2 はじめに

この章では、次のトピックについて説明します。

サービスプロセッサを介した KMA へのアクセス – Embedded Lights Out Manager (ELOM) と Integrated Lights Out Manager (ILOM) によって、コンソールへのリモート接続が提供されます ("サービスプロセッサを介した KMA へのアクセス"を参照)。

注:
追加のサービスプロセッサの手順は、付録 D, "サービスプロセッサ手順"にあります。
QuickStart プログラムの実行 – QuickStart は、顧客 (セキュリティー責任者または資格のある代理人) が新しい KMA を構成するために使用できるユーティリティーです ("QuickStart プログラムの実行"を参照)。

注:
サービス担当者も QuickStart を実行できますが、このプログラムでは重要なセキュリティーパラメータが確立されるため、顧客は企業のセキュリティーポリシーに従って、自分で実行するように選択する可能性があります。

サービスプロセッサを介した KMA へのアクセス

Embedded Lights Out Manager (ELOM) と Integrated Lights Out Manager (ILOM) には、メインサーバーとは別のサービスプロセッサが搭載されています。これらのサービスプロセッサによって KMA へのリモート接続が提供されるため、QuickStart プログラムなどのサーバーの機能を実行できます。

注:

Sun Fire X2100 M2 または X2200 M2 サーバーである KMA がサービスプロセッサとして ELOM を使用しているのに対して、Sun Fire X4170 M2 サーバーである KMA はサービスプロセッサとして ILOM を使用しています。

構成情報については、『Embedded Lights Out Manager Administration Guide』または『Integrated Lights Out Manager Web Interface Procedures Guide』を参照してください。

ELOM/ILOM を介した KMA への接続

ELOM または ILOM を介した KMA への接続には、次のいずれかを使用します。

LAN 1 NET MGT ELOM または ILOM インタフェースによるネットワーク接続 (推奨)
KMA に接続されたキーボードおよびモニター。

注:
次の手順では、ポップアップブロッカによってウィンドウの起動が妨げられます。開始する前に、ポップアップブロッカを無効にしてください。ウィンドウは表示されるが、コンソールウィンドウが表示されない場合は、Web ブラウザまたは Java バージョンとサービスプロセッサに互換性がありません。ブラウザと Java を最新版にアップグレードしてください。互換性のあるバージョンの一覧は、表 2-1 を参照してください。

表 2-1 サポートされている ELOM 互換の Web ブラウザおよび Java バージョン

クライアント OS	サポートされている Web ブラウザ	Java Runtime Environment (Java Web Start を含む)
Microsoft Windows XP Microsoft Windows 2003 Microsoft Windows Vista	Internet Explorer 6.0 以降および Mozilla 1.7.5 以降 Mozilla Firefox 1.0	JRE 1.5 (Java 5.0 Update 7 以降)
Red Hat Linux 3.0 および 4.0	Mozilla 1.7.5 以降 Mozilla Firefox 1.0
Solaris 9 Solaris 10 Solaris SPARC SUSE Linux 9.2	Mozilla 1.7.5
Java Runtime Environment 1.5 は、`http://java.com` からダウンロードできます。 ELOM ガイドの最新バージョンは次で参照できます。 `http://docs.oracle.com/cd/E19121-01/sf.x2200m2/819-6588-14/819-6588-14.pdf`

表 2-2 サポートされている ILOM 互換の Web ブラウザおよび Java バージョン

クライアント OS	サポートされている Web ブラウザ	Java Runtime Environment (Java Web Start を含む)
Microsoft Windows 98 Microsoft Windows 2000 Microsoft Windows XP Microsoft Windows Vista	Internet Explorer 6.0 以降 Mozilla 1.7.5 以降 Mozilla Firefox 1.0 以降 Opera 6.x 以降	JRE 1.5 (Java 5.0 Update 7 以降)
Linux (Red Hat、SuSE、Ubuntu)	Mozilla 1.7.5 以降 Mozilla Firefox 1.0 以降 Opera 6.x 以降
Solaris 9 Solaris 10	Mozilla 1.7.5 以降 Firefox 1.0 以降
Java Runtime Environment 1.5 は、`http://java.com` からダウンロードできます。 ILOM ガイドの最新バージョンは次で参照できます。 `https://download.oracle.com/docs/cd/E19860-01/index.html`

ネットワーク接続の使用 - ELOM

ネットワーク上の別のワークステーションを使用して、Web ブラウザを起動します。
LAN 1 (NET MGT) の IP アドレスまたはホスト名 (構成したばかりのアドレス) を使用して KMA ELOM に接続します。

注:
ELOM に含まれている証明書が、割り当てられた名前または IP と一致しないため、Web ブラウザに 1 つ以上の警告が表示されます。
「OK」または「Yes」をクリックして、これらの警告を無視します。

警告を無視したあと、ELOM のログインプロンプトが表示されます。
次を使用してログインします。

ユーザー ID = root

パスワード = changeme

次に表示される画面は Manager の画面です。サーバーを接続しただけで、まだサーバーの電源が入っていない場合、システムのブートは完了していません。

KMA は、最初の電源投入時に自動的にブートするように構成されており、電源投入から数分でブートして QuickStart プロンプトが表示されるはずです。
「System Monitoring」タブをクリックして、電源のステータスを確認します。

「Power Status」が「power off」を示している場合は、上側のタブ行の右端にある「Remote Control」タブをクリックします。
2 番目のタブ行にある「Remote Power Control」タブをクリックします。
「Select Action」ドロップダウンで「Power On」を選択し、「Save」ボタンをクリックします。
KMA の電源投入が開始されます。この処理には数分かかりますが、その間も KMA の構成を続行できます。
先頭のタブ行にある「Remote Control」タブをクリックします。
2 番目のタブ行にある「Redirection」タブをクリックします。
「Launch Redirection」ボタンをクリックします。

リモートコンソールウィンドウの起動前に、Java アプレットがダウンロードされます。

ここで、新しいウィンドウにリモートコンソール画面が表示されます。
javaRKVM.jnlp ファイルが要求された場合は、これを保存してから開き、リモートコンソールを起動します。表示されている警告があった場合は、それらをすべてクリックして無視します。
次の処理手順を実行するには、"OKM コンソールの起動"に進みます。

