Enterprise Manager for Oracle Tuxedoの構成

この章では、最初の章で説明したJMXエージェントの構成後にEnterprise Manager for Oracle Tuxedoで行う構成タスクについて説明します。

この章には次のトピックが含まれます:

•	Oracle Tuxedoターゲットの検出と追加

•

セキュリティの構成

Oracle Tuxedoターゲットの検出と追加

Oracle Tuxedoアプリケーションの管理とモニターを行うために、まずEnterprise Manager Cloud Controlを使用してTuxedoターゲットを検出する必要があります。

これが検出されると、その中のドメインとコンポーネントを「管理対象ターゲット」ステータスに昇格できます。そして、24時間ごとに自動的に検出ジョブが実行され、ターゲットが更新されます。このプロセスでは、Enterprise Manager Cloud Controlがターゲットをモニターするために必要なデータを収集できるように、各ターゲットに管理エージェントが割り当てられます。

この項では、以下の内容について説明します。

•	ターゲットの手動検出

•	スタンドアロン・ターゲットの手動追加

ターゲットの手動検出

JMXエージェントのすべてのTuxedoドメインを検出するには、次の手順を実行します。

1.	Enterprise Manager Cloud Controlにログインします。

2.	ホーム・ページから、「ターゲット」→「ミドルウェア」に移動します。

3.	「ミドルウェアの機能」→「Tuxedoサマリー」をクリックします。

4.	「Tuxedoサマリー」ページで、「追加」→「Tuxedoドメイン検出」をクリックします。

5.	JMXエージェントにドメインが1つのみ存在する場合は、表示されるページで次のオプションを指定します。

•	ホスト名: 必須パラメータです。Tuxedoドメインのマスター・マシンを実行しているホストを指定します。

•	ポート: 必須パラメータです。tlisten -jオプションで指定されたポート番号です。

•	アプリケーション・パスワード: オプション・パラメータです。Enterprise ManagerエージェントがTuxedoドメインとの接続に使用するTuxedoアプリケーション・パスワードを指定します。TuxedoドメインのSECURITY値がAPP_PW、USER_AUTH、ACLまたはMANDATORY_ACLのいずれかの場合、このパラメータを入力する必要があります。それ以外の場合は、フィールドを空のままにします。

•	ユーザー名: オプション・パラメータです。Enterprise ManagerエージェントがTuxedoドメインとの接続に使用するTuxedoユーザー名を指定します。TuxedoドメインのSECURITY値がUSER_AUTH、ACLまたはMANDATORY_ACLのいずれかの場合、このパラメータを入力する必要があります。それ以外の場合は、フィールドを空のままにします。

•	ユーザー・パスワード: オプション・パラメータです。Enterprise ManagerエージェントがTuxedoドメインとの接続に使用するTuxedoユーザー・パスワードを指定します。TuxedoドメインのSECURITY値がUSER_AUTH、ACLまたはMANDATORY_ACLのいずれかの場合、このパラメータを入力する必要があります。それ以外の場合は、フィールドを空のままにします。

•	SSLの使用: オプションです。このオプションは、tlistenプロセスのEnterprise ManagerとJMXエージェント間のSSLメカニズムを参照します。

•	Oracle Tuxedoドメインの検索: このボックスが選択されていない場合は、Tuxedoセキュリティ関連情報は無視され、tlistenおよびTuxedo Homeターゲットのみ検出されます。tlistenプロセスによってモニターされるTuxedoドメインを検出する場合、このボックスを選択したままにします。

•	モニタリング・エージェント: 必須オプションです。tlistenと同じ物理マシンにあるものを選択することをお薦めします。

注意:	「ユーザー名」、「パスワード」および「アプリケーション・パスワード」を使用して、すべての検出されたターゲットのEnterprise Managerモニタリング資格証明を生成します。Enterprise Managerコンソールで「設定」→「セキュリティ」をクリックして、モニタリング資格証明を管理できます。

6.	「新規に検出」をクリックします。

tlistenによって1つのドメインのみがモニターされている場合、検出されたターゲットのリストを取得できます。それ以外の場合、表示されるページでドメインを選択し、そのドメイン固有のパラメータを入力し、「今すぐ検出」を再度クリックします。

