|
|
この章では、最初の章で説明したJMXエージェントの構成後にEnterprise Manager for Oracle Tuxedoで行う構成タスクについて説明します。
Oracle Tuxedoアプリケーションの管理とモニターを行うために、まずEnterprise Manager Cloud Controlを使用してTuxedoターゲットを検出する必要があります。
これが検出されると、その中のドメインとコンポーネントを「管理対象ターゲット」ステータスに昇格できます。そして、24時間ごとに自動的に検出ジョブが実行され、ターゲットが更新されます。このプロセスでは、Enterprise Manager Cloud Controlがターゲットをモニターするために必要なデータを収集できるように、各ターゲットに管理エージェントが割り当てられます。
JMXエージェントのすべてのTuxedoドメインを検出するには、次の手順を実行します。
tlisten -jオプションで指定されたポート番号です。SECURITY値がAPP_PW、USER_AUTH、ACLまたはMANDATORY_ACLのいずれかの場合、このパラメータを入力する必要があります。それ以外の場合は、フィールドを空のままにします。SECURITY値がUSER_AUTH、ACLまたはMANDATORY_ACLのいずれかの場合、このパラメータを入力する必要があります。それ以外の場合は、フィールドを空のままにします。SECURITY値がUSER_AUTH、ACLまたはMANDATORY_ACLのいずれかの場合、このパラメータを入力する必要があります。それ以外の場合は、フィールドを空のままにします。tlistenプロセスのEnterprise ManagerとJMXエージェント間のSSLメカニズムを参照します。tlistenおよびTuxedo Homeターゲットのみ検出されます。tlistenプロセスによってモニターされるTuxedoドメインを検出する場合、このボックスを選択したままにします。tlistenと同じ物理マシンにあるものを選択することをお薦めします。| 注意: | 「ユーザー名」、「パスワード」および「アプリケーション・パスワード」を使用して、すべての検出されたターゲットのEnterprise Managerモニタリング資格証明を生成します。Enterprise Managerコンソールで「設定」→「セキュリティ」をクリックして、モニタリング資格証明を管理できます。 |
Enterprise Manager Cloud ControlにスタンドアロンのTuxedoターゲットを追加するには、次の手順を実行します。
Enterprise Manager Cloud Controlはtlistenを回避し、Enterprise Repositoryに直接ターゲットを追加します。
Enterprise Manager for Oracle Tuxedoは次のセキュリティ・メカニズムをサポートします。
TuxedoドメインのSECURITYパラメータがAPP_PWの場合、Enterprise Managerエージェントにより認証用のTuxedoアプリケーション・パスワードが提供されます。SECURITYパラメータがUSR_AUTH、ACLまたはMANDATORY_ACLの場合は、Enterprise Managerエージェントは認証用のアプリケーション・パスワード、ユーザー名およびユーザー・パスワードを提供します。また、AUTHSVRはUBBCONFIGファイルで構成する必要があります。
Enterprise Managerにより使用されるTuxedoユーザーのクライアント名はtpsysadmである必要があります。それ以外の場合は、一部のメトリックおよびジョブ・リクエストが失敗します。
Tuxedoセキュリティ構成に基づくJOBが呼び出されると、次の3つの事例が発生する場合があります。
NONE「資格証明」ページは表示されません。ジョブはただちに実行されます。
APP_PW「資格証明」ページが表示され、Tuxedoのユーザー名、パスワードおよびアプリケーション・パスワードの入力が要求されます。Enterprise Manager OMSは、このような情報を同時に取得し、JMXエージェントと通信します。認証に成功すると、ジョブが実行されます。それ以外の場合は、ジョブは拒否されます。
| 注意: | Tuxedoが認証または認可にTuxedoユーザー名フィールドおよびTuxedoパスワード・フィールドの値を使用しない場合でも、この2つのフィールドをプレースホルダとして入力する必要があります。 |
ACL/ACL_MANDATORY「資格証明」ページが表示され、Tuxedoのユーザー名、パスワードおよびアプリケーション・パスワードの入力が要求されます。Enterprise Manager OMSは、この情報を使用して、JMXエージェントと通信します。認証に成功すると、後でジョブが実行されます。反対に、認証または認可に失敗するとジョブは拒否されます。
| 注意: | TuxedoドメインまたはTuxedoマシン・タイプを持つTuxedoターゲットを起動する場合 |
