11.1 管理サーバーへのアクセスの保護

Oracle Traffic Directorの管理サーバー・インスタンスは、管理コンソールおよびコマンドライン・インタフェースをホストします。したがって、管理サーバーへのアクセスを保護するのは重要なことです。

管理サーバー・インタフェースへのユーザー・アクセスは、パスワードに基づく認証によって制御されます。

• 管理サーバーではデフォルトで1つの管理者ユーザー・アカウントのみを使用でき、このアカウントは管理サーバーの作成時に指定します。管理者のユーザー名およびパスワードの変更の詳細は、11.1.1項「管理者のユーザー名およびパスワードの変更」を参照してください。

• 管理サーバーに複数のユーザーがログインできるようにするには、LDAP認証を有効化します。詳細は、11.1.2項「管理サーバーのLDAP認証の構成」を参照してください。

クライアントおよび管理ノードとのOracle Traffic Director管理サーバーのSSL認証は、2つの自己署名証明書(Admin-Client-CertおよびAdmin-Server-Cert)を介して、デフォルトで有効化されます。

• 自己署名管理サーバー証明書は、管理サーバーの作成時に自動作成され、12か月間有効になります。管理サーバー証明書の更新の詳細は、11.1.4項「管理サーバー証明書の更新」を参照してください。

• 自己署名管理サーバーの証明書が格納されたソフトウェア・データベースへのアクセスを保護するには、証明書データベースへのインタフェースを提供するinternalという名前のトークンにパスワードを定義します。詳細は、11.1.3項「管理サーバーのPKCS#11トークンのPINの有効化」を参照してください。

注意: この項のCLIの例はシェル・モード(tadm>)で示されています。CLIシェルの起動の詳細は、2.3.1項「コマンドライン・インタフェースへのアクセス」を参照してください。

11.1.1 管理者のユーザー名およびパスワードの変更

管理コンソールまたはCLIのいずれかを使用して、管理者のユーザー名およびパスワードを変更できます。

管理コンソールを使用した管理者のユーザー名およびパスワードの変更

管理コンソールを使用して、管理者のユーザー名およびパスワードを変更するには、次の操作を行います。

1. 2.3.2項「管理コンソールへのアクセス」の説明に従って、管理コンソールにログインします。

2. ページの左上隅付近にある「ノード」ボタンをクリックします。

   使用可能なノードのリストが表示されます。

3. ノードのリストから、「管理サーバー」を選択します。

4. ナビゲーション・ペインで、「認証」を選択します。

   「認証」ページが表示されます。

5. ユーザー名とパスワードを指定し、「保存」をクリックします。

   
   

   注意: ユーザー名の最大文字数は100文字で、空白を含めることはできません。

   
   

   「コンソール・メッセージ」ペインに、更新した設定が保存されたことを示すメッセージが表示されます。

6. 「共通のタスク」ペインで、「再起動」をクリックして管理サーバーを再起動します。

CLIを使用した管理者のユーザー名およびパスワードの変更

• 管理者のユーザー名を変更するには、set-admin-propコマンドを実行します。

  tadm> set-admin-prop admin-user=user_name
  OTD-70213 The administration server must be restarted for the changes to take effect.
  

  ユーザー名の最大文字数は100文字で、空白を含めることはできません。

• パスワードを変更するには、次の操作を行います。

  1. 次のいずれかのコマンドを実行します。

     tadm> set-admin-prop --set-password
     

     または

     tadm> reset-admin-password
     

     次のプロンプトが表示されます。

     Enter admin-password>
     

  2. 新しいパスワードを入力します。

     新規パスワードを再度入力するプロンプトが表示されます。

     Enter admin-password again>
     

  3. 新規パスワードを再度入力します。

     次のメッセージが表示されます。

     OTD-70201 Command 'reset-admin-password' ran successfully.
     

新規ユーザー名およびパスワードを有効にするには、2.4項「管理サーバーの停止および再起動」の説明に従い、管理サーバーを再起動するがあります。

この項で説明されたCLIコマンドの詳細は、『Oracle Traffic Directorコマンドライン・リファレンス』を参照するか、--helpオプションを付けてコマンドを実行してください。

11.1.2 管理サーバーのLDAP認証の構成

1人以上のユーザーが管理サーバーにログインできるようにする必要がある場合、ユーザーIDとパスワードをディレクトリ・サーバーに格納し、ライトウェイト・ディレクトリ・アクセス・プロトコル(LDAP)によりこのディレクトリ・サーバーにアクセスするようにOracle Traffic Directorを構成できます。