スタンドアロン・ターゲットの手動追加

Enterprise Manager Cloud ControlにスタンドアロンのTuxedoターゲットを追加するには、次の手順を実行します。

1.	SYSMANとしてEnterprise Manager Cloud Controlにログインします。

2.	ホーム・ページから、「設定」→「ターゲットの追加」の順に選択します。

3.	「ターゲットの手動追加」→「ターゲット・モニタリング・プロパティを指定して非ホスト・ターゲットを追加」の順に選択します。

Enterprise Manager Cloud Controlはtlistenを回避し、Enterprise Repositoryに直接ターゲットを追加します。

セキュリティの構成

Enterprise Manager for Oracle Tuxedoは次のセキュリティ・メカニズムをサポートします。

Tuxedo認証と認可

TuxedoドメインのSECURITYパラメータがAPP_PWの場合、Enterprise Managerエージェントにより認証用のTuxedoアプリケーション・パスワードが提供されます。SECURITYパラメータがUSR_AUTH、ACLまたはMANDATORY_ACLの場合は、Enterprise Managerエージェントは認証用のアプリケーション・パスワード、ユーザー名およびユーザー・パスワードを提供します。また、AUTHSVRはUBBCONFIGファイルで構成する必要があります。

Enterprise Managerにより使用されるTuxedoユーザーのクライアント名はtpsysadmである必要があります。それ以外の場合は、一部のメトリックおよびジョブ・リクエストが失敗します。

JOB

Tuxedoセキュリティ構成に基づくJOBが呼び出されると、次の3つの事例が発生する場合があります。

•

NONE

「資格証明」ページは表示されません。ジョブはただちに実行されます。

•

APP_PW

「資格証明」ページが表示され、Tuxedoのユーザー名、パスワードおよびアプリケーション・パスワードの入力が要求されます。Enterprise Manager OMSは、このような情報を同時に取得し、JMXエージェントと通信します。認証に成功すると、ジョブが実行されます。それ以外の場合は、ジョブは拒否されます。

注意:	Tuxedoが認証または認可にTuxedoユーザー名フィールドおよびTuxedoパスワード・フィールドの値を使用しない場合でも、この2つのフィールドをプレースホルダとして入力する必要があります。

•	ACL/ACL_MANDATORY

「資格証明」ページが表示され、Tuxedoのユーザー名、パスワードおよびアプリケーション・パスワードの入力が要求されます。Enterprise Manager OMSは、この情報を使用して、JMXエージェントと通信します。認証に成功すると、後でジョブが実行されます。反対に、認証または認可に失敗するとジョブは拒否されます。

注意:	TuxedoドメインまたはTuxedoマシン・タイプを持つTuxedoターゲットを起動する場合

•	認証または認可は必要ありません。

•	ターゲット・ステータスにかかわらず呼び出される場合があります。

検出

ターゲットの検出後、ステータスまたはメトリックの更新を必要とするすべてのターゲットは、ターゲット・インスタンス・プロパティへのユーザー名、パスワードおよびアプリケーション・パスワードを使用して更新されます。

詳細は、「Oracle Tuxedoターゲットの検出と追加」を参照してください。

メトリックFetchlet

Enterprise Managerエージェントに呼び出されたfetchletは、Tuxedoセキュリティが有効化されると、ターゲット・インスタンスのプロパティとして保管されたユーザー名、パスワードおよびアプリケーション・パスワードを使用してTuxedo JMXエージェントに接続します。

スタンドアロンJMX認証

Oracle Tuxedo認証を有効にせず、JMXインタフェースで認証を行う必要がある場合は、スタンドアロンJMX認証を構成できます。

スタンドアロンJMX認証を有効にする手順は次のとおりです。

1.	コマンド行ツールjmxaaacfgを実行して、パスワード・ファイルを生成します。

jmxaaacfgの使い方は次のとおりです。

$ jmxaaacfg [action] [username] [password] [password file name]

引数actionは、add/delete/modifyのいずれかのアクションを指定します。

•	add: 新規のユーザー名/パスワードのペアを追加します。

•	delete: ユーザー名/パスワードのペアを削除します。

•	modify: 既存のユーザー名/パスワードのペアを変更します。

パラメータ「username」と「password」は平文です。jmxaaacfgは、これを暗号化してユーザーが作成したパスワード・ファイルに保存します。JMX AAAパスワード・ファイルは、RMI認証のために独自の形式「username password」を使用します。パラメータ[password file name]には、ユーザーが保管するパスワード・ファイルの有効な絶対パスを指定する必要があります。

例:

a.	jmxaaacfg add [username] [password] [path/filename]

b.	jmxaaacfg modify [username] [new password] [path/filename]

c.	jmxaaacfg delete [username] [path/filename]

2.	tlistenに-qオプションを追加します。-qオプションは、パスワード・ファイルの場所を指定します。

tlistenプロセスに埋め込まれたEM OMS/エージェントとJMXエージェントの間のSSL接続

SSL接続には次の2つのタイプがあります。

•	EM OMSとJMXエージェントの間

例: 起動/停止など、すべてのTuxedoターゲット・ホーム・ページからの管理ジョブ・アクション。

•	EMエージェントとJMXエージェントの間

メトリックfetchletと検出(手動または自動)の両方がこの接続に基づいています。

注意:	Enterprise Manager Cloud Controlは、拡張構成モードを使用してインストールする必要があります。それ以外の場合は、管理ジョブ(UBBの変更、ターゲットの起動または停止)は失敗します。

詳細は、 「tlistenプロセスの起動」を参照してください

JMXエージェント

SSLを有効化するには、tlistenを起動した時点でSSLを有効化する必要があります。詳細は、「tlistenプロセスの起動」を参照してください。

JMXエージェントがSSLを有効化した場合、Enterprise Manager OMS/エージェントはSSLを有効化する必要があります。そうしないと、OMSはJMXエージェントとの接続に失敗します。

検出

JMXエージェントがSSLを有効化した場合は、検出UIページで「SSLの使用」チェック・ボックスを選択する必要があります。そうしないと、検出は拒否されます。

検出UIで「SSLの使用」チェック・ボックスが選択されている場合は、検出プロセスはSSLセキュリティを使用して実行されます。有効化したSSLによる検出の前に、SSLランタイム環境は、Tuxedoアプリケーション、Enterprise Manager OMSおよびEnterprise Managerエージェントの3つの領域で準備完了している必要があります。

•	Tuxedoアプリケーションの場合

JMXエージェント用にSSLが有効化されていることを確認します。詳細は、 「tlistenプロセスの起動」を参照してください

•	Enterprise Manager OMSの場合

•	信頼ストアを正しく構成する必要があります。

•	自動検出が呼び出されるときは常に、ドメイン・ターゲットの「SSLの使用」プロパティがチェックされます。「SSLの使用」が「true」の場合、OMSとJMXエージェントの間の接続にSSLが使用されます。それ以外の場合は、SSLは使用されません。

•	Tuxedoターゲット・ホーム・ページからジョブが呼び出されるときは常に、ドメイン・ターゲットの「SSLの使用」プロパティがチェックされます。「SSLの使用」が「true」の場合、OMSとJMXエージェントの間の接続にSSLが使用されます。それ以外の場合は、SSLは使用されません。

•	Enterprise Managerエージェントの場合

•	信頼ストアを正しく構成する必要があります。

•	SSLの起動オプションを変更します。

•	メトリック収集がスケジュールされている場合は、ターゲットの「SSLの使用」プロパティがチェックされます。Enterprise ManagerエージェントとJMXエージェントの間の接続では、「SSLの使用」が「true」の場合、SSLが有効化されます。それ以外の場合は、有効化されません。

•	検出が正しく実行された場合は、Enterprise Manager OMSは、ターゲット・プロパティを使用して検出されたすべてのターゲットを保存します(これらのプロパティでは、「SSLの使用」を「true」に設定する必要があります)。

警告:	SSLが無効化されているすべてのTuxedoターゲットをすでに検出済で、SSLを有効化してJMXエージェントを起動した場合、Enterprise Manager OMS/エージェントはJMXエージェントとの接続に失敗します。つまり、すべての関連ターゲットのステータスは不明であり、Tuxedoホーム・ページからのすべてのジョブ・アクションは拒否されます。

解決策: このシナリオが発生した場合、手動検出を再実行する必要があります。

キーストアおよび信頼ストアの構成

JMXエージェント

キーストア

tlisten起動オプションにより、SSLを有効化するキーストアの場所およびパスワードが提供されます。

注意:

•	キーストア・パスワードを保管または記憶している必要があります。

•	tlistenがアクティブの場合、keystoreを変更してからtlistenを再起動します。

リスト3-1 例 - keystore.jksの生成

$ keytool -genkeypair -alias tuxedo -keyalg RSA  -validity 1825  -keystore keystore.jks

Enter keystore password: 

Re-enter new password: 

What is your first and last name?

