Oracle® Fusion Middleware Oracle Privileged Account Manager管理者ガイド 11gリリース2 (11.1.2) B69534-07 |
|
前 |
次 |
この章では、OPAMサービス・アカウントに関する背景情報を、それらのアカウントの作成例を含めて説明します。
内容は次のとおりです。
Oracle Privileged Account Managerにターゲットを追加する前に、OPAMサービス・アカウント(無人アカウントとも呼ばれます)をそのターゲットに対して構成する必要があります。OPAMサービス・アカウント(サービス・アカウント)によってOracle Privileged Account Managerはターゲット・システムに接続して管理できます。
OPAM サービス・アカウントを使用して、ターゲット・システム用の資格証明を構成します。
注意:
|
サービス・アカウントは、ターゲット・システムでの次のようなすべてのOracle Privileged Account Manager関連の操作の実行に十分な権限を備えている必要があります。
ターゲット内のアカウントに関する詳細の検索および表示。これは、特権アカウントの検索およびシステムへの追加、チェックアウト中のアカウントの特定などすべての操作に使用されます。
ターゲット内のアカウント・パスワードの変更。これは、checkout、check-in、resetpasswordなどパスワードの変更が含まれる操作に使用されます。
セルフ・パスワードの変更。これは、ターゲット・サービス・アカウント・パスワードのリセット、およびサービス・アカウント自体のパスワードの変更に使用されます。
この項では、ターゲット・システムに接続する際に使用するサービス・アカウントの作成に関する情報を提供します。
注意: Oracle Privileged Account Managerの管理対象として、サービス・アカウントおよび特権アカウントと同じアカウントを使用しないでください。 |
サービス・アカウントの作成およびそのアカウントへの権限の割当ての方法は、ターゲット・システムによって異なります。たとえば、Oracle Databaseシステムでのアカウントの作成とロールの割当ての手順は、UNIXオペレーティング・システムの手順とは異なります。
次の例では、サービス・アカウントを作成する2つの方法を示します。
注意: これらの例は単なる参考として紹介しています。他の方法でも同じ結果を得られます。 |
Oracle Databaseシステムの場合:
SQLPLUSを使用し、sys user
として接続します。
次のコマンドを実行し、opamsrvc
アカウントを作成します。
connect sys/<password> as sysdba create user opamsrvc identified by <password>; grant connect, dba to opamsrvc
Linuxシステムの場合:
Linuxを使用し、root
として接続します。
次のコマンドを実行し、opam_service
アカウントを作成します。
$ useradd -d /home/opam_service -m -g root -G bin,daemon,sys,adm,disk,wheel -o -u 0 opam_service $ passwd opam_service
Oracle Privileged Account Managerには、ターゲットのサービス・アカウント・パスワードを管理するための次の2つのオプションがあります。
セキュリティ管理者管理ロールを持つ管理者は、Oracle Privileged Account Managerコンソール、コマンド行ツールまたはREST APIを使用してこれらのパスワード管理タスクを実行できます。
注意:
|
Oracle Privileged Account Managerでは、パスワード管理操作が監査され、パスワード・アクセスが追跡されます。
必要に応じて、「ターゲット」ページの検索結果表の上にある「パスワードの表示」オプションを使用して、ターゲットのサービス・アカウント用に格納されているパスワードを確認できます。
次の手順を実行します。
「管理」アコーディオンで、「ターゲット」を選択します。
「ターゲット」タブが表示されたら、検索ポートレットを使用してターゲットを検索します。
ターゲットの行番号を選択し、「パスワードの表示」をクリックします。
「現在のパスワードの表示」ダイアログで、ターゲットのサービス・アカウント・パスワードに関する次の情報が表示および提供されます。
ターゲット名
サービス・アカウント名
現在のパスワード
パスワード変更時間
完了したら、「閉じる」をクリックします。
ターゲットのサービス・アカウントのパスワード履歴を表示するには、「パスワード履歴」オプションを使用します。
注意: パスワード履歴は、lockboxターゲットでは使用できません。 |
ターゲットのパスワード履歴を表示する手順は、次のとおりです。
「管理」アコーディオンで、「ターゲット」を選択し、「ターゲットの検索」ページを開き、「検索」をクリックします。
ターゲットの行番号を選択します。
「パスワード履歴」アイコンがアクティブになったら、そのアイコンをクリックします。
「パスワード履歴の表示」ダイアログに、ターゲット名およびクリア・テキストのパスワード、さらに変更時間(パスワード・リセットの日付と時刻)が表示されます。
完了したら、「閉じる」をクリックします。
必要に応じ、検索結果表の上にある「パスワードのリセット」オプションを使用して、ターゲットのサービス・アカウント用に格納されているパスワードを手動でリセットできます。
次の手順を実行します。
「管理」アコーディオンで、「ターゲット」を選択します。
「ターゲット」タブが表示されたら、検索ポートレットを使用してターゲットを検索します。
ターゲットの行番号を選択し、「パスワードのリセット」をクリックします。
「パスワードのリセット」ダイアログが表示され、ターゲットのサービス・アカウント・パスワードに関する次の情報が表示されます。
ターゲット名
サービス・アカウント名
このダイアログには、パスワードをリセットするための次の2つのオプションも含まれます。
新規パスワード: 提供されたスペースに新規パスワードを入力します。
パスワードの自動生成: このチェック・ボックスを選択すると、アカウントのパスワード・ポリシーに従って、自動的にパスワードが生成されます。
新規パスワードを入力するかチェック・ボックスを選択し、「リセット」をクリックします。
ターゲットに対してサービス・アカウントを作成すると、そのサービス・アカウントは、そのターゲットのパスワード・ポリシーによって管理されます。
ターゲットのサービス・アカウントに対するパスワードのロールオーバーは、特権アカウントのパスワードの有効期限と似ています。そのサービス・アカウントに対してパスワードのロールオーバーを有効化し、かつそのパスワードが、関連付けられたパスワード・ポリシーで構成されている有効期限までに変更されていない場合、そのパスワードはOracle Privileged Account Managerによって、ランダム化された値に自動的に変更されます。
注意: 異なるターゲット・タイプに対するパスワード・ロールオーバーの有効化の詳細は、第6.2項「Oracle Privileged Account Managerへのターゲットの追加」を参照してください。 |