Oracle Traffic Directorの管理サーバー・インスタンスは、管理コンソールおよびコマンドライン・インタフェースをホストします。したがって、管理サーバーへのアクセスを保護するのは重要なことです。
管理サーバー・インタフェースへのユーザー・アクセスは、パスワードに基づく認証によって制御されます。
管理サーバーではデフォルトで1つの管理者ユーザー・アカウントのみを使用でき、このアカウントは管理サーバーの作成時に指定します。管理者のユーザー名およびパスワードの変更の詳細は、11.1.1項「管理者のユーザー名およびパスワードの変更」を参照してください。
管理サーバーに複数のユーザーがログインできるようにするには、LDAP認証を有効化します。詳細は、11.1.2項「管理サーバーのLDAP認証の構成」を参照してください。
クライアントおよび管理ノードとのOracle Traffic Director管理サーバーのSSL認証は、2つの自己署名証明書(Admin-Client-Cert
およびAdmin-Server-Cert
)を介して、デフォルトで有効化されます。
自己署名管理サーバー証明書は、管理サーバーの作成時に自動作成され、12か月間有効になります。管理サーバー証明書の更新の詳細は、11.1.4項「管理サーバー証明書の更新」を参照してください。
自己署名管理サーバーの証明書が格納されたソフトウェア・データベースへのアクセスを保護するには、証明書データベースへのインタフェースを提供するinternal
という名前のトークンにパスワードを定義します。詳細は、11.1.3項「管理サーバーのPKCS#11トークンのPINの有効化」を参照してください。
管理コンソールまたはCLIのいずれかを使用して、管理者のユーザー名およびパスワードを変更できます。
管理コンソールを使用した管理者のユーザー名およびパスワードの変更
管理コンソールを使用して、管理者のユーザー名およびパスワードを変更するには、次の操作を行います。
2.3.2項「管理コンソールへのアクセス」の説明に従って、管理コンソールにログインします。
ページの左上隅付近にある「ノード」ボタンをクリックします。
使用可能なノードのリストが表示されます。
ノードのリストから、「管理サーバー」を選択します。
ナビゲーション・ペインで、「認証」を選択します。
「認証」ページが表示されます。
ユーザー名とパスワードを指定し、「保存」をクリックします。
注意: ユーザー名の最大文字数は100文字で、空白を含めることはできません。 |
「コンソール・メッセージ」ペインに、更新した設定が保存されたことを示すメッセージが表示されます。
「共通のタスク」ペインで、「再起動」をクリックして管理サーバーを再起動します。
CLIを使用した管理者のユーザー名およびパスワードの変更
管理者のユーザー名を変更するには、set-admin-prop
コマンドを実行します。
tadm> set-admin-prop admin-user=user_name OTD-70213 The administration server must be restarted for the changes to take effect.
ユーザー名の最大文字数は100文字で、空白を含めることはできません。
パスワードを変更するには、次の操作を行います。
次のいずれかのコマンドを実行します。
tadm> set-admin-prop --set-password
または
tadm> reset-admin-password
次のプロンプトが表示されます。
Enter admin-password>
新しいパスワードを入力します。
新規パスワードを再度入力するプロンプトが表示されます。
Enter admin-password again>
新規パスワードを再度入力します。
次のメッセージが表示されます。
OTD-70201 Command 'reset-admin-password' ran successfully.