ネットワーク接続の使用 - ILOM

ネットワーク上の別のワークステーションを使用して、Web ブラウザを起動します。
LAN 1 (NET MGT) の IP アドレスまたはホスト名 (構成したばかりのアドレス) を使用して KMA ILOM に接続します。

注:
ILOM に含まれている証明書が、割り当てられた名前または IP と一致しないため、Web ブラウザに 1 つ以上の警告が表示されます。
「OK」または「Yes」をクリックして、これらの警告を無視します。

警告を無視したあと、ILOM のログインプロンプトが表示されます。
次を使用してログインします。

ユーザー ID = root

パスワード = changeme

次に表示される画面は Manager の画面です。サーバーを接続しただけで、まだサーバーの電源が入っていない場合、システムのブートは完了していません。

KMA は、最初の電源投入時に自動的にブートするように構成されており、電源投入から数分でブートして QuickStart プロンプトが表示されるはずです。
「Host Power」の横に表示されている電源のステータスを確認します。
「Host Power」が電源切断を示している場合は、「Change」ドロップダウンをクリックします。
「Select Action」ドロップダウンで「Power On」を選択し、「Save」ボタンをクリックします。

KMA の電源投入が開始されます。この処理には数分かかりますが、KMA の構成を続行することができます。
先頭のタブ行にある「Remote Control」タブをクリックします。
2 番目のタブ行にある「Redirection」タブをクリックします。
「Launch Remote Console」ボタンをクリックします。

リモートコンソールウィンドウの起動前に、Java アプレットがダウンロードされます。ここで、新しいウィンドウにリモートコンソール画面が表示されます。
javaRKVM.jnlp ファイルが要求された場合は、これを保存してから開き、リモートコンソールを起動します。表示されている警告があった場合は、それらをすべてクリックして無視します。
次の処理手順を実行するには、"OKM コンソールの起動"に進みます。

OKM コンソールの起動

任意のキーを押し、Enter キーを押して続行します。KMA が SCA 6000 カードをチェックし、そのステータスを報告します。

リブート、リセット、または初期インストールのあと、SCA 6000 カードを初期化したりそのファームウェアをアップグレードしたりしているときに、新しいメッセージが表示されます。完了するまで、コンソールは無効です。
```
Console unavailable while KMA Maintenance is in progress...
```
Enter キーを押します。

ここで、"QuickStart の起動"で説明されている QuickStart プログラムプロンプトに進みます。

追加のサービスプロセッサの手順

ELOM および ILOM を構成およびアップグレードする手順については、付録 D "サービスプロセッサ手順"を参照してください。

QuickStart プログラムの実行

出荷時のデフォルト状態にある KMA の電源を入れると、QuickStart と呼ばれる特殊なモードの KMA 構成メニューが自動的に実行されます。QuickStart によって、KMA の初期化に必要な最低限の構成情報が収集されます。QuickStart プログラムの実行がいったん正常に完了すると、このプログラムは再度実行できません。再度 QuickStart プログラムにアクセスするには、KMA を出荷時のデフォルト状態にリセットするしか方法はありません ("KMA の出荷時のデフォルトへのリセット"を参照)。

注:

以降の画面例では、太字のエントリがユーザーから応答する領域を表しています。

QuickStart の起動

QuickStart プログラムを実行するには:

KMA の電源を入れます。はじめて KMA の電源を入れたときは、QuickStart が実行され、「Welcome to QuickStart!」画面が表示されます。

KMA は、はじめてのブート後に、初期構成手順を実行します。この手順には数分かかる場合があります。KMA は、初期構成を実行中であることを示すメッセージを表示します。

Ctrl + C を押すと、QuickStart プログラムがリセットされ、「Welcome to QuickStart!」画面が再表示されます。

Copyright (c) 2007, 2013, Oracle and/or its affiliates. All rights reserved.
Oracle Key Manager Version 3.0.0 (build2020) SO on Strathclyde
----------------------------------------------------------
Welcome to QuickStart!

Authorized users only. All activity may be monitored and reported.

Performing initial configuration of this KMA - Please waitInitial configuration of this KMA completed

The QuickStart program will guide you through 
the necessary steps for configuring the KMA.
You may enter Ctrl-c at any time to abort; however, it is necessary to successfully complete all steps in this 
initialization program to enable the KMA.

Press Enter to continue:

Set Keyboard Layout
__________________________________________________________

Press Ctrl-c to abort.

You may change the keyboard layout here.

Available keyboard layouts:

( 1) Arabic             ( 2) Belgian           ( 3) Brazilian 
( 4) Canadian-Bilingual ( 5) Canadian-French   ( 6) Danish  
( 7) Dutch              ( 8) Dvorak            ( 9) Finnish 
(10) French             (11) German            (12) Italian 
(13) Japanese-type6     (14) Japanese          (15) Korean 
(16) Latin-American     (17) Norwegian         (18) Portuguese 
(19) Russian            (20) Spanish           (21) Swedish
(22) Swiss-French       (23) Swiss-German      (24) Traditional-Chinese
(25) TurkishQ           (26) UK-English        (27) US-English

The current layout is US-English 
Please enter the number for the keyboard layout [27] : 
The keyboard layout has been applied successfully.
Press Enter to continue

ネットワーク構成の指定

次の手順を使用すると、ネットワーク構成を確立できます。

KMA の管理 IP アドレスの設定

KMA の管理 IP アドレスを設定するには:

Enter キーを押して続行します。次の情報が表示されます。

Set KMA Management IP Addresses
-------------------------------------------------------
Press Ctrl-c to abort.
An IP Address configuration must be defined in order for the
KMA to communicate with other KMAs or Users in your system.
Do you want to configure the Management Network interface to have an IPv6 address? [y/n]: 
Do you want to use DHCP to configure the Management Network IPv4 interface? [y/n]: 
Please enter the Management Network IP Address [10.172.180.39]:
Please enter the Management Network Subnet Mask [255.255.254.0]:

メインメニューの「Please enter your choice:」プロンプトで、3 を入力し、Enter キーを押します。
「Do you want to configure the Management Network interface to have an IPv6 address」プロンプトで、n または y のいずれかを入力します。
「Do you want to use DHCP to configure the Management Network IPv4 interface」プロンプトで、n または y のいずれかを入力します。n を入力した場合は、手順 5 に進みます。y を入力した場合は、手順"KMA のサービス IP アドレスの設定"に進みます。

