Enterprise Manager for Oracle Tuxedoの構成
この章では、最初の章で説明したJMXエージェントの構成後にEnterprise Manager for Oracle Tuxedoで行う構成タスクについて説明します。
Oracle Tuxedoアプリケーションの管理とモニターを行うために、まずEnterprise Manager Cloud Controlを使用してTuxedoターゲットを検出する必要があります。
これが検出されると、その中のドメインとコンポーネントを「管理対象ターゲット」ステータスに昇格できます。そして、24時間ごとに自動的に検出ジョブが実行され、ターゲットが更新されます。このプロセスでは、Enterprise Manager Cloud Controlがターゲットをモニターするために必要なデータを収集できるように、各ターゲットに管理エージェントが割り当てられます。
JMXエージェントのすべてのTuxedoドメインを検出するには、次の手順を実行します。
1.
|
Enterprise Manager Cloud Controlにログインします。
|
2.
|
ホーム・ページから、 「ターゲット」→「ミドルウェア」に移動します。
|
3.
|
「ミドルウェアの機能」→ 「Tuxedoサマリー」をクリックします。
|
4.
|
「Tuxedoサマリー」ページで、 「追加」→ 「Tuxedoドメイン検出」をクリックします。
|
5.
|
JMXエージェントにドメインが1つのみ存在する場合は、表示されるページで次のオプションを指定します。
|
•
|
ホスト名: 必須パラメータです。Tuxedoドメインのマスター・マシンを実行しているホストを指定します。
|
•
|
ポート: 必須パラメータです。 tlisten -jオプションで指定されたポート番号です。
|
•
|
アプリケーション・パスワード: オプション・パラメータです。Enterprise ManagerエージェントがTuxedoドメインとの接続に使用するTuxedoアプリケーション・パスワードを指定します。Tuxedoドメインの SECURITY値が APP_PW、 USER_AUTH、 ACLまたは MANDATORY_ACLのいずれかの場合、このパラメータを入力する必要があります。それ以外の場合は、フィールドを空のままにします。
|
•
|
ユーザー名: オプション・パラメータです。Enterprise ManagerエージェントがTuxedoドメインとの接続に使用するTuxedoユーザー名を指定します。Tuxedoドメインの SECURITY値が USER_AUTH、 ACLまたは MANDATORY_ACLのいずれかの場合、このパラメータを入力する必要があります。それ以外の場合は、フィールドを空のままにします。
|
•
|
ユーザー・パスワード: オプション・パラメータです。Enterprise ManagerエージェントがTuxedoドメインとの接続に使用するTuxedoユーザー・パスワードを指定します。Tuxedoドメインの SECURITY値が USER_AUTH、 ACLまたは MANDATORY_ACLのいずれかの場合、このパラメータを入力する必要があります。それ以外の場合は、フィールドを空のままにします。
|
•
|
SSLの使用: オプションです。このオプションは、 tlistenプロセスのEnterprise ManagerとJMXエージェント間のSSLメカニズムを参照します。
|
•
|
Oracle Tuxedoドメインの検索: このボックスが選択されていない場合は、Tuxedoセキュリティ関連情報は無視され、 tlistenおよびTuxedo Homeターゲットのみ検出されます。 tlistenプロセスによってモニターされるTuxedoドメインを検出する場合、このボックスを選択したままにします。
|
•
|
モニタリング・エージェント: 必須オプションです。 tlistenと同じ物理マシンにあるものを選択することをお薦めします。
|
注意:
|
「ユーザー名」、「パスワード」および「アプリケーション・パスワード」を使用して、すべての検出されたターゲットのEnterprise Managerモニタリング資格証明を生成します。Enterprise Managerコンソールで 「設定」→「セキュリティ」をクリックして、モニタリング資格証明を管理できます。
|
tlistenによって1つのドメインのみがモニターされている場合、検出されたターゲットのリストを取得できます。それ以外の場合、表示されるページでドメインを選択し、そのドメイン固有のパラメータを入力し、
「今すぐ検出」を再度クリックします。
Enterprise Manager Cloud ControlにスタンドアロンのTuxedoターゲットを追加するには、次の手順を実行します。
1.
|
SYSMANとしてEnterprise Manager Cloud Controlにログインします。
|
2.
|
ホーム・ページから、 「設定」→「ターゲットの追加」の順に選択します。
|
3.
