはORACLE_HOME\bin(Windows)で次のコマンドを入力してDatabase Controlを停止します。
$PROMPT> ./emctl stop dbconsole (UNIX) $PROMPT> emctl stop dbconsole (Windows)
ディレクトリをORACLE_HOME/binディレクトリまたはORACLE_HOME\bin(Windows)に変更し、次のemctlコマンドを入力します。
$PROMPT> ./emctl secure dbconsole (UNIX) $PROMPT> emctl secure dbconsole (Windows)
Enterprise Managerでは、Enterprise Managerのルート・パスワードを入力するよう求められます。
SYSMANデータベース・ユーザーのパスワードを入力します。
Enterprise Managerでは、エージェント登録パスワードを指定するよう求められます。このパスワードは、管理サービスへの接続を試行するすべての管理エージェントについて必要な新しいパスワードです。
管理サービスのエージェント登録パスワードを指定します。
Enterprise Managerでは、管理サービスのホスト名を確認するよう求められます。
管理サービスが存在するホストの名前を入力します。
emctl secureユーティリティでは、Framework Securityを有効にするようにManagement Serviceが再構成されます。管理サービスが稼働中の場合は、Enterprise Managerによって管理サービスが再起動されます。
操作が終了すると、Enterprise Managerのコンポーネント間の通信が保護されます。
また、HTTPSプロトコルを使用してGrid Controlコンソールにアクセスできるようになります。
ORACLE_HOME/binディレクトリ(UNIX)またはORACLE_HOME\bin(Windows)で次のコマンドを入力してDatabase Controlを起動します。
$PROMPT> ./emctl start dbconsole (UNIX) $PROMPT> emctl start dbconsole (Windows)
Webブラウザに次のURLを入力してDatabase Controlのセキュリティをテストします。
https://hostname:port/em
次に例を示します。
https://dbhost1:1820/em
|
注意: もう1つの方法としてemctl secure dbconsoleコマンドをすべて1行で入力することもできますが、コマンドを1行で入力すると、パスワードが入力したとおりに画面上に表示されます。
$PROMPT> emctl secure dbconsole sysman_pwd agent_reg_pwd |
この項では、次のトピックについて説明します。
資格証明サブシステム
sudoおよびPowerbrokerのサポート
PAMのサポート
資格証明は、データベース・アプリケーション・サーバーおよびホストなどのターゲットにアクセスする際に必要です。適切な資格証明を使用することにより、次が可能になります。
バックグラウンドおよびリアルタイムでのメトリックの収集
バックアップ、パッチ適用およびクローニングなどのジョブの実行
起動および停止などのリアルタイムのターゲット管理の実行
My Oracle Supportへの接続
次のタイプの資格証明を使用できます。
監視資格証明: 管理エージェント内で暗号化されており、特定のタイプのターゲットを監視するために使用します。
優先資格証明: ターゲットのログイン資格証明を管理リポジトリに格納し、管理対象ターゲットへのアクセスを簡略化します。ユーザーは、優先資格証明セットを使用して、これらの資格証明を認識するEnterprise Managerターゲットにログインを要求されることなくアクセスできます。優先資格証明はユーザー単位で設定されるため、管理対象のエンタープライズ環境のセキュリティを確保できます。
ジョブ資格証明: ジョブ・システムによって使用され、優先資格証明を上書きします。選択したターゲットでジョブを実行するために使用する資格証明のタイプを選択できます。
ユーザー定義メトリック収集資格証明: ユーザー定義メトリック収集に関連付けられます。
権限委任により、別のユーザーの権限を使用したアクティビティの実行をログイン・ユーザーに許可します。sudoおよびPowerbrokerは、ログイン・ユーザーにこれらの権限を割当てできる権限委任ツールです。通常、特定のユーザーに付与される権限は、集中管理されます。たとえば、sudoコマンドを使用すると、root権限でのアクセスが必要なスクリプトを実行できます。
sudo root root.sh
