Oracle® Fusion Middleware Oracle Privileged Account Managerの管理 11gリリース2 (11.1.2.3) E61951-02 |
|
前 |
次 |
この章では、Oracle Privileged Account Managerで使用するエージェントを構成および管理する方法について説明します。この手順について次の各項で説明します。
エージェントはターゲットにデプロイされる固有に設計されたツールで、ユーザー・アクションの記録などの特定の一連のアクションを実行するように構成されます。この節では、以下のトピックについて説明します。
Oracle Privileged Account Managerでは、セッション・チェックアウト中に実行されるアクションはすべて、Oracle Privileged Account Managerのセッション監視機能を使用して監視できます。この機能は、ユーザーが特権セッション・チェックアウト中に実行するすべてのアクティビティを記録します。
このコンテキストでは、Windowsターゲット用のOracle Privileged Account Managerエージェント(OPAMエージェント)が具体的にはWindowsターゲットと動作して、セッション・チェックアウト中にWindowsターゲットでユーザーによって実行されるアクションをOracle Privileged Account Managerで監視することを可能にします。
OPAMエージェントはWindowsターゲットに直接デプロイされます。このエージェントはターゲットで"OPAMAgentService" Windowsサービスを実行します。このサービスは次に"OpamAgentCapturer"子プロセスを使用して、ターゲット上のユーザー・アクションを記録します。サービスは次にユーザー・アクションをビデオ形式に変換して、それを安全にOracle Privileged Account Managerサーバーへ定期的に送信します。
OPAMエージェントはユーザーのアクティビティに対応するメタデータもOracle Privileged Account Managerサーバーへ送信します。ビデオ・データはサーバー上のデータベース内に保存されます。メタデータによって、関連セッション記録ビデオの取得が迅速になります。記録されたビデオの再生は、Chrome、Mozilla Firefox、Internet ExplorerおよびSafariの各ブラウザのHTML5準拠バージョンでサポートされています。
図8-1に、OPAMエージェントを使用したセッション記録のエンド・ツー・エンド・フローを示します。
図8-2に、OPAMエージェントを使用して記録されたビデオのセッション記録の再生フローを示します。
次の各項では、WindowsターゲットへのOPAMエージェントのデプロイ手順について説明します。
注意: 次の項で説明する、WindowsターゲットにOPAMエージェントをデプロイする手順では、ユーザーに次のアカウント・アクセスおよび情報があることを前提としています。
|
OPAMエージェントは、次のオペレーティング・システムでサポートされます。
表8-1 サポートされているコンポーネント
コンポーネント | 要件 |
---|---|
Microsoft Windowsクライアント・オペレーティング・システム |
次のバージョンのMicrosoft Windowsクライアント・オペレーティング・システムのいずれかを使用できます。
|
Microsoft Windows Serverオペレーティング・システム |
次のリリースのMicrosoft Windows Serverオペレーティング・システムのいずれかを使用できます。
|
.NETバージョン |
4.5以上 |
この項は、Microsoft Windows 2008 R2、Microsoft Windows 2012 ServerおよびMicrosoft Windows 2012 Server R2ターゲットへのOPAMエージェントのインストールに適用されます。次に概要をまとめた手順は、OPAMエージェントをインストール前に実行する必要があり、その際にシステムの再起動が必要になる場合があります。
注意: Microsoft Windows 7、Microsoft Windows 8およびMicrosoft Windows 8.1では、特別なインストール前手順は必要ありません。 |
この項では、OPAMエージェントのインストールを開始する前にWindows Serverで実行が必要なアクションについて説明します。次の項目について説明します。
デスクトップ操作の有効化をどのように選択するかに応じて、次の手順のいずれかを実行してMicrosoft Windows 2008 R2オペレーティング・システムでデスクトップ操作を有効化します。