新規ユーザー名およびパスワードを有効にするには、2.4項「管理サーバーの停止および再起動」の説明に従い、管理サーバーを再起動するがあります。
この項で説明されたCLIコマンドの詳細は、『Oracle Traffic Directorコマンドライン・リファレンス』を参照するか、--help
オプションを付けてコマンドを実行してください。
1人以上のユーザーが管理サーバーにログインできるようにする必要がある場合、ユーザーIDとパスワードをディレクトリ・サーバーに格納し、ライトウェイト・ディレクトリ・アクセス・プロトコル(LDAP)によりこのディレクトリ・サーバーにアクセスするようにOracle Traffic Directorを構成できます。
管理コンソールまたはCLIのいずれかを使用して、LDAP認証を有効化し、構成できます。
始める前に
LDAP認証を使用するためのOracle Traffic Directorの構成を開始する前に、次の情報を準備してください。次の情報は、Oracle Traffic DirectorがLDAPディレクトリ・サーバーにアクセスするために使用するldap(s)://
host:port
/baseDN
URLを構成し、LDAPディレクトリ・サーバーが必要なユーザー・レコードを検索するために必要です。
ディレクトリ・サーバーが実行されるホストの名前。
LDAPクライアントからのリクエストをディレクトリ・サーバーがリスニングするポート番号。
ディレクトリ・サーバーが必要なユーザー・レコードの検索を開始するディレクトリ情報ツリー内の場所である、ベース識別名(DN)。
Oracle Traffic Directorが、LDAPディレクトリ・サーバーに対して自身の認証を行うために提供するユーザーIDとパスワードであるバインドDN。
注意: ディレクトリ・サーバーで匿名クライアントによる検索が許可されている場合、バインドDNを指定する必要はありません。 |
管理サーバーにアクセスできるメンバーで構成されるユーザー・グループ。
管理サーバーでは、デフォルトで、グループwsadmin
に属しているユーザーのみがログインを許可されます。LDAP認証を有効化する際、属しているメンバーのログインが可能なグループwsadmin
以外のグループのリストを指定できます。
管理コンソールを使用した管理サーバーのLDAP認証の構成
管理コンソールを使用して管理サーバーのLDAP認証を構成するには、次の操作を行います。
2.3.2項「管理コンソールへのアクセス」の説明に従って、管理コンソールにログインします。
ページの左上隅付近にある「ノード」ボタンをクリックします。
使用可能なノードのリストが表示されます。
ノードのリストから、「管理サーバー」を選択します。
ナビゲーション・ペインで、「認証」を選択します。
「認証」ページが表示されます。
「LDAP認証」を選択します。
必須のパラメータ(ホスト名、ポート、ベースDN、および許可されているグループ)、および必要に応じてオプションのパラメータを指定します。
画面上のヘルプおよびプロンプトがすべてのパラメータに提供されています。
フィールドの値を変更する、または変更したテキスト・フィールドからタブアウトすると、ページの右上隅にある「保存」ボタンが有効になります。
「リセット」ボタンをクリックすることで、いつでも変更を破棄できます。
必要な変更を行った後、「保存」をクリックします。
「コンソール・メッセージ」ペインに、更新した設定が保存されたことを示すメッセージが表示されます。
「共通のタスク」ペインで、「再起動」をクリックして管理サーバーを再起動します。
CLIを使用した管理サーバーのLDAP認証の構成
LDAP認証を有効化にするには、次の例に示すように、enable-admin-ldap-auth
コマンドを実行します。
> tadm enable-admin-ldap-auth --ldap-url=ldap://ldap.example.com:3950/dc=example,dc=com --bind-dn=cn="Directory Manager" --allow-groups=sys,adm,mgr OTD-70213 The administration server must be restarted for the changes to take effect.
このコマンドでは、Oracle Traffic Directorがディレクトリ・サーバーldap.example.com:3950
のLDAPクライアントとして構成されます。Oracle Traffic Directorは、バインドDNcn="Directory Manager"
を使用して、ディレクトリ・サーバーに対して自身の認証を行い、ディレクトリ・サーバーは、ベースDNdc=example,dc=com
で必要なユーザー・レコードの検索を開始します。
LDAP認証を無効化にするには、次の例に示すように、disable-admin-ldap-auth
コマンドを実行します。
> tadm disable-admin-ldap-auth
OTD-70213 The administration server must be restarted for the changes to take effect.