  [Unknown]:  Tuxedo

What is the name of your organizational unit?

  [Unknown]:  Oracle Tuxedo

What is the name of your organization?

  [Unknown]:  Oracle Corporation

What is the name of your City or Locality?

  [Unknown]:  Redwood Shores

What is the name of your State or Province?

  [Unknown]:  CA

What is the two-letter country code for this unit?

  [Unknown]:  US

Is CN=Tuxedo, OU=Oracle Tuxedo, O=Oracle Corporation, L=Redwood Shores, ST=CA, C=US correct?

  [no]:  yes

Enter key password for <tuxedo>

        (RETURN if same as keystore password):  

注意:	[Enter]を押して、キー・パスワードをキーストア・パスワードと同じパスワードに設定する必要があります。そうしないと、検出は成功しません。

 

Enterprise Manager OMS

信頼ストア

OMS側では、SSLは標準Java Secure Socket Extension (JSSE)に準拠します。詳細は、Java Secure Socket Extension (JSSE)リファレンス・ガイドを参照してください。

信頼ストアを構成するには、次の手順を実行します。

1.	JMXエージェント・キーストアから、JMXエージェント信頼証明書を生成します。(証明書名をtuxedo.cerと仮定します。)

2.	JMXエージェント信頼証明書を次の信頼ストアの1つにインポートします。

•	javax.net.ssl.trustStore、オプションがWLS起動スクリプトで設定される場合はstartWebLogic.shまたはWLS起動システム・プロパティにより指定される信頼ストア。

•	$MW_HOME/oracle_common/jdk/jre/lib/security/jssecacerts、存在する場合。

•	$MW_HOME/oracle_common/jdk/jre/lib/security/cacerts、存在する場合。

$MW_HOMEは、Oracle Enterprise Managerのインストール・ディレクトリです。

リスト3-2 例 - 証明書のエクスポート

$ keytool -export -alias tuxedo  -keystore keystore.jks -rfc -file tuxedo.cer

Enter keystore password:  

Certificate stored in file <tuxedo.cer>

 

リスト3-3 例 - tuxedo.cerのインポート

$ keytool -import -alias tuxedo -file tuxedo.cer -keystore $MW_HOME/oracle_common/jdk/jre/lib/security/cacerts

Enter keystore password:  

Re-enter new password: 

Owner: CN=Tuxedo, OU=Oracle Tuxedo, O=Oracle Corporation, L=Redwood Shores, ST=CA, C=US

Issuer: CN=Tuxedo, OU=Oracle Tuxedo, O=Oracle Corporation, L=Redwood Shores, ST=CA, C=US

Serial number: 4fab2940

Valid from: Thu May 10 10:34:40 CST 2012 until: Tue May 09 10:34:40 CST 2017

Certificate fingerprints:

         MD5:  63:E2:6E:93:AD:5A:7F:21:CB:3C:51:3F:8C:92:AA:0D

         SHA1: 77:D2:86:4F:74:A3:84:64:A0:5B:CA:50:7A:EF:66:DC:7F:92:83:0F

         Signature algorithm name: SHA1withRSA

         Version: 3

Trust this certificate? [no]:  yes

Certificate was added to keystore

 

注意:	$MW_HOME/oracle_common/jdk/jre/lib/security/jssecacertsおよび$MW_HOME/oracle_common/jdk/jre/lib/security/cacerts のデフォルト・パスワードはchangeitです。

Enterprise Managerエージェント

信頼ストア

Enterprise Managerエージェントには、信頼ストア($EMAGENT_HOME/agent_inst/sysman/config/montrust/AgentTrust.jks)が事前インストールされている場合があります。$EMAGENT_HOMEは、インストールされているEnterprise Managerエージェントのディレクトリです(たとえば、/u01/OraHomes/agent)。

