Oracle® Fusion Middleware Oracle Privileged Account Manager管理者ガイド 11gリリース2 (11.1.2) B69534-07 |
|
前 |
次 |
この章では、Oracle Privileged Account Managerでターゲットを使用する場合に実行できる様々なタスクについて説明します。
この章では、次の項目について説明します。
注意: この章で説明するタスクの多くは、Oracle Privileged Account Managerのコマンド行ツールまたはOracle Privileged Account ManagerのRESTfulインタフェースを使用しても実行できます。 Oracle Privileged Account Managerコンソールのかわりにこれらのインタフェースを使用する場合の手順は、付録A「コマンド行ツールの使用」または付録B「Oracle Privileged Account ManagerのRESTfulインタフェースの使用」を参照してください。 |
注意: ターゲットを追加、編集または削除するには、セキュリティ管理者管理ロールを持つOracle Privileged Account Manager管理者である必要があります。 |
ターゲットとは、ユーザー、システムまたはアプリケーション・アカウントを格納および使用し、それらに依存するソフトウェア・システムです。
ターゲットは、Oracle Privileged Account Managerを使用して環境に作成することや、環境から削除することはできません。かわりに、Oracle Privileged Account Managerは、他のメカニズムを使用してプロビジョニングされた既存のターゲットを管理します。
Oracle Privileged Account Managerでターゲットを追加すると、そのターゲットに対する参照が作成されます。実際には、ターゲットを登録してOracle Privileged Account Managerにその管理を依頼することになります。Oracle Privileged Account Managerからターゲットを削除すると、単にその参照が削除されます。
Oracle Privileged Account Managerでは、database、LDAP、lockboxおよびUNIXターゲット・タイプがサポートされます。
lockboxターゲットによって、Oracle Privileged Account Managerでパスワード・ボールトに似た機能が提供されます。つまり、デプロイメント内の特権アカウントに関連付けられたパスワード(またはその他の機密情報)を格納するためのセキュアなメカニズムが提供されます。このターゲット・タイプは、次の点で、他の従来のOracle Privileged Account Managerターゲット・タイプと異なります。
Oracle Privileged Account Managerは、lockboxターゲット・システムと相互作用しません。これらのシステムへの接続、またはこれらのシステムに対して実行される操作はありません。
Oracle Privileged Account Managerは、lockboxターゲット上のアカウントに関連付けられたパスワードのライフサイクル管理またはリセットを実行しません。
パスワードの変更はアウトオブバンドで処理され、管理アクションとしてOracle Privileged Account Manager内で更新されます。そのため、Oracle Privileged Account Managerはパスワードをランダム化せず、それらは管理者によって指定された状態で格納されます。
lockboxターゲットは、Oracle Privileged Account Managerでターゲット・システム上の特権アカウントを自動的に管理することなく、それらのアカウントのパスワードを一元的に格納し、安全に付与する必要がある場合に適しています。たとえば、そのようなターゲット・システムでのパスワードの変更方法および時期の制御を、Oracle Privileged Account Managerに許可せず、自分で実行する場合が考えられます。
また、特定のターゲット・タイプに適したICFコネクタが提供されていないが、Oracle Privileged Account Managerを通じてそのシステムへのアクセスを管理する必要がある場合、lockboxターゲットが役立ちます。
注意: いずれかのターゲット・タイプ(lockboxを除く)のターゲットを追加する場合、そのアカウントで次のことができる権限を持つサービス・アカウント(無人アカウントとも呼ばれます)を構成する必要があります。
Oracle Privileged Account Managerの管理対象として、サービス・アカウントおよび特権アカウントと同じアカウントを使用しないようにする必要があります。 サービス・アカウントの詳細は、第1.2.1項「機能」の有人および無人アカウントに関する説明および第7章「サービス・アカウントの使用」を参照してください。 |
