ここでのトピック
管理者がOracle Audit Vault and Database Firewallにログインすると、管理機能にのみアクセスできるのに対し、監査者は監査機能にのみアクセスできます。
Oracle Audit Vault and Database Firewallには、3つのタイプの管理ユーザー・アカウントがあります。
Audit Vault Serverスーパー管理者:
全システム的な設定を管理します。
スーパー管理者および管理者のユーザー・アカウントを作成します。
すべてのセキュア・ターゲットおよびセキュア・ターゲット・グループにアクセスできます。
セキュア・ターゲットまたはセキュア・ターゲット・グループへのアクセス権を管理者に付与します。
Audit Vault Server管理者: スーパー管理者によってアクセス権を付与された特定のセキュア・ターゲットまたはセキュア・ターゲット・グループにアクセスできます。管理者は全システム的な設定を管理できません。
Database Firewall管理者: Database Firewall管理インタフェースにアクセスできます。Database Firewallに設定できる管理者は1人のみです。
Oracle Audit Vault and Database Firewallのインストール後に、インストール後の構成ページを使用して、Audit Vault Server用の1つのスーパー管理者アカウントおよび1つのスーパー監査者アカウントに対するパスワードと、Database Firewall用の1つの管理者アカウントに対するパスワードを作成および指定できます。
それ以降、サーバーに対して、Audit Vault Serverスーパー管理者は他の管理ユーザーを作成でき、スーパー監査者は他の監査ユーザーを作成できます。
この章では、Oracle Audit Vault and Database Firewall管理者ユーザー・インタフェース用のユーザー・アカウントおよびパスワードの管理について説明します。
関連項目:
インストール後の構成の詳細は、『Oracle Audit Vault and Database Firewallインストレーション・ガイド』を参照してください。
監査者アカウントの管理の詳細は、『Oracle Audit Vault and Database Firewall監査者ガイド』を参照してください。
Oracle Audit Vault and Database Firewallは、ユーザー・アカウントのSTIGルールに従います。
Oracle Audit Vault and Database Firewallは、ユーザー・アカウントに関してセキュリティ技術導入ガイド(STIG)および実装のルールに従います。
デフォルトのOracle Audit Vault and Database Firewallユーザー・アカウントにはカスタム・パスワードが必要です。
ログイン試行の連続失敗回数は3です。
ユーザーがログイン試行失敗回数の最大値を超えると、スーパー管理者によって解除されるまでアカウントがロックされます。
アカウントのロックアウトはスーパー管理者がユーザー・アカウントをリセットするまで続きます。
関連項目:
STIGコンプライアンスの詳細は、セキュリティ技術導入ガイドを参照してください
ここでのトピック
管理アカウント・タイプは、管理者からスーパー管理者に、またはその反対に変更できます。
ユーザーのアカウント・タイプを管理者からスーパー管理者に変更した場合、そのユーザーはすべてのセキュア・ターゲットおよびセキュア・ターゲット・グループにアクセスできます。
Oracle AVDFでユーザー・アカウント・タイプを変更するには:
Audit Vault Serverにスーパー管理者としてログインします。
「設定」タブをクリックします。
デフォルトでは、「管理者の管理」ページが表示され、既存のユーザーと、そのユーザーがアクセスできるセキュア・ターゲットまたはセキュア・ターゲット・グループが表示されます。
変更するユーザー・アカウントの名前をクリックします。
「管理者の変更」ページの「タイプ」セクションで、「変更」をクリックします。
「タイプ」ドロップダウン・リストで、新しい管理者タイプを選択します。
「スーパー管理者」から「管理者」にタイプを変更した場合、必要に応じて、このユーザーに対するセキュア・ターゲットまたはセキュア・ターゲット・グループへのアクセス権を付与または取り消します。
アクセス権を付与または取り消すセキュア・ターゲットまたはセキュア・ターゲット・グループを選択します。
「アクセス権の付与」または「アクセス権の取消し」をクリックします。
チェック・マークは、アクセス権が付与されていることを示します。Xは、アクセス権が取り消されていることを示します。
必要に応じて、ステップaおよびbを繰り返します。
「保存」をクリックします。
ここでのトピック
ユーザーのsudo
アクセスを構成するには、root
権限が必要です。
root
ユーザーとしてシステムにログインします。
useradd
コマンドを使用して通常のユーザー・アカウントを作成します。
たとえば、ユーザーpsmith
の通常のユーザー・アカウントを作成するには、次のように入力します。
# useradd psmith
passwd
コマンドを使用してユーザーのパスワードを設定します。
次に例を示します。
# passwd psmith Changing password for user psmith. New password: new_password Retype new password: new_password passwd: all authentication tokens updated successfully
visudo