管理コンソールまたはCLIのいずれかを使用して、LDAP認証を有効化し、構成できます。

始める前に

LDAP認証を使用するためのOracle Traffic Directorの構成を開始する前に、次の情報を準備してください。次の情報は、Oracle Traffic DirectorがLDAPディレクトリ・サーバーにアクセスするために使用するldap(s)://host:port/baseDN URLを構成し、LDAPディレクトリ・サーバーが必要なユーザー・レコードを検索するために必要です。

• ディレクトリ・サーバーが実行されるホストの名前。

• LDAPクライアントからのリクエストをディレクトリ・サーバーがリスニングするポート番号。

• ディレクトリ・サーバーが必要なユーザー・レコードの検索を開始するディレクトリ情報ツリー内の場所である、ベース識別名(DN)。

• Oracle Traffic Directorが、LDAPディレクトリ・サーバーに対して自身の認証を行うために提供するユーザーIDとパスワードであるバインドDN。

  
  

  注意: ディレクトリ・サーバーで匿名クライアントによる検索が許可されている場合、バインドDNを指定する必要はありません。

  
  

• 管理サーバーにアクセスできるメンバーで構成されるユーザー・グループ。

  管理サーバーでは、デフォルトで、グループwsadminに属しているユーザーのみがログインを許可されます。LDAP認証を有効化する際、属しているメンバーのログインが可能なグループwsadmin以外のグループのリストを指定できます。

管理コンソールを使用した管理サーバーのLDAP認証の構成

管理コンソールを使用して管理サーバーのLDAP認証を構成するには、次の操作を行います。

1. 2.3.2項「管理コンソールへのアクセス」の説明に従って、管理コンソールにログインします。

2. ページの左上隅付近にある「ノード」ボタンをクリックします。

   使用可能なノードのリストが表示されます。

3. ノードのリストから、「管理サーバー」を選択します。

4. ナビゲーション・ペインで、「認証」を選択します。

   「認証」ページが表示されます。

5. 「LDAP認証」を選択します。

6. 必須のパラメータ(ホスト名、ポート、ベースDN、および許可されているグループ)、および必要に応じてオプションのパラメータを指定します。

   画面上のヘルプおよびプロンプトがすべてのパラメータに提供されています。

   フィールドの値を変更する、または変更したテキスト・フィールドからタブアウトすると、ページの右上隅にある「保存」ボタンが有効になります。

   「リセット」ボタンをクリックすることで、いつでも変更を破棄できます。

7. 必要な変更を行った後、「保存」をクリックします。

   「コンソール・メッセージ」ペインに、更新した設定が保存されたことを示すメッセージが表示されます。

8. 「共通のタスク」ペインで、「再起動」をクリックして管理サーバーを再起動します。

CLIを使用した管理サーバーのLDAP認証の構成

• LDAP認証を有効化にするには、次の例に示すように、enable-admin-ldap-authコマンドを実行します。

  > tadm enable-admin-ldap-auth
   --ldap-url=ldap://ldap.example.com:3950/dc=example,dc=com
   --bind-dn=cn="Directory Manager" --allow-groups=sys,adm,mgr
  OTD-70213 The administration server must be restarted for the changes to take effect.
  

  このコマンドでは、Oracle Traffic Directorがディレクトリ・サーバーldap.example.com:3950のLDAPクライアントとして構成されます。Oracle Traffic Directorは、バインドDNcn="Directory Manager"を使用して、ディレクトリ・サーバーに対して自身の認証を行い、ディレクトリ・サーバーは、ベースDNdc=example,dc=comで必要なユーザー・レコードの検索を開始します。

• LDAP認証を無効化にするには、次の例に示すように、disable-admin-ldap-authコマンドを実行します。

  > tadm disable-admin-ldap-auth
  OTD-70213 The administration server must be restarted for the changes to take effect.
  

• 現在構成されているLDAP認証を表示するには、次の例に示すようにget-admin-ldap-auth-propコマンドを実行します。

  > tadm get-admin-ldap-auth-prop
  enabled=true
  ldap-url="ldap://ldap.example.com:3950/dc=example,dc=com"
  search-filter=uid
  group-search-filter=uniquemember
  group-search-attr=CN
  timeout=10
  allow-group=sys,adm,mgr
  

enable-admin-ldap-auth、disable-admin-ldap-authおよびget-admin-ldap-auth-propCLIコマンドの詳細は、『Oracle Traffic Directorコマンドライン・リファレンス』を参照するか、--helpオプションを付けてコマンドを実行してください。

