Oracle® Fusion Middleware Oracle Privileged Account Manager管理者ガイド 11g リリース2 (11.1.2) B69534-04 |
|
![]() 前 |
![]() 次 |
この章では、Oracle Privileged Account Managerの拡張構成の実行について説明します。内容は次のとおりです。
第7.1項「SSL経由でターゲット・システムと接続するためのOracle Privileged Account Managerの構成」
第7.3項「既存のOracle Privileged Account Managerインストールへの新しいコネクタの追加」
Oracle Privileged Account Managerでは、Secure Socket Layer (SSL)または非SSLオプションを介してターゲット・システムに接続できます。SSLオプションは、より安全ですが、追加の構成が必要です。
SSLを介してターゲット・システムと安全に通信するには、Oracle Privileged Account Managerを実行しているWebLogicインスタンスが、ターゲット・システムで使用されているSSL証明書を信頼する必要があります(Oracle Privileged Account Managerは実行されているWebLogicコンテナからそのSSL構成を継承するため)。Oracle Privileged Account Managerを実行しているWebLogicインスタンス(およびOracle Privileged Account Manager)にターゲット・システムのSSL証明書を信頼させるには、WebLogicインスタンスで使用されているトラストストアに証明書をインポートする必要があります。
注意: IBM WebSphereインスタンスを使用している場合は、SSL通信の構成手順が異なります。 手順は、『Oracle Fusion Middleware Oracle Identity and Access Managementサードパーティ・アプリケーション・サーバー・ガイド』のSSL経由でターゲット・システムに接続するためにOracle Privileged Account Managerを構成する場合の相違点に関する項を参照してください。 |
ターゲット・システムとOracle Privileged Account Manager間のSSL通信を有効にするには、次の手順を使用します。
ターゲット・システムのホスト・コンピュータからSSL証明書をエクスポートします。
注意: SSL証明書をエクスポートする手順は、ターゲット・システムのタイプごとに異なります。手順の詳細は、使用しているターゲット・システムの製品ドキュメントを参照してください。 |
Oracle Privileged Account Managerを実行しているWebLogicインスタンスが存在するマシンに証明書をコピーします。
Oracle Privileged Account Manager/Oracle Identity NavigatorコンソールとOracle Privileged Account Managerサーバーが異なるマシン上で実行されている場合、SSL証明書はOracle Privileged Account Managerサーバーのマシンにコピーする必要があります。
次のコマンドを実行して、Oracle Privileged Account Managerが実行されているWebLogicサーバーのJVMトラストストアに証明書をインポートします。
JAVA_HOME\bin\keytool -import -file FILE_LOCATION -keystore TRUSTSTORE_LOCATION -storepass TRUSTSTORE_PASSWORD -trustcacerts -alias ALIAS
説明
JAVA_HOMEは、WebLogicサーバーによって使用される場所です。次に例を示します。
MIDDLEWARE_HOME
/jrockit..
MIDDLEWARE_HOME
/jdk..
Javaソフトウェアをインストールした場所
FILE_LOCATIONは、証明書ファイルのフルパスおよび名前です。
TRUSTSTORE_LOCATIONは、次のトラストストア・パスのいずれかです。
TRUSTSTORE_PASSWORDは、トラストストアのパスワードです。
ALIASは、証明書の別名です。
注意:
|
すべてのWebLogicサーバーを再起動します。
注意: WebLogicのセキュリティ概念およびカスタム・キーストアの作成方法の詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverの保護』のIDと信頼の構成に関する項を参照してください。 |
Oracle Privileged Account Managerは、Oracle Databaseの透過的データ暗号化(TDE)モードが使用されていてもいなくても動作します。
注意: 高度なセキュリティの実現のため、TDEモードを有効化することを強くお薦めします。 透過的データ暗号化の詳細は、『Oracle Database Advanced Security管理者ガイド』の透過的データ暗号化を使用した格納済データの保護に関する項を参照してください。 |
Oracle Privileged Account Managerをインストールして構成すると、任意の時点でTDEモードを有効化または無効化できます。それには次の方法があります。
第4.3.1項「Oracle Privileged Account Managerサーバーへの接続の構成」の説明に従って、コンソールを使用します。
この項では、コマンドラインからOracle Privileged Account ManagerのTDEモードを変更する方法について説明します。
内容は次のとおりです。
注意: TDEモードの有効化または無効化の手順は、WebLogic Serverを使用していようと、IBM WebSphereサーバーを使用していようと、基本的には変わりません。 IBM WebSphereでOracle Privileged Account Managerを使用している場合の若干の相違点は、『Oracle Fusion Middleware Oracle Identity and Access Managementサードパーティ・アプリケーション・サーバー・ガイド』のディスク上のデータを保護する場合の相違点に関する項を参照してください。 |
