EssbaseがEPM Systemセキュリティ・モードにある場合は、一部のセキュリティ情報がShared Servicesおよび外部ユーザー・ディレクトリによって保管され、一部のセキュリティ情報がEssbaseセキュリティ・ファイル(essbase.sec)に保管されます。
Shared Servicesまたは外部ユーザー・ディレクトリによって、次の情報が保管されます:
Essbaseがネイティブ・セキュリティ・モードにある場合は、ユーザー、グループ、パスワード、権限、フィルタ、アプリケーション、データベースおよびそれらに対応するディレクトリに関するすべての情報が、essbase.secに保管されます。
essbase.secファイルは、ARBORPATH/binディレクトリにあります。
essbase.secの内容は暗号化されます。
Essbaseサーバーを起動するたびに、Essbaseによってtempessbase.secという名前の一時ファイルが作成されます。このファイルは、Essbaseセキュリティ・ファイル(essbase.sec)を検証するのに使用されます。essbase.secを使用してEssbaseサーバーが正常に起動すると、tempessbase.secは削除され、Essbaseによってessbase_timestamp.bakという名前のセキュリティ・バックアップ・ファイルが作成されます。
Essbaseが維持するセキュリティ・バックアップ・ファイルの数、セキュリティ・バックアップ・ファイルを作成する間隔、essbase.secファイルが無効の場合、起動時に最新で有効なセキュリティ・バックアップ・ファイルに切り替えるかどうかを管理できます。
NUMBEROFSECFILEBACKUPS構成設定: Essbaseが作成および管理するセキュリティ・バックアップ・ファイルの最大数(2から10まで)を指定します。制限を超えると、Essbaseによって最も古いタイムスタンプのセキュリティ・バックアップ・ファイルが削除され、最新のバックアップ・ファイルが作成されます。
デフォルトでは、Essbaseは最低でも2バージョンのessbase_timestamp.bakを維持します。
SECFILEBACKUPINTERVAL構成設定: セキュリティ・バックアップ・ファイルの作成前にEssbaseが待機する時間を指定します。
デフォルトでは、Essbaseは300秒(5分)ごとに新しいセキュリティ・バックアップ・ファイルを作成します。
ENABLESWITCHTOBACKUPFILE構成設定: Essbaseが起動時に有効なセキュリティ・バックアップ・ファイルを自動的にロードするかどうか(essbase.secファイルが無効な場合)を指定します。
デフォルトでは、セキュリティ・ファイルが無効な場合、Essbaseは起動時にセキュリティ・バックアップ・ファイルをロードしません。
essbase_timestamp.bakの内容は暗号化されます。
注: | 移行の前後に、Essbaseによってセキュリティ・ファイルのバックアップが自動的に作成されます(essbase.bak_preUPMとessbase.bak_postUPM)。EssbaseのEPM Systemセキュリティへの移行を参照してください。 |
ファイルが欠落しているか、または無効(または破損している)であり、かつすべてのバックアップ・ファイルが無効な場合、Essbaseセキュリティ・ファイル(essbase.sec)を復元する必要があります。
Essbaseサーバーを開始しようとしてもパスワードのプロンプトが表示されない場合や、パスワードが拒否された場合は、バックアップ・ファイルが作成されません。essbase.secを最新の有効なセキュリティ・バックアップ・ファイルから復元するには、essbase_timestamp.bakをessbase.secにコピーします。これらのファイルはどちらも、ARBORPATH/binディレクトリにあります。
EssbaseをEPM Systemセキュリティ・モードで使用している場合は、Shared Servicesおよび使用している任意の外部ユーザー・ディレクトリから最新のバックアップを復元することも必要です。
essbase.secファイルが欠落している場合(Essbase Serverのbinディレクトリが移動された後にパッチが適用された場合など)、Essbaseでは起動時に新しいセキュリティ・ファイルが作成されますが、EssbaseはEPM Systemセキュリティ・モードのかわりにEssbaseネイティブ・セキュリティ・モードで起動します。次のメッセージに類似したメッセージがessbase.logファイルに記録されます:
[Mon Oct 08 16:10:30 2012]Local/ESSBASE0///2636/Error(1051430)
Failed to create Essbase project [EssbaseCluster-1] at Shared Services with Error [Application group already exist.]
[Mon Oct 08 16:10:30 2012]Local/ESSBASE0///2636/Warning(1056822)
Failed to migrate Essbase to HSS security mode during startup. Check SharedServices_Security_client.log. May need to remove essbase.sec and any of the newly migrated Essbase applications from HSS, then rerun configuration tool.]
EssbaseをEPM Systemセキュリティ・モードで起動するには、Shared ServicesからEssbaseプロジェクト(EssbaseCluster-1など)を削除した後、Essbaseを再起動します。
essbase.secファイルが無効な場合は、次のメッセージに類似したメッセージがessbase.logファイルに記録されます:
[Mon Oct 08 15:35:19 2012]Local/ESSBASE0///2600/Warning(1056801)
Validation of security file [C:\Oracle\Middleware\user_projects\epmsystem1\EssbaseServer\essbaseserver1\BIN\ESSBASE.SEC] failed
[Mon Oct 08 15:35:19 2012]Local/ESSBASE0///2600/Warning(1056801)
Validation of security file [C:\Oracle\Middleware\user_projects\epmsystem1\EssbaseServer\essbaseserver1\bin\ESSBASE_1349731009.BAK] failed
essbase.cfgファイルでENABLESWITCHTOBACKUPFILE構成設定がTRUEに設定されている場合、Essbaseでは起動時に有効なセキュリティ・バックアップ・ファイルが自動的にロードされます。次のメッセージに類似したメッセージがessbase.logファイルに記録されます:
[Mon Oct 08 15:35:19 2012]Local/ESSBASE0///2600/Warning(1056802)
ESSBASE will use the file [C:\Oracle\Middleware\user_projects\epmsystem1\EssbaseServer\essbaseserver1\bin\ESSBASE_1349720690.BAK] as the security file
[Mon Oct 08 15:35:19 2012]Local/ESSBASE0///2600/Info(1056797)
Incremental security backup started by SYSTEM. The file created is
[C:\Oracle\Middleware\user_projects\epmsystem1\EssbaseServer\essbaseserver1\bin\ESSBASETS_1349735719.BAK]
[Mon Oct 08 15:35:20 2012]Local/ESSBASE0///2600/Info(1051134)
External Authentication Module: [Single Sign-On] enabled
[Mon Oct 08 15:35:20 2012]Local/ESSBASE0///2600/Info(1051051)
Essbase Server - started
すべてのセキュリティ・バックアップ・ファイルが無効な場合は、次のメッセージに類似したメッセージがessbase.logファイルに記録されます:
...
rtype = 50630 rlen = 50116 rindex = 49602
Read Error:Part of security file is missing
Read Error:Invalid security file
rtype = 12849 rlen = 13363 rindex = 32513
Read Error:Part of security file is missing
Read Error:Invalid security file
Fatal Error: The security file is not valid and there are no valid back up files to use. Restart Essbase after deleting the security file, a new security file will be created.
ここでも、Shared ServicesからEssbaseプロジェクト(EssbaseCluster-1など)を削除した後、Essbaseを再起動します。
Shared ServicesおよびEssbaseのバックアップ手順については、『Oracle Hyperion Enterprise Performance Management Systemバックアップおよびリカバリ・ガイド』および該当する外部ユーザー・ディレクトリのドキュメンテーションを参照してください。
注意 | Essbaseセキュリティ・ファイルとShared Servicesは同時にバックアップしてください。 |
Essbaseが最新の有効なセキュリティ・バックアップ・ファイル(essbase_timestamp.bak)を更新するのは、Essbaseよって、セキュリティ・ファイル(essbase.sec)は最新のセキュリティ・バックアップ・ファイル(essbase_timestamp.bak)の作成後に変更されたと判別された場合です。デフォルトでは、Essbaseは、Essbaseサーバーの起動時のみではなく、指定された間隔でこの確認を実行します。
間隔値を変更する前に、次の点を考慮してください:
Administration Servicesでは、セキュリティ・バックアップ・ファイルのセキュリティ・ファイルとの確認頻度、およびユーザーの非アクティビティの確認頻度が、同じチェック・ボックスによって管理されています。
デフォルト値は5分です。これは、セキュリティ・バックアップ・ファイルがセキュリティの変更を取り込めるだけの十分な頻度で確認されるようにするための推奨設定値です。また、5分は、非アクティビティの確認にも推奨される値です。
この値にゼロを設定すると、非アクティブの確認は使用不可になり、essbase_timestamp.bakファイルは5分ごとにessbase.secと比較されます(必要に応じて更新されます)。
セキュリティ・ファイルを頻繁に更新する必要がない場合は、大きい値を入力します。パフォーマンスが問題にならない場合は、小さい値を入力します。
指定された間隔のみではなく、いつでもセキュリティ・バックアップ・ファイルを更新できます。
Essbaseの起動時に使用するのが最新で有効なセキュリティ・バックアップ・ファイル(essbase_timestamp.bak)であり、essbase.secではない場合、alter system MaxLステートメントを使用して、外部ディスク上のEssbaseアプリケーションおよびデータベースの状態に一致するよう、セキュリティ・ファイルを調整できます。
alter system reconcile文法によってessbase.logにメッセージが記録されるのは、次の場合です:
アプリケーションまたはデータベース・フォルダがディスク上にあるが、セキュリティ・ファイルにない場合
アプリケーションまたはデータベースがセキュリティ・ファイルにあるが、ディスク上にない場合。このシナリオでは、alter system reconcile force文法を使用して、セキュリティ・ファイルからアプリケーションまたはデータベースを削除します。
Essbaseのセキュリティ・エンティティ(フィルタ、ユーザー、グループ、アプリケーション、データベース、代替変数、ディスク・ボリューム、パスワード、その他のEssbaseアーチファクト)を変更または削除すると、セキュリティ・ファイル(essbase.sec)の断片化が発生する場合があります。ファイルで発生する断片化が多すぎると、セキュリティ関連のパフォーマンスが低下することがあります。
Essbaseでは、エージェントが停止するたびに、セキュリティ・ファイルが自動的にコンパクト化されます。セキュリティ・ファイルの断片化ステータスを確認し、エージェントを停止することなくセキュリティ・ファイルをコンパクト化できます。
Essbase管理者は、Essbaseサーバー・インスタンスのessbase.secファイルのコンテンツを、読取り可能なテキスト・ファイル・フォーマットにエクスポートできます。これは、確認するのに役立ちます。
注意 | essbase.secをエクスポートする場合は、データの整合性を保証するために、会社のセキュリティ手順に従ってください。 |
管理サービス・コンソールから、またはMaxLステートメントとして実行可能なexport security fileコマンドは、現在ログインしているEssbaseサーバー・セッションに対して実行されます。Essbaseサーバー・セッションは、サービスとして実行できます。
essbase.secをエクスポートするには、次のツールを使用します:
|
ツール |
トピック |
場所 |
|---|---|---|
|
Administration Services |
セキュリティ・ファイルのエクスポート |
Oracle Essbase Administration Services Online Help |
|
MaxL |
export security_file |
『Oracle Essbaseテクニカル・リファレンス』 |
注: | DUMPエージェント・コマンドは、DUMPコマンドがサービスとしてEssbaseサーバーに対して実行できないのを除き、export security fileコマンドと同じです。表133を参照してください。 |