Oracle® Fusion Middleware Oracle Privileged Account Managerの管理 11gリリース2 (11.1.2.3) E61951-02 |
|
前 |
次 |
この章では、Oracle Privileged Account Managerのインストール後の構成を終了する方法について説明します。
注意: Oracle Privileged Account Managerは、コンソール、コマンド行およびOracle Privileged Account ManagerのRESTfulインタフェースを使用して管理できます。
|
この章では、次の項目について説明します。
注意: IBM WebSphere上でOracle Privileged Account Managerを使用している場合、このトピックの詳細は、Oracle Fusion Middleware Oracle Identity and Access Managementサード・パーティ・アプリケーション・サーバー・ガイドのOracle Privileged Account Managerの管理のスタートガイドにおける相違点に関する項を参照してください。 |
この章は、Oracle Privileged Account Manager 11gリリース2 (11.1.2.3)が『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』の説明に従ってインストールおよび構成されていることを前提としています。
Oracle Privileged Account Managerの起動に必要な最終構成手順を開始する前に、次のことをお薦めします。
『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』の「Oracle Privileged Account Managerの構成」の章をお読みください。
表3-1を確認して、このリリースのOracle Privileged Account Managerを管理するために使用できる様々なインタフェースに対応するデフォルト・アプリケーションURLについて理解してください。
表3-1 デフォルト・アプリケーションURL
インタフェース | デフォルトURL |
---|---|
Oracle WebLogic Server管理コンソール |
http://adminserver_host:adminserver_port/console/ |
Oracle Privileged Account Managerコンソール |
http://managedserver_host:managedserver_port/oinav/opam |
Oracle Privileged Account Managerサーバー |
https://managedserver_host:managedserver_sslport/opam |
表3-2を確認して、このリリースのOracle Privileged Account Managerの様々なデフォルト・ポートについて理解してください。
表3-2 デフォルト・ポート
ポート・タイプ | デフォルト・ポート | 説明 |
---|---|---|
Oracle Privileged Account Managerサーバー |
18102 |
Oracle Privileged Account ManagerサーバーがデプロイされるWebLogic管理対象サーバーのデフォルトのSSL対応ポート。 |
Oracle Privileged Account Managerコンソール |
|
デフォルトでOracle Privileged Account Managerコンソールを使用可能なWebLogic管理対象サーバーのポート。 |
Oracle Privileged Session Manager (SSH) |
1222 |
Oracle Privileged Session ManagerがSSHトラフィックをリスニングするデフォルトのポート。 |
WebLogic管理コンソール |
|
WebLogic管理コンソールを使用可能なデフォルトのWebLogic管理サーバー・ポート。 |
表3-3を確認し、このガイド全体で使用される一般的なディレクトリ変数を理解しておいてください。
注意: これらのディレクトリおよび大部分のOracle Identity and Access Managementのインストールおよび構成に使用されるその他の一般的なディレクトリの詳細は、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』のインストール・ディレクトリの識別に関する説明およびOracle Fusion Middleware Oracle Identity and Access Managementインストレーション・プランニング・ガイドのOracle Fusion Middlewareの概念とディレクトリ構造の理解に関する説明を参照してください。 |
表3-3 Oracle Privileged Account Managerで使用される一般的なディレクトリ
共通名 | 説明 |
---|---|
Oracle Middlewareホーム・ディレクトリの場所を示します。ミドルウェア・ホームには、Oracle WebLogic Serverホームおよび1つ以上のOracleホーム・ディレクトリが含まれています。 |
|
