Oracle® Fusion Middleware Oracle Privileged Account Managerの管理 11gリリース2 (11.1.2.3) E61951-02 |
|
前 |
次 |
この章では、特権アカウントに関する背景情報と、Oracle Privileged Account Managerコンソールを使用してそれらのアカウントを操作する方法について説明します。
この章では、次の項目について説明します。
注意: Oracle Privileged Account Managerのアカウントは、コマンド行またはOracle Privileged Account ManagerのRESTfulインタフェースを使用して管理することもできます。
|
ターゲット上のアカウントは、そのアカウントがデプロイメント内で次の特徴を持つ場合に特権アカウントであるとみなされます。
昇格された権限に関連付けられている
複数のエンド・ユーザーによってタスク別に使用される
その使用を制御および監査する必要がある
アカウントは、Oracle Privileged Account Managerを使用して環境に作成することや、環境から削除することはできません。Oracle Privileged Account Managerは、他のメカニズムを使用してプロビジョニングされた既存のアカウントの管理のみを行います。
Oracle Privileged Account Managerでアカウントを追加すると、そのアカウントに対する参照が作成されます。実際には、アカウントを登録してOracle Privileged Account Managerにその管理を依頼することになります。Oracle Privileged Account Managerからアカウントを削除すると、単にそのアカウントに対する参照が削除されます。
注意: 管理者は、特定のデプロイメント内でどのアカウントに特権を付与するかを決定し、それらのアカウントを管理するようにOracle Privileged Account Managerを構成する必要があります。アカウントを追加および管理するには、セキュリティ管理者管理ロールを持つOracle Privileged Account Manager管理者である必要があります。 |
Oracle Privileged Account Managerによって、システムとアプリケーション・アカウントの両方を管理できます。
この項には次のトピックが含まれます:
Oracle Privileged Account Managerの主な目的は、サポートされるターゲット・システム上の特権システム・アカウントを管理することです。Oracle Privileged Account Managerでは、特権システム・アカウントの構成要素の要件はなく、ターゲット・システム上の任意のアカウントを管理できます。管理者は、特権アカウントの識別を担当します。特権アカウントは、通常、ユーザーが管理タスクを実行できるシステム・アカウントです。
特権アカウントは、組織内の複数の個人ユーザーによって使用および共有され、管理者がそれらのアカウントの使用を追跡する必要がある場合、Oracle Privileged Account Managerによる管理に適しています。
管理者は、次の手順を実行して、アカウントをOracle Privileged Account Managerの管理対象となる特権アカウントとして登録します。
Oracle Privileged Account Managerにターゲットを追加します(まだ実行していない場合)。手順については、第6.2項「Oracle Privileged Account Managerでのターゲットの追加および構成」を参照してください。
識別した特権アカウントをターゲットに追加し、パスワード・ポリシーを割り当てます。詳細は、第9.2項「Oracle Privileged Account Managerへの特権アカウントの追加」および第10.2.5項「パスワード・ポリシーの割当て」を参照してください。
アクセス権を直接エンド・ユーザーに付与するか、LDAPロールまたはグループを使用して付与し、使用ポリシーを割り当てます。手順については、第11.2項「ユーザーへのアカウントの付与」および第10.2.5項「パスワード・ポリシーの割当て」を参照してください。
アプリケーションは、実行時にアプリケーション・アカウントを使用してターゲット・システムに接続します。従来、これらのアカウントは、管理者によってインストール時に一度設定され、その後は忘れられていました。結果として、アプリケーション・アカウントは、デプロイメントにおいて隠れた脆弱性となる可能性があります。たとえば、期限切れのポリシーを使用して作成されたために時間の経過とともにパスワードの安全性が低下したり、一般的に使用されるデプロイメント・パスワードが危殆化することがあります。
Oracle Privileged Account Managerによって、アプリケーション・アカウントの管理性を向上できます。特に、資格証明ストアにアプリケーション・アカウントを格納するアプリケーションに向いています。これらのアプリケーションでは、資格証明ストア・フレームワークを通じて資格証明ストアから実行時にアカウント資格証明を取得します。
たとえば、アプリケーション・アカウントは、本質的にシステム・アカウントの特別なバージョンであるため、第9.1.1項「システム・アカウントの管理」の説明に従ってOracle Privileged Account Managerに登録できます。次に、そのアカウントに依存するすべてのアプリケーションに対して対応するCSFマッピングを追加できます(これによって、CSFはCSF内に格納されている資格証明を一意に識別し、アプリケーションはCSFでその資格証明を検出します)。CSFマッピングの詳細は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のマップ名のガイドラインに関する項を参照してください。
