Oracle® Fusion Middleware Oracle Privileged Account Manager管理者ガイド 11gリリース2 (11.1.2) B69534-07 |
|
前 |
次 |
この章では、管理者がOracle Privileged Account ManagerサーバーおよびOracle Privileged Session Manager (セッション・マネージャ)サーバーを構成および管理するために知っておく必要がある情報について説明します。
この章では、次の項目について説明します。
注意: IBM WebSphere上でOracle Privileged Account Managerを使用している場合、このトピックの詳細は、Oracle Fusion Middleware Oracle Identity and Access Managementサード・パーティ・アプリケーション・サーバー・ガイドのサーバーの構成と管理におけるの相違点に関する項を参照してください。 |
この項では、次のサーバーの高レベルの概要を示します。
Oracle Privileged Account Managerサーバーは、Oracle Privileged Account Managerの中核機能を実装し、次のものを特定するための認可決定を行います。
管理者またはエンド・ユーザーに公開するターゲットおよび特権アカウント
管理者およびエンド・ユーザーがターゲット、特権アカウントおよびポリシーに対して実行できる操作
また、Oracle Privileged Account Managerサーバーは次のことを行います。
アカウントの使用ポリシーおよびパスワード・ポリシーのサポート
その認可決定の実施
OPSSトラスト・サービスによるSAMLベースのOracle Security TokenおよびHTTP Basic認証を使用した認証のサポート
Oracle Privileged Account Managerサーバーの様々な管理ロールのサポート
Oracle Privileged Session Managerは、ターゲット・リソースへの単一のアクセス・ポイントを作成し、次のものを介してターゲット・システムに対する特権セッションを管理可能にします。
次のものによるセッション開始
特権アクセスのための単一制御ポイントの提供
特権資格証明の非公開
準拠しているサード・パーティ・クライアント(Putty、OpenSSHなど)のサポート
ポリシーベースおよび管理者によるセッションの終了およびロックアウトを介した制御を提供することによるセッション制御
犯罪捜査のための分析および監査データをサポートする履歴レコード(トランスクリプト)を保持することによるセッションのモニタリングと監査
次の図は、Oracle Privileged Session ManagerがOracle Privileged Account Managerサーバーにどのように関係しているのかを示しています。
この項では、Oracle Privileged Account Managerサーバーを管理するために管理者が必要とする情報を提供し、次の内容が含まれます。
Oracle Privileged Account Managerサーバーを追加および管理するには、「アプリケーション構成者」管理ロールを持つOracle Privileged Account Manager管理者である必要があります。
この章で説明する手順では、次のOracleマニュアルに含まれる情報および手順を参照しています。Oracle Privileged Account Managerサーバーの構成を開始する前に、必要に応じて参照先の概念、専門用語および手順を確認してください。
表5-1 参照マニュアル
参照内容 | 参照先 |
---|---|
管理ロール |
|
Oracle WebLogic Serverの概念および専門用語 |
Oracle Fusion Middleware Oracle WebLogic Server管理コンソール・オンライン・ヘルプおよび『Oracle Fusion Middleware Oracle WebLogic Serverの保護』を参照してください。 |
IBM WebSphereでのOracle Privileged Account Managerサーバーの追加と管理 |
Oracle Fusion Middleware Oracle Identity and Access Managementサードパーティ・アプリケーション・サーバー・ガイドのIBM WebSphereアイデンティティ・ストアに関する項 |
ディレクトリ構造 |
『Oracle Fusion Middlewareインストレーション・プランニング・ガイド』のOracle Fusion Middlewareのディレクトリ構造に関する項 |
WebLogicおよび管理対象サーバーの起動 |
『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』のOracleスタックの起動と停止に関する項 |
Oracle Privileged Account Managerにログインする場合、Oracle Privileged Account ManagerサーバーURLはデフォルトで自動的に検出されます。