Oracle Privileged Account ManagerファイルがインストールされたOracleホーム・ディレクトリの場所を示します。Oracleホームは、ミドルウェア・ホームのディレクトリ構造の内部にあります。 |
|
WebLogicサーバーによって使用される場所を示します。 |
|
ドメインの最上位ディレクトリを示します。 |
|
Oracle BIドメインの場所を示します。 |
このガイドで、Oracle WebLogic管理サーバー(管理サーバー)または各種管理対象サーバーのいずれかを起動または停止するように指示がある場合は、Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイドのOracleスタックの起動と停止に関する項を確認し、必ずその手順を使用してください。
Oracle Privileged Account Managerでは、管理者によって識別されるアカウント資格証明を保護、共有、監査および管理できます。これらの機能を提供するため、Oracle Privileged Account Managerでは、ターゲット・システムの特権アカウントにアクセスしてそれを管理できる必要があります。
コネクタによって、Oracle Privileged Account Managerは、LDAPやOracle Databaseなどのターゲット・システムと相互作用して、それらのシステム上でOracle Privileged Account Manager関連の管理操作を実行できます。
Oracle Privileged Account Managerでは、アイデンティティ・コネクタ・フレームワーク(ICF) 標準に準拠するコネクタを利用します。この標準を使用することによって、Oracle Privileged Account Managerがターゲットへの接続に使用するメカニズムから、Oracle Privileged Account Managerが分離されます。そのため、Oracleなどのベンダーによって提供されるコネクタに加えて、独自のICFコネクタを自由に構築およびテストし、Oracle Privileged Account Managerにデプロイできます。
この項では、Oracle Privileged Account ManagerでこれらのICFコネクタを使用する方法について説明します。次の項目が含まれます。
注意: アイデンティティ・コネクタ・フレームワークの詳細は、『Oracle Fusion Middleware Oracle Identity Manager開発者ガイド』のアイデンティティ・コネクタ・フレームワークの理解に関する項を参照してください。 |
Oracle Privileged Account Managerには、オラクル社が開発した次のICF準拠のコネクタが付属しています。
Database User Management (DBUM)コネクタ
汎用LDAPコネクタ
UNIX用のOracle Identity Managerコネクタ
SSHコネクタ
SAPコネクタ
Windowsローカル・アカウント・コネクタ
これらのコネクタによって、Oracle Privileged Account Managerは、前述のタイプに属する様々なターゲット・システム上で特権アカウントを管理できます。
Oracle Privileged Account Managerでは、ユーザーが作成したICF準拠のコネクタも使用できるため、Oracle Privileged Account Managerを使用して独自のシステムを管理する場合に役立ちます。
注意: Oracle Privileged Account Managerに付属するコネクタのみを使用する場合、それらのコネクタはデフォルトで事前に構成されているため、追加の操作は不要です。他のOracleコネクタやカスタム・コネクタを使用する場合、詳細は、第17.3項「既存のOracle Privileged Account Managerインストール環境への新規コネクタの追加」を参照してください。 ICF準拠のコネクタの開発の詳細は、『Oracle® Fusion Middleware Oracle Identity Manager開発者ガイド』のアイデンティティ・コネクタの開発に関する項を参照してください。 |
ICFコネクタは汎用で、多くのコンテキストで使用できるため、所定のOracleインストール環境においてすべてのコネクタ・バンドルがファイル・システムの単一の場所に配置されます。これらのコネクタ・バンドルに依存するOracle Privileged Account Managerなどのすべてのコンポーネントは、次の場所からそれらにアクセスできます。
ORACLE_HOME/connectors
ORACLE_HOME
/connectors
で使用可能なコネクタは、実際はOracle Identity Managerに同梱されています。このディレクトリのすべてのコネクタのうち、次の5つのコネクタのみがこのリリースのOracle Privileged Account Managerで動作保証済です。
org.identityconnectors.genericunix-1.0.0.jar
org.identityconnectors.ldap-1.0.6380.jar
org.identityconnectors.sap-2.0.0.jar
org.identityconnectors.sapume-1.0.1.jar
Oracle Privileged Account Managerのみで動作保証されている次のコネクタはORACLE_HOME/opam-connectors
