ヘッダーをスキップ
Oracle Enterprise Manager管理
11gリリース1(11.1.0.1)
B61022-01
  目次
目次
索引
索引

戻る
戻る
 
次へ
次へ
 

2 Enterprise Managerのセキュリティ

この章では、Oracle Enterprise Managerのセキュリティの構成方法を説明します。この章では特に、次の項について説明します。

Oracle Enterprise Managerのセキュリティについて

Oracle Enterprise ManagerにはOracle環境の安全な管理に役立つツールと手順が用意されています。Oracle Enterprise Managerのセキュリティの目的は次のとおりです。

Enterprise Managerの認証

Grid Controlの認証は、Enterprise Manager Grid Controlにアクセスするユーザーの妥当性を確認するプロセスです。認証機能は、Enterprise Manager Grid ControlコンソールやEnterprise Managerコマンドライン・インタフェースなどの様々なユーザー・インタフェースで使用可能です。

次の認証スキームがあります。

リポジトリベースの認証

Enterprise Manager Grid Controlでは、新しい管理者アカウントを作成して管理できます。管理者アカウントには、それぞれ独自のログイン資格証明や、アカウントに割り当てられた一連のロールおよび権限が含まれています。管理者にパスワード・プロファイルを割り当てることもできます。管理者アカウントを作成、編集または表示する手順は、次のとおりです。

  1. Enterprise Manager Grid Controlで「設定」をクリックします。

  2. 垂直ナビゲーション・バーの「管理者」をクリックします。

  3. 「管理者」ページで適切なタスク・ボタンをクリックします。次の画面が表示されます。

図2-1 管理者の作成/編集

管理者の作成および編集

このページでは、作成する管理者アカウントのタイプを指定し、パスワード・プロファイルとパスワードの有効期限を選択できます。「パスワード変更の回避」チェック・ボックスを選択した場合、管理者はパスワードを変更できません。

「パスワード即期限切れ」チェック・ボックスを選択すると、管理者アカウントのパスワードは有効期限切れの状態に設定されます。パスワードの有効期限が切れている場合、次回のログイン時に次の画面が表示され、パスワードの変更が求められます。

図2-2 パスワードの期限切れのページ

図2-2は、周囲のテキストで説明されています。

現在のパスワードと新しいパスワードを入力して「適用」をクリックします。これで、Enterprise Manager Grid Controlを使用できるようになりました。

シングル・サインオン・ベースの認証

現在Oracle Application Server Single Sign-Onを使用してエンタープライズのアクセスと認可を制御している場合、これらの機能をGrid Controlコンソールに拡張できます。

Grid Controlコンソールにナビゲートすると、Enterprise ManagerにはデフォルトでEnterprise Managerの「ログイン」ページが表示されます。一方で、Oracle Application Server Single Sign-Onを使用してGrid Controlコンソールのユーザーを認証するようにEnterprise Managerを構成できます。Grid Controlコンソールのユーザーには、Enterprise Managerの「ログイン」ページではなく、Oracle Application Server Single Sign-Onの標準のログイン・ページが表示されます。管理者は、このログイン・ページで各自のOracle Application Server Single Sign-On資格証明を使用してOracle Enterprise Manager 10g Grid Controlコンソールにアクセスできます。


注意:

  • Enterprise Manager Grid Controlは、Oracle Application Server Single Sign-Onまたはエンタープライズ・ユーザー・セキュリティ機能のいずれかを使用するように構成できます。両方のオプションを同時に使用することはできません。

  • サーバー・ロード・バランサでシングル・サインオンを使用するようにEnterprise Managerを構成する場合、正しい監視設定が定義されていることを確認します。詳細は、Grid Control共通構成の章を参照してください。


次の項では、Enterprise ManagerをOracleAS Single Sign-Onパートナ・アプリケーションとして構成する方法について説明します。

Enterprise Managerのパートナ・アプリケーションとしての登録

Enterprise Managerをパートナ・アプリケーションとして手動で登録するには、次の手順を実行します。

  1. 次のURLを入力してSSO管理ページにナビゲートします。

    http://sso_host:sso_port/pls/orasso
    
  2. orcladminユーザーとしてログインし、「SSO管理」をクリックします。

  3. 「パートナ・アプリケーション管理」をクリックして「パートナ・アプリケーションの追加」をクリックします。

  4. 「パートナ・アプリケーションの追加」ページで次の情報を入力します。

    Name: <EMPartnerName>
    Home URL: protocol://em_host:em_port
    Success URL: protocol://em_host:em_port/osso_login_success 
    Logout URL: protocol://em_host:em_port/osso_logout_success
    Administrator Email: user@host.com
    

    ホスト、ポート、プロトコルは、使用されるEMのホスト、ポート、プロトコル(httpまたはhttps)を参照します。

  5. これらの詳細を入力したら、「<EMPartnerName>の編集」をクリックし、次のパラメータを入力してosso.txtを生成します。これらのパラメータのサンプル値を次に示します。

    sso_server_version: v1.2
    cipher_key: <EncryptionKeyValue>
    site_id: <IDValue>
    site_token: <TokenValue>
    login_url: protocol://sso_host:sso_port/pls/orasso/orasso.wwsso_app_admin.ls_login
    logout_url=protocol://sso_host:sso_port/pls/orasso/orasso.wwsso_app_admin.ls_logout
    cancel_url=protocol://em_host:em_port
    sso_timeout_cookie_name=SSO_ID_TIMEOUT
    sso_timeout_cookie_key=9E231B3C1A3A808A
    
  6. 次のコマンドを入力してosso.confファイルを生成します。

    WEBTIER_HOME/ohs/bin/iasobf osso.txt osso.conf root 
    
  7. osso.confファイルを使用し、必要に応じてそのファイルをemctlコマンドで次のように構成します。

    emctl config oms sso -ossoconf <ossoconf file> -dasurl <dasurl> [-unsecure] [-sysman_pwd <pwd>] [-domain <domain>]
    

    詳細は次のとおりです。

    • -ossoconfosso.confファイルのパスです。

    • -dasurlは、委任管理サービス(DAS)のホストとポートを指定するURLです。通常、DASのホスト名とポートは、Oracle Application Server Single Sign-Onサーバーのホスト名およびポートと同じになります。次に例を示します。

      http://mgmthost1.acme.com:7777

    • -unsecureは、シングル・サインオン・サーバーにhttpポートを登録する場合に使用されます。

    • -sysman_pwdは、sysmanユーザーのパスワードです。このパラメータを指定しない場合、入力が求められます。

    • -domainは、ホスト・ドメインの名前です。このパラメータは、ホストの完全修飾名を利用できない場合は指定する必要があります。

    このコマンドの出力例を次に示します。

    emctl config oms sso -ossoconf /tmp/osso.conf -dasurl http://somehost.domain.com:7777
    Oracle Enterprise Manager 11g Release 1 Grid Control
    Copyright (c) 1996, 2010 Oracle Corporation.  All rights reserved.
    Enter SYSMAN user password :
    SSO Configuration done successfully, Please restart OMS.
    
  8. WebTierとOMSを次のように再起動します。

    emctl stop oms
    emctl start oms
    

シングル・サインオン構成の削除

シングル・サインオン構成を削除するには、次のコマンドを実行します。

emctl config oms sso -remove [-sysman_pwd <pwd>]

-sysman_pwdは、sysmanリポジトリのパスワードです。

例2-1 emctl config oms -removeコマンドの出力例

emctl config oms sso -remove 
Oracle Enterprise Manager 11g Release 1 Grid Control
Copyright (c) 1996, 2010 Oracle Corporation.  All rights reserved.
Enter SYSMAN user password :
SSO Configuration removed successfully, Please restart OMS.
Restart OMS using
emctl stop oms
emctl start oms

シングル・サインオン・ユーザーのEnterprise Manager管理者としての登録

シングル・サインオン・ログオン・ページを使用するようにEnterprise Managerを構成すると、シングル・サインオン・ユーザーをEnterprise Manager管理者として登録できます。シングル・サインオン・ユーザーを登録するには、次のインタフェースを使用します。

  • Enterprise Manager Grid Controlグラフィカル・ユーザー・インタフェース

  • Enterprise Manager Grid Controlコマンドライン・インタフェース

グラフィカル・ユーザー・インタフェースを使用したシングル・サインオン・ユーザーの登録

グラフィカル・ユーザー・インタフェースを使用してシングル・サインオン・ユーザーを登録するには、次の手順を実行します。

  1. Enterprise Manager Grid ControlコンソールのURLに移動します。

    次に例を示します。

    http://mgmthost1.acme.com:7777/em
    

    ブラウザはシングル・サインオンの標準ログオン・ページにリダイレクトされます。

  2. 有効なシングル・サインオン・ユーザーの資格証明を入力します。

    シングル・サインオン・ユーザーがEnterprise Manager管理者以外の場合、ブラウザはEnterprise Managerの変更されたログオン・ページ(図2-3)にリダイレクトされます。

  3. スーパー管理者としてEnterprise Managerにログインします。

  4. 「設定」「管理者」をクリックすると、「管理者」ページが表示されます。


    関連項目:

    Enterprise Managerのオンライン・ヘルプの管理者の作成、編集、表示に関する項

    Enterprise Managerはシングル・サインオンを使用するように構成されているため、管理者の作成ウィザードの最初のページには、登録されたOracle Internet Directoryユーザーに基づいて管理者を作成するオプションが表示されます。

  5. 「Oracle Internet Directory」を選択して、ウィザードの次のページに進みます。

  6. Oracle Internet Directoryユーザーの名前と電子メール・アドレスを入力するか、懐中電灯アイコンをクリックしてOracle Internet Directoryでユーザー名を検索します。

  7. ウィザードの残りのページを使用してEnterprise Manager管理者のロール、システム権限、その他の特徴を定義してから「終了」をクリックします。

    Enterprise Managerには、管理者アカウントの特徴をリストする概要ページが表示されます。

  8. 「終了」をクリックして、新しいEnterprise Manager管理者を作成します。

    これで、OIDユーザーがEnterprise Manager管理者のリストに含まれます。アカウントを検証するには、Grid Controlコンソールからログアウトして、シングル・サインオン・ログオン・ページでOIDユーザーの資格証明を使用してログインしなおします。

図2-3 SSOを構成した場合の変更されたEnterprise Managerログオン・ページ

SSOを構成した場合の変更されたEnterprise Managerログオン・ページ
「図2-3 SSOを構成した場合の変更されたEnterprise Managerログオン・ページ」の説明

図2-4 SSOサポートが有効な場合の管理者作成ページ

SSOサポートが有効な場合の管理者作成ページ
「図2-4 SSOサポートが有効な場合の管理者作成ページ」の説明

EMCLIを使用したシングル・サインオン・ユーザーの登録

s

次のEMCLIコマンドを使用してシングル・サインオン・ユーザーを作成できます。

emcli create_user -name=ssouser -type=EXTERNAL_USER

このコマンドは、ssouserという名前でユーザーを作成します。このユーザーは、シングル・サインオン・ユーザーと照らし合わせて認証されます。

引数 説明
-name 管理者の名前。
-type ユーザーのタイプ。このパラメータのデフォルト値はEM_USERです。その他に次の値が可能です。
  • EXTERNAL_USER: シングル・サインオン・ベースの認証に使用されます。

  • DB_EXTERNAL_USER: エンタープライズ・ユーザー・ベースのセキュリティ認証に使用されます。

-password 管理者のパスワード。
-roles 該当の管理者に付与できるロールのリスト。
-email 該当の管理者の電子メール・アドレスのリスト。
-privilege 管理者に付与できるシステム権限。このオプションは複数回指定できます。
-profile データベース・プロファイルの名前。これはオプションのパラメータです。使用されるデフォルトのプロファイルはDEFAULTです。
-desc 追加するユーザーの説明です。
-expired このパラメータは、パスワードを「期限切れ」ステータスに設定する場合に使用されます。これはオプションのパラメータであり、デフォルトではFalseに設定されます。
-prevent_change_password このパラメータをTrueに設定すると、ユーザーはパスワードを変更できません。これはオプションのパラメータであり、デフォルトではFalseに設定されます。
input_file このパラメータにより、管理者は、入力ファイルにこれらの引数の値を提供できます。値の形式はname_of_argument:file_path_with_file_nameになります。

例1

emcli create_user         -name="new_admin"         -password="oracle"         -email="first.last@oracle.com;joe.shmoe@shmoeshop.com"         -roles="public"         -privilege="view_job;923470234ABCDFE23018494753091111"         -privilege="view_target;<host>.com:host" 

この例では、new_adminというEnterprise Manager管理者を作成します。この管理者には、ID 923470234ABCDFE23018494753091111のジョブを表示する機能と、ターゲット<host>.com:hostを表示する機能の2つの権限があります。管理者new_adminにはPUBLICロールが付与されます。

例2

   emcli create_user         -name="User1"         -type="EXTERNAL_USER"         -input_file="privilege:/home/user1/priv_file"         Contents of priv_file are:           view_target;<host>.com:host

この例では、Enterprise Managerユーザーとして外部で作成されたuser1を作成します。user1には、<host>.com:hostに対する表示権限があります。

例3

   emcli create_user         -name="User1"         -desc="This is temp hire."
         -prevent_change_password="true"         -profile="MGMT_ADMIN_USER_PROFILE

この例では、user1をEnterprise Managerユーザーとしてある程度の説明付きで設定します。prevent_change_passwordは、user1によってパスワードを変更できないようにtrueに設定され、profileMGMT_ADMIN_USER_PROFILEに設定されます。

例4

   emcli create_user         -name="User1"         -desc="This is temp hire."         -expire="true" 

この例では、user1をEnterprise Managerとしてある程度の説明付きで設定します。パスワードの有効期限はすぐに切れるように設定されるため、ユーザーが初めてログインすると、パスワードの変更が求められます。

シングル・サインオン・パートナ・アプリケーションとしてのGrid Control

emctl config oms ssoコマンドは、Oracle Enterprise Manager Grid ControlコンソールをOracle Application Server Single Sign-Onパートナ・アプリケーションとして追加します。パートナ・アプリケーションは、Oracle Application Server Single Sign-Onサーバーに認証を委任したアプリケーションです。

パートナ・アプリケーションのリストを表示するには、次のURLにナビゲートします。

http://hostname:port/pls/orasso/orasso.home

次に例を示します。

http://ssohost1.acme.com:7777/pls/orasso/orasso.home

シングル・サインオン・ログオン・ページの省略

シングル・サインオン・ログオン・ページを使用するようにEnterprise Managerを構成すると、シングル・サインオン・ページをいつでも省略し、次のURLを入力してEnterprise Managerのログオン・ページに直接移動できます。

http://hostname.domain:port/em/console/logon/logon

次に例を示します。

http://mgmthost1.acme.com:7777/em/console/logon/logon

エンタープライズ・ユーザー・セキュリティベースの認証

エンタープライズ・ユーザー・セキュリティでは、LDAP準拠ディレクトリ・サーバーでOracleデータベース情報をディレクトリ・オブジェクトとして作成して保存できます。たとえば、管理者はディレクトリにOracleデータベースのエンタープライズ・ユーザーとロールを作成して保存できます。これは、複数のデータベースでのユーザーとロールの管理の一元化に役立ちます。


関連項目:

『Oracle Database Advanced Security管理者ガイド』のエンタープライズ・ユーザー・セキュリティ構成のタスクおよびトラブルシューティングに関する項

現在、すべてのOracleデータベースにエンタープライズ・ユーザー・セキュリティを使用している場合、この機能をEnterprise Managerに拡張できます。エンタープライズ・ユーザー・セキュリティで使用するようにEnterprise Managerを構成すると、Oracle Enterprise Manager Grid Controlコンソールで管理しているデータベース・ターゲットへのログイン・プロセスが簡単になります。