|
「ターゲットの手動追加」→「ターゲット・モニタリング・プロパティを指定して非ホスト・ターゲットを追加」の順に選択します。
|
Enterprise Manager Cloud Controlは
tlistenを回避し、Enterprise Repositoryに直接ターゲットを追加します。
Enterprise Manager for Oracle Tuxedoは次のセキュリティ・メカニズムをサポートします。
Tuxedoドメインの
SECURITYパラメータが
APP_PWの場合、Enterprise Managerエージェントにより認証用のTuxedoアプリケーション・パスワードが提供されます。
SECURITYパラメータが
USR_AUTH、
ACLまたは
MANDATORY_ACLの場合は、Enterprise Managerエージェントは認証用のアプリケーション・パスワード、ユーザー名およびユーザー・パスワードを提供します。また、
AUTHSVRは
UBBCONFIGファイルで構成する必要があります。
Enterprise Managerにより使用されるTuxedoユーザーのクライアント名は
tpsysadmである必要があります。それ以外の場合は、一部のメトリックおよびジョブ・リクエストが失敗します。
Tuxedoセキュリティ構成に基づくJOBが呼び出されると、次の3つの事例が発生する場合があります。
「資格証明」ページは表示されません。ジョブはただちに実行されます。
「資格証明」ページが表示され、Tuxedoのユーザー名、パスワードおよびアプリケーション・パスワードの入力が要求されます。Enterprise Manager OMSは、このような情報を同時に取得し、JMXエージェントと通信します。認証に成功すると、ジョブが実行されます。それ以外の場合は、ジョブは拒否されます。
注意:
|
Tuxedoが認証または認可にTuxedoユーザー名フィールドおよびTuxedoパスワード・フィールドの値を使用しない場合でも、この2つのフィールドをプレースホルダとして入力する必要があります。
|
「資格証明」ページが表示され、Tuxedoのユーザー名、パスワードおよびアプリケーション・パスワードの入力が要求されます。Enterprise Manager OMSは、この情報を使用して、JMXエージェントと通信します。認証に成功すると、後でジョブが実行されます。反対に、認証または認可に失敗するとジョブは拒否されます。
注意:
|
TuxedoドメインまたはTuxedoマシン・タイプを持つTuxedoターゲットを起動する場合
|
•
|
ターゲット・ステータスにかかわらず呼び出される場合があります。
|
ターゲットの検出後、ステータスまたはメトリックの更新を必要とするすべてのターゲットは、ターゲット・インスタンス・プロパティへのユーザー名、パスワードおよびアプリケーション・パスワードを使用して更新されます。
Enterprise Managerエージェントに呼び出されたfetchletは、Tuxedoセキュリティが有効化されると、ターゲット・インスタンスのプロパティとして保管されたユーザー名、パスワードおよびアプリケーション・パスワードを使用してTuxedo JMXエージェントに接続します。
Oracle Tuxedo認証を有効にせず、JMXインタフェースで認証を行う必要がある場合は、スタンドアロンJMX認証を構成できます。
スタンドアロンJMX認証を有効にする手順は次のとおりです。
1.
|
コマンド行ツール jmxaaacfgを実行して、パスワード・ファイルを生成します。
|
$ jmxaaacfg [action] [username] [password] [password file name]
引数
actionは、add/delete/modifyのいずれかのアクションを指定します。
•
|
add: 新規のユーザー名/パスワードのペアを追加します。
|
•
|
delete: ユーザー名/パスワードのペアを削除します。
|
•
|
modify: 既存のユーザー名/パスワードのペアを変更します。
|
パラメータ「
username」と「
password」は平文です。
jmxaaacfgは、これを暗号化してユーザーが作成したパスワード・ファイルに保存します。JMX AAAパスワード・ファイルは、RMI認証のために独自の形式「
username password」を使用します。パラメータ
[password file name]には、ユーザーが保管するパスワード・ファイルの有効な絶対パスを指定する必要があります。
a.
|
jmxaaacfg add [username] [password] [path/filename]
|
b.
|
jmxaaacfg modify [username] [new password] [path/filename]
|
c.
|
jmxaaacfg delete [username] [path/filename]
|
2.
