プライマリ・コンテンツに移動
Oracle® Enterprise Manager Cloud Controlセキュリティ・ガイド
12
c
リリース5 (12.1.0.5)
E49736-06
索引
次
目次
タイトルおよび著作権情報
はじめに
対象読者
ドキュメントのアクセシビリティについて
関連ドキュメント
表記規則
1
セキュリティの概要
1.1
セキュリティの脅威
1.2
セキュリティの原則
1.2.1
職務の分離と最低限の権限の原則
1.2.2
暗号化
1.2.3
疑わしいアクティビティの監視(監査)
1.2.4
非拒否
2
セキュリティ機能
2.1
認証の構成
2.1.1
サポートされている認証スキーム
2.1.2
新規管理者の作成
2.1.2.1
リポジトリ・ベースの認証
2.1.2.2
デフォルトの認証方法への復元
2.1.3
管理者の削除
2.1.4
Oracle Access Managerシングル・サインオン・ベースの認証
2.1.4.1
前提条件
2.1.4.2
Oracle Access Managerシングル・サインオンの削除
2.1.4.3
Oracle Application Server Single Sign-On (SSO)ベースの認証
2.1.5
エンタープライズ・ユーザー・セキュリティベースの認証
2.1.5.1
エンタープライズ・ユーザー(EUSユーザー)のEnterprise Managerユーザーとしての登録
2.1.6
Oracle Internet Directory(OID)
2.1.6.1
前提条件
2.1.6.2
OID構成のテスト
2.1.7
Microsoft Active Directoryベースの認証
2.1.7.1
Microsoft Active Directoryの構成テスト
2.1.8
外部ロールを使用した外部認可
2.1.8.1
自動プロビジョニング
2.1.8.2
外部ユーザー表示名での異なる名前の使用
2.1.9
LDAPユーザー属性のEnterprise Managerユーザー属性へのマッピング
2.1.10
Enterprise Managerでのユーザー表示名の変更
2.1.11
他のLDAP/SSOプロバイダの構成
2.1.11.1
シングル・サインオン・ベースの認証の構成
2.1.12
エンタープライズ・ユーザー・セキュリティベースの認証の構成
2.1.13
デフォルトの認証方法への復元
2.1.13.1
シングル・サインオン・ログオン・ページの省略
2.1.13.2
デフォルトの認証方法の復元
2.2
権限とロール認可の構成
2.2.1
ユーザー、権限、ロールについて
2.2.1.1
ユーザーのクラス
2.2.1.2
集計ターゲット権限
2.2.2
権限とロール
2.2.2.1
管理者権限およびデータベース権限
2.2.2.2
権限の付与
2.2.2.3
ファイングレイン・アクセス制御
2.2.2.4
ロールの作成
2.2.2.5
プライベート・ロール
2.2.2.6
ロールを使用した権限の管理
2.2.3
権限伝播グループを使用した権限の管理
2.2.3.1
例1: 様々なチームにターゲット・グループへの異なるレベルのアクセス権を付与
2.2.3.2
例2: 開発者へのターゲット・データベース・インスタンスに対する表示アクセスの付与
2.2.3.3
権限のサマリー
2.3
セキュアな通信の構成
2.3.1
セキュアな通信
2.3.2
Oracle Management Serviceのセキュリティの有効化
2.3.2.1
サーバー・ロード・バランサを使用するOMSの構成
2.3.2.2
新しい認証局の作成
2.3.2.3
セキュリティ・ステータスとOMSポート情報の表示
2.3.2.4
Transport Layer Securityの構成
2.3.3
Oracle Management Agentの保護
2.3.4
エージェント登録パスワードの管理
2.3.4.1
Cloud Controlコンソールを使用したエージェント登録パスワードの管理
2.3.4.2
emctlを使用した新しいエージェント登録パスワードの追加
2.3.5
管理サービスへのHTTPアクセスの制限
2.3.6
管理リポジトリ・データベースのセキュリティの有効化
2.3.6.1
Oracle Advanced Securityとsqlnet.ora構成ファイルについて
2.3.6.2
セキュアな管理リポジトリ・データベースへ接続するための管理サービスの構成
2.3.6.3
管理リポジトリに対するOracle Advanced Securityの有効化
2.3.6.4
セキュアな管理リポジトリまたはデータベースを監視している管理エージェントのセキュリティの有効化
2.3.7
カスタム構成
2.3.7.1
WebLogic Server用のカスタム証明書の構成
2.3.7.2
OMSコンソール・アクセス用のカスタム証明書の構成
2.3.7.3
OMSアップロード・アクセス用のカスタム証明書の構成
2.3.7.4
Transport Layer Securityの構成
2.3.8
セキュアな通信設定ツール
2.3.8.1
emctl secure oms
2.3.8.2
emctl secure agent
2.3.8.3
emctl secure wls
2.3.8.4
emctl status oms -details
2.3.9
サード・パーティの証明書の構成
2.3.9.1
HTTPSコンソール・ユーザー用のサード・パーティの証明書の構成
2.3.9.2
HTTPSアップロード仮想ホスト用のサード・パーティの証明書の構成
2.4
ターゲット資格証明の構成と使用
2.4.1
資格証明サブシステム
2.4.1.1
名前付き資格証明
2.4.1.2
特権資格証明
2.4.1.3
監視資格証明
2.4.1.4
優先資格証明
2.4.1.5
ホストおよびOracleホーム用の優先資格証明の保存
2.4.1.6
My Oracle Supportへのアクセス用の優先資格証明の保存
2.4.1.7
EM CLIを使用した資格証明の管理
2.4.1.8
ホスト認証機能
2.5
暗号化鍵の構成と使用
2.5.1
emkeyの構成
2.5.2
emctlコマンド
2.5.2.1