注:
DHCP を使用することを選択した場合、DHCP サーバーから提供されるホスト名情報は無視されます。DHCP サーバーから提供される DNS 情報については、"DNS 設定の指定"に示しています。
プロンプトで、管理ネットワークの IP アドレスを入力し、Enter キーを押します。
「Please enter the Management Network Subnet Mask: 」プロンプトで、サブネットマスクアドレス (255.255.254.0 など) を入力し、Enter キーを押します。

技術サポートアカウントの有効化

技術サポートアカウントを有効にするには:

Enter キーを押して続行します。次の情報が表示されます。

To assist in troubleshooting your network configuration,
you might want to enable the technical support account for the
network configuration steps of the QuickStart process.
Do you want to enable this support account for the network
configuration steps of the QuickStart process? [y/n]: y
Press Enter to continue:

QuickStart で技術サポートアカウントを有効にする場合は、「Do you want to enable this support account for the network configuration steps of the QuickStart process?」プロンプトで「y」を入力します。そうでない場合は n を入力し、手順 3 に進みます。

注:
y を入力した場合は、"技術サポートアカウントの有効化"で説明したのと同じプロンプトが表示されます。これらのプロンプトに答えたら、手順 3 に進みます。
Enter キーを押して続行します。

技術サポートアカウントを有効にした場合は、"DNS 設定の指定"の処理を完了したあと、QuickStart がそのアカウントを無効にします。次の画面が表示されます。
```
The support account is now being disabled.
Technical Support configuration changes have been completed.
Press Enter to continue:
```

KMA のサービス IP アドレスの設定

KMA のサービス IP アドレスを設定するには:

Enter キーを押して続行します。次の情報が表示されます。

Set KMA Service IP Addresses
-------------------------------------------------------
Press Ctrl-c to abort.
An IP Address configuration must be defined in order for the
KMA to communicate with other Agents in your system.
Do you want to configure the Service Network interface to have an IPv6 address?
[y/n]: y 
Do you want to use DHCP to configure the Service Network IPv4 interface? [y/n]: n 
Please enter the Service Network IP Address [192.168.1.39]:
Please enter the Service Network Subnet Mask [255.255.255.0]:

メインメニューの「Please enter your choice:」プロンプトで、4 を入力し、Enter キーを押します。
「Do you want to configure the Service Network interface to have an IPv6 address」プロンプトで n または y のいずれかを入力します。
「Do you want to use DHCP to configure the Service Network IPv4 interface」プロンプトで、n または y のいずれかを入力します。n を入力した場合は、手順 5 に進みます。y を入力した場合は、手順"ゲートウェイの表示/追加/削除"に進みます。
プロンプトで、サービスネットワークの IP アドレスを入力し、Enter キーを押します。
「Please enter the Service Network Subnet Mask: 」プロンプトで、サブネットマスクアドレス (255.255.255.0 など) を入力し、Enter キーを押します。

ゲートウェイ の表示/追加/削除

このメニューオプションは、管理 (M) およびサービス (S) インタフェース上の現在のゲートウェイ設定 (1 ページ当たり 5 個) を表示します。

Enter キーを押して続行します。次の情報が表示され、ゲートウェイの追加、ゲートウェイの削除、現在のゲートウェイ構成の受け入れのいずれかを実行できることが示されます。

Modify Gateway Settings
------------------------------------------------------------
Press Ctrl-c to abort.
Gateways that are configured automatically are not modifiable, and are
indicated with an asterisk (*). Management routes are indicated with an 'M',
and service routes with an 'S'.
   # Destination       Gateway          Netmask            IF
---- ----------------- ---------------- -------------------- --
   1 default           10.172.181.254   0.0.0.0             M
   2 default           10.172.181.21    0.0.0.0             M
   3 default           192.168.1.119    0.0.0.0             S
   4 10.0.0.0          10.172.180.25    255.255.254.0       M
*  5 10.172.180.0      10.172.180.39    255.255.254.0       M
Press Enter to continue:
Modify Gateway Settings
------------------------------------------------------------
Press Ctrl-c to abort.
Gateways that are configured automatically are not modifiable, and are
indicated with an asterisk (*). Management routes are indicated with an 'M',
and service routes with an 'S'.
 #   Destination          Gateway          Netmask         IF
---- -------------------- ----------------- ---------------- --
*  6 192.168.1.0          192.168.1.39     255.255.255.0    S
   7 192.168.25.0         10.172.180.25    255.255.255.0    M
   8 192.168.26.0         10.172.180.25    255.255.255.0    M
*  9 127.0.0.1            127.0.0.1        255.255.255.255   
* 10 fe80::               2001:db8::/32    10               M
(1) Continue
(2) Back
 1


Modify Gateway Settings
------------------------------------------------------------
Press Ctrl-c to abort.
Gateways that are configured automatically are not modifiable, and are
indicated with an asterisk (*). Management routes are indicated with an 'M',and 
service routes with an 'S'.
   # Destination  Gateway                   Netmask       IF
---- ------------ ------------------------  ------------- --
 
* 11 fe80::       fe80::216:36ff:feca:15b9  10          S
You can add a route, delete a route, or exit the gateway configuration.
Please choose one of the following:
(1)  Add a gateway
(2)  Remove a configured gateway (only if modifiable)
(3)  Exit gateway configuration
(4)  Display again
3

メインメニューの「Please enter your choice:」プロンプトで、5 を入力し、Enter キーを押します。
「(1) Continue (2) Back」プロンプトで、1 を入力して次のゲートウェイ設定を表示するか、または 2 を入力して以前のゲートウェイ設定に戻ります。
「Please choose one of the following:」プロンプトで、1、2、3、または 4 を入力し、Enter キーを押します。

注:
任意の時点で Ctrl+c キーを押すと、変更は保存されずにメインメニューに戻ります。

DNS 設定の指定

このメニューオプションでは、DNS 設定が表示され、ユーザーは新しい DNS ドメイン (DNS ドメインを構成する場合) および DNS サーバーの IP アドレスを指定できます。

注:

"KMA の管理 IP アドレスの設定"で管理ネットワークで DHCP を使用することを選択した場合、KMA は管理ネットワーク上の DHCP サーバーからの DNS 設定を表示します。情報を入力してこれらの DNS 設定をオーバーライドすることができます。

Enter キーを押して続行します。次の情報が表示されます。

Set DNS Configuration
-------------------------------------------------------
Press Ctrl-c to abort.
DNS configuration is optional, but necessary if this KMA will be configured using hostnames instead of IP addresses.