エンタープライズ・ユーザー・セキュリティで使用するようにEnterprise Managerを構成するには、次の手順を実行します。

  1. Oracle Management Repositoryデータベースと、Grid Controlコンソールで管理するデータベース・ターゲットに対してエンタープライズ・ユーザー・セキュリティが有効であることを確認します。詳細は、『Oracle Database Advanced Security管理者ガイド』を参照してください。

  2. emctl set propertyコマンドを使用して次のプロパティを設定します。

    oracle.sysman.emSDK.sec.DirectoryAuthenticationType=EnterpriseUser
    oracle.sysman.emSDK.sec.eus.Domain=<ClientDomainName> (For example:mydomain.com)
    oracle.sysman.emSDK.sec.eus.DASHostUrl=<das_url> (For example:
    oracle.sysman.emSDK.sec.eus.DASHostUrl=http://my.dashost.com:7777 )
    

    次に例を示します。

    emctl set property -name oracle.sysman.emSDK.sec.DirectoryAuthenticationType -value EnterpriseUser
    
  3. ディレクトリをORACLE_HOME/sysman/configディレクトリに変更し、テキスト・エディタでemoms.propertiesファイルを開きます。

  4. emoms.propertiesファイルで次のエントリを追加します。

    oracle.sysman.emSDK.sec.DirectoryAuthenticationType=EnterpriseUser
    oracle.sysman.emSDK.sec.eus.Domain=<ClientDomainName> (For example: mydomain.com)
    oracle.sysman.emSDK.sec.eus.DASHostUrl=<das_url> (For example: oracle.sysman.emSDK.sec.eus.DASHostUrl=http://my.dashost.com:7777 )
    
  5. emoms.propertiesファイルを保存して閉じます。

  6. Oracle Management Serviceを停止します。

  7. 管理サービスを開始します。

次回Oracle Enterprise Manager Grid Controlコンソールを使用して管理対象データベースにドリルダウンすると、Enterprise Managerはエンタープライズ・ユーザー・セキュリティを使用してデータベースへの接続を試みます。これが成功した場合、ログイン・ページは表示されずにEnterprise Managerによってデータベースに接続します。エンタープライズ・ユーザー・セキュリティの使用が失敗した場合、Enterprise Managerからデータベースの資格証明が求められます。

エンタープライズ・ユーザーのEnterprise Managerユーザーとしての登録

エンタープライズ・ユーザーを使用するようにEnterprise Managerを構成すると、既存のエンタープライズ・ユーザーをEnterprise Managerユーザーとして登録し、Enterprise Managerを効率的に管理できるようにそのユーザーに必要な権限を付与できます。

既存のエンタープライズ・ユーザーを登録するには、次のインタフェースを使用します。

  • Enterprise Manager Grid Controlグラフィカル・ユーザー・インタフェース

  • Enterprise Managerコマンドライン・インタフェース

グラフィカル・ユーザー・インタフェースを使用したエンタープライズ・ユーザーの登録

グラフィカル・ユーザー・インタフェースを使用してエンタープライズ・ユーザーを登録するには、次の手順を実行します。

  1. スーパー管理者としてEnterprise Managerにログインします。

  2. 「設定」「管理者」をクリックすると、「管理者」ページが表示されます。Enterprise Managerはエンタープライズ・ユーザーを使用するように構成されているため、管理者の作成ウィザードの最初のページには、登録されているOracle Internet Directoryユーザーまたは通常のデータベース・ユーザーに基づいて管理者を作成するオプションが表示されます。

  3. Oracle Internet Directoryを選択し、「続行」をクリックしてウィザードの次のページに移動します。

  4. Oracle Internet Directoryユーザーの名前と電子メール・アドレスを入力するか、懐中電灯アイコンをクリックしてOracle Internet Directoryでユーザー名を検索します。

  5. ウィザードの残りのページを使用してEnterprise Manager管理者のロール、システム権限、その他の特徴を定義してから「終了」をクリックします。Enterprise Managerには、管理者アカウントの特徴をリストする概要ページが表示されます。

  6. 「終了」をクリックして、新しいEnterprise Manager管理者を作成します。

    これで、OIDユーザーがEnterprise Manager管理者のリストに含まれます。アカウントを検証するには、Grid Controlコンソールからログアウトして、シングル・サインオン・ログオン・ページでOIDユーザーの資格証明を使用してログインしなおします。

コマンドライン・インタフェースを使用したエンタープライズ・ユーザーの登録

EMCLIを使用してエンタープライズ・ユーザーをEnterprise Managerユーザーとして登録するには、次のコマンドを入力します。

emcli create_user -name=eususer -type=DB_EXTERNAL_USER

このコマンドは、eususerをEnterprise Managerユーザーとして登録します。eususerは既存のエンタープライズ・ユーザーです。詳細は、「EMCLIを使用したシングル・サインオン・ユーザーの登録」を参照してください。

Enterprise Managerの認可

システムのセキュリティは、エンタープライズの主要な関心事の1つです。すべてのシステムに対して同じレベルのアクセス権をすべての管理者に付与することは危険ですが、グループのすべての新規メンバーに数十、数百、場合によっては数千ものターゲットに対するアクセス権を個別に付与するのは時間のかかる作業です。Enterprise Managerの管理者の権限およびロール機能を使用すると、このタスクを何時間もかけずに数秒で実行できます。認可により、システム、ターゲットおよびオブジェクト・レベルの権限およびロールを介してEnterprise Managerによって管理されるセキュアなリソースへのアクセスを制御します。

この章では、Enterprise Managerの認可モデルについて説明します。これには、ユーザー・クラス、およびユーザー・クラスごとに割り当てられるロールと権限が含まれます。次のトピックについて説明します。

ユーザーのクラス

Oracle Enterprise Managerでは、管理している環境や、Oracle Enterprise Manager Grid Controlを使用しているコンテキストに応じて、Oracleユーザーの様々なクラスをサポートしています。

Grid Controlコンソールで作成および管理するEnterprise Manager管理者には、Grid Controlコンソールにログインして特定のターゲット・タイプを管理し、特定の管理タスクを実行するための権限やロールが付与されます。Grid Controlコンソールのデフォルトのスーパー管理者はSYSMANユーザーです。これは、Oracle Management Repositoryに関連付けられているデータベース・ユーザーになります。Enterprise Managerのインストール時にSYSMANアカウントのパスワードを定義します。

Oracle Enterprise Manager 11gコンポーネント間の通信を保護するために、権限を持つユーザーのアクセスを制限したり、ツールを提供したりすることで、Enterprise ManagerはOracle Management Repositoryの重要情報を保護します。

管理リポジトリには、エンタープライズ全体のパフォーマンスや可用性の監視に役立つようにEnterprise Manager Grid Controlで使用される管理データが含まれています。このデータによって、デプロイしたハードウェアとソフトウェアのタイプに関する情報や、管理するアプリケーション、データベース、アプリケーション・サーバー、その他のターゲットの履歴パフォーマンスや固有の特徴が提供されます。また、管理リポジトリには、管理データへのアクセス権限を持つEnterprise Manager管理者に関する情報もあります。

Enterprise Manager管理者アカウントを作成および管理できます。管理者アカウントには、それぞれ独自のログイン資格証明や、アカウントに割り当てられた一連のロールおよび権限が含まれています。複数のカテゴリにわたって次の3人の管理者が存在します。

  • スーパー管理者: 強力な権限を持つEnterprise Manager管理者であり、Enterprise Managerの環境におけるすべてのターゲットおよび管理者アカウントに対する完全なアクセス権限を持っています。Enterprise Managerがインストールされると、スーパー管理者であるSYSMANがデフォルトで作成されます。スーパー管理者は、他の管理者アカウントを作成できます。

  • 管理者: 一般的なEnterprise Manager管理者です。

  • リポジトリ所有者: 管理リポジトリ用のデータベース管理者です。このアカウントは、変更、複製または削除できません。

管理者が実行できる管理タスクおよびアクセスできるターゲットは、その管理者に付与されているロール、システム権限およびターゲット権限に依存します。スーパー管理者は他の管理者に対して、特定の管理タスクのみの実行、特定のターゲットのみへのアクセス、または特定のターゲットに対する特定の管理タスクの実行を許可するよう選択できます。このようにして、スーパー管理者はワークロードを管理者間に配分できます。

権限およびロール

ユーザー権限は、Enterprise Managerの基本レベルのセキュリティを提供します。ユーザー権限は、データに対するユーザー・アクセスを制御し、ユーザーが実行可能なSQL文の種類を制限するよう設計されています。ユーザーを作成する場合、データベースへの接続、問合せの作成および更新、スキーマ・オブジェクトの作成などの権限をユーザーに付与します。

Enterprise Managerがインストールされると、SYSMANユーザー(スーパー管理者)がデフォルトで作成されます。SYSMANスーパー管理者は、日々の管理作業を実行するために他の管理者アカウントを作成します。SYSMANアカウントを使用するのは、不定期に行うシステム全体のグローバル構成タスクを実行する場合のみにする必要があります。スーパー管理者は、管理者に付与するロール、システム権限およびターゲット権限を介して、ターゲット・アクセスのフィルタリング、または管理タスクへのアクセスのフィルタリング、あるいはその両方によって管理者間でワークロードを分配します。たとえば、スーパー管理者は、一部の管理者には任意のターゲットを表示してエンタープライズに追加する権限を付与する一方、他の管理者にはその管理者自身が担当するターゲットの保持やクローニングなどの特定の操作のみを実行する権限を付与できます。

ロールは、管理者または他のロールに付与できるEnterprise Managerのシステム権限またはターゲット権限、あるいはその両方の集合です。これらのロールは、地理的な場所(カナダのシステムを管理するためのカナダの管理者のロールなど)、業種(人事管理システムや販売管理システムの管理者のロールなど)、または他の任意のモデルに基づいて設定できます。グループのすべての新規メンバーに、数十、数百、場合によっては数千ものターゲットに対するアクセス権を個別に付与するタスクの実行は、管理者が望むものではありません。この場合、管理者はロールを作成することにより、チーム・メンバーに適したすべての権限が含まれるロールの割当てが可能になり、多くの権限を個別に付与する必要がなくなります。管理者は、ターゲット・アクセスのフィルタリング、または管理タスクへのアクセスのフィルタリング、あるいはその両方によって管理者間でワークロードを分配できます。

パブリック・ロール: Enterprise Managerではデフォルトで、パブリックと呼ばれる1つのロールを作成します。このロールは、スーパー管理者以外のすべての新規管理者の作成時に自動的に割り当てられる特別なロールです。デフォルトでは、このロールには権限が割り当てられていません。パブリック・ロールは、スーパー管理者以外の大部分の作成対象の管理者に割り当てる予定のデフォルトの権限定義に使用します。パブリック・ロールに権限を最初に割り当てる必要はありません。権限は後で追加できます。エンタープライズで使用しないロールは削除できます。ロールを削除した場合でも、後で実装を決定した際に再度追加できます。

権限の付与

権限は、Enterprise Manager内で管理アクションを実行する権利です。権限は、3つのカテゴリに分けることができます。

  • システム権限

  • ターゲット権限

  • オブジェクト権限

システム権限: この権限を使用すると、ユーザーはシステム全体にわたる操作を実行できます。システム権限を設定するには、「設定」リンクをクリックして設定の概要ページにナビゲートし、左パネルで「管理者」オプションをクリックします。リストから管理者を選択して「編集」をクリックします。管理者の編集ウィザードが表示されます。「次へ」をクリックしてウィザードをナビゲートすると、「システム権限」ページが表示されます。

図2-5 システム権限

図2-5は、周囲のテキストで説明されています。

表2-1 システム権限

システム権限 説明

USE ANY BEACON

管理者は、監視対象のホストで任意のビーコンを使用して、トランザクション、URLおよびネットワーク・コンポーネントを監視できます。

ADD ANY TARGET

管理者は、監視および管理を目的として任意のターゲットをEnterprise Managerに追加できます。

VIEW ANY TARGET

管理者は、Oracle Management AgentおよびOracle Management Serviceを含むシステム上の任意のターゲットを表示できます。VIEW ANY TARGET権限が付与される場合は常に、デフォルトでMONITOR ENTERPRISE MANAGER権限も付与されます。

CREATE PRIVILEGE PROPAGATING GROUP

管理者は、権限伝播グループを作成できます。このようなグループに付与された権限は、そのグループのすべてのメンバーに自動で付与されます。

MONITOR ENTERPRISE MANAGER

管理者は、Enterprise Manager自体の可用性およびパフォーマンスを監視できます。また、管理リポジトリに使用されるデータベース、管理サービスと管理リポジトリ、およびグローバル・エンタープライズ内のすべてのOracle Management Agentの各ターゲットに対するアクセス権を管理者に付与できます。

PUBLISH REPORT

管理者は、公的に使用するためにレポートを公開できます。

JVM診断管理者

管理者は、JVM診断操作を管理できます。

JVM診断ユーザー

ユーザーは、JVM診断データを表示できます。

リクエスト監視管理者

ユーザーは、E2E管理者操作を管理できます。

リクエスト監視ユーザー

ユーザーは、E2Eデータを表示できます。


管理者に付与されるシステム権限を選択するチェック・ボックスを選択し、「次」をクリックします。「ターゲット権限」ページが表示されます。

ターゲット権限: 管理者は、この権限を使用してターゲットに対する操作を実行できます。「ターゲット権限」ページには、権限を付与できるターゲットのリストが表示されます。リストからターゲットを選択し、「権限」列で鉛筆のアイコンをクリックします。次の画面が表示されます。

図2-6 ターゲット権限

図2-6は、周囲のテキストで説明されています。

付与される権限を指定するチェック・ボックスを選択して、「続行」をクリックします。これらの権限の設定の詳細は、Enterprise Managerオンライン・ヘルプを参照してください。

表2-2 ターゲット権限

ターゲット権限 説明

FULL

すべてのターゲット権限を暗黙的に付与し、管理者は、Enterprise Managerシステムからターゲットを削除できます。

OPERATOR

管理者は、ターゲットに対する通常の管理操作(ブラックアウトの構成やプロパティの編集など)を実行できます。

BLACKOUT TARGET

管理者は、ターゲットのブラックアウトを作成、編集、スケジュールおよび停止できます。

MANAGE TARGET ALERTS

管理者は、ステートレス・アラートをクリアし、アラートを手動で再評価し、ターゲットのアラートを確認できます。

CONFIGURE TARGET

管理者は、ターゲット・プロパティを編集し、監視構成を変更できます。

MANAGE TARGET METRICS

管理者は、メトリックとポリシー設定のしきい値を編集し、監視テンプレートを適用し、ユーザー定義のメトリックを管理できます。

VIEW

管理者は、プロパティおよびインベントリを表示し、ターゲットに関する情報を監視できます。


オブジェクト権限: 管理者は、この権限を使用して特定のスキーマ・オブジェクトに対する特定の操作を実行できます。様々なスキーマ・オブジェクトのタイプに対して様々なオブジェクト権限が用意されています。

表2-3 オブジェクト権限

ターゲット権限 説明

VIEW JOB

ジョブとその定義を表示する機能を管理者に提供します。

FULL JOB

ジョブを表示、編集、発行、削除する機能を管理者に提供します。

VIEW REPORT

レポートを表示する機能を管理者に提供します。

VIEW TEMPLATE

テンプレートの定義を表示できます。

FULL TEMPLATE

テンプレートの定義を編集できます。


Grid Controlのセキュリティの構成

この項では次のトピックについて説明します。

Enterprise Manager Framework Securityについて

Enterprise Manager Framework Securityによって、Enterprise Managerコンポーネント間の安全な通信チャネルが実現します。たとえば、Framework SecurityではOracle Management Serviceとその管理エージェントの間の接続が保護されます。