Oracle Privileged Account ManagerコンソールからOracle Privileged Account Managerサーバーへの新しい接続を構成するには、次の手順を使用します。
次にログインしてOracle Privileged Account Managerを開きます:
http://managedserver_host:managedserver_port/oinav/opam
注意: 「アプリケーション構成者」管理ロールを持つユーザーとしてログインする必要があります(持たない場合、「サーバー構成」ページにアクセスできません)。 この管理ロールおよび他の管理ロールの詳細は、第2.3.1項「管理ロールのタイプ」および第3.3.4項「ユーザーへのアプリケーション構成者ロールの割当て」を参照してください。 |
Oracle Privileged Account Managerコンソールが表示されたら、「構成」アコーディオンから「サーバー接続」を選択します。
「サーバー接続」ページが表示されたら、Oracle Privileged Account ManagerサーバーURLが「自動検出URL」として表示されていることに注意してください。
別のサーバーを追加するには、サーバーのホスト名とSSLポート番号を入力します。
「テスト」ボタンをクリックして接続設定をテストします。
サーバー構成のテストが成功した場合、Test Succeeded
メッセージが表示されます。
「適用」ボタンをクリックしてこの接続情報を保存します。
コンソールまたはOPAM Global Config構成エントリ内のプロパティを使用して、スケジューラ間隔やタイムアウトなどのアクティビティに対するサーバー・レベルの動作を定義できます。使用可能なサーバー・プロパティの詳細は、第5.2.3.1項を参照してください。
OPAM Global Config構成エントリで定義されているサーバー・プロパティは、次の2つの場所から管理できます。
Oracle Privileged Account ManagerコンソールからOracle Privileged Account Managerサーバーのプロパティを管理するには、次の手順を実行します。
次にログインしてOracle Privileged Account Managerを開きます:
http://managedserver_host:managedserver_port/oinav/opam
注意: 「アプリケーション構成者」管理ロールを持つユーザーとしてログインする必要があります(持たない場合、「サーバー構成」ページにアクセスできません)。 この管理ロールおよび他の管理ロールの詳細は、第2.3.1項「管理ロールのタイプ」および第3.3.4項「ユーザーへのアプリケーション構成者ロールの割当て」を参照してください。 |
Oracle Privileged Account Managerコンソールが表示されたら、「構成」アコーディオンから「サーバー構成」を選択します。
「サーバー構成」ページが表示されたら、次のいずれかのサーバー・プロパティ・オプションを変更できます。
使用ポリシー強制間隔。Oracle Privileged Account Managerがアカウントを確認した後、使用ポリシーで定義されている有効期限を超えたアカウントを自動的にチェックインする間隔を秒単位で指定します。(デフォルトは3600
秒です)
パスワード・ポリシー強制間隔。Oracle Privileged Account Managerが、パスワード・ポリシーで定義されている最大パスワード有効期限を超えたアカウントのパスワードを確認およびリセットする間隔を秒単位で指定します。(デフォルトは3600
秒です)
ターゲット接続タイムアウト。ICFコネクタが接続先のターゲット・システムからのレスポンスを待機する時間として、Oracle Privileged Account Managerによって許可される間隔を秒単位で指定します。
この設定のデフォルト値は20
秒ですが、ネットワーク待機時間が長く、ターゲット・システムからのレスポンスに時間がかかるデプロイメントでは、この値を大きくすることが必要になる場合があります。
TDEが有効化されたバックエンドが必要です。Oracle Privileged Account Managerで透過的データ暗号化(TDE)モードを使用できるようにするには、このボックスを選択します。(デフォルトではTDEモードが有効化されます。)
TDEを有効にすると、Oracle Privileged Account Managerによって格納されたすべての機密情報(アカウント・パスワードなど)が、ディスク上で暗号化されます。
このボックスの選択を解除すると、TDEモードは無効になります。
注意: 高度なセキュリティの実現のため、TDEモードを有効化することを強くお薦めします。 TDEモードの使用の詳細は、第2.4.6項「バックエンドOracle Privileged Account Managerデータベースの強化」を参照してください。 |
完了したら、「適用」ボタンをクリックして、これらの構成設定を保存します。
OPAM Global Config構成エントリにアクセスし、これらのサーバー・プロパティを変更するには、コマンド行からgetconfig
