5 Oracle Grid InfrastructureおよびOracle RACのユーザー、グループおよび環境の構成

この章では、クラスタ用のOracle Grid InfrastructureとOracle Real Application Clustersをインストールする前に、サーバーで構成する必要があるユーザー、グループおよび環境の設定について説明します。

この章の内容は次のとおりです。

• Oracle Grid Infrastructureのグループ、ユーザーおよびパスの作成

• グリッド・インフラストラクチャ・ソフトウェア所有者ユーザー環境の構成

• Intelligent Platform Management Interface(IPMI)の有効化

• rootスクリプトの実行計画の決定

5.1 Oracle Grid Infrastructureのグループ、ユーザーおよびパスの作成

rootとしてログインし、次の手順を実行して、Oracle InventoryグループおよびOracle Grid Infrastructureのソフトウェア所有者を検索または作成します。

• Oracle InventoryおよびOracle Inventoryグループの存在の確認

• Oracle Inventoryが存在しない場合のOracle Inventoryグループの作成

• Oracle Grid Infrastructureユーザーの作成

• GridユーザーのOracleベース・ディレクトリについて

• Oracle Grid InfrastructureソフトウェアのOracleホーム・ディレクトリについて

• OracleホームおよびOracleベース・ディレクトリの作成

• 役割区分によるオペレーティング・システム権限グループおよびユーザーについて

• 役割区分によるグループおよびユーザーの説明

• 役割区分によるオペレーティング・システム権限グループおよびユーザーの作成

• 最小限のグループ、ユーザーおよびパスの作成例

• ロール割当てをしたグループ、ユーザーおよびパスの作成例

注意: Oracle Grid Infrastructureのインストールでは、Oracle ClusterwareおよびOracle Automatic Storage Management (Oracle ASM)の両方がインストールされます。Oracle Clusterwareのインストール所有者とOracle ASMのインストール所有者は、分離することができなくなりました。

5.1.1 Oracle InventoryおよびOracle Inventoryグループの存在の確認

システムに初めてOracleソフトウェアをインストールする場合は、OUIによってoraInst.locファイルが作成されます。このファイルに、Oracle Inventoryグループのグループ名(デフォルトはoinstall)およびOracle中央インベントリ・ディレクトリのパスが示されます。oraInst.locファイルには、次のような内容が含まれます。

inventory_loc=central_inventory_location
inst_group=group

この場合、central_inventory_locationはOracle中央インベントリの場所、groupは中央インベントリへの書込み権限(OINSTALLシステム権限)を持つグループの名前です。

Oracle Grid Infrastructureインストールの場合、中央インベントリはノード上のローカル記憶域にある必要があります。

既存のOracle中央インベントリがある場合は、必ずすべてのOracleソフトウェア・インストールで同じOracle Inventoryを使用し、インストールに使用するすべてのOracleソフトウェア・ユーザーがこのディレクトリへの書込み権限を持つようにします。

システムにOracle中央インベントリ・ディレクトリ(oraInventory)があるかどうかを確認するには、次のようにします。

次のコマンドを入力します。

# more /var/opt/oracle/oraInst.loc

oraInst.locファイルが存在する場合、このコマンドの出力は次のようになります。

inventory_loc=/u01/app/oracle/oraInventory
inst_group=oinstall

前述の出力例は、次の内容を示します。

• inventory_locグループは、Oracle Inventoryの場所を示します。

• inst_groupパラメータは、Oracleインベントリ・グループ名(この例ではoinstall)を示します。

grep groupname /etc/groupコマンドを使用して、Oracle Inventoryグループとして指定されたグループがまだシステムに存在していることを確認します。次に例を示します。

$ grep oinstall /etc/group
oinstall:x:54321:grid,oracle

5.1.2 Oracle Inventoryが存在しない場合のOracle Inventoryグループの作成

oraInst.locファイルが存在しない場合は、次のコマンドを入力して、Oracle Inventoryグループを作成します。

# /usr/sbin/groupadd -g 54321 oinstall

このコマンドによって、グループID番号が54321のoraInventoryグループoinstallが作成されます。oraInventoryグループのメンバーには、Oracle中央インベントリ(oraInventory)への書込み権限、およびOracleインストール所有者ユーザーの他のシステム権限が付与されます。

oraInventoryグループが存在しない場合、デフォルトでは、クラスタ用Oracle Grid Infrastructureソフトウェアのインストール所有者のプライマリ・グループが、oraInventoryグループとして表示されます。使用するOracleソフトウェア・インストール所有者のすべてが、このグループをプライマリ・グループとして利用できることを確認します。

注意: クラスタ内のすべてのノードで、グループIDおよびユーザーIDが一致している必要があります。使用するグループIDおよびユーザーIDが各クラスタ・メンバー・ノードで使用できることを確認し、クラスタ用Oracle Grid Infrastructureの各インストール所有者のプライマリ・グループが、同じ名前とグループIDであることを確認します。

5.1.3 Oracle Grid Infrastructureユーザーの作成

次の場合は、Oracle Grid Infrastructureのソフトウェア所有者を作成する必要があります。

• Oracleソフトウェア所有者ユーザーが存在しない場合。たとえば、これがシステムに対するOracleソフトウェアの最初のインストールの場合。

• Oracleソフトウェア所有者ユーザーは存在するが、他のグループに所属する別のオペレーティング・システム・ユーザーを使用して、Oracle Grid InfrastructureとOracle Databaseの管理権限を分離する場合。

  Oracleドキュメントでは、Oracle Grid Infrastructureソフトウェア・インストールのみを所有するために作成されたユーザーはgridユーザーと呼ばれます。すべてのOracleインストールまたはOracle Databaseインストールのみのいずれかを所有するために作成されたユーザーはoracleユーザーと呼ばれます。

5.1.3.1 Oracleソフトウェアのインストール所有者に対する制限の理解

Oracleソフトウェアに作成されるユーザーに対して、次の制限事項を確認してください。

• 異なるOracle Databaseホームに対して複数のOracleソフトウェア所有者を使用する場合は、Oracle Grid Infrastructure(Oracle ClusterwareおよびOracle ASM)ソフトウェアに対して別途ソフトウェア所有者を作成し、その所有者でOracle Grid Infrastructureをインストールすることをお薦めします。

• インストール中に、クラスタ・メンバー・ノード間にSSHを設定する必要があります。SSHは、Oracle Universal Installer (インストーラ)によって自動で設定できます。SSHの自動設定を有効にするには、プロファイルにsttyコマンドがないOracleインストール所有者を作成し、ログイン中にトリガーされて端末へのメッセージを生成する他のセキュリティ対策を削除します。これらのメッセージやメール・チェックなどが表示されていると、Oracleソフトウェア・インストール所有者アカウントは、インストーラに組み込まれているSSH構成スクリプトを使用できません。これらの表示が無効になっていない場合は、SSHを手動で構成してからでなければ、インストールを実行できません。

• Oracle DatabaseまたはOracle RACをインストールする予定がある場合は、Oracle Grid InfrastructureおよびOracle Databaseのインストール・ユーザーを別々に作成することをお薦めします。使用するインストール所有者が1つの場合は、管理タスクを実行するときに、$ORACLE_HOMEの値を管理対象のインスタンス(Oracle ASM、Oracle Grid Infrastructureホーム内、またはOracleホームのデータベース)に変更する必要があり、その際のコマンド構文の例は次のようになります(ここで、/u01/app/12.1.0/gridはOracle Grid Infrastructureホームです)。

  $ORACLE_HOME=/u01/app/12.1.0/grid; export ORACLE_HOME

• 環境変数$ORACLE_HOMEに異なるOracleホームまたはGridホーム・パスが設定されている一方で、sqlplus、lsnrctlまたはasmcmdコマンドを使用してOracleホームまたはGridホーム・インスタンスを管理しようとすると、エラーが発生します。たとえば、データベース・ホームからSRVCTLを開始する場合は$ORACLE_HOMEにそのデータベース・ホームを設定する必要があり、そうしないと、SRVCTLが失敗します。ただし、Oracle Grid InfrastructureホームでSRVCTLを使用する場合は例外です。その場合、$ORACLE_HOMEは無視され、Oracleホーム環境変数はSRVCTLコマンドに影響を与えません。その他のすべての場合は、$ORACLE_HOMEを管理対象のインスタンスに変更する必要があります。

• 別のOracleソフトウェア所有者を作成して、Oracleソフトウェア・インストールごとに、オペレーティング・システム権限グループを分離するには、各ユーザーのプライマリ・グループとして、Oracle中央インベントリ・グループ(oraInventoryグループ)が設定されている必要があります。このグループのメンバーにはOracle中央インベントリ(oraInventory)ディレクトリに書き込むための、OINSTALLシステム権限が付与され、様々なOracle Clusterwareリソース、OCRキー、DBAが書込みアクセスを必要とするOracle Clusterwareホーム内のディレクトリに対する権限やその他の必要な権限も付与されます。このグループのメンバーには、Clusterwareインフラストラクチャのリソースおよびデータベースを開始および停止する実行権限も付与されます。Oracleドキュメントのコード・サンプルでは、このグループはoinstallと表されています。

• 各Oracleソフトウェア所有者は、すべてのOracleソフトウェア・インストール所有者が同じOINSTALLシステム権限を共有するように、同じ中央インベントリoraInventoryグループのメンバーである必要があり、また、このグループをプライマリ・グループとして持つ必要があります。Oracleインストールに対して複数の中央インベントリを使用しないことをお薦めします。あるOracleソフトウェア所有者が別の中央インベントリ・グループを持っている場合、その中央インベントリは破損することがあります。

5.1.3.2 Oracleソフトウェア所有者ユーザーの存在の確認

oracleやgridというOracleソフトウェア所有者ユーザーが存在するかどうかを確認するには、次のようなコマンドを入力します(この場合、oracleの存在を確認します)。

# id oracle

ユーザーが存在する場合、このコマンドの出力結果は、次のようになります。

uid=54421(oracle) gid=54321(oinstall) groups=54322(dba),54323(oper)

既存ユーザーを使用するか、別のユーザーを作成するかを決定します。ユーザーIDおよびグループIDの番号は、クラスタ・メンバー・ノードにする各ノード上で同一である必要があります。

このインストールのインストール所有者として既存ユーザーを使用する場合は、ユーザーのプライマリ・グループがOracle Inventoryグループ(oinstall)であることを確認します。

5.1.3.3 Oracle Grid InfrastructureのOracleソフトウェア所有者ユーザーの作成または変更

Oracleソフトウェア所有者ユーザー(oracle、grid)が存在しない、または新しいOracleソフトウェア所有者ユーザーが必要な場合は作成します。既存のユーザー・アカウントを使用する場合は、各クラスタ・メンバー・ノードでユーザーID(UID)およびグループID(GID)が一致していることを確認します。