関連項目:

Enterprise Managerコンポーネントの概要は『Oracle Enterprise Manager概要』

次の図には、Enterprise Manager Framework SecurityによるEnterprise Managerコンポーネント間の接続に対するセキュリティの仕組みが示されています。

図2-7 Enterprise Manager Framework Security

Enterprise Manager Framework Security

Enterprise Manager Framework Securityは、次のようなEnterprise Managerコンポーネント間のセキュアな接続を実装します。

  • 管理サービスと管理エージェントの間の通信のための、署名されたデジタル証明書も含む、HTTPSおよび公開鍵インフラストラクチャ(PKI)コンポーネント。


    関連項目:

    デジタル証明書や公開鍵などの公開鍵インフラストラクチャ機能の概要は『Oracleセキュリティ概要』

  • 管理サービスと管理リポジトリの間の通信のためのOracle Advanced Security。


    関連項目:

    『Oracle Database Advanced Security管理者ガイド』

Enterprise Manager Framework Securityの有効化に必要な手順の概要

Enterprise Manager Framework Securityを有効にするには、それぞれのEnterprise Managerコンポーネントを特定の順序で構成する必要があります。管理サービスおよび管理サービスにデータをアップロードする管理エージェントを保護するためのプロセスの概要を次に示します。


注意:

Enterprise Managerコンポーネントは、インストール中に構成されます。次のコマンドを使用して、任意のコンポーネントを再構成できます。

  1. emctl stop omsコマンドを使用して、OMSとWebTierを停止します。

  2. emctl secure omsを使用して、管理サービスのセキュリティを有効にします。

  3. emctl start omsコマンドを使用して、OMSとWebTierを再起動します。

  4. それぞれの管理エージェントに対して、管理エージェントを停止し、emctl secure agentコマンドを使用して管理エージェントのセキュリティを有効にしてから、管理エージェントを再起動します。

  5. すべての管理エージェントに対してセキュリティを有効にした後、emctl secure lockコマンドを使用して管理サービスへのHTTPアクセスを制限します。これにより、セキュリティが有効化されていない管理エージェントは管理サービスにデータをアップロードできなくなります。

次の項では、この各ステップの実行方法を詳しく説明します。


注意:

emctl secure操作からのエラーを解決するには、EM_INSTANCE_HOME/sysman/log/secure.logを参照して詳細を確認します。

Oracle Management Serviceのセキュリティの有効化

管理サービスに対してEnterprise Manager Framework Securityを有効にするには、管理サービスのホーム・ディレクトリの次のサブディレクトリにあるemctl secure omsユーティリティを使用します。

ORACLE_HOME/bin

emctl secure omsユーティリティでは次の処理が実行されます。

  • 管理リポジトリ内にルート鍵を生成します。ルート鍵は、管理エージェントに対する一意のデジタル証明書を含むOracle Walletの配布時に使用されます。

  • WebTier内にある既存のHTTPS構成とは別に、管理サービスと管理エージェントの間のHTTPSチャネルが有効になるようにWebTierを変更します。

  • Enterprise Manager Framework Securityを使用した管理エージェントからのリクエストを管理サービスが受諾できるようにします。

emctl secure omsユーティリティを実行するには、エージェント登録パスワードを最初に選択する必要があります。エージェント登録パスワードは、Oracle Management AgentおよびOracle Management Serviceの今後のインストール・セッションでデータをEnterprise Managerインストールにロードする権限があることを検証するために使用されます。

Oracle Management ServiceについてEnterprise Manager Framework Securityを有効にするには、次のようにします。

  1. 管理サービス、WebTier、およびその他のアプリケーション・サーバー・コンポーネントを、次のコマンドを使用して停止します。

    OMS_ORACLE_HOME/bin/emctl stop oms
    
  2. 次のコマンドを入力します。

    OMS_ORACLE_HOME/bin/emctl secure oms
    
  3. Enterprise Managerのルート・パスワードを入力するよう求められます。SYSMANのパスワードを入力します。

  4. エージェント登録パスワードを指定するよう求められます。このパスワードは、管理サービスを使用して保護しようとする管理エージェントに必要なパスワードです。管理サービスのエージェント登録パスワードを指定します。

  5. 操作が完了したら、WebLogic ServerとデプロイしたEnterprise Managerアプリケーションを再起動します。

    OMS_ORACLE_HOME/bin/emctl start oms
    
  6. 管理サービスが再起動した後、HTTPSプロトコルを使用して次のセキュアなURLを参照し、管理サービスへの保護された接続をテストします。

    https://hostname.domain:https_upload_port/em
    

    次に例を示します。

    https://mgmthost1.acme.com:1159/em
    

    管理サービスのセキュリティが有効になっていると、ブラウザにはEnterprise Managerの「ログイン」ページが表示されます。


注意:

ポート番号1159は、管理サービスにデータをアップロードするために管理エージェントで使用されるデフォルトのセキュアなポートです。デフォルト・ポートが使用できない場合、このポート番号は変わる可能性があります。

例2-2 emctl secure omsコマンドの出力例

emctl secure oms
Oracle Enterprise Manager 11g Release 1 Grid Control
Copyright (c) 1996, 2010 Oracle Corporation.  All rights reserved.
Securing OMS... Started.Securing OMS... Successful

もう1つの方法としてemctl secure omsコマンドをすべて1行で入力することもできますが、コマンドを1行で入力すると、パスワードが入力したとおりに画面上に表示されます。

例2-3 emctl secure omsコマンド(II)の使用方法

emctl secure oms [-sysman_pwd <sysman password>] [-reg_pwd <registration password>] [-host <hostname>] [-slb_port <slb port>] [-slb_console_port <slb console port>] [-reset] [-console] [-lock] [-lock_console] [-secure_port <secure_port>] [-upload_http_port <upload_http_port>] [-root_dc <root_dc>] [-root_country <root_country>] [-root_email <root_email>] [-root_state <root_state>] [-root_loc <root_loc>] [-root_org <root_org>] [-root_unit <root_unit>] [-wallet <wallet_loc> -trust_certs_loc <certs_loc>] [-wallet_pwd <pwd>] [-key_strength <strength>] [-cert_validity <validity>] [-protocol <protocol>] 
Valid values for <protocol> are the allowed values for Apache's SSLProtocol directive

次に各パラメータについて説明します。

  • sysman_pwd: Oracle Management Repositoryのユーザー・パスワードです。

  • reg_pwd: 管理エージェントの登録パスワードです。

  • host: Oracle Management Serviceで使用される証明書で使用されるホスト名です。管理サービスの前にSLBがある場合は、SLBホスト名を使用する必要がある場合があります。

  • reset: 新しい認証局が作成されます。すべてのエージェントとOracle Management Serviceを再保護する必要があります。

  • secure_port: セキュアな通信のために使用されるポートです。

  • upload_http_port: セキュアではないアップロードの通信に使用されるポートです。

  • slb_port: このパラメータは、サーバー・ロード・バランサを使用する場合に必要です。これにより、サーバー・ロード・バランサ内で構成されているセキュアなアップロード・ポートが指定されます。

  • slb_console_port: このパラメータは、サーバー・ロード・バランサを使用する場合に必要です。これにより、サーバー・ロード・バランサ内で構成されているセキュアなコンソール・ポートが指定されます。

  • root_dc: ルート証明書で使用されるドメイン・コンポーネントです。デフォルト値はcomです。

  • root_country: ルート証明書で使用される国。デフォルト値はUSです。

  • root_state: ルート証明書で使用される州です。デフォルト値はCAです。

  • root_loc: ルート証明書で使用される場所です。デフォルト値は、EnterpriseManager on <hostname>です。

  • root_org: ルート証明書で使用される組織名です。デフォルト値は、EnterpriseManager on <hostname>です。

  • root_unit: ルート証明書で使用される組織単位です。デフォルト値は、EnterpriseManager on <hostname>です。

  • root_email: ルート証明書で使用される電子メール・アドレスです。デフォルト値は、EnterpriseManager@<hostname>です。

  • wallet: サード・パーティの証明書を含むウォレットの場所です。このパラメータは、サード・パーティの証明書を構成する際に指定する必要があります。

  • trust_certs_loc: trusted_certs.txtの場所です(サード・パーティの証明書を使用する場合に必要)。

  • key_strength: 使用される鍵の強度です。有効な値は、512、1024、2048、および4096です。

  • cert_validity: 自己署名付き証明書の有効日数です。有効な範囲は、1〜3650です。

  • protocol: TLSv1専用またはSSLv3専用、あるいは混合モード(デフォルト)でOracle Management Serviceを構成する場合に使用されます。有効な値は、ApacheのSSLProtocolディレクティブにより許可された値になります。


注意:

key_strengthおよびcert_validityパラメータは、-walletオプションが使用されない場合にのみ適用可能です。

セキュリティ・ステータスの確認

emctl status oms -secureコマンドを入力して、管理サービスについてセキュリティが有効化されているかどうかを確認できます。

例2-4 emctl status oms -detailsコマンドの出力例

emctl status oms -details [-sysman_pwd <pwd>]
Oracle Enterprise Manager 11g Release 1 Grid Control  
Copyright (c) 1996, 2010 Oracle Corporation.  All rights reserved.
Enter Enterprise Manager Root (SYSMAN) Password : 
Console Server Host : omshost.mydomain.com
HTTP Console Port   : 7788
HTTPS Console Port  : 7799
HTTP Upload Port    : 4889
HTTPS Upload Port   : 1159
OMS is not configured with SLB or virtual hostname
Agent Upload is locked.
OMS Console is locked.
Active CA ID: 1

新しい認証局の作成

現在の認証局(CA)の有効期限が切れる場合や、鍵の強度を変更する場合は、新しいCAを作成する必要があります。各CAに一意の識別子が割り当てられます。たとえば、インストール時に作成されたCAの識別子はID 1となり、以降のCAの識別子はID 2、ID 3といった具合になります。最後に作成されたCAが常にアクティブであり、OMSとエージェントの証明書を発行します。

例2-5 新しい認証局の作成

emctl secure createca [-sysman_pwd <pwd>] [-host <hostname>] [-key_strength<strength>] [-cert_validity <validity>] [-root_dc <root_dc>] [-root_country <root_country>] [-root_email <root_email>] [-root_state <root_state>] [-root_loc <root_loc>] [-root_org <root_org>] [-root_unit <root_unit>] 
Copyright (c) 1996, 2010 Oracle Corporation.  All rights reserved.
Creating CA... Started.
Successfully created CA with ID 2

例2-6 認証局に関する情報の表示

emcli get_ca_info -ca_id="1;2" -details
Info about CA with ID: 1
CA is not configured
DN: CN=myhost.mydomain.com, C=US
Serial# : 3423643907115516586
Valid From: Tue Mar 16 11:06:20 PDT 2010
Valid Till: Sat Mar 14 11:06:20 PDT 2020
Number of Agents registered with CA ID 1 is 1
myhost.mydomain.com:3872

Info about CA with ID: 2
CA is configured
DN: CN=myhost.mydomain.com, C=US, ST=CA
Serial# : 1182646629511862286
Valid From: Fri Mar 19 05:17:15 PDT 2010
Valid Till: Tue Mar 17 05:17:15 PDT 2020
There are no Agents registered with CA ID 2

注意:

WebLogic管理者とノード・マネージャのパスワードは、管理資格証明ウォレットに保存されます。これは、EM_INSTANCE_HOME/sysman/config/adminCredsWalletディレクトリにあります。管理資格証明ウォレットを再作成するには、管理サービスが実行している各マシンで次のコマンドを実行します。

emctl secure create_admin_creds_wallet [-admin_pwd <pwd>] [-nodemgr_pwd <pwd>]


セキュリティ・ステータスとOMSポート情報の表示

セキュリティ・ステータスとOMSポート情報を表示するには、次のコマンドを使用します。

例2-7 emctl status oms -details

$ emctl status oms -details [-sysman_pwd welcome1]
Oracle Enterprise Manager 11g Release 1 Grid Control  
Copyright (c) 1996, 2010 Oracle Corporation.  All rights reserved.
Console Server Host : myhost.mydomain.com
HTTP Console Port   : 7788
HTTPS Console Port  : 7799
HTTP Upload Port    : 4889
HTTPS Upload Port   : 1159
OMS is not configured with SLB or virtual hostname
Agent Upload is locked.
OMS Console is locked.
Active CA ID: 1

Transparent Layer Securityの構成

Oracle Management Serviceは次のモードで構成できます。

  • TLSv1専用モード: TLSv1接続のみを使用するようにOMSを構成するには、次の操作を実行します。

    1. 次のコマンドを入力してOMSを停止します。

      OMS_ORACLE_HOME/bin/emctl stop oms
      
    2. 次のコマンドを入力します。

      emctl secure oms -protocol TLSv1
      
    3. Domain_Home/bin/startEMServer.shでJAVA_OPTIONSに-Dweblogic.security.SSL.protocolVersion=TLS1を追加します。このプロパティがすでに存在する場合、値をTLS1に更新します。

    4. 次のコマンドでOMSを再起動します。

      OMS_ORACLE_HOME/bin/emctl start oms
      

      注意:

      OMSをTLSv1専用モードで構成する場合、10.2.xエージェントはTLSモードをサポートしないため、OMSと通信できません。

  • SSLv3専用モード: SSLv3接続のみを使用するようにOMSを構成するには、次の操作を実行します。

    1. 次のコマンドを入力してOMSを停止します。

      OMS_ORACLE_HOME/bin/emctl stop oms
      
    2. 次のコマンドを入力します。

      emctl secure oms -protocol SSLv3
      
    3. WindowsのDomain_Home/bin/startEMServer.shまたはstartEMServer.cmdでJAVA_OPTIONSに-Dweblogic.security.SSL.protocolVersion=SSL3を追加します。このプロパティがすでに存在する場合、値をSSL3に更新します。

    4. 次のコマンドでOMSを再起動します。

      OMS_ORACLE_HOME/bin/emctl start oms
      
  • 混合モード: SSLv3接続とTLSv1接続をどちらも使用するようにOMSを構成するには、次の操作を実行します。

    1. 次のコマンドを入力してOMSを停止します。

      OMS_ORACLE_HOME/bin/emctl stop oms
      
    2. 次のコマンドを入力します。

      emctl secure oms
      
    3. Domain_Home/bin/startEMServer.shでJAVA_OPTIONSに-Dweblogic.security.SSL.protocolVersion=ALLを追加します。このプロパティがすでに存在する場合、値をALLに更新します。

    4. 次のコマンドでOMSを再起動します。

      OMS_ORACLE_HOME/bin/emctl start oms
      

注意:

OMSはデフォルトで混合モードを使用するように構成されます。TLSv1専用モードで管理エージェントを構成するには、emd.propertiesファイルでallowTLSOnly=trueを設定してエージェントを再起動します。

Oracle Management Agentのセキュリティの有効化

ホストに管理エージェントをインストールする際は、管理エージェントによって使用される管理サービスを指定する必要があります。指定した管理サービスがEnterprise Manager Framework Securityを利用するように構成されている場合は、エージェント登録パスワードが求められ、インストール時に管理エージェントに対してEnterprise Manager Framework Securityが有効になります。

そうでない場合、管理サービスがEnterprise Manager Framework Security用に構成されていないか、登録パスワードがインストール時に指定されていないと、セキュリティは管理エージェントに対して有効化されません。この場合、管理エージェントに対してEnterprise Manager Framework Securityを後で有効にできます。

管理エージェントに対してEnterprise Manager Framework Securityを有効にするには、管理エージェントのホーム・ディレクトリの次のディレクトリにあるemctl secure agentユーティリティを使用します。

AGENT_HOME/bin (UNIX)
AGENT_HOME\bin (Windows)

emctl secure agentユーティリティでは次の処理が実行されます。

  • 管理エージェントに対する一意のデジタル証明書を含むOracle Walletを管理サービスから取得します。この証明書は、管理エージェントがセキュアな管理サービスとSSL通信を行うために必要です。

  • 管理サービスで登録されている管理エージェントのエージェント・キーを取得します。

  • ネットワーク上でHTTPS経由で使用可能となるように管理エージェントを構成し、それによって管理サービスとのすべての通信で管理サービスのHTTPSアップロードURLを使用するように構成します。

管理エージェントについてEnterprise Manager Framework Securityを有効にするには、次のようにします。

  1. 管理サービスと管理リポジトリを稼働状態にします。

  2. ディレクトリを次のディレクトリに変更します。

    AGENT_HOME/bin (UNIX)
    AGENT_HOME\bin (Windows)
    
  3. 管理エージェントを停止します。

    emctl stop agent
    
  4. 次のコマンドを入力します。

    emctl secure agent (UNIX)
    emctl secure agent (Windows)
    

    emctl secure agentユーティリティはエージェント登録パスワードを要求し、そのパスワードを管理サービスに対して認証して、Enterprise Manager Framework Securityを使用するように管理エージェントを再構成します。


    注意:

    もう1つの方法としてコマンドをすべて1行で入力することもできますが、コマンドを1行で入力すると、パスワードが入力したとおりに画面上に表示されます。
    emctl secure agent agent_registration_pwd (UNIX)
    emctl secure agent agent_registration_pwd (Windows)
    

    例2-8にはemctl secure agentユーティリティの出力例が示されています。

  5. 管理エージェントを再起動します。

    emctl start agent
    
  6. 管理エージェントのホームページをチェックして、管理エージェントが保護されていることを確認します。


    注意:

    また、emctl status agent -secureコマンドを実行するか、emctl status agentコマンドの出力に含まれるエージェントおよびリポジトリのURLをチェックすることによっても、管理エージェントが保護されているかどうかを確認できます。

    管理エージェントのホームページの「一般」セクション(図2-8)の「セキュア・アップロード」フィールドに、Enterprise Manager Framework Securityが管理エージェントに対して有効になっているかどうかが示されます。


    関連項目:

    Enterprise Managerのオンライン・ヘルプのOracle Management Agentのステータス確認に関する項

例2-8 emctl secure agentユーティリティの出力例

emctl secure agent
Oracle Enterprise Manager 11g Release 1 Grid Control.
Copyright (c) 1996, 2010 Oracle Corporation.  All rights reserved.
Securing agent...   Started
Securing agent...   Successful.

例2-9 emctl status agent secureコマンドの出力例

emctl status agent -secure
Oracle Enterprise Manager 11g Release 1 Grid Control
Copyright (c) 1996, 2010 Oracle Corporation.  All rights reserved.
Checking the security status of the Agent at location set in 
/private/home/oracle/product/102/em/agent10g/sysman/config/emd.properties...  
Done.
Agent is secure at HTTPS Port 3872.
Checking the security status of the OMS at 
http://gridcontrol.oraclecorp.com:4889/em/upload/...  Done.
OMS is secure on HTTPS Port 4888

図2-8 管理エージェントのホームページの「セキュア・アップロード」フィールド

管理エージェントのホームページの「セキュア・アップロード」

複数の管理サービス・インストールのセキュリティの有効化

すでにセキュアな管理サービスが稼働しており、同じ管理リポジトリを使用する追加の管理サービスをインストールする場合は、その新しい管理サービスに対してEnterprise Manager Framework Securityを有効にする必要があります。このタスクは、最初の管理サービスを保護する際に使用した、emctl secure omsユーティリティを実行する同じ手順を使用して実行されます。

すでに少なくとも1つのエージェント登録パスワードおよびルート鍵を管理リポジトリで設定しているため、これらを新規の管理サービスについて使用する必要があります。これにより、セキュアな管理エージェントがどの管理サービスに対しても動作できます。

現在の管理リポジトリに割り当てられている登録パスワードはすべて、Oracle Enterprise Manager 11g Grid Controlコンソールの「登録パスワード」ページに一覧表示されます。

新しい管理リポジトリを使用する新しい管理サービスをインストールする場合、その新規の管理サービスは異なるエンタープライズであると認識されます。新規の管理サービスを、異なる管理リポジトリを使用する別の管理サービスと同じセキュリティ関係に加えることはできません。ある管理サービスのセキュアな管理エージェントは、他の管理サービスに対しては動作できません。

管理サービスへのHTTPアクセスの制限

デフォルトでは、Oracle Management ServiceでEnterprise Manager Framework Securityを有効にする場合、HTTPアクセスについてのデフォルト制限はありません。Grid ControlコンソールはHTTP経由でもアクセス可能であり、Oracle Management AgentはHTTPSとHTTP経由でアップロードできます。

ただし、管理サービスのHTTPSチャネルを使用するセキュアな管理エージェント・インストールのみが、管理リポジトリにデータをアップロードでき、Grid ControlコンソールにはHTTPS経由でのみアクセス可能にすることが重要です。

管理エージェントがHTTPS経由でのみ管理サービスにデータをアップロードできるようにアクセスを制限するには、次のようにします。

  1. 管理サービス、WebTier、およびその他のアプリケーション・サーバー・コンポーネントを停止します。

    cd ORACLE_HOME/opmn/bin
    emctl stop oms
    
  2. ディレクトリを管理サービスのホームの次の場所に変更します。

    ORACLE_HOME/bin
    
  3. 次のコマンドを入力して、管理エージェントがHTTP経由で管理サービスにデータをアップロードできないようにします。

    emctl secure lock -upload
    

    • 注意:

      • コンソールをロックしてコンソールへのHTTPアクセスを防ぐには、次のコマンドを入力します。

        emctl secure lock -console
        
      • 両方ともロックするには次のコマンドのいずれかを入力します。

        emctl secure lock or 
        emctl secure lock -upload -console
        
      • 管理サービス上でセキュリティを有効化する一方で、コンソール・アクセスとエージェントからのアップロードの両方をロックするには、次のコマンドを入力します。

        emctl secure oms -lock [other options]
        

  4. 管理サービス、WebTier、およびその他のアプリケーション・サーバー・コンポーネントを再起動します。

    cd ORACLE_HOME/opmn/bin
    emctl start oms
    
  5. HTTPプロトコルを使用して管理エージェントのアップロードURLにアクセスできないことを検証します。

    たとえば、次のURLにナビゲートします。

    http://hostname.domain:4889/em/upload
    

    次のメッセージと同様のエラー・メッセージが返されます。

    ForbiddenYou are not authorised to access this resource on the server.
    
  6. HTTPSプロトコルを使用して管理エージェントのアップロードURLにアクセスできることを検証します。

    たとえば、次のURLにナビゲートします。

    https://hostname.domain:4888/em/upload
    

    次のメッセージが返されますが、これは管理エージェントを保護するためにセキュアなアップロード・ポートが使用可能であることを示すものです。

    Http XML File receiverHttp Recceiver Servlet active!
    

管理サービスがセキュアではない管理エージェントからのアップロードを受け取れるようにするには、次のコマンドを使用します。

emctl secure unlock -upload

注意:

  • コンソールをロック解除してコンソールへのHTTPアクセスを許可するには、次のコマンドを入力します。

    emctl secure unlock -console
    
  • 両方ともロック解除するには次のコマンドのいずれかを入力します。

    emctl secure unlock
    emctl secur unlock -console -upload
    

例2-10 emctl secure lockコマンドの出力例

emctl secure lock
Oracle Enterprise Manager 11g Release 1 Grid Control
Copyright (c) 1996, 2010 Oracle Corporation.  All rights reserved.
OMS Console is locked. Access the console over HTTPS ports.
Agent Upload is locked. Agents must be secure and upload over HTTPS port.

例2-11 emctl secure unlockコマンドの出力例

emctl secure unlock
Oracle Enterprise Manager 11g Release 1 Grid Control
Copyright (c) 1996, 2010 Oracle Corporation.  All rights reserved.
OMS Console is unlocked. HTTP ports too can be used to access console.
Agent Upload is unlocked. Unsecure Agents may upload over HTTP.

Oracle Enterprise Manager 11g Grid ControlコンソールへのHTTPアクセスを制限するには、emctl secure lock -consoleコマンドを使用します。

エージェント登録パスワードの管理

Enterprise Managerでは、Oracle Management AgentのインストールがデータをOracle Management Serviceにロードする権限を持つことを検証するために、エージェント登録パスワードを使用します。

エージェント登録パスワードは、Oracle Management Serviceに対してセキュリティが有効な場合、インストール時に作成されます。


注意:

新しいエージェントがOracle Management Serviceに登録されないようにするには、すべての登録パスワードを削除してください。

Grid Controlコンソールを使用したエージェント登録パスワードの管理

Grid Controlコンソールを使用して既存の登録パスワードの管理、または追加の登録パスワードの作成ができます。

  1. Grid Controlコンソールのページの上部にある「設定」をクリックします。

  2. 「登録パスワード」をクリックします。

    Enterprise Managerに「登録パスワード」ページが表示されます(図2-9)。emctl secure omsコマンドの実行時に作成した登録パスワードが「登録パスワード」表に表示されます。

  3. 「登録パスワード」ページを使用して登録パスワードの変更、追加の登録パスワードの作成、または現在の管理リポジトリに関連付けられている登録パスワードの削除を行います。

図2-9 Grid Controlコンソールでの登録パスワードの管理

Grid Controlコンソールでの登録パスワードの管理

「登録パスワード」ページで管理エージェント登録パスワードを作成または編集するとき、パスワードを永続的にして複数の管理エージェントで使用するのか、1回のみまたは事前定義した期間のみ使用するのかを選択できます。

たとえば、管理者が特定のホストに管理エージェントをインストールすることを要求した場合、管理者が1つの管理エージェントをインストールおよび構成するために使用する、1回のみのパスワードを作成できます。

このケースとは逆に、期限切れになり管理者が新規パスワードを求めることが必要になるまで、次の2週間ずっと管理者が使用できる永続的なパスワードを作成することもできます。

emctlを使用した新しいエージェント登録パスワードの追加

新しいエージェント登録パスワードを追加するには、管理サービスがインストールされているマシン上で次のemctlコマンドを使用します。

emctl secure setpwd [-sysman_pwd] [new registration pwd]

emctl secure setpwdコマンドを使用するには、エージェント登録パスワードの追加を認証するため、Enterprise Managerのスーパー管理者ユーザーであるsysmanのパスワードが必要になります。

エージェント登録パスワードを変更する場合は、新規の管理エージェントのインストール、既存の管理エージェントに対するEnterprise Manager Framework Securityの有効化、または追加の管理サービスのインストールなどを行う必要がある他のEnterprise Manager管理者に、新しいパスワードを伝える必要があります。

他のセキュリティ・パスワードと同様に、定期的かつ頻繁にエージェント登録パスワードを変更し、パスワードが広く知られることのないようにしてください。

サーバー・ロード・バランサによるセキュリティの有効化

サーバー・ロード・バランサ(SLB)の裏で使用可能な管理サービスをデプロイする場合は、その管理サービスが使用可能なDNSホスト名に対して特別の注意が必要です。管理サービスは、myhost.mycompany.comなどの特定のローカル・ホストで稼働している場合もありますが、管理エージェントは、サーバー・ロード・バランサに割り当てられているホスト名を使用して管理サービスにアクセスします。たとえば、oracleoms.mycompany.comです。

このため、管理サービスに対してEnterprise Manager Framework Securityを有効化する場合は、サーバー・ロード・バランサのホスト名が、SSL通信のために管理サービスによって使用される証明書に埋め込まれていることを確認してください。これを行うには、次のコマンドを入力します。

これは、emctl secure omsを使用し、次のように、追加の-hostパラメータを使用してホスト名を指定することにより行うことができます。

  • 次のコマンドを入力して管理サービス上でセキュリティを有効化します。

    emctl secure oms -host <slb_hostname> [-slb_console_port <slb UI port>] [-slb_port <slb upload port>] [other params]

  • サーバー・ロード・バランサ上に仮想サーバーとプールを作成します。

  • 次のURLを使用してコンソールにアクセスできることを検証します。

    https://slbhost:slb_console_port/em

  • 次のコマンドを使用して、サーバー・ロード・バランサでエージェントを再度保護します。

    emctl secure agent -emdWalletSrcUrl <SLB Upload or UI URL>

    次に例を示します。

    Agent_Home/bin/emctl secure agent -emdWalletSrcUrl https://slbost:slb_upload_port/em https://slbost:slb_upload_port/em

管理リポジトリ・データベースのセキュリティの有効化

この項ではOracle Management Repositoryのセキュリティを有効にする方法を説明します。この項では次のトピックについて説明します。

Oracle Advanced Securityとsqlnet.ora構成ファイルについて

管理リポジトリのセキュリティはOracle Advanced Securityを使用して有効にします。Oracle Advanced SecurityはOracleデータベースと双方向に転送されるデータのセキュリティを強化します。


関連項目:

『Oracle Database Advanced Security管理者ガイド』

管理リポジトリのデータベースについてOracle Advanced Securityを有効にするには、sqlnet.ora構成ファイルを変更する必要があります。sqlnet.ora構成ファイルは、Oracle Advanced Securityパラメータなどの様々なデータベース接続パラメータを定義するために使用されます。

sqlnet.oraファイルはデータベース・ホームの次のサブディレクトリにあります。

ORACLE_HOME/network/admin

管理リポジトリおよびその管理リポジトリと通信する管理サービスについてセキュリティを有効にした後で、管理エージェント・ホーム・ディレクトリのsqlnet.ora構成ファイルを変更して、管理エージェントに対するOracle Advanced Securityも構成する必要があります。

管理サービスおよび管理リポジトリの両方がOracle Advanced Securityを使用するように構成されていることが重要です。構成されていない場合、管理サービスが管理リポジトリへの接続を試行した際にエラーが発生します。たとえば、管理サービスでは次のエラーが返される場合があります。

ORA-12645: Parameter does not exist

この問題を解決するには、管理サービスおよび管理リポジトリの両方が次の項で記述されているとおりに構成されるようにしてください。


注意:

この項の手順は、Oracle Advanced Securityが有効になるようにsqlnet.ora構成ファイルを手動で変更する方法を示しています。もう1つの方法として、『Oracle Database Advanced Security管理者ガイド』に記述されている管理ツールを使用してこの変更を行うことができます。

セキュアな管理リポジトリ・データベースへ接続するための管理サービスの構成

管理サービス・データベースに対してOracle Advanced Securityを有効にしている場合、または管理リポジトリ・データベースに対してOracle Advanced Securityを有効にする予定の場合は、次の手順を実行し、管理サービスに対してOracle Advanced Securityを有効にします。

