2 セキュリティの構成

Oracle GoldenGate Veridataには、Secure Sockets Layer (SSL)およびプレーン・ソケット通信を使用して、ビジネス・データを使用する安全でセキュアな環境が用意されています。パスワードを管理し、レポート・ファイルを暗号化することによって、セキュリティを制御できます。

この章の内容は次のとおりです。

Oracle GoldenGate Veridataセキュリティの概要

Oracle GoldenGate Veridataを使用する場合、ビジネス・アプリケーションの表またはファイルからデータ値を選択、表示、ソートします。次のコンポーネントへのアクセスを必ず保護します。

  • Oracle GoldenGate Veridataインストール・ディレクトリにあるファイル、プログラムおよびディレクトリ

  • データ比較の結果が含まれるデータファイル

  • データ値を表示できるOracle GoldenGate Veridata Webユーザー・インタフェース

Oracle GoldenGate Veridataサーバーとエージェントの間のSSL接続の構成

Oracle GoldenGate VeridataOracle GoldenGate Veridataサーバー(サーバー)と、ネットワーク上で接続されている複数のOracle GoldenGate Veridataエージェント(エージェント)との間でSSLおよびプレーン・ソケット通信をサポートします。この項では、サーバーとエージェントの間のSSLおよびセキュアな通信の構成方法について説明します。

注意:

NonStopプラットフォーム用のOracle GoldenGate Veridataエージェントは、SSL通信をサポートしていません。

SSLのシナリオでは、サーバーがSSLクライアント、エージェントがSSLサーバーとみなされます。サーバーとエージェントは、相互のアイデンティティを認証します。サーバーとエージェント間で交換されるデータも暗号化されます。

一方向および双方向SSL接続の構成

Oracle GoldenGate Veridataでは、一方向または双方向でSSLを構成できます。

一方向SSL接続では、SSLクライアント(Oracle GoldenGate Veridataサーバー)がSSLサーバー(Oracle GoldenGate Veridataエージェント)を信頼する必要があります。双方向SSL接続では、SSLサーバーとクライアントの間で相互信頼が必要です。SSLを有効にするには、自己署名証明書または認証局(CA)署名証明書のいずれかを使用できます。

自己署名証明書を使用して一方向SSLを確立する手順:

  1. すべてのエージェントで自己署名証明書を作成します。

  2. すべてのエージェント証明書をサーバーのVeridataWebTrustStoreにアップロードします。「サーバー・アイデンティティおよびトラスト・キーストアの管理」を参照してください。

CA署名証明書を使用して双方向SSLを確立する手順:

  1. すべてのエージェントで自己署名証明書を作成します。

  2. すべてのエージェント証明書をサーバーのVeridataWebTrustStoreにアップロードします。

  3. サーバーのアイデンティティ・ストアの自己証明証明書を作成します。

  4. サーバー・アイデンティティ証明書をすべてのエージェントのトラストストアにアップロードします。

証明書の作成およびインポートの詳細は、「キーストアおよび自己署名証明書の作成」を参照してください。

CA署名証明書を使用して一方向SSLを確立する手順:

  1. すべてのエージェントに対して、同じCAによって発行された証明書を使用します。

  2. サーバーのルートCA証明書を信頼します。

CA署名証明書を使用して双方向SSLを確立する手順:

  1. すべてのエージェントに対して、同じCAによって発行された証明書を使用します。

  2. サーバーのルートCA証明書を信頼します。

  3. CAが発行した証明書をサーバーのアイデンティティ・ストアに使用します。

  4. 前述の手順でエージェント・トラストストアに使用したルートCA証明書を信頼します。

SSLを有効化するプロセス

デフォルトでは、サーバーおよびエージェントでSSLが有効になっていません。SSLを使用する場合は、サーバーおよびエージェントのプロパティを有効にする必要があります。

アイデンティティおよびトラスト・キーストアも作成する必要があります。CA証明書を使用していない場合は、自己署名証明書を作成します。

サーバーとエージェントの間でSSL接続を確立する手順:

  1. サーバーに対するSSLを構成します。「Oracle GoldenGate Veridata ServerのSSL設定の構成」を参照してください。

  2. サーバーを再起動します。

  3. エージェントを停止します。エージェントのSSLを構成します。「Oracle GoldenGate VeridataエージェントのSSL設定の構成」を参照してください。

    1. エージェント側のキーストアを取得します。「サーバー・アイデンティティおよびトラスト・キーストアの管理」を参照してください。

    2. エージェント側のキーストアをエージェント構成プロパティ・ファイルに構成します。

  4. configure_agent_ssl.shを実行し、エージェント構成ファイルに構成したキーストアにパスワードを指定します。「Oracle GoldenGate Veridataエージェント・ウォレットの変更」を参照してください。

  5. エージェントを起動します。

  6. エージェント・キーストアと、Oracle Platform Security Servicesキーストア・サービスに存在するサーバーとの間で信頼が適切に確立されると、SSL通信が確立されます。

