4 Oracle Label Securityスタート・ガイド

Oracle Label Securityを使用する前に、Oracle Label Securityをデータベースに登録し、LBACSYS Oracle Label Securityアカウントを有効にしておく必要があります。

• Oracle DatabaseへのOracle Label Securityの登録
  Oracle Label Securityを、その使用場所のデータベースに登録する必要があります。
• LBACSYSのOracle Label Securityへの有効化
  登録プロセスの完了後、デフォルト・ユーザー・アカウントLBACSYSに対して、Oracle Label Securityの管理に必要な権限を提供するLBAC_DBAデータベース・ロールが付与されます。
• Oracle Label SecurityのためのCloud ControlまたはSQL*Plusへのログイン
  Oracle Label Securityの登録および有効化プロセスを完了すると、Oracle Label Securityを使用できるようになります。

4.1 Oracle DatabaseでのOracle Label Securityの登録

Oracle Label Securityを、その使用場所のデータベースに登録する必要があります。

• Oracle Label Securityの登録について
  Oracle Databaseをインストールするとき、デフォルトでOracle Label Securityは有効になりません。
• Oracle Label Securityが登録されて有効になっているかどうかの確認
  Oracle Label Securityが登録されて有効になっているかどうかは、DBA_OLS_STATUSおよびCDB_OLS_STATUSデータ・ディクショナリ・ビューを問い合せることで確認できます。
• SQL*PlusからのOracle Label Securityの登録および有効化
  Oracle Label Securityの登録と有効化はどちらも、SQL*Plusから実行できます。
• DBCAを使用したOracle Label Securityの登録および有効化
  Oracle Label Securityの登録と有効化はどちらも、Database Configuration Assistantを使用して実行できます。

4.1.1 Oracle Label Securityの登録について

Oracle Databaseをインストールする場合、デフォルトではOracle Label Securityは有効になっていません。

Oracle Label Securityをデータベースに登録する必要があります。その後、デフォルトのOracle Label Securityユーザー・アカウントLBACSYSを有効にする必要があります。Oracle Label Securityを登録した後で、必要に応じて無効化および再有効化できます。

マルチテナント環境を使用している場合は、Oracle Label Securityポリシーの作成を計画しているプラガブル・データベース(PDB)でのみOracle Label Securityを登録します。Oracle Label Securityはデータ・ディクショナリ・オブジェクトを保護するように設計されていないため、ルートではポリシーを保護できません。

4.1.2 Oracle Label Securityが登録されて有効になっているかどうかの確認

Oracle Label Securityが登録されて有効になっているかどうかは、DBA_OLS_STATUSおよびCDB_OLS_STATUSデータ・ディクショナリ・ビューを問い合せることで確認できます。

1. SYSDBA管理権限を持つユーザーSYSとして、データベース・インスタンスにログインします。

   sqlplus sys as sysdba
   Enter password: password
   

2. マルチテナント環境を使用している場合は、適切なPDBに接続します。

   たとえば、PDB hrpdbに接続するには、次のようにします。

   CONNECT SYS@hrpdb AS SYSDBA
   Enter password: password
   

   利用可能なPDBを検索するには、DBA_PDBSデータ・ディクショナリ・ビューを問い合せます。現在のPDBを確認するには、show con_nameコマンドを実行します。

3. 適切な問合せを実行して、Oracle Label Securityが登録(構成)されて有効になっているかどうかを確認します。
   • 非マルチテナント・データベースのために、またはマルチテナント環境でルートのみか個々のPDBのためにOracle Label Securityステータスを確認する場合は、DBA_OLS_STATUSを問い合せます。たとえば:

     SELECT * FROM DBA_OLS_STATUS;
     
     NAME                 STATUS  DESCRIPTION        
     -------------------- ------- -------------------------------------
     OLS_CONFIGURE_STATUS TRUE    Determines if OLS is configured
     OLS_DIRECTORY_STATUS FALSE   Determines if OID is enabled with OLS
     OLS_ENABLE_STATUS    TRUE    Determines if OLS is enabled

   • 管理権限がある共通ユーザーとして、マルチテナント環境ですべてのPDBのOracle Label Securityステータスを確認する場合は、CDB_OLS_STATUSを問い合せます。たとえば:

     SELECT * FROM CDB_OLS_STATUS;
     
     NAME                 STATUS  DESCRIPTION                           CON_ID        
     -------------------- ------- ------------------------------------  ------
     OLS_DIRECTORY_STATUS FALSE   Determines if OID is enabled with OLS 4 
     OLS_ENABLE_STATUS    TRUE    Determines if OLS is enabled          4
     OLS_CONFIGURE_STATUS TRUE    Determines if OLS is configured       4
     OLS_DIRECTORY_STATUS FALSE   Determines if OID is enabled with OLS 5 
     OLS_ENABLE_STATUS    TRUE    Determines if OLS is enabled          5
     OLS_CONFIGURE_STATUS TRUE    Determines if OLS is configured       5
       

4.1.3 SQL*PlusからのOracle Label Securityの登録および有効化

Oracle Label Securityの登録と有効化はどちらも、SQL*Plusから実行できます。

1. SYSDBA管理権限を持つユーザーSYSとして、データベース・インスタンスにログインします。

   たとえば:

   sqlplus sys as sysdba
   Enter password: password 
   

2. マルチテナント環境を使用している場合は、適切なPDBに接続します。

   たとえば、PDB hrpdbに接続するには、次のようにします。

   CONNECT SYS@hrpdb AS SYSDBA
   Enter password: password
   

   利用可能なPDBを検索するには、DBA_PDBSデータ・ディクショナリ・ビューを問い合せます。現在のPDBを確認するには、show con_nameコマンドを実行します。

3. 次のように、Oracle Label Securityを登録して有効にします。

   EXEC LBACSYS.CONFIGURE_OLS; -- This procedure registers Oracle Label Security.
   EXEC LBACSYS.OLS_ENFORCEMENT.ENABLE_OLS; -- This procedure enables it.
   

4. SYSOPER権限を持つユーザーSYSとして接続します。

   CONNECT SYS AS SYSOPER -- Or, CONNECT SYS@hrpdb AS SYSOPER
   Enter password: password
   

5. データベースを再起動します。

   たとえば:

   SHUTDOWN IMMEDIATE
   STARTUP

4.1.4 DBCAを使用したOracle Label Securityの登録および有効化

Database Configuration Assistantを使用してOracle Label Securityの登録と有効化の両方を行うことができます。

1. Database Configuration Assistant(DBCA)を開始します。

   • UNIX: 次のコマンドを実行します。

     $ORACLE_HOME/bin/dbca
     

   • Windows: 「スタート」メニューから「すべてのプログラム」をクリックします。次に、「Oracle - ORACLE_HOME」→「Configuration and Migration Tools」→「Database Configuration Assistant」の順にクリックします。

   「ようこそ」画面が表示されます。

2. 「次へ」をクリックします。

   「操作」画面が表示されます。

3. 「データベース・オプションの構成」を選択します。「次へ」をクリックします。

   「データベース」画面が表示されます。

4. リストから、OLSを構成および有効化する必要のあるデータベースを選択します。「次へ」をクリックします。

   「データベース・コンテンツ」画面が表示されます。

5. 「Oracle Label Security」を選択します。「次へ」をクリックします。

   「接続モード」画面が表示されます。

6. 「専用サーバー・モード」または「共有サーバー・モード」を選択します。「終了」をクリックします。

   操作にはデータベースの再起動が必要があることを知らせるダイアログ・ボックスが表示されます。

7. 「OK」をクリックします。

   「確認」ダイアログ・ボックスが表示されます。

8. 「OK」をクリックします。

   DBCAの進捗状況を示す画面が表示されます。

9. 操作が完了すると、別の操作を実行するためのプロンプトが表示されます。「いいえ」をクリックしてDBCAを終了します。

4.2 LBACSYS Oracle Label Securityの有効化

登録プロセスの完了後、デフォルト・ユーザー・アカウントLBACSYSにLBAC_DBAデータベース・ロールが付与されます。このロールは、Oracle Label Securityの管理に必要な権限を提供します。

LBACSYSは、パスワードの期限が切れている、ロックされたアカウントとして作成されます。

1. ALTER USERシステム権限を付与されているユーザー(たとえば、SYSTEMユーザー)として、データベース・インスタンスにログインします。

   たとえば:

   sqlplus system -- Or, sqlplus system@hrpdb for the hrpdb pluggable database (PDB)
   Enter password: password
   