デフォルトで割り当てられたUIDおよびGIDはノードごとに異なる可能性があるため、各ノードでデフォルト値を使用しないことをお薦めします。かわりに、特別に指定して番号を付けたUIDおよびGIDを決定し、グループまたはユーザーを作成または変更する前に、他のノードでそれらが使用されていないことを確認します。インストールを開始する前に、クラスタ・メンバー・ノードにする予定の各ノードのユーザー構成が同一で、UIDおよびGIDは変更する必要がないことを確認することをお薦めします。OracleソフトウェアのユーザーおよびグループのUIDおよびGIDを変更する必要がある場合、ソフトウェアを再インストールする必要があります。

Oracle RACまたはOracle Grid Infrastructureをインストールおよび構成するために以前使用したユーザー・アカウントのUID、GID、グループ・メンバーシップの変更はサポートされていません。あるOracleユーザーから別のユーザーに既存のOracle Databaseホームの所有者を変更することはサポートされていません。

Oracle Grid Infrastructureを先にインストールした後、既存のGridインストールの所有者を変更する必要がある場合(たとえば、Oracle Grid Infrastructure所有者とOracle Database所有者のユーザー・アカウントを区別するために、既存のユーザーを変更したい場合)、各ノードで(ローリング方式で)Oracle Clusterwareを停止および開始してOracle Grid Infrastructureを所有するユーザー・アカウントに対して行われた変更を取得する必要があります。

次の手順では、Oracleソフトウェア所有者の名前としてgridが、OSASMグループとしてasmadminが使用されています。異なる管理権限に対して個別のシステム権限グループを作成するには、ユーザーを作成する前に、グループ作成を完了します(第5.1.7項「役割区分によるオペレーティング・システム権限グループおよびユーザーについて」を参照)。

1. 既存のシステム権限グループ(この例ではdba)がある場合にグリッド・インストール所有者アカウントを作成し、グループのメンバーにOracle ASMインスタンスを管理するためのSYSASM権限を付与する場合、次のようなコマンドを入力します。

   # /usr/sbin/useradd -u 54322 -g oinstall -G dba grid
   

   このコマンドの内容は次のとおりです。

   • -uオプションは、ユーザーIDを指定します。システムによって自動的にユーザーID番号を生成するようにできるため、このコマンド・フラグの使用は任意です。ただし、番号を指定することをお薦めします。Oracle Grid Infrastructure用に作成するユーザーのユーザーID番号は、この後のインストール作業で必要になるため、記録しておく必要があります。クラスタのすべてのノードで、このユーザーに対して同じユーザーID番号を使用する必要があります。

   • -gオプションは、プライマリ・グループを指定します。プライマリ・グループは、Oracle Inventoryグループである必要があります。たとえば、oinstallです。

   • -Gオプションには、セカンダリ・グループ(この例ではdba)を指定します。

     セカンダリ・グループにはOSASMグループを含める必要があります。このグループのメンバーは、Oracle ASMインスタンスを管理するためのSYSASM権限を付与されます。SYSASMシステム権限を付与するグループは1つのグループのみ指定でき、データベース管理者グループとは別のグループか、またはOSASMグループとOSDBAグループとして1つのグループを指定できます。この場合、グループのメンバーにはSYSASMおよびSYSDBA権限が付与され、Oracle ASMインスタンスとOracle Databaseインスタンスの両方を管理するためのシステム権限が与えられます。コード例では、このグループはasmadminです。

     このユーザーを、Oracle Grid InfrastructureとOracle Databaseインストールの両方の所有者として作成する場合は、ASM用のOSDBAグループをユーザーのセカンダリ・グループにする必要があります。コード例では、このグループ名はasmdbaです。ASM用のOSDBAグループのメンバーには、Oracle ASM記憶域へのアクセス権限が付与されます。Oracle ASM記憶域にアクセスするデータベースが複数になる場合は、ASM用のOSDBAグループを作成するか、または、ASM用のOSDBAグループとして、すべてのデータベースに対するOSDBAグループと同じグループを使用する必要があります。インストール中に、他のいくつかのOracle Databaseシステム管理権限用のオペレーティング・システム・グループを割り当てることも求められます。

   usermodコマンドを使用して、既存のユーザーID番号とグループを変更します。

   次に例を示します。

   # id oracle
   uid=501(oracle) gid=501(oracle) groups=501(dba)
   # /usr/sbin/usermod -u 54421 -g 54331 -G 54321,54322,54327 oracle
   # id oracle
   uid=54421(oracle) gid=54331(oinstall) groups=54321(oinstall),54322(dba),54327 (asmdba)
   

2. Oracle Grid Infrastructureを所有するユーザーのパスワードを設定します。次に例を示します。

   # passwd grid
   

3. 他のすべてのクラスタ・ノードでこの手順を繰り返します。

注意: 既存ユーザーを使用または変更する前に、必要に応じて、システム管理者に連絡してください。

5.1.4 GridユーザーのOracleベース・ディレクトリについて

Oracle Grid InfrastructureインストールのOracleベース・ディレクトリは、Oracle ASMおよびOracle Clusterwareに関する診断ログ、管理ログおよびその他のログが格納される場所です。クラスタのOracle Grid Infrastructureを除くOracleインストールの場合、Oracleホームが配置される場所でもあります。

ただし、Oracle Grid Infrastructureインストールの場合は、別のパスを作成し、Oracleベースのパスをその他のOracleインストールが使用できるようにする必要があります。

OUIがOracleベース・パスをOracleソフトウェアのパスとして認識するためには、u[00-99][00-99]/appの形式を使用する必要があり、oraInventory (oinstall)グループのどのメンバーからも書込み可能である必要があります。OracleベースのOFAパスはu[00-99][00-99]/app/userで、userはソフトウェア・インストール所有者の名前です。次に例を示します。

/u01/app/grid

5.1.5 Oracle Grid InfrastructureソフトウェアのOracleホーム・ディレクトリについて

Oracle Grid Infrastructureソフトウェア用Oracleホーム(Gridホーム)は、他のOracleソフトウェアのOracleホーム・ディレクトリのパスとは異なるパスにある必要があります。Optimal Flexible Architectureガイドラインでは、Gridホームには、/pm/v/uの形式のパスを作成することとされています(ここで、/pは文字定数、/mは一意の固定長キー(通常は2桁の数字)、/vはソフトウェアのバージョン、および/uはOracle Grid Infrastructureソフトウェアのインストール所有者(Gridユーザー)です)。Oracle Grid Infrastructureのクラスタ・インストール時、Gridホームのパスはrootユーザーに変更されるので、他のユーザーはパス内のコマンドを読み取る、書き込む、または実行することはできません。

たとえば、標準のマウント・ポイント・パス形式u[00-99][00-99]/app/release/grid(releaseはOracle Grid Infrastructureソフトウェアのリリース番号)でGridホームを作成するには、次のパスを作成します。

/u01/app/12.1.0/grid

インストール中、Gridホームへのパス全体の所有者がrootに変更されます。(/u01、/u01/app、/u01/app/12.1.0、/u01/app/12.1.0/grid)。Gridホームへの一意のパスを作成しない場合は、グリッドのインストール後に、同じパスにある既存のインストールを含むその他のインストールの権限エラーが発生します。

注意: クラスタ・インストールのOracle Grid Infrastructureの場合は、Oracle Grid Infrastructureバイナリ・ホーム(Oracle Grid InfrastructureのGridホーム・ディレクトリ)の次の制限事項に注意してください。 Oracle Grid Infrastructureインストール所有者のOracleベース・ディレクトリを含む、どのOracleベース・ディレクトリの下にも配置できません。 インストール所有者のホーム・ディレクトリには配置できません。 これらの要件は、クラスタ・インストールのOracle Grid Infrastructureに固有です。スタンドアロン・サーバー(Oracle Restart)のOracle Grid Infrastructureは、Oracle DatabaseインストールのOracleベースにインストールできます。

5.1.6 OracleホームおよびOracleベース・ディレクトリの作成

Oracle Grid Infrastructureインストール所有者のログ・ファイルを別のOracleベースに分離できるようにし、Oracleベースのパスの下にGridホームが誤って配置されないようにするために、Oracle Grid InfrastructureのGridホームおよびOracleベース・ホームは手動で作成することをお薦めします(特に、クラスタ用Oracle Grid InfrastructureおよびOracle Databaseソフトウェア所有者が別の場合にお薦めします)。

次に例を示します。

# mkdir -p  /u01/app/12.1.0/grid
# mkdir -p /u01/app/grid
# mkdir -p /u01/app/oracle
# chown grid:oinstall /u01/app/grid
# chown oracle:oinstall /u01/app/oracle
# chmod -R 775 /u01/
# chown -R grid:oinstall /u01

注意: クラスタ用Oracle Grid Infrastructureバイナリをクラスタ・ファイル・システムに配置することはサポートされていません。 各クラスタ・メンバー・ノードで、Oracle Grid Infrastructureをローカルにインストールすることをお薦めします。共有Gridホームを使用すると、ローリング・アップグレードを実行できなくなり、クラスタの単一障害点となります。

関連項目: OracleベースおよびOracleホーム・ディレクトリの詳細は、付録D「クラスタ用Oracle Grid Infrastructureのインストールの概要」を参照してください。

5.1.7 役割区分によるオペレーティング・システム権限グループおよびユーザーについて

Oracle DatabaseとOracle ASMの役割区分の構成は、オペレーティング・システム認証の個別のグループを提供するためのグループおよびユーザーを作成する構成です。

Oracle Databaseの役割区分では、各Oracle Databaseインストールが別個のオペレーティング・システム・グループを保持して、そのOracle Databaseでのシステム権限の認証を提供することにより、システム権限のオペレーティング・システム認証を共有することなく、クラスタに複数のデータベースをインストールできるようになります。また、各Oracleソフトウェア・インストールを別々のインストール所有者が所有することで、Oracle Databaseバイナリへの変更に対してオペレーティング・システム・ユーザー認証が提供されます。すべてのOracleソフトウェア所有者が、すべてのデータベースおよびOracle ASMや仮想IP (VIP)などの共有のOracle Grid Infrastructureリソースを起動および停止できることに注意してください。役割区分を構成できることにより、データベースが安全になり、様々なClusterwareリソースを起動および停止できるユーザー・ロールは制限されません。

