| Oracle® Fusion Middleware Oracle Privileged Account Managerの管理 11gリリース2 (11.1.2.3) E61951-02 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Privileged Account Managerの管理 11gリリース2 (11.1.2.3) E61951-02 |
|
前 |
次 |
この章では、OPAMサービス・アカウントに関する背景情報を、それらのアカウントの作成例を含めて説明します。
内容は次のとおりです。
Oracle Privileged Account Managerにターゲットを追加する前に、OPAMサービス・アカウント(無人アカウントとも呼ばれます)をそのターゲットに対して構成する必要があります。OPAMサービス・アカウント(サービス・アカウント)によってOracle Privileged Account Managerはターゲット・システムに接続して管理できます。
OPAMサービス・アカウントを使用して、ターゲット・システム用の資格証明を構成します。
|
注意:
|
サービス・アカウントは、ターゲット・システムでの次のようなすべてのOracle Privileged Account Manager関連の操作の実行に十分な権限を備えている必要があります。
ターゲット内のアカウントに関する詳細の検索および表示。これは、システム上での特権アカウントの検索およびOracle Privileged Account Managerへの追加、チェックアウト中のアカウントの特定などすべての操作に使用されます。
ターゲット内のアカウント・パスワードの変更。これは、checkout、check-in、resetpasswordなどパスワードの変更が含まれる操作に使用されます。
セルフ・パスワードの変更。これは、ターゲット・サービス・アカウント・パスワードのリセット、およびサービス・アカウント自体のパスワードの変更に使用されます。
この項では、ターゲット・システムに接続する際に使用するサービス・アカウントの作成に関する情報を提供します。
|
注意: Oracle Privileged Account Managerの管理対象として、サービス・アカウントおよび特権アカウントと同じアカウントを使用しないでください。 |
サービス・アカウントの作成およびそのアカウントへの権限の割当ての方法は、ターゲット・システムによって異なります。たとえば、Oracle Databaseシステムでのアカウントの作成とロールの割当ての手順は、UNIXオペレーティング・システムの手順とは異なります。
次の例では、サービス・アカウントを作成する2つの方法を示します。
|
注意: これらの例は単なる参考として紹介しています。他の方法でも同じ結果を得られます。 |
Oracle Databaseシステムの場合:
SQLPLUSを使用し、sys userとして接続します。
次のコマンドを実行し、opamsrvcアカウントを作成します。
connect sys/<password> as sysdba create user opamsrvc identified by <password>; grant connect, alter user, select on dba_users to opamsrvc
Linuxシステムの場合:
Linuxを使用し、rootとして接続します。
次のコマンドを実行し、opam_serviceアカウントを作成します。
$ useradd -d /home/opam_service -m -g root -G bin,daemon,sys,adm,disk,wheel
-o -u 0 opam_service
$ passwd opam_service
Oracle Privileged Account Managerでは、リコンシリエーションおよびプロビジョニングの操作を実行するためにターゲット・システム・アカウントを使用します。サポートされているすべてのターゲット・システムにおいて、このアカウントはrootユーザーまたはsudoユーザーのいずれかである必要があります。
コネクタ操作の実行に必要な最低限の権限を持つターゲット・システム・ユーザー・アカウントを作成するには、次の手順を実行します。
SUDOがターゲット・システムにインストールされていない場合、インストール・メディアからインストールします。
visudoコマンドを使用し、要件に応じて/etc/sudoファイルを編集およびカスタマイズします。
|
注意: visudoコマンドを使用してsudoersファイルを編集できない場合は、次を実行します。
|
たとえば、Linuxサーバーにmqmという名前のグループがあり、グループのすべてのメンバーを許可されるすべての権限を持つSUDOユーザーにする場合、sudoersファイルには次の行が含まれている必要があります。
mqm ALL= (ALL) ALL
これはサンプル構成の例です。グループのその他のメンバーや個々のユーザーを特定の権限を持つSUDOユーザーにする場合には、サンプル値mqmに対して行ったのと同じようにこのファイルを編集します。
このため、SUDOユーザーにはこれらのコマンドの実行に必要な権限が必要です。
SUDOユーザーが一度検証されたら10分間有効となるように、同じsudoersファイルを編集します。リコンシリエーション操作が10分を超え、「許可されませんでした」などのエラーが表示される場合は、タイムアウト値を大きくすることが必要になることがあります。コネクタでは、各操作の最初に、その操作が最大10分間有効となるよう、sudo -vオプションを使用してユーザーが検証されます。操作の実行後、sudo -kが実行され、無効化されます。
# Defaults specificationヘッダーの下に次の行を追加します。
Defaults timestamp_timeout=10
これは、このコネクタが正常に機能するための前提条件です。
同じsudoersファイルを編集すると、SUDO Adminモードでコマンドが実行されるたびに、SUDOユーザーはパスワードを要求されます。# Defaults specificationヘッダーの下に次の行を追加します。
