新規または既存のOracle NoSQL Databaseインストールに対して、セキュリティを追加できます。
次の各例では、Oracle NoSQL Databaseの新規または既存の単一ホスト・デプロイメントにセキュリティを追加する方法を説明します。
Oracle NoSQL Databaseをセキュアにインストールする手順は、次のとおりです。
makebootconfig
ユーティリティを必要な-store-security
オプションとともに実行して、セキュリティを備えた基本ストア構成を設定します。
java -jar KVHOME/lib/kvstore.jar makebootconfig \ -root KVROOT -port 5000 \ -admin 5001 -host node01 -harange 5010,5020 \ -store-security configure -capacity 1
この例では、-store-security configure
が使用されるため、security configuration
ユーティリティがmakebootconfigプロセスの一部として実行され、キーストア・ファイルに使用するパスワードの入力が求められます。
Creating SSL keystore Enter a password for your keystore:
ストアのパスワードを入力してから、確認のために再入力します。たとえば、Community Edition (CE)インストールでは、securityconfig
ツールによって次のセキュリティ関連ファイルが自動生成されます。
Enter a password for your keystore: *********** Re-enter the password: *********** Created files: security/security.xml security/store.keys security/store.trust security/store.passwd security/client.security security/client.trust
ストレージ・ノード・エージェント(SNA)を起動します。
nohup java -jar KVHOME/lib/kvstore.jar start -root KVROOT&
セキュアな構成の新規作成されたストアの初回起動時には、アクセスを認証するための使用可能なユーザー定義がありません。不正アクセスのリスクを抑えるために、管理によって許可されるのは実行中のホストからの接続のみとなります。このセキュリティ手段は、不正アクセスに対する完全な予防策にはなりません。KVStoreが動作するマシンへのローカル・アクセスを可能にしないことが重要です。また、完全認証なしで管理にアクセスできる期間を最小限にするために、このステップの直後にステップ5、6および7を実行する必要があります。セキュアなストアの保守の詳細は、「構成の保護ガイドライン」を参照してください。
KVStoreサーバー・ホスト(node01)上で、runadmin
をセキュリティ・モードで起動します。このためには、次のコマンドを使用します。
java -jar KVHOME/lib/kvstore.jar \ runadmin -port 5000 -host node01 -store-security KVROOT/security/client.security
configure -name
コマンドを使用すると、構成するKVStoreの名前を指定できます。
configure -name mystore Store configured: mystore
ユーザーを作成します。この場合、ユーザーroot
が定義されます。
kv-> plan create-user -name root -admin -wait Enter the new password: ******** Re-enter the new password: ******** Executed plan 6, waiting for completion... Plan 6 ended successfully
ユーザーの作成および管理の詳細は、「ユーザー管理」を参照してください。
この時点では、rootユーザーとしてストアに接続できます。ログインするには、-username <user>
または-security <path to security file>
のいずれかのrunadmin引数を使用できます。
この例では、セキュリティ・ファイル(mylogin.txt)が使用されます。ログインするには、次のコマンドを使用します。
java -jar KVHOME/lib/kvstore.jar runadmin -security mylogin.txt
ファイルmylogin.txt
は、認証用に追加のプロパティ設定が含まれる、client.security
ファイルのコピーである必要があります。このファイルには次のような内容が含まれます。
oracle.kv.auth.username=root oracle.kv.auth.pwdfile.file=login.pwd oracle.kv.transport=ssl oracle.kv.ssl.trustStore=client.trust oracle.kv.ssl.protocols=TLSv1.2,TLSv1.1,TLSv1 oracle.kv.ssl.hostnameVerifier=dnmatch(CN\=NoSQL)
詳細は、「ユーザー・ログイン」を参照してください。