注意: IBM WebSphere上でOracle Privileged Account Managerを使用している場合、このトピックの詳細は、Oracle Fusion Middleware Oracle Identity and Access Managementサード・パーティ・アプリケーション・サーバー・ガイドのIBM WebSphere上のOracle Privileged Account Managerにターゲットを追加する場合の相違点に関する項を参照してください。 |
Oracle Privileged Account Managerで管理するターゲットを追加するには、次の手順を実行します。
Oracle Privileged Account Managerにログインします。
「管理」アコーディオンから「ターゲット」を選択して、「ターゲット」ページを開きます。
検索結果表のツールバーにある「追加」をクリックし、2つのタブを含む新しい「ターゲット: 無題」ページを開きます。
一般: ターゲットの「基本構成」および「拡張構成」情報を指定するためのパラメータを含む2つの領域があります。
特権アカウント: ターゲットで現在管理されている特権アカウントのリストが含まれ、そのターゲットによって管理されているアカウントを追加、オープンおよび削除できます。
「一般」タブで、「ターゲット・タイプ」メニューを使用してターゲット・タイプ(database、ldap、lockboxまたはunix)を選択した後、残りの構成パラメータを設定します。
注意: ターゲット・タイプを設定すると、「ターゲット: 無題」ページがリフレッシュされ、選択内容に基づいて構成パラメータが変更されます。 次の項では、ターゲット・タイプごとに使用可能なパラメータについて説明します。 (アスタリスク |
ターゲットの構成パラメータを設定したら、「テスト」をクリックしてターゲットの構成を確認します。
構成が有効な場合、Test Succeeded
というメッセージが表示されます。
「保存」をクリックして、Oracle Privileged Account Managerサーバーに新しいターゲットを追加します。
Oracle Privileged Account Managerによって自動的にターゲットGUIDが割り当てられ、その読取り専用値は「基本構成」パラメータ・セクションの下部に表示されます。
これで、このターゲットを特権アカウントに関連付けることができます。手順については、第8.2項「Oracle Privileged Account Managerへの特権アカウントの追加」を参照してください。
databaseターゲット・タイプを選択すると、基本および拡張構成パラメータが表示されます。これらのパラメータについては、次の各表で説明します。
表6-1 databaseターゲット・タイプの基本構成パラメータ
次の拡張構成パラメータはオプションです。
ldapターゲット・タイプを選択すると、基本および拡張構成パラメータが表示されます。これらのパラメータについては、次の各表で説明します。
表6-3 ldapターゲット・タイプの基本構成パラメータ
パラメータ名 | 説明 |
---|---|
ターゲット名 |
新しいターゲットの名前を入力します。 |
説明 |
このターゲットの説明を入力します。 |
組織 |
ターゲットに関連付ける組織の名前を入力します。 |
ドメイン |
ターゲット・サーバーのドメインを入力します。 |
パスワード・ポリシー |
ターゲットのサービス・アカウントに適用するパスワード・ポリシーを選択します。Oracle Privileged Account Managerは、このポリシーを使用してパスワードを自動生成します。 |
ホスト |
ターゲット・サーバーのホスト名を入力します。 |
TCPポート |
LDAPサーバーとの通信時に使用するTCP/IPポートを入力します。 上向きまたは下向きの矢印アイコンを使用して、この値を増加できます。 |
SSL |
LDAPサーバーへの接続時にSecure Socket Layer (SSL)を使用するには、このボックスを選択します。 注意: SSLで接続する場合、Oracle Privileged Account ManagerをホストしているJ2EEコンテナにSSL証明書をインポートする必要があります。詳細は、第15.1項「SSL経由でターゲット・システムと接続するためのOracle Privileged Account Managerの構成」を参照してください。 |
プリンシパル |
LDAPサーバーに対する認証時に使用する識別名(DN)を入力します。 たとえば、cn=adminとします。 |
パスワード |
ユーザーのパスワードを入力します。 |
ベース・コンテキスト |
LDAPサーバーのツリーでユーザーを検索する場合や、ユーザーがメンバーであるグループを検索する場合に使用するLDAPツリーの1つ以上の開始点を入力します。パイプ(|)を使用して値を区切ります。 |
アカウント・ユーザー名属性 |
アカウントのユーザー名として使用する属性を入力します。 |
次の拡張構成パラメータはオプションです。
表6-4 ldapターゲット・タイプの拡張構成パラメータ
パラメータ名 | 説明 |