の場所にあります。
org.identityconnectors.ssh-1.0.1115.jar
WindowsLocalConnector-1.0.0.0.zip
Oracle Privileged Account Managerは、opam-config.xml
ファイルを使用することでICFコネクタを使用します。このファイルの内容によって、Oracle Privileged Account Managerに次の情報が提供されます。
ファイル・システムでICFコネクタ・バンドルを選択する場所
Oracle Privileged Account Managerの使用事例にとって適切な構成属性
特定のコネクタを使用したターゲット・システムへの接続を構成する際に、Oracle Privileged Account Managerコンソールをレンダリングする方法
opam-config.xml
ファイルは、ORACLE_HOME
/opam/config
ディレクトリにあります。Oracle Identity Management Suiteに付属するコネクタ・バンドルを選択して使用するために、すぐに使用できるイメージが構成されています。
opam-config.xsd
ファイル(これもORACLE_HOME
/opam/config
ディレクトリに存在)によって、opam-config.xmlのスキーマが記述されています。
ORACLE_HOME
/opam/config/opam-config.xml
ファイルを変更した場合、opam-config.xsd
ファイルで検証します。
注意: opam-config.xml ファイルを編集する前に、必ず元のファイルをバックアップしてください。 |
この項では、Oracle Privileged Account Managerの起動および操作に関する高度な情報について説明します。この項の内容は次のとおりです。
この項で説明する手順では、次のOracleマニュアルに含まれる情報および手順を参照しています。これらの手順を開始する前に、必要に応じて参照先の概念、専門用語および手順を確認してください。
表3-4 参照情報
参照内容 | 参照先 |
---|---|
管理ロール |
|
システム要件と動作要件 |
|
Oracle WebLogic Serverの概念および専門用語 |
Oracle Fusion Middleware Oracle WebLogic Server管理コンソール・オンライン・ヘルプおよび『Oracle Fusion Middleware Oracle WebLogic Serverの保護』を参照してください。 |
Oracle WebLogic Serverでのデフォルト・オーセンティケータの作成 |
Oracle Fusion Middleware Oracle WebLogic Server管理コンソール・オンライン・ヘルプおよび『Oracle Fusion Middleware Oracle WebLogic Serverの保護』を参照してください。 |
現在の環境でのアイデンティティ・ストアの構成 |
各ベンダーの製品ドキュメント |
LDAPベース・サーバーでのOracle Virtual Directoryの構成 |
『Oracle Fusion Middleware Oracle Virtual Directory管理者ガイド』のLDAPアダプタの作成に関する項 |
Oracle WebLogic ServerでのOVDオーセンティケータの構成 |
Oracle Fusion Middleware Oracle WebLogic Server管理コンソール・オンライン・ヘルプ |
WLSTへのノード・マネージャの接続 |
『Oracle Fusion Middleware WebLogic Scripting Toolコマンド・リファレンス』のノード・マネージャ・コマンドに関する項 |
WLSTを使用したポリシー・ストアの関連付け |
『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のOracle Internet Directoryサーバーでのノードの設定に関する項およびreassociateSecurityStoreに関する項 |
Enterprise Managerを使用したポリシー・ストアの関連付け |
『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のFusion Middleware Controlでの再関連付けに関する項 |
|
Oracle Fusion Middleware Oracle Identity Management Suite統合の概要 |
注意: IBM WebSphere上でOracle Privileged Account Managerを使用する場合、アプリケーション構成者を割り当て、Oracle Privileged Account Managerコンソールを起動する前に、IBM WebSphereを起動し、いくつかの構成手順を実行する必要があります。これらのタスクの詳細は、Oracle Fusion Middleware Oracle Identity and Access Managementサードパーティ・アプリケーション・サーバー・ガイドのIBM WebSphereでのOracle Privileged Account Managerの起動に関する項を参照してください。 |
Oracle Privileged Account Managerを起動する前に、WebLogicサーバーおよびコンソールを起動する必要があります。
