| Oracle® Enterprise Manager Ops Centerセキュリティ・ガイド 12c リリース1 (12.1.3.0.0) B71918-02 |
|
 前 |
 次 |
Oracle Enterprise Manager Ops Centerには、ユーザー認証、カスタム・ユーザー認可、およびリポジトリに格納されたデータやネットワーク送信中のデータの保護を行うためのセキュリティ・サービスが備わっています。また、Oracle Enterprise Manager Ops Centerには、標準の証明書を使用したインフラストラクチャ・コンポーネント間のネットワーク認証も備わっています。
Oracle Enterprise Manager Ops Centerでは、標準のプロトコルおよびサード・パーティ・ソリューションを使用して、SSLおよびX.509v3証明書によりデータおよび操作を保護し、セキュアなHTTPおよびPAM (Pluggable Authentication Modules)プロトコルを使用して次のサービスを提供します。
認証
認可
アクセス制御
データ保護
認証を行うと、サービスやデータへのアクセスをリクエストするユーザーまたは他のシステムのアイデンティティをシステムで検証できます。複数層アプリケーションでは、エンティティまたはコール元はユーザー、ビジネス・アプリケーション、ホスト、または別のエンティティにかわって動作するエンティティです。
ユーザーはブラウザ・インタフェースにログインして製品を使用します。Oracle Enterprise Manager Ops Centerインストールに対して資格証明が有効になっている必要があります。
エンタープライズ・コントローラのオペレーティング・システムのローカル認証サブシステムから、または個別のディレクトリ・サーバーから、ユーザーをOracle Enterprise Manager Ops Centerに追加します。
ディレクトリ・サーバーをOracle Enterprise Manager Ops Centerに追加できます。ユーザーおよびロールは、ディレクトリ・サーバーから製品に追加されます。この項の情報は、『Oracle Enterprise Manager Ops Center管理ガイド』にも記載されています。
ディレクトリ・サーバーを構成する手順
ディレクトリ・サーバーに次のユーザー・グループを作成します。
ASSET_ADMIN
CLOUD_ADMIN
CLOUD_USER
EXALOGIC_ADMIN
FAULT_ADMIN
NETWORK_ADMIN
OPS_CENTER_ADMIN
PROFILE_PLAN_ADMIN
READ
REPORT_ADMIN
ROLE_ADMIN
SECURITY_ADMIN
SERVER_DEPLOY_ADMIN
STORAGE_ADMIN
Update_ADMIN
Update_SIM_ADMIN
USER_ADMIN
VIRT_ADMIN
ユーザーをこれらのグループに追加します。各グループ内のユーザーには、そのグループに対応するロールが付与されます。
ディレクトリ・サーバーを追加する手順
「Navigation」ペインで「Administration」を選択します。
「Directory Servers」をクリックします。
「Add Directory Server」アイコンをクリックします。「Remote Directory Server Connection Settings」ページが表示されます。
次の接続設定を入力します。
Name: ディレクトリ・サーバーの名前
Hostname: ディレクトリ・サーバーのホスト名
Port: ディレクトリ・サーバーへのアクセスに使用するポート番号
Use SSL: ディレクトリ・サーバーへの接続にSSLを使用する場合は、このチェック・ボックスを選択します。
Username: ディレクトリ・サーバーへのアクセスに使用するユーザー名
Password: 指定されたユーザー名のパスワード
「Next」をクリックします。「Remote Directory Server Schema Settings」ページが表示されます。
次のスキーマ設定を入力します。
Root suffix: ユーザー検索用のディレクトリ階層のルート・ノード
User search DN: ユーザーを検索するサブノード
User search scope: ユーザー検索の範囲。許容される値は、「base」、「one」、「subtree」、「baseObject」、「singleLevel」、「wholeSubtree」または「subordinateSubtree」です。
User search filter: ユーザーが含まれるために満たす必要のあるLDAP検索フィルタ
「Next」をクリックします。「Summary」ページが表示されます。
サマリーを確認し、「Add Directory Server」をクリックします。
Oracle Enterprise Manager Ops Centerでは、Pluggable Authentication Module (PAM)を使用して、ブラウザ・インタフェースにログインするユーザーのユーザー・アカウントの資格証明を検証します。デフォルトのPAMサービスを使用すると、Oracle Enterprise Managerのユーザーは標準的な方法でシステムにログインできます。
pam-service-nameパラメータでは、cacaoデーモンのoem-ecインスタンスのPAMサービスを設定します。
Oracle Solaris: デフォルト値はpam-service-name=otherです。
Linux: デフォルト値はpam-service-name=passwdです。
Oracle Enterprise Manager Ops CenterのPAM構成を制御する必要がある場合は、別のPAMモジュールを使用する別のサービス名のPAMサービスを作成します。
pam-service-nameパラメータの現在の値を表示するには、次のcacaoadmコマンドを使用します。
./cacaoadm get-param -i oem-ec pam-service-name
オペレーティング・システムのデフォルトの認証サービスを別のサービス名に変更するには、次の手順を使用します。これが高可用性環境の場合、プライマリ・ノードおよびスタンバイ・ノードの両方で手順を実行します。
Linuxシステムで、使用するサービスに対して構成ファイルを作成するか、既存の構成ファイルを編集します。構成ファイル名はサービス名と同じです。
/etc/pam.d/filename
Oracle Solaris 10システムで、次のファイルを編集します。
/etc/pam.conf
構成ファイルの内容を変更します。次に例を示します。