---|---|
UID属性 |
Uid属性にマップされているLDAP属性の名前を入力します。 |
アカウント取得用LDAPフィルタ |
LDAPリソースから返されるアカウントを制御するためのLDAPフィルタを入力します。 フィルタを指定しない場合、Oracle Privileged Account Managerでは、指定したすべてのオブジェクト・クラスを含むアカウントのみが返されます。 |
パスワード属性 |
パスワードを保持するLDAP属性の名前を入力します。 ユーザーのパスワードを変更すると、Oracle Privileged Account Managerによってこの属性に新規パスワードが設定されます。 |
アカウント・オブジェクト・クラス |
LDAPツリー内への新規ユーザー・オブジェクトの作成時に使用する1つ以上のオブジェクト・クラスを入力します。 個々の行に各オブジェクト・クラスを入力します。エントリを区切るのにカンマまたはセミコロンは使用しません。 一部のオブジェクト・クラスは、値を区切るためのパイプ(|)を使用してクラス階層を指定する必要があります。 |
lockboxターゲット・タイプを選択すると、次の基本構成パラメータのみが表示されます。
表6-5 lockboxターゲット・タイプの基本構成パラメータ
パラメータ名 | 説明 |
---|---|
ターゲット名 |
新しいターゲットの名前を入力します。 |
説明 |
このターゲットの説明を入力します。 |
組織 |
ターゲットに関連付ける組織の名前を入力します。 |
ドメイン |
ターゲット・サーバーのドメインを入力します。 |
ホスト |
ターゲット・サーバーのホスト名を入力します。 |
unixターゲット・タイプを選択すると、基本および拡張構成パラメータが表示されます。これらのパラメータについては、次の各表で説明します。
表6-6 unixターゲット・タイプの基本構成パラメータ
次の拡張構成パラメータは、オプションです。
表6-7 unixターゲット・タイプの拡張構成パラメータ
パラメータ名 | 説明 |
---|---|
コマンド・タイムアウト |
コマンドを終了せずに完了するまで待機する時間(ミリ秒)を指定します。 |
パスワード要求表現 |
ユーザーのパスワードの設定時にターゲットに表示される表現を指定します。たとえば、 注意: 正規表現も指定できます。2つの式を区切るには、カンマを使用します。 |
パスワード要求前の表現 |
一部のターゲットでの |
sudoパスワード要求表現 |
sudoモードでのコマンドの実行時に表示するパスワード・プロンプトを指定します。(デフォルト値は |
管理者権限を持っている場合、次の基準またはこれらの項目の組合せを使用してターゲットを検索できます。
ターゲット名
ターゲット・タイプ(すべて、database、ldap、lockboxまたはunix)
ホスト名
ドメイン
説明
ターゲットを検索するには、次の手順を実行します。
「管理」アコーディオンで、「ターゲット」を選択します。
「ターゲット」タブが表示されたら、検索ポートレットのパラメータを使用して、検索を構成します。次に例を示します。
すべてのLDAPターゲットを検索するには、「ターゲット・タイプ」メニューからldapを選択します。
使用可能なすべてのターゲットを検索する場合は、検索パラメータを指定しません。
「検索」をクリックします。
検索結果表で検索結果を確認します。
ターゲットを開いて、ターゲットの構成パラメータとそれに関連する特権アカウント・パラメータを確認および編集できます。
次のいずれかの方法を使用してターゲットを開きます。
検索結果表のターゲット名(アクティブ・リンク)をクリックします。
ターゲットの行番号を選択し、「開く」アイコンをクリックします。
ターゲットおよび特権アカウント情報にアクセスできる「ターゲット: TargetName」ページが表示されます。
Oracle Privileged Account Managerには、次のものなどターゲットのサービス・アカウント・パスワードを管理するためのいくつかのオプションがあります。
パスワードの表示
パスワード履歴の表示
パスワードのリセット
パスワードのロールオーバーの有効化
セキュリティ管理者管理ロールを持つ管理者は、Oracle Privileged Account Managerコンソール、コマンド行ツールまたはREST APIを使用してこれらのパスワード管理タスクを実行できます。
注意:
|
Oracle Privileged Account Managerでは、パスワード管理操作が監査され、パスワード・アクセスが追跡されます。
ターゲットを削除するには、検索結果表からターゲットを選択して「削除」アイコンをクリックします。
警告: ターゲットを削除すると、Oracle Privileged Account Managerに格納されている、そのターゲットに関する情報(特権アカウントを含む)もすべて削除されます。 ターゲットを削除する前に、まずそのターゲットからすべての関連情報を取得する必要があります。たとえば、ターゲットのサービス・アカウント・パスワードと、ターゲット上の特権アカウントに関連付けられた現在のパスワードを保存します。 |