Oracle Grid Infrastructureの役割区分では、Oracle ASMは別々のオペレーティング・システム・グループを持ち、記憶域層の管理に関するOracle ASMシステム権限のオペレーティング・システム認証を提供します。このオペレーティング・システム認証は、Oracle Databaseオペレーティング・システム認証から分離されています。また、Oracle Grid Infrastructureインストール所有者は、Oracle Grid Infrastructureバイナリへの変更に対してオペレーティング・システム・ユーザー認証を提供します。

Oracle Databaseのインストール中に、Oracle Universal Installer (OUI)から、OSDBA、OSOPER、OSBACKUPDBA、OSDGDBAおよびOSKMDBAグループの名前を指定するように求められます。これらのグループのメンバーには、各グループが認可するデータベース・システム権限セットに対するオペレーティング・システム認証が付与されます。システム権限のセットごとに、異なるオペレーティング・システム・グループを作成することをお薦めします。

注意: この構成はオプションで、Oracleソフトウェアに対するユーザー・アクセスを、様々な管理者ユーザーの役割に応じて制限するための構成です。

記憶域層およびデータベース層のすべてのシステム権限のオペレーティング・システム認証に対して、1つの管理ユーザーと1つのグループを作成することもできます。

たとえば、oracleユーザーをすべてのOracleソフトウェアのインストール所有者として指定し、oinstallグループのメンバーにOracle Clusterwareのすべてのシステム権限、Oracle ASMのすべてのシステム権限、サーバー上のすべてのOracle Databaseに対するすべてのシステム権限、およびインストール所有者のすべてのOINSTALLシステム権限を付与することを指定できます。このグループは、Oracleインベントリ・グループでもあります。

ロール割当てをしたグループを使用しない場合は、2つ以上のグループを使用することを強くお薦めします。

• システム権限グループ: OSDBA、OSASM、その他のシステム権限グループなどがあり、そのメンバーには管理システム権限が付与されます。

• インストール所有者グループ(oraInventoryグループ): メンバーには、Oracleインストール所有者システム権限(OINSTALLシステム権限)が付与されます。

クラスタ検証ユーティリティなどのOracleツールでデフォルトを使用しやすくするため、すべてのシステム権限とoraInventoryへの書込み権限を1つのオペレーティング・システム・グループに付与する場合は、そのグループ名をoinstallにする必要があります。

注意: ネットワーク情報サービス(NIS)などのネットワーク・ディレクトリ・サービス上のインストールに対してユーザーを構成するには、そのディレクトリ・サービスのドキュメントを参照してください。

関連項目: システム権限の認証計画の詳細は、『Oracle Database管理者ガイド』を参照してください。 Oracle ASMオペレーティング・システム認証の詳細は、『Oracle Automatic Storage Management管理者ガイド』を参照してください。

5.1.8 役割区分によるグループおよびユーザーの説明

この項の内容は次のとおりです。

• Oracleソフトウェア製品ごとのOracleソフトウェア所有者

• 役割区分用の標準Oracle Databaseグループ

• 役割区分用の拡張Oracle Databaseグループ

• 役割区分用のOracle ASMグループ

5.1.8.1 Oracleソフトウェア製品ごとのOracleソフトウェア所有者

Oracleソフトウェア製品ごとに、1つのソフトウェア所有者を作成することをお薦めします(通常、データベース・ソフトウェアの所有者ユーザーはoracle、Oracle Grid Infrastructureの所有者ユーザーはgrid)。

Oracleソフトウェアをシステムに初めてインストールする場合、ソフトウェア所有者を少なくとも1つ作成する必要があります。このユーザーがOracle Grid InfrastructureソフトウェアのOracleバイナリを所有します。このユーザーをOracle DatabaseまたはOracle RACのバイナリ所有者にすることもできます。

Oracleソフトウェア所有者には、プライマリ・グループとしてOracle Inventoryグループが必要です。これによって、それぞれのOracleソフトウェア・インストールの所有者が中央インベントリ(oraInventory)に書込みできるようになり、OCRとOracle Clusterwareリソース権限が適切に設定されます。また、データベース・ソフトウェア所有者には、OSDBAグループと、セカンダリ・グループとして(作成する場合) OSOPER、OSBACKUPDBA、OSDGDBAおよびOSKMDBAグループが必要です。Oracleドキュメントでは、Oracleソフトウェア所有者ユーザーをoracleユーザーとします。

ソフトウェア所有者ユーザーを個別に作成し、各Oracleソフトウェア・インストールの所有者にすることをお薦めします。特に、システムに複数のデータベースをインストールする場合にお薦めします。

Oracleドキュメントでは、Oracle Grid Infrastructureバイナリを所有するために作成されたユーザーをgridユーザーとします。このユーザーは、Oracle ClusterwareとOracle Automatic Storage Managementの両方のバイナリを所有します。

関連項目: オペレーティング・システム・グループおよびシステム権限認証の詳細は、『Oracle Automatic Storage Management管理者ガイド』および『Oracle Database管理者ガイド』を参照してください。

5.1.8.2 役割区分用の標準Oracle Databaseグループ

標準Oracle Databaseグループのリストを次に示します。これらのグループは、データベース管理システム権限のオペレーティング・システム認証を提供します。

• OSDBAグループ(通常、dba)

  Oracle Databaseソフトウェアをシステムに初めてインストールする場合は、このグループを作成する必要があります。このグループのオペレーティング・システム・ユーザー・アカウントには、データベースの管理権限(SYSDBA権限)があります。Oracle ASMインスタンスに個別のOSDBA、OSOPERおよびOSASMグループを作成しない場合は、SYSOPERおよびSYSASM権限を持つオペレーティング・システム・ユーザー・アカウントが、このグループのメンバーである必要があります。Oracleコードの例で使用されるこのグループ名はdbaです。OSASMグループとして個別のグループを指定しない場合は、定義するOSDBAグループもデフォルトでOSASMとなります。

  デフォルト(dba)以外のグループ名を指定するには、拡張インストール・タイプを選択してソフトウェアをインストールするか、またはこのグループのメンバーではないユーザーとしてOracle Universal Installer (OUI)を起動する必要があります。dbaと呼ばれるグループのメンバーではないユーザーでOUIを開始すると、OSDBAグループの名前を指定するようにOUIから求められます。

  以前は、OSDBAグループのメンバーにOracle ASMインスタンスのSYSASM権限(ディスク・グループのマウントおよびマウント解除を含む)が付与されていました。Oracle Grid Infrastructure 11g リリース2 (11.2)の場合、別々のオペレーティング・システム・グループがOSDBAとOSASMグループとして指定されているときには、この権限が付与されません。同じグループが、OSDBAとOSASMの両方に使用されている場合は、権限がそのまま保持されます。

• Oracle DatabaseのOSOPERグループ(通常、oper)

  データベースを起動および停止するためのデータベース管理権限の一部(SYSOPER権限)を持つ別個のオペレーティング・システム・ユーザー・グループが必要な場合は、このグループの作成を選択できます。

5.1.8.3 役割区分用の拡張Oracle Databaseグループ

Oracle Database 12cリリース1 (12.1)からは、データベースを起動および停止するためのOSOPER権限に加えて、日常のデータベース操作に必要な特定の管理権限タスクをサポートする、よりタスク固有で、OSDBA/SYSDBAシステム権限より権限の少ない新しい管理権限を作成できます。ユーザーが付与したこれらのシステム権限は、オペレーティング・システム・グループ・メンバーシップを通じても認証されます。

これらの特定のグループ名を作成する必要はありませんが、インストール中にオペレーティング・システム・グループを指定するように求められます(そのメンバーに、これらのシステム権限へのアクセス権が付与されます)。同じグループを、これらの権限の認証を提供するために割り当てることができますが、各権限の指定には固有のグループを提供することをお薦めします。

OSDBAサブセット役割区分の権限およびグループは、次のもので構成されます。

• Oracle Database用のOSBACKUPDBAグループ(通常、backupdba)

  このグループは、オペレーティング・システム・ユーザーの別のグループにバックアップおよびリカバリ関連権限の一部(SYSBACKUP権限)を付与する場合に作成します。

• Oracle Data Guard用のOSDGDBAグループ(通常、dgdba)

  このグループは、オペレーティング・システム・ユーザーの別のグループにOracle Data Guardを管理および監視する権限の一部(SYSDG権限)を付与する場合に作成します。

• 暗号化鍵管理用のOSKMDBAグループ(通常、kmdba)

  このグループは、オペレーティング・システム・ユーザーの別のグループに、Oracle Wallet Managerの管理など暗号化鍵を管理権限の一部(SYSKM権限)を付与する場合に作成します。

5.1.8.4役割区分用のOracle ASMグループ

SYSASM、ASM用のSYSOPERおよびASM用のSYSDBAシステム権限では、SYSDBAからOracle ASMストレージ管理権限の分離が可能になります。また、Oracle Automatic Storage Management Cluster File System (Oracle ACFS)を使用する場合は、Oracle ACFS Audit ManagerおよびOracle ACFS Auditorの記憶域管理ロールの権限区分を有効にできます。指定するオペレーティング・システムのメンバーには、これらのロールのシステム権限が付与されます。Oracle ASMに対する権限のオペレーティング・システム認証グループとして、別のオペレーティング・システム・グループを選択します。

OUIを開始する前に、Oracle ASMに対して次のOSグループおよびユーザーを作成します(そのメンバーには対応するSYS権限が付与されます)。

• Oracle ASM管理用のOSASMグループ(通常、asmadmin)

  Oracle ASM管理者用とOracle Database管理者用の管理権限グループを別にする場合、このグループは個別のグループとして作成します。このグループのメンバーには、Oracle ASMを管理するためのSYSASMシステム権限が付与されます。Oracleドキュメントでは、メンバーに権限が付与されたオペレーティング・システム・グループをOSASMグループと呼びます。コード例には、この権限を付与するために特別に作成された、asmadminと呼ばれるグループがあります。

  Oracle ASMは、複数のデータベースをサポートできます。システム上に複数のデータベースがあり、複数のOSDBAグループを使用してデータベースごとに別々のSYSDBA権限を提供できるようにする場合は、グループを作成してそのメンバーにOSASM/SYSASM管理権限が付与されるようにし、データベース・インストールを所有しないグリッド・インフラストラクチャ・ユーザー(grid)を作成する必要があります(これによって、Oracle Grid Infrastructure SYSASM管理権限がデータベース管理権限グループから分離されます)。

  OSASMグループのメンバーは、SQLを使用して、SYSASMとしてOracle ASMインスタンスに接続できます。このとき、オペレーティング・システム認証が使用されます。SYSASM権限では、ディスク・グループのマウント、マウント解除およびその他の記憶域管理作業が許可されます。SYSASM権限には、RDBMSインスタンスに対するアクセス権限はありません。

