5 サーバーの構成と管理

この章では、管理者がOracle Privileged Account ManagerサーバーおよびOracle Privileged Session Manager (セッション・マネージャ)サーバーを構成および管理するために知っておく必要がある情報について説明します。

この章では、次の項目について説明します。

• 第5.1項「サーバーの理解」

• 第5.2項「Oracle Privileged Account Managerサーバーの管理」

• 第5.3項「Oracle Privileged Session Managerサーバーの管理」

注意: IBM WebSphere上でOracle Privileged Account Managerを使用している場合、このトピックの詳細は、Oracle Fusion Middleware Oracle Identity and Access Managementサード・パーティ・アプリケーション・サーバー・ガイドのサーバーの構成と管理におけるの相違点に関する項を参照してください。

5.1 サーバーの理解

この項では、次のサーバーの高レベルの概要を示します。

• Oracle Privileged Account Managerサーバー

• Oracle Privileged Session Managerサーバー

5.1.1 Oracle Privileged Account Managerサーバー

Oracle Privileged Account Managerサーバーは、Oracle Privileged Account Managerの中核機能を実装し、次のものを特定するための認可決定を行います。

• 管理者またはエンド・ユーザーに公開するターゲットおよび特権アカウント

• 管理者およびエンド・ユーザーがターゲット、特権アカウントおよびポリシーに対して実行できる操作

また、Oracle Privileged Account Managerサーバーは次のことを行います。

• アカウントの使用ポリシーおよびパスワード・ポリシーのサポート

• その認可決定の実施

• OPSSトラスト・サービスによるSAMLベースのOracle Security TokenおよびHTTP Basic認証を使用した認証のサポート

• Oracle Privileged Account Managerサーバーの様々な管理ロールのサポート

注意: セキュリティ上の理由から、Oracle Privileged Account ManagerサーバーはSSLトラフィックにのみ応答します。 Oracle Privileged Account Managerのユーザー・インタフェースまたはOracle Privileged Account Managerのコマンド行ツール(CLI)にOracle Privileged Account Managerサーバー・ターゲットを追加する場合、SSLエンドポイントとしてhttps://hostname:sslport/opamを指定する必要があります。 デフォルトでは、WebLogicは管理サーバーのポート7002および管理対象サーバーのポート18102を使用してSSLに応答します。WebLogicコンソールを使用して、特定のインスタンスのポートを確認できます。

次の図では、Oracle Privileged Account Managerサーバーのアーキテクチャを示します。

図5-1 サーバー・アーキテクチャ

5.1.2 Oracle Privileged Session Managerサーバー

Oracle Privileged Session Managerは、ターゲット・リソースへの単一のアクセス・ポイントを作成し、次のものを介してターゲット・システムに対する特権セッションを管理可能にします。

• 次のものによるセッション開始

  • 特権アクセスのための単一制御ポイントの提供

  • 特権資格証明の非公開

  • 準拠しているサード・パーティ・クライアント(Putty、OpenSSHなど)のサポート

• ポリシーベースおよび管理者によるセッションの終了およびロックアウトを介した制御を提供することによるセッション制御

• 犯罪捜査のための分析および監査データをサポートする履歴レコード(トランスクリプト)を保持することによるセッションのモニタリングと監査

次の図は、Oracle Privileged Session ManagerがOracle Privileged Account Managerサーバーにどのように関係しているのかを示しています。

図5-2 セッション・マネージャとOracle Privileged Account Managerサーバーとの関係

5.2 Oracle Privileged Account Managerサーバーの管理

この項では、Oracle Privileged Account Managerサーバーを管理するために管理者が必要とする情報を提供し、次の内容が含まれます。

• 始める前に

• Oracle Privileged Account Managerサーバーへの接続の構成

• Oracle Privileged Account Managerサーバーのプロパティの管理

5.2.1 始める前に

• Oracle Privileged Account Managerサーバーを追加および管理するには、「アプリケーション構成者」管理ロールを持つOracle Privileged Account Manager管理者である必要があります。

  
  

  注意: この管理ロールの詳細は、第2.3.1項「管理ロールのタイプ」および第3.3.4項「ユーザーへのアプリケーション構成者ロールの割当て」を参照してください。

  
  