およびmodifyconfig
コマンドを使用します。
注意: これらのコマンドの使用方法の詳細は、第A.2.1項「 コマンド行からのTDEモードの有効化または無効化の詳細は、第15.2項「ディスク上のデータの保護」を参照してください。 |
この項では、セッション・マネージャ・サーバーを管理するために管理者が必要とする情報を提供し、次の内容が含まれます。
「セッション・マネージャ構成」ページを表示するには、「アプリケーション構成者」管理ロールまたはセキュリティ管理者ロールを持つ管理者である必要があります。
「セッション・マネージャ構成」ページの設定は、「アプリケーション構成者」管理ロールを持つ管理者のみが変更できます。
Oracle Privileged Account ManagerコンソールからOracle Privileged Session Managerサーバーを構成するには、次の手順を実行します。
次にログインしてOracle Privileged Account Managerを開きます:
http://managedserver_host:managedserver_port/oinav/opam
Oracle Privileged Account Managerコンソールが表示されたら、「構成」アコーディオンから「セッション・マネージャ構成」を選択します。
「セッション・マネージャ構成」ページのプロパティを使用して、セッション・マネージャを構成します。説明は、第5.3.3項「Oracle Privileged Session Managerのプロパティの管理」を参照してください。
注意: 同じマシン上でOracle Privileged Session Managerの2つのインスタンスを実行することはできません。 |
Oracle Privileged Account Managerコンソールからセッション・マネージャのプロパティを管理するには、次の手順を実行します。
注意:
|
第5.3.2項「Oracle Privileged Session Managerサーバーへの接続の構成」の説明に従って、Oracle Privileged Account Managerを開いて「セッション・マネージャ構成」ページに移動します。
「セッション・マネージャ構成」ページが表示されたら、次のオプションを構成します。
セッション・モニタリング更新間隔。セッション・マネージャが、すべてのチェックアウト済セッションを確認し、それらのトランスクリプトを更新する間隔(秒単位)を指定します。使用ポリシーで定義された有効期限を超えたセッションはすべて、セッション・マネージャによって自動的に終了されます。(デフォルトは60
秒です。)
セッション当たりの最大記録サイズ。セッションごとに許容される最大記録サイズ(KB単位)を指定します。この記録サイズは、セッションのチェックアウト後にユーザーが使用できるデータの量を制限します。この割当てに達すると、そのセッションは自動的に終了します。(デフォルトは10240です)
Oracle Privileged Account Manager URL。この表を使用して、セッション・マネージャが接続できるOracle Privileged Account Managerサーバーの配列を管理します。
1つ以上のOracle Privileged Account ManagerサーバーURLを追加するには、「追加」をクリックします。
新しい行が表に表示されたら、その空白のフィールドにOracle Privileged Account ManagerサーバーのURLを入力します。次に例を示します。
https://<opamserver_host>:<port>/opam
1つ以上のOracle Privileged Account ManagerサーバーURLを表から削除するには、その行を選択して「削除」をクリックします。
SSH構成。次のオプションを使用して、セッション・チェックアウトに対して表示する接続詳細を構成します。
リスナー・ポート: セッション・マネージャ・リスナー・プロトコルがリスニングする予約済SSHポートを指定します。この値は、1024より大きい必要があり、デフォルトは1222です。
セッション・チェックアウトの方法: ユーザーがセッションをチェックアウトするときに表示する説明のメッセージを入力します。このメッセージは、通常のSSHクライアントを使用してセッション・マネージャ・サーバーに接続するためにユーザーが入力する必要がある情報について説明するものです。
例:
ssh -p <port> <opamuser>:<targetname>:<accountname>@<sessionmgrhost>Use opam password on password prompt
完了したら、「適用」ボタンをクリックして、これらの構成設定を保存します。
Oracle Privileged Account Managerを再起動します。
注意: セッション・マネージャ構成を変更した場合は常に、変更を有効にするためにOracle Privileged Account Managerを再起動する必要があります。 セッションのチェックアウトおよびチェックインに必要な詳細な手順は、第12.7項「特権アカウント・セッションのチェックアウト」を参照してください。 |