  1. 管理サービスを停止します。

    ORACLE_HOME/bin/emctl stop oms
    
  2. emctl set propertyコマンドを使用してemoms.propertiesを設定します。

  3. 管理サービスを再起動します。

    ORACLE_HOME/bin/emctl start oms
    

表2-4 Enterprise Managerプロパティ・ファイル内のOracle Advanced Securityプロパティ

プロパティ 説明

oracle.sysman.emRep.dbConn.enableEncryption

Enterprise Managerが管理サービスと管理リポジトリの間で暗号化を使用するかどうかを定義します。可能な値はTRUEおよびFALSEです。デフォルト値はTRUEです。次に例を示します。

oracle.sysman.emRep.dbConn. enableEncryption=true

oracle.net.encryption_client

管理サービスの暗号化要件を定義します。可能な値は、REJECTED、ACCEPTED、REQUESTEDおよびREQUIREDです。デフォルト値はREQUESTEDです。つまり、データベースでセキュアな接続がサポートされている場合は管理サービスでセキュアな接続が使用され、サポートされていない場合はセキュアではない接続が使用されます。

次に例を示します。

oracle.net. encryption_client=REQUESTED

oracle.net.encryption_types_client

クライアントでサポートされている別の種類の暗号化アルゴリズムを定義します。可能な値は丸カッコで囲まれています。デフォルト値は( DES40C )です。

次に例を示します。

oracle.net. encryption_types_client=( DES40C )

oracle.net.crypto_checksum_client

クライアントのチェックサム要件を定義します。

可能な値は、REJECTED、ACCEPTED、REQUESTEDおよびREQUIREDです。

デフォルト値はREQUESTEDです。つまり、サーバーでチェックサム対応接続がサポートされている場合は管理サービスでその接続が使用され、サポートされていない場合は通常接続が使用されます。

次に例を示します。

oracle.net. crypto_checksum_client=REQUESTED

oracle.net.crypto_checksum_types_client

クライアントでサポートされている別の種類のチェックサム・アルゴリズムを定義します。

可能な値は丸カッコで囲まれています。デフォルト値は( MD5 )です。

次に例を示します。

oracle.net. crypto_checksum_types_client=( MD5 )


管理リポジトリに対するOracle Advanced Securityの有効化

データベースが保護され、暗号化されたデータのみがデータベース・サーバーとその他のソースの間で転送されることを確実にするため、Oracle Databaseのドキュメント・ライブラリで入手可能なセキュリティに関するドキュメントを参照します。


関連項目:

『Oracle Database Advanced Security管理者ガイド』

次の手順は、管理リポジトリ・データベースおよびそのデータベースと管理サービスとの接続に対してOracle Advanced Securityが有効になっていることを確認する方法の例です。

  1. データベースのOracleホームの次のディレクトリにあるsqlnet.ora構成ファイルを探します。

    ORACLE_HOME/network/admin
    
  2. テキスト・エディタを使用して、sqlnet.oraファイル内で次のエントリ(または同様のエントリ)を探します。

    SQLNET.ENCRYPTION_SERVER = REQUESTED
    SQLNET.CRYPTO_SEED = "abcdefg123456789"
    

    関連項目:

    『Oracle Application Server管理者ガイド』のOracleサーバーおよびクライアントに対するネットワーク・データ暗号化および整合性の構成に関する項

  3. 変更を保存してテキスト・エディタを終了します。

セキュアな管理リポジトリまたはデータベースを監視している管理エージェントのセキュリティの有効化

管理リポジトリについてOracle Advanced Securityを有効にした後で、管理リポジトリを監視する管理エージェントについてもOracle Advanced Securityを有効にする必要があります。

  1. 管理リポジトリを監視している管理エージェントのホーム・ディレクトリの、次のディレクトリにあるsqlnet.ora構成ファイルを探します。

    AGENT_HOME/network/admin (UNIX)
    AGENT_HOME\network\admin (Windows)
    
  2. テキスト・エディタを使用して、sqlnet.ora構成ファイルに次のエントリを追加します。

    SQLNET.CRYPTO_SEED = "abcdefg123456789"
    

    SQLNET.CRYPTO_SEEDは、10〜70文字の任意の文字列になります。


    関連項目:

    『Oracle Application Server管理者ガイド』のOracleサーバーおよびクライアントに対するネットワーク・データ暗号化および整合性の構成に関する項

  3. 変更を保存してテキスト・エディタを終了します。

  4. 管理エージェントを再起動します。

サード・パーティの証明書の構成

次に対してサード・パーティの証明書を構成できます。

  • HTTPSアップロード仮想ホスト

  • HTTPSコンソール仮想ホスト


注意:

サポートされるのはシングル・サインオンのウォレットのみです。

HTTPSアップロード仮想ホスト用のサード・パーティの証明書の構成

次の2種類の方法で、HTTPSアップロード仮想ホスト用のサード・パーティの証明書を構成できます。

方法1

  1. グリッド内のOMSごとにウォレットを作成します。

  2. ウォレットを作成する際に、OMSがインストールされているマシンのホスト名、またはロード・バランサ名(OMSがロード・バランサ内にある場合)を共通名に指定します。

  3. 証明連鎖に含まれるすべての認証局(ルート認証局、中間認証局など)の証明書をtrusted_certs.txtという名前のファイルに記述します。

  4. OMSと通信する各エージェントを実行中のホスト・マシンにtrusted_certs.txtファイルをダウンロードまたはコピーします。

  5. the add_trust_certコマンドの実行後、エージェントを再起動します。

    emctl secure add_trust_cert -trust_certs_loc <location of the trusted_certs.txt file>
    
  6. OMSを保護して再起動します。

    emctl secure oms -wallet <location of wallet> -trust_certs_loc <loc of trusted_certs.txt> [any other options]
    

方法2

  1. グリッド内のOMSごとにウォレットを作成します。

  2. OMSがインストールされているマシンのホスト名、またはロード・バランサ名(OMSがロード・バランサ内にある場合)を共通名に指定します。

  3. 証明連鎖に含まれるすべての認証局(ルート認証局、中間認証局など)の証明書をtrusted_certs.txtという名前のファイルに記述します。

  4. OMSを保護した後、再起動します。

    emctl secure oms -wallet <location of wallet> -trust_certs_loc <loc of trusted_certs.txt> [any other options]
    
  5. emctl secure agentコマンドを実行してエージェントを再度保護するか、emctl secure add_trust_cert -trust_certs_loc <trusted_certs.txtファイルの格納場所>コマンドを実行してトラスト・ポイントをインポートします。-trust_certs_locパラメータには、trusted_certs.txtファイルのパスとファイル名を含める必要があります。このファイルには、Base64形式の証明書のみが含まれ、特殊文字や空の行は含まれません。

HTTPS WebTier仮想ホスト用のサード・パーティの証明書の構成

HTTPS WebTier仮想ホスト用のサード・パーティの証明書を構成する手順は、次のとおりです。

  1. グリッド内のOMSごとにウォレットを作成します。OMSがインストールされているマシンのホスト名、またはロード・バランサ名(OMSがロード・バランサ内にある場合)を共通名に指定します。

  2. OMSごとに次のコマンドを実行します。

    emctl secure console -wallet <location of wallet>
    

    注意:

    サポートされるのはシングル・サインオンのウォレットのみです。


注意:

emctl secure agentコマンドを使用してApplication Server Controlコンソールを保護する前に、Application Server Controlコンソールを停止するようにしてください。

Application Server Controlのセキュリティを構成するには、次の手順を使用します。

  1. IAS_HOME/binディレクトリで次のコマンドを入力してApplication Server Controlコンソールを停止します。

    $PROMPT> ./emctl stop iasconsole
    
  2. ORACLE_HOME/binディレクトリで次のコマンドを入力します。

    $PROMPT> ./emctl secure em
    

    Enterprise Managerにより、Application Server Controlコンソールが保護されます。emctl secure emコマンドの出力例は、例4-8を参照してください。

  3. IAS_HOME/binディレクトリで次のコマンドを入力してApplication Server Controlコンソールを起動します。

    $PROMPT> ./emctl start iasconsole
    
  4. Webブラウザに次のURLを入力してApplication Server Controlコンソールのセキュリティをテストします。

    https://hostname:port/
    

    次に例を示します。

    https://mgmthost1:1812/
    

例2-12 emctl secure emコマンドの出力例

$PROMPT> ./emctl secure em
Oracle Enterprise Manager 9.0.4
Copyright (c) 2002, 2003 Oracle Corporation.  All rights reserved.
Generating Standalone Console Root Key (this takes a minute)...   Done.
Fetching Standalone Console Root Certificate...   Done.
Generating Standalone Console Agent Key...   Done.
Generating Oracle Wallet for the Standalone Console Agent...   Done.
Configuring Agent for HTTPS...   Done.
EMD_URL set in /dsk01/oracle/appserver1/sysman/config/emd.properties
Generating Standalone Console Java Keystore...   Done.
$PROMPT>

Database Controlのセキュリティの構成

この項では、Oracle Enterprise Manager 10g Grid Controlのセキュリティのアーキテクチャおよび構成について説明します。


関連項目:


Enterprise Managerへのすべての接続に対してSecure Socket Layer(SSL)プロトコルおよびHTTPSを使用し、有効なデジタル・セキュリティ証明書を使用することをお薦めします。

Database Controlのセキュリティを構成する手順は、次のとおりです。

  1. ORACLE_HOME/binディレクトリ(UNIX)またはORACLE_HOME\bin(Windows)で次のコマンドを入力してDatabase Controlを停止します。

    $PROMPT> ./emctl stop dbconsole (UNIX)
    $PROMPT> emctl stop dbconsole (Windows)
    

    関連項目:


  2. ディレクトリをORACLE_HOME/binディレクトリまたはORACLE_HOME\bin(Windows)に変更し、次のemctlコマンドを入力します。

    $PROMPT> ./emctl secure dbconsole (UNIX)
    $PROMPT> emctl secure dbconsole (Windows)
    

    Enterprise Managerでは、Enterprise Managerのルート・パスワードを入力するよう求められます。

  3. SYSMANデータベース・ユーザーのパスワードを入力します。

    Enterprise Managerでは、エージェント登録パスワードを指定するよう求められます。このパスワードは、管理サービスへの接続を試行するすべての管理エージェントについて必要な新しいパスワードです。

  4. 管理サービスのエージェント登録パスワードを指定します。

    Enterprise Managerでは、管理サービスのホスト名を確認するよう求められます。

  5. 管理サービスが存在するホストの名前を入力します。

    emctl secureユーティリティでは、Framework Securityを有効にするようにManagement Serviceが再構成されます。管理サービスが稼働中の場合は、Enterprise Managerによって管理サービスが再起動されます。

    操作が終了すると、Enterprise Managerのコンポーネント間の通信が保護されます。

    また、HTTPSプロトコルを使用してGrid Controlコンソールにアクセスできるようになります。

  6. ORACLE_HOME/binディレクトリ(UNIX)またはORACLE_HOME\bin(Windows)で次のコマンドを入力してDatabase Controlを起動します。

    $PROMPT> ./emctl start dbconsole (UNIX)
    $PROMPT> emctl start dbconsole (Windows)
    

    関連項目:


  7. Webブラウザに次のURLを入力してDatabase Controlのセキュリティをテストします。

    https://hostname:port/em
    

    次に例を示します。

    https://dbhost1:1820/em
    

    注意:

    もう1つの方法としてemctl secure dbconsoleコマンドをすべて1行で入力することもできますが、コマンドを1行で入力すると、パスワードが入力したとおりに画面上に表示されます。

    $PROMPT> emctl secure dbconsole sysman_pwd agent_reg_pwd


管理対象ターゲットへのアクセス

この項では、次のトピックについて説明します。

資格証明サブシステム

ユーザー名やパスワードなどの資格証明は、通常、データベース、アプリケーション・サーバーおよびホストなどのターゲットにアクセスする際に必要です。資格証明は暗号化され、Enterprise Managerに保存されます。適切な資格証明を使用することにより、次が可能になります。

  • バックグラウンドおよびリアルタイムでのメトリックの収集

  • バックアップ、パッチ適用およびクローニングなどのジョブの実行

  • 起動および停止などのリアルタイムのターゲット管理の実行

  • My Oracle Supportへの接続

資格証明はその使用方法に基づいて、次のカテゴリに分類できます。

  • ジョブ資格証明: ジョブ・システムでは資格証明サブシステムを使用して、ターゲットに対するジョブの発行に必要な資格証明を取得します。管理者は、EMコンソールの「プリファレンス」セクションでその優先資格証明とデフォルトの資格証明を定義できます。デフォルトの資格証明をオーバーライドするには、ジョブの発行時に別の資格証明を指定します。


    注意:

    ユーザーが優先資格証明の使用を選択する場合、ジョブの発行時に優先資格証明が使用されます。優先資格証明を利用できない場合、デフォルトの資格証明が使用されます。デフォルトの資格証明がない場合、ジョブは発行できません。

  • 監視資格証明: 管理エージェントで特定のタイプのターゲットを監視する場合に使用されます。たとえば、ほとんどのデータベース監視機能ではデータベースに接続する必要があり、接続の際にユーザー名、パスワードおよびロール(オプション)が必要になります。監視資格証明がリポジトリに保存される場合、OMSから直接ターゲットに接続する管理アプリケーションでも監視資格証明を使用できる可能性があります。

  • 収集資格証明: ユーザー定義メトリックに関連付けられています。

資格証明の使用と管理を簡単にするために、Enterprise Managerで次の機能を利用できます。

  • 優先資格証明: ターゲットのログイン資格証明を管理リポジトリに格納し、管理対象ターゲットへのアクセスを容易にします。ユーザーは、優先資格証明セットを使用して、これらの資格証明を認識するEnterprise Managerターゲットにログインを要求されることなくアクセスできます。優先資格証明はユーザー単位で設定されるため、管理対象のエンタープライズ環境のセキュリティを確保できます。

    • デフォルトの資格証明: 特定のターゲット・タイプに設定可能で、そのターゲット・タイプのすべてのターゲットに利用できます。ターゲットの優先資格証明が優先されます。

    • ターゲットの資格証明: 特定のターゲットに設定される優先資格証明です。ジョブ・システム、パッチなどのアプリケーションで使用できます。たとえば、ユーザーがジョブの発行時に優先資格証明の使用を選択する場合、ターゲットに設定された優先資格証明(ターゲット資格証明)が使用されます。ターゲット資格証明がない場合、(そのターゲット・タイプの)デフォルトの資格証明が使用されます。デフォルトの資格証明がない場合、ジョブは失敗します。指定しない場合、優先資格証明はターゲットの優先資格証明をデフォルトで参照します。

たとえば、ホストの優先資格証明を設定するには、「プリファレンス」をクリックして「プリファレンス」ページにナビゲートします。右パネルで「優先資格証明」をクリックします。「優先資格証明」ページで、ホストの「資格証明の設定」アイコンをクリックします。「ホストとクラスタの優先資格証明」が表示されます。

図2-10 ホストとクラスタの優先資格証明

図2-10は、周囲のテキストで説明されています。

このページでは、ホストとクラスタのターゲット・タイプのデフォルトの資格証明と明示的な優先資格証明をどちらも設定できます。優先資格証明の設定の詳細は、Enterprise Managerオンライン・ヘルプを参照してください。

EMCLIを使用した資格証明の管理

EMCLI動詞を使用してパスワードを管理できます。EMCLIを使用すると、次のことが可能です。

  • ターゲット・データベースとEnterprise Managerの両方でデータベース・ユーザー・パスワードを変更します。

    emcli update_db_password -change_at_target=Yes|No -change_all_reference=Yes|No
    
  • ホスト・ターゲットですでに変更されているパスワードを更新します。

    emcli update_host_password -change_all_reference=Yes|No
    
  • 指定のユーザーの優先資格証明を設定します。

    emcli set_credential
          -target_type="ttype"
          [-target_name="tname"]
          -credential_set="cred_set"
          [-user="user"]
          -columns="col1:newval1;col2:newval2;PDP:SUDO/POWERBROKER;RUNAS:oracle;          PROFILE:user1..."
          [-input_file="tag1:file_path1;tag2:file_path2;..."]
          [-oracle_homes="home1;home2"]
          [-monitoring]
    