Oracle GoldenGate VeridataエージェントのSSL設定の構成

デフォルトでは、SSLはエージェントに対して無効です。SSLを構成するには、エージェントのagent.propertiesファイルの次のプロパティを編集します。

表2-1 agent.propertiesファイルのSSLパラメータ

パラメータ 説明 デフォルト値

server.useSsl

エージェントとサーバーの間のSSL通信を有効化または無効化します。使用される値は、次のとおりです。

  • true: SSL通信を有効にします
  • false: SSL通信を無効にします

false

server.use2WaySsl

SSL通信のfalse値が一方向か双方向かを指定します。オプションは次のとおりです。

  • true: 双方向SSL通信を使用します
  • false: 一方向SSL通信を使用します

false

server.identitystore.type

SSL構成に使用されるキーストアのタイプを指定します。

JKS

server.identitystore.path

サーバー・アイデンティティ・キーストアのパスを指定します。

./certs/serverIdentity.jks (自己署名)

server.truststore.type

SSL構成に使用されるトラストストアのタイプを指定します。

JKS

server.truststore.path

サーバー・トラストストアのパスを指定します。

./certs/serverTrust.jks (自己署名)

server.identitystore.keyfactory.alg.name

SSLサーバー・アイデンティティ・ストアに使用されるキーファクトリのアルゴリズム名。

SunX509

server.truststore.keyfactory.alg.nam

SSLサーバー・トラストストアに使用されるキーファクトリのアルゴリズム名。

SunX509

server.ssl.algorithm.name

SSLアルゴリズム名。

注意: このパラメータの値は、エージェントとサーバーで同じにする必要があります。

TLS

Oracle GoldenGate VeridataサーバーのSSL設定の構成

サーバーとエージェント間のすべての接続でSSL通信を有効にするには、インストールのDOMAIN_HOME/config/veridataディレクトリにあるveridata.cfgファイル内でSSLパラメータを設定する必要があります。表2-2は、SSL通信用にveridata.cfgファイルに設定する必要のある各パラメータの説明です。

特定の接続のみにSSL通信を確立するには、Oracle GoldenGate VeridataWebユーザー・インタフェースで接続プロパティを編集します。詳細は、オンライン・ヘルプを参照してください。

注意:

これらの設定に加えて、Oracle WebLogic ServerドメインのOPSSキーストア・サービスを使用して、サーバー・アイデンティティ・キーストアおよびトラスト・キーストアを構成します。詳細は、「サーバー・アイデンティティおよびトラスト・キーストアの管理」を参照してください。

表2-2 veridata.cfgファイルのSSL設定

パラメータ 説明 デフォルト値

server.useSsl

エージェントとサーバーの間のSSL通信を有効化または無効化します。使用される値は、次のとおりです。

  • true: SSL通信を有効にします
  • false: SSL通信を無効にします

false

server.ssl.client.identitystore.keyfactory.alg.name

SSLサーバー・アイデンティティ・ストアに使用されるキーファクトリのアルゴリズム名。

SunX509

server.ssl.client.truststore.keyfactory.alg.name

SSLサーバー・トラストストアに使用されるキーファクトリのアルゴリズム名。

SunX509

server.ssl.algorithm.name

SSLアルゴリズム名。

注意: このパラメータの値は、エージェントとサーバーで同じにする必要があります。

TLS

キーストアおよび自己署名証明書の作成

相互認証およびSSL通信の確立のために、サーバーとエージェントが相互に信頼し、それぞれのトラストストアに証明書を追加する必要があります。

この項では、Java Runtime Environment (JRE)に付属のkeytoolユーティリティを使用して、キーストアおよび自己署名証明を作成する方法について説明します。keytoolの詳細は、Javaドキュメント(http://docs.oracle.com/javase/7/docs/technotes/tools/#security)を参照してください。

自己署名証明書を使用したアイデンティティ・キーストアの作成

自己署名証明書を含むkeystoreを作成する手順:

  1. 次のように入力します
    keytool -genkey -keystore certs -keyalg rsa -alias vdt_alias -storepass server_ks_pwd -keypass server_pwd
    

  2. プロンプトが表示されたら、証明書について必要な情報を入力します。

サーバーおよびエージェントのキーストアの構築
  1. エージェント・キーストアを作成する手順:
    keytool -genkey -alias agent.server.keys -keyalg RSA -keystore agent.server.keystore -storepass ks_password -keypass keypwd
    
  2. エージェントの証明書をファイルにエクスポートし、次のkeytoolコマンドを実行します。
    keytool -export -alias agent.server.keys -keystore agent.server.keystore -storepass ks_password -file agent.server.cer
    
  3. サーバー・キーストアを作成し、次のkeytoolコマンドを実行します。
    keytool -genkey -alias vdt.web.client.keys -keyalg RSA -keystore vdt.web.client.keystore -storepass ks_password -keypass keypwd
    
  4. サーバーの証明書をファイルにエクスポートし、次のkeytoolコマンドを実行します。
    keytool -export -alias vdt.web.client.keys -keystore vdt.web.client.keystore -storepass ks_password -file vdt.web.client.cer
サーバーおよびエージェントのトラストストアのインポート
  1. サーバー証明書をエージェントのトラストストアにインポートし、次のように入力します。
    keytool -import -v -keystore agent.server.truststore -storepass ks_password -file vdt.web.client.cer
    