Defaults timestamp_timeout=10
これは、このコネクタが正常に機能するための前提条件です。
次のようにしてSUDOユーザーを作成します。
次のコマンドを入力します。
useradd -g group_name -d /home/directory_name -m user_name
コマンドの説明は次のとおりです。
- group_nameは、/etc/sudoersファイルにエントリのあるSUDOユーザー・グループです。
- directory_nameは、ユーザーのデフォルトのディレクトリを作成するディレクトリの名前です。
/home/directory_nameディレクトリに作成される.bash_profileファイルに、次の行を追加してPATH環境変数を設定します。
PATH=/usr/sbin:$PATH export PATH
SUDOユーザーのホーム・ディレクトリに作成されるSUDOユーザーの.bashrc、.cshrcまたは.kshrcファイルに、次の行を追加して、プロンプトの終了文字を$ (ドル記号)から# (ポンド記号)に変更します。
PS1="[\\u@\\h:\\w]#"
shadowファイル内の暗号化されたパスワードには$ (ドル記号)が含まれ、これはデフォルトのプロンプトの終了文字と一致します。shadowファイルへの変更が正しくリコンサイルされるように、プロンプトの終了文字を変更する必要があります。
sudoユーザーでログインします。
ターゲット・システムでsudo -kコマンドを実行し、検証内容を消去します。
ターゲット・システムでsudo -vコマンドを実行し、パスワード・プロンプトが表示されることを確認します。
この手順でsudoユーザーがパスワードの入力を求められない場合は、コネクタが機能していない可能性があります。
Oracle Privileged Account Managerには、ターゲットのサービス・アカウント・パスワードを管理するための次の2つのオプションがあります。
セキュリティ管理者管理ロールを持つ管理者は、Oracle Privileged Account Managerコンソール、コマンド行ツールまたはREST APIを使用してこれらのパスワード管理タスクを実行できます。
|
注意:
|
Oracle Privileged Account Managerでは、パスワード管理操作が監査され、パスワード・アクセスが追跡されます。
必要に応じて、「ターゲット」ページの検索結果表の上にある「パスワードの表示」オプションを使用して、ターゲットのサービス・アカウント用に格納されているパスワードを確認できます。
次の手順を実行します。
「管理」アコーディオンで、「ターゲット」を選択します。
「ターゲット」タブが表示されたら、検索ポートレットを使用してターゲットを検索します。
ターゲットの行番号を選択し、「パスワードの表示」をクリックします。
「現在のパスワードの表示」ダイアログ・ボックスが表示され、ターゲットのサービス・アカウント・パスワードに関する次の情報が示されます。
ターゲット名
サービス・アカウント名
現在のパスワード
パスワード変更時間
完了したら、「閉じる」をクリックします。
ターゲットのサービス・アカウントのパスワード履歴を表示するには、「パスワード履歴」オプションを使用します。
|
注意: パスワード履歴は、lockboxターゲットでは使用できません。 |
ターゲットのパスワード履歴を表示する手順は、次のとおりです。
「管理」アコーディオンで、「ターゲット」を選択し、「ターゲットの検索」ページを開き、「検索」をクリックします。
ターゲットの行番号を選択します。
「パスワード履歴」アイコンがアクティブになったら、「パスワード履歴」をクリックします。
「パスワード履歴の表示」ダイアログ・ボックスに、ターゲット名およびクリア・テキストのパスワード、さらに変更時間(パスワード・リセットの日付と時刻)が表示されます。
完了したら、「閉じる」をクリックします。
必要に応じ、検索結果表の上にある「パスワードのリセット」オプションを使用して、ターゲットのサービス・アカウント用に格納されているパスワードを手動でリセットできます。
次の手順を実行します。
「管理」アコーディオンで、「ターゲット」を選択します。
「ターゲット」タブが表示されたら、検索ポートレットを使用してターゲットを検索します。
ターゲットの行番号を選択し、「パスワードのリセット」をクリックします。
「パスワードのリセット」ダイアログ・ボックスが表示され、ターゲットのサービス・アカウント・パスワードに関する次の情報が示されます。
ターゲット名
サービス・アカウント名
このダイアログ・ボックスには、パスワードをリセットするための次の2つのオプションも含まれます。
新規パスワード: 提供されたスペースに新規パスワードを入力します。
パスワードの自動生成: このチェック・ボックスを選択すると、アカウントのパスワード・ポリシーに従って、自動的にパスワードが生成されます。
新規パスワードを入力するかチェック・ボックスを選択し、「リセット」をクリックします。
Oracle Privileged Account Managerでは、ターゲットのサービス・アカウントは、ターゲットに割り当てられたパスワード・ポリシーによって制御されます。
ターゲットのサービス・アカウントに対するパスワードのロールオーバーは、特権アカウントのパスワードの有効期限と似ています。そのサービス・アカウントに対してパスワードのロールオーバーを有効化し、かつそのパスワードが、関連付けられたパスワード・ポリシーで構成されている有効期限までに変更されていない場合、そのパスワードはOracle Privileged Account Managerによって、ランダム化された値に自動的に変更されます。
|
注意: 異なるターゲット・タイプに対するパスワード・ロールオーバーの有効化の詳細は、第6.2項「Oracle Privileged Account Managerでのターゲットの追加および構成」を参照してください。 |