• ASMに対するASM用のOSDBAデータベース管理者グループ(通常、asmdba)

  ASMデータベース管理者グループ(ASM用のOSDBA)のメンバーには、Oracle ASMによって管理されるファイルへの読取りおよび書込みアクセス権限が付与されます。Oracle Grid Infrastructureインストール所有者とすべてのOracle Databaseソフトウェア所有者は、このグループのメンバーである必要があります。また、Oracle ASMによって管理されるファイルへアクセスするデータベースに対するOSDBAメンバーシップを持つすべてのユーザーが、ASM用のOSDBAグループのメンバーである必要があります。

• ASMオペレータに対するASM用のOSOPERグループ(ASM用のOSOPER、通常はasmoper)

  これはオプションのグループです。Oracle ASMインスタンスの起動と停止を含む、制限付きのOracle ASMインスタンスの管理権限(ASM用のSYSOPER権限)を別のグループのオペレーティング・システム・ユーザーに付与する場合に、このグループを作成します。デフォルトでは、OSASMグループのメンバーには、ASMのSYSOPER権限により付与されるすべての権限もあります。

  Oracle ASMオペレータ・グループを使用してデフォルトのasmadminグループより少ない権限でOracle ASM管理者グループを作成するには、拡張インストール・タイプを選択してソフトウェアをインストールする必要があります。この場合、OUIによって、グループ名の指定を求めるプロンプトが表示されます。コード例では、このグループはasmoperです。

インストール後、Oracle ACFSを使用する場合は、既存のグループを使用するか、または次のようにメンバーOracle ACFS Audit ManagerおよびOracle ACFS Auditorのシステム権限が付与されている1つまたは2つのグループを使用できます。

• Oracle ACFS Audit Managerグループ

  Oracle ACFS Audit Managerグループとして作成または指定するグループのメンバーには、Auditorシステム権限が付与され、これにはOracle ACFSの監査ポリシーを作成および管理する権限が含まれます。このグループは、システム管理者グループ、Oracle ACFSセキュリティ管理者OSグループ、Oracle ACFS Audit Auditorグループとは別にする必要があります。既存のグループを使用するか、またはグループを作成できます。たとえば、osacfsです。

• Oracle ACFS Audit Auditorグループ

  Oracle ACFS Auditorグループとして作成または指定するグループのメンバーには、Oracle ACFSで監査を実行するAuditorシステム権限が付与されます。既存のグループを使用するか、またはグループを作成できます。たとえば、osauditです。

関連項目: Oracle ACFSの監査管理グループの詳細は、『Oracle Automatic Storage Management管理者ガイド』を参照してください。

5.1.9 役割区分によるオペレーティング・システム権限グループおよびユーザーの作成

次の各項では、必要なオペレーティング・システム・ユーザーおよびグループの作成方法について説明します。

• データベース・インストールの準備のためのOSDBAグループの作成

• データベース・インストールのためのOSOPERグループの作成

• OSASMグループの作成

• ASMのためのOSOPERグループの作成

• Oracle ASMへのデータベース・アクセスのためのASM用のOSDBAグループの作成

• Oracleソフトウェア所有者ユーザーのインストール作業

• 他のクラスタ・ノードでの同一データベース・ユーザーおよびグループの作成

5.1.9.1 データベース・インストールの準備のためのOSDBAグループの作成

Oracle DatabaseをインストールしてOracle Grid Infrastructure環境で使用するときに、次のような場合はOSDBAグループを作成する必要があります。

• OSDBAグループが存在しない場合(たとえば、システムへOracle Databaseソフトウェアを初めてインストールする場合)。

• OSDBAグループは存在するが、新規のOracle Databaseインストールでは、異なるオペレーティング・システム・ユーザー・グループにデータベース管理権限を付与する場合。

OSDBAグループが存在しない場合または新しいOSDBAグループが必要な場合は、次の手順で作成します。既存のグループですでに使用されていないかぎり、グループ名にはdbaを使用します。次に例を示します。

# /usr/sbin/groupadd -g 54322 dba

5.1.9.2 データベース・インストールのためのOSOPERグループの作成

OSOPERグループを作成する必要があるのは、制限付きのデータベース管理権限(SYSOPERオペレータ権限)を持つオペレーティング・システム・ユーザーのグループを指定する場合のみです。ほとんどのインストールの場合、OSDBAグループを作成するのみで十分です。次の場合にOSOPERグループを使用するには、このグループを作成する必要があります。

• OSOPERグループが存在しない場合。たとえば、これがシステムに対するOracle Databaseソフトウェアの初回インストールの場合。

• OSOPERグループは存在するが、新規のOracleインストールでは、異なるオペレーティング・システム・ユーザー・グループにデータベース・オペレータ権限を付与する場合。

OSOPERグループが存在しない場合、または新しいOSOPERグループが必要な場合は、作成します。既存のグループですでに使用されていないかぎり、グループ名にはoperを使用します。次に例を示します。

# groupadd -g 54359 oper

5.1.9.3 OSASMグループの作成

OSASMグループが存在しない場合、または新しいOSASMグループが必要な場合は、作成します。既存のグループですでに使用されていないかぎり、グループ名にはasmadminを使用します。次に例を示します。

# groupadd -g 54323 asmadmin

5.1.9.4 ASMのためのOSOPERグループの作成

データベース管理者などのオペレーティング・システム・ユーザーのグループを指定し、Oracle ASM記憶域の起動と停止を含む、Oracle ASM記憶域層に対する制限付きの管理権限を付与する場合には、ASM用のOSOPERグループを作成します。ほとんどの環境では、OSASMグループを作成するのみで十分です。インストールのインタビュー時に、そのグループをASM用のOSOPERグループとして指定します。

ASM用のOSOPERグループが存在しない場合、またはASM用の新しいOSOPERグループが必要な場合は、作成します。既存のグループですでに使用されていないかぎり、グループ名にはasmoperを使用します。次に例を示します。

# groupadd -g 54328 asmoper

5.1.9.5 Oracle ASMへのデータベース・アクセスのためのASM用のOSDBAグループの作成

Oracle ASMインスタンスへのアクセスを可能にするには、ASM用のOSDBAグループを作成する必要があります。これは、OSASMとOSDBAが異なるグループである場合に必要です。

ASM用のOSDBAグループが存在しない場合、またはASM用の新しいOSDBAグループが必要な場合は、作成します。既存のグループですでに使用されていないかぎり、グループ名にはasmdbaを使用します。次に例を示します。

# groupadd -g 54324 asmdba

5.1.9.6 Oracleソフトウェア所有者ユーザーのインストール作業

この項では、通常Oracle Databaseまたはその他のOracleアプリケーション・ソフトウェアを所有するユーザーである、Oracleソフトウェア所有者ユーザーについて説明します。この項の内容は次のとおりです。

• Oracleソフトウェア所有者ユーザーについて

• Oracleソフトウェア所有者ユーザーの存在の確認

• Oracleソフトウェア所有者ユーザーの作成

• 既存のOracleソフトウェア所有者ユーザーの変更

5.1.9.6.1 Oracleソフトウェア所有者ユーザーについて

次の場合、Oracleソフトウェア所有者ユーザーを作成する必要があります。

• Oracleソフトウェア所有者ユーザーは存在するが、新規のOracle Databaseインストールでは、別のグループ・メンバーシップを設定した別のオペレーティング・システム・ユーザーを使用して、これらのグループにデータベース管理権限を付与する場合。

• Oracle Grid InfrastructureのOracleソフトウェア所有者(gridなど)を作成し、Oracle Databaseソフトウェア用に別のOracleソフトウェア所有者(oracleなど)を作成する場合。

5.1.9.6.2 Oracleソフトウェア所有者ユーザーの存在の確認

oracleやgridというOracleソフトウェア所有者ユーザーが存在するかどうかを確認するには、次のようなコマンドを入力します(この場合、oracleの存在を確認します)。

# id oracle

ユーザーが存在する場合、このコマンドの出力結果は、次のようになります。

uid=54321(oracle) gid=54421(oinstall) groups=54322(dba),54323(oper)

既存ユーザーを使用するか、別のユーザーを作成するかを決定します。既存のユーザーを使用する場合は、そのユーザーのプライマリ・グループがOracleインベントリ・グループであり、そのユーザーが適切なOSDBAグループおよびOSOPERグループのメンバーであることを確認します。詳細は、次のいずれかの項を参照してください。

• 既存のユーザーを変更するには、第5.1.9.6.4項「既存のOracleソフトウェア所有者ユーザーの変更」を参照してください。

• ユーザーを作成するには、第5.1.9.6.3項「Oracleソフトウェア所有者ユーザーの作成」を参照してください。

注意: 既存ユーザーを使用または変更する前に、必要に応じて、システム管理者に連絡してください。 各ノードのUIDおよびGIDのデフォルトを使用しないことをお薦めします。グループIDやユーザーIDが、ノードによって一致しなくなることがあるためです。かわりに、一般的に割り当てられるグループおよびユーザーIDを指定し、グループおよびユーザーを作成または変更する前にどのノードでも使用されていないことを確認してください。

5.1.9.6.3 Oracleソフトウェア所有者ユーザーの作成

Oracleソフトウェア所有者ユーザーが存在しない場合、または新しいOracleソフトウェア所有者ユーザーが必要な場合は、作成します。既存のユーザーですでに使用されていないかぎり、ユーザー名にはoracleを使用します。

oracleユーザーを作成するには、次の手順を実行します。

1. 次のようにコマンドを入力します。

   # useradd -u 54322 -g oinstall -G dba,asmdba oracle
   

   このコマンドの内容は次のとおりです。

   • -uオプションは、ユーザーIDを指定します。システムによって自動的にユーザーID番号を生成するようにできるため、このコマンド・フラグの使用は任意です。ただし、oracleユーザーID番号は、この後のインストール前の作業で必要になるため、記録しておく必要がります。

   • -gオプションは、プライマリ・グループを指定します。プライマリ・グループは、Oracle Inventoryグループである必要があります。たとえば、oinstallです。

   • -Gオプションは、セカンダリ・グループを指定します。セカンダリ・グループには、OSDBAグループとASM用のOSDBAグループ、必要に応じてASM用のOSOPERグループを含める必要があります。たとえば、dba、asmdba、またはdba、asmdba、asmoperなどです。

2. oracleユーザーのパスワードを設定します。

   # passwd oracle
   

5.1.9.6.4 既存のOracleソフトウェア所有者ユーザーの変更

oracleユーザーは存在するが、プライマリ・グループがoinstallではない場合、または適切なOSDBAグループまたはASM用のOSDBAグループのメンバーでない場合は、新規のoracleユーザーを作成します。Oracleでは、既存のインストール所有者の変更はサポートされていません。制限の完全なリストは、第5.1.3.3項「Oracle Grid InfrastructureのOracleソフトウェア所有者ユーザーの作成または変更」を参照してください。