前述の例のsudoの起動では、管理者は、システム管理者によって適切な権限が付与されている場合、sudoコマンドを使用してスクリプトをrootとして実行できます。Enterprise Managerの優先資格証明を使用すると、sudoとPowerbrokerという2つのタイプの権限委任ツールを使用できます。EMCLIまたは「権限委任設定の管理」ページを使用すると、ホストの権限委任設定を設定または編集できます。コマンドラインの使用方法の詳細は、『Oracle Enterprise Managerコマンドライン・インタフェース』を参照してください。
sudo: sudoを使用すると、許可されたユーザーは、sudoersファイルで指定されているスーパーユーザーまたは別のユーザーとしてコマンドを実行できます。コマンド起動元のユーザーがrootである、またはターゲット・ユーザーがコマンド起動元のユーザーと同じ場合は、パスワードが不要です。そうでない場合は、ユーザーはデフォルトではパスワードを使用して自分自身の認証を実行する必要があります(注意: デフォルト構成の場合、これは該当ユーザーのパスワードであり、rootのパスワードではありません)。ユーザーが認証されると、タイムスタンプが更新され、該当ユーザーはパスワードなしで短期間(sudoers内で上書きされないかぎり5分間)sudoを使用できます。ユーザーに権限が付与されているかどうかは、/etc/sudoersファイルをチェックして判断されます。
PowerBroker: Symark PowerBrokerの場合、UNIXのシステム管理者は、root(または他の重要なアカウント)として特定のプログラムを他のユーザーが実行できる環境を指定できます。そのため、ユーザー・アカウントの追加やライン・プリンタ・キューの固定といったアクションの担当を、rootのパスワードを公開することなく、適切な要員に安全に割り当てることができます。その結果、rootの権限全体を、データベースやファイルの権限の変更、ディスクの消去、またはより捉えにくい破損といった誤用や乱用から保護できます。Symark PowerBrokerは、一般的なシステム管理タスクを実行する既存のプログラムや、その独自のユーティリティ・セットにアクセスできます。Symark PowerBroker上で動作するように開発されているユーティリティでは、パスワード、アカウント、バックアップ、ライン・プリンタ、ファイルの所有権や削除、再起動、ユーザーのログアウト、ユーザー・プログラムの中断、どのユーザーがどこからどこにログインが許可されているかのチェックなどを管理できます。また、TCP/IP、ロード・バランサ、cron、NIS、NFS、FTP、rlogin、アカウンティング・サブシステムの管理も提供できます。ユーザーは、制限付きのシェルやエディタを使用し、rootとして特定のプログラムやファイルにアクセスできます。設定および構成の詳細は、sudoまたはPowerBrokerに関するドキュメントを参照してください。
Enterprise Managerでは、ホスト・ターゲット上で設定を直接作成するか、複数のホストに適用可能なPDP設定テンプレートを作成することにより、権限委任設定を作成できます。
ホスト上で権限委任設定を直接作成する手順は、次のとおりです。
「設定」ページに移動し、左側のパネルで「権限委任設定の管理」をクリックします。
表に表示された任意のホストについて、「編集」をクリックします。「ホスト権限委任設定」ページが表示されます。
権限委任タイプ(sudoまたはPowerBroker)を選択します。
使用する権限委任コマンドを入力します。PowerBrokerの場合、オプションの「パスワード・プロンプト」を入力します。
「更新」をクリックし、設定をホストに適用します。
Enterprise Managerの機密データの整合性を保護するために、emkeyと呼ばれるサインオン検証方法が使用されます。暗号化キーは、パスワードや優先資格証明など、リポジトリに格納される機密データを暗号化および複合化するために使用されるマスター・キーです。キー自体は最初にリポジトリに格納され、新しいOMSがインストールされる場合は常にリポジトリ内に存在する必要があります。ただし、すべてのOMSをインストール後は、キーをリポジトリから削除する必要があります。キーをEnterprise Managerスキーマとは別個に格納することにより、スキーマ所有者やリポジトリ内の他のSYSDBAユーザー(データベースの管理タスクを実行する権限を持つユーザー)がリポジトリ内の優先資格証明などの機密データにアクセスできないようにします。また、キーをスキーマから隔離することにより、リポジトリのバックアップへのアクセス時にも機密データにアクセスできないようにします。さらに、スキーマ所有者がOMS/リポジトリのOracleホームにアクセスアクセスできないようにすることも必要です。