アカウントのCSFマッピングをOracle Privileged Account Managerに登録すると、アカウントのパスワードが変更されるたびに、Oracle Privileged Account Managerによって新しいパスワードを反映するように登録済のマッピングに対応するCSFエントリが更新され、アプリケーションはサービスを中断することなく動作し続けます。
注意: Oracle Privileged Account ManagerがCSFを更新(同期化)するのは、パスワードの変更が発生した場合のみです。Oracle Privileged Account ManagerとCSFとの統合の詳細は、第19.3項「資格証明ストア・フレームワークとの統合」を参照してください。プラグイン・フレームワークを使用して、非CSFアプリケーション・ウォレットにパスワードを同期することもできます。 |
また、アカウント・パスワードを定期的に反復するこれらのアプリケーションにパスワード・ポリシーを適用できます。パスワードを反復すると、アプリケーション・アカウントが常に最新の企業ポリシーに準拠し、安全であることが保証されます。Oracle Privileged Account Managerは、サービスを中断することなくこのタスクを実行します。
最後に、Oracle Privileged Account Managerでは、システム・アカウント(複数のエンド・ユーザーによって共有および使用される)とアプリケーション・アカウント(実行時にアプリケーションによってのみ使用される)の両方のアカウントが同時にサポートされることを意識しておくと役立ちます。この構成では、アクセス権を付与されている人間のエンド・ユーザーがアプリケーション・アカウントをチェックアウトし、アプリケーション機能を損なうことなくそのアプリケーションとして手動の管理操作を実行できます。
Oracle Privileged Account Managerでは、アカウントを共有するか共有しないかを指定できます。
非共有アカウントの方が安全性が高いため、業務上やむを得ない理由がある場合にのみ、アカウントを共有として指定することをお薦めします。共有が必要な場合、必ず第2.4.2項「共有アカウントの保護」を参照してください。
注意: アカウントは常にターゲットに追加するため、アカウントを追加する前にターゲット・オブジェクトを追加する必要があります。詳細は、第6.2項「Oracle Privileged Account Managerでのターゲットの追加および構成」を参照してください。Oracle Privileged Account Managerの管理対象として、サービス・アカウントおよび特権アカウントと同じアカウントを使用しないでください。サービス・アカウントの詳細は、第7章「サービス・アカウントの使用」を参照してください。 |
新しい特権アカウントを、次のページのいずれかから追加できます。
「アカウント」ページでは次の操作を実行します。
「アカウント」ページを使用してアカウントを追加する手順は、次のとおりです。
「管理」アコーディオンから、「アカウント」を選択します。
「検索結果」表の上にある「追加」アイコンをクリックします。
「ターゲット」ページでは次の操作を実行します。
「ターゲット」ページを使用してアカウントを追加する手順は、次のとおりです。
「管理」アコーディオンで、「ターゲット」を選択します。
「ターゲットの検索」ポートレットの「検索」をクリックして、検索結果表にすべての使用可能なターゲットのリストを移入します。
アカウントを追加するターゲットを見つけ、そのターゲットの名前をクリックして開きます。ターゲットが新しいタブで開きます。
「特権アカウント」タブを選択します。
表のツールバーにある「追加」をクリックします。
「アカウント」および「ターゲット」の両方のページから、「追加」をクリックすると、次のサブタブがある「アカウント: 無題」ページが表示されます。
注意: この時点では、「一般」タブのみがアクティブです。 |
一般: アカウントを追加するために必要な情報の指定に使用します。
権限付与: ユーザーおよびグループ(権限受領者)をアカウントに関連付けるために使用します。
資格証明ストア・フレームワーク: アカウントの資格証明ストア・フレームワーク(CSF)のマッピングを追加または削除するために使用します。
チェックアウト履歴: このアカウントをチェックアウトするユーザーを検索したり、それに関する情報を表示したりするために使用します。詳細は、「「チェックアウト履歴」タブから」を参照してください。
メンバー所属: このタブには、特権アカウントがメンバーとなっている各種リソース・グループの一覧表が含まれています。
これらのサブタブと次の項にある手順を使用して、アカウントの追加を終了します。
アカウントを追加するには、次のように「一般」タブの「ステップ1: ターゲットの設定」および「ステップ2: アカウントの追加」セクションを完了する必要があります。
ターゲットの設定
「ターゲット名」および「ターゲット・タイプ」を指定します。
ターゲット名およびターゲット・タイプがすでに表示されている場合、「アカウントの設定」の項の手順1に進みます。
いずれかのパラメータが<undefined>である場合は、検索アイコンをクリックします。
「ターゲットの設定」ダイアログ・ボックスが表示されたら、「ターゲット名」フィールドに値を入力し、「検索」ボタンをクリックしてアカウントを追加するターゲットを特定します。
たとえば、ターゲット名が「r」で始まることがわかっている場合、「ターゲット名」フィールドに
rを入力して「検索」ボタンをクリックします。
検索結果が検索結果表に表示されたら、ターゲット名の横にある「行」ボックスを選択して「設定」をクリックします。
選択したターゲット名とそのターゲット・タイプが「一般」タブに表示されます。
アカウントの設定