これらの動詞の説明の詳細は、『Oracle Enterprise Managerコマンドライン・インタフェース』ガイドを参照してください。

ホストのプラッガブル認証モジュール(PAM)のサポート

プラッガブル認証モジュール(PAM)は、高度なアプリケーション・プログラミング・インタフェース(API)に複数の下位の認証スキームを統合するメカニズムです。PAMにより、基本の認証スキームとは別に、認証に依存するプログラムを作成できます。PAMを使用する場合、ホストにアクセスするユーザーを認証する際にローカルのパスワード・ファイルではなく、LDAP、RADIUSおよびKerberorsなどの認証メカニズムを利用できます。ホスト認証をPAMで構成する場合、PAM認証を有効にするには管理エージェントを適宜構成する必要があります。デプロイの詳細は、ノート422073.1を参照してください。


注意:

ローカルのパスワード・ファイル(通常は/etc/passwd)が最初にチェックされて使用されます。このファイルが使用される場合は、LDAPパスワードと同期化する必要があります。この同期化が失敗した場合、管理エージェントは外部の認証モジュールに切り替えます。

RHEL4ユーザーのPAMの構成

RHEL4ユーザーの場合、PAMファイルの構成は次のようになります。

#%PAM-1.0
auth required pam_ldap.so
account required pam_ldap.so
password required pam_ldap.so
session required pam_ldap.so

詳細は、https://www.redhat.com/docs/manuals/enterprise/RHEL-4-Manual/ref-guide/s1-pam-format.htmlを参照してください。

AIXユーザーのPAMの構成

AIXユーザーの場合、edit/etc/pam.confファイルを使用して次の行を追加します。

emagent auth    required        /usr/lib/security/pam_aix
emagent account required        /usr/lib/security/pam_aix
emagent password  required      /usr/lib/security/pam_aix
emagent session required        /usr/lib/security/pam_aix

ファイルの編集後、パッチ5527130を適用してroot.shを実行します。

sudoおよびPowerBrokerのサポート

権限委任により、別のユーザーの権限を使用したアクティビティの実行をログイン・ユーザーに許可します。sudoおよびPowerbrokerは、ログイン・ユーザーにこれらの権限を割当てできる権限委任ツールです。通常、特定のユーザーに付与される権限は、集中管理されます。たとえば、sudoコマンドを使用すると、root権限でのアクセスが必要なスクリプトを実行できます。

sudo root root.sh

前述の例のsudoの起動では、管理者は、システム管理者によって適切な権限が付与されている場合、sudoコマンドを使用してスクリプトをrootとして実行できます。Enterprise Managerの優先資格証明を使用すると、sudoとPowerbrokerという2つのタイプの権限委任ツールを使用できます。EMCLIまたは「権限委任設定の管理」ページを使用すると、ホストの権限委任設定を設定または編集できます。コマンドラインの使用方法の詳細は、『Oracle Enterprise Managerコマンドライン・インタフェース』を参照してください。

sudo: sudoを使用すると、許可されたユーザーは、sudoersファイルで指定されているスーパーユーザーまたは別のユーザーとしてコマンドを実行できます。コマンド起動元のユーザーがrootである、またはターゲット・ユーザーがコマンド起動元のユーザーと同じ場合は、パスワードが不要です。それ以外の場合、sudoでは、ユーザーがデフォルトでパスワードを使用して自身を認証する必要があります。ユーザーが認証されると、タイムスタンプが更新され、該当ユーザーはパスワードなしで短期間(sudoers内で上書きされないかぎり5分間)sudoを使用できます。ユーザーに権限が付与されているかどうかは、/etc/sudoersファイルをチェックして判断されます。詳細は、UNIXのsudo(man sudo)に関するマニュアル・ページを参照してください。Enterprise Managerはsudoを使用してユーザーを認証し、sudoとしてスクリプトを実行します。たとえば、実行するコマンドがfoo -arg1 -arg2の場合、sudo -S foo -arg1 -arg2として実行されます。

PowerBroker: Symark PowerBrokerの場合、UNIXのシステム管理者は、root(または他の重要なアカウント)として特定のプログラムを他のユーザーが実行できる環境を指定できます。そのため、ユーザー・アカウントの追加やライン・プリンタ・キューの固定といったアクションの担当を、rootのパスワードを公開することなく、適切な要員に安全に割り当てることができます。その結果、rootの権限全体を、データベースやファイルの権限の変更、ディスクの消去、またはより捉えにくい破損といった誤用や乱用から保護できます。Symark PowerBrokerは、一般的なシステム管理タスクを実行する既存のプログラムや、その独自のユーティリティ・セットにアクセスできます。Symark PowerBroker上で動作するように開発されているユーティリティでは、パスワード、アカウント、バックアップ、ライン・プリンタ、ファイルの所有権や削除、再起動、ユーザーのログアウト、ユーザー・プログラムの中断、どのユーザーがどこからどこにログインが許可されているかのチェックなどを管理できます。また、TCP/IP、ロード・バランサ、cron、NIS、NFS、FTP、rlogin、アカウンティング・サブシステムの管理も提供できます。ユーザーは、制限付きのシェルやエディタを使用し、rootとして特定のプログラムやファイルにアクセスできます。設定および構成の詳細は、sudoまたはPowerBrokerに関するドキュメントを参照してください。

権限委任設定の作成

Enterprise Managerでは、ホスト・ターゲット上で設定を直接作成するか、複数のホストに適用可能なPDP設定テンプレートを作成することにより、権限委任設定を作成できます。

ホスト上で権限委任設定を直接作成する手順は、次のとおりです。

  1. Enterprise Managerにログインして「設定」ページにナビゲートします。左パネルで「権限委任設定の管理」をクリックします。次の画面が表示されます。

    図2-11 権限委任設定の管理

    権限委任設定の管理
  2. 表に表示された任意のホストについて、「編集」をクリックします。「ホスト権限委任設定」ページが表示されます。

  3. 権限委任タイプ(sudoまたはPowerBroker)を選択します。

  4. 使用する権限委任コマンドを入力します。PowerBrokerの場合、オプションの「パスワード・プロンプト」を入力します。

  5. 「更新」をクリックし、設定をホストに適用します。次の図は、PowerBroker設定の作成に使用できる「ホスト権限委任設定」ウィンドウを示しています。

    図2-12 ホスト権限委任設定 - PowerBroker

    ホスト権限委任設定 - PowerBroker

    権限委任設定を作成したら、選択したターゲットにこの設定を適用する必要があります。この設定はもう1つのホストやコンポジット(グループ)・ターゲットに適用できます(グループには少なくとも1つのホスト・ターゲットが含まれている必要があります)。Grid Controlコンソールを使用して権限委任設定を適用するには、Enterprise Managerのホームページで「設定」をクリックして、左メニュー・パネルで「権限委任設定の管理」を選択します。

暗号化のサポート

Enterprise Managerの機密データの整合性を保護するために、emkeyと呼ばれるサインオン検証方法が使用されます。暗号化キーは、パスワードや優先資格証明など、リポジトリに格納される機密データを暗号化および複合化するために使用されるマスター・キーです。キー自体は最初にリポジトリに格納されます。最初OMSのインストール時にリポジトリから削除されて資格証明ストアにコピーされます(emkeyはすぐに保護されます)。バックアップはOMS_ORACLE_HOME/sysman/config/emkey.oraに作成されます。このファイルのバックアップを他のマシンにも作成しておくことをお薦めします。設定時、OMSは資格証明ストアとリポジトリからemkeyを読み込みます。emkeyが見つからない場合や破損している場合は、開始できません。キーをEnterprise Managerスキーマとは別個に格納することにより、スキーマ所有者やリポジトリ内の他のSYSDBAユーザー(データベースの管理タスクを実行する権限を持つユーザー)がリポジトリ内の優先資格証明などの機密データにアクセスできないようにします。また、キーをスキーマから隔離することにより、リポジトリのバックアップへのアクセス時にも機密データにアクセスできないようにします。さらに、スキーマ所有者がOMS/リポジトリのOracleホームにアクセスアクセスできないようにすることも必要です。

emkeyの構成

emkeyは、ホストのパスワード、データベースのパスワードなど、Enterprise Manager内の機密性の高いデータを暗号化および複合化するために使用される暗号化キーです。デフォルトでは、emkeyは、$ORACLE_HOME/sysman/config/emkey.oraファイル内に格納されます。このファイルの場所は変更可能です。


警告:

emkey.oraファイルが消失または破損した場合、管理リポジトリ内の暗号化されたデータはすべて使用不可になります。このファイルのバックアップ・コピーを別のシステムに保存してください。


起動時に、Oracle Management Serviceは、emkeyのステータスを確認します。emkeyが適切に構成されている場合、暗号化および複合化データが使用されます。emkeyが適切に構成されていない場合、次のエラー・メッセージが表示されます。

例2-13 emctl start omsコマンド

Oracle Enterprise Manager 11g Release 1 Grid Control
Copyright (c) 1996, 2010 Oracle Corporation.  All rights reserved.
emctl start omsStarting HTTP Server ...Starting Oracle Management Server ...Checking Oracle Management Server Status ...Oracle Management Server is not functioning because of the following reason:The Em Key is not configured properly. Run "emctl status emkey" for more details.

emctlコマンド

emkeyに関連するemctlコマンドを次に示します。

  • emctl status emkey [-sysman_pwd <パスワード>]

  • emctl config emkey -copy_to_credstore [-sysman_pwd <パスワード>]

  • emctl config emkey -copy_to_repos [-sysman_pwd <パスワード>]

  • emctl config emkey -remove_from_repos [-sysman_pwd <パスワード>]

  • emctl config emkey -copy_to_file_from_credstore -admin_host <ホスト> -admin_port <ポート> -admin_user <ユーザー名> [-admin_pwd <パスワード>] [-repos_pwd <パスワード>] -emkey_file <emkeyファイル>

  • emctl config emkey -copy_to_file_from_repos (-repos_host <ホスト> -repos_port <ポート> -repos_sid <SID> | -repos_conndesc <接続記述子>) -repos_user <ユーザー名> [-repos_pwd <パスワード>] [-admin_pwd <パスワード>] -emkey_file <emkeyファイル>

  • emctl config emkey -copy_to_credstore_from_file -admin_host <ホスト> -admin_port <ポート> -admin_user <ユーザー名> [-admin_pwd <パスワード>] [-repos_pwd <パスワード>] -emkey_file <emkeyファイル>

  • emctl config emkey -copy_to_repos_from_file (-repos_host <ホスト> -repos_port <ポート> -repos_sid <SID> | -repos_conndesc <接続記述子>) -repos_user <ユーザー名> [-repos_pwd <パスワード>] [-admin_pwd <パスワード>] -emkey_file <emkeyファイル>

emctl status emkey

このコマンドは、emkeyの状態またはステータスを示します。emkeyのステータスに応じて、次のメッセージが表示されます。

  • emkeyが資格証明ストアで正しく構成されている場合、次のメッセージが表示されます。

    例2-14 emctl status emkey - 例1

    Oracle Enterprise Manager 11g Release 1 Grid Control
    Copyright (c) 1996, 2010 Oracle Corporation.  All rights reserved.
    The EmKey is configured properly, but is not secure. Secure the EmKey by running "emctl config emkey -remove_from_repos"
    
  • emkeyが資格証明ストアで正しく構成され、管理リポジトリから削除されている場合、次のメッセージが表示されます。

    例2-15 emctl status emkey - 例2

    Oracle Enterprise Manager 11g Release 1 Grid Control
    Copyright (c) 1996, 2010 Oracle Corporation.  All rights reserved.
    The EMKey exists in the Management Repository, but is not configured properly or is corrupted in the credential store.
    Configure the EMKey by running "emctl config emkey -copy_to_credstore".
    
  • emkeyが資格証明ストアで破損し、管理リポジトリから削除されている場合、次のメッセージが表示されます。

    例2-16 emctl status emkey - 例3

    Oracle Enterprise Manager 11g Release 1 Grid Control
    Copyright (c) 1996, 2010 Oracle Corporation.  All rights reserved.
    The EMKey is not configured properly or is corrupted in the credential store and does not exist in the Management Repository. To correct the problem:1) Get the backed up emkey.ora file.
    2) Configure the emkey by running "emctl config emkey -copy_to_credstore_from_file"
    

emctl config emkey -copy_to_credstore

このコマンドは、emkeyを管理リポジトリから資格証明ストアにコピーします。

例2-17 emctl config emkey -copy_to_credstoreコマンドの出力例

emctl config emkey -copy_to_credstore [-sysman_pwd <pwd>]
Oracle Enterprise Manager 11g Release 1 Grid Control  
Copyright (c) 1996, 2010 Oracle Corporation.  All rights reserved.
The EMKey has been copied to the Credential Store.

emctl config emkey -copy_to_repos

このコマンドは、emkeyを資格証明ストアから管理リポジトリにコピーします。

例2-18 emctl config emkey -copy_to_reposコマンドの出力例

emctl config emkey -copy_to_repos [-sysman_pwd <pwd>]Oracle Enterprise Manager 11g Release 1 Grid Control  Copyright (c) 1996, 2010 Oracle Corporation.  All rights reserved.The EMKey has been copied to the Management Repository. This operation will cause the EMKey to become unsecure.After the required operation has been completed, secure the EMKey by running "emctl config emkey -remove_from_repos".

emctl config emkey -copy_to_file_from_credstore

このコマンドは、emkeyを資格証明ストアから指定のファイルにコピーします。

例2-19 emctl config emkey -copy_to_file_from_credstoreコマンドの出力例

emctl config emkey -copy_to_file_from_credstore -admin_host <host> -admin_port
<port> -admin_user <username> [-admin_pwd <pwd>] [-repos_pwd <pwd>] -emkey_file
<emkey file>
Oracle Enterprise Manager 11g Release 1 Grid Control  
Copyright (c) 1996, 2010 Oracle Corporation.  All rights reserved.
The EMKey has been copied to file.

emctl config emkey -copy_to_file_from_repos

このコマンドは、emkeyを管理リポジトリから指定のファイルにコピーします。

例2-20 emctl config emkey -copy_to_file_from_reposコマンドの出力例

emctl config emkey -copy_to_file_from_repos (-repos_host <host> -repos_port <port>
-repos_sid <sid> | -repos_conndesc <conn desc>) -repos_user <username> [-repos_pwd
<pwd>] [-admin_pwd <pwd>] -emkey_file <emkey file>Oracle Enterprise Manager 11g Release 1 Grid Control  Copyright (c) 1996, 2010 Oracle Corporation.  All rights reserved.The EMKey has been copied to file.

emctl config emkey -copy_to_credstore_from_file

このコマンドは、emkeyを指定のファイルから資格証明ストアにコピーします。

例2-21 emctl config emkey -copy_to_credstore_from_fileコマンドの出力例

emctl config emkey -copy_to_credstore_from_file -admin_host <host> -admin_port <port> -admin_user <username> [-admin_pwd <pwd>] [-repos_pwd <pwd>] -emkey_file <emkey file>
Oracle Enterprise Manager 11g Release 1 Grid Control  
Copyright (c) 1996, 2010 Oracle Corporation.  All rights reserved.
The EMKey has been copied to the Credential Store.

emctl config emkey -copy_to_repos_from_file

このコマンドは、emkeyを指定のファイルからリポジトリにコピーします。

例2-22 emctl config emkey -copy_to_repos_from_fileコマンドの出力例

emctl config emkey -copy_to_repos_from_file (-repos_host <host> -repos_port <port>
-repos_sid <sid> | -repos_conndesc <conn desc>) -repos_user <username> [-repos_pwd
<pwd>] [-admin_pwd <pwd>] -emkey_file <emkey file>
Oracle Enterprise Manager 11g Release 1 Grid Control  
Copyright (c) 1996, 2010 Oracle Corporation.  All rights reserved.
The EMKey has been copied to the Management Repository. This operation will cause
the EMKey to become unsecure.
After the required operation has been completed, secure the EMKey by running "emctl config emkey -remove_from_repos".

emctl config emkey -remove_from_repos

このコマンドは、リポジトリからemkeyを削除します。

例2-23 emctl config emkey -remove_from_reposコマンドの出力例

emctl config emkey -remove_from_repos [-sysman_pwd <pwd>]
Oracle Enterprise Manager 11g Release 1 Grid Control  
Copyright (c) 1996, 2010 Oracle Corporation.  All rights reserved.
The EMKey has been removed from the Management Repository.