|
tlistenに -qオプションを追加します。 -qオプションは、パスワード・ファイルの場所を指定します。
|
tlistenプロセスに埋め込まれたEM OMS/エージェントとJMXエージェントの間のSSL接続
例: 起動/停止など、すべてのTuxedoターゲット・ホーム・ページからの管理ジョブ・アクション。
メトリックfetchletと検出(手動または自動)の両方がこの接続に基づいています。
注意:
|
Enterprise Manager Cloud Controlは、拡張構成モードを使用してインストールする必要があります。それ以外の場合は、管理ジョブ(UBBの変更、ターゲットの起動または停止)は失敗します。
|
JMXエージェントがSSLを有効化した場合、Enterprise Manager OMS/エージェントはSSLを有効化する必要があります。そうしないと、OMSはJMXエージェントとの接続に失敗します。
JMXエージェントがSSLを有効化した場合は、検出UIページで「SSLの使用」チェック・ボックスを選択する必要があります。そうしないと、検出は拒否されます。
検出UIで「SSLの使用」チェック・ボックスが選択されている場合は、検出プロセスはSSLセキュリティを使用して実行されます。有効化したSSLによる検出の前に、SSLランタイム環境は、Tuxedoアプリケーション、Enterprise Manager OMSおよびEnterprise Managerエージェントの3つの領域で準備完了している必要があります。
•
|
Enterprise Manager OMSの場合
|
•
|
自動検出が呼び出されるときは常に、ドメイン・ターゲットの「SSLの使用」プロパティがチェックされます。「SSLの使用」が 「true」の場合、OMSとJMXエージェントの間の接続にSSLが使用されます。それ以外の場合は、SSLは使用されません。
|
•
|
Tuxedoターゲット・ホーム・ページからジョブが呼び出されるときは常に、ドメイン・ターゲットの「SSLの使用」プロパティがチェックされます。「SSLの使用」が「true」の場合、OMSとJMXエージェントの間の接続にSSLが使用されます。それ以外の場合は、SSLは使用されません。
|
•
|
Enterprise Managerエージェントの場合
|
•
|
メトリック収集がスケジュールされている場合は、ターゲットの「SSLの使用」プロパティがチェックされます。Enterprise ManagerエージェントとJMXエージェントの間の接続では、「SSLの使用」が 「true」の場合、SSLが有効化されます。それ以外の場合は、有効化されません。
|
•
|
検出が正しく実行された場合は、Enterprise Manager OMSは、ターゲット・プロパティを使用して検出されたすべてのターゲットを保存します(これらのプロパティでは、「SSLの使用」を 「true」に設定する必要があります)。
|
警告:
|
SSLが無効化されているすべてのTuxedoターゲットをすでに検出済で、SSLを有効化してJMXエージェントを起動した場合、Enterprise Manager OMS/エージェントはJMXエージェントとの接続に失敗します。つまり、すべての関連ターゲットのステータスは不明であり、Tuxedoホーム・ページからのすべてのジョブ・アクションは拒否されます。
|
解決策: このシナリオが発生した場合、手動検出を再実行する必要があります。
tlisten起動オプションにより、SSLを有効化するキーストアの場所およびパスワードが提供されます。
•
|
キーストア・パスワードを保管または記憶している必要があります。
|
•
|
tlistenがアクティブの場合、 keystoreを変更してから tlistenを再起動します。
|
リスト3-1
例 - keystore.jksの生成
$ keytool -genkeypair -alias tuxedo -keyalg RSA -validity 1825 -keystore keystore.jks
What is your first and last name?
What is the name of your organizational unit?
What is the name of your organization?
[Unknown]: Oracle Corporation
What is the name of your City or Locality?
[Unknown]: Redwood Shores
What is the name of your State or Province?
What is the two-letter country code for this unit?
Is CN=Tuxedo, OU=Oracle Tuxedo, O=Oracle Corporation, L=Redwood Shores, ST=CA, C=US correct?
Enter key password for <tuxedo>
(RETURN if same as keystore password):
注意:
|
[Enter]を押して、キー・パスワードをキーストア・パスワードと同じパスワードに設定する必要があります。そうしないと、検出は成功しません。
|
1.
|
JMXエージェント・キーストアから、JMXエージェント信頼証明書を生成します。(証明書名を tuxedo.cerと仮定します。)
|
2.
|
JMXエージェント信頼証明書を次の信頼ストアの1つにインポートします。
|
•
|
javax.net.ssl.trustStore、オプションがWLS起動スクリプトで設定される場合は startWebLogic.shまたはWLS起動システム・プロパティにより指定される信頼ストア。
|
•
|
$MW_HOME/oracle_common/jdk/jre/lib/security/jssecacerts、存在する場合。
|
•
|
$MW_HOME/oracle_common/jdk/jre/lib/security/cacerts、存在する場合。
|
$MW_HOMEは、Oracle Enterprise Managerのインストール・ディレクトリです。
$ keytool -export -alias tuxedo -keystore keystore.jks -rfc -file tuxedo.cer
Certificate stored in file <tuxedo.cer>
リスト3-3
例 - tuxedo.cerのインポート
$ keytool -import -alias tuxedo -file tuxedo.cer -keystore $MW_HOME/oracle_common/jdk/jre/lib/security/cacerts
Owner: CN=Tuxedo, OU=Oracle Tuxedo, O=Oracle Corporation, L=Redwood Shores, ST=CA, C=US
Issuer: CN=Tuxedo, OU=Oracle Tuxedo, O=Oracle Corporation, L=Redwood Shores, ST=CA, C=US