「アカウント名」フィールドが空白である場合、検索アイコンをクリックします。
「アカウントの設定」ダイアログ・ボックスが表示されたら、「アカウント名」フィールドに1つ以上の文字を入力し、「検索」ボタンをクリックして追加するアカウントを特定します。
注意: ワイルドカード検索(たとえば、パーセント(% )やアンダースコア(_ )記号の使用)は「アカウントの設定」ダイアログ・ボックスではサポートされていません。これは、アカウントの検索操作は実際のターゲットに対して実行するためです。 |
たとえば、アカウント名が「s」で始まることがわかっている場合、「アカウント名」フィールドに
sを入力して「検索」ボタンをクリックします。
注意: 特権アカウントをlockboxターゲットに追加すると、「パスワード」フィールドもコンソールに表示されます。Oracle Privileged Account Managerはlockboxターゲット上のアカウントを管理しないため、それらのアカウントのパスワードをリセットできません。ユーザーがそれらの特権アカウントをチェックアウトするときに使用するパスワードを提供する必要があります。 lockboxターゲットの詳細は、第6.1項「ターゲットとは」を参照してください。 |
検索結果が検索結果表に表示されたら、アカウント名の横にある「行」ボックスを選択して「設定」をクリックします。
注意: Oracle Privileged Account Managerの管理対象となる特権アカウントとして、ターゲットのサービス・アカウントを追加しないようにする必要があります。 |
選択したアカウントが「一般」タブに「アカウント名」として表示されます。
「共有アカウント」ボックスを選択すると、複数のユーザーでこのアカウントを同時にチェックアウトできます。
パスワード・ポリシーを指定します。
注意: Oracle Privileged Account Managerでは、新規アカウントにデフォルト・パスワード・ポリシーが自動的に割り当てられます。ただし、新しいポリシーを作成できるのは、セキュリティ管理者または「ユーザー・マネージャ」管理ロールを持つOracle Privileged Account Manager管理者です。デフォルトのポリシー・セットのままにするか、「パスワード・ポリシー」ドロップダウン・メニューから別のポリシーを選択できます。 ポリシーの詳細は、第10章「ポリシーの使用」を参照してください。 |
「テスト」をクリックし、これらの設定を使用してOracle Privileged Account Managerでアカウントを管理できることを確認します。
アカウントの構成設定が有効な場合、「Test Succeeded
」というメッセージが表示されます。
「保存」をクリックします。
注意: 「権限付与」、「資格証明ストア・フレームワーク」および「チェックアウト履歴」タブは、新しいアカウント情報を保存するまではアクティブになりません。 |
「一般」タブ・ページの下部に、新しい「現在のチェックアウト」セクションが表示されます。このセクションの表で、次のものを表示できます。
どのユーザーが現在アカウントをチェックアウトしているか
チェックアウトのタイプ(パスワードかセッションか)
チェックアウトの有効期限日
アカウント・チェックアウトに関連する記録(またはトランスクリプト)
さらに、「ユーザー・マネージャ」管理ロールを持つ管理者であれば、「強制的チェックイン」オプションを使用してアカウントをチェックインできます。「強制的なチェックイン」を参照してください。
これで、アカウントに権限受領者とCSFマッピングを追加できます。詳細は、第9.2.2項「権限受領者の追加」および第9.2.3項「CSFマッピングの追加」に続きます。
この項では、特権アカウントに権限受領者を追加するための手順について説明します。
注意:
|
ユーザーおよびグループを新しいアカウントに関連付けるには、「権限付与」タブを選択して次の手順を実行します。
ユーザーを関連付けるには、「ユーザー」表のツールバーにある「追加」をクリックします。
「ユーザーの追加」ダイアログで、「ユーザー名」フィールドに名前を1文字以上入力し、矢印アイコンをクリックして、そのユーザーを検索します。
検索結果が表示されたら、このアカウントに関連付ける各ユーザーを選択します。
ユーザーの追加が完了したら、「追加」をクリックして「閉じる」をクリックします。
Oracle Privileged Account Managerはそれらのユーザー名を「権限付与」タブの「ユーザー」表に追加し、自動的にデフォルト使用ポリシーを割り当てます。
異なるポリシーを割り当てるには、「使用ポリシー」メニューからそれを選択します。
グループを関連付けるには、「グループ」表のツールバーにある「追加」をクリックします。
「グループの追加」ダイアログで、「グループ名」フィールドに名前を入力し、矢印アイコンをクリックしてそのグループを検索します。
検索結果が表示されたら、このアカウントに関連付ける各グループを選択します。
グループの追加が完了したら、「追加」をクリックして「閉じる」をクリックします。
Oracle Privileged Account Managerはそれらのグループ名を「権限付与」タブの「グループ」表に追加し、自動的にデフォルト使用ポリシーを割り当てます。
異なるポリシーを割り当てるには、「使用ポリシー」メニューからそれを選択します。
注意: 特権アカウントに権限受領者を追加した後、第11章「権限受領者の使用」を参照し、アカウントに権限を付与する方法、権限受領者を検索して開く方法、およびアカウントから権限受領者を削除する方法について確認してください。 |
Oracle Privileged Account Managerでは、Oracle資格証明ストア・フレームワーク(CSF)を使用してアカウント資格証明を安全に格納および同期化できます。この機能は、CSFに格納されたアプリケーション・パスワードのライフサイクルを管理するために便利です。