AgentTrust.jksが存在する場合は、ユーザーの公開鍵をAgentTrust.jksにインポートする必要があります。それ以外の場合は、TuxedoTrust.jksを$EMAGENT_HOME/agent_inst/sysman/config/montrust/にコピーし、AgentTrust.jksに名前を変更する必要があります。

通常、Enterprise Managerエージェント側で、CA証明書を$EMAGENT_HOME/agent_inst/sysman/config/montrust/AgentTrust.jksにインポートする必要があります。AIX 5.3 64ビット・プラットフォームの場合、CA証明書を$EMAGENT_HOME/agent_13.1.0.0.0/oracle_common/jdk/jre/lib/security/cacertsにもインポートする必要があります。

たとえば、次のコマンドを入力します。

cd $EMAGENT_HOME/agent_13.1.0.0.0/oracle_common/jdk/jre/lib/security/cacerts

keytool -import -alias tuxedo -file tuxedo.cer -keystore $EMAGENT_HOME/agent_13.1.0.0.0/oracle_common/jdk/jre/lib/security/cacerts -storepass changeit

ここでは、次のとおりです。

•	$EMAGENT_HOMEは、AIXホストのエージェント・インストール・ホームです。

•	tuxedoは、CA証明書のエイリアスです。

•	tuxedo.cerは、CA証明書ファイルです。

注意:

•	信頼ストア名はAgentTrust.jks、パスワードはwelcomeです。いずれも変更できません。

•	Enterprise Managerエージェントがアクティブの場合、truststoreを変更してからEnterprise Managerエージェントを再起動します。

リスト3-4 例 - AgentTrust.jksへのインポート

$ keytool -import -alias tuxedo -file tuxedo.cer -keystore AgentTrust.jks

Enter keystore password:  

Owner: CN=Tuxedo, OU=Oracle Tuxedo, O=Oracle Corporation, L=Redwood Shores, ST=CA, C=US

Issuer: CN=Tuxedo, OU=Oracle Tuxedo, O=Oracle Corporation, L=Redwood Shores, ST=CA, C=US

Serial number: 4fab2940

Valid from: Thu May 10 10:34:40 CST 2012 until: Tue May 09 10:34:40 CST 2017

Certificate fingerprints:

         MD5:  63:E2:6E:93:AD:5A:7F:21:CB:3C:51:3F:8C:92:AA:0D

         SHA1: 77:D2:86:4F:74:A3:84:64:A0:5B:CA:50:7A:EF:66:DC:7F:92:83:0F

         Signature algorithm name: SHA1withRSA

         Version: 3

Trust this certificate? [no]:  yes

Certificate was added to keystore

 

リスト3-5 例 - AgentTrust.jksの確認

$ keytool -list -v -keystore AgentTrust.jks

Enter keystore password:  

Keystore type: JKS

Keystore provider: SUN

Your keystore contains 11 entries

...

Alias name: tuxedo

Creation date: May 10, 2012

Entry type: trustedCertEntry

Owner: CN=Tuxedo, OU=Oracle Tuxedo, O=Oracle Corporation, L=Redwood Shores, ST=CA, C=US

Issuer: CN=Tuxedo, OU=Oracle Tuxedo, O=Oracle Corporation, L=Redwood Shores, ST=CA, C=US

Serial number: 4fab2940

Valid from: Thu May 10 10:34:40 CST 2012 until: Tue May 09 10:34:40 CST 2017

Certificate fingerprints:

         MD5:  63:E2:6E:93:AD:5A:7F:21:CB:3C:51:3F:8C:92:AA:0D

         SHA1: 77:D2:86:4F:74:A3:84:64:A0:5B:CA:50:7A:EF:66:DC:7F:92:83:0F

         Signature algorithm name: SHA1withRSA

         Version: 3

 

サマリー

SSLを有効化する前に、次の手順を実行します。

1.	JMXエージェントでキーストアが使用可能であることを確認し、SSL有効化オプションを正しく使用してtlistenを起動します。

2.	Enterprise Managerエージェントの信頼ストアが使用可能であることを確認します。Enterprise Managerエージェントを再起動します。

3.	Enterprise Manager OMSの信頼ストアが使用可能であることを確認します。

4.	keystore/trustoreが変更された後、tlisten/EMエージェント/OMSを再起動します。

5.	SSLで使用される最大キー長(ビット)のルール(RSAでは512以上、AESでは256または128など)にSSLが準拠していることを確認します。