auth required pam_warn.so debug auth required pam_safeword.so.1 debug account include system-auth password include system-auth
PAMサービスを新しい構成で初期化するには、エンタープライズ・コントローラを停止します。
/opt/sun/xvmoc/bin/satadm stop
pam-service-nameパラメータの値を変更します。
./cacaoadm set-param -i oem-ec pam-service-name=opscenter
変更を確認します。
./cacaoadm get-param -i oem-ec pam-service-name
エンタープライズ・コントローラを再起動します。
/opt/sun/xvmoc/bin/satadm start
|
注意: PAMソフトウェア用のSafeNet SafeWord® Agent (pam_safeword.so)を使用する場合は、SafeWord静的パスワード・モードまたは使い捨て動的パスワード・モードを使用できますが、動的チャレンジ・パスワード・モードは使用できません。使い捨て動的パスワードを使用するには、pam_safeword.cfgファイルを変更して、ユーザーIDソースをUSERではなくSYSTEMに設定します。SYSTEMを設定することにより、認証プロセスで/etc/passwdファイルからユーザーIDが取得されます。 |
接続モードでのOracle Enterprise Manager Ops Centerソフトウェアでは、ユーザーが1つ以上のMy Oracle Support資格証明セットを提供する必要があります。これらの資格証明は、製品更新のダウンロードの認証と認可、サービス・リクエストの作成、保証情報の取得、およびエンタープライズ・コントローラ・システムとMy Oracle Supportの間の初期認証に使用されます。
認可によって、システムは、ユーザーおよび他のシステムがそのシステムのリソースにアクセスするための権限を判別できます。
ロールによって、ユーザーはOracle Enterprise Manager Ops Centerの様々な機能を使用できます。ユーザーにロールを付与することにより、管理者はそのユーザーに使用可能な機能およびその対象となるアセット・グループを制御できます。
エンタープライズ・コントローラ管理者は、エンタープライズ・コントローラ、すべてのアセット・グループ、および任意のユーザー定義グループに対する様々なロールをユーザーに付与できます。あるグループに対するロールを割り当てられたユーザーには、すべてのサブグループに対する同じロールが付与されます。使用可能なロールおよびその機能のリストは、「最小権限の原則に準拠」を参照してください。
|
注意: デプロイメント計画の適用ロール、Exalogicシステム管理者ロールまたはSuperClusterシステム管理者ロールを持つユーザーは、ルート・アクセスを使用して運用プロファイルを管理対象システムに適用できます。これらのロールを持つユーザーは、運用プロファイルを使用してスクリプトを実行できるため、これらのロールを割り当てる際は注意してください。 |
Oracle Enterprise Manager Ops Centerでは、資格証明を使用して、アセットを検出および管理し、内部コンポーネント間の信頼を確立します。Oracle Enterprise Manager Ops Centerにより管理される資格証明のタイプの例は、次のとおりです。
すべてのタイプの資格証明のリストを表示するには、「Administration」セクションで「Credentials」を選択し、「Actions」ペインで「Create Credentials」をクリックします。ドロップダウン・リストに、サポートされているすべてのプロトコルが表示されます。
Oracle Enterprise Manager Ops Centerでは、リモート・ネットワーク・アクセスと、アセットを検出して管理するための管理権限が必要です。これを行うには、権限のあるアカウントを使用するか、権限のないユーザー・アカウントの資格証明を管理アカウント用の資格証明と結合します。この場合、Oracle Enterprise Manager Ops Centerでは、権限のないユーザー・アカウントを使用してシステムに接続してから、管理アカウントを使用してシステムの特性について照会します。
ILOMシステムを検出するには、アカウントはシステムに対する管理者権限を持つ必要があり、IPMI資格証明とssh資格証明の両方を提供する必要があります。
パスワードベースのSSH資格証明を使用しない場合は、SSH鍵を作成してリモート・アセット(オペレーティング・システム、ILOMサービス・プロセッサ、XSCFサービス・プロセッサなど)にアクセスします。アセットでは、SSHプロトコルがサポートされている必要があります。Oracle Enterprise Manager Ops Centerでは、SSH鍵は保護されません。この方法を使用する場合は、次の前提条件を確認する必要があります。
アセットにアクセスする必要のあるプロキシ・コントローラごとに、SSH鍵を作成する必要があります。
OSアセットの場合、SSH公開鍵を~/.ssh/authorized_keysファイルに追加する必要があります。ハードウェア・アセットの場合、アセットのWebインタフェースを使用してSSH公開鍵をアップロードする必要があります。
SSH鍵を作成するには、「Create Credentials」アクションを使用します。
鍵の名前を入力します。
図3-1に示すように「Custom SSH key」ボタンをクリックして、残りのフィールドを有効にします。
「Login User」に、この鍵を使用するアカウントの名前を入力します。
鍵ファイルの場所は、sshkey-genユーティリティのデフォルトの場所に設定されます。サイトで別の場所を使用する場合は、このフィールドを編集します。
(オプション) OSアセットの場合、ルートなどの特権ユーザーを作成するか、鍵を使用して権限のないユーザーを作成します。ロールのパスワードを指定します。
パスフレーズはパスワードにオプションで追加するもので、鍵と同時に作成されます。
「Create」をクリックして、SSH鍵を作成します。
この項の情報は、『Oracle Enterprise Manager Ops Center機能リファレンス・ガイド』にも記載されています。
資格証明を提供せずにアセットを検出することも可能ですが、Oracle Enterprise Manager Ops Centerでこれらのアセットを管理または監視する機能は制限されています。アセットの資格証明を製品ソフトウェアに格納しない場合は、各アセットにエージェント・コントローラを手動でインストールします。
これらの手順を使用して、エージェント・コントローラをインストールし、ターゲット・システムに登録します。
