この章では、Oracle Privileged Account Managerに関連する問題について説明します。
次の項目で構成されています。
Oracle Privileged Account Manager 11gリリース2 (11.1.2.3.0)の重要な新機能は次のとおりです。
コネクタ・サーバーを使用するためのサポートが追加されています。ユーザーが、Oracle Privileged Account Managerでコネクタ・サーバーを構成および管理し、様々なコネクタとそれらに関連付けられたターゲットを操作することができます。
追加のターゲットを使用するためのサポートが追加されています。ユーザーが、Windows、SSH、SAP UMおよびSAP UMEターゲットを使用して操作するためにOracle Privileged Account Managerを構成できます。
Oracle Privileged Account Managerでは、Windowsターゲットに対してセッション記録の再生が提供されます。この機能は、Oracle Privileged Account Managerサーバーのセッション・データを読み込んでビデオとして再生することができます。この拡張セッション記録機能を使用すると、関心がある特定のイベントの実行についてセッションを再生することもできます。すべてのイベントについて、クリック可能なリンクが表示され、ユーザーがその場所でセッションのビデオを再生できます。この機能は、Windowsターゲットに構成されたエージェントの使用に対応しています。WindowsターゲットのこのようなエージェントすなわちWindowsエージェントは、Oracle Privileged Account Managerがやりとりするターゲットに直接デプロイされます。エージェントによってイベントの記録と再生が有効化されます。
Oracle Privileged Account ManagerによってSSHセッションのセッション・トランスクリプトが提供されます。トランスクリプトには、トランスクリプト・テキストがロードされるリージョンと、ターゲット・システムに発行されたすべてのコマンドのアウトラインとタイムスタンプを含むもう1つのリージョンがあります。アウトラインの各コマンドはクリック可能なリンクです。クリックすると、トランスクリプト内の関連するリージョン(コマンドが使用または実行された箇所)が示されます。
Oracle Privileged Account Managerでは、アカウントのチェックアウト時にパスワードがクリップボードに直接コピーされる機能が提供されます。これによって、パスワードをプレーン・テキストで画面に表示するニーズが減少します。ユーザーはUIのボタンをクリックして、パスワードをクリップボードにコピーできます。また、ユーザーは、パスワードが使用された後でクリップボード・クリア機能を使用すると、クリップボードにコピーされたパスワードをクリアすることもできます。
Oracle Privileged Account Managerでは、リソース・グループ(リソースのグループが含まれる)の管理者による作成、変更および削除のサポートが提供されます。これによって、管理者はリソース・グループに対する管理権限を他のユーザーやロールに委任することができます。また、Oracle Privileged Account ManagerではOracle Privileged Account Managerインタフェース(REST API、Oracle Privileged Account ManagerコンソールおよびOracle Privileged Account Managerコマンドライン・ツールなど)で委任管理の管理もサポートされます。
Oracle Privileged Account Managerでは、拡張レポート機能が提供されます。これには、棒グラフや円グラフなどデータの視覚化と、アカウント名、ターゲット名、ターゲット・タイプ、ユーザー、チェックアウト・タイプ、チェックアウト日付、記録、およびOracle Privileged Account Managerで実行されたアクションに関する他の重要なデータに関する包括的なレポートが含まれます。
Oracle Privileged Account Managerでは、追加のフィルタリング・ルールが提供されます。これによって、プラグインの管理が容易になり、プラグインの実装で必要なロジックが低減されます。再試行操作のサポートにより、ネットワークが使用できないときやホストが停止している場合などのフォルト・トレランスも提供されます。プラグインを構成するとき、類似作成機能を使用すると、必須のカスタム属性とデフォルトが表示され、類似したプラグインの作成や新しいプラグインの構成をユーザーが簡単に行うことができます。
Oracle Privileged Account Managerでは、セッションのアクセス権を持つユーザーが実行可能なアクションを制限できるように管理者がサポートされます。このような制限または制約は様々なレベルで適用できます。この制約によって制御されるのは、SSHまたはSCPセッション、SSHセッションの場合は対話型または非対話型モード、およびコマンドレベルのアクションです。管理者はコマンドの置換を指定できます。また、使用ポリシーを構成または拡張することでこれらの制約を有効化できます。