emkeyは、ホストのパスワード、データベースのパスワードなど、Enterprise Manager内の機密性の高いデータを暗号化および複合化するために使用される暗号化キーです。デフォルトでは、emkeyは、$ORACLE_HOME/sysman/config/emkey.oraファイル内に格納されます。このファイルの場所は変更可能です。
|
警告:
|
起動時に、Oracle Management Serviceは、emkeyのステータスを確認します。emkeyが適切に構成されている場合、暗号化および複合化データが使用されます。emkeyが適切に構成されていない場合、次のエラー・メッセージが表示されます。
$prompt> emctl start omsOracle Enterprise Manager 10g Release 10.2.0.0.0 Copyright (c) 1996, 2005 Oracle Corporation. All rights reserved. Starting HTTP Server ... Starting Oracle Management Server ... Checking Oracle Management Server Status ... Oracle Management Server is not functioning because of the following reason: The Em Key is not configured properly. Run "emctl status emkey" for more details.
emkeyは、ホストのパスワード、データベースのパスワードなど、Enterprise Manager内の機密性の高いデータを暗号化および複合化するために使用される暗号化キーです。デフォルトでは、emkeyは、$ORACLE_HOME/sysman/config/emkey.oraファイル内に格納されます。このファイルの場所は変更可能です。
|
警告:
|
起動時に、Oracle Management Serviceは、emkeyのステータスを確認します。emkeyが適切に構成されている場合、暗号化および複合化データが使用されます。emkeyが適切に構成されていない場合、次のエラー・メッセージが表示されます。
$prompt> emctl start omsOracle Enterprise Manager 10g Release 10.2.0.0.0 Copyright (c) 1996, 2005 Oracle Corporation. All rights reserved. Starting HTTP Server ... Starting Oracle Management Server ... Checking Oracle Management Server Status ... Oracle Management Server is not functioning because of the following reason: The Em Key is not configured properly. Run "emctl status emkey" for more details.
ユーザーの作成、権限の付与、パッチまたはクローニングのようなリモート・ジョブの起動など、Enterprise Managerユーザーによって実行されるすべての操作は、Sarbanes-Oxley Act of 2002(SAS 70)に準拠していることを確認するために、監査を受ける必要があります。この法令は、サービス組織の契約に基づく内部統制を評価するために監査者が使用する基準を定義するものです。操作の監査を行うことで、管理者は問題を監視、検出および調査し、エンタープライズ全体にセキュリティ・ポリシーを強制できます。
ユーザーがどのようにEnterprise Managerにログインしたかに関係なく、監査が有効になっている場合は各ユーザー・アクションが監査され、監査の詳細が記録されます。
次のオプションを使用して、Enterprise Manager監査システムを構成できます。
次のemcliコマンドを使用できます。
enable_audit: すべてのユーザー操作に対して監査を有効にします。
disable_audit: すべてのユーザー操作に対して監査を無効にします。
show_audit_actions_list: 監査対象のユーザー操作のリストを表示します。
show_audit_settings: 監査ステータス、操作リスト、外部化サービスの詳細およびパージ期間の詳細を表示します。
Enterprise Managerの監査システムを設定するには、次の操作を実行します。
デフォルトでは、監査機能は無効化されています。 sysmanユーザーとしてEnterprise Manager管理リポジトリにログインします。監査機能を有効にするには、次のコマンドを入力します。
SQL> exec mgmt_audit_admin.enable_audit; SQL> commit;
監査を有効化した後、Oracle Management Serviceを再起動して、この変更が適用されたことを確認する必要があります。
その後、Enterprise Managerにログインし、他のユーザー操作を実行します。
|
注意:
|
監査データは、数年間保護および保管する必要があります。監査データは非常に大量になる可能性があり、システムのパフォーマンスに影響を与える場合があります。リポジトリに保存されるデータの量を制限するために、定期的に監査データを外部化するかアーカイブする必要があります。アーカイブされた監査データは、ODL形式に準拠したXMLファイルで保存されます。監査データを外部化するには、EM_AUDIT_EXTERNALIZATION APIが使用されます。<ファイルの接頭辞>.NNNNN.xmlというフォーマットのレコード(NNNNは番号)が生成されます。番号は00001から99999までが使用されます。
次のemcliコマンドを使用して、監査データをファイルシステムにエクスポートするよう監査外部化サービスを設定できます。
update_audit_setting -file_prefix=<file_prefix> -directory_name=<directory_name> -file_size = <file size> -data_retention_period=<period in days>: ファイルシステムに監査データをエクスポートする外部化サービスを設定します。
file_prefix: 監査データを含むファイルの接頭辞です。
directory_name: OSディレクトリにマップされているデータベース・ディレクトリの名前です。
file_size: データが書き込まれるファイルのサイズです。
data_retention_period: リポジトリ内に監査データが保持される期間です。
EMCLI動詞の詳細は、『Enterprise Manager Command Line Reference』を参照してください。
指定した期間内に生成された監査データを検索できます。次のような検索も可能です。
特定のユーザー操作またはすべてのユーザー操作に関する監査の詳細。
成功または失敗のステータスを持つ操作またはすべての操作に関する監査の詳細。
監査データを表示するには、「設定」オプションをクリックします。「設定」ページで、「管理サービスとリポジトリ」タブをクリックします。「概要」ページが表示されます。「監査」セクションにある「監査データ」リンクをクリックします。「監査データ」ページが表示されます。
フィールドに検索条件を指定し、「実行」をクリックします。結果が「サマリー」表に表示されます。
検索条件と一致するレコードごとの詳細を表示するには、「表示」ドロップダウン・リストから「詳細」を選択します。レコードの完全な詳細にドリルダウンするには、「タイムスタンプ」をクリックします。「監査レコード」ページが表示されます。
| フィールド名 | 説明 |
|---|---|
| 一般 | |
| 操作タイムスタンプ | 操作が実行された日時。 |
| 管理者 | Enterprise Managerにログインしている管理者のID。 |
| 操作 | 監査対象の操作のタイプ。 |
| ステータス | 操作のステータス(成功または失敗のいずれか)。 |
| メッセージ | 操作のステータスを示す説明メッセージ。 |
| 正規化タイムスタンプ | UTCタイムスタンプ。 |
| クライアント情報 | |
| セッション | HTTPセッションIDまたはDBMSセッションIDのいずれか。 |
| IPアドレス | クライアントのホスト・マシンのIPアドレス。 |
| ホスト名 | クライアントのホスト・マシンの名前。 |
| UpStreamコンポーネント・タイプ | 使用されているクライアント、コンソール、Webサービス、EMCLIのタイプ。 |
| 認証タイプ | セッションの性質(HTTPセッション、DBセッション)。 |
| UpStreamコンポーネント名 | 使用されているクライアントの名前。 |
| OMS情報 | |
| ホスト名 | Oracle Management Serviceのホスト名。 |
| IPアドレス | Oracle Management ServiceのIPアドレス。 |
| インスタンスID | Oracle Management ServiceのインスタンスID。 |
| 操作固有情報 | |
| オブジェクト名 | オブジェクトに対して実行される操作。 |