初期構成タスク・ウィザードの使用
「このサーバーのカスタマイズ」セクションで、「機能の追加」をクリックします。
「デスクトップ エクスペリエンス」チェック・ボックスを選択し、「次へ」をクリックします。
「インストール」をクリックして、ウィザードを完了します。
サーバー マネージャーの使用
サーバー マネージャーを開いて「スタート」をクリックします。管理ツールに移動して「サーバー マネージャー」をクリックします。
注意: コマンド・プロンプトで次のコマンドを入力して、サーバー マネージャーを開くこともできます。
|
「機能の概要」セクションで、「機能の追加」をクリックします。
「デスクトップ エクスペリエンス」チェック・ボックスを選択し、「次へ」をクリックします。
「インストール」をクリックして、ウィザードを完了します。
次の手順に従って、Microsoft Windows Server 2012およびMicrosoft Windows Server 2012 R2にMedia Foundationコンポーネントをインストールする必要があります。
サーバー マネージャーを開いて「スタート」をクリックします。管理ツールに移動して「サーバー マネージャー」をクリックします。
注意: コマンド・プロンプトで次のコマンドを入力して、サーバー マネージャーを開くこともできます。
|
サーバー マネージャーで、役割と機能の追加ウィザードに移動します。「インストールの種類の選択」が表示されるまで、ウィザードの「次へ」ボタンをクリックします。
「インストールの種類の選択」手順で、「役割ベースまたは機能ベースのインストール」を選択し、「次へ」をクリックします。
「対象サーバーの選択」手順で、「サーバー プールからサーバーを選択」を選択します。対象のマシンを選択して、「次へ」をクリックします。
「機能の選択」ページで、「メディア ファンデーション」を選択し、「インストール」をクリックします。
サーバーを再起動します。
注意: この機能は最初に構成することが必要です。構成が完了したら、サーバーを再起動して変更を適用します。 |
Microsoft Windows用のOPAMエージェントは、OPAMAgentInstaller.msiという名前のバイナリ・インストーラとしてパッケージされています。これはMicrosoft Windowsの標準インストーラです。
OPAMエージェントをインストールするには、次の手順を実行します。
"OPAMAgentInstaller.msi"インストーラを次の場所からWindowsホストにコピーします。
$ORACLE_HOME/opam/tools
OPAMAgentInstaller.msi (インストーラ)をダブルクリックして実行します。
インストール・ウィザードで、ライセンス契約を一読して「次へ」をクリックします。これによってOPAMエージェントのバイナリが次の場所にインストールされます。
C:\Program Files\OPAMAgent
注意: コマンド・プロンプトで次のコマンドを入力して、OPAMAgentInstaller.msiをインストールすることもできます。
|
この節では、以下のトピックについて説明します。
インストール後に、OPAMエージェントを設定する必要があります。OPAMエージェントの設定には"OpamAgentUtility.exe"ファイルが使用されます。
エージェントをデプロイする対象のシステムにおける管理者権限が必要です。コマンド・プロンプトから次の場所に移動します。
C:\Program Files\OPAMAgent\
この場所には"OpamAgentUtility.exe"ファイルが含まれます。この実行可能プログラムは次の処理を実行できます。
注意: 実行する処理に応じて、この項で説明するコマンドを1つ以上実行します。
|
OPAMエージェントの登録: 次のサンプル・コードに示すように"OpamAgentUtility"を-r
オプションとともに実行すると、OPAMエージェントが登録されます。
サンプル・コマンド: OpamAgentUtility.exe -r
OPAMエージェントの登録の詳細は、第8.2.4.1項「OPAMエージェントのOracle Privileged Account Managerサーバーへの登録」を参照してください。
Oracle Privileged Account Managerサーバーでのターゲットのキーの更新: 次のサンプル・コードに示すように"OpamAgentUtility"を-u
オプションとともに実行すると、Windowsターゲットの自動生成されたキーがOracle Privileged Account Managerサーバーで更新されます。
サンプル・コマンド: OpamAgentUtility.exe -u
ターゲットのキーの更新の詳細は、第8.2.4.2項「Oracle Privileged Account Managerでのターゲット・キーの更新」を参照してください。
OPAMエージェントの登録解除: 次のサンプル・コードに示すように"OpamAgentUtility"を-d
オプションとともに実行すると、OPAMエージェントが登録解除されます。
サンプル・コマンド: OpamAgentUtility.exe -d
OPAMエージェントのアンインストールと登録解除の詳細は、第8.2.7項「OPAMエージェントのアンインストールと登録解除」を参照してください。
オプションなしでOpamAgentUtility.exe
コマンドを実行すると、この実行可能ファイルの使用方法情報が示されます。
この実行可能ファイルのログ情報は次の場所で使用可能です。
C:\ProgramData\Opam\OpamAgentUtility_
Year_Month_Day_Hour_Minute_Second
.log
この場所で、「Year_Month_Day_Hour_Minute_Second」はログ・ファイルの名前におけるプレースホルダ・テキストです。これはログ・ファイルが作成されたときのタイムスタンプの形式を表します。
OPAMエージェントをターゲットで使用する前に、エージェントをOracle Privileged Account Managerサーバーに登録する必要があります。
エージェントを登録する手順:
コマンド・プロンプトでOpamAgentUtility.exe -r
コマンドを実行します。登録を続行するには資格証明を入力するよう、実行可能プログラムから要求されます。
資格証明をチェックするには、OpamAgentUtility.exe
コマンドを実行して使用情報を参照します。
使用情報で説明されているように、資格情報は対話型問合せを使用して、またはコマンド行引数として指定できます。
OPAMエージェントがOracle Privileged Account Managerサーバーに正常に登録された後、実行可能プログラムによってエージェントがWindowsターゲットで開始されます。登録が成功しない場合は、第8.2.4項「OPAMエージェントの設定」の説明どおりにログ・ファイルをチェックします。
OPAMエージェントが正常にインストールされた場合、サービス・マネージャ・ウィンドウで「OPAMAgentService」サービスのステータスが「開始」と表示されます。これは、次のスクリーンショットに示されています。
OPAMエージェントがデプロイされたWindowsターゲットがOracle Privileged Account Managerで構成されている場合、登録プロセスは自動的にエージェントを指定されたターゲットと関連付けます。
OPAMエージェントは自動生成されたキーを使用して、Oracle Privileged Account Managerサーバーとの通信を保護します。OPAMエージェントのキーを更新して、新しい自動生成キーを再作成できます。
注意: キーを更新する前に、OPAMエージェントが構成されたWindowsターゲットがOracle Privileged Account Managerに追加されているかどうかをチェックする必要があります。このターゲットがOracle Privileged Account Managerに追加されていない場合、手動でターゲットを追加する必要があります。これを実行するには、第6.2項「Oracle Privileged Account Managerでのターゲットの追加および構成」で詳細を参照してください。 |
Oracle Privileged Account ManagerでWindowsターゲット・キーを更新するには、次の手順を実行します。
システムで管理者としてコマンド・プロンプトを開いて、次の場所に移動します。
C:\Program Files\OPAMAgent\
Oracle Privileged Account Managerサーバー内にターゲットのキーを更新するには、次のコマンドを実行して必要な資格証明を指定します。
OpamAgentUtility.exe -u
この項では、OPAMエージェントのログ情報について説明します。ランタイム・ログおよび登録時ログの詳細は、次の項を参照してください。
主なログの場所は次のとおりです。
C:\ProgramData\Opam
注意: 前述の場所は、この項で「OPAMログ・フォルダ」と呼ばれます。 |
OPAMAgentServiceではWindowsのイベント履歴に書込みを行い、このログはMyNewLogと呼ばれています。これを表示するには、Windowsイベント・ビューアを使用します。
チェックアウト・セッションごとにディレクトリがOPAMログ・フォルダ内に作成されます。ディレクトリは、セッションをチェックアウトしたユーザーの「username」を元に名前が付けられます。このアクションのランタイム・ログは次の場所に保存されます。
C:\ProgramData\Opam\USERNAME\logs
ランタイム・ログは次の実行可能ファイルに対して保持されます。
OPAMAgentService.exe
このログはOpamAgentService_
Year_Month_Day_Hour_Minute_Second
.log
形式で名前が付けられます。
この形式で、「Year_Month_Day_Hour_Minute_Second」はログ・ファイルが作成されたときのタイムスタンプの形式を表します。
OpamAgentCapturer.exe
このログはOpamAgentCapturer_
Year_Month_Day_Hour_Minute_Second
.log
形式で名前が付けられます。
この形式で、「Year_Month_Day_Hour_Minute_Second」はログ・ファイルが作成されたときのタイムスタンプの形式を表します。
登録時ログは、"OpamAgentUtility.exe"プログラムと関連付けられたアクションのログです。このログもOPAMログ・フォルダの下に格納されます。登録時ログは次の形式で名前が付けられます。
OpamAgentUtility_
Year_Month_Day_Hour_Minute_Second
.log
この形式で、「Year_Month_Day_Hour_Minute_Second」はログ・ファイルが作成されたときのタイムスタンプの形式を表します。
アンインストールまたは登録解除のログと、OPAMエージェントのキー更新も登録時ログに保存されます。
注意: ログ・ファイルの形式によって、OPAMエージェントの登録および登録解除のログが別々のログ・ファイルに記録される場合があります。 |
次のアクションが順序どおりに実行されると、セッション記録プロセスのエンド・ツー・エンド・フローを次の状況で監視できます。
Oracle Privileged Account Managerでは、Windowsアカウントへのアクセス権を付与されたエンド・ユーザーが、Windowsアカウントのパスワードをチェックアウトします。
エンド・ユーザーは次にチェックアウトしたパスワードを使用してWindowsターゲットにログインします。
エンド・ユーザーはWindowsターゲットで特定のアクションを実行してログアウトします。
説明された状況で、すべてのセッション・アクティビティがビデオとして記録されるようになり、Oracle Privileged Account Managerサーバーで安全に保存されます。コンソールからチェックアウト履歴レポート・ページを使用して、このセッション・チェックアウト中に実行されたアクションを監視できます。詳細は、第15.5項「チェックアウト履歴レポートの使用」を参照してください。
注意: また、Oracle Privileged Account ManagerからパスワードをチェックアウトせずにWindowsターゲットで直接開始された他のセッションもOPAMエージェントによって記録され、チェックアウト履歴レポート・ページで表示できます。このようなセッションのチェックアウト履歴レポート表で、「username」列の値は |
OPAMエージェントをターゲットからアンインストールできます。これにより、ランタイム・データ(ログ以外)が削除され、次の場所に保存されたバイナリも削除されます。
C:\Program Files\OPAMAgent\
OPAMエージェントのアンインストール
OPAMエージェントをアンインストールするには、次の手順を実行します。
管理者としてWindowsターゲットにログインします。
「コントロール パネル」に移動して、「プログラムの追加と削除」をクリックします。
リストから「OPAMAgent」を選択し、「アンインストール」をクリックします。ウィザードの手順に従って、アンインストール・プロセスを完了します。
注意: コマンド・プロンプトで次のように入力して、"OPAMAgentInstaller.msi"をアンインストールすることもできます。
|
OPAMエージェントの登録解除
OPAMエージェントをターゲットからアンインストールせずに、登録解除することもできます。次の手順を実行してそれを行います。
管理者としてWindowsターゲットにログインします。
コマンド・プロンプトを開いて、次の場所に移動します。
C:\Program Files\OPAMAgent\
登録解除プロセスを完了するには、OpamAgentUtility.exe -d
コマンドを実行して求められたパラメータの値を指定します。
注意: この項の説明どおり、登録解除プロセスではランタイム・データのみが削除されます。 |