アカウントのCSF同期化を構成すると、Oracle Privileged Account Managerによって、割り当てられた使用ポリシーに基づいてアカウント・パスワードが変更されます。
注意: Oracle Privileged Account ManagerがCSFを更新(同期化)するのは、パスワードの変更が発生した場合のみです。CSFの詳細と、Oracle Privileged Account ManagerがCSF資格証明を管理する方法の詳細は、第19.3項「資格証明ストア・フレームワークとの統合」を参照してください。 |
アカウントにCSFマッピングを追加するには、次の手順を実行します。
検索結果表の「アカウント名」のリンクを選択します。
「アカウント: AccountName」ページが表示されたら、「資格証明ストア・フレームワーク」タブを選択します。
「追加」をクリックします。
各列に空のフィールドを含む新しい行が、表に表示されます。
空のフィールドに次の情報を入力します。
管理サーバーURL: protocol://listen-address:listen-portという書式でサーバーURLを入力します。
たとえば、httpsプロトコルを使用しており、SSLポートが7002である場合、次のように入力します。
https://
localhost:7002
「ユーザー名」および「パスワード」: Oracle WebLogic Server管理者のログイン資格証明を入力します。
マッピング: CSFで作成したマップ名を入力します。
キー: CSFで作成した一意キーを入力します。
「追加」を再度クリックして別のマッピングを作成します。必要な数だけCSFマッピングを作成できます。
情報の追加が完了したら、「テスト」をクリックしてマッピングを検証します。
ダイアログ・ボックスに成功メッセージまたはエラー・メッセージが表示されます。
次の1つ以上のパラメータを使用してアカウントを検索できます。
アカウント名
ターゲット・タイプ(All、ldap、lockbox、database、sapum、sapume、ssh、unix、またはwindows)
ターゲット名
権限(All、security_admin、user_managerなど)
各アカウントに関連付けられている権限に基づいて、アカウントを検索できます。
ドメイン
説明
パスワード期間
パスワード期間は、パスワードが前回変更されてから経過した日数として定義されます。測定単位は日です
アカウントを検索する手順は次のとおりです。
「管理」アコーディオンで、「アカウント」を選択します。
「アカウント」タブが表示されたら、検索ポートレットのパラメータを使用して、検索を構成します。
たとえば、特定のターゲットにおけるすべてのアカウントのリストを検索するには、ターゲット名を1文字以上「ターゲット名」フィールドに入力します。
使用可能なすべてのアカウントを検索する場合は、検索パラメータを指定しません。
「検索」をクリックします。
検索結果表で検索結果を確認します。
別の検索を実行するには、「リセット」をクリックします。
アカウントを開くと、そのアカウントの構成パラメータを表示または編集できます。
特権アカウントは、「アカウント名」リンクが含まれている「検索結果」表から開くことができます。次に例を示します。
「管理」アコーディオンで、「アカウント」を選択し、「検索」をクリックします。
「検索結果」表に結果が表示されたら、開くアカウントを見つけ、次のアクションの1つを実行します。
検索結果表のアカウント名(アクティブ・リンク)をクリックします。
アカウント行を選択して「開く」をクリックします。
「アカウント: AccountName」ページが開きます。このページから、管理ロールに応じて、関連するターゲット、権限付与、資格証明ストア・フレームワークおよびチェックアウトに関連するアカウント設定を表示および構成できます。
Oracle Privileged Account Managerでは、権限受領者は次の2つの方法でアカウントをチェックアウトできます。
パスワード・チェックアウト: 権限受領者は、暗号化されたパスワードを使用することで、権限を付与されたアカウントにアクセスし、チェックアウトできます。
セッション・チェックアウト (UNIXシステムのみ): 権限受領者は、実際のアカウント資格証明を把握していなくても権限を付与されたアカウントにアクセスしチェックアウトできます。
注意: Oracle Privileged Account Managerコマンド行ツールまたはRESTfulインタフェースを使用してアカウントをチェックアウトすることもできます。
|
この節では、以下のトピックについて説明します。
管理者またはエンド・ユーザーは、特権アカウント・パスワードをチェックアウトできます(そのアカウントへのアクセス権を付与されている場合)。詳細は、第11章「権限受領者の使用」を参照してください。
注意: アカウントを変更または削除するには、セキュリティ管理者管理ロールを持つ管理者である必要があります。 |
特権アカウントは、デフォルトでは共有されず、1人のユーザーがアカウントをチェックアウトすると、他のユーザーはそれを使用できなくなり、競合する操作が回避されます。ただし、管理者は、共有アカウントを構成することで、複数のユーザーが同時にそのアカウントをチェックアウトできるように設定できます。詳細は、第9.1.3項「アカウントの共有の理解」を参照してください。
次の手順を実行して、パスワードをチェックアウトします。
「ホーム」アコーディオンで、「マイ・アカウント」を選択します
「マイ・アカウント」ページの「検索結果」表でチェックアウトするアカウントを見つけ、該当する行を選択します(次を参照)。
「パスワードのチェックアウト」をクリックします。
「アカウントのチェックアウト」ダイアログ・ボックスに、アカウント名、ターゲット名、および理由を入力するためのフィールドが表示されます。このフィールドに必要に応じてコメントを入力し、「チェックアウト」をクリックします。