注意:
|
nmConnect
コマンドを実行してノード・マネージャをWLSTに接続します。
手順については、Oracle Fusion Middleware WebLogic Scripting Toolのコマンド・リファレンスのノード・マネージャのコマンドに関する項を参照してください。
WebLogic管理サーバーを起動します。次に例を示します。
UNIXでは次のように入力します。
MW_HOME/user_projects/domains/DOMAIN_NAME/bin/startWebLogic.sh
Windowsでは次のように入力します。
MW_HOME\user_projects\domains\DOMAIN_NAME\bin\startWebLogic.bat
Oracle Privileged Account Manager管理対象サーバーを起動します。
ブラウザを開き、次の場所からWebLogicコンソールを起動します。
http://adminserver_host:adminserver_port/console
この項では、Oracle Privileged Account Managerの新しい外部アイデンティティ・ストアを構成する方法について説明します。
注意: IBM WebSphereを使用する場合、外部アイデンティティ・ストアではなくレジストリを構成する必要があります。手順については、Oracle Fusion Middleware Oracle Identity and Access Managementサードパーティ・アプリケーション・サーバー・ガイドのレジストリの構成に関する項を参照してください。 |
サポートされているLDAPベース・ディレクトリ・サーバーでOracle Internet DirectoryまたはOracle Virtual Directoryを使用して、ドメイン・アイデンティティ・ストアを構成できます。アイデンティティ・ストアをWebLogic Server管理コンソールで構成します。
注意:
|
Oracle WebLogic ServerでOracle Internet Directoryオーセンティケータを構成するには、次の手順を実行します。
Oracle WebLogic Server管理コンソールにログインし、「チェンジ・センター」で「ロックして編集」をクリックします。
Oracle WebLogic Server管理コンソールで左ペインから「セキュリティ・レルム」を選択し、構成するレルムをクリックします。たとえば、デフォルトのレルムはmyrealm
です。
「プロバイダ」タブを選択し、「認証」サブタブを選択します。
「新規」をクリックし、「新しい認証プロバイダの作成」ページを起動して、次のようにフィールドを完了します。
名前
認証プロバイダの名前を入力します。たとえば、MyOIDDirectory
と入力します。
タイプ
リストからOracleInternetDirectoryAuthenticatorを選択します。
「OK」をクリックして認証プロバイダ表を更新します。
認証プロバイダの表で、新たに追加したオーセンティケータをクリックします。
「設定」で、「構成」タブを選択し、「共通」タブを選択します。
「共通」タブで、「制御フラグ」を「SUFFICIENT」に設定します。
オーセンティケータ・プロバイダの制御フラグの属性を設定すると、認証プロバイダの実行順序が決まります。制御フラグ属性に使用可能な値は次のとおりです。
REQUIRED: このLoginModuleは成功する必要があります。失敗した場合でも、認証は、構成された認証プロバイダのLoginModulesリストの下位方向へ進みます。この設定がデフォルトです。
REQUISITE: このLoginModuleは成功する必要があります。他の認証プロバイダが構成されていて、このLoginModuleが成功した場合、認証はLoginModulesリストを下位方向へ進みます。それ以外の場合は、制御がアプリケーションに戻ります。
SUFFICIENT: このLoginModuleは成功する必要はありません。成功した場合、制御はアプリケーションに戻ります。失敗した場合、他の認証プロバイダが構成されていれば、認証はLoginModuleリストを下位方向に進みます。
OPTIONAL: このLoginModuleは成功でも失敗でもかまいません。ただし、JAAS制御フラグがOPTIONAL
に設定されたセキュリティ・レルムですべての認証プロバイダが構成されている場合は、ユーザーは構成されたいずれかのプロバイダの認証テストに合格する必要があります。
「保存」をクリックします。
「プロバイダ固有」タブをクリックした後、使用する環境の値を使用して次の必要な設定を入力します。
ホスト: Oracle Internet Directoryサーバーのホスト名を指定します。
ポート: Oracle Internet Directoryサーバーがリスニングしているポート番号を指定します。
プリンシパル: Oracle Internet Directoryサーバーへの接続に使用されるOracle Internet Directoryユーザーの識別名(DN)を指定します。例: cn=OIDUser、cn=users、dc=us、dc=mycompany、dc=com。
資格証明: プリンシパルとして入力されたOracle Internet Directoryユーザーのパスワードを指定します。
グループ・ベースDN: グループを含むOracle Internet Directoryサーバー・ツリーのベース識別名(DN)を指定します。