開始する前に
agentadmコマンドを使用するには、次の情報が必要です。
エンタープライズ・コントローラでの管理ユーザー名: ユーザー資格証明を使用してエージェント・コントローラを構成するには、エンタープライズ・コントローラに存在する管理ユーザー・アカウントを使用する必要があります。このユーザー・アカウントは、エージェント・コントローラ登録をサポートする認証を提供します。このユーザー名をagentadm -uオプションの引数として使用します。
エンタープライズ・コントローラでの管理ユーザー名のパスワード: ユーザー資格証明を使用してエージェント・コントローラを構成する場合、このパスワードを使用して/var/tmp/OC/mypasswdファイルに移入します。次に、このファイル名をagentadm -pオプションの引数として使用します。
適切なプロキシ・コントローラ上の/var/opt/sun/xvm/persistence/scn-proxy/connection.propertiesファイルからのauto-reg-token登録トークン: エージェント・コントローラ・ソフトウェアの構成にユーザー資格証明を使用しない場合は、このトークンを使用して/var/tmp/OC/mytokenファイルに移入します。次に、このファイル名をagentadm -tオプションの引数として使用します。
エージェント・コントローラに関連付けるプロキシ・コントローラのIPアドレスまたはホスト名: このIPアドレスまたはホスト名をagentadm -xオプションの引数として使用します。通常、エージェント・コントローラは、ターゲット・システムと同じサブネットに接続されているプロキシ・コントローラと関連付けます。
エージェント・コントローラで登録に使用されるネットワーク・インタフェースのIPアドレス: このIPアドレスをagentadm -aオプションの引数として使用します。
この手順における一部のagentadmコマンド例では、別の管理ユーザー名drootを使用しています。これらの例では、drooユーザーはエンタープライズ・コントローラに存在しています。
エージェント・コントローラをグローバル・ゾーンにインストールすると、エージェント・コントローラ・インストールによってJava Runtime Environment (JRE) 1.6.0_21がインストールされるか、このバージョンにアップグレードされます。後続バージョンのJREは影響を受けません。
この手順では、Oracle Enterprise Manager Ops Centerインストールの管理ユーザーのパスワードを格納するファイルを作成します。
エンタープライズ・コントローラで、/var/opt/sun/xvm/images/agent/ディレクトリに移動し、それに含まれるファイルをリストします。このディレクトリには、エージェント・コントローラ・インストール・アーカイブが含まれています。次に例を示します。
# cd /var/opt/sun/xvm/images/agent/ # ls OpsCenterAgent.Linux.i686.12.1.0.zip OpsCenterAgent.Linux.i686.12.1.0.zip.sig OpsCenterAgent.SunOS.i386.12.1.0.zip OpsCenterAgent.SunOS.i386.12.1.0.zip.sig OpsCenterAgent.SunOS.sparc.12.1.0.zip OpsCenterAgent.SunOS.sparc.12.1.0.zip.sig #
エージェント・コントローラをインストールするシステムに適したエージェント・コントローラ・アーカイブを特定します。
エージェント・コントローラをインストールするシステム(ターゲット・システム)で、/var/tmp/OCという名前のディレクトリを作成します。
# mkdir /var/tmp/OC
scpまたはftpを使用して、エンタープライズ・コントローラから適切なエージェント・コントローラ・アーカイブをターゲット・システムの/var/tmp/OCディレクトリに転送します。表示される認証プロンプトまたは確認プロンプトに応答します。次に例を示します。
# scp OpsCenterAgent.SunOS.sparc.12.1.0.zip root@10.5.241.74:/var/tmp/OC Password: OpsCenterAgent.S 100% |*********************************************************************| 34695 KB 00:32 #
ターゲット・システムで、/var/tmp/OCディレクトリに移動します。
# cd /var/tmp/OC #
unzipコマンドを使用して、エージェント・コントローラ・アーカイブを解凍します。次に例を示します。
# unzip OpsCenterAgent.SunOS.sparc.12.1.0.zip (output omitted)
OpsCenterAgentディレクトリ内のinstall -aスクリプトを実行します。次に例を示します。
# OpsCenterAgent/install -a Installing Ops Center Agent Controller. No need to install 120900-04. No need to install 121133-02. No need to install 119254-63. No need to install 119042-09. No need to install 121901-02. No need to install 137321-01. Installed SUNWjdmk-runtime. Installed SUNWjdmk-runtime-jmx. (output omitted) 6 patches skipped. 19 packages installed. Installation complete. Detailed installation log is at /var/scn/install/log. Uninstall using /var/scn/install/uninstall. #
/var/tmp/OC/mypasswdという名前の空のファイルを作成し、その権限モードを400に設定します。次に例を示します。
# touch /var/tmp/OC/mypasswd # chmod 400 /var/tmp/OC/mypasswd
/var/tmp/OC/mypasswdファイルを編集して、プロキシ・コントローラが接続されたエンタープライズ・コントローラに存在する管理ユーザーのパスワードをファイルに含めます。次のechoコマンドを実行すると、パスワードが/var/tmp/OC/mypasswdファイルに追加されます。パスワードを正しいパスワードに置き換えます。次に例を示します。