チェックアウトに成功すると、「アカウントのチェックアウト - 成功」ダイアログ・ボックスが表示されます。
構成済ユーザーのパスワード取得オプションに応じて、次のいずれかの手順を実行します。
「パスワードのコピーの有効化」オプションでパスワードを取得する手順:
「アカウントのチェックアウト - 成功」ダイアログで、「パスワードのコピー」をクリックします。
パスワードが正常にコピーされると、「パスワードがコピーされる」メッセージが表示されます。パスワードのコピーに失敗すると、「パスワードがコピーされない」メッセージが表示されます。
「パスワードがコピーされない」メッセージの横にある情報アイコン(i)の上にカーソルを移動すると、コピーに失敗した場合の回避策の詳細を確認できます。
「パスワードの表示の有効化」オプションでパスワードを取得する手順:
「アカウントのチェックアウト - 成功」ダイアログで、「パスワードの表示」をクリックします(次を参照)。
これで、「アカウントのチェックアウト - 成功」ダイアログ・ボックスに、パスワードがプレーン・テキストで表示されます(次を参照)。
「パスワードの表示およびパスワードのコピーの有効化」オプションでパスワードを取得する手順:
「アカウントのチェックアウト - 成功」ダイアログに、「パスワードのコピー」ボタンと「パスワードの表示」ボタンが表示されます(次を参照)。
クリップボードにパスワードをコピーする場合は、「パスワードのコピー」をクリックします。パスワードをプレーン・テキストで表示する場合は、「パスワードの表示」をクリックします。
チェックアウトに失敗した場合は、「アカウントのチェックアウト」ダイアログ・ボックスに、アカウントをチェックアウトできないことを示すメッセージが表示されます。それは、他の誰かがそのアカウントをすでにチェックアウトしていることを示している可能性があります。
「閉じる」をクリックしてダイアログ・ボックスを閉じ、検索結果表に戻ります。
アカウントを正常にチェックアウトしたことを確認する手順は、次のとおりです。
「ホーム」アコーディオンから「チェックアウト」を選択します。「チェックアウト」ページが表示されたら、表内でそのアカウント名を見つけます。
セキュリティ管理者管理ロールまたは「ユーザー・マネージャ」管理ロールを持っている場合は、「管理」アコーディオンから「アカウント」を選択し、「検索」をクリックできます。結果が表示されたら、表内のアカウント名を選択して「アカウント: AccountName」ページを開きます。そのアカウントが、「現在のチェックアウト」表にリストされます。
Oracle Privileged Account Managerでは、クリップボードにコピーしたパスワードをクリアできます。
注意: クリップボードのクリア機能を有効化するには、app_configロールの管理者がパスワード取得オプションを「パスワードのコピーの有効化」または「パスワードの表示およびパスワードのコピーの有効化」のいずれかのオプションに設定する必要があります。 |
「チェックアウト」ページから
「チェックアウト」ページから、次のようにして「クリップボードのクリア」オプションにアクセスできます。
「ホーム」アコーディオンの「チェックアウト」を選択して、「チェックアウト」ページを開きます。
「チェックアウト」ページのチェックアウト結果ツールバーで、「クリップボードのクリア」オプションをクリックします。
「クリアの確認」メッセージが画面に表示されたら、「クリア」を選択します。
「マイ・アカウント」ページから
「マイ・アカウント」ページから、次のようにして「クリップボードのクリア」オプションにアクセスできます。
「ホーム」アコーディオンの「マイ・アカウント」を選択して、「マイ・アカウント」ページを開きます。
「マイ・アカウント」ページの「検索結果」ツールバーで、「クリップボードのクリア」オプションをクリックします。
「クリアの確認」メッセージが画面に表示されたら、「クリア」を選択します。
特権セッションは、UNIXターゲット上の特権アカウントに追加のレベルのセキュリティを提供します。特権セッションを介して、権限受領者は、実際のアカウント資格証明を把握していなくても権限を付与されたアカウントにアクセスできます。
注意: セッション・チェックアウトは、他のターゲット・タイプでは使用できません。 |
どの管理者またはエンド・ユーザーでも、アカウントへのアクセス権が付与され、かつアカウントに関連する使用ポリシーでセッション・チェックアウトが許可されている場合は、特権アカウント・セッションをチェックアウトできます。詳細は、第11章「権限受領者の使用」および第10.3.4項「デフォルト使用ポリシーの変更」を参照してください。
セッションをチェックアウトする手順は、次のとおりです。
「ホーム」アコーディオンで、「マイ・アカウント」を選択し、「検索」をクリックします。
「マイ・アカウント」ページがリフレッシュされ、自身のすべてのアカウントが「検索結果」表に表示されます。
注意: SSH クライアントを使用してセッションの確立方法をすでに把握しており、Oracle Privileged Account Managerサーバー・ホスト、ポート、UNIXターゲットおよびUNIXアカウント名がわかっている場合は、手順3に進みます。 |
アカウント行を選択し、「セッションのチェックアウト」をクリックして、SSHクライアントを使用したセッションの確立またはSCPを使用した安全なファイル転送に必要な接続情報を表示します。
例:
Account Name: opamuser1 Target Name: sample-unix SSH Port: 1222 Instruction: ssh -p <port> <opamuser>:<targetname>: <accountname>@<sessionmgrhost> Use opam password on password prompt.