Current DNS configuration:
Domain: 
Nameservers: 

Please enter the DNS Domain (blank to unconfigure DNS): example.com

Up to 3 DNS Name Servers can be entered. Enter each name server separately, and enter a blank name to finish.
Please enter DNS Server IP Address #1: 10.172.0.5
Please enter DNS Server IP Address #2:

メインメニューの「Please enter your choice:」プロンプトで、6 を入力し、Enter キーを押します。
「Please enter the DNS Domain (blank to unconfigure DNS):」プロンプトで、DNS ドメイン名を入力します。
「Please enter DNS Server IP address」プロンプトで、DNS サーバーの IP アドレスを入力します。最大で 3 つの IP アドレスを入力できます。
IP アドレスを指定しないで終了するには、Enter キーを押します。

KMA の初期化

Enter キーを押して続行します。次の情報が表示されます。

The KMA Name is a unique identifier for your KMA. This name should not be
the same as the KMA Name for any other KMA in your cluster. It also should
not be the same as any User Names or Agent IDs in your system. 

Please enter the KMA Name: KMA-1 
Press Enter to continue:

プロンプトで、KMA の一意の識別子を入力します。

注:

QuickStart プログラムを使用して一度設定した KMA 名は、変更することができません。変更する唯一の方法は、KMA を出荷時のデフォルトにリセットして、QuickStart を再度実行することです。

この KMA 名は、KMA のホスト名として使用されます。

クラスタの構成

プロンプトで、Enter キーを押します。次の情報が表示され、この KMA を使用して新しいクラスタを作成するか、既存のクラスタに参加するか、またはこの KMA のバックアップからクラスタを復元できることが示されます。

You can now use this KMA to create a new Cluster, or you can have this KMA
join an existing Cluster. You can also restore a backup to this KMA or 
change the KMA version.
Please choose one of the following: 
(1)  Create New Cluster  
(2)  Join Existing Cluster  
(3)  Restore Cluster from Backup 
Please enter your choice: 1
Create New Cluster

プロンプトで、1、2、または 3 を入力し、Enter キーを押します。

1 を入力した場合は、"鍵分割資格の入力"に進みます。

2 を入力した場合は、"既存のクラスタへの参加"に進みます。

3 を入力した場合は、"クラスタのバックアップからの復元"に進みます。

鍵分割資格の入力

鍵分割資格のユーザー ID とパスフレーズは、それぞれのユーザー ID とパスフレーズを所有する各個人が入力するようにしてください。この情報を 1 人が収集して入力することは、鍵分割資格を持つことの目的にそぐいません。

この時点で鍵分割資格のすべてのメンバーがこの情報を入力することが現実的でない場合は、ここでは単純な一連の資格を入力しておき、あとで OKM Manager で完全な資格を入力します。

ただし、このようにすると、セキュリティー上のリスクが生じます。単純な鍵分割資格を使用してコアセキュリティーバックアップを作成した場合は、その後バックアップの復元に使用される可能性があります。

「Please enter your choice:」プロンプトで、1 を入力します。次の情報が表示されます。

The Key Split credentials are used to wrap splits of the Core Security Key
Material which protects Data Unit Keys.

When Autonomous Unlocking is not enabled, a quorum of Key Splits must be
entered in order to unlock the KMA and allow access to Data Unit Keys.

A Key Split credential, consisting of a unique User Name and Passphrase, is required for each Key Split. 

The Key Split Size is the total number of splits that will be generated. 
This number must be greater than 0 and can be at most 10. 

Please enter the Key Split Size: 2  

The Key Split Threshold is the number of Key Splits required to obtain a quorum. 

Please enter the Key Split Threshold: 1  
Please enter the Key Split User Name #1: user1  
Passphrases must be at least 8 characters and at most 64 characters in length. 
Passphrases must not contain the User's User Name. 
Passphrases must contain characters from 3 of 4 character classes (uppercase, lowercase, numeric, other). 
Please enter Key Split Passphrase #1: ******** 
Please re-enter Key Split Passphrase #1: ******** 
Press Enter to continue: 
Press Ctrl-c to abort.

注:

鍵分割サイズおよび鍵分割しきい値は、"鍵分割構成の変更"を使用して変更することができます。鍵分割しきい値は、鍵分割サイズ以下にする必要があります。

ユーザー ID およびパスフレーズは、セキュアな状態にするため、承認されたユーザーのみが入力してください。これらの項目も、QuickStart プログラムの実行後に変更できます。

「Please enter the Key Split Size:」プロンプトで、生成される鍵分割の数を入力し、Enter キーを押します。
「Please enter the Key Split Threshold:」プロンプトで、定足数を取得するために必要な鍵分割の数を入力し、Enter キーを押します。
「Please enter the Key Split User Name #1:」プロンプトで、最初の鍵分割ユーザーのユーザー名を入力し、Enter キーを押します。
「Please enter Key Split Passphrase #1:」プロンプトで、最初の鍵分割ユーザーのパスフレーズを入力し、Enter キーを押します。
「Please re-enter Key Split Passphrase #1:」プロンプトで、前に入力したのと同じパスフレーズを入力し、Enter キーを押します。
手順 4 から 6 を繰り返して、選択した鍵分割サイズにすべてのユーザー名とパスフレーズを入力します。

注:
鍵分割のユーザー名およびパスワードは、KMA 管理用に確立されているほかのユーザーアカウントとは無関係です。Oracle では、鍵分割のユーザー名を KMA ユーザー名とは異なるものにすることをお勧めします。

初期セキュリティー責任者ユーザー資格の入力

「Press Enter to continue:」プロンプトで Enter キーを押します。次の情報が表示されます。

The initial Security Officer User is the first User that can connect to the
KMA via the Oracle Key Manager GUI. This User can subsequently create
additional Users and administer the system.

Please enter a Security Officer User Name: SecOfficer 

A Passphrase is used to authenticate to the KMA when a connection is made via the Oracle Key Manager GUI.

Passphrases must be at least 8 characters and at most 64 characters in length.
Passphrases must not contain the User's User Name. 
Passphrases must contain characters from 3 of 4 character classes (uppercase, lowercase, numeric, other).  