  2. エージェントの証明書をサーバーのトラストストアにインポートするには、次のkeytoolコマンドを実行します。
    keytool -import -v -keystore vdt.web.client.truststore -storepass ks_password -file agent.server.cer
例1   エージェントのIDキーストアの作成

keytool -genkey -alias vdt.agent.id -keyalg RSA -keystore vdtAgentID.jks -storepass changeit -keypass changeit -validity 365

C:\java\Java8\jdk1.8.0_40\bin>keytool -genkey -alias vdt.agent.id -keyalg RSA -keystore vdtAgentID.jks -storepass changeit -keypass c
hangeit -validity 365
What is your first and last name?
  [Unknown]:  COMPANY A
What is the name of your organizational unit?
  [Unknown]:  NA
What is the name of your organization?
  [Unknown]:  COMPANY A
What is the name of your City or Locality?
  [Unknown]:  USA
What is the name of your State or Province?
  [Unknown]:  USA
What is the two-letter country code for this unit?
  [Unknown]:  US
Is CN=COMPANY A, OU=NA, O=COMPANY A, L=USA, ST=USA, C=US correct?
  [no]:  yes
 

keytool -export -alias vdt.agent.id -keystore vdtAgentID.jks -storepass changeit -file vdtAgentID.cer

C:\java\Java8\jdk1.8.0_40\bin>keytool -export -alias vdt.agent.id -keystore vdtAgentID.jks -storepass changeit -file vdtAgentID.cer

証明書はvdtAgentID.cerファイルに格納されます。

例2   サーバーのIDキーストアの作成

keytool -genkey -alias vdt.server.id -keyalg RSA -keystore vdtServerID.jks -storepass changeit -keypass changeit -validity 365

C:\java\Java8\jdk1.8.0_40\bin>keytool -genkey -alias vdt.server.id -keyalg RSA -keystore vdtServerID.jks -storepass changeit -keypass changeit -validity 365
 
What is your first and last name?
  [Unknown]:  ORACLE GOLDENGATE VERIDATA SERVER
What is the name of your organizational unit?
  [Unknown]:  NA
What is the name of your organization?
  [Unknown]:  COMPANY A
What is the name of your City or Locality?
  [Unknown]:  USA
What is the name of your State or Province?
  [Unknown]:  USA
What is the two-letter country code for this unit?
  [Unknown]:  US
Is CN=COMPANY A, OU=NA, O=COMPANY A, L=USA, ST=USA, C=US correct?
[no]:  yes

keytool -export -alias vdt.server.id -keystore vdtServerID.jks -storepass changeit -file vdtServerID.cer

C:\java\Java8\jdk1.8.0_40\bin>keytool -export -alias vdt.server.id -keystore vdtServerID.jks -storepass changeit -file vdtServerID.cer

証明書はvdtAgentID.cerファイルに格納されます。

例3   エージェントとサーバーのトラストストアの作成

keytool -import -v -keystore vdtAgentTrust.jks -storepass changeit -file vdtServerID.cer -alias vdt.server.id

C:\java\Java8\jdk1.8.0_40\bin>keytool -import -v -keystore vdtAgentTrust.jks -storepass changeit -file vdtServerID.cer -alias vdt.ser
ver.id
Owner: CN=ORACLE GOLDENGATE VERIDATA SERVER, OU=NA, O=COMPANY A, L=USA, ST=USA, C=US
Issuer: CN=ORACLE GOLDENGATE VERIDATA SERVER, OU=NA, O=COMPANY A, L=USA, ST=USA, C=US
Serial number: 2aded02f
Valid from: Thu May 14 12:18:09 IST 2015 until: Fri May 13 12:18:09 IST 2016
Certificate fingerprints:
         MD5:  4E:7D:89:F7:C8:E8:64:37:E5:0C:D3:03:8F:3E:94:0A
         SHA1: 1B:00:9D:44:BD:73:6E:71:9D:44:56:4A:29:4E:F5:D7:1C:49:57:F3
         SHA256: 25:CB:77:3F:BC:5F:88:4B:09:D2:2D:C1:F8:E6:BA:70:DB:2B:55:53:48:7D:BA:F1:A3:01:18:AB:AA:D1:56:6A
         Signature algorithm name: SHA256withRSA
         Version: 3
 
Extensions:
 
#1: ObjectId: 2.5.29.14 Criticality=false
SubjectKeyIdentifier [
KeyIdentifier [
0000: EF C3 25 BB 83 4E 2D 0D   15 3D EF 50 F7 F2 D0 A6  ..%..N-..=.P....
0010: 94 5F 87 F2                                        ._..
]
]
 
Trust this certificate? [no]:  yes
Certificate was added to keystore
[Storing vdtAgentTrust.jks]

keytool -import -v -keystore vdtServerTrust.jks -storepass changeit -file vdtAgentID.cer -alias vdt.agent.id

C:\java\Java8\jdk1.8.0_40\bin>keytool -import -v -keystore vdtServerTrust.jks -storepass changeit -file vdtAgentID.cer -alias vdt.age
nt.id
Owner: CN=