説明:
portは、Oracle Privileged Session Managerが実行されているポートです。
opamuserは、Oracle Privileged Account Managerのエンド・ユーザーです。
targetnameは、接続先のターゲットの名前です。
accountnameは、そのターゲットで使用する予定のアカウントです。
sessionmgrhostは、セッション・マネージャを実行しているホストです。
注意: 前述の例では、デフォルトのOracle Privileged Account Manager接続設定および方法を使用しています。Oracle Privileged Account Manager管理者は、この情報を自身の環境に適したものに構成できます。これらの設定の構成の情報は、第5.3項「Oracle Privileged Session Managerサーバーの管理」を参照してください。 |
SSHセッションを確立するか、SCPを使用してファイルを転送できます。要件に応じて、次のいずれかの手順を実行します。
SSHセッションを確立する手順:
任意のSSHクライアントを使用して、Oracle Privileged Session Managerサーバーを介してターゲットまたはアカウントに接続します。
たとえば、標準Linuxマシン上のSSHクライアントを使用して、次の手順を実行します。
コマンド・ウィンドウを開きます。
プロンプトに、セッション・チェックアウト・ダイアログに表示されている接続情報を入力します。
例:
scp -P 1222 "opamuser1;DemoMachineTarget;root"@sessionmgr.example.com:foobar.txt /some/local/directory
認証が部分的に成功したことを示すメッセージが表示されます。
SCPを使用してファイルを転送する手順:
ファイルを安全に転送するには、任意のSCPクライアントを使用して、Oracle Privileged Session Managerサーバーを介してターゲットまたはアカウントに接続します。
たとえば、標準Linuxマシン上のSCPクライアントを使用して、次の手順を実行します。
コマンド・ウィンドウを開きます。
プロンプトで、次の接続情報を入力します。
scp –P <port> "<opamuser>;<targetname>;<accountname>"@<sessionmgrhost>:src_path des_path
例:
prompt> scp –p 1222 opamuser1;target_system;user1@sessionmgrhost:examplefile /example/directory
認証が部分的に成功したことを示すメッセージが表示されます。
プロンプトが表示されたら、適切なOracle Privileged Account Managerパスワードを入力し、Oracle Privileged Session Managerサーバーへの接続を完了します。
接続を確認するには、プロンプトにid
と入力します。すると、アカウントのuid
、gid
およびgroup
情報が返されます。
コンソールの「マイ・アカウント」ページに戻ります。
セッションを正常にチェックアウトしたことを確認する手順は、次のとおりです。
「ホーム」アコーディオンから「チェックアウト」を選択します。「チェックアウト」ページが表示されたら、表内でそのアカウント名を見つけ、その「チェックアウト・タイプ」列を確認します。
セキュリティ管理者管理ロールまたは「ユーザー・マネージャ」管理ロールを持っている場合は、「管理」アコーディオンから「アカウント」を選択し、「検索」をクリックできます。検索結果が表示されたら、表にあるアカウント名を選択し、「アカウント: AccountName」ページを開きます。そのセッションが、「現在のチェックアウト」表にリストされます。
注意: チェックアウト済のセッションをチェックインするために特別な手順を実行する必要はありません。第9.6項「特権アカウントのチェックイン」に示す手順を使用する場合、チェックアウト・タイプ(パスワードかセッションか)に関係なくそのアカウントはチェックインされます。 |
どの管理者またはエンド・ユーザーでも、「通常のチェックイン」に示す手順を使用することで、チェックアウトされたアカウントをチェックインできます。
「ユーザー・マネージャ」管理ロールを持つ管理者は、必要に応じて、アカウントのチェックインを強制できます(他のユーザーによってチェックアウトされた特権アカウントのチェックイン)。「強制的なチェックイン」に示す手順を使用します。
注意: どちらの場合も、同じ手順を使用して、アカウント・パスワードまたはアカウント・セッションをチェックインします。 |
通常のチェックイン
チェックアウト済の特権アカウントをチェックインする手順は、次のとおりです。
「ホーム」アコーディオンの「チェックアウト」を選択します。
「チェックアウト」ページが表示され、その「検索結果」表に自身のチェックアウト済アカウント(パスワードおよびセッション)がすべてリストされます。
チェックインするアカウント行を1つ以上選択します。
表の上にある「チェックイン」アイコンがアクティブになったら、そのアイコンをクリックします。
「アカウントのチェックイン」ダイアログ・ボックスが表示されたら、「チェックイン」ボタンをクリックします。
チェックインに成功すると、Oracle Privileged Account Managerによってアカウント名が「チェックアウト」表から削除され、そのアカウントは再びチェックアウトできるようになります。
強制的なチェックイン
強制的にアカウントをチェックインする手順は、次のとおりです。
「管理」アコーディオンの「アカウント」を選択し、第9.3項「特権アカウントの検索」の説明に従ってアカウントを検索します。
チェックインするアカウントを選択します。
表の上にある「強制的チェックイン」オプションがアクティブになったら、そのアイコンをクリックします。
アカウントのチェックインを確認する「強制的チェックインの確認」ダイアログ・ボックスが表示されます。強制的チェックインを実行すると、現在そのアカウントをチェックアウトしているすべてのユーザーがログアウトされます。
「チェックイン」ボタンをクリックして処理を続行します。
チェックインが成功した場合、そのアカウントは再びチェックアウト可能になります。