• この章で説明する手順では、次のOracleマニュアルに含まれる情報および手順を参照しています。Oracle Privileged Account Managerサーバーの構成を開始する前に、必要に応じて参照先の概念、専門用語および手順を確認してください。

表5-1 参照マニュアル

参照内容	参照先
管理ロール	第2.3.1項「管理ロールのタイプ」および第3.3.4項「ユーザーへのアプリケーション構成者ロール割当て」
Oracle WebLogic Serverの概念および専門用語	Oracle Fusion Middleware Oracle WebLogic Server管理コンソール・オンライン・ヘルプおよび『Oracle Fusion Middleware Oracle WebLogic Serverの保護』を参照してください。
IBM WebSphereでのOracle Privileged Account Managerサーバーの追加と管理	Oracle Fusion Middleware Oracle Identity and Access Managementサードパーティ・アプリケーション・サーバー・ガイドのIBM WebSphereアイデンティティ・ストアに関する項
ディレクトリ構造	『Oracle Fusion Middlewareインストレーション・プランニング・ガイド』のOracle Fusion Middlewareのディレクトリ構造に関する項
WebLogicおよび管理対象サーバーの起動	『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』のOracleスタックの起動と停止に関する項

5.2.2 Oracle Privileged Account Managerサーバーへの接続の構成

Oracle Privileged Account Managerにログインする場合、Oracle Privileged Account ManagerサーバーURLはデフォルトで自動的に検出されます。

Oracle Privileged Account ManagerコンソールからOracle Privileged Account Managerサーバーへの新しい接続を構成するには、次の手順を使用します。

1. 次にログインしてOracle Privileged Account Managerを開きます:

   http://managedserver_host:managedserver_port/oinav/opam

   
   

   注意: 「アプリケーション構成者」管理ロールを持つユーザーとしてログインする必要があります(持たない場合、「サーバー構成」ページにアクセスできません)。 この管理ロールおよび他の管理ロールの詳細は、第2.3.1項「管理ロールのタイプ」および第3.3.4項「ユーザーへのアプリケーション構成者ロールの割当て」を参照してください。

   
   

2. Oracle Privileged Account Managerコンソールが表示されたら、「構成」アコーディオンから「サーバー接続」を選択します。

3. 「サーバー接続」ページが表示されたら、Oracle Privileged Account ManagerサーバーURLが「自動検出URL」として表示されていることに注意してください。

   別のサーバーを追加するには、サーバーのホスト名とSSLポート番号を入力します。

   
   

   注意: 「ホスト」値には、完全修飾ホスト名を入力する必要があります。localhostを使用すると、第C.3.13項「セッション記録を開けない」の説明のような問題が発生することがあります。

   
   

4. 「テスト」ボタンをクリックして接続設定をテストします。

   サーバー構成のテストが成功した場合、Test Succeededメッセージが表示されます。

5. 「適用」ボタンをクリックしてこの接続情報を保存します。

5.2.3 Oracle Privileged Account Managerサーバーのプロパティの管理

コンソールまたはOPAM Global Config構成エントリ内のプロパティを使用して、スケジューラ間隔やタイムアウトなどのアクティビティに対するサーバー・レベルの動作を定義できます。使用可能なサーバー・プロパティの詳細は、第5.2.3.1項を参照してください。

OPAM Global Config構成エントリで定義されているサーバー・プロパティは、次の2つの場所から管理できます。

• コンソールから

• コマンド行から

5.2.3.1 コンソールから

Oracle Privileged Account ManagerコンソールからOracle Privileged Account Managerサーバーのプロパティを管理するには、次の手順を実行します。

1. 次にログインしてOracle Privileged Account Managerを開きます:

   http://managedserver_host:managedserver_port/oinav/opam

   
   

   注意: 「アプリケーション構成者」管理ロールを持つユーザーとしてログインする必要があります(持たない場合、「サーバー構成」ページにアクセスできません)。 この管理ロールおよび他の管理ロールの詳細は、第2.3.1項「管理ロールのタイプ」および第3.3.4項「ユーザーへのアプリケーション構成者ロールの割当て」を参照してください。