ターゲットの検出後、ステータスまたはメトリックの更新を必要とするすべてのターゲットは、ターゲット・インスタンス・プロパティへのユーザー名、パスワードおよびアプリケーション・パスワードを使用して更新されます。
詳細は、「Oracle Tuxedoターゲットの検出と追加」を参照してください。
Enterprise Managerエージェントに呼び出されたfetchletは、Tuxedoセキュリティが有効化されると、ターゲット・インスタンスのプロパティとして保管されたユーザー名、パスワードおよびアプリケーション・パスワードを使用してTuxedo JMXエージェントに接続します。
Oracle Tuxedo認証を有効にせず、JMXインタフェースで認証を行う必要がある場合は、スタンドアロンJMX認証を構成できます。
jmxaaacfgを実行して、パスワード・ファイルを生成します。$ jmxaaacfg [action] [username] [password] [password file name]
引数actionは、add/delete/modifyのいずれかのアクションを指定します。
-qオプションを追加します。-qオプションは、パスワード・ファイルの場所を指定します。| 注意: | Enterprise Manager Cloud Controlは、拡張構成モードを使用してインストールする必要があります。それ以外の場合は、管理ジョブ(UBBの変更、ターゲットの起動または停止)は失敗します。 |
詳細は、 「tlistenプロセスの起動」を参照してください。
SSLを有効化するには、tlistenを起動した時点でSSLを有効化する必要があります。詳細は、 「tlistenプロセスの起動」を参照してください。
JMXエージェントがSSLを有効化した場合、Enterprise Manager OMS/エージェントはSSLを有効化する必要があります。そうしないと、OMSはJMXエージェントとの接続に失敗します。
JMXエージェントがSSLを有効化した場合は、検出UIページで「SSLの使用」チェック・ボックスを選択する必要があります。そうしないと、検出は拒否されます。
検出UIで「SSLの使用」チェック・ボックスが選択されている場合は、検出プロセスはSSLセキュリティを使用して実行されます。有効化したSSLによる検出の前に、SSLランタイム環境は、Tuxedoアプリケーション、Enterprise Manager OMSおよびEnterprise Managerエージェントの3つの領域で準備完了している必要があります。
JMXエージェント用にSSLが有効化されていることを確認します。詳細は、 「tlistenプロセスの起動」を参照してください。
「true」の場合、SSLが有効化されます。それ以外の場合は、有効化されません。「true」に設定する必要があります)。| 警告: | SSLが無効化されているすべてのTuxedoターゲットをすでに検出済で、SSLを有効化してJMXエージェントを起動した場合、Enterprise Manager OMS/エージェントはJMXエージェントとの接続に失敗します。つまり、すべての関連ターゲットのステータスは不明であり、Tuxedoホーム・ページからのすべてのジョブ・アクションは拒否されます。 |
| 警告: | 解決策: このシナリオが発生した場合、手動検出を再実行する必要があります。 |
tlisten起動オプションにより、SSLを有効化するキーストアの場所およびパスワードが提供されます。
| 注意: |
tlistenがアクティブの場合、keystoreを変更してからtlistenを再起動します。$ keytool -genkeypair -alias tuxedo -keyalg RSA -validity 1825 -keystore keystore.jks
Enter keystore password:
Re-enter new password:
What is your first and last name?
[Unknown]: Tuxedo
What is the name of your organizational unit?
[Unknown]: Oracle Tuxedo
What is the name of your organization?
[Unknown]: Oracle Corporation
What is the name of your City or Locality?
[Unknown]: Redwood Shores
What is the name of your State or Province?
[Unknown]: CA
What is the two-letter country code for this unit?
[Unknown]: US
Is CN=Tuxedo, OU=Oracle Tuxedo, O=Oracle Corporation, L=Redwood Shores, ST=CA, C=US correct?