# echo 'password' > /var/tmp/OC/mypasswd
agentadmコマンドを使用して、エージェント・コントローラをプロキシ・コントローラに関連付けます。
Oracle Solaris OS: /opt/SUNWxvmoc/bin/agentadmコマンドを使用します。
Linux OS: /opt/sun/xvmoc/bin/agentadmコマンドを使用します。
この後のコマンド例では、次のオプションを使用しています。
configure: エージェント・コントローラの構成操作が実行されます。
-u: プロキシ・コントローラが接続されたエンタープライズ・コントローラに存在する管理ユーザーを指定します。/var/tmp/OC/mypasswdファイル内に指定したパスワードが、このオプションで指定したユーザーの正しいパスワードであることを確認してください。
この後の例では、管理ユーザーとしてdrootを使用しています。
-p: -uオプションで指定したユーザーのパスワードを含むファイルの絶対パス名を指定します。
-x: エージェント・コントローラを接続するプロキシ・コントローラのIPアドレスまたはホスト名を指定します。
-a: エージェント・コントローラ登録時に使用するIPアドレスを指定します。これによって、エージェント・コントローラで登録時に使用されるネットワーク・インタフェースが選択されます。要求されたら、サーバーの証明書を受け入れます。次に例を示します。
# /opt/SUNWxvmoc/bin/agentadm configure -u droot -p /var/tmp/OC/mypasswd -x 172.20.26.218 agentadm: Version 1.0.3 launched with args: configure -u droot -p /var/tmp/OC/mypasswd -x 172.20.26.218 workaround configuration done. Certificate: Serial Number: 947973225 Version: 3 Issuer: CN=flyfishing_scn-proxy_ca Subject: CN=flyfishing_scn-proxy_Agent Controller Not valid before: Thu Jun 19 15:36:59 MDT 1969 Not valid after: Thu Apr 19 15:36:59 MDT 2029 Certificate: Serial Number: 1176469424 Version: 3 Issuer: CN=flyfishing_scn-proxy_ca Subject: CN=flyfishing_scn-proxy_ca Not valid before: Thu Jun 19 15:36:56 MDT 1969 Not valid after: Thu Apr 19 15:36:56 MDT 2029 Accept server's certificate? (y|n) y Connection registered successfully. scn-Agent Controller configuration done. Checking if UCE Agent Controller process is still running, it may take a couple of minutes ... Process is no longer running UCE Agent Controller is stopped. UCE Agent Controller is in [online] state. Checking if UCE Agent Controller process is up and running ... The process is up and running. UCE Agent Controller is started. Added the zone configuration automation successfully. Added the service tags recreate script successfully. #
次の例の「Connection cannot be registered」のようなエラー・メッセージは通常、agentadmコマンドで指定したユーザー資格証明に問題があることを示しています。この例では、ユーザーdrootがエンタープライズ・コントローラで認証されませんでした。このようなエラーが発生した場合、agentadm -uオプションで指定したユーザー名およびagentadm -pオプションで指定したファイル内のパスワードがエンタープライズ・コントローラに存在する管理ユーザーと一致しているか確認してください。
Accept server's certificate? (y|n) y Error with connection to CRS: com.sun.scn.connmgt.SCNRegClientException: droot, Code: 4, Code: 4 ERROR : Connection cannot be registered. Code--2 sc-console registration failed on [2]. sc-console : User authentication error. Error executing step : sc_console
エージェント・コントローラをインストールするシステムにアクティブなネットワーク・インタフェースが複数存在する場合、-aオプションを使用して、エージェント・コントローラ登録に使用するインタフェースのIPアドレスを指定します。次に例を示します。
# /opt/SUNWxvmoc/bin/agentadm configure -u droot -p /var/tmp/OC/mypasswd -x 172.20.26.218 -a 172.20.26.128 (output omitted)
agentadmコマンドを実行して「Connection cannot be registered」というエラー・メッセージが表示された場合、agentadmを使用してエージェント・コントローラを構成解除します。次に例を示します。
# /opt/SUNWxvmoc/bin/agentadm unconfigure
agentadm: Version 1.0.3 launched with args: unconfigure
verified sc_console command is OK
End of validation
{output omitted}
End of configuration.