   
   

2. Oracle Privileged Account Managerコンソールが表示されたら、「構成」アコーディオンから「サーバー構成」を選択します。

3. 「サーバー構成」ページが表示されたら、次のいずれかのサーバー・プロパティ・オプションを変更できます。

   • 使用ポリシー強制間隔。Oracle Privileged Account Managerがアカウントを確認した後、使用ポリシーで定義されている有効期限を超えたアカウントを自動的にチェックインする間隔を秒単位で指定します。(デフォルトは3600秒です)

   • パスワード・ポリシー強制間隔。Oracle Privileged Account Managerが、パスワード・ポリシーで定義されている最大パスワード有効期限を超えたアカウントのパスワードを確認およびリセットする間隔を秒単位で指定します。(デフォルトは3600秒です)

   • ターゲット接続タイムアウト。ICFコネクタが接続先のターゲット・システムからのレスポンスを待機する時間として、Oracle Privileged Account Managerによって許可される間隔を秒単位で指定します。

     この設定のデフォルト値は20秒ですが、ネットワーク待機時間が長く、ターゲット・システムからのレスポンスに時間がかかるデプロイメントでは、この値を大きくすることが必要になる場合があります。

   • TDEが有効化されたバックエンドが必要です。Oracle Privileged Account Managerで透過的データ暗号化(TDE)モードを使用できるようにするには、このボックスを選択します。(デフォルトではTDEモードが有効化されます。)

     TDEを有効にすると、Oracle Privileged Account Managerによって格納されたすべての機密情報(アカウント・パスワードなど)が、ディスク上で暗号化されます。

     このボックスの選択を解除すると、TDEモードは無効になります。

     
     

     注意: 高度なセキュリティの実現のため、TDEモードを有効化することを強くお薦めします。 TDEモードの使用の詳細は、第2.4.6項「バックエンドOracle Privileged Account Managerデータベースの強化」を参照してください。

     
     

4. 完了したら、「適用」ボタンをクリックして、これらの構成設定を保存します。

5.2.3.2 コマンド行から

OPAM Global Config構成エントリにアクセスし、これらのサーバー・プロパティを変更するには、コマンド行からgetconfigおよびmodifyconfigコマンドを使用します。

注意: これらのコマンドの使用方法の詳細は、第A.2.1項「getconfigコマンド」および第A.2.3項「modifyconfigコマンド」を参照してください。 コマンド行からのTDEモードの有効化または無効化の詳細は、第15.2項「ディスク上のデータの保護」を参照してください。

5.3 Oracle Privileged Session Managerサーバーの管理

この項では、セッション・マネージャ・サーバーを管理するために管理者が必要とする情報を提供し、次の内容が含まれます。

• 始める前に

• Oracle Privileged Session Managerサーバーへの接続の構成

• Oracle Privileged Session Managerのプロパティの管理

5.3.1 始める前に

• 「セッション・マネージャ構成」ページを表示するには、「アプリケーション構成者」管理ロールまたはセキュリティ管理者ロールを持つ管理者である必要があります。

• 「セッション・マネージャ構成」ページの設定は、「アプリケーション構成者」管理ロールを持つ管理者のみが変更できます。

注意: これらの管理ロールの詳細は、第2.3.1項「管理ロールのタイプ」および第3.3.4項「ユーザーへのアプリケーション構成者ロールの割当て」を参照してください。

5.3.2 Oracle Privileged Session Managerサーバーへの接続の構成

Oracle Privileged Account ManagerコンソールからOracle Privileged Session Managerサーバーを構成するには、次の手順を実行します。

1. 次にログインしてOracle Privileged Account Managerを開きます:

   http://managedserver_host:managedserver_port/oinav/opam

2. Oracle Privileged Account Managerコンソールが表示されたら、「構成」アコーディオンから「セッション・マネージャ構成」を選択します。

   「セッション・マネージャ構成」ページのプロパティを使用して、セッション・マネージャを構成します。説明は、第5.3.3項「Oracle Privileged Session Managerのプロパティの管理」を参照してください。