Oracle Privileged Account Managerコンソールのユーザー・インタフェース(UI)が改善され、最小限の要素のシンプルなデザインになっています。新しいUIは容易にアクセスすることができ、データがわかりやすく表示されます。また、このUIではコンソールも変更され、このリリースのOracle Privileged Account Managerの新機能が追加されています。
この項では、一般的な問題および回避策について説明します。次のトピックが含まれます:
第9.2.2項「Oracle Privileged Account ManagerのRestful APIで非推奨になった機能」
第9.2.3項「Oracle Privileged Session Managerセッションのチェックアウト中にスレッド数が増え続ける」
第9.2.4項「Oracle Database 12.1の使用時にUnlimited Tablespace権限が存在しない」
Oracle Privileged Account Managerコマンド行ツール・メッセージおよびヘルプは、Oracle Privileged Account Manager 11.1.2.0.0リリースでは翻訳されていませんでした。
Oracle Privileged Account Managerコマンド行ツールのメッセージおよびヘルプの翻訳サポートは、11.1.2.0.0リリースの後に提供されます。
次の表に、Oracle Fusion Middleware 11gリリース2 (11.1.2.1.0)では利用可能で、11gリリース2 (11.1.2.2.0)では非推奨になったOracle Privileged Account Manager RESTful APIを示します。また、この表には同等の新規APIと、それらの新規APIの使用方法が記載されたOracle Fusion Middleware Oracle Privileged Account Manager管理者ガイドのトピックへのリンクも示します。
非推奨になったAPI (11gr2 11.1.2.1.0) | 新規API (11gr2 11.1.2.2.0) | 参照先トピック |
---|---|---|
ターゲット・リソースのサービス・アカウント・パスワードの表示 |
ターゲット・リソースのサービス・アカウント・パスワードの表示 |
ターゲット・リソースのサービス・アカウント・パスワードの表示に関する項 |
アカウント・リソースのパスワードの表示 |
アカウント・リソースのパスワードの表示 |
アカウント・リソースのパスワードの表示に関する項 |
アカウント・リソースのパスワード履歴の表示 |
アカウント・リソースのパスワード履歴の表示 |
アカウント・リソースのパスワード履歴の表示に関する項 |
UIリソースのアカウントの検索 |
アカウント・リソースのアカウントの検索 |
アカウント・リソースのアカウントの検索に関する項 |
UIリソースの割当て済アカウントの検索 |
アカウント・リソースの割当て済アカウントの検索 |
アカウント・リソースの割当て済アカウントの検索に関する項 |
UIリソースのすべてのチェックアウト済アカウントの取得 |
アカウント・リソースのすべてのチェックアウト済アカウントの取得 |
アカウント・リソースのすべてのチェックアウト済アカウントの取得に関する項 |
Oracle Privileged Session Managerセッションのチェックアウト中にスレッド数が増え続けないようにするには、各UNIXターゲット・ノードに次のアイドル接続タイムアウトを実装し、接続が20分間アイドル状態になったときに、その接続をクローズする必要があります。
ClientAliveInterval 600 ClientAliveCountMax 2
ClientAliveInterval
の値は秒単位です。
たとえば、Linuxでは/etc/ssh/sshd_config
ファイルを編集して、これらのパラメータを追加する必要があります。
注意: ClientAliveInterval およびClientAliveCountMax キーワードの詳細は、sshd_config のUNIXマニュアル・ページを参照してください。 |
Oracle Database 12.1.0.1以降の使用時、Oracle Privileged Account Managerの操作はデータベース・エラーで失敗します。このエラーはOracle Privileged Account Managerのサーバー・ログに、次のように表示されます。
<Error> <oracle.idm.opam> <BEA-000000> <OPAMSQLManager.executeUpdateStatementSQLException occurred SQLErrorCode=1950 SQLErrorMesg=ORA-01950: no privileges on tablespace 'DEV_OPAM_BINSTORE'>
12.1リリースから、Oracle DatabaseはResource
DBロールに割り当てられたUnlimited Tablespace
権限を削除します。この権限の削除によって、Oracle Privileged Account Managerの操作に関する問題が発生します。Oracle Database 12.1リリースでの変更点については、次を参照してください。
http://docs.oracle.com/cd/E16655_01/network.121/e17607/release_changes.htm#DBSEG941
回避策: SQLPLUSを使用し、SYS
ユーザーとしてOracle Databaseにログインします。無制限の表領域をOracle Privileged Account Managerスキーマ・ユーザーに付与するには、次のSQLコマンドを実行します。