接続の問題を解決し、agentadm configureコマンドを再実行します。
sc-consoleコマンドを使用して、エージェント・コントローラ接続をリストします。次に例を示します。
# sc-console list-connections scn-Agent Controller https://172.20.26.218:21165 urn:scn:clregid:a860a6d4-6899-4bcc-9ac7-a6ebaf71c1f5:20090420171121805 #
この手順では、トークンを使用してエージェント・コントローラ・ソフトウェアを構成します。
エンタープライズ・コントローラで、/var/opt/sun/xvm/images/agent/ディレクトリに移動し、その内容をリストします。このディレクトリには、エージェント・コントローラ・インストール・アーカイブが含まれています。
# cd /var/opt/sun/xvm/images/agent/ # ls OpsCenterAgent.Linux.i686.12.1.0.zip OpsCenterAgent.Linux.i686.12.1.0.zip.sig OpsCenterAgent.SunOS.i386.12.1.0.zip OpsCenterAgent.SunOS.i386.12.1.0.zip.sig OpsCenterAgent.SunOS.sparc.12.1.0.zip OpsCenterAgent.SunOS.sparc.12.1.0.zip.sig #
エージェント・コントローラをインストールするシステム(ターゲット・システム)に適したエージェント・コントローラ・アーカイブを特定します。
ターゲット・システムで、/var/tmp/OCという名前のディレクトリを作成します。
# mkdir /var/tmp/OC
scpまたはftpを使用して、エンタープライズ・コントローラからエージェント・コントローラ・アーカイブをターゲット・システムの/var/tmp/OCディレクトリに転送します。表示される認証プロンプトまたは確認プロンプトに応答します。次に例を示します。
# scp OpsCenterAgent.SunOS.sparc.12.1.0.zip root@10.5.241.74:/var/tmp/OC Password: OpsCenterAgent.S 100% |*********************************************************************| 34695 KB 00:32
ターゲット・システムで、/var/tmp/OCディレクトリに移動します。
# cd /var/tmp/OC
次のようにして、エージェント・コントローラ・アーカイブを解凍します。
# unzip OpsCenterAgent.SunOS.sparc.12.1.0.zip (output omitted)
OpsCenterAgentディレクトリ内のinstall -aスクリプトを実行します。次に例を示します。
# OpsCenterAgent/install -a Installing Ops Center Agent Controller. No need to install 120900-04. No need to install 121133-02. No need to install 119254-63. No need to install 119042-09. No need to install 121901-02. No need to install 137321-01. Installed SUNWjdmk-runtime. Installed SUNWjdmk-runtime-jmx. (output omitted) 6 patches skipped. 19 packages installed. Installation complete. Detailed installation log is at /var/scn/install/log. Uninstall using /var/scn/install/uninstall.
このエージェント・コントローラ・インスタンスと通信するプロキシ・コントローラで、/var/opt/sun/xvm/persistence/scn-proxy/connection.propertiesファイルを調べます。このファイル内の最終行には、エージェント・コントローラ登録に必要なauto-reg-tokenが含まれています。
# cat /var/opt/sun/xvm/persistence/scn-proxy/connection.properties #Generated by a program. Do not edit. All manual changes subject to deletion. (output omitted) trust-store=/var/opt/sun/xvm/security/jsse/scn-proxy/truststore auto-reg-token=5b51bd9f-1700-450d-b038-ece0f9482474\:1271743200000\:T
エージェント・コントローラ・ソフトウェアをインストールしたシステムで、/var/tmp/OC/mytokenという名前の空のファイルを作成し、その権限モードを400に設定します。
# touch /var/tmp/OC/mytoken # chmod 400 /var/tmp/OC/mytoken
/var/tmp/OC/mytokenファイルを編集し、プロキシ・コントローラからのauto-reg-token文字列が含まれるように次の変更を加えます。
auto-reg-token=を削除します。
トークン文字列からバックスラッシュ文字を削除します。
5b51bd9f-1700-450d-b038-ece0f9482474:1271743200000:T
agentadmコマンドを使用して、エージェント・コントローラをプロキシ・コントローラに関連付けます。
Oracle Solaris OS: /opt/SUNWxvmoc/bin/agentadmコマンドを使用します。
Linux OS: /opt/sun/xvmoc/bin/agentadmコマンドを使用します。
コマンドには次のオプションが用意されています。
configure: エージェント・コントローラの構成操作が実行されます。
-t: 登録トークンを含むファイルの絶対パス名を指定します。
-x: エージェント・コントローラを接続するプロキシ・コントローラのIPアドレスまたはホスト名を指定します。
-a: エージェント・コントローラ登録時に使用するIPアドレスを指定します。これによって、エージェント・コントローラで登録時に使用されるネットワーク・インタフェースが選択されます。要求されたら、サーバーの証明書を受け入れます。
# /opt/SUNWxvmoc/bin/agentadm configure -t /var/tmp/OC/mytoken -x 172.20.26.218 agentadm: Version 1.0.3 launched with args: configure -t /var/tmp/OC/mytoken -x 172.20.26.218 workaround configuration done. Certificate: Serial Number: 947973225 Version: 3 Issuer: CN=flyfishing_scn-proxy_ca Subject: CN=flyfishing_scn-proxy_Agent Controller Not valid before: Thu Jun 19 15:36:59 MDT 1969 Not valid after: Thu Apr 19 15:36:59 MDT 2029 Certificate: Serial Number: 1176469424 Version: 3 Issuer: CN=flyfishing_scn-proxy_ca Subject: CN=flyfishing_scn-proxy_ca Not valid before: Thu Jun 19 15:36:56 MDT 1969 Not valid after: Thu Apr 19 15:36:56 MDT 2029 Accept server's certificate? (y|n) y Connection registered successfully. scn-Agent Controller configuration done. Checking if UCE Agent Controller process is still running, it may take a couple of minutes ... Process is no longer running UCE Agent Controller is stopped. UCE Agent Controller is in [online] state. Checking if UCE Agent Controller process is up and running ... The process is up and running. UCE Agent Controller is started. Added the zone configuration automation successfully. Added the service tags recreate script successfully. #
エージェント・コントローラをインストールするシステムにアクティブなネットワーク・インタフェースが複数存在する場合、-aオプションを使用して、エージェント・コントローラ登録に使用するインタフェースのIPアドレスを指定します。次に例を示します。
# /opt/SUNWxvmoc/bin/agentadm configure -t /var/tmp/OC/mytoken -x 172.20.26.218 -a 172.20.26.128 (output omitted)
「Connection cannot be registered」というエラー・メッセージが表示された場合、agentadm unconfigureコマンドを使用してエージェント・コントローラを構成解除します。
# /opt/SUNWxvmoc/bin/agentadm unconfigure
agentadm: Version 1.0.3 launched with args: unconfigure
verified sc_console command is OK
End of validation
{output omitted}
End of configuration.