注意: Oracle Privileged Account Managerコマンド行ツールまたはRESTfulインタフェースを使用してアカウントをチェックインすることもできます。
|
必要に応じて、管理者は記録をプレーン・テキスト・トランスクリプト形式、対話型トランスクリプト形式およびビデオ形式で表示できます。
注意: 「セッション・マネージャ構成」ページの「セッション・モニタリング更新間隔」設定によって、進行中のセッションのトランスクリプトの更新頻度が制御されます。詳細は、第5.3.3項「Oracle Privileged Session Managerのプロパティの管理」の手順2を参照してください。 |
次の表は、様々なトランスクリプト・タイプ、それらの記録にアクセスできる場所を示し、そのトランスクリプトの表示に必要な管理ロールに関する情報も示しています。
レコード・タイプ | 表示場所 | 管理ロール |
---|---|---|
進行中のセッションのトランスクリプト | アカウントの「現在のチェックアウト」表 | セキュリティ管理またはユーザー・マネージャ
注意: 委任されたセキュリティ管理者や委任されたユーザー・マネージャもこの記録を表示可能 |
有効期限切れのセッションのトランスクリプト | アカウントの「チェックアウト履歴」タブ | セキュリティ管理またはユーザー・マネージャ
注意: 委任されたセキュリティ管理者や委任されたユーザー・マネージャもこの記録を表示可能 |
有効期限切れのセッションのトランスクリプト | チェックアウト履歴レポート・ページ | セキュリティ監査者 |
有効期限切れのセッションのビデオ | チェックアウト履歴レポート・ページ | セキュリティ監査者 |
次の項では、これらの記録にアクセスする手順を説明します。
「現在のチェックアウト」表から
第9.4項「特権アカウントを開く」の説明に従って、アカウントを開きます。
「アカウント: AccountName」ページが表示されたら、「現在のチェックアウト」表で適切なユーザーを見つけ、その行の「記録」アイコンをクリックします。
ブラウザに新しいタブが開き、次のいずれかの形式(トランスクリプト形式)で記録が表示されます。次に例を示します。
SSHの記録: ユーザーのアクションのトランスクリプトが表示されます。詳細は、第15章「チェックアウト履歴レポートの使用」を参照してください。
Windowsセッションの記録: ユーザーのアクションのビデオ記録が表示されます。詳細は、第15章「チェックアウト履歴レポートの使用」を参照してください。
「チェックアウト履歴」タブから
第9.4項「特権アカウントを開く」の説明に従って、アカウントを開きます。
「アカウント: AccountName」ページが表示されたら、「チェックアウト履歴」タブを選択します。
ブラウザに新しいタブが開き、トランスクリプトの形式で記録が表示されます。
検索を実行できる期間を指定します。これは、「開始日」および「終了日」(必須)フィールドの値を設定して行われます。空白フィールドに日付と時刻を入力するか、「カレンダ」アイコンを使用します。
「チェックアウト履歴の検索」セクションに他のオプションの検索基準をすべて含め、「検索」をクリックします。
表に検索結果が表示されたら、確認しようとしているトランスクリプトまたはビデオを持つユーザーを見つけ、その行の「記録」アイコンをクリックします。
「チェックアウト履歴」ページから
チェックアウト履歴の検索ポートレットを使用して、検索パラメータを構成します。
チェックアウトの検索対象となる「開始日」および「終了日」範囲を指定する必要があります。空白フィールドに日付と時刻を入力するか、「カレンダ」アイコンを使用します。
「アカウント名」、「ユーザー名」、「ターゲット名」、「パターン」の各フィールドの1つ以上に情報を入力します。
注意: チェックアウト・イベントの記録内の文字列を検索するには、「パターン」フィールドを使用します。パターン検索結果に最近のセッション記録が表示されていない場合は、第20.3.22項「パターン検索でチェックアウト履歴の検索結果に最近のセッション記録が含まれない」を参照して、この問題を解決してください。 |
返される結果の数を制限するには、「問合せ」フィールドに値を入力します。
「検索」をクリックすると結果が表に表示されます。
表内で適切なアカウントおよびユーザー行を見つけ、その行の「記録」アイコンをクリックします。
その記録を開くプログラムを選択するように要求されます。プログラムを選択して「開く」をクリックします。
選択したプログラムで記録が開き、トランスクリプト形式またはビデオ形式で表示されます。
Oracle Privileged Account Managerには、特権アカウントのパスワードを管理するための次のオプションがあります。
注意: Oracle Privileged Account Managerコマンド行ツールまたはREST APIを使用して、これらのパスワード管理タスクを実行することもできます。
Oracle Privileged Account Managerでは、パスワード管理操作が監査され、パスワード・アクセスが追跡されます。 |
注意: ターゲットのサービス・アカウント・パスワードを表示およびリセットする手順は、この項で説明する手順とは異なります。詳細は、第7.3項「サービス・アカウント・パスワードの管理」を参照してください。 |
必要に応じて、「パスワードの表示」オプションを使用することで、チェックアウトしたアカウントのパスワードをクリア・テキストで表示できます。たとえば、パスワードを忘れた場合、この機能を使用してそのパスワードを再表示できます。
どのユーザーも、チェックアウトしたアカウントのパスワードを確認できます。ただし、アカウントをチェックインした後にパスワードにアクセスすることや、他のユーザーがチェックアウトしたアカウントのパスワードを表示することはできません。それを試みると、エラーが発生します。
注意: セキュリティ管理者管理ロールを持つ管理者は、システムおよびターゲットのすべてのサービス・アカウントにアクセスできますが、この機能を使用することで、チェックアウトした特権アカウントとチェックインした特権アカウントの両方の現在のパスワードを表示できます。 |
「チェックアウト」ページから
「チェックアウト」ページから、次のようにして「パスワードの表示」オプションにアクセスできます。
特権アカウントがチェックアウトされていることを確認します。