Please enter the Security Officer Passphrase: ******** 
Please re-enter the Security Officer Passphrase: ******** 
Press Enter to continue:  
Press Ctrl-c to abort.

注:

セキュリティー責任者のこの初期ユーザーアカウントは、OKM Manager を使用して KMA にログオンするために使用されます。

プロンプトで、セキュリティー責任者のユーザー名を入力し、Enter キーを押します。次の情報が表示されます。
プロンプトで、セキュリティー責任者のパスフレーズを入力し、Enter キーを押します。
「Please re-enter the Security Officer Passphrase:」プロンプトで、同じパスフレーズを再入力して Enter キーを押します。

重要 – すべての KMA に、ユーザーやエージェントに割り当てられたパスフレーズとは独立した独自のパスフレーズが存在します。クラスタ内の最初の KMA には、ランダムなパスフレーズが割り当てられます。この KMA の証明書の期限が切れたときに、クラスタ内の別の KMA からその実体の証明書を取得する場合は、OKM Manager を使用してパスフレーズを既知の値に設定する必要があります。手順については、"KMA のパスフレーズの設定"を参照してください。

自律ロック解除設定の指定

注意:

自律ロック解除を有効にすると、より便利になり、OKM クラスタの可用性が向上しますが、同時にセキュリティーリスクも発生します。自律ロック解除が使用可能である場合は、完全なブートや、格納されている鍵の復号化を行うために必要な情報が、電源が入っていない KMA に保持されている必要があります。

このため、盗難された KMA は電源が入れることが可能で、攻撃者は KMA から鍵の抽出を開始できます。鍵の抽出は簡単ではありませんが、知識が豊富な攻撃者は KMA からすべての鍵をダンプできます。暗号化攻撃は必要ありません。

自律ロック解除が使用不可である場合は、盗難された KMA から鍵を抽出するためには暗号化攻撃が必要です。

自律ロック解除を使用可能にする前に、潜在的な攻撃やセキュリティーの確認事項を慎重に検討してください。

「Press Enter to continue:」プロンプトで Enter キーを押します。次の情報が表示されます。

When Autonomous Unlocking is DISABLED, it is necessary to UNLOCK the KMA using
a quorum of Key Split Credentials EACH TIME the KMA starts before normal
operation of the system can continue.  Agents may NOT register Data Units with
or retrieve Data Unit Keys from a locked KMA.

When Autonomous Unlocking is ENABLED, the KMA will
automatically enter the UNLOCKED state each time the
KMA starts, allowing it to immediately service Agent requests.
Do you wish to enable Autonomous Unlocking? [y/n]: y

注:

自律ロック解除機能を使用すると、OKM Manager を使用して定足数のパスフレーズを入力しなくても、ハードまたはソフトリセットのあとに KMA を完全な稼働状態にできます。このオプションは、あとで OKM Manager から変更できます。

プロンプトで、y または n を入力し、Enter キーを押します。

鍵プールサイズの設定

「Press Enter to continue:」プロンプトで Enter キーを押します。次の情報が表示されます。

Enter Key Pool Size
-------------------------------------------------------
Press Ctrl-c to abort.

Each KMA pre-generates and maintains a pool of keys. These pre-operational keys
must be backed up or replicated before a KMA will provide them to an Agent for
use in protecting data. This helps to ensure that a key will never be
permanently lost, even in disaster scenarios.
A smaller key pool size prevents unnecessary initial database (and backup)
size, but requires frequent backups or a reliable network to ensure that
activation-ready keys are always available. Conversely, a large key pool size
is more tolerant of infrequent backups or unreliable network connections
between KMAs, but the large number of pre-generated keys causes the database
(and backups) to be quite large.

Please select the key pool size (1000 - 200000):

プロンプトで、鍵プールサイズを入力します。入力された値によって、新しい KMA が生成して保持する初期サイズが決定されます。

KMA の時間の同期

クラスタ内の KMA のクロックは、同期がとれている必要があります。内部的には、すべての KMA が UTC 時間 (協定世界時) を使用します。

また、OKM Manager を使用して、日付と時間の設定を現地時間に調整することもできます。

KMAs in a Cluster must keep their clocks synchronized. Specify an NTP server if
one is available in your network. Otherwise, specify the date and time to which
the local clock should be set.

Please enter the NTP Server Hostname or IP Address (optional): ntp.example.com 

Press Enter to continue:

Initializing new cluster...

New cluster has been created.

Press Enter to continue:
Oracle Key Manager Version 3.0.0 (Build2020) 
__________________________________________________________
KMA initialization complete!
You may now connect to the KMA via the Oracle Key Manager GUI in order to continue with Cluster configuration.

Press Enter to exit: 

Copyright (c) 2007, 2013, Oracle and/or its futilities. All rights reserved.
Oracle Key Manager Version 3.0.0 (Build2020)
__________________________________________________________

Please enter your User Name:

ネットワーク環境内で NTP サーバーが使用可能な場合は、「Please enter the NTP Server Hostname or IP Address (optional):」プロンプトで、NTP サーバーのホスト名または IP アドレスを入力します。

注:
この NTP サーバーの IPv6 アドレスを指定できます。この IPv6 アドレスには、角括弧や接頭辞長を含めないでください。
NTP サーバーが使用可能でない場合は、Enter キーを押します。次に、「Please enter the date and time for this KMA」プロンプトで、指定されたいずれかの形式で日付と時間を入力するか、または Enter キーを押して表示されている日付と時間を使用します。
プロンプトで、Enter キーを押します。KMA の初期化が完了します。
Enter キーを押して終了します。QuickStart プログラムが終了し、ログインプロンプトが表示されます ("KMA へのログイン"を参照)。これで、KMA に、OKM Manager と通信するために必要な最小限のシステム構成が設定されました。
次の手順は、OKM Manager を使用してクラスタに接続することです。手順については、"クラスタへの接続"を参照してください。

既存のクラスタへの参加

重要

このタスクを実行する前に、セキュリティー責任者がまず OKM Manager を使用して OKM クラスタにログインし、KMA を作成する必要があります。

"KMA の作成"を参照してください。KMA の初期化プロセスで指定した KMA 名 ("KMA の初期化"を参照) が、KMA の作成時に入力した KMA 名と一致している必要があります。
既存の OKM クラスタに新しい KMA を追加すると、OKM クラスタは、その新しい KMA にクラスタ情報を伝播し始めます。クラスタが新しい KMA へのこれらの情報の配布を完了するには時間がかかり、結果としてこの期間中、クラスタはビジー状態になります。