ユーティリティを実行して、/etc/sudoers
ファイルを編集します。
# visudo
sudoers
ファイルは、sudo
コマンドが適用するポリシーを定義します。
sudoers
ファイル内で、有効にすることで、wheelグループ内のユーザーにアクセス権限を付与するための行を探します。
## Allows people in group wheel to run all commands # %wheel ALL=(ALL) ALL
%wheel
で始まる2番目の行の先頭にあるコメント文字(#
)を削除します。
これにより、構成オプションが有効になります。
変更を保存して、エディタを終了します。
usermod
コマンドを使用して、前に作成したユーザー・アカウントをwheel
グループに追加します。
次に例を示します。
usermod -aG wheel psmith
更新した構成が作成したユーザーに対して有効になっていることをテストするため、sudo
を使用してコマンドを実行します。
su
コマンドを使用して作成した新しいユーザー・アカウントに切り替えます。
# su psmith
groups
コマンドを使用してユーザーがwheelグループに属していることを確認します。
$ groups psmith wheel
sudo
コマンドを使用してwhoami
コマンドを実行します。
これが、このユーザー・アカウントからsudo
を使用してコマンドを実行する最初の機会となるため、バナー・メッセージが表示されます。ユーザー・アカウントのパスワードを入力するように要求されます。
$ sudo whoami
次の出力が表示されます。
We trust you have received the usual lecture from the local System Administrator. It usually boils down to these three things: #1) Respect the privacy of others. #2) Think before you type. #3) With great power comes great responsibility.
要求されたら、次のようにパスワードを入力します。
[sudo] password for psmith: password
root
出力の最後の行は、whoami
コマンドによって返されるユーザー名です。sudo
アクセスが正しく構成されている場合は、この値はroot
です。
スーパー管理者は、すべてのセキュア・ターゲットおよびセキュア・ターゲット・グループにアクセスでき、特定のターゲットおよびグループへのアクセス権を管理者に付与できます。
セキュア・ターゲットまたはセキュア・ターゲット・グループへのアクセス権は、次の2つの方法で制御できます。
セキュア・ターゲットまたはセキュア・ターゲット・グループを変更して、1人以上のユーザーに対するアクセス権を付与または取り消します。
ユーザー・アカウントを変更して、1つ以上のセキュア・ターゲットまたはセキュア・ターゲット・グループへのアクセス権を付与または取り消します。
Audit Vault and Database Firewallユーザー・アカウントには、パスワード変更ポリシーを適用する必要があります。たとえば、定期的に(120日ごとなど)パスワードを変更することや、簡単に推測されないパスワードを作成することをユーザーに要求します。
Unicode文字を含むパスワードの要件
パスワードにUnicode文字(アクセント記号付きの非英語文字など)が含まれている場合、パスワードの要件は次のとおりです。
8文字以上30文字以下にします。
英語のみ(ASCII)のパスワードの要件
英語のみのASCII印刷可能文字を使用する場合、Oracle AVDFでは次のパスワードが必要です。
8文字以上30文字以下にします。
次のそれぞれを、少なくとも1つずつ含めます。
小文字: a-z
大文字: A-Z
数値: 0-9
区切り記号: コンマ(,)、ピリオド(.)、プラス記号(+)、コロン(:)、感嘆符(!)およびアンダースコア(_)
二重引用符(")、バックスペースまたは制御文字は含めません。
また、パスワードに関する推奨事項は次のとおりです。
ユーザー名と同じにならないようにします。
Oracleの予約語は使用できません。
わかりやすい語(welcome、account、database、userなど)は使用しないでください。
連続する文字が含まれないようにします。
Oracle Audit Vault and Database Firewallのユーザー・パスワードの有効期限が切れると、新しいものを作成するように要求されます。ただし、パスワードはいつでも変更できます。
自分のパスワードの変更
Audit Vault Serverユーザー・パスワードを変更するには:
Audit Vault Serverに管理者としてログインします。
「設定」タブをクリックした後、「パスワードの変更」をクリックします。
「現在のパスワード」と「新規パスワード」に値を入力した後、該当するフィールドに新しいパスワードを再入力します。
パスワードがカスタム・パスワードであることを確認します。
「保存」をクリックします。
別の管理者のパスワードの変更
スーパー管理者である場合は、管理者のパスワードを変更できます。
別の管理者のパスワードを変更するには:
Audit Vault Serverにスーパー管理者としてログインします。
「設定」タブをクリックします。
「管理者の管理」ページで、管理者の名前をクリックします。
「パスワードの変更」セクションで、「新規パスワード」および「新規パスワードの再入力」フィールドに入力して、「保存」をクリックします。
パスワードがカスタム・パスワードであることを確認します。
関連項目: