この項では、EMCTLのセキュリティ・コマンドについて説明します。
この項では、次のトピックについて説明します。
表27-6に、EMCTLの一般的なセキュリティ・コマンドを示します。
表27-4 EMCTLのセキュリティ・コマンド
EMCTLコマンド | 説明 |
---|---|
|
OMSのHTTPSコンソール・ポートのSSL構成を設定します。 |
|
OMSのアップロードおよびコンソールをロックすることで、OMSへのHTTPアクセスを回避します。
|
|
OMSアップロードおよびコンソールのロックが解除されるため、OMSへのHTTPアクセスが可能になります。
|
|
後でOMSおよび管理エージェントを保護するときに証明書を発行するために使用する新しい認証局(CA)を作成します。 |
|
新しい管理エージェント登録パスワードを追加します。 |
|
管理リポジトリが起動しているかどうかを確認します。 |
|
管理者資格証明ウォレットを再作成します。 |
|
|
|
|
前述のコマンドのパラメータについて次に説明します。
-host:
ソフトウェア・ロード・バランサ(SLB)または仮想ホスト名を示します。
-ms_hostname:
OMSが実行しているマシンの実際のホスト名を示します。
-slb_port:
アップロード用にSLBで構成されたHTTPSポートを示します。
-slb_console_port:
コンソール・アクセス用にSLBで構成されたHTTPSポートを示します。
-no_slb:
SLB構成を削除します。
-secure_port :
WebTierでのHTTPSアップロード・ポート変更を指定します。
-upload_http_port:
WebTierでのHTTPアップロード・ポート変更を指定します。
-reset:
新しいCAを作成します。
-force_newca:
古いCAで保護された管理エージェントがある場合でも、新しいCAを使用してOMSで強制的に保護します。
-console:
コンソールHTTPSポート用にも証明書を作成します。
-lock_upload:
アップロードをロックします。
-lock_console:
コンソールをロックします。
-unlock_upload:
アップロードのロックを解除します。
-unlock_console:
コンソールのロックを解除します。
-wallet:
外部ウォレットが配置されるディレクトリを示します。
-trust_certs_loc:
信頼できるすべての証明書を含むファイルを示します。
-key_strength:
512|1024|2048
-sign_alg:
署名アルゴリズムmd5|sha1|sha256|sha384|sha512です。
-cert_validity:
証明書が有効である必要がある日数を示します。最小値が1で、最大値が3650です。
-protocol:
WebTierで使用されるSSLプロトコルを示します。<protocol>
の有効な値は、ApacheのSSLプロトコル・ディレクティブで許容される値です。
-jks_loc:
管理者および管理対象サーバーのカスタム証明書を含むJKSの場所を示します。
-jks_pvtkey_alias:
JKSの秘密鍵の別名を示します。
-jks_pwd:
JKSのキーストアのパスワードを示します。
-jks_pvtkey_pwd:
JKSの秘密鍵のパスワードを示します。
-wallet:
管理者および管理対象サーバーのカスタム証明書を含むウォレットの場所を示します。
-use_demo_cert:
管理者および管理対象サーバーのデモンストレーション証明書を構成します。
表27-5に、EMCTLのセキュリティ診断コマンドを示します。
表27-5 EMCTLのセキュリティ診断コマンド
EMCTLコマンド | 説明 |
---|---|
|
指定されたURLへの接続性の問題を診断します。 パラメータについて次に説明します。
|
|
指定されたリポジトリに格納された信頼できる証明書を表示します。 |
|
指定されたキーストア、ウォレットまたはbase64ファイルにある信頼できる証明書を表示します。 |
表27-6に、EMCTL EMキー・コマンドを示します。
表27-6 EMCTL EMキー・コマンド
EMCTLコマンド | 説明 |
---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
この項では、認証を構成するためのEMCTLコマンドについて説明します。
この項で説明するコマンドは次のとおりです。
これらのすべてのコマンドのパラメータについて次に説明します。
-enable_auto_provisioning:
EMでの自動プロビジョニングを有効にします(この場合、外部LDAPユーザーをEMで手動でプロビジョニングする必要はありません)。
-auto_provisioning_minimum_role <min_role>:
LDAPでmin_role
が付与されているEMの外部ユーザーのみを自動プロビジョニングします。
-minimum_privilege <min_priv>:
min_priv
が付与されていないユーザーがEMにアクセスできないようにします。
-use_ssl:
LDAPサーバーに接続するためのSSLを示します。
-cert_file <cert>:
SSLによるLDAPサーバーへの接続時に信頼を確立するためのLDAPサーバー証明書を示します。このオプションは、LDAPサーバーが一般的でない(または信頼できない)認証局によって署名された証明書を持つ場合に指定します。
注意:
このパラメータは、1つの証明書のみ受け入れます。証明連鎖のインポートはサポートされていません。このコマンドを実行する前に、keytool
ユーティリティを使用して証明書をインポートします。
-trust_cacerts:
LDAPサーバーへの接続時にLDAPサーバーの証明書への信頼を確立します。通常、このパラメータは、証明書が既知の認証局によって署名されている場合に使用します。
-keystore_pwd <passwd>:
デフォルトのDemoTrust.jksキーストア
(デフォルトのパスワードが変更された場合)、または検証の一部としてLDAPサーバーの証明書がインポートされるカスタムkeystore
のパスワードを示します。
-use_anonymous_bind:
LDAPサーバーに接続するために匿名バインドを使用します。
EMCTL OSSO認証コマンドは、Oracle Application Server Single Sign-Onを使用して任意のシングル・サインオン・ユーザーをEnterprise Manager管理者として登録するように、Enterprise Managerを構成します。OSSO認証を構成するためのEMCTLコマンドは次のとおりです。