emctl status emkey
2.5.2.2
emctl config emkey -copy_to_credstore
2.5.2.3
emctl config emkey -copy_to_file_from_credstore
2.5.2.4
emctl config emkey -copy_to_file_from_repos
2.5.2.5
emctl config emkey -copy_to_credstore_from_file
2.5.2.6
emctl config emkey -copy_to_repos_from_file
2.5.2.7
emctl config emkey -remove_from_repos
2.5.3
シナリオのインストールおよびアップグレード
2.5.3.1
管理リポジトリのインストール
2.5.3.2
最初のOracle Management Serviceのインストール
2.5.3.3
10.2または11.1から12.1へのアップグレード
2.5.3.4
管理リポジトリの再作成
2.6
監査の構成と管理
2.6.1
資格証明の監査
2.6.2
デフォルト監査アクション
2.6.3
Enterprise Manager監査システムの構成
2.6.4
監査データ・エクスポート・サービスの構成
2.6.5
監査設定のアップグレード
2.6.6
監査データの検索
2.6.7
監査対象操作のリスト
2.6.8
インフラストラクチャの監査
2.7
セキュリティのその他の考慮事項
2.7.1
SYSMANパスワードおよびMGMT_VIEWパスワードの変更
2.7.1.1
SYSMANユーザー・パスワードの変更
2.7.1.2
MGMT_VIEWユーザー・パスワードの変更
2.7.2
ブラウザ固有のセキュリティ証明書アラートへの対応
2.7.2.1
サード・パーティの証明書のワークフロー
2.7.2.2
Internet Explorerのセキュリティ・アラート・ダイアログ・ボックスへの対応
2.7.2.3
Mozilla Firefoxの新しいサイトの証明書ダイアログ・ボックスへの対応
2.7.2.4
Google Chromeのセキュリティ・アラート・ダイアログ・ボックスへの対応
2.7.2.5
Safariのセキュリティ・ダイアログ・ボックスへの対応
3
Enterprise Managerの保護
3.1
セキュアなインフラストラクチャおよびインストールのガイドライン
3.1.1
インフラストラクチャおよびオペレーティング・システムの保護
3.1.1.1
インフラストラクチャおよびオペレーティング・システムを保護するためのベスト・プラクティス
3.1.2
Oracle Management Repositoryの保護
3.1.2.1
高度なセキュリティ・オプションの有効化
3.1.3
Oracle Management Agentの保護
3.1.3.1
Oracle Management Agentを保護するためのベスト・プラクティス
3.1.4
セキュアな通信
3.1.4.1
ICMPの有効化
3.1.4.2
Oracle Management Agentのファイアウォール用の構成
3.1.4.3
Oracle Management Serviceのファイアウォール用の構成
3.1.5
SHA2 SSL証明書を使用するための管理サービスおよび管理エージェントの更新
3.1.5.1
SHA2証明書へのアップグレード
3.1.5.2
Oracle Management Serviceのアップロード証明書
3.1.5.3
Oracle Management Serviceのコンソール証明書の確認
3.1.5.4
Oracle Management ServiceのCA証明書の確認
3.1.5.5
管理エージェントの証明書の確認
3.1.5.6
データベース問合せ
3.1.6
セキュリティ・コンソール
3.1.6.1
概要
3.1.6.2
プラガブル認証
3.1.6.3
Flexible Dbアクセス制御
3.1.6.4
セキュアな通信
3.1.6.5
資格証明管理
3.1.6.6
包括的な監査
3.1.6.7
アクティブ・ユーザー・セッション数
3.1.6.8
ベスト・プラクティス分析
3.2
SSL通信のガイドライン
3.2.1
TLSv1プロトコルの構成
3.2.2
通信のセキュアロック・モード
3.2.2.1
OMSとエージェントの保護およびロック
3.2.3
脆弱な暗号の無効化
3.2.3.1
サード・パーティの証明書
3.2.3.2
Oracle Wallet
3.2.4
通信を保護するためのベスト・プラクティス
3.3
認証のガイドライン
3.3.1
外部認証の有効化
3.3.1.1
認証のベスト・プラクティス
3.4
認可のガイドライン
3.4.1
権限およびロールの管理のベスト・プラクティス
3.4.2
最低限の権限の原則を使用したロール/権限の定義
3.4.3
権限伝播グループの使用
3.4.3.1
グループおよびシステムのベスト・プラクティス
3.5
監査のガイドライン
3.5.1
監査のベスト・プラクティス
3.6
ターゲット資格証明の管理のガイドライン
3.6.1
資格証明のベスト・プラクティス
4
トラブルシューティング
4.1
Enterprise Managerでの認証問題のトラブルシューティング
4.1.1
WebLogicデバッグ・フラグの有効化
4.1.2
ldap_trace.logATNファイルでのエラーのデバッグ
4.1.3
無効な資格証明
4.1.4
LDAPサーバーでのタイムアウト
4.1.5
ldap_trace.logATN以外でのエラー
5
参照
A
ロール
A.1
あらかじめ用意されているロール
A.2
SYSDBA権限がない場合のデータベース・ターゲットへのユーザー・アクセス
A.2.1
管理者の作成
A.2.2
「データベース・パフォーマンス」ページへのアクセスを必要とするユーザー
A.2.3
AWRまたはADDMへのアクセスを必要とするユーザー
A.2.4
SQLアクセス・アドバイザへのアクセスを必要とするユーザー
A.2.5
SQLチューニング・アドバイザへのアクセスを必要とするユーザー
B
権限
C
監査操作
索引