接続の問題を解決し、agentadm configureコマンドを再実行します。
sc-consoleコマンドを使用して、エージェント・コントローラ接続をリストします。次に例を示します。
# sc-console list-connections scn-Agent Controller https://172.20.26.218:21165 urn:scn:clregid:a860a6d4-6899-4bcc-9ac7-a6ebaf71c1f5:20090420171121805
この項の情報は、『Oracle Enterprise Manager Ops Center管理ガイド』にも記載されています。
Oracle Enterprise Manager Ops Centerの以前のバージョンで検出および管理されていたアセットに、管理資格証明が関連付けられていない場合があります。新規または既存の資格証明セットをこれらのアセットに関連付けることができます。
管理資格証明をアップグレードするには、「All Assets」を選択し、「Upgrade Management Credentials」をクリックします。アセット・カテゴリ(オペレーティング・システム、サーバー、またはシャーシ、m-serieおよびスイッチ)を選択します。そのカテゴリの1つ以上のアセットを選択します。既存の資格証明セットを割り当てるには、「Assign existing set」を選択し、既存の資格証明セットを選択します。新規の資格証明セットを割り当てるには、「Create」を選択して新規のセットを割り当ててから、プロトコル、名前および資格証明の情報を入力します。
管理資格証明を更新するには、アセットまたはグループを選択し、「Actions」ペインで「Update Management Credentials」をクリックします。「Select」をクリックして既存の資格証明セットを選択するか、「New」をクリックして新規のセットを作成します。
管理資格証明を作成するには、「Administration」セクションで「Credentials」を選択し、「Actions」ペインで「Create Credentials」をクリックします。プロトコルを選択し、資格証明セットの名前と、プロトコルに必要な情報を入力します。
管理資格証明を編集するには、「Administration」セクションで「Credentials」を選択し、資格証明セットを選択して「Edit Credentials」アイコンをクリックします。説明およびプロトコル情報を編集し、「OK」をクリックして変更を保存します。
既存の管理資格証明セットをコピーして、新規のセットを作成します。
管理資格証明をコピーするには、「administration」セクションで「Credentials」を選択し、資格証明セットを選択して「Copy Credentials」アイコンをクリックします。名前、説明およびプロトコル情報を編集し、「Ok」をクリックして新規の資格証明セットを保存します。
「Create Credential」アクションおよび「Edit Credential」アクションを使用するかわりに、資格証明を更新する計画を作成して適用します。
「Navigation」ペインで「Plan Management」を開きます。
「Credentials」セクションにスクロール・ダウンしてクリックします。
「Actions」ペインで「Create Credentials」をクリックします。
プロトコルのドロップダウン・リストをクリックして、プロトコルのタイプを選択します。これらの資格証明の名前および目的の説明(サポートされるアセット・タイプなど)を入力します。
資格証明を入力します。
「Create」ボタンをクリックします。
デフォルトで、Oracle Enterprise Manager Ops Centerでは、Webコンテナとブラウザ・クライアント間の認証に自己署名証明書が使用されます。証明書を使用するドメインの名前が認証局から要求されるため、Oracle Enterprise Manager Ops CenterはVerisign社などの認証局により署名された証明書を提供しません。エンタープライズ・コントローラのWebサーバーが稼働するドメインは、ユーザーがソフトウェアをインストールするまで不明なため、生成された署名証明書とともにOracle Enterprise Manager Ops Centerを配布することはできません。インストール後に「証明書の置換」の手順を実行して、自己署名証明書を認証局の証明書で置き換えてください。
アクセス制御によって、システムは、リソースに定義されているセキュリティ・ポリシーに準拠してリソースにアクセス権を付与できます。
Oracle Enterprise Manager Ops Centerでは、Cookiesを使用して個々のユーザーのセッション・データを格納します。Cookiesは、JSESSIONIDおよびhttp-onlyフラグを使用して暗号化されます。Cookiesは、HTTPSプロトコルを使用して送信されます。
ブラウザは、セッションの非アクティブのタイマーをデフォルトの30分間で制御します。次の手順を使用して、有効期限を短い期間に変更することを考慮してください。
ブラウザ・ウィンドウのタイトル・バーで「Setup」をクリックします。
「My Preferences」→「User Interface Preferences」をクリックします(図3-2を参照)。
「User Interface Preferences」ウィンドウの「Time Intervals」セクションで、「Session Timeout」フィールドの値を変更します。
NFSプロトコルには、NFSサーバーおよびNFSクライアントが使用するドメイン・ネーム・システム(DNS)に関する合意が必要です。サーバーおよびクライアントは、共有にアクセスする認可済ユーザーのアイデンティティに関して合意する必要があります。
Oracle Enterprise Manager Ops Centerソフトウェアは、共有をマウントするためのNFSクライアントを準備します。次の手順を使用して、Oracle Solaris 10上にNFSサーバーを準備します。また、Oracle Solaris 11システムでも同じ手順がサポートされていますが、「Oracle Solaris管理: ZFSファイル・システム」で説明されている新しい手順を使用することもできます。
NFSサーバーでの共有の設定
共有するディレクトリを作成し、その所有権および権限モードを設定します。次に例を示します。
# mkdir -p /export/lib/libX # chmod 777 /export/lib/libX
NFSサーバー上で/etc/dfs/dfstabファイルを開きます。