ユーザー・ベースDN: ユーザーを含むOracle Internet Directoryサーバー・ツリーのベース識別名(DN)を指定します。
すべてのユーザーのフィルタ: ユーザー・ベースDNの下にすべてのユーザーを表示するために使用されるLDAP検索フィルタを指定します。詳細は、「詳細」をクリックします。
名前指定によるユーザー・フィルタ: LDAPユーザーを名前で検索するために使用されるLDAP検索フィルタを指定します。詳細は、「詳細」をクリックします。
ユーザー名属性: 認証に使用する属性を指定します(as、cn、uidまたはmailなど)。たとえば、ユーザーの電子メール・アドレスを使用して認証を行うには、この値をmail
に設定します。
取得したユーザー名をプリンシパルとして使用する: チェック・ボックスを選択して、「取得したユーザー名をプリンシパルとして使用する」を有効にします。
「保存」をクリックします。
myrealmページの「設定」から、「プロバイダ」タブを選択した後、「認証」タブを選択します。
「並替え」をクリックします。
新しいオーセンティケータを選択し、矢印ボタンを使用してこれをリストの最初に移動します。
「OK」をクリックします。
「認証プロバイダ」表の「DefaultAuthenticator」をクリックし、DefaultAuthenticatorの「設定」ページを表示します。
「構成」タブ、「共通」タブの順に選択し、「制御フラグ」リストから「SUFFICIENT」を選択します。
注意: SUFFICIENT制御フラグを設定すると、外部IDストアとデフォルト・オーセンティケータの両方のユーザーがログインできます。これが望ましくない場合は、このオプションを他のいずれかのオプションに切り替える必要があります。また、SUFFICIENTを選択する場合、ユーザー名属性として使用される属性にアイデンティティ・ストア全体で一意の値が指定されていることを確認してください。詳細は、第20.3.24項「ユーザーが他のユーザーの権限付与にアクセスできる」を参照してください。 |
チェンジ・センターで、変更のアクティブ化をクリックします。
Oracle WebLogic Serverを再起動します。
LDAPディレクトリ(Oracle Internet DirectoryまたはOracle Virtual Directory)に存在するユーザーが問題なくOracle Privileged Account Managerにログインできることを確認して、構成および設定を検証します。
Oracle Virtual Directoryをドメイン・アイデンティティ・ストアとして使用するには、次の手順を実行する必要があります。
Oracle Fusion Middleware Oracle Virtual Directory管理者ガイドのLDAPアダプタの作成に関する項の説明に従ったLDAPベース・サーバーでのOracle Virtual Directoryの構成。
Oracle Fusion Middleware Oracle WebLogic Server管理コンソール・オンライン・ヘルプの説明に従ったOracle WebLogic ServerでのOVDオーセンティケータの構成
Oracle WebLogic Serverで認証プロバイダを構成する場合、前述の手順9の説明に従って「取得したユーザー名をプリンシパルとして使用する」オプションを有効にする必要があります。
注意: SSL対応アイデンティティ・ストアを使用している場合は、『Oracle Fusion Middlewareアプリケーション・セキュリティ・ガイド』のアイデンティティ・ストア・サービスのSSLに関する項に記載されている手順に従ってください。 |
外部LDAPサーバーをアイデンティティ・ストアとして使用する場合、必要なOracle Privileged Account Managerユーザーおよびグループでそのアイデンティティ・ストアをシードする必要があります。
この項の手順により、Oracle Unified Directory (OUD)またはOracle Internet Directory (OID)を事前構成して、LDAPアイデンティティ・ストアとして使用できます。
注意: 次の例で使用されているデータはサンプル・データです。例に従って、LDAPサーバーの構成に適したデータと置き換えてください。 |
アイデンティティ・ストアを事前構成するには、次の手順を実行する必要があります。
新しい.ldifファイルを作成して、OPAMGroups.ldifという名前を付けます。このファイルに次のエントリを追加して、.ldifファイルに保存します。
dn: cn=IDMSuite,dc=mycompany,dc=com objectclass: orclContainer objectclass: top cn: IDMSuite dn: cn=IDMRoles,cn=IDMSuite,dc=mycompany,dc=com objectclass: orclContainer objectclass: top cn: IDMRoles dn: cn=components,cn=IDMRoles,cn=IDMSuite,dc=mycompany,dc=com objectclass: orclContainer objectclass: top cn: components dn: cn=OPAM,cn=components,cn=IDMRoles,cn=IDMSuite,dc=mycompany,dc=com