5.1.9.7 他のクラスタ・ノードでの同一データベース・ユーザーおよびグループの作成

Oracleソフトウェア所有者ユーザー、Oracle Inventory、OSDBAグループおよびOSOPERグループは、すべてのクラスタ・ノードに存在し、また同一である必要があります。同一のユーザーおよびグループを作成するには、ユーザーおよびグループを作成したノードで割り当てられたユーザーIDおよびグループIDを確認してから、他のクラスタ・ノードで同じ名前とIDを持つユーザーおよびグループを作成する必要があります。

注意: 次の手順は、ローカル・ユーザーおよびグループを使用している場合にのみ実行する必要があります。NISなどのディレクトリ・サービスで定義されたユーザーおよびグループを使用している場合、各クラスタ・ノードのユーザーおよびグループはすでに同一です。

既存のユーザーIDおよびグループIDの確認

gridまたはoracleユーザーのユーザーID(uid)と、既存のOracleグループのグループID(gid)を確認するには、次の手順を実行します。

1. 次のコマンドを入力します(ここでは、oracleユーザーのユーザーIDを確認します)。

   # id oracle
   

   このコマンドの出力結果は、次のようになります。

   uid=54321(oracle) gid=54421(oinstall) groups=54322(dba),54323(oper),54327(asmdba)
   

2. 表示された情報から、ユーザーのユーザーID(uid)および所属するグループのグループID(gid)を特定します。これらのID番号がクラスタの各ノードで同じであることを確認します。ユーザーのプライマリ・グループはgidの後に表示されます。セカンダリ・グループはgroupsの後に表示されます。

他のクラスタ・ノードでのユーザーおよびグループの作成

他のクラスタ・ノードでユーザーおよびグループを作成するには、各ノードで次の手順を繰り返します。

1. rootとしてノードにログインします。

2. asmadmin、asmdba、backupdba、dgdba、kmdba、asmoperおよびoperグループ、また、Oracle Pre-Install RPMまたは前のインストールで構成されていない場合にoinstallおよびdbaグループを作成するには、次のようなコマンドを入力します。-gオプションを使用して、各グループに正しいグループIDを指定します。

   # groupadd -g 54421 oinstall
   # groupadd -g 54322 dba
   # groupadd -g 54323 oper
   # groupadd -g 54324 backupdba
   # groupadd -g 54325 asmdba
   # groupadd -g 54326 dgdba
   # groupadd -g 54327 kmdba
   # groupadd -g 54328 asmadmin
   # groupadd -g 54329 asmoper
   

   
   

   注意: この例では、UIDおよびGIDを使用する必要はありません。グループがすでに存在している場合は、必要に応じてgroupmodコマンドを使用してそのグループを変更します。ノード上の特定のグループに、同じグループIDを使用できない場合、すべてのノードの/etc/groupファイルを表示し、どのノードでも使用できるグループIDを特定します。すべてのノードのグループIDが同じになるように、グループIDを変更する必要があります。

   
   

3. oracleユーザーまたはOracle Grid Infrastructure (grid)ユーザーを作成するには、次のようなコマンドを入力します

   # useradd -u 54321 -g oinstall -G asmadmin,asmdba grid
   

   このコマンドの内容は次のとおりです。

   • -uオプションは、ユーザーIDを指定します。ユーザーIDは、前の項で特定したユーザーIDである必要があります。

   • -gオプションはGridユーザーのプライマリ・グループを指定します(このグループはOracleインベントリ・グループ(OINSTALL)である必要があり、OINSTALLシステム権限を付与します)。この例では、OINSTALLグループはoinstallです。

   • -Gオプションは、セカンダリ・グループを指定します。Gridユーザーは、OSASMグループ(asmadmin)およびASM用のOSDBAグループ(asmdba)のメンバーである必要があります。

     
     

     注意: ユーザーがすでに存在している場合は、必要に応じてusermodコマンドを使用して変更します。すべてのノードのユーザーに、同じユーザーIDを使用できない場合、すべてのノードの/etc/passwdファイルを表示して、どのノードでも使用できるユーザーIDを特定します。すべてのノードのユーザーにそのIDを指定する必要があります。

     
     

4. ユーザーのパスワードを設定します。次に例を示します。

   # passwd oracle
   

5. 第5.2項「グリッド・インフラストラクチャ・ソフトウェア所有者ユーザー環境の構成」で説明するとおり、各ユーザーに対してユーザー環境の構成タスクを完了します。

5.1.10 最小限のグループ、ユーザーおよびパスの作成例

この構成例では、次を示します。

• Oracleインベントリ・グループ(oinstall)の作成

• すべてのOracle Grid Infrastructure、Oracle ASMおよびOracle Databaseシステム権限に割り当てる唯一のシステム権限グループとして、単一グループ(dba)の作成

• 適切なグループ・メンバーシップを持つOracle Grid Infrastructureソフトウェア所有者(grid)および1つのOracle Database所有者(oracle)の作成

• OFA構造に準拠し、正しい権限を持つOracleベースのパスの作成および構成

次のコマンドを入力して、オペレーティング・システム認証の最小構成を作成します。

# groupadd -g 54321 oinstall
# groupadd -g 54322 dba
# useradd -u 54321 -g oinstall -G dba oracle
# useradd -u 54322 -g oinstall -G dba grid
# mkdir -p  /u01/app/12.1.0/grid
# mkdir -p /u01/app/grid
# chown -R grid:oinstall /u01
# mkdir /u01/app/oracle
# chown oracle:oinstall /u01/app/oracle
# chmod -R 775 /u01/

これらのコマンドを実行すると、次のグループとユーザーができます。

• Oracle中央インベントリ・グループ、つまりoraInventoryグループ(oinstall)。プライマリ・グループが中央インベントリ・グループであるメンバーは、oraInventoryディレクトリに書込みできるOINSTALL権限を付与されます。

• Oracle Grid Infrastructure、Oracle ASMおよびOracle Databaseシステム権限の1つのシステム権限グループ(dba)。dbaグループをプライマリまたはセカンダリ・グループとして持つメンバーには、Oracle Clusterware、Oracle ASMおよびOracle Databaseを管理するためのOSASM/SYSASM、OSDBA/SYSDBA、OSOPER/SYSOPER、OSBACKUPDBA/SYSBACKUP、OSDGDBA/SYSDG、OSKMDBA/SYSKM、ASM用のOSDBA/ASM用のSYSDBA、およびASM用のOSOPER/ASM用のSYSOPERのオペレーティング・システム認証が付与され、Oracle ASMストレージへのSYSASMおよびASM用のOSOPERアクセスが付与されます。

• クラスタ用のOracle Grid Infrastructureの所有者、つまりGridユーザー(grid)。プライマリ・グループはoraInventoryグループ(oinstall)、セカンダリ・グループはOSASMグループ(dba)。Oracleベース・ディレクトリは/u01/app/grid。

• Oracle Database所有者(oracle)。プライマリ・グループはoraInventoryグループ(oinstall)、セカンダリ・グループはOSDBAグループ(dba)。Oracleベース・ディレクトリは/u01/app/oracle。

• インストール前は775権限でgrid:oinstallが所有し、インストール中にroot.shスクリプトが実行された後はrootが所有する/u01/app。この所有権と権限によって、OUIはパス/u01/app/oraInventoryにOracle Inventoryディレクトリを作成できるようになります。

• インストール前はgrid:oinstallが所有し、インストール中にroot.shスクリプトが実行された後はrootが所有する/u01。

• 775権限でgrid:oinstallが所有する/u01/app/12.1.0/grid。これらの権限はインストールに必要であり、インストール・プロセスで変更されます。

• インストール前は775権限で、インストール後は755権限でgrid:oinstallが所有する/u01/app/grid。

• 775権限でoracle:oinstallが所有する/u01/app/oracle。

注意: Oracle Grid Infrastructureとその他のOracleインストールの両方に対して、1つのインストール所有者を使用できます。ただし、Oracleソフトウェア・インストールごとに別のインストール所有者アカウントを使用することをお薦めします。

5.1.11 ロール割当てをしたグループ、ユーザーおよびパスの作成例

この項では、Optimal Flexible Architecture(OFA)デプロイメントに準拠する、ロール割当てされたグループおよびユーザーの作成方法の例を示します。

この例のシナリオは次のとおりです。

• Oracle Grid Infrastructureインストール

• クラスタに対して計画された2つの別々のOracle Databaseインストール(DB1およびDB2)

• Oracle Grid Infrastructureおよび各Oracle Databaseの別々のインストール所有者

• Oracle ASMおよび各Oracle Databaseのシステム権限の完全なロール割当て

• Oracle Database所有者oracle1(Oracle ASMインスタンスの起動および停止権限を持つ)

次のコマンドを使用して、このシナリオのロール割当てをした構成のグループおよびユーザーを作成します。

# groupadd -g 54321 oinstall
# groupadd -g 54322 dba1
# groupadd -g 54332 dba2
# groupadd -g 54323 oper1
# groupadd -g 54333 oper2
# groupadd -g 54324 backupdba1
# groupadd -g 54334 backupdba2
# groupadd -g 54325 dgdba1
# groupadd -g 54335 dgdba2
# groupadd -g 54326 kmdba1
# groupadd -g 54336 kmdba2
# groupadd -g 54327 asmdba
# groupadd -g 54328 asmoper
# groupadd -g 54329 asmadmin
# groupadd -g 54330 osacfs
# groupadd -g 54331 osaudit
# useradd -u 54322 -g oinstall -G asmadmin,asmdba grid
# useradd -u 54321 -g oinstall -G dba1,backupdba1,dgdba1,kmdba1,asmdba,asmoper oracle1
# useradd -u 54331 -g oinstall -G dba2,backupdba2,dgdba2,kmdba2,asmdba oracle2
# mkdir -p  /u01/app/12.1.0/grid
# mkdir -p /u01/app/grid
# mkdir -p /u01/app/oracle1
# mkdir -p u01/app/oracle2
# chown -R grid:oinstall /u01
# chmod -R 775 /u01/
# chown oracle1:oinstall /u01/app/oracle1
# chown oracle2:oinstall /u01/app/oracle2

これらのコマンドを実行すると、Oracle Grid Infrastructureおよび2つの別々のOracle Database (DB1とDB2)の管理権限グループおよびユーザーのセットが作成されます。