   Oracle Database Vaultが有効になっている場合は、DV_ACCTMGRロールを付与されたユーザーとしてログインします。

2. 次の文を入力します。

   ALTER USER LBACSYS ACCOUNT UNLOCK IDENTIFIED BY password;
   

   passwordを安全なパスワードに置き換えます。パスワードを作成するための最小限の要件は、『Oracle Databaseセキュリティ・ガイド』を参照してください。

LBACSYSをロック解除し、パスワードを指定します。このアカウントをバックアップ・ユーザー・アカウントとして予約することをお薦します。日常的な使用では、Oracle Label Securityを管理する信頼できるユーザーにLBAC_DBAデータベース・ロールを付与することを検討します。

Enterprise Manager Cloud Controlを使用してOracle Label Securityを管理することを計画している場合は、LBAC_DBAロールを付与したユーザーがSELECT ANY DICTIONARY権限も持っていることを確認します。デフォルトでは、LBACSYSユーザーにはすでにこの権限があります。

4.3 Oracle Label SecurityのためのCloud ControlまたはSQL*Plusへのログイン

Oracle Label Securityの登録および有効化プロセスを完了すると、Oracle Label Securityを使用できるようになります。

• Enterprise Manager Cloud ControlからのOracle Label Securityへのログイン
  Enterprise Manager Cloud Controlから、Oracle Label Securityページを使用してOracle Label Securityポリシーを作成および管理します。
• SQL*PlusからのOracle Label Securityへのログイン
  LBAC_DBAデータベース・ロールを付与されている場合は、SQL*PlusからOracle Label Securityにログインできます。

4.3.1 Enterprise Manager Cloud ControlからのOracle Label Securityへのログイン

Enterprise Manager Cloud Controlから、Oracle Label Securityページを使用してOracle Label Securityポリシーを作成および管理します。

1. Oracle Label Securityで使用する予定のCloud Controlターゲット・データベースが構成されていることを確認します。

   ターゲット・データベースの構成の詳細は、Oracle Enterprise Managerのオンライン・ヘルプを参照してください。

2. ブラウザでCloud Controlのログイン・ページを開きます。

   たとえば:

   https://myserver.example.com:7799/em
   

3. SYSMANユーザーとしてCloud Controlにログインします。
4. Cloud Controlのホーム・ページで、「ターゲット」メニューから「データベース」を選択します。
5. 「データベース」ページで、接続先のデータベースのリンクを選択します。

   データベースのホームページが表示されます。

6. 「セキュリティ」メニューで、「Label Security」を選択します。

   「データベース・ログイン」ページが表示されます。

7. 次の情報を入力します。

   • ユーザー名: LBAC_DBAデータベース・ロールを付与されたユーザーのユーザー名を入力するか、LBACSYSと入力します。

   • パスワード: パスワードを入力します。

   • ロール: リストから「通常」を選択します。

   • 別名保存: 次回このページが表示されるときに、これらの資格証明が自動入力されているようにするには、このチェック・ボックスを選択します。資格証明は、Enterprise Managerに安全な方法で格納されます。これらの資格証明へのアクセスは、現在ログインしているユーザーによって異なります。

4.3.2 SQL*PlusからのOracle Label Securityへのログイン

LBAC_DBAデータベース・ロールを付与されている場合は、SQL*PlusからOracle Label Securityにログインできます。

• SQL*PlusからOracle Label Securityを使用するには、ユーザーLBACSYSまたはLBAC_DBAデータベース・ロールを付与されたユーザーとして接続します。ユーザーがこのロールを付与されているかどうかを調べるには、DBA_ROLE_PRIVSデータ・ディクショナリ・ビューのGRANTEEおよびGRANTED_ROLE列を問い合せます。

たとえば:

sqlplus psmith_ols -- Or, sqlplus psmith_ols@hrpdb for a PDB named hrpdb
Enter password: password

利用可能なPDBを検索するには、DBA_PDBSデータ・ディクショナリ・ビューを問い合せます。現在のPDBを確認するには、show con_nameコマンドを実行します。