objectclass: orclContainer objectclass: top cn: OPAM dn: cn=OPAM_APPLICATION_CONFIGURATOR,cn=OPAM,cn=components,cn=IDMRoles,cn=IDMSuite,dc=mycompany,dc=com objectclass: groupOfUniqueNames objectclass: top cn: OPAM_APPLICATION_CONFIGURATOR dn: cn=OPAM_USER_MANAGER,cn=OPAM,cn=components,cn=IDMRoles,cn=IDMSuite,dc=mycompany,dc=com objectclass: groupOfUniqueNames objectclass: top cn: OPAM_USER_MANAGER dn: cn=OPAM_SECURITY_ADMIN,cn=OPAM,cn=components,cn=IDMRoles,cn=IDMSuite,dc=mycompany,dc=com objectclass: groupOfUniqueNames objectclass: top cn: OPAM_SECURITY_ADMIN dn: cn=OPAM_SECURITY_AUDITOR,cn=OPAM,cn=components,cn=IDMRoles,cn=IDMSuite,dc=mycompany,dc=com objectclass: groupOfUniqueNames objectclass: top cn: OPAM_SECURITY_AUDITOR
次の例で示すとおり、ldapadd
コマンド形式を使用してOracle Unified DirectoryサーバーにOPAM管理ロール・グループを追加します。
ldapadd -h <OUD Server> -p <OUD port> -D <OUD Admin ID> -w <OUD Admin password> -c -f ./OPAMGroups.ldif
次に、この形式のサンプル・コードを示します。
ldapadd -h localhost -p 3938 -D "cn=Directory Manager" -w "passcode1" -c -f ./OPAMGroups.ldif
認証エラーが発生した場合は、次の例で示すとおり、-x
と簡易バインド・オプションを使用して、コマンドをもう一度実行します。
x -D "cn=Directory Manager" -w "password1" -c -f ./OPAMGroups.ldif
インストール成功後は、どのユーザーにも管理者ロールは付与されていません。
OPAM管理ロールをユーザーに割り当てるには、ユーザーが第3.3.3項「アイデンティティ・ストアの準備」で作成された各OPAM LDAPグループのメンバーであることを確認してください。ユーザーをOPAM_APPLICATION_CONFIGURATORロールのメンバーにして、そのユーザーに「アプリケーション構成者」ロールを割り当てます。
アプリケーション構成者ユーザーが次のURLを使用してログインすると、OPAMの構成リンクが含まれた空の画面が表示されます。
http://managedserver_host:managedserver_port/oinav/opam
アプリケーション構成者ユーザーは、このリンクを使用して、Oracle Privileged Account Managerサーバーのホストとポートを指定することで、Oracle Privileged Account Managerサーバーが実行されている場所をOracle Privileged Account Managerコンソールに認識させることができます。
Oracle Privileged Account ManagerコンソールがOracle Privileged Account Managerサーバーとの通信に成功すると、Oracle Privileged Account Managerコンソールにコンテンツが移入されます。
これで、Oracle Privileged Account Managerの使用を開始する準備が整いました。
Oracle Privileged Account Managerコンソールの起動と使用の詳細は、第4章「Oracle Privileged Account Managerコンソールの起動と使用」を参照してください。
Oracle Privileged Account Managerコマンド行ツール(CLI)を使用する場合は、付録A「コマンド行ツールの使用」を参照してください。
Oracle Privileged Account ManagerのRESTfulインタフェースを使用する場合は、付録B「Oracle Privileged Account ManagerのRESTfulインタフェースの使用」を参照してください。
次の表では、様々な管理ロールに基づいてOracle Privileged Account Manager管理者ユーザーが実行できる基本ワークフローについて説明します。
注意: 「アプリケーション構成者」管理ロールを持つ管理者は、通常、すでにOracle Privileged Account Managerサーバーへの接続を構成済です。詳細は、第5.2.2項「Oracle Privileged Account Managerサーバーへの接続の構成」を参照してください。 |
表3-5 管理ロールに基づく管理者ワークフロー