8 Oracle GoldenGate Veridataセキュリティの構成

この章では、Oracle GoldenGate Veridataに対するセキュリティの設定方法について説明します。

この章の内容は次のとおりです。

8.1項「Oracle GoldenGate Veridataセキュリティの概要」
8.2項「Oracle GoldenGate Veridataファイルの保護」
8.3項「Oracle GoldenGate Veridata Webへのアクセスの保護」
8.4項「パスワードの保守」

8.1 Oracle GoldenGate Veridataセキュリティの概要

Oracle GoldenGate Veridataを使用する場合、ビジネス・アプリケーションの表またはファイルからデータ値を選択、表示、ソートします。次のコンポーネントへのアクセスの保護には注意する必要があります。

• Oracle GoldenGate Veridataインストール・ディレクトリにあるファイル、プログラムおよびディレクトリ

• データ比較の結果が含まれるデータファイル

• データ値を表示できるOracle GoldenGate Veridata Webユーザー・インタフェース

8.2 Oracle GoldenGate Veridataファイルの保護

この項では、ビジネス・データの保護方法およびOracle GoldenGate Veridataインストール・ディレクトリとユーザー・インタフェースへのアクセスの制御方法について説明します。

8.2.1 インストール・ディレクトリへのアクセス制御

標準オペレーティング・システムの権限は、Oracle GoldenGate Veridataサーバー、Webユーザー・インタフェースおよびOracle GoldenGate Veridataエージェントのインストール・ディレクトリ内のプログラム、ファイルおよびディレクトリに適用されます。これらのオブジェクトの権限はビジネス・セキュリティ・ルールに基づいて調整する必要があります。

8.2.2 ビジネス・データを含むファイルの保護

Oracle GoldenGate Veridataサーバーは機密アプリケーション・データを含むデータ・ファイルを作成します。デフォルトでは、これらのファイルはOracle GoldenGate Veridataサーバーのインストール・ディレクトリ内のshared/data directoryにありますが、ソフトウェアをインストールした人が別の場所にインストールした可能性もあります。そのディレクトリ内のすべてのサブディレクトリには、ビジネス・データに反映されるファイルが含まれます。

機密データを含むファイル・タイプは、次のとおりです。

• 比較レポート(rptサブディレクトリ)

• 非同期レポート(oosxmlおよびoosサブディレクトリ)

これらのファイルは、Oracle GoldenGate Veridataサーバーのインストール・プログラムを実行するユーザーと同じファイル権限を継承します。権限は変更しないでください。Oracle GoldenGate Veridataが権限を保守できなくなる場合があります。これらのファイルはビジネス・データを保管する場合と同様に安全にする必要があります。Oracle GoldenGate Veridata Webのユーザーは、クライアント・インタフェースで同じ情報が表示されるため、これらのファイルにアクセスする必要はありません。

8.3 Oracle GoldenGate Veridata Webへのアクセスの保護

Oracle GoldenGate Veridataのユーザーにセキュリティ・ロールを割り当て、ソフトウェアによって実行される機能へのアクセスを制御できます。これらの機能ではデータベースから選択したデータ値が公開される場合があります。これらのロールは、次のとおりです。

• Administrator: 管理者ロールはOracle GoldenGate Veridataにおける最高レベルのセキュリティ・ロールです。このロールは、Oracle GoldenGate Veridataを構成、実行および監視する機能のすべてを実行できます。

• PowerUser: パワー・ユーザー・ロールはOracle GoldenGate Veridataで2番目に高いロールです。このロールは、Oracle GoldenGate Veridata Webユーザー・インタフェースからOracle GoldenGate Veridataを構成、実行および監視するすべての機能を実行できますが、Oracle GoldenGate Veridataサーバーの構成機能を実行することはできません。

• ReportViewer: レポート・ビューア・ロールでは、Oracle GoldenGate Veridataを構成またはジョブを実行する機能は実行できません。このロールでは、構成およびジョブ情報の表示、比較レポートの表示のみができます。

• DetailReportViewer: 詳細レポート・ビューア・ロールでは、Oracle GoldenGate Veridataを構成またはジョブを実行する機能は実行できません。このロールでは、Oracle GoldenGate Veridata Webユーザー・インタフェースを使用するか、あるいはファイル・レベルでの構成およびジョブ情報の表示、比較レポートおよび非同期レポート情報の表示のみを行えます。

セキュリティはApache Tomcat Webサーバーの管理ツールで制御されます。このインタフェースから、管理者ロールのユーザは、次のことを実行できます。

• ユーザーを作成し、セキュリティ・ロールを割当てます。

• ユーザー・グループを作成し、セキュリティ・ロールを割当てます。ユーザーはセキュリティ・ロールがなくてもこれらのグループに追加できます。ユーザーはそのグループのロールを継承します。