TDEモードが無効である(tdemode
フラグがfalse
に設定されている)ときにTDEを有効化する場合は、次の手順を実行します。
注意: 開始する前に、Oracle Privileged Account Managerサーバーが実行中であることを確認します。 |
環境変数ORACLE_HOME
およびJAVA_HOME
を設定します。
次のスクリプトを実行します。
UNIXでは次のように入力します。
ORACLE_HOME/bin/opam.sh -url OPAM_Server_Url -x modifyglobalconfig -propertyname tdemode -propertyvalue true -u OPAM_APPLICATION_CONFIGURATOR_USER -p Password
Windowsでは次のように入力します。
ORACLE_HOME\bin\opam.bat -url OPAM_Server_Url -x modifyglobalconfig -propertyname tdemode -propertyvalue true -u OPAM_APPLICATION_CONFIGURATOR_USER -p Password
『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』のオプション: Oracle Privileged Account Managerデータ・ストアでのTDEの有効化に関する項を参照してください。
TDEモードを使用しているときに非TDEモードに切り替える場合は、次の手順を実行します。
注意: 開始する前に、Oracle Privileged Account Managerサーバーが実行中であることを確認します。 |
環境変数ORACLE_HOME
およびJAVA_HOME
を設定します。
次のスクリプトを実行します。
UNIXの場合:
ORACLE_HOME/opam/bin/opam.sh -url OPAM_Server_Url -x modifyglobalconfig -propertyname tdemode -propertyvalue false -u OPAM_APPLICATION_CONFIGURATOR_USER -p Password
ここで、OPAM_Server_Url
は次の形式になります。
https://OPAM_Managed_Server_Hostname:OPAM_Managed_Server_SSL_port/opam
Windowsの場合:
ORACLE_HOME\opam\bin\opam.bat -url OPAM_Server_Url -x modifyglobalconfig -propertyname tdemode -propertyvalue false -u OPAM_APPLICATION_CONFIGURATOR_USER -p Password
ここで、OPAM_Server_Url
は次の形式になります。
https://OPAM_Managed_Server_Hostname:OPAM_Managed_Server_SSL_port/opam
Oracle Privileged Account Managerスキーマはすでに暗号化されているため、データの暗号化解除にsqlplusやその他のクライアントを使用し、Oracle Privileged Account Managerスキーマ・ユーザーとしてopamxunencrypt.sql
スクリプトを実行します。
$IAM_HOME/opam/sql/opamxunencrypt.sql
次に例を示します。
sqlplus DEV_OPAM/welcome1 @MW_HOME/Oracle_IDM1/opam/sql/opamxunencrypt.sql
この項では、既存のOracle Privileged Account Managerインストール環境に新しいコネクタを追加するためのプロセスについて説明します。内容は次のとおりです。
オラクル社提供による新しいICFコネクタを追加する場合、それらにはインストール手順が付随しています。これらの手順には、コネクタ・バンドルの格納場所や、インストール固有のopam-config.xml
ファイルの変更方法が説明されています。
Oracle Privileged Account Managerでは、ユーザーが作成した(またはサードパーティによって作成された)カスタム・コネクタを使用できます。ただし、これらのコネクタは、ICF標準に厳密に準拠している必要があります。コネクタがICFに準拠していることを確認した後、次の手順を実行してOracle Privileged Account Managerで使用するためにコネクタをデプロイします。
コネクタ・バンドルを、実行時にOracle Privileged Account Managerで読み取ることができるファイル・システム上の場所に配置します。
次の手順を実行して、コネクタの構成ブロックを作成し、そのブロックをインストール固有のopam-config.xml
ファイルに含めます。
関連する構成ブロックを設計および作成します。
opam-config.xml
ファイルとopam-config.xsd
ファイルには、両方ともファイルの先頭に構成ブロックの作成方法を説明したドキュメントおよび例が含まれます。
このコネクタ構成ブロックに、手順1でコネクタ・バンドル用に指定したファイル・システムの場所が含まれていることを確認します。
新しいコネクタ構成ブロックを<connectorConfig>
ブロックに含めることでopam-config.xml
ファイルに追加します。
変更されたopam-config.xml
ファイルをopam-config.xsd
ファイルに対して検証し、Oracle Privileged Account Managerサーバーでその変更されたファイルを読み取ることができることを確認します。任意のXMLスキーマ検証ツールをこの目的で使用できます。
Oracle Privileged Account Managerサーバーを再起動します。
Oracle Privileged Account Managerに接続し、新しく追加したコネクタ・タイプを使用して新しいターゲット・システムを追加および構成します。