11.1.3 管理サーバーのPKCS#11トークンのPINの有効化

管理サーバーの自己署名証明書は、公開鍵暗号化標準(PKCS) 11に準拠したセキュリティ・データベースに格納されます。証明書データベースへは、internalという名前のトークンを使用してアクセスします。管理サーバーの証明書データベースへのアクセスを保護するために、internalトークンのPINを有効化できます。

管理サーバー構成内のinternal PKCS#11トークンのPINを有効化すると、次のタスクの実行時にトークンPINを入力するプロンプトが表示されます。

• 管理サーバーの起動。

• 管理サーバーの証明書の更新。

管理コンソールまたはCLIのいずれかを使用して、internalのPINを設定、変更または無効化できます。

管理コンソールを使用した管理サーバーのPKCS#11トークンのPINの設定

管理コンソールを使用して管理サーバーのPKCS#11トークンのPINを設定するには、次の操作を行います。

1. 2.3.2項「管理コンソールへのアクセス」の説明に従って、管理コンソールにログインします。

2. ページの左上隅付近にある「ノード」ボタンをクリックします。

   使用可能なノードのリストが表示されます。

3. 「管理サーバー」ノードを選択します。

   一般設定ページが表示されます。

4. 「トークンPIN管理」セクションで、「トークンPINの編集」チェック・ボックスを選択します。

   • PINを設定するには、「新規PIN」および「新規PINの確認」フィールドにそれぞれPINを入力し、確認します。

   • PINを変更するには、「現在のPIN」フィールドに現在のPINを入力します。次に、「新規PIN」および「新規PINの確認」フィールドにそれぞれ新しいPINを入力し、確認します。

   • トークンのPINによる保護を無効化するには、「PINの設定解除」を選択します。

   フィールドの値を変更する、または変更したテキスト・フィールドからタブアウトすると、ページの右上隅にある「保存」ボタンが有効になります。

   「リセット」ボタンをクリックすることで、いつでも変更を破棄できます。

5. 必要な変更を行った後、「保存」をクリックします。

   更新された構成が保存されたことを確認するメッセージが、「コンソール・メッセージ」ペインに表示されます。

6. 「共通のタスク」ペインの「停止」をクリックして、管理サーバーを停止します。

7. 次のコマンドを実行して、管理サーバーを起動します。

   > $INSTANCE_HOME/admin-server/bin/startserv
   

8. トークンのPINを入力するプロンプトで、手順4で指定したPINを入力します。

CLIを使用した管理サーバーのPKCS#11トークンのPINの設定

1. 次の例に従い、set-token-pinコマンドを実行します。

   tadm> set-token-pin --config=admin-server --token=internal
   

   トークンがPINによってすでに保護されている場合、現在のPINを入力するプロンプトが表示されます。現在のPINを入力し、プロンプトが表示されたら、新しいPINを入力し、確認します。

2. 2.4項「管理サーバーの停止および再起動」の説明に従い、管理サーバーを再起動します。

set-token-pinの詳細は、『Oracle Traffic Directorコマンドライン・リファレンス』を参照するか、--helpオプションを付けてコマンドを実行してください。

11.1.4 管理サーバー証明書の更新

自己署名管理サーバー証明書の有効期限を延長するには、renew-admin-certs CLIコマンドを実行します。

たとえば、次のコマンドでは、自己署名管理サーバー証明書の有効期限が、現在の日付の24か月後に設定されます。

tadm> renew-admin-certs --validity=24
OTD-70216 The administration server and the administration nodes need to be restarted for the changes to take effect.

--validityオプションを指定しない場合、有効期限は、現在の日付の12か月後に設定されます。

また、renew-admin-certsコマンドでは、現在アクセス可能な実行中のノードの証明書の更新も試行されます。証明書の更新プロセス中に、ノードがオフライン(実行されていない、またはネットワーク障害によりアクセス不可)の場合、後で、renew-node-certsコマンドをそのノードで実行し、管理サーバーから更新済の証明書をプルできます。

更新された証明書を有効にするには、管理サーバーおよびノードを再起動する必要があります。

注意: 管理サーバーの証明書を更新した後、最初にCLIまたは管理コンソールにアクセスするとき、証明書が信頼されていないソースからのものであるため、サーバーのアイデンティティを確認できないことを示すメッセージが表示されます。続行するには、自己署名証明書を信頼することを選択する必要があります。

証明書データベースへのインタフェースを提供するPKCS#11トークンがPINで保護されている場合(11.1.3項を参照)、トークンPINを入力するプロンプトが表示されます。

この項で説明されたCLIコマンドの詳細は、『Oracle Traffic Directorコマンドライン・リファレンス』を参照するか、--helpオプションを付けてコマンドを実行してください。