• ユーザーを作成してセキュリティ・ロールを割当て、そのユーザーをグループに追加します。ユーザーはそのグループのロールを継承し、各ロールを保持します。

注意: サーバー構成またはTomcatユーザーを変更する前にconfディレクトリをバックアップしてください。

Apache Tomcat Webサーバー管理ツールのオープン手順

1. 次のアドレスを入力し、ブラウザからApache Tomcat Webサーバーに接続します。

   http://hostname:port/admin
   

   条件:

   hostnameはOracle GoldenGate Veridataサーバー・コンポーネントとWebコンポーネントがホストされているシステムの名前またはIPアドレスで、portはOracle GoldenGate Veridataサーバーに割り当てられたポート番号(デフォルトは8830)です。

2. Oracle GoldenGate Veridata管理者ユーザーとして、Apache Tomcat Webサーバー管理ツールにログオンします。デフォルトの管理者ユーザーは、Oracle GoldenGate Veridataをインストール中に作成されています。

3. ナビゲーション・ペインで、「User Definition」をクリックします。このロールから、すべてのユーザー・リソースが管理されます。

グループの作成手順

1. 「User Definition」で、「Groups」をクリックします。既存のグループが表示され、名前をクリックすると編集できます。

2. 「Group Actions」リストから、「Create New Group」を選択します。

3. 「Group Properties」で、「Group Name」ボックスにグループの名前(スペースなし、大文字/小文字を区別)を、「Description」ボックスに説明(オプション)を入力します。

4. 「Role Name」で、グループに割り当てるロールの隣のチェック・ボックスを選択します。8.3項「Oracle GoldenGate Veridata Webへのアクセスの保護」にリストされているロールを選択できます。

5. 「Save」をクリックしてグループを保存します。

6. Apache Tomcat Webサーバー管理ツールの使用が終了したら、「Commit Changes」をクリックしてリポジトリに変更を保存します。変更をコミット後さらに変更する場合は、再度ログインする必要があります。

ユーザーの作成または編集手順

1. 「User Definition」で、「Users」をクリックします。

2. ユーザーを編集するには、ユーザー名をクリックします。新規ユーザーを追加するには、「User Actions」リストから「Create New User」を選択します。

3. 「User Properties」で次を入力します。

   • User Name: ユーザーの名前(スペースなし、大文字/小文字を区別)

   • Password: ユーザーのパスワード(スペースなし、大文字/小文字を区別)。

   • Full Name: (オプション)このユーザーの名前。

4. グループにユーザーを割り当てるには、「Group Name」でグループ名の隣のチェック・ボックスをクリックします。グループへのユーザーのリンクはオプションです。ユーザーはグループのデフォルト・ロールを継承します。

5. このユーザーにロールを割り当てるには、「Role Name」でロール名の隣のチェック・ボックスをクリックします。8.3項「Oracle GoldenGate Veridata Webへのアクセスの保護」にリストされているロールを選択できます。

6. 「Save」をクリックしてユーザーを保存します。

7. Apache Tomcat Webサーバー管理ツールの使用が終了したら、「Commit Changes」をクリックしてリポジトリに変更を保存します。変更をコミット後さらに変更する場合は、再度ログインする必要があります。

8.4 パスワードの保守

ユーザーがVeridata Webユーザー・インタフェースにアクセスするためのパスワードおよびリポジトリにアクセスするパスワードを変更できます。

8.4.1 パスワードの変更

ユーザー・パスワードはOracle GoldenGate Veridata Webユーザー・インタフェースで変更できます。「Options/Settings」メニュー項目の「Change Password」オプションを選択します。詳細は、オンライン・ヘルプを参照してください。

8.4.2 リポジトリ・パスワードの変更

有効なリポジトリ・データベース・パスワードは、データベースにアクセスできるようOracle GoldenGate Veridataに格納される必要があります。このリポジトリ・データベース・パスワードは、最初はインストール時のユーザー入力に基づいて設定されます。インストール・プログラムによって作成されるOracleウォレットに格納されます。

インストール後にリポジトリ・データベース・パスワードが変更された場合、vericomプログラムを使用して、Oracle GoldenGate Veridataに格納されている、対応するパスワードを変更します。

1. 始める前に、リポジトリのデータベースに対して現在有効な変更されたパスワードを知っている必要があります。

2. Oracle GoldenGate Veridataインストール・ディレクトリに移動します。

3. Oracle GoldenGate Veridataに現在格納されているリポジトリ・パスワードへの変更を要求する次のいずれかのコマンドを入力します。

   Windows:

   Shell> vericom.bat -reset_password [password]
   

   UNIXまたはLinux:

   Shell> vericom.sh -reset_password [password]
   

4. コマンドラインでパスワードを入力しないと、vericomの起動後、パスワードの入力を求められます。

5. パスワードを入力すると、vericomはデータベースに接続し、パスワードが有効なことを確認します。

6. 変更を有効にするには、Oracle GoldenGate Veridata Webユーザー・インタフェースを停止し、再起動します。

vericomの実行の詳細は、10.2項を参照してください。