注意:

emkeyが破損している場合、管理リポジトリからemkeyを削除することはできません。

シナリオのインストールおよびアップグレード

この項では、emkeyのシナリオのインストールとアップグレードについて説明します。

管理リポジトリのインストール

新しいemkeyは、管理リポジトリをインストールすると強力なランダム番号として生成されます。

最初のOracle Management Serviceのインストール

Oracle Management Serviceをインストールすると、インストーラはemkeyを資格証明ストアにコピーして、リポジトリからemkeyを削除します(emkeyはすぐに保護されます)。

10.2から11.1へのアップグレード

管理リポジトリは通常どおりアップグレードされます。OMSをアップグレードする場合、omsca(OMSコンフィギュレーション・アシスタント)はemkeyを資格証明ストアにコピーして、リポジトリからemkeyを削除します。アップグレード前にすでにemkeyが保護されている場合や、emkeyがリポジトリから削除されている場合、omscaは古いOMS Oracleホームにあるemkey.oraファイルからemkeyを読み込み、資格証明ストアにコピーします。


  • 注意:

    Oracle Management Serviceをすべてアップグレードすると、emkeyを保護できます。つまり、次のコマンドを実行して管理リポジトリからemkeyを削除します。

    emctl config emkey -remove_from_repos


管理リポジトリの再作成

管理リポジトリを再作成すると、新しいemkeyが生成されます。この新しいキーは、既存のemkeyの資格証明ストアと同期しません。

  1. 新しいemkeyを資格証明ストアにコピーするには、emctl config emkey -copy_to_credstoreコマンドを使用します。

  2. バックアップを作成するには、emctl config emkey -copy_to_file_from_reposコマンドまたはemctl config emkey -copy_to_file_from_credstoreコマンドを入力します。

  3. emkeyを保護するには、emctl config emkey -remove_from_reposコマンドを使用します。

Enterprise Managerのための監査システムの設定

ユーザーの作成、権限の付与、パッチまたはクローニングのようなリモート・ジョブの起動など、Enterprise Managerユーザーによって実行されるすべての操作は、Sarbanes-Oxley Act of 2002(SAS 70)に準拠していることを確認するために、監査を受ける必要があります。この法令は、サービス組織の契約に基づく内部統制を評価するために監査者が使用する基準を定義するものです。操作の監査を行うことで、管理者は問題を監視、検出および調査し、エンタープライズ全体にセキュリティ・ポリシーを強制できます。

ユーザーがどのようにEnterprise Managerにログインしたかに関係なく、監査が有効になっている場合は各ユーザー・アクションが監査され、監査の詳細が記録されます。

Enterprise Manager監査システムの構成

次のemcliコマンドを使用して、Enterprise Manager監査システムを構成できます。

  • enable_audit: すべてのユーザー操作に対して監査を有効にします。

  • disable_audit: すべてのユーザー操作に対して監査を無効にします。

  • show_operations_list: 監査対象のユーザー操作のリストを表示します。

  • show_audit_settings: 監査ステータス、操作リスト、外部化サービスの詳細およびパージ期間の詳細を表示します。

監査データ・エクスポート・サービスの構成

監査データは、数年間保護および保管する必要があります。監査データは非常に大量になる可能性があり、システムのパフォーマンスに影響を与える場合があります。リポジトリに保存されるデータの量を制限するために、定期的に監査データを外部化するかアーカイブする必要があります。アーカイブされた監査データは、ODL形式に準拠したXMLファイルで保存されます。監査データを外部化するには、EM_AUDIT_EXTERNALIZATION APIが使用されます。<ファイルの接頭辞>.NNNNN.xmlというフォーマットのレコード(NNNNは番号)が生成されます。番号は00001から99999までが使用されます。

update_audit_setting -externalization_switchコマンドを使用して、監査データをファイルシステムにエクスポートするように監査外部化サービスを設定できます。

監査設定の更新

update_audit_settingsコマンドは、リポジトリの現在の監査設定を更新して管理サービスを再起動します。

例2-24 update_audit_settingコマンドの使用方法

emcli update_audit_settings
      -audit_switch="ENABLE/DISABLE"
      -operations_to_enable="name of the operations to enable, for all oprtations
       use ALL"
      -operations_to_disable="name of the operations to disable, for all
       oprtations use ALL"
      -externalization_switch="ENABLE/DISABLE"
      -directory_name="directory_name (DB Directory)"
      -file_prefix="file_prefix"
      -file_size="file_size (Bytes)"
      -data_retention_period="data_retention_period (Days)"
  • -audit_switch: Enterprise Managerでの監査を有効にします。可能な値はENABLE/DISABLEです。デフォルト値はDISABLEです。

  • -operations_to_disable: 指定した操作の監査を有効にします。すべての操作を有効にするにはAllを入力します。

  • -operations_to_disable: 指定した操作の監査を無効にします。すべての操作を無効にするにはAllを入力します。

  • -externalization_switch: 監査データのエクスポート・サービスを有効にします。可能な値はENABLE/DISABLEです。デフォルト値はDISABLEです。

  • -directory: エクスポート・サービスが監査データ・ファイルをアーカイブするOSディレクトリにマップされるデータベース・ディレクトリ。

  • -file_prefix: 監査データが格納されるファイルを作成する際にエクスポート・サービスで使用するファイルの接頭辞。

  • -file_size: 監査データが格納されるファイルのサイズ。デフォルト値は5000000バイトです。

  • data_retention_period: 監査データがリポジトリ内に保持される期間です。デフォルト値は365日です。

監査データの検索

指定した期間内に生成された監査データを検索できます。次のような検索も可能です。

  • 特定のユーザー操作またはすべてのユーザー操作に関する監査の詳細。

  • 成功または失敗のステータスを持つ操作またはすべての操作に関する監査の詳細。

監査データを表示するには、「設定」オプションをクリックします。「設定」ページで、「管理サービスとリポジトリ」タブをクリックします。「概要」ページが表示されます。「監査」セクションにある「監査データ」リンクをクリックします。「監査データ」ページが表示されます。フィールドに検索条件を指定し、「実行」をクリックします。結果が「サマリー」表に表示されます。

図2-13 監査データ検索ページ

監査データ検索ページ

検索条件と一致するレコードごとの詳細を表示するには、「表示」ドロップダウン・リストから「詳細」を選択します。レコードの完全な詳細にドリルダウンするには、「タイムスタンプ」をクリックします。「監査レコード」ページが表示されます。

図2-14 「監査レコード詳細」ページ

「監査レコード詳細」ページ
フィールド名 説明
一般
操作タイムスタンプ 操作が実行された日時。
管理者 Enterprise Managerにログインしている管理者のID。
操作 監査対象の操作のタイプ。
ステータス 操作のステータス(成功または失敗のいずれか)。
メッセージ 操作のステータスを示す説明メッセージ。
正規化タイムスタンプ UTCタイムスタンプ。
クライアント情報
セッション HTTPセッションIDまたはDBMSセッションIDのいずれか。
IPアドレス クライアントのホスト・マシンのIPアドレス。
ホスト名 クライアントのホスト・マシンの名前。
UpStreamコンポーネント・タイプ 使用されているクライアント、コンソール、Webサービス、EMCLIのタイプ。
認証タイプ セッションの性質(HTTPセッション、DBセッション)。
UpStreamコンポーネント名 使用されているクライアントの名前。
OMS情報
ホスト名 Oracle Management Serviceのホスト名。
IPアドレス Oracle Management ServiceのIPアドレス。
インスタンスID Oracle Management ServiceのインスタンスID。
操作固有情報
オブジェクト名 オブジェクトに対して実行される操作。

監査対象操作のリスト

次の表は操作の名前とその説明のリストです。

表2-5 監査対象操作のリスト

操作名 説明

change_password

パスワードの変更

create_user

ユーザーの作成

delete_user

ユーザーの削除

logon

ログイン

logoff

ログアウト

grant_role

ロールの付与

grant_target_priv

ターゲット権限の付与

revoke_role

ロールの取消し

revoke_target_priv

ターゲット権限の取消し

submit_job

ジョブの発行

edit_job

ジョブの編集

delete_job

ジョブの削除

change_pref_cred

優先資格証明の変更

modify_user

ユーザーの変更

grant_system_priv

システム権限の付与

grant_job_priv

ジョブ権限の付与

revoke_system_priv

システム権限の取消し

revoke_job_priv

ジョブ権限の取消し

remote_op

リモート操作ジョブ

get_file

ファイルの取得

put_file

ファイルの配置

file_transfer

ファイルの転送

create_role

ロールの作成

delete_role

ロールの削除

modify_role

ロールの変更

job_output

ジョブの出力

suspend_job

ジョブの一時停止

agent_resync

エージェントの再同期化操作

repository_resync

リポジトリの再同期化操作

remove_privilege_delegation_setting

権限委任設定の削除

set_privilege_delegation_setting

権限委任設定の設定

add_agent_registration_password

登録パスワードの追加

edit_agent_registration_password

登録パスワードの編集

delete_agent_registration_password

登録パスワードの削除

agent_registration_password_usage

登録パスワードの使用

audit_settings

監査の有効化または無効化

audit_export_settings

監査データ設定の外部化

create_template

テンプレートの作成

edit_template

テンプレートの編集

delete_template

テンプレートの削除

apply_template

テンプレートの適用

save_monitoring_settings

監視設定の保存

modify_metric_settings

メトリック設定の変更

modify_policy_settings

ポリシー設定の変更

create_udp

ユーザー定義ポリシーの作成

edit_udp

ユーザー定義ポリシーの編集

delete_udp

ユーザー定義ポリシーの削除

evaluate_udp

ユーザー定義ポリシーの評価

import_udp

ユーザー定義ポリシーのインポート

create_udpg

ユーザー定義ポリシー・グループの作成

edit_udpg

ユーザー定義ポリシー・グループの編集

delete_udpg

ユーザー定義ポリシー・グループの削除

delete_pg_eval

ポリシー・グループ評価結果の削除

create_pg_sched

ポリシー・グループ・スケジュールの作成

edit_pg_sched

ポリシー・グループ・スケジュールの編集

delete_pg_sched

ポリシー・グループ・スケジュールの削除

db_login

データベース・ユーザー・ログインの監査

db_logout

データベース・ユーザー・ログアウトの監査

db_start

データベース起動の監査

db_shutdown

データベース停止の監査

db_restart

データベース再起動の監査


セキュリティのその他の考慮事項

Enterprise Managerのコンポーネントとフレームワークに対してセキュリティを有効にした場合、セキュリティのその他の考慮事項があります。この項では次のトピックについて説明します。

SYSMANパスワードおよびMGMT_VIEWパスワードの変更

この項では、SYSMANパスワードおよびMGMT_VIEWパスワードの変更に使用されるコマンドについて説明します。

SYSMANユーザー・パスワードの変更

SYSMANユーザーのパスワードを変更するには、次のコマンドを入力します。

 emctl config oms -change_repos_pwd [-change_in_db] [-old_pwd <old_pwd>] [-new_pwd <new_pwd>] [-use_sys_pwd [-sys_pwd <sys_pwd>]]

このコマンドは、使用する環境の各管理サービスで実行する必要があります。

パラメータ 説明
-change_in_db このパラメータはオプションです。リポジトリでSYSMANパスワードを変更する場合に使用されます。複数の管理サービスを実行している場合、少なくとも1つの管理サービスに対してこのパラメータをtrueに設定してください。

このパラメータを指定しない場合、emoms.propertiesファイルは新しいSYSMANパスワードで更新されます。

-old_pwd 現在のSYSMANパスワードです。
-new_pwd 新しいパスワードです。
-use_sys_pwd このパラメータはオプションです。SYSユーザーとしてデータベースに接続する場合に使用されます。
-sys_pwd SYSユーザーのパスワードです。

MGMT_VIEWユーザー・パスワードの変更

MGMT_VIEWユーザーのパスワードを変更するには、次のコマンドを入力します。

emctl config oms -change_view_user_pwd [-sysman_pwd <sysman_pwd>] [-user_pwd <user_pwd>] [-auto_generate]
パラメータ 説明
-sysman_pwd SYSMANユーザーのパスワード。
-user_pwd MGMT_VIEWユーザーの新しいパスワード。これはオプションのパラメータです。指定しない場合、パスワードは自動生成されます。
-auto_generate このオプションを指定する場合、パスワードは自動生成されます。

ブラウザ固有のセキュリティ証明書アラートへの対応

この項では、セキュアな環境でEnterprise Managerを使用する場合のブラウザ固有のセキュリティ・アラート・ダイアログ・ボックスへの対応方法について説明します。

この項で説明するセキュリティ・アラート・ダイアログ・ボックスは、Enterprise Manager Framework Securityを有効にし、WebTierを適切に保護するために追加の手順を行わなかった場合にのみ表示されます。

この項では次のトピックについて説明します。

Internet Explorerのセキュリティ・アラート・ダイアログ・ボックスへの対応

管理サービスのセキュリティを有効にして、WebTierの拡張セキュリティ機能を有効にしない場合、Internet ExplorerでHTTPS URLを使用してGrid Controlコンソールを最初に表示すると、図2-15に示すような「セキュリティの警告」ダイアログ・ボックスが表示される可能性があります。


注意:

この項の手順はInternet Explorer 5.5に適用されます。その他のサポート対象ブラウザでは手順が変わる可能性があります。

図2-15 Internet Explorerの「セキュリティの警告」ダイアログ・ボックス

図2-15の説明が続きます
「図2-15 Internet Explorerの「セキュリティの警告」ダイアログ・ボックス」の説明

Internet Explorerに「セキュリティの警告」ダイアログ・ボックスが表示された場合、次の手順で証明書をインストールし、今後のEnterprise Managerセッションでこのダイアログ・ボックスが再表示されないようにします。

  1. 「セキュリティの警告」ダイアログ・ボックスで「証明書の表示」をクリックします。

    Internet Explorerに「証明書」ダイアログ・ボックスが表示されます。

  2. 証明書パスタブをクリックして、図2-16に示すように証明書のリストの最初のエントリを選択します。

  3. 「証明書の表示」をクリックして別の「証明書」ダイアログ・ボックスを表示します。

  4. 「証明書のインストール」をクリックして証明書のインポート・ウィザードを表示します。

  5. ウィザードでデフォルトの設定を受け入れ、終了したら「完了」をクリックして「ルート証明書ストア」ダイアログ・ボックスで「はい」をクリックします。

    Internet Explorerには、証明書のインポートが成功したことを示すメッセージ・ボックスが表示されます。

  6. 「OK」をクリックして各セキュリティ・ダイアログ・ボックスを終了し、「セキュリティの警告」ダイアログ・ボックスで「はい」をクリックしてブラウザ・セッションを続けます。