grant unlimited tablespace to <opam_schema>;
たとえば、Oracle Privileged Account Managerスキーマ名がdev_opamである場合、次のコマンドを実行します。
grant unlimited tablespace to dev_opam;
Oracle Privileged Account ManagerのGUIコンソールへのログインに、セッションの開始に使用したものと同じ(大/小文字の区別を含む)ユーザー名を使用しないかぎり、セッション・チェックアウトは「チェックアウト」に表示されません。
ユーザーがapp_configロールを使用してログインし、既存のアクティブ・プラグインを複製すると、新しいプラグインを保存できません。これは、ステータスactive
が引き継がれ、変更できるオプションではないためです。app_configロールを使用してログインするユーザーには、ステータスを変更する権限はありません。
回避策: 「アプリケーション構成者」ロールを持つユーザーとして複製するには、新しいプラグインを手動で作成して、必要な値をコピーまたは入力する必要があります。
Oracle Privileged Session Managerをリリース2パッチセット1 (R2PS1)からリリース2パッチセット3 (R2PS3)にアップグレードした後で、OPAMセッション・マネージャを構成し、OPAMコンソール・アプリケーションを構成しているときに、Oracle Privileged Account Manager (OPAM管理対象サーバー)によって管理されるサーバーに対してopam_server1以外の名前を使用すると問題が発生します。
Oracle Privileged Account Manager GUIコンソールおよびOracle Privileged Account Managerセッション・マネージャは、OPAM管理対象サーバーにデプロイされません。アップグレード前の状態からの機能の損失はありません。ただし、新しいセッション・マネージャ機能は使用できなくなり、Oracle Privileged Account Managerコンソール・アプリケーションは管理サーバーでしか使用できなくなります。
回避策: この問題を回避するには次の手順を実行します。
セッション・マネージャ・アプリケーションをOracle Privileged Account Manager GUIコンソールからデプロイするには、次の手順を実行します。
Weblogicコンソールにログインします。
「デプロイメント」をクリックしてから「インストール」をクリックします。
次を追加します。
$ORACLE_HOME/opam/modules/opamsessionmgr.ear_11.1.2/
opamsessionmgr.earを選択します。
デプロイメント・ターゲットとしてOPAM管理対象サーバーを選択します。
「終了」をクリックします。
oinavアプリケーションのターゲットとしてOPAM管理対象サーバーを指定するには、次の手順を実行します。
Weblogicコンソールにログインします。
「デプロイメント」をクリックしてからOINAV(11.1.1.3.0)を展開します。
「ターゲット」タブをクリックし、OINAV(11.1.1.3.0)エンタープライズ・アプリケーションを選択して「ターゲットの変更」をクリックします。
OPAM管理対象サーバーを選択して、「はい」をクリックします。
この項では、構成に関する問題およびその回避策について説明します。次のトピックが含まれます:
第9.3.1項「-m Joinを指定してconfigureSecurityStore.pyを実行するときは絶対パスを使用する」
第9.3.2項「configureSecurityStore.pyスクリプトがWindows 8.1 64ビット版で失敗する」
-m join
でconfigureSecurityStore.py
を使用してwlst.sh
を実行中に、ORACLE_HOME
やMW_HOME
などの変数を使用すると、セキュリティ・ストアの構成では、ポリシー・ストア・オブジェクトの作成に失敗します。
-m join
に対してコマンドを実行するときは、常にORACLE_HOME
およびMW_HOME
の絶対パスを使用してください。
Oracle Privileged Account Managerのインストール時に、configureSecurityStore.pyスクリプトがWindows 8.1 Enterprise 64ビット版で失敗します。
この問題の回避策は、config.batバッチ・ファイルを使用してOracle Privileged Account Managerドメインを構成した後で、パッチ17342539を適用することです。このパッチを入手するには、次のURLに移動し、「パッチと更新版」をクリックしてパッチ番号を検索してください。
パッチ内のコンテンツをダウンロードして抽出し、README.txtファイルに示されている手順を実行する必要があります。手順の実行後、configureSecurityStore.pyスクリプト・ファイルを再実行します。
『Oracle Fusion Middleware Oracle Privileged Account Manager管理者ガイド』 11gリリース2 (11.1.2.3.0) (原本部品番号E61951-01)について、ドキュメントの訂正箇所はありません。