注意: 通常のユーザーの場合、すでにチェックインされているアカウントのパスワードを表示しようとすると、エラーが返されます。ただし、セキュリティ管理者または「ユーザー・マネージャ」管理ロールを持つ管理者の場合、このコマンドを使用して、チェックアウトしたアカウントとチェックインしたアカウントの両方のパスワードをリセットできます。 |
「ホーム」アコーディオンの「チェックアウト」を選択して、「チェックアウト」ページを開きます。
アカウントの行番号を選択します。
「パスワードの表示」アイコンがアクティブになったらクリックします。
現在のパスワード・ダイアログ・ボックスが表示されます。構成済ユーザーのパスワード取得オプションに応じて、「パスワードの表示」または「パスワードのコピー」オプションをクリックします。「パスワードの表示」および「パスワードのコピー」アクションの詳細は、第9.5.1項「パスワードのチェックアウト」の手順4を参照してください。
アカウント行番号を選択し、「パスワードの表示」アイコンがアクティブになったらクリックします。
ダイアログ・ボックスが現れ、アカウント情報およびパスワードが表示されます。
「アカウント」ページでは次の操作を実行します。
セキュリティ管理者または「ユーザー・マネージャ」管理ロールを持つ管理者は、次のようにして「パスワードの表示」オプションにアクセスできます。
「管理」アコーディオンで、「アカウント」を選択します。
「アカウント」ページが表示されたら、検索ポートレットを使用してアカウントを検索します。
アカウント行番号を選択し、「パスワードの表示」アイコンがアクティブになったらクリックします。ダイアログ・ボックスが現れ、アカウント情報およびパスワードが表示されます。
終了したら、「閉じる」をクリックします。
アカウントのパスワード履歴を表示するには、「パスワード履歴」オプションを使用します。
注意: 特権アカウントのパスワード履歴を表示するには、セキュリティ管理者管理ロールを持つ管理者である必要があります。 |
特権アカウントのパスワード履歴を表示する手順は、次のとおりです。
「管理」アコーディオンで、「アカウント」を選択し、「アカウントの検索」ページを開き、「検索」をクリックします。
アカウントの行番号を選択します。
「パスワード履歴」アイコンがアクティブになったら、そのアイコンをクリックします。
「パスワード履歴の表示」ダイアログ・ボックスに、アカウント名およびクリア・テキストのパスワード、さらに変更時間(パスワード・リセットの日付と時刻)が表示されます。
完了したら、「閉じる」をクリックします。
必要に応じ、「パスワードのリセット」オプションを使用して、チェックアウトしたアカウントの既存のパスワードを手動でリセットできます。
セキュリティ管理者は、ランダム化されたパスワード生成を使用しない場合、任意のパスワードを手動で設定できます。たとえば、管理者は、システム・アップグレード時などに1回かぎりで使用するため、簡単に入力できる単純なパスワードを設定できます。
アカウント・パスワードをリセットするには、次の手順を実行します。
特権アカウントがチェックアウトされていることを確認します。
注意: 通常のユーザーの場合、すでにチェックインされているアカウントのパスワードをリセットしようとすると、エラーが返されます。ただし、セキュリティ管理者管理ロールを持つ管理者である場合は、このコマンドを使用して、チェックアウト済アカウントとチェックイン済アカウント両方についてパスワードをリセットできます。 |
「管理」アコーディオンで、「アカウント」を選択します。
「アカウント」タブが表示されたら、検索ポートレットを使用してアカウントを検索します。
アカウントの行番号を選択し、「パスワードのリセット」をクリックします。
「パスワードのリセット」ダイアログ・ボックスが表示され、アカウント・パスワードに関する次の情報が示されます。
アカウント名
ターゲット名
このダイアログ・ボックスには、「新規パスワード」フィールドも含まれます。
提供されたスペースにパスワードを入力し、「保存」をクリックします。
任意のパスワード文字列を使用できます。文字列は、Oracle Privileged Account Managerのパスワード・ポリシーに準拠している必要はありません(パスワード・ポリシーはランダム化されたパスワード生成に使用されるため)。
選択したアカウントの名前と新規パスワードが記載されたメッセージが表示されます。
「アカウントの検索」ページまたは「ターゲット」ページを使用して、Oracle Privileged Account Managerから特権アカウントを削除できます。
警告: 特権アカウントを削除すると、Oracle Privileged Account Managerに格納されている、そのアカウントに関する情報もすべて削除されます。 特権アカウントを削除する前に、まずそのアカウントからすべての関連情報を取得する必要があります。たとえば、その特権アカウントに関連付けられている現在のパスワードを保存します。 |
「アカウントの検索」ページでは次の操作を実行します。
「アカウントの検索」ページからアカウントを削除するには、次の手順を実行します。
削除するアカウントを特定します。
「管理」アコーディオンで、「アカウント」を選択します。
「アカウントの検索」ポートレットの「検索」をクリックして、検索結果表にすべての使用可能なアカウントのリストを移入します。
結果を絞り込むか、特定のアカウントを探すには、検索基準を1つ以上の「アカウントの検索」フィールドに入力し、「検索」をクリックします。
検索結果表で、削除するアカウントを選択して「削除」をクリックします。
終了したら、ページの上部にある「適用」ボタンをクリックします。
「ターゲット」ページでは次の操作を実行します。
ターゲットからアカウントを削除するには、次の手順を実行します。
アカウントを削除するターゲットを特定します。
「管理」アコーディオンで、「ターゲット」を選択します。
「ターゲットの検索」ポートレットの「検索」をクリックして、検索結果表にすべての使用可能なターゲットのリストを移入します。
結果を絞り込むか、特定のターゲットを探すには、検索基準を1つ以上の「ターゲットの検索」フィールドに入力し、「検索」をクリックします。
検索結果表のターゲット名をクリックし、そのターゲットを開きます。
「特権アカウント」タブを選択します。
検索結果表で、削除するアカウントを選択して「削除」をクリックします。
終了したら、ページの上部にある「適用」ボタンをクリックします。