    このブラウザを使用する場合のEnterprise Managerへの以降の接続で「セキュリティの警告」ダイアログ・ボックスが表示されなくなります。

図2-16 Internet Explorerの「証明書」ダイアログ・ボックスの証明書パスタブ

図2-16の説明が続きます
「図2-16 Internet Explorerの「証明書」ダイアログ・ボックスの証明書パスタブ」の説明

Netscape Navigatorの新しいサイト証明書ダイアログ・ボックスへの対応

管理サービスのセキュリティを有効にして、WebTierの拡張セキュリティ機能を有効にしない場合、Netscape NavigatorでHTTPS URLを使用してGrid Controlコンソールを最初に表示すると、図2-17に示すような新しいサイト証明書ダイアログ・ボックスが表示される可能性があります。


注意:

この項の手順はNetscape Navigator 4.79に適用されます。その他のサポート対象ブラウザでは手順が変わる可能性があります。

Netscape Navigatorに新しいサイト証明書ダイアログ・ボックスが表示された場合、次の手順で証明書をインストールし、今後のEnterprise Managerセッションでこのダイアログ・ボックスが再表示されないようにします。

  1. 各ウィザード・ページの手順と情報を確認し、証明書の受入れが求められるまで「次へ」をクリックします。

  2. オプションのリストから「証明書を受け付ける (有効期限まで)」を選択します。

  3. ウィザードの最後の画面で「完了」をクリックしてウィザードを終了し、ブラウザ・セッションを続けます。

    現在のブラウザを使用する際に新しいサイト証明書ダイアログ・ボックスは表示されなくなります。

図2-17 Netscape Navigatorの新しいサイト証明書ダイアログ・ボックス

図2-17の説明が続きます
「図2-17 Netscape Navigatorの新しいサイト証明書ダイアログ・ボックス」の説明

Internet Explorerの「セキュリティ情報」ダイアログ・ボックスの表示の防止

管理サービスのセキュリティを有効にした場合、特定のEnterprise Managerページにアクセスするときに必ず図2-18に示すようなダイアログ・ボックスが表示されます。


注意:

この項の手順はInternet Explorer 6.0に適用されます。その他のサポート対象ブラウザでは手順が変わる可能性があります。

図2-18 Internet Explorerの「セキュリティ情報」ダイアログ・ボックス

図2-18の説明が続きます
「図2-18 Internet Explorerの「セキュリティ情報」ダイアログ・ボックス」の説明

このダイアログ・ボックスを表示しないようにするには、次の手順を実行します。

  1. Internet Explorerの「ツール」メニューから「インターネット オプション」を選択します。

  2. 「セキュリティ」タブをクリックします。

  3. 「インターネット」を選択して「レベルのカスタマイズ」をクリックします。

    Internet Explorerに「セキュリティの設定」ダイアログ・ボックスが表示されます。

  4. 「その他」設定までスクロールして、「混在したコンテンツを表示する」オプションを有効にします。

HTTPSでWebアプリケーションを監視するビーコンの構成

Oracleビーコンにより、アプリケーションにパフォーマンスの可用性とパフォーマンスの監視が提供されます。これらは、Enterprise Managerのアプリケーション・サービス・レベル管理機能の一部になります。


関連項目:

Enterprise Managerオンライン・ヘルプのアプリケーション・サービス・レベル管理に関する項

HTTPS URLを使用してSecure Sockets Layer(SSL)でURLを監視する際にビーコンを使用する場合、そのURLが存在するWebサイトで使用されている認証局を認識するようにビーコンを構成する必要があります。


関連項目:

公開鍵インフラストラクチャ機能(認証局など)の概要は『Oracleセキュリティ概要』のセキュリティに対する公開鍵インフラストラクチャ方法に関する項

ビーコン・ソフトウェアは、セキュアなインターネットWebサイトで使用される商用認証局を認識するように事前構成されています。一方、ビーコンで認識される商用認証局で署名された証明書を持たないWebサイト(ただしHTTPSで利用可能)に遭遇する場合があります。次に、ビーコンで認識される即時利用可能な証明書を示します。

  • VeriSign, Inc.のClass 1 Public Primary Certification Authority

  • VeriSign, Inc.のClass 2 Public Primary Certification Authority by VeriSign

  • VeriSign, Inc.のClass 3 Public Primary Certification Authority by VeriSign

  • RSA Data Security, Inc.のSecure Server Certification Authority by RSA Data Security

  • GTE CorporationのGTE CyberTrust Root

  • GTE CyberTrust Solutions, Inc.のGTE CyberTrust Global Root

  • Entrust.net ((c) 1999のEntrust.net Secure Server Certification Authority

  • ref. (limits liab.))のEntrust.net Limited, www.entrust.net/CPS incorp.

  • Entrust.net ((c) 1999のEntrust.net Certification Authority (2048)

  • ref. (limits liab.))のEntrust.net Limited, www.entrust.net/CPS_2048 incorp.

  • Entrust.net ((c) 2000のEntrust.net Secure Server Certification Authority

  • ref. (limits liab.))のEntrust.net Limited, www.entrust.net/SSL_CPS incorp.

このような場合、たとえば、ビーコン・パフォーマンスページの「テスト」セクションを使用してセキュアなURLのHTTPレスポンスをテストしようとすると、「URLテスト」ページの「レスポンス・メトリック」表の「ステータスの説明」列に次のエラーが表示されます。

javax.net.ssl.SSLException: SSL handshake failed: X509CertChainIncompleteErr--https://mgmtsys.acme.com/OracleMyPage.Home

関連項目:

Enterprise Managerオンライン・ヘルプのビーコンを使用したリモートURL可用性の監視に関する項

この問題を修正するには、HTTPSをサポートするWebサイトで使用された認証局をビーコンで認識できるようにする必要があります。その認証局の証明書を、ビーコンで認識された認証局のリストに追加してください。

認証局を認識するようにビーコンを構成するには、次の手順を実行します。

  1. Webサイトの認証局の証明書を次のように取得します。

    1. Microsoft Internet Explorerで、監視するWebサイトのHTTPS URLに接続します。

    2. セキュアなWebサイトに接続していることを示す、ブラウザ画面の下部にあるロック・アイコンをダブルクリックします。

      ブラウザには「証明書」ダイアログ・ボックスが表示され、このボックスには該当のWebサイトに使用される証明書が記述されます。その他のブラウザでは、Webサイトの証明書の詳細を表示する同様のメカニズムが提供されます。

    3. 証明書パスタブをクリックして、図2-16に示すように証明書のリストの最初のエントリを選択します。

    4. 「証明書の表示」をクリックして別の「証明書」ダイアログ・ボックスを表示します。

    5. 「証明書」ウィンドウで「詳細」タブをクリックします。

    6. 「ファイルへコピー」をクリックして、証明書マネージャ・エクスポート・ウィザードを表示します。

    7. 証明書マネージャ・エクスポート・ウィザードで、エキスポートする形式として「Base64 encoded X.509 (.CER)」を選択し、beacon_certificate.cerなどの簡単に認識できる名前で証明書をテキスト・ファイルに保存します。

    8. テキスト・エディタを使用して証明書ファイルを開きます。

      証明書ファイルのコンテンツは、に示す内容と同様です。

  2. ビーコン認証局のリストを次のように更新します。

    1. ビーコン・ホストのエージェント・ホームの次のディレクトリでb64InternetCertificate.txtファイルを見つけます。

      agent_home/sysman/config/
      

      このファイルにはBase64証明書のリストがあります。

    2. b64InternetCertificate.txtファイルを編集し、エクスポートした証明書ファイルのコンテンツをファイルの最後に追加します。BEGIN行とEND行を含む証明書のすべてのBase64テキストを含めるようにしてください。

  3. 管理エージェントを再起動します。

    管理エージェントを再起動すると、ビーコンで認識される認証局のリストへの追加が検出されます。セキュアなWebサイトのURLに関する可用性とパフォーマンスを正常に監視できます。

例2-25 エクスポートした証明書のコンテンツ例

-----BEGIN CERTIFICATE----- 
MIIDBzCCAnCgAwIBAgIQTs4NcImNY3JAs5edi/5RkTANBgkqhkiG9w0BAQQFADCB
... base64 certificate content...
-----END CERTIFICATE-----

ORACLE _HOME資格証明の使用

Oracle Enterprise Manager 11gリリース1では、ORACLE_HOMEの特殊な資格証明でORACLE_HOMEの所有者を指定するORACLE_HOME資格証明のコンセプトが導入されています。ソフトウェアをインストールするオペレーティング・システムのユーザーはパッチ適用も行う必要があります。Oracle Enterprise Manager 11gリリース1では、ORACLE_HOME資格証明を明示的に設定し、その資格証明を管理リポジトリに格納できます。ユーザーは、パッチ適用する間に既存のオペレーティング・システムの資格証明を使用したり、特殊な環境で資格証明をオーバーライドしたりすることができます。ユーザーはORACLE_HOME資格証明を指定し、同じインタフェースで管理リポジトリに資格証明を格納して今後使用することができます。

Enterprise Managerコマンドライン・インタフェース(EMCLI)では、ORACLE_HOME資格証明を設定する機能も提供されます。これは、スーパー管理者が資格証明を設定し、パッチ適用ジョブを開始するユーザーが実際の資格証明を認識しない場合に役立ちます。セキュリティが堅牢なデータ・センターで監査する場合、ソフトウェアの所有者は、パッチ適用ジョブを開始するユーザーとは通常異なります。パッチ適用アプリケーションは、ユーザー・コンテキストをソフトウェアの所有者に内部で切り替え、ソフトウェアにパッチを適用します。このようなケースをエミュレートするには、パッチ管理者はORACLE_HOME資格証明をORACLE_HOMEの所有者に設定します。パッチ適用ジョブを実行するGrid Controlユーザーは資格証明を認識しません。パッチ適用ジョブは、ORACLE_HOMEの所有者として内部で実行されます。Grid Controlはパッチ適用ジョブを監査し、ジョブを開始したGrid Controlユーザーの名前をキャプチャします。たとえば、ORACLE_HOMEの所有者がXの場合、Grid Controlのパッチ・スーパー管理者はYになり、Grid Controlのターゲット管理者はYになります。"Yは、EMCLIを使用してORACLE_HOME資格証明をX(パスワードを含む)に設定します。"Zは、すでに格納されている優先資格証明を使用してパッチ適用ジョブを発行します。Grid Controlは、Zで発行されたジョブを監査します。

次に、コマンドラインを使用してOracleホーム資格証明を設定する例を示します。

emcli set_credential -target_type=host -target_name=val1 -credential_set=OHCreds -column="OHUsername:val2;OHPassword:val3"
-oracle_homes="val4"

詳細は次のとおりです。

val1 = ホスト名

val2 = Oracleホームのユーザー名

val3 = Oracleホームのパスワード

val4 = Oracleホームの場所

次のコマンドを使用して、同じホスト上の複数のOracleホームに資格証明を設定することもできます。

emcli set_credential -target_type=host -target_name=val1 -credential_set=OHCreds -column="OHUsername:val2;OHPassword:val3" 
-oracle_homes="val4;val5

詳細は次のとおりです。

val1 = ホスト名

val2 = Oracleホームのユーザー名

val3 = Oracleホームのパスワード

val4 = Oracleホームの場所1

val5 = Oracleホームの場所2


注意:

動詞に渡すことができるのは1つのホストのみです。*複数のホスト上で複数のOracleホーム資格証明が必要な場合、ホスト、資格証明の値、ホームの場所を含むファイルから行を一つずつ読み取り、ファイルの各行のemcli set_credential動詞をコールするShellまたはPerlスクリプトが必要です。

emcli set_credentialコマンドは、指定のユーザーの優先資格証明を設定します。次の表で、emcli set_credentialコマンドへの入力値を説明します。

表2-6 emcli set_credentialのパラメータ

パラメータ 入力値 説明

-target_type

-target_type ="ttype"

ターゲットのタイプ。-oracle_homesパラメータを指定する場合のホストです。

-target_name

[-target_name="tname"]

ターゲットの名前。エンタープライズの優先資格証明を設定する場合、この引数を省略します。-oracle_homesパラメータを指定する場合のホスト名です。

-credential_set

-credential_set="cred_set"

影響を受ける資格証明のセットです。

-user

[-user="user"]

資格証明が影響を受けるEnterprise Managerユーザー。省略する場合、現在のユーザーの資格証明が影響を受けます。

-columns

-columns="col1:newval1;col2:newval2;..."

設定する列の名前と新しい値です。資格証明セットのすべての列を指定する必要があります。あるいは、資格証明の値がコマンドラインに表示されないように-input_file引数のタブを使用できます。この引数は複数回指定できます。

-input_file

[-input_file="tag1:file_path1;tag2:file_path2;..."]

-columns引数のあるファイルのパス。このオプションはパスワードを非表示にする場合に使用されます。各パスには、-columns引数で参照されるタグが必要です。この引数は複数回指定できます。

-oracle_homes

[-oracle_homes="home1;home2"]

ターゲット・ホストのOracleホームの名前。指定したすべてのホームに関して資格証明が追加/更新されます。


ユーザーがロックされる場合のOracleホームへのパッチ適用

ユーザーがロックされる場合にユーザーOracleで使用されるOracleホームにパッチを適用するには、次の手順を実行します。

  1. デフォルトのパッチ適用スクリプトを編集し、デフォルトのパッチ適用手順の先頭にsudoまたはsudo -uまたはpbrun -uを追加します。パスワードの入力を求められずに、ジョブを発行するユーザー(オペレーティング・システムの有効なユーザーにする)がsudoまたはpbrunを実行できるようにするには、(sudoersファイルを編集して)ポリシーを設定する必要があります。


注意:

ターゲットなしでOracleホームにパッチを適用することはできません。パッチ適用はパッチ適用ウィザードを使用して行う必要があります。

Oracleホームのクローニング

クローニング・アプリケーションはウィザード駆動になります。クローニングされるOracleホームのソースは、インストールしたOracleホームまたはソフトウェア・ライブラリになります。次に、クローニング・プロセスの手順を示します。

  1. インストールしたOracleホームがソースが場合、ユーザーはOracleホームを選択した後、Oracleホーム資格証明を指定する必要があります。Oracleホームに指定されたこれらの資格証明はリポジトリに格納されます。次にユーザーが同じOracleホームをクローニングするときに、これらの資格証明が自動で移入されます。この時点でユーザーから問合せが行われる他のパラメータは、(ソース・コンピュータ上の)一時的な場所と、Oracleホームから除外されるファイルのリストになります。クローニング・ソースがソフトウェア・ライブラリの場合、ソースのOracleホーム資格証明に問合せは行われません。

  2. ユーザーは、ターゲットの場所を指定して、各ターゲットの場所に必要な資格証明を提供する必要があります。これらの資格証明は、各ターゲットの場所のOracleホーム資格証明になります。その後、クローニングされたOracleホームをソースとして選択すると、そのOracleホーム資格証明が自動で移入されます。

  3. クローニングする製品に応じて、Enterprise Managerページを表示できます。このページには、クローニングされる特定の製品に必要な問合せパラメータが表示されます。

  4. その後、ユーザー指定のクローニング前およびクローニング後のスクリプトとroot.shスクリプトの実行を表示できます。root.shスクリプトは常にsudo権限で実行されますが、クローニング前およびクローニング後のスクリプトをsudo権限で実行するかどうかを決定するオプションがあります。最後に、都合の良いときにクローニング・ジョブのスケジュールを作成できます。

クローニングの詳細は、Enterprise Managerオンライン・ヘルプを参照してください。