[no]: yes
Enter key password for <tuxedo>
(RETURN if same as keystore password):
| 注意: | [Enter]を押して、キー・パスワードをキーストア・パスワードと同じパスワードに設定する必要があります。そうしないと、検出は成功しません。 |
OMS側では、SSLは標準Java Secure Socket Extension (JSSE)に準拠します。詳細は、Java Secure Socket Extension (JSSE)リファレンス・ガイドを参照してください。
tuxedo.cerと仮定します。)javax.net.ssl.trustStore、オプションがWLS起動スクリプトで設定される場合はstartWebLogic.shまたはWLS起動システム・プロパティにより指定される信頼ストア。 $MW_HOME/jdk16/jdk/jre/lib/security/jssecacerts。$MW_HOME/jdk16/jdk/jre/lib/security/cacerts。 $MW_HOMEは、Oracle Enterprise Managerのインストール・ディレクトリです。
$ keytool -export -alias tuxedo -keystore keystore.jks -rfc -file tuxedo.cer
Enter keystore password:
Certificate stored in file <tuxedo.cer>
$ keytool -import -alias tuxedo -file tuxedo.cer -keystore $MW_HOME/jdk16/jdk/jre/lib/security/jssecacerts
Enter keystore password:
Re-enter new password:
Owner: CN=Tuxedo, OU=Oracle Tuxedo, O=Oracle Corporation, L=Redwood Shores, ST=CA, C=US
Issuer: CN=Tuxedo, OU=Oracle Tuxedo, O=Oracle Corporation, L=Redwood Shores, ST=CA, C=US
Serial number: 4fab2940
Valid from: Thu May 10 10:34:40 CST 2012 until: Tue May 09 10:34:40 CST 2017
Certificate fingerprints:
MD5: 63:E2:6E:93:AD:5A:7F:21:CB:3C:51:3F:8C:92:AA:0D
SHA1: 77:D2:86:4F:74:A3:84:64:A0:5B:CA:50:7A:EF:66:DC:7F:92:83:0F
Signature algorithm name: SHA1withRSA
Version: 3
Trust this certificate? [no]: yes
Certificate was added to keystore
| 注意: | $MW_HOME/jdk16/jdk/jre/lib/security/jssecacertsおよび$MW_HOME/jdk16/jdk/jre/lib/security/cacertsのデフォルト・パスワードはchangeitです。 |
Enterprise Managerエージェントには、信頼ストア($ORACLE_HOME/sysman/config/montrust/AgentTrust.jks)が事前インストールされている場合があります。$ORACLE_HOMEは、インストールされているEnterprise Managerエージェントのディレクトリです(たとえば、/testarea/em/installed_em/EM_110922/agent/agent_inst)。
AgentTrust.jksが存在する場合は、ユーザーの公開鍵をAgentTrust.jksにインポートする必要があります。それ以外の場合は、TuxedoTrust.jksを$ORACLE_HOME /sysman/config/montrust/にコピーし、AgentTrust.jksに名前を変更する必要があります。
通常、Enterprise Managerエージェント側で、CA証明書を$EMAGENT_HOME/agent_inst/sysman/config/montrust/AgentTrust.jksにインポートする必要があります。AIX 5.3 64ビット・プラットフォームの場合、CA証明書を$EMAGENT_HOME/core/<agent_version>/jdk/jre/lib/security/cacertsにもインポートする必要があります。
cd $EMAGENT_HOME/core/<agent_version>/jdk/jre/lib/security
keytool -import -alias tuxedo -file tuxedo.cer -keystore $EMAGENT_HOME/core/<agent_version>/jdk/jre/lib/security/cacerts -storepass changeit
| 注意: |
AgentTrust.jks、パスワードはwelcomeです。いずれも変更できません。 truststoreを変更してからEnterprise Managerエージェントを再起動します。$ keytool -import -alias tuxedo -file tuxedo.cer -keystore AgentTrust.jks
Enter keystore password:
Owner: CN=Tuxedo, OU=Oracle Tuxedo, O=Oracle Corporation, L=Redwood Shores, ST=CA, C=US
Issuer: CN=Tuxedo, OU=Oracle Tuxedo, O=Oracle Corporation, L=Redwood Shores, ST=CA, C=US
Serial number: 4fab2940
Valid from: Thu May 10 10:34:40 CST 2012 until: Tue May 09 10:34:40 CST 2017
Certificate fingerprints:
MD5: 63:E2:6E:93:AD:5A:7F:21:CB:3C:51:3F:8C:92:AA:0D
SHA1: 77:D2:86:4F:74:A3:84:64:A0:5B:CA:50:7A:EF:66:DC:7F:92:83:0F
Signature algorithm name: SHA1withRSA
Version: 3
Trust this certificate? [no]: yes
Certificate was added to keystore
$ keytool -list -v -keystore AgentTrust.jks
Enter keystore password:
Keystore type: JKS
Keystore provider: SUN
Your keystore contains 11 entries
...
Alias name: tuxedo
Creation date: May 10, 2012
Entry type: trustedCertEntry
Owner: CN=Tuxedo, OU=Oracle Tuxedo, O=Oracle Corporation, L=Redwood Shores, ST=CA, C=US
Issuer: CN=Tuxedo, OU=Oracle Tuxedo, O=Oracle Corporation, L=Redwood Shores, ST=CA, C=US
Serial number: 4fab2940
Valid from: Thu May 10 10:34:40 CST 2012 until: Tue May 09 10:34:40 CST 2017
Certificate fingerprints:
MD5: 63:E2:6E:93:AD:5A:7F:21:CB:3C:51:3F:8C:92:AA:0D
SHA1: 77:D2:86:4F:74:A3:84:64:A0:5B:CA:50:7A:EF:66:DC:7F:92:83:0F
Signature algorithm name: SHA1withRSA
Version: 3
tlistenを起動します。keystore/trustoreが変更された後、tlisten/EMエージェント/OMSを再起動します。
  
|