ディレクトリを共有するためのエントリを追加します。たとえば、/export/lib/libXという名前のディレクトリを共有する場合は、次のエントリを作成します。
share -F nfs -o rw,"Share 0" /export/lib/libX
NFS共有を他のネットワーク・ドメインからアクセス可能にする場合は、rwオプションを使用して、許可されるドメインのリストを指定します。
share -F nfs -o rw=IPaddress1,IPaddress2 "Share 0" export/lib/libX
ディレクトリを共有し、ディレクトリが共有されていることを確認します。次に例を示します。
# shareall
# share
export/lib/libX rw, "Share 0"
共有によって、NFSクライアント上のルート・ユーザーに書込み権限が付与されます。
この項の情報は、『Oracle Enterprise Manager Ops Center管理ガイド』にも記載されています。
Oracle Enterprise Manager Ops Centerには、障害回復に使用可能ないくつかのツールが備わっています。これらのツールを使用すると、エンタープライズ・コントローラ・システムまたはプロキシ・コントローラ・システムに障害が発生しても、Oracle Enterprise Manager Ops Centerのデータおよび機能を保持できます。
この項で説明する手順の一部では、ecadmコマンドおよびproxyadmコマンドを使用しています。このコマンドの詳細は、『Oracle Enterprise Manager Ops Center機能リファレンス・ガイド』を参照してください。
Oracle Solarisシステムでは、このコマンドは/opt/SUNWxvmoc/bin/ディレクトリ内にあります。
Linuxシステムでは、このコマンドは/opt/sun/xvmoc/bin/ディレクトリ内にあります。
ecadm backupコマンドおよびecadm restoreコマンドでは、エンタープライズ・コントローラはバックアップおよびリストアされますが、同じ場所に配置されたプロキシ・コントローラまたはライブラリのバックアップやリストアは行われません。
ecadm backupコマンドを実行すると、エンタープライズ・コントローラに格納されているすべてのOracle Enterprise Manager Ops Center情報(アセット・データ、管理データ、ジョブ履歴など)を含むバックアップ・ファイルが作成されます。バックアップ・ファイルおよびそのログ・ファイルの名前と場所を指定します。
エンタープライズ・コントローラ・システムに障害が発生した場合、ecadm restoreコマンドを使用してエンタープライズ・コントローラを前の状態にリストアします。ecadm restoreコマンドを実行すると、バックアップ・ファイルを使用してエンタープライズ・コントローラが構成され、データがリストアされます。新しいエンタープライズ・コントローラ・システムでは、Oracle Enterprise Manager Ops Centerがインストールされていますが、構成されていません。
ecadmコマンドとbackupサブコマンドを使用して、エンタープライズ・コントローラのバックアップ・ファイルを作成します。デフォルトでは、サーバー・データは/var/tmp/sat-backup-date-time.tarファイルに保存されます。バックアップ中に、別の名前および場所を指定できます。
|
注意: OSイメージ・ファイルのサイズが大きいことがあるため、ecadm backupコマンドではソフトウェア・ライブラリはバックアップされません。OSイメージ用のソフトウェア・ライブラリをネットワーク接続型ストレージ(NAS)上に作成し、ネットワーク・ストレージ・デバイスをサイトのバックアップ計画に組み込むことをお薦めします。別の方法として、エンタープライズ・コントローラのディレクトリを手動でバックアップし、別のサーバー、ファイル共有機能、または/var/opt/sunディレクトリの外部にファイルをアーカイブすることもできます。 |
埋込みデータベースを使用している場合、バックアップ・ファイルにはOps Centerスキーマが含まれます。顧客管理データベースを使用する場合、--remotedbオプションを使用してOps Centerスキーマの論理バックアップ(データ・ポンプ・ダンプ)を実行し、データベース管理者がサイト・ポリシーに従って顧客管理データベースのルーチン・バックアップを実行するようにします。
|
注意: バックアップ・プロシージャにはデータベース・パスワード・ファイルが含まれているため、データベース資格証明を変更するたびにエンタープライズ・コントローラをバックアップする必要があります。これを行わない場合、リストア操作を行うと新しいデータベース資格証明が上書きされます。 |
エンタープライズ・コントローラをバックアップする手順
コマンドラインから、エンタープライズ・コントローラ・システムにログインします。
ecadmコマンドとbackupサブコマンドを使用して、エンタープライズ・コントローラをバックアップします。このコマンドでは次のオプションを使用します。
-o|--output backup_filename: バックアップ・アーカイブ用のファイルを指定します。デフォルトの出力ファイルは、/var/opt/sun/xvm/logs/sat-backup-date-time.tarファイルです。
-c|--configdir directory: 別のバックアップ構成ディレクトリを指定します。
-l|--logfile logfile: 指定した名前のログ・ファイルに出力を保存します。ログ・ファイルは/var/opt/sun/xvm/logs/ディレクトリに格納されます。
-d|--description text: バックアップ・アーカイブの説明としてのテキストを含めます。
-r|--remotedb: エンタープライズ・コントローラで顧客管理データベースを使用している場合、このオプションを指定すると、データベース・スキーマがデータベースのサーバーのOC_DUMP_DIRディレクトリ内のファイルにエクスポートされます。このオプションでは、完全データベース・バックアップは実行されません。データベース管理者は、完全データベース・バックアップを実行する必要があります。
-t|--tag text: バックアップ・アーカイブのタグとしてのテキストを含めます。
-T|--tempdir directory: 一時ステージング・ディレクトリの場所を指定します。
-v|--verbose: 冗長性レベルを上げます(繰返し可能)。