現在構成されているLDAP認証を表示するには、次の例に示すようにget-admin-ldap-auth-prop
コマンドを実行します。
> tadm get-admin-ldap-auth-prop
enabled=true
ldap-url="ldap://ldap.example.com:3950/dc=example,dc=com"
search-filter=uid
group-search-filter=uniquemember
group-search-attr=CN
timeout=10
allow-group=sys,adm,mgr
enable-admin-ldap-auth
、disable-admin-ldap-auth
およびget-admin-ldap-auth-prop
CLIコマンドの詳細は、『Oracle Traffic Directorコマンドライン・リファレンス』を参照するか、--help
オプションを付けてコマンドを実行してください。
管理サーバーの自己署名証明書は、公開鍵暗号化標準(PKCS) 11に準拠したセキュリティ・データベースに格納されます。証明書データベースへは、internal
という名前のトークンを使用してアクセスします。管理サーバーの証明書データベースへのアクセスを保護するために、internal
トークンのPINを有効化できます。
管理サーバー構成内のinternal
PKCS#11トークンのPINを有効化すると、次のタスクの実行時にトークンPINを入力するプロンプトが表示されます。
管理サーバーの起動。
管理サーバーの証明書の更新。
管理コンソールまたはCLIのいずれかを使用して、internal
のPINを設定、変更または無効化できます。
管理コンソールを使用した管理サーバーのPKCS#11トークンのPINの設定
管理コンソールを使用して管理サーバーのPKCS#11トークンのPINを設定するには、次の操作を行います。
2.3.2項「管理コンソールへのアクセス」の説明に従って、管理コンソールにログインします。
ページの左上隅付近にある「ノード」ボタンをクリックします。
使用可能なノードのリストが表示されます。
「管理サーバー」ノードを選択します。
一般設定ページが表示されます。
「トークンPIN管理」セクションで、「トークンPINの編集」チェック・ボックスを選択します。
PINを設定するには、「新規PIN」および「新規PINの確認」フィールドにそれぞれPINを入力し、確認します。
PINを変更するには、「現在のPIN」フィールドに現在のPINを入力します。次に、「新規PIN」および「新規PINの確認」フィールドにそれぞれ新しいPINを入力し、確認します。
トークンのPINによる保護を無効化するには、「PINの設定解除」を選択します。
フィールドの値を変更する、または変更したテキスト・フィールドからタブアウトすると、ページの右上隅にある「保存」ボタンが有効になります。
「リセット」ボタンをクリックすることで、いつでも変更を破棄できます。
必要な変更を行った後、「保存」をクリックします。
更新された構成が保存されたことを確認するメッセージが、「コンソール・メッセージ」ペインに表示されます。
「共通のタスク」ペインの「停止」をクリックして、管理サーバーを停止します。
次のコマンドを実行して、管理サーバーを起動します。
> $INSTANCE_HOME/admin-server/bin/startserv
トークンのPINを入力するプロンプトで、手順4で指定したPINを入力します。
CLIを使用した管理サーバーのPKCS#11トークンのPINの設定
次の例に従い、set-token-pin
コマンドを実行します。
tadm> set-token-pin --config=admin-server --token=internal
トークンがPINによってすでに保護されている場合、現在のPINを入力するプロンプトが表示されます。現在のPINを入力し、プロンプトが表示されたら、新しいPINを入力し、確認します。
2.4項「管理サーバーの停止および再起動」の説明に従い、管理サーバーを再起動します。
set-token-pin
の詳細は、『Oracle Traffic Directorコマンドライン・リファレンス』を参照するか、--help
オプションを付けてコマンドを実行してください。
自己署名管理サーバー証明書の有効期限を延長するには、renew-admin-certs
CLIコマンドを実行します。
たとえば、次のコマンドでは、自己署名管理サーバー証明書の有効期限が、現在の日付の24か月後に設定されます。
tadm> renew-admin-certs --validity=24
OTD-70216 The administration server and the administration nodes need to be restarted for the changes to take effect.
--validity
オプションを指定しない場合、有効期限は、現在の日付の12か月後に設定されます。
また、renew-admin-certs
コマンドでは、現在アクセス可能な実行中のノードの証明書の更新も試行されます。証明書の更新プロセス中に、ノードがオフライン(実行されていない、またはネットワーク障害によりアクセス不可)の場合、後で、renew-node-certs
コマンドをそのノードで実行し、管理サーバーから更新済の証明書をプルできます。
更新された証明書を有効にするには、管理サーバーおよびノードを再起動する必要があります。
注意: 管理サーバーの証明書を更新した後、最初にCLIまたは管理コンソールにアクセスするとき、証明書が信頼されていないソースからのものであるため、サーバーのアイデンティティを確認できないことを示すメッセージが表示されます。続行するには、自己署名証明書を信頼することを選択する必要があります。 |
証明書データベースへのインタフェースを提供するPKCS#11トークンがPINで保護されている場合(11.1.3項を参照)、トークンPINを入力するプロンプトが表示されます。
この項で説明されたCLIコマンドの詳細は、『Oracle Traffic Directorコマンドライン・リファレンス』を参照するか、--help
オプションを付けてコマンドを実行してください。