注意: 同じマシン上でOracle Privileged Session Managerの2つのインスタンスを実行することはできません。

5.3.3 Oracle Privileged Session Managerのプロパティの管理

Oracle Privileged Account Managerコンソールからセッション・マネージャのプロパティを管理するには、次の手順を実行します。

注意: セッション・マネージャのプロパティは、Oracle Privileged Account Manager RESTfulインタフェースを使用しても構成できます。詳細は、付録B「Oracle Privileged Account ManagerのRESTfulインタフェースの使用」を参照してください。 Oracle Privileged Account Managerコマンド行ツール(CLI)を使用して、セッション・マネージャのプロパティを構成することはできません。

1. 第5.3.2項「Oracle Privileged Session Managerサーバーへの接続の構成」の説明に従って、Oracle Privileged Account Managerを開いて「セッション・マネージャ構成」ページに移動します。

2. 「セッション・マネージャ構成」ページが表示されたら、次のオプションを構成します。

   • セッション・モニタリング更新間隔。セッション・マネージャが、すべてのチェックアウト済セッションを確認し、それらのトランスクリプトを更新する間隔(秒単位)を指定します。使用ポリシーで定義された有効期限を超えたセッションはすべて、セッション・マネージャによって自動的に終了されます。(デフォルトは60秒です。)

   • セッション当たりの最大記録サイズ。セッションごとに許容される最大記録サイズ(KB単位)を指定します。この記録サイズは、セッションのチェックアウト後にユーザーが使用できるデータの量を制限します。この割当てに達すると、そのセッションは自動的に終了します。(デフォルトは10240です)

   • Oracle Privileged Account Manager URL。この表を使用して、セッション・マネージャが接続できるOracle Privileged Account Managerサーバーの配列を管理します。

     
     

     注意: Oracle Privileged Account ManagerサーバーURLは、デフォルトで「自動検出URL」として表の最初の行に表示されます。 「追加」ボタンをクリックすると、自動検出URLが削除されます。表に1つ以上の行を追加した後、かわりに自動検出URLを使用するには、「削除」をクリックし、すべての行を削除する必要があります。自動検出URLは表が空のときにのみ表示されます。 Oracle Privileged Account ManagerサーバーURLは、高可用性(HA)を得るために複数値になっています。 セッション・マネージャは、サーバー・リストを保持しており、必要に応じて、Oracle Privileged Account Managerに接続するためにラウンドロビン形式でそれを使用します。接続の試行は、すべての構成済サーバーに対して、1つが成功するか、すべての構成済URLを試すまで行われます。

     
     

     • 1つ以上のOracle Privileged Account ManagerサーバーURLを追加するには、「追加」をクリックします。

       新しい行が表に表示されたら、その空白のフィールドにOracle Privileged Account ManagerサーバーのURLを入力します。次に例を示します。

       https://<opamserver_host>:<port>/opam
       

     • 1つ以上のOracle Privileged Account ManagerサーバーURLを表から削除するには、その行を選択して「削除」をクリックします。

   • SSH構成。次のオプションを使用して、セッション・チェックアウトに対して表示する接続詳細を構成します。

     • リスナー・ポート: セッション・マネージャ・リスナー・プロトコルがリスニングする予約済SSHポートを指定します。この値は、1024より大きい必要があり、デフォルトは1222です。

     • セッション・チェックアウトの方法: ユーザーがセッションをチェックアウトするときに表示する説明のメッセージを入力します。このメッセージは、通常のSSHクライアントを使用してセッション・マネージャ・サーバーに接続するためにユーザーが入力する必要がある情報について説明するものです。

       例:

       ssh -p <port> <opamuser>:<targetname>:<accountname>@<sessionmgrhost>Use opam password on password prompt
       

3. 完了したら、「適用」ボタンをクリックして、これらの構成設定を保存します。

4. Oracle Privileged Account Managerを再起動します。

注意: セッション・マネージャ構成を変更した場合は常に、変更を有効にするためにOracle Privileged Account Managerを再起動する必要があります。 セッションのチェックアウトおよびチェックインに必要な詳細な手順は、第12.7項「特権アカウント・セッションのチェックアウト」を参照してください。