Valid from: Thu May 10 10:34:40 CST 2012 until: Tue May 09 10:34:40 CST 2017
Certificate fingerprints:
MD5: 63:E2:6E:93:AD:5A:7F:21:CB:3C:51:3F:8C:92:AA:0D
SHA1: 77:D2:86:4F:74:A3:84:64:A0:5B:CA:50:7A:EF:66:DC:7F:92:83:0F
Signature algorithm name: SHA1withRSA
Trust this certificate? [no]: yes
Certificate was added to keystore
注意:
|
$MW_HOME/oracle_common/jdk/jre/lib/security/jssecacertsおよび $MW_HOME/oracle_common/jdk/jre/lib/security/cacerts のデフォルト・パスワードは changeitです。
|
Enterprise Managerエージェントには、信頼ストア(
$EMAGENT_HOME/agent_inst/sysman/config/montrust/AgentTrust.jks)が事前インストールされている場合があります。
$EMAGENT_HOMEは、インストールされているEnterprise Managerエージェントのディレクトリです(たとえば、
/u01/OraHomes/agent)。
AgentTrust.jksが存在する場合は、ユーザーの公開鍵を
AgentTrust.jksにインポートする必要があります。それ以外の場合は、
TuxedoTrust.jksを
$EMAGENT_HOME/agent_inst/sysman/config/montrust/にコピーし、
AgentTrust.jksに名前を変更する必要があります。
通常、Enterprise Managerエージェント側で、CA証明書を
$EMAGENT_HOME/agent_inst/sysman/config/montrust/AgentTrust.jksにインポートする必要があります。AIX 5.3 64ビット・プラットフォームの場合、CA証明書を
$EMAGENT_HOME/agent_13.1.0.0.0/oracle_common/jdk/jre/lib/security/cacertsにもインポートする必要があります。
cd $EMAGENT_HOME/agent_13.1.0.0.0/oracle_common/jdk/jre/lib/security/cacerts
keytool -import -alias tuxedo -file tuxedo.cer -keystore $EMAGENT_HOME/agent_13.1.0.0.0/oracle_common/jdk/jre/lib/security/cacerts -storepass changeit
•
|
$EMAGENT_HOMEは、AIXホストのエージェント・インストール・ホームです。
|
•
|
信頼ストア名は AgentTrust.jks、パスワードは welcomeです。いずれも変更できません。
|
•
|
Enterprise Managerエージェントがアクティブの場合、 truststoreを変更してからEnterprise Managerエージェントを再起動します。
|
リスト3-4
例 - AgentTrust.jksへのインポート
$ keytool -import -alias tuxedo -file tuxedo.cer -keystore AgentTrust.jks
Owner: CN=Tuxedo, OU=Oracle Tuxedo, O=Oracle Corporation, L=Redwood Shores, ST=CA, C=US
Issuer: CN=Tuxedo, OU=Oracle Tuxedo, O=Oracle Corporation, L=Redwood Shores, ST=CA, C=US
Valid from: Thu May 10 10:34:40 CST 2012 until: Tue May 09 10:34:40 CST 2017
Certificate fingerprints:
MD5: 63:E2:6E:93:AD:5A:7F:21:CB:3C:51:3F:8C:92:AA:0D
SHA1: 77:D2:86:4F:74:A3:84:64:A0:5B:CA:50:7A:EF:66:DC:7F:92:83:0F
Signature algorithm name: SHA1withRSA
Trust this certificate? [no]: yes
Certificate was added to keystore
リスト3-5
例 - AgentTrust.jksの確認
$ keytool -list -v -keystore AgentTrust.jks
Your keystore contains 11 entries
Creation date: May 10, 2012
Entry type: trustedCertEntry
Owner: CN=Tuxedo, OU=Oracle Tuxedo, O=Oracle Corporation, L=Redwood Shores, ST=CA, C=US
Issuer: CN=Tuxedo, OU=Oracle Tuxedo, O=Oracle Corporation, L=Redwood Shores, ST=CA, C=US
Valid from: Thu May 10 10:34:40 CST 2012 until: Tue May 09 10:34:40 CST 2017
Certificate fingerprints:
MD5: 63:E2:6E:93:AD:5A:7F:21:CB:3C:51:3F:8C:92:AA:0D
SHA1: 77:D2:86:4F:74:A3:84:64:A0:5B:CA:50:7A:EF:66:DC:7F:92:83:0F
Signature algorithm name: SHA1withRSA
1.
|
JMXエージェントでキーストアが使用可能であることを確認し、SSL有効化オプションを正しく使用して tlistenを起動します。
|
2.
|
Enterprise Managerエージェントの信頼ストアが使用可能であることを確認します。Enterprise Managerエージェントを再起動します。
|
3.
|
Enterprise Manager OMSの信頼ストアが使用可能であることを確認します。
|
4.
|
keystore/ trustoreが変更された後、 tlisten/EMエージェント/OMSを再起動します。
|
5.
|
SSLで使用される最大キー長(ビット)のルール(RSAでは512以上、AESでは256または128など)にSSLが準拠していることを確認します。
|