次に例を示します。
ecadm backup -o /var/tmp/backup-file-name.tar
最新のアップグレード・インストール・ディレクトリの内容を保存します。このディレクトリは/var/opt/sun/xvm/update-saved-state/ディレクトリの子であり、バージョン番号に従って名前が付けられます。
バックアップ・ファイルを個別のシステムにコピーします。
バックアップ・ファイルを使用して、エンタープライズ・コントローラをバックアップ時の状態に戻します。
埋込みデータベースを使用している場合、このプロセスでは、Ops Centerスキーマがバックアップ時のスキーマの状態にリストアされます。顧客管理データベースを使用している場合、--remotedbオプションを使用して、顧客管理データベース上に製品スキーマをリストアします。
エンタープライズ・コントローラをリストアする手順
この手順では、ecadm backup操作によって作成されたアーカイブからデータをリストアします。その他の例は、例3-1、例3-2および例3-3を参照してください。
エンタープライズ・コントローラ・システムを準備します。
同じシステム上にバックアップをリストアするが、ソフトウェアが破損しているか、アップグレードが失敗した場合は、エンタープライズ・コントローラ・ソフトウェアをアンインストールします。
-eオプションと-kオプションを指定して、installスクリプトを実行します。-eオプションを指定すると、エンタープライズ・コントローラおよび同じ場所に配置されたプロキシ・コントローラがアンインストールされ、-kオプションを指定すると、Oracle Configuration Managerソフトウェアが保持されます。次に例を示します。
# cd /var/tmp/OC/xvmoc_full_bundle # install -e -k
同じシステム上にバックアップをリストアする場合、ソフトウェアが正常に機能していれば、エンタープライズ・コントローラを構成解除します。
エンタープライズ・コントローラがインストールされていない場合はインストールしますが、エンタープライズ・コントローラを構成しないでください。restoreコマンドには構成設定が含まれています。
Oracle Solaris OS: 『Oracle Enterprise Manager Ops Centerインストレーション・ガイドfor Oracle Solaris Operating System』を参照してください。
Linux OS: 『Oracle Enterprise Manager Ops Centerインストレーション・ガイドfor Linux Operating Systems』を参照してください。
エンタープライズ・コントローラのバージョンがバックアップ時に実行されていたバージョンと異なる場合は、コマンドラインを使用してエンタープライズ・コントローラをアップグレードします。
バックアップ・アーカイブを指定する-iオプションを使用してecadm restoreコマンドを呼び出します。次のオプションを使用できます。
-i|--input backup_filename: バックアップ・アーカイブ用のファイルを指定します。デフォルト・ファイルは/var/tmp/sat-backup-date-time.tarです。
-c|--configdir directory: 別の構成ディレクトリを指定します。
-l|--logfile logfile: 出力を別のログ・ファイルに保存します。デフォルトのログ・ファイルは、/var/opt/sun/xvm/logs/sat-restore-date-time.logです。
-r|--remotedb: エンタープライズ・コントローラで顧客管理データベースを使用している場合、このコマンドを実行すると、製品スキーマがそのデータベース上にリストアされます。
-T|--tempdir directory: 一時ステージング・ディレクトリの場所を指定します。
-v|--verbose: 冗長性レベルを上げます(繰返し可能)。
エンタープライズ・コントローラとプロキシ・コントローラが同じ場所に配置されている場合、proxyadmコマンドを使用して、同じ場所に配置されたプロキシ・コントローラを再起動します。proxyadmコマンドは、ecadmコマンドと同じディレクトリ内にあります。
proxyadm start -w
エンタープライズ・コントローラとプロキシ・コントローラが同じ場所に配置されている場合、アセット追加の方法を使用してシステムを再検出します。アセット追加の手順の詳細は、『Oracle Enterprise Manager Ops Center機能リファレンス・ガイド』を参照してください。アセットを再登録する必要はありません。
|
注意: エンタープライズ・コントローラのリストア後、アセット詳細がユーザー・インタフェースに完全に表示されるまでに数分かかることがあります。 |
例3-1 埋込みデータベースを使用するエンタープライズ・コントローラのリストア
この例では、restoreコマンドには、冗長モードでリストアを設定するオプションと、デバッグ目的でログ・ファイルを作成するオプションが含まれています。入力オプションは、バックアップ・ファイルの場所を指定します。
# /opt/SUNWxvmoc/bin/ecadm restore -v -i /var/tmp/OC/server1/backup-May28-1812.tar -l SiteX_logfile-restore-May28-1812.log
例3-2 顧客管理データベースを使用するエンタープライズ・コントローラのリストア
この例では、restoreコマンドには、顧客管理データベース上にデータベース・スキーマをリストアするオプションが含まれています。入力オプションは、バックアップ・ファイルの場所を指定します。
# /opt/SUNWxvmoc/bin/ecadm restore -i /var/tmp/OC/server1/backup-May28-1812.tar -r
例3-3 データベース・スキーマをリストアしない、顧客管理データベースを使用するエンタープライズ・コントローラのリストア
この例では、restoreコマンドには、冗長モードでリストアを設定するオプションと、デバッグ目的でログ・ファイルを作成するオプションが含まれています。入力オプションは、バックアップ・ファイルの場所を指定します。-rオプションは含まれていません。
# /opt/SUNWxvmoc/bin/ecadm restore -v -i /var/tmp/OC/server1/backup-May28-1812.tar -l SiteX-logfile-restore-May28-1812.log