emctl config auth sso -ossoconf <conf file loc> -dasurl <DAS URL> [-unsecure] [-sysman_pwd <pwd>] [-domain <domain>] -ldap_host <ldap host> -ldap_port <ldap port> -ldap_principal <ldap principal> [-ldap_credential <ldap credential>] -user_base_dn <user base DN> -group_base_dn <group base DN> [-logout_url <sso logout url>] [-enable_auto_provisioning] [-auto_provisioning_minimum_role <min_role>] [-minimum_privilege <min_priv>] [-use_ssl] [-cert_file <cert>] [-trust_cacerts] [-use_anonymous_bind] [-keystore_pwd <passwd>]
たとえば、emctl config auth sso -ossoconf $T_WORK/osso.conf -dasurl "http://xxx.oracle.com:11" -sysman_pwd sysman -ldap_host xxx.oracle.com -ldap_port 111 -ldap_principal cn=orcladmin -ldap_credential ackdele1 -user_base_dn "cn=Users,dc=us,dc=oracle,dc=com" -group_base_dn "cn=Groups,dc=us,dc=oracle,dc=com" -logout_url "http://xxx.oracle.com:11/pls/orasso/orasso.wwsso_app_admin.ls_logout?p_done_url=https//xyy.oracle.com:216/em
です。
Oracle Access Manager認証は、Oracle Fusion Middlewareのシングル・サインオン・ソリューションです。この認証スキームは、すべてのエンタープライズ・アプリケーションにわたる認証用の中心的ツールとしてOracle Access Managerで標準化されたデータ・センターに使用されます。OAM認証を構成するためのEMCTLコマンドは次のとおりです。
emctl config auth oam [-sysman_pwd <pwd>] -oid_host <host> -oid_port <port> -oid_principal <principal> [-oid_credential <credential>] [-use_anonymous_bind] -user_base_dn <dn> -group_base_dn <dn> -oam_host <host< -oam_port <port> [-logout_url <url>] [-is_oam10g] [-user_dn <dn>] [-group_dn <dn>] [-enable_auto_provisioning] [-auto_provisioning_minimum_role <min_role>] [-minimum_privilege <min_priv>] [-use_ssl] [-cert_file <cert>] [-trust_cacerts] [-keystore_pwd <passwd>]
たとえば、emctl config auth oam -oid_host "xxx.oracle.com" -oid_port "111" -oid_principal "cn=orcladmin" -user_base_dn "cn=users,dc=us,dc=oracle,dc=com" -group_base_dn "cn=groups,dc=us,dc=oracle,dc=com" -oam_host "xxx.oracle.com" -oam_port "555" -oid_credential "eldleco1" -sysman_pwd "sysman" -logout_url http://xxx.oracle.com:23716/oam/server/logout?end_url=https://yyy.oracle.com:5416/em -enable_auto_provisioning -auto_provisioning_minimum_role “EM_DBA"
です。
OID認証を構成するためのEMCTLコマンドは次のとおりです。ADの場合、次のコマンド構文emctl config auth oid
をemctl config auth ad
と置き換えます。その他のすべてのパラメータは同じままです。
OID認証コマンドは、OIDに対するユーザーの認証を行うために、すべてのアプリケーションのアイデンティティ・ストアとしてOracle Internet Directoryを構成します。
同様に、AD認証コマンドは、ADに対するユーザーの認証を行うために、すべてのアプリケーションのアイデンティティ・ストアとしてMicrosoft Active Directoryを構成します。
emctl config auth oid -ldap_host <ldap host> -ldap_port <ldap port> -ldap_principal <ldap principal> [-ldap_credential <ldap credential>] [-sysman_pwd <pwd>] -user_base_dn <user base DN> -group_base_dn <group base DN> [-user_dn <dn>] [-group_dn <dn>] [-enable_auto_provisioning] [-auto_provisioning_minimum_role <min_role>] [-minimum_privilege <min_priv>] [-use_ssl] [-cert_file <cert>] [-trust_cacerts] [-use_anonymous_bind] [-keystore_pwd <passwd>]
たとえば、emctl config auth oid -ldap_host "xxx.oracle.com" -ldap_port "111" -ldap_principal "cn=orcladmin" -user_base_dn "cn=users,dc=us,dc=oracle,dc=com" -group_base_dn "cn=groups,dc=us,dc=oracle,dc=com" -ldap_credential "elecmee1" -sysman_pwd "sysman" –use_ssl –cert_file “/scratch/oidcert.txt"
です。