1. ユーザーズ・ガイド
  2. リスクの分析とベスト・プラクティスへの準拠
  3. Oracle ORAchkおよびOracle Exachkの構成
  4. Oracle ORAchkまたはOracle EXAchkを実行するユーザーの決定

2.3.1 Oracle ORAchkまたはOracle EXAchkを実行するユーザーの決定

rootとして状態チェックを実行します。また、Oracle Databaseホーム所有者またはOracle Grid Infrastructureホーム所有者として状態チェックを実行します。

ほとんどの状態チェックでは、rootアクセスは必要ありません。ただし、状態チェックのサブセットを実行するにはroot権限が必要です。

root権限チェックを実行するには、Oracle ORAchkではスクリプトroot_orachk.shを使用し、Oracle EXAchkではスクリプトroot_exachk.shを使用します。

デフォルトでは、root_orachk.shおよびroot_exachk.shスクリプトは、一時ディレクトリ(Oracle ORAchkおよびOracle EXAchkで使用される$HOME)に作成されます。環境変数RAT_TMPDIRを使用して、一時ディレクトリを変更します。

セキュリティ上の理由から、rootスクリプトは、標準一時ディレクトリの外部の、カスタム・ディレクトリで作成してください。

Oracle ORAchkおよびOracle EXAchkを実行するユーザーを決定するには:

  1. RAT_ROOT_SH_DIR環境変数を使用して、カスタム・ディレクトリを指定します。
    export RAT_ROOT_SH_DIR=/orahome/oradb/
  2. sudoリモート・アクセスの場所を指定します。
    export RAT_ROOT_SH_DIR=/mylocation
  3. /etc/sudoersファイルにエントリを追加します。
    oracle ALL=(root) NOPASSWD:/mylocation/root_orachk.sh

    注意:

    /etc/sudoersファイルでは、エントリのフルパスを指定します。環境変数は使用しません。

  4. (推奨) Oracle ORAchkおよびOracle EXAchkをrootとして実行します。

    rootユーザー資格証明を使用して、Oracle ORAchkおよびOracle EXAchkを実行します。

    rootとして実行されたOracle ORAchkおよびOracle EXAchkプロセスでは、Oracle DatabaseホームおよびOracle Grid Infrastructureホームを所有するユーザーに対するユーザー参照を実行します。rootアクセスが必要ない場合、Oracle ORAchkおよびOracle EXAchkプロセスではsuコマンドを使用して、適切なOracle Databaseホーム・ユーザーまたはOracle Grid Infrastructureホーム・ユーザーとして状態チェックを実行します。より低い権限のアカウントは、rootアクセスが必要な状態チェックを実行するための昇格アクセス権を持つことができません。

    rootとして状態チェックを実行することには、ロール別環境またはセキュリティがより制限された環境において利点があります。

  5. Oracle Databaseホーム所有者またはOracle Grid Infrastructureホーム所有者としてOracle ORAchkおよびOracle EXAchkを実行します。

    Oracle Databaseホーム所有者またはOracle Grid Infrastructureホーム所有者の資格証明を使用して、Oracle ORAchkおよびOracle EXAchkを実行します。

    Oracle ORAchkおよびOracle EXAchkを実行するユーザーには、rootアクセスが必要な状態チェックを実行するためのrootとしての昇格アクセス権が必要です。

    Oracle Databaseホーム所有者またはOracle Grid Infrastructureホーム所有者として状態チェックを実行する場合、ロール別環境で複数回実行する必要があります。セキュリティ要件の制限がより厳しい場合、昇格アクセス件は許可されません。

    他にいくつかのオプションがあります。

    • rootアクセスが必要なチェックをスキップします。

    • プロンプトが表示されたら、rootのユーザーIDおよびパスワードを指定します。

    • sudoを構成します。

      sudoを使用している場合は、状態チェックを実行しているユーザーに対応する/etc/sudoersファイル内に、一時ディレクトリ$HOMEのエントリを追加します。

      $HOMEの設定内容を確認するには、echo $HOMEコマンドを実行します。

      次に例を示します。
      user ALL=(root) NOPASSWD:/root/.orachk/root_orachk.sh
      user ALL=(root) NOPASSWD:/root/.exachk/root_exachk.sh

    • パスワードなしのSSH接続を事前構成します。