• Oracle Grid Infrastructureのグループおよびユーザーの例

• Oracle Database DB1のグループおよびユーザーの例

• Oracle Database DB2のグループおよびユーザーの例

5.1.11.1 Oracle Grid Infrastructureのグループおよびユーザーの例

• Oracle中央インベントリ・グループ、つまりoraInventoryグループ(oinstall)。メンバーは、このグループをプライマリ・グループとして持ちます。このグループのメンバーにはOINSTALLシステム権限が付与され、これによってoraInventoryディレクトリへの書込み権限と、その他の関連するバイナリのインストール権限が付与されます。

• OSASMグループ(asmadmin)。このグループはインストール中にOracle Grid Infrastructureと関連付けられ、そのメンバーにはOracle ASMを管理するためのSYSASM権限が付与されます。

• ASM用のOSDBAグループ(asmdba)。インストール中にOracle Grid Infrastructure記憶域に関連付けられます。メンバーにはgridとすべてのデータベース・インストール所有者(oracle1、oracle2など)が含まれ、これらのメンバーはOracle ASMへのアクセス権が付与されます。記憶域にOracle ASMを使用するその他のインストール所有者も、このグループのメンバーである必要があります。

• Oracle ASMのためのASM用のOSOPERグループ(asmoper)。インストール中にOracle Grid Infrastructureに関連付けられます。asmoperグループのメンバーには、Oracle ASMインスタンスの起動および停止の権限など、制限付きのOracle ASM管理者権限が付与されます。

• Oracle Grid Infrastructureインストール所有者(grid)。プライマリ・グループはoraInventoryグループ(oinstall)、セカンダリ・グループはOSASM(asmadmin)グループおよびASM用のOSDBA(asmdba)グループ。

• メンバーにOracle ACFS記憶域のAudit Managerシステム権限が付与されているOracle OCFS Audit Managerグループ

• メンバーにOracle ACFS記憶域のAuditorシステム権限が付与されているOracle ACFS Auditorグループ

• /u01/app/oraInventory.クラスタ上のOracleインストールの中央インベントリ。このパスの所有者はgrid:oinstallのままで、他のOracleソフトウェア所有者による中央インベントリへの書込みを可能にします。

• インストール前にgrid:oinstallによって所有されるOFA準拠のマウント・ポイント/u01。Oracle Universal Installerがそのパスに書き込めるようになります。

• 775権限でgrid:oinstallが所有する、グリッド・インストール所有者のOracleベース/u01/app/grid。インストール・プロセスで755権限に変更されます。

• 775(drwxdrwxr-x)権限でgrid:oinstallが所有する、Gridホーム/u01/app/12.1.0/grid。これらの権限はインストールに必要であり、インストール・プロセスでroot:oinstallの755権限(drwxr-xr-x)に変更されます。

5.1.11.2 Oracle Database DB1のグループおよびユーザーの例

• Oracle Databaseソフトウェア所有者(oracle1)。DB1のOracle Databaseバイナリを所有します。oracle1ユーザーは、プライマリ・グループとしてoraInventoryグループ、そのデータベースのOSDBAグループ(dba1)、およびセカンダリ・グループとしてのOracle Grid InfrastructureのASM用のOSDBAグループ(asmdba)を持ちます。また、oracle1ユーザーはasmoperのメンバーであり、Oracle ASMを起動および停止するユーザー権限が付与されます。

• OSDBAグループ(dba1)。インストール中に、ユーザーoracle1によってインストールされたデータベースのOSDBAグループとして、グループdba1を指定します。dba1のメンバーには、Oracle Database DB1に対するSYSDBA権限が付与されます。SYSDBAとして接続するユーザーは、DB1でユーザーSYSとして識別されます。

• OSBACKUPDBAグループ(backupdba1)。インストール中に、ユーザーoracle1によってインストールされたデータベースのOSDBAグループとして、グループbackupdba1を指定します。backupdba1のメンバーには、ユーザーoracle1によってインストールされたデータベースに対する、データベースをバックアップするためのSYSBACKUP権限が付与されます。

• OSDGDBAグループ(dgdba1)。インストール中に、ユーザーoracle1によってインストールされたデータベースのOSDGDBAグループとして、グループdgdba1を指定します。dgdba1のメンバーには、ユーザーoracle1によってインストールされたデータベースに対する、Oracle Data Guardを管理するためのSYSDG権限が付与されます。

• OSKMDBAグループ(kmdba1)。インストール中に、ユーザーoracle1によってインストールされたデータベースのOSKMDBAグループとして、グループkmdba1を指定します。kmdba1のメンバーには、ユーザーoracle1によってインストールされたデータベースに対する、暗号化鍵を管理するためのSYSKM権限が付与されます。

• OSOPERグループ(oper1)。インストール中に、ユーザーoracle1によってインストールされたデータベースのOSOPERグループとして、グループoper1を指定します。oper1のメンバーには、DB1データベースの起動および停止の権利など、SYSOPER権限(SYSDBA権限の一部)が付与されます。OSOPER権限として接続するユーザーは、DB1でユーザーPUBLICとして識別されます。

• 775権限でoracle1:oinstallが所有する、Oracleベース/u01/app/oracle1。ユーザーoracle1は、このディレクトリにソフトウェアをインストールする権限を持ちます(/u01/appパスのその他のディレクトリは対象外です)。

5.1.11.3 Oracle Database DB2のグループおよびユーザーの例

• Oracle Databaseソフトウェア所有者(oracle2)。DB2のOracle Databaseバイナリを所有します。oracle2ユーザーは、そのプライマリ・グループとしてのoraInventoryグループ、そのデータベースのOSDBAグループ(dba2)、およびセカンダリ・グループとしてのOracle Grid InfrastructureのASM用のOSDBAグループ(asmdba)を持ちます。ただし、oracle2ユーザーはasmoperグループのメンバーでないため、oracle2はOracle ASMを停止または起動できません。

• OSDBAグループ(dba2)。インストール中に、ユーザーoracle2によってインストールされたデータベースのOSDBAグループとして、グループdba2を指定します。dba2のメンバーには、Oracle Database DB2に対するSYSDBA権限が付与されます。SYSDBAとして接続するユーザーは、DB2でユーザーSYSとして識別されます。

• OSBACKUPDBAグループ(backupdba2)。インストール中に、ユーザーoracle2によってインストールされたデータベースのOSDBAグループとして、グループbackupdba2を指定します。backupdba2のメンバーには、ユーザーoracle2によってインストールされたデータベースに対する、データベースをバックアップするためのSYSBACKUP権限が付与されます。

• OSDGDBAグループ(dgdba2)。インストール中に、ユーザーoracle2によってインストールされたデータベースのOSDGDBAグループとして、グループdgdba2を指定します。dgdba2のメンバーには、ユーザーoracle2によってインストールされたデータベースに対する、Oracle Data Guardを管理するためのSYSDG権限が付与されます。

• OSKMDBAグループ(kmdba2)。インストール中に、ユーザーoracle2によってインストールされたデータベースのOSKMDBAグループとして、グループkmdba2を指定します。kmdba2のメンバーには、ユーザーoracle2によってインストールされたデータベースに対する、暗号化鍵を管理するためのSYSKM権限が付与されます。

• OSOPERグループ(oper2)。インストール中に、ユーザーoracle2によってインストールされたデータベースのOSOPERグループとして、グループoper2を指定します。oper2のメンバーには、DB2データベースの起動および停止の権利など、SYSOPER権限(SYSDBA権限の一部)が付与されます。OSOPER権限として接続するユーザーは、DB2でユーザーPUBLICとして識別されます。

• 775権限でoracle1:oinstallが所有する、Oracleベース/u01/app/oracle2。ユーザーoracle2は、このディレクトリにソフトウェアをインストールする権限を持ちます(/u01/appパスのその他のディレクトリは対象外です)。

5.2 グリッド・インフラストラクチャ・ソフトウェア所有者ユーザー環境の構成

インストーラ・ソフトウェアは、Oracle Grid Infrastructureインストール所有者ユーザー・アカウント(oracleまたはgrid)で実行します。ただし、インストーラを起動する前に、インストール所有者ユーザー・アカウントの環境を構成する必要があります。必要に応じて、他の必要なOracleソフトウェア所有者を作成する必要もあります。

この項の内容は次のとおりです。

• Oracle Grid Infrastructureソフトウェア所有者の環境要件

• Oracleソフトウェア所有者の環境の構成手順

• Oracleソフトウェア・インストール・ユーザーのリソース制限の確認

• リモート表示およびX11転送の構成の設定

• 端末出力コマンドが原因のインストール・エラーの回避

5.2.1 Oracle Grid Infrastructureソフトウェア所有者の環境要件

Oracle Grid Infrastructureソフトウェア所有者の環境を構成するには、次の変更を行う必要があります。

• シェル起動ファイルで、インストール・ソフトウェア所有者ユーザー(grid、oracle)のデフォルトのファイル・モード作成マスク(umask)を022に設定します。 マスクを022に設定すると、ソフトウェア・インストールを実行するユーザーが作成するファイルの権限は常に644になります。

• インストール・ソフトウェア所有者(grid、oracle)のファイル記述子およびプロセスに対して、ulimitを設定します。

• Oracle Grid Infrastructureをインストールする準備として、ソフトウェア所有者のDISPLAY環境変数を設定します。

5.2.2 Oracleソフトウェア所有者の環境の構成手順

Oracleソフトウェア所有者の環境を設定するには、ソフトウェア所有者(grid、oracle)ごとに次の手順を実行します。

1. インストールを実行するサーバーでX端末セッション(xterm)を開始します。

2. 次のコマンドを入力して、X Windowアプリケーションをシステムに表示できることを確認します(ここで、hostnameは、サーバーにアクセスするローカル・ホストの完全修飾名です)。

   $ xhost + hostname
   

3. ソフトウェア所有者ユーザーでログインしていない場合は、構成するソフトウェア所有者に切り替えます。たとえば、gridユーザーの場合は次のようになります。

   $ su - grid
   

4. 次のコマンドを入力して、ユーザーのデフォルトのシェルを確認します。

   $ echo $SHELL
   

5. テキスト・エディタでユーザーのシェル起動ファイルを開きます。

   • Bashシェル(bash):

     $ vi .bash_profile
     

   • Bourneシェル(sh)またはKornシェル(ksh):

     $ vi .profile
     

   • Cシェル(cshまたはtcsh):

     % vi .login
     

6. 次のように行を入力または編集して、デフォルトのファイル・モード作成マスクの値に022を指定します。

   umask 022
   

7. 環境変数ORACLE_SID、ORACLE_HOMEまたはORACLE_BASEがファイルに設定されている場合は、そのファイルからこれらの行を削除します。

8. ファイルを保存して、テキスト・エディタを終了します。

9. シェル起動スクリプトを実行するには、次のいずれかのコマンドを入力します。

   • Bashシェル:

     $ . ./.bash_profile
     

   • Bourne、BashまたはKornシェル:

     $ . ./.profile
     

   • Cシェル:

     % source ./.login
     

10. 次のコマンドを使用してPATH環境変数をチェックします。

    $ echo $PATH
    

    すべてのOracle環境変数を削除します。

11. ローカル・システムにソフトウェアをインストールしていない場合は、次のコマンドを入力してXアプリケーションをローカル・システムに表示します。

    • Bourne、BashまたはKornシェル:

      $ export DISPLAY=local_host:0.0
      

    • Cシェル:

      % setenv DISPLAY local_host:0.0
      

    この例で、local_hostは、インストーラを表示するためのシステム(ご使用のワークステーションまたは他のクライアント)のホスト名またはIPアドレスです。

12. /tmpディレクトリの空き領域が1GB未満である場合は、1GB以上の空き領域があるファイル・システムを特定し、そのファイル・システムの一時ディレクトリを指定するようにTMPおよびTMPDIR環境変数を設定します。

    
    

    注意: Oracle RACのインストール用の一時ファイル・ディレクトリ(通常、/tmp)の場所として、共有ファイル・システムは使用できません。共有ファイル・システムに/tmpを配置すると、インストールは失敗します。

    
    

    1. df -hコマンドを使用して、十分な空き領域を持つ適切なファイル・システムを選択します。

    2. 必要に応じて、次のようなコマンドを入力し、識別したファイル・システム上に一時ディレクトリを作成し、そのディレクトリに適切な権限を設定します。

       $ sudo - s
       # mkdir /mount_point/tmp
       # chmod 775 /mount_point/tmp
       # exit
       

    3. 次のようなコマンドを入力し、TMPおよびTMPDIR環境変数を設定します。

       • Bourne、BashまたはKornシェル:

         $ TMP=/mount_point/tmp
         $ TMPDIR=/mount_point/tmp
         $ export TMP TMPDIR
         

       • Cシェル:

         % setenv TMP /mount_point/tmp
         % setenv TMPDIR /mount_point/tmp
         

13. 環境が正しく設定されていることを確認するには、次のコマンドを入力します。

    $ umask
    $ env | more
    

    umaskコマンドによって値22、022または0022が表示されること、およびこの項で設定した環境変数に正しい値が指定されていることを確認します。

5.2.3 Oracleソフトウェア・インストール・ユーザーのリソース制限の確認

インストール・ソフトウェア所有者ごとに、次の推奨範囲を使用してインストールのリソース制限を確認します。

表5-1 インストール所有者のリソース制限の推奨範囲

リソースのシェル制限	リソース	ソフト制限	ハード制限
オープン・ファイル記述子	nofile	1024以上	65536以上
単一ユーザーが使用可能なプロセス数	nproc	2047以上	16384以上
プロセスのスタック・セグメントのサイズ	stack	10240KB以上	10240KB以上かつ32768KB以下

リソース制限を確認するには、次の手順を実行します。

1. インストール所有者としてログインします。

2. ファイル記述子設定の弱い制限および強い制限を確認します。結果が推奨範囲内であることを確認します。次に例を示します。

   $ ulimit -Sn
   1024
   $ ulimit -Hn
   65536
   

3. ユーザーが使用可能なプロセス数の弱い制限および強い制限を確認します。結果が推奨範囲内であることを確認します。次に例を示します。

   $ ulimit -Su
   2047
   $ ulimit -Hu
   16384
   
   

4. スタック設定の弱い制限を確認します。結果が推奨範囲内であることを確認します。次に例を示します。

   $ ulimit -Ss
   10240
   $ ulimit -Hs
   32768
   

5. Oracleソフトウェア・インストール所有者ごとに、この手順を繰り返します。

5.2.4 リモート表示およびX11転送の構成の設定

リモート端末で作業を行っていて、そのローカル・ノードのみが表示されている場合(通常は、この状態になります)、次の構文を使用して、ユーザー・アカウントのDISPLAY環境変数を設定します。

Bourne、KornおよびBashシェル:

$ export DISPLAY=hostname:0

Cシェル:

$ setenv DISPLAY hostname:0

たとえば、Bashシェルを使用していて、ホスト名がnode1の場合は、次のコマンドを入力します。

$ export DISPLAY=node1:0

X11転送が原因でインストールが失敗しないようにするには、次のように、Oracleソフトウェア所有者ユーザーに対してユーザーレベルのSSHクライアント構成ファイルを作成します。

1. テキスト・エディタを使用して、ソフトウェア・インストール所有者の~/.ssh/configファイルを編集または作成します。

2. ~/.ssh/configファイルでForwardX11属性がnoに設定されていることを確認します。次に例を示します。

   Host * 
       ForwardX11 no
   

3. ~/.sshに対する権限がGridユーザーに固定されることを確認します。次に例を示します。

   $ ls -al .ssh
   total 28
   drwx------  2 grid oinstall 4096 Jun 21 2015
   drwx------ 19 grid oinstall 4096 Jun 21 2015
   -rw-r--r--  1 grid oinstall 1202 Jun 21 2015 authorized_keys
   -rwx------  1 grid oinstall  668 Jun 21 2015 id_dsa
   -rwx------  1 grid oinstall  601 Jun 21 2015 id_dsa.pub
   -rwx------  1 grid oinstall 1610 Jun 21 2015 known_hosts
   

5.2.5 端末出力コマンドが原因のインストール・エラーの回避

Oracle Grid Infrastructureのインストール中、OUIは、SSHを使用してコマンドを実行したり、他のノードにファイルをコピーします。システム上の隠しファイル(.bashrcや.cshrcなど)に端末出力コマンドが含まれていると、インストール中にMakeファイルやその他のインストールに関するエラーが発生します。

この問題を回避するには、次の例に示すとおり、STDOUTまたはSTDERRでのすべての出力が抑制されるように、Oracleインストール所有者ユーザーのホーム・ディレクトリにあるこれらのファイルを変更する必要があります(sttyやxtitleなどのコマンド)。

• Bourne、BashまたはKornシェル:

  if [ -t 0 ]; then
     stty intr ^C
  fi
  

• Cシェル:

  test -t 0
  if ($status == 0) then
     stty intr ^C
  endif
  

  
  

  注意: リモート・シェルによってロードされる隠しファイルにsttyコマンドが含まれている場合も、OUIにより、エラーが発生しインストールが停止されます。

  
  

5.3 Oracle Grid Infrastructureシステムでのプロジェクトの使用

Oracle Grid Infrastructure12cリリース1 (12.1)の場合、Oracle Solarisプロジェクトを使用してシステム・リリースを管理すると、様々なOracleインストール所有者に様々なデフォルト・プロジェクトを指定できます。

たとえば、gridという名前のOracle Grid Infrastructure所有者と、oracle1とoracle2の2人のOracle Databaseインストール所有者がいる場合、これらのインストール所有者に、それぞれ、mygridproj、myoradb1proj、およびmyoradb2projなどの異なるデフォルト・プロジェクトと固有のリリース制御および設定を指定できます。

Oracle Solarisプロジェクトを使用したリソースの構成の詳細は、Oracle Solarisのドキュメントを参照してください。

5.4 Intelligent Platform Management Interface(IPMI)の有効化

Intelligent Platform Management Interface(IPMI)は、コンピュータのハードウェアおよびファームウェアへの共通インタフェースを提供し、システム管理者はそのインタフェースを使用して、システム状態の監視およびシステムの管理を実行できます。Oracle ClusterwareにIPMIを統合して、障害分離をサポートしたりクラスタの整合性を確保することができます。

現在、Oracle ClusterwareではOracle SolarisでネイティブIPMIドライバをサポートしていないため、OUIでは管理者資格証明が収集されず、CSSではIPアドレスを取得できません。インストール前に静的IPアドレスを使用してBMCを構成し、インストール後にcrsctlを使用してIPアドレスおよびIPMI資格証明を格納することによって、障害分離を手動で構成する必要があります。

この項の内容は次のとおりです。

• IPMIを有効化するための要件

• IPMI管理ネットワークの構成

• BMCの構成

関連項目: インストール後にIPMIの構成を行う方法の詳細は、『Oracle Clusterware管理およびデプロイメント・ガイド』を参照してください。

5.4.1 IPMIを有効化するための要件

クラスタ・ノードをIPMIで管理できるようするには、次のようにハードウェアおよびソフトウェアを構成する必要があります。

• 各クラスタ・メンバー・ノードにBaseboard Management Controller(BMC)が必要です。このBMCは、IPMI over LANをサポートするIPMIバージョン1.5以上と互換性があるファームウェアを実行し、LANを使用したリモート制御に対応するように構成されている必要があります。

• クラスタに、IPMI用の管理ネットワークが必要です。これは共有ネットワークでも可能ですが、専用ネットワークの構成をお薦めします。

• BMCで使用する各クラスタ・メンバー・ノードのポートが、IPMI管理ネットワークに接続されている必要があります。

• 各クラスタ・メンバーが管理ネットワークに接続されている必要があります。

• 一部のサーバー・プラットフォームでは、電源を切るとネットワーク・インタフェースが省電力モードになります。この場合には、低いリンク速度(1GBではなく100MBなど)で動作することになります。こうしたプラットフォームの場合、BMCが接続されるネットワーク・スイッチ・ポートで、低い速度に合わせた自動ネゴシエートが可能である必要があります。そうでない場合は、IPMIが正常に動作しません。

• 第5.4.1.1項「IPMIファームウェア・パッチ」で説明するとおり、IPMIファームウェア・パッチをインストールおよび構成します。

注意: IPMIは、ベースボード管理コントローラ(BMC)のネットワーク・インタフェースを通して物理ハードウェア・プラットフォームに作用します。実際のシステム構成によっては、IPMIによるサーバー再起動が、そのサーバーでホスティングされているすべての仮想環境に影響を及ぼす可能性があります。詳細は、お使いのハードウェアおよびOSのベンダーに問い合せてください。

5.4.1.1 IPMIファームウェア・パッチ

Oracleは、Sunシステム上のIPMIファームウェアのパッチレベル情報を提供しています。ご使用のクラスタに次のいずれかのシステムが含まれる場合は、次のパッチ以上が適用されるようにそれらのファームウェアを更新してください。次のURLで、ご使用のファームウェアに必要なパッチ・バージョンを入手します。

http://www.oracle.com/technetwork/systems/patches/firmware/index.html

各クラスタ・メンバー・ノードに次をインストールします。

• Sun Blade T6340 Server Module Sun System Firmware(LDOMSサポート)

  139448-03

• SPARC Enterprise T5440 Sun System Firmware(LDOMSサポート)

  139446-03

• Netra T5440 Sun System Firmware(LDOMSサポート)

  139445-04

• SPARC Enterprise T5140 & T5240 Sun System Firmware LDOMS

  139444-03

• Netra T5220 Sun System Firmware(LDOMSサポート)

  139442-06

• Sun Blade T6320 + T6320-G2 Server Module Sun System Firmware(LDOMSサポート)

  139440-04

• SPARC Enterprise T5120 & T5220 Sun System Firmware(LDOMSサポート)

  139439-04

5.4.2 IPMI管理ネットワークの構成

Oracle Solarisプラットフォームでは、BMCは構成情報をIntegrated Lights Out Manager(ILOM)サービス・プロセッサと共有します。Oracle Clusterwareの場合は、ILOM/BMCを静的IPアドレス用に構成する必要があります。Oracle Solarisでは、BMCを動的アドレス(DHCP)を使用して構成することはサポートされていません。

注意: IPMIを構成し、グリッド・ネーミング・サービス(GNS)を使用する場合でも、IPMIインタフェースには別のアドレスを構成する必要があります。IPMIアダプタはホストから直接には認識できないため、GNSはホスト上のアドレスとしてIPMIアダプタを認識できません。

5.4.3 BMCの構成

各ノードで、次の手順を実行してIPMIベースのノード・フェンシングをサポートするようにBMCを構成します。

• IPMI over LANを有効にして、管理ネットワーク経由でBMCを制御できるようにします。

• BMC用に静的IPアドレスを構成します。

• BMCの管理者ユーザー・アカウントおよびパスワードを設定します。

• BMCをタグVLANで使用する場合は、VLANのタグに対応するようにBMCを構成します。

使用する構成ツールは問いませんが、BMCが正しく機能するには、これらの条件を満たしている必要があります。

BMCの構成の詳細は、選択した構成オプションのドキュメントを参照してください。

注意: Oracle Solarisソフトウェアおよびファームウェアの初回リビジョンの問題によって、IPMIサポートは正常に動作しませんでした。ご使用のプラットフォーム用の最新のファームウェアおよび次のバージョン以上のOracle Solarisパッチを入手していることを確認してください(次のURLから入手可能)。 http://www.oracle.com/technetwork/systems/patches/firmware/index.html 137585-05 IPMItoolパッチ 137594-02 BMCドライバ・パッチ

5.4.3.1 Oracle SolarisのILOMプロセッサでのIPMIの構成

ILOM Webインタフェースにログインするときに、次の手順でパラメータを構成して、IPMIを有効化します。

1. 「Configuration」→「System Management Access」→「IPMI」の順にクリックします。「Enabled」をクリックして、IPMI over LANを有効化します。

2. 「Configuration」→「Network」順にクリックします。IPアドレス、ネットマスクおよびデフォルトのゲートウェイの情報を入力します。

3. 「User Management」→「User Account Settings」の順にクリックします。IPMI管理者アカウントのユーザー名およびパスワードを追加して、ロールを「Administrator」に設定します。

5.4.3.2 IPMItoolを使用したBMCの構成例

ユーティリティipmitoolがOracle Solarisディストリビューションの一部として提供されています。ipmitoolを使用してIPMIパラメータを構成することはできますが、ipmitoolを使用してパラメータを設定すると、サービス・プロセッサに対応するパラメータも設定されることに注意してください。

次に示すのは、ipmitool(バージョン1.8.6)を使用してBMCを構成する例です。

1. rootとしてログインします。

2. ipmitoolが、IPMIドライバを使用してBMCと通信できることを確認します。これを行うには、コマンドbmc infoを使用して、その出力からデバイスIDを探します。次に例を示します。

   # ipmitool bmc info
   Device ID                 : 32
   .
   .
   .
   

   ipmitoolがBMCと通信していない場合は、「BMCの構成」の項を参照して、IPMIドライバが動作しているかどうかを確認します。

3. 次の手順で、IPMI over LANを有効にします。

   1. IPMI over LANに使用するチャネルの、チャネル番号を決めます。チャネル1から始めて、LAN属性(IPアドレスなど)が表示されるチャネルが見つかるまで、次のコマンドを実行します。

      # ipmitool lan print 1
       
      . . . 
      IP Address Source       : 0x01
      IP Address              : 140.87.155.89
      . . .
      

   2. 検出されたチャネルに対してLANアクセスを有効にします。たとえば、チャネルが1の場合は次のようにします。

      # ipmitool -I bmc lan set 1 access on
      

4. 静的IPアドレスの設定手順を使用して、IPMIのIPアドレス設定を構成します。

   • 静的IPアドレスを使用する場合

     ネットワーク接続をBMCとILOMで共有する場合は、IPアドレスが同じサブネット上にあることが必要です。IPアドレスを設定するだけでなく、ネットマスクの値およびデフォルト・ゲートウェイも適切に設定する必要があります。たとえば、チャネルが1の場合は次のようにします。

     # ipmitool -I bmc lan set 1 ipaddr 192.168.0.55
     # ipmitool -I bmc lan set 1 netmask 255.255.255.0
     # ipmitool -I bmc lan set 1 defgw ipaddr 192.168.0.1
     

     指定したアドレス(192.168.0.55)は、BMCのみに関連付けられます。通常のpingに応答することはありません。

5. 次の手順を実行して、ユーザー名とパスワードを管理アカウントに設定します(チャネルは1を想定しています)。

   1. LAN経由のADMINアクセスに対してパスワード認証を要求するようにBMCを設定します。次に例を示します。

      # ipmitool -I bmc lan set 1 auth ADMIN MD5,PASSWORD
      

   2. BMC上のアカウント・スロットをリストして、使用されていないスロット(つまり、最大IDより小さいIDの、リストされていないスロット、次の例ではID 4)を特定します。一部のスロットは、予約しても、一部のハードウェアでの再利用に使用できない場合があることに注意してください。

      # ipmitool user summary 1
      Maximum IDs         : 20
      Enabled User Count  : 3
      Fixed Name Count    : 2
      # ipmitool user list 1
      ID  Name     Enabled Callin  Link Auth  IPMI Msg   Channel Priv Lim
      1            true    false   false      true       USER
      2   root     true    false   false      true       ADMINISTRATOR
      3   sysoper  true    true    false      true       OPERATOR
      12  default  true    true    false      true       NO ACCESS
      13           true    false   true       false      CALLBACK
       
      

      上の例では、可能なスロットが20あり、使用されていない最初のスロットの番号は4です。

   3. 任意の管理者ユーザー名およびパスワードを割り当て、特定したスロットに対してメッセージ機能を有効にします。(IPMI v1.5の場合、ユーザー名およびパスワードは最長で16文字です。)さらに、そのスロットがLAN(チャネル1)経由でアクセスされる場合の権限レベルをADMIN(レベル4)に設定します。たとえば、username が管理ユーザー名で、password がパスワードの場合は、次のようになります。

      # ipmitool user set name 4 username
      # ipmitool user set password 4 password
      # ipmitool user enable 4
      # ipmitool channel setaccess 1 4 privilege=4
      # ipmitool channel setaccess 1 4 link=on
      # ipmitool channel setaccess 1 4 ipmi=on
      

   4. lan print 1コマンドを使用して、設定を確認します。出力結果は、次のようになります。太字のテキストで示した項目は、前述の構成手順で設定した内容です。コメントや代替オプションは、カッコ[ ]内に示しています。

      # ipmitool lan print 1
      Set in Progress         : Set Complete
      Auth Type Support       : NONE MD2 MD5 PASSWORD
      Auth Type Enable        : Callback : MD2 MD5
                              : User     : MD2 MD5
                              : Operator : MD2 MD5
                              : Admin    : MD5 PASSWORD
                              : OEM      : MD2 MD5
      IP Address Source       : DHCP Address [or Static Address]
      IP Address              : 192.168.0.55
      Subnet Mask             : 255.255.255.0
      MAC Address             : 00:14:22:23:fa:f9
      SNMP Community String   : public
      IP Header               : TTL=0x40 Flags=0x40 Precedence=… 
      Default Gateway IP      : 192.168.0.1
      Default Gateway MAC     : 00:00:00:00:00:00
      .
      .
      .
      # ipmitool channel getaccess 1 4
      Maximum User IDs     : 10
      Enabled User IDs     : 2
       
      User ID              : 4
      User Name            : username [This is the administration user]
      Fixed Name           : No
      Access Available     : call-in / callback
      Link Authentication  : enabled
      IPMI Messaging       : enabled
      Privilege Level      : ADMINISTRATOR
      

6. クラスタ内のリモート・ノードからBMCにアクセスして管理できることを、bmc infoコマンドで確認します。たとえば、node2のBMCのIPアドレスを割り当てられたネットワーク・ホスト名がnode2-ipmiの場合、管理者アカウントusernameを使用してnode1からnode2上のBMCを確認し、node1で次のコマンドを入力します。

   $ ipmitool -H node2-ipmi -U username lan print 1
   

   パスワードを求めるプロンプトが表示されます。IPMIパスワードを入力します。

   BMCが正しく構成されている場合は、リモート・ノードのBMCに関する情報が表示されます。Error: Unable to establish LAN sessionなどのエラー・メッセージが表示された場合は、リモート・ノードのBMC構成を確認する必要があります。

7. この処理を各クラスタ・メンバー・ノードに対して繰り返します。

8. インストールした後、第8.2.1項「Crsctlを使用したIPMIベースの障害分離の構成」で説明するとおり、IPMIを構成します。

5.5 rootスクリプトの実行計画の決定

Oracle Grid Infrastructureのインストール中に、多数のシステム構成タスクを完了するために、スーパーユーザー(root)権限でスクリプトを実行するようにインストーラから求められます。

次のオプションのいずれかを使用して、rootとして手動でスクリプトを実行するか、rootとして構成手順を実行する権限をインストーラに委任することができます。

• rootパスワードを使用: その他の構成情報を入力する際に、インストーラにパスワードを提供します。パスワードはインストール中に使用され、格納されません。rootユーザー・パスワードは、各クラスタ・メンバー・ノードで同一である必要があります。

  rootコマンドの委任を有効にするには、要求された際に、インストーラにrootパスワードを提供します。

• sudoを使用: sudoはUNIXおよびLinuxのユーティリティで、sudoersリスト権限のメンバーは、個々のコマンドをrootとして実行できます。

  Sudoを有効にするには、適切な権限を持つシステム管理者がsudoersリストのメンバーであるユーザーを構成し、インストール時の求めに応じてユーザー名とパスワードを指定します。