この伝播活動によって通常の操作が妨げられることのないように、クラスタへの KMA の追加は負荷の少ない時間帯に行なってください。同期期間中にエージェントが新しい KMA を使用しようとしたことによって発生する問題を回避するため、KMA は、クラスタに追加されたあともロックされた状態のままになります。KMA をロック解除する前に、KMA が同期されるまで (つまり、クラスタ内のほかの KMA に「追い付く」まで) 待ってください。
以前の KMS リリースでは、新しい KMA 上で実行されているリリースがクラスタ内の既存の KMA と異なると、新しい KMA がクラスタに参加した時点で、その新しい KMA は既存の KMA のリリースに自動的にアップグレードまたはダウングレードされました。OKM 2.3 以降では、新しい KMA が OKM 2.3 以降で動作し、既存の KMA が以前の KMS リリースで動作している場合、その新しい KMA は以前のリリースにダウングレードしなくてもクラスタに参加できます。
OKM 2.3 以降を実行している場合は、クラスタに KMA を追加する前に、レプリケーションバージョンがクラスタ内のすべての KMA によってサポートされているもっとも高い値に設定されている必要があります。"レプリケーションバージョンの切り替え"を参照してください。

新しい KMA を既存のクラスタに参加させるには:

KMA の初期化プロセス ("KMA の初期化"を参照) を完了したら、プロンプトで Enter キーを押します。

次の情報が表示され、この KMA を使用して新しいクラスタを作成するか、既存のクラスタに参加するか、またはこの KMA のバックアップからクラスタを復元できることが示されます。
```
You can now use this KMA to create a new Cluster, or you can have this KMA join
an existing Cluster.  You can also restore a backup to this KMA or change the
KMA Version.

Please choose one of the following:
(1)  Create New Cluster 
(2)  Join Existing Cluster 
(3)  Restore Cluster from Backup
Please enter your choice: 2
Join Existing Cluster
```

「Please enter your choice:」プロンプトで、2 を入力します。次の情報が表示されます。

Join Existing Cluster
-------------------------------------------------------
Press Ctrl-c to abort.
In order to join a Cluster, the KMA must contact another KMA which is already in the Cluster.
Please enter the Management Network IP Address or Host Name of an existing KMA in the cluster: 10.172.60.172
Please enter this KMA’s Passphrase:********
Press Enter to continue:
This command requires authorization by a quorum of Key Split Users. Enter
sufficient Key Split credentials to form a quorum. Enter a blank name to
finish.
Press Ctrl-c to abort.
Please enter Key Split User Name #1: user1 
Please enter Key Split Passphrase #1: ******** 
Press Enter to continue:
Joining cluster...
This KMA has joined the Cluster.
Press Enter to continue:
Oracle Key Manager Version 2.3 (Build1036)
-------------------------------------------------------
KMA initialization complete!
You may now connect to the KMA via the Oracle Key Manager GUI in order to continue with Cluster configuration.
Press Enter to exit:

注:

この新しい KMA がクラスタ内の既存の KMA と通信できるようにするには、OKM Manager を使用して、既存の KMA のデータベース内にこの KMA のためのエントリを作成しておく必要があります。手順については、"KMA の作成"を参照してください。

プロンプトで、既存のクラスタ内のいずれかの KMA のネットワークアドレスを入力し、Enter キーを押します。
プロンプトで、その KMA のパスフレーズを入力し、Enter キーを押します。
最初の KMA の初期鍵分割ユーザー名を入力します。
鍵分割ユーザーのパスフレーズを入力し、Enter キーを押します。

重要 – 鍵分割ユーザーの名前とパスフレーズは慎重に入力してください。入力ミスがあると、この処理は失敗し、具体的な内容が示されないエラーメッセージが表示されます。攻撃者に対して公開される情報を制限するために、どの鍵分割ユーザー名またはパスフレーズが間違っているかについてのフィードバックは提供されません。
手順 5 および 6 を繰り返して、定足数を満たすのに十分な数の鍵分割ユーザーの名前とパスフレーズを入力します。

次の「Please enter Key Split User Name」プロンプトで Enter キーを押します。空白の名前を入力して完了します。

初期化が完了します。

正常なクラスタ参加セッションの最後に、クラスタのレプリケーションバージョンが少なくとも 12 である場合は、QuickStart に次のプロンプトが表示されます。

It might take some time for this KMA to be updated with information from other
KMAs in the Cluster.  This amount of time can be greater in Clusters that have
more KMAs or when the KMAs have been online for a long time.
To accelerate these initial updates (that is, to catch up now), you can choose
now to download a backup from another KMA in the Cluster and then restore from
it.  There will not be an opportunity to accelerate these updates later.
Catch up now? [y/n]:

初期の更新を高速化するには、y を入力します。それ以外の場合は、n を入力して手順 10 に進みます。

注:
上のプロンプトで y を入力する前に、クラスタのレプリケーションバージョンを 12 に切り替えたあと、ピア KMA 上にバックアップを作成してください。また、バックアップを作成したピア KMA が現在、ネットワーク上で応答していることも確認してください。これらの手順は、新しい KMA が、ダウンロードして適用するためのキャッシュされたバックアップを見つけるのに役立ちます。

指定した KMA は、このクラスタ内で最大のキャッシュされたバックアップを持つ別の KMA を識別し、そのバックアップをダウンロードして、それをローカルデータベースに適用します。このプロセスはデータのレプリケートと同等ですが、それよりはるかに高速に実行されます。このプロセス中は、情報メッセージが表示されます。

例:
```
Waiting 10 seconds for the join to propagate to Peer KMAs...
Querying Peer KMAs to find the active ones...
Querying active Peer KMAs to find cached backup sizes...
Peer KMA at IP Address 10.172.180.39 has a cached backup size of 729136 bytes.
Downloading the cached backup from this Peer KMA...
Downloaded the cached backup from this Peer KMA.
Initialized the Key Store.
Performed maintenance on the Key Store.
Applying the cached backup to the local database...
.......................................................
.......................................................
.......................................................
.......................................................
.......................................................
.......................................................
.......................................................
Applied the cached backup to the local database.
Successfully accelerated initial updates on this KMA.
```
あとで、新しく参加した KMA は、バックアップ内に存在しないすべてのデータを自動的にレプリケートします。

このプロセス中にエラーが発生した場合は、QuickStart によって上のプロンプトが再度表示されます (そのエラーが一時的な状態のためである場合)。また、KMA がキャッシュされたバックアップを持つピア KMA を見つけることができない場合も、QuickStart によって上のプロンプトが再度表示されます。

ただし、上のプロンプトがはじめて表示されてから 5 分を超える時間が経過した場合は、QuickStart によって次のメッセージが表示され、上のプロンプトは表示されなくなります。
```
Failed to accelerate initial updates on this KMA after 300 seconds.
This KMA will gradually be updated with information from other KMAs.
```
手順 9 で y と入力したのか n と入力したのかに関係なく、また処理がタイムアウトした場合でも、これらのメッセージは表示されます。
```
This KMA has joined the Cluster.
Press Enter to continue:
```
Enter キーを押して終了します。QuickStart プログラムが終了し、ログインプロンプトが表示されます ("KMA へのログイン"を参照)。これで、KMA に、OKM Manager と通信するために必要な最小限のシステム構成が設定されました。
次の手順は、OKM Manager を使用してクラスタに接続することです。手順については、"クラスタへの接続"を参照してください。
OKM クラスタは、新しく追加された KMA に情報を伝播し始めます。これにより、新しい KMA は、クラスタ内の既存の KMA に追い付くまで非常にビジーな状態になります。ほかの KMA もまたビジーな状態になります。この動作状態は、"KMA の表示"の説明に従って KMA を表示することによって OKM Manager から監視できます。
新しい KMA の「Replication Lag Size」値を監視します。最初、この値は高くなります。「View」メニューをプルダウンして「Refresh」を選択するか、または F5 キーを押すことによって、このパネルに表示されている情報を定期的にリフレッシュします。この KMA の「Replication Lag Size」値がクラスタ内のほかの KMA の同様の値まで下がったら、"KMA のロック解除"の説明に従ってこの KMA をロック解除できます。

クラスタのバックアップからの復元

このオプションを使用すると、OKM Manager を使用して KMA にバックアップイメージを復元するために使用できるセキュリティー責任者アカウントを作成できます。ハードディスクの損傷など、KMA で障害が発生した場合は、バックアップを使用して KMA の構成を復元できます。ただし、出荷時のデフォルト状態に復元された KMA は既存のクラスタに簡単に参加でき、またクラスタピアからレプリケーション更新を受信することによってデータベースを構築できるため、このような操作は通常は必要ありません。それでも、KMA のバックアップからの復元は、クラスタ内のすべての KMA に障害が発生した場合に役立ちます。

注:

最初に、バックアップを作成する必要があります。OKM マネージャーを使用してバックアップを作成する手順については、"バックアップの作成"を参照してください。

Oracle では、最後のバックアップが実行されたときに OKM クラスタには存在していなかった新しいセキュリティー責任者名を指定することをお勧めします。

既存のセキュリティー責任者名を指定し、異なるパスフレーズを入力すると、古いパスフレーズが上書きされます。既存のセキュリティー責任者名を指定し、最後のバックアップが実行される前にそのユーザーにほかの役割が追加されていた場合、それらの役割はこのユーザーに割り当てられていなくなります。

バックアップイメージを復元するには:

KMA の初期化プロセス ("KMA の初期化"を参照) を完了したら、プロンプトで Enter キーを押します。

次の情報が表示され、この KMA を使用して新しいクラスタを作成するか、既存のクラスタに参加するか、またはこの KMA のバックアップからクラスタを復元できることが示されます。
```
You can now use this KMA to create a new Cluster, or you can have this KMA join
an existing Cluster.  You can also restore a backup to this KMA or change the
KMA Version.
Please choose one of the following:
(1)  Create New Cluster 
(2)  Join Existing Cluster 
(3)  Restore Cluster from Backup
Please enter your choice: 3
Restore Cluster from Backup
```

「Please enter your choice:」プロンプトで、3 を入力します。次の情報が表示されます。

Initial Restore Cluster From Backup
Enter Initial Security Officer User Credentials
-------------------------------------------------------
Press Ctrl-c to abort.
The initial Security Officer User is the first User that can connect to the KMA
via the Oracle Key Manager GUI. This User can subsequently create additional
Users and administer the system.Please enter a Security Officer User ID: SO1A
Passphrase is used to authenticate to the KMA when a connection is made via the
KMS Manager.
Passphrases must be at least 8 characters and at most 64 characters in length.

プロンプトで、セキュリティー責任者のユーザー名を入力し、Enter キーを押します。

ベストプラクティス: 復元の前に存在していたセキュリティー責任者ユーザー ID の代わりに、一時的な復元セキュリティー責任者ユーザー ID (たとえば、RestoreSO) を入力します。
プロンプトで、セキュリティー責任者のパスフレーズを入力し、Enter キーを押します。

手順 5 から 7 はオプションです。

QuickStart で初期の定足数ユーザー資格を定義することを選択した場合は、OKM Manager GUI からの復元操作 (13) が保留されるように、この時点で定足数ログインの名前とパスフレーズを入力できます。

それにより、定足数メンバーはあとでこのログインとパスフレーズを使用して OKM Manager GUI にログインし、自分の資格を入力して復元を承認できます ("バックアップの復元"を参照)。

ここで定足数ログインのユーザー ID を入力しない場合、QuickStart の最後に存在するユーザーは、手順 3 で作成されたセキュリティー責任者だけになります。この場合、復元を実行するには、すべての鍵分割資格を一度に入力する必要があります ()。

次の情報が表示されます。
```
Enter Initial Quorum Login User Credentials
-------------------------------------------------------
Press Ctrl-c to abort.
The initial Quorum Login User is an optional user that will allow the restore
operation to be pended until quorum members can connect to the KMA via the
Oracle Key Manager GUI and enter their credentials.  If this user is not
created here, then a quorum of credentials must be entered at the time the
restore operation is requested.
Please enter a Quorum Login User ID (optional): Q 
Passphrases must be at least 8 characters and at most 64 characters in length.
Passphrases must not contain the User's User ID.
Passphrases must contain characters from 3 of 4 character classes (uppercase, lowercase, numeric, other).
Please enter the Quorum Login Passphrase:
Please re-enter the Quorum Login Passphrase:
```
プロンプトで Enter キーを押すか、または定足数ログインのユーザー ID を入力し、Enter キーを押します。
プロンプトで Enter キーを押すか、または定足数ログインのパスフレーズを入力し、Enter キーを押します。
「Please re-enter the Quorum Login Passphrase:」プロンプトで Enter キーを押すか、または同じパスフレーズを再入力して Enter キーを押します。

「Please re-enter the Security Officer’s Passphrase:」プロンプトで、手順 4 で入力したパスフレーズを再入力して Enter キーを押します。

Set Time Information
-------------------------------------------------------
Press Ctrl-c to abort.
KMAs in a Cluster must keep their clocks synchronized. Specify an NTP server if
one is available in your network. Otherwise, specify the date and time to which
the local clock should be set.
Please enter the NTP Server Hostname or IP Address (optional): 
The date and time for this KMA must be specified in ISO 8601 format including a
time zone.  Here are some valid ISO 8601 format patterns:
    YYYY-MM-DDThh:mm:ssZ
    YYYY-MM-DD hh:mm:ssZ
    YYYY-MM-DDThh:mm:ss-0600
    YYYY-MM-DD hh:mm:ss-0600
    YYYY-MM-DDThh:mm:ss+02:00
    YYYY-MM-DD hh:mm:ss+02:00
Please enter the date and time for this KMA [2007-09-17 22:32:53.698Z]: 2007-09-17 22:33:00-0600
Press Enter to continue:
The KMA is now ready to be restored.
Press Enter to continue:

ネットワーク環境内で NTP サーバーが使用可能な場合は、「Please enter the NTP Server Hostname or IP Address (optional):」プロンプトで、NTP サーバーのホスト名または IP アドレスを入力します。
NTP サーバーが使用可能でない場合は、Enter キーを押します。次に、「Please enter the date and time for this KMA」プロンプトで、指定されたいずれかの形式で日付と時間を入力するか、または Enter キーを押して表示されている日付と時間を使用します。

日時が正確であることを確認します。鍵のライフサイクルは時間間隔に基づいており、鍵の元の作成時間はバックアップに格納されます。交換用の KMA で時間が正確に設定されていることは、意図したとおりの鍵ライフサイクルを保持するために必要不可欠です。

プロンプトで、Enter キーを押します。次の情報が表示され、初期化が完了したことが示されます。

Oracle Key Manager Version 3.0.0 (build2020) -- SO on Strathclyde
Serial Number 1251BD0E48   

OpenBoot PROM Version OBP 4.34.3 2013/02/06 11:46
-------------------------------------------------------
KMA initialization complete!
You may now connect to the KMA via the Oracle Key Manager GUI in order to continue with Cluster configuration.
Press Enter to exit:

Enter キーを押して終了します。QuickStart プログラムが終了し、ログインプロンプトが表示されます。

ベストプラクティス: 手順 3 で確立した一時的な復元セキュリティー責任者ユーザー ID として OKM Manager GUI にログインします。
OKM Manager でセキュリティー責任者としてログインし、「Backup List」を選択します。「Backup List」画面から、「Restore」ボタンをクリックして、バックアップのアップロードと KMA への復元を行います。
復元操作を完了するために、OKM Manager から、バックアップ鍵ファイルに対応するバックアップファイル、バックアップ鍵ファイル、およびコアセキュリティーバックアップファイルの入力が求められます。

バックアップ鍵ファイルとバックアップファイルは一致している必要がありますが、コアセキュリティーバックアップファイルは任意のものを使用できます。
次に、OKM Manager から定足数の鍵分割ユーザーの入力が求められます。このユーザーは、コアセキュリティーバックアップが実行されたときに有効だった鍵分割資格ユーザーである必要があります。

復元が完了すると、バックアップ (コアセキュリティーバックアップではない) の完了時に有効だった鍵分割資格が復元されます。

重要 – 鍵分割ユーザーの名前とパスフレーズは慎重に入力してください。入力ミスがあると、この処理は失敗し、具体的な内容が示されないエラーメッセージが表示されます。攻撃者に対して公開される情報を制限するために、どの鍵分割ユーザー名またはパスフレーズが間違っているかについてのフィードバックは提供されません。
復元処理が完了すると、新しいクラスタが作成されます。

ベストプラクティス: クリーンアップの手順として、元の (復元の前に存在していた) セキュリティー責任者ユーザー ID を使用して OKM Manager GUI にログインし、一時的な復元セキュリティー責任者ユーザー ID を削除します。"ユーザーの削除"を参照してください。

エージェントの追加 およびテープドライブの登録

KMA を設定したあと、エージェントを追加したり、その KMA を使用するテープドライブを登録したりすることができます。

オペレータとして OKM Manager GUI にログインし、エージェントを作成します ("エージェントの作成"を参照)。
VOP (Virtual Operator Panel) を使用して、次の操作を実行します。VOP への接続方法やその使用方法がわからない場合は、VOP のドキュメントを参照してください。
1. サービス担当者にテープドライブのライセンスの取得を依頼します (『OKM Installation and Service Manual』の第 3 章にある「License the Tape Drives」を参照)。この機能を実行するには、VOP (Virtual Operator Panel) を使用します。
2. サービス担当者からのガイダンスを使用して、テープドライブを登録します (『OKM Installation and Service Manual』の第 3 章にある「Enroll the Tape Drives」を参照)。
  
  この情報を指定する必要があります。
- このドライブで永続的暗号化テープドライブを使用するかどうか。
- この機器のエージェント ID、パスフレーズ、および OKM IP アドレス。
コンプライアンス責任者として OKM Manager GUI にログインし、少なくとも 1 つの鍵グループを作成して ("鍵グループの作成"を参照)、この鍵グループにテープドライブ (エージェント) を割り当てます ("エージェントへの鍵グループの割り当て"および『OKM Installation and Service Manual』にある「Enroll the Tape Drives」を参照)。

この鍵グループをデフォルトとして割り当てる必要があります。そうしないと、このドライブでの書き込みができません。デフォルトを指定しない場合、このドライブは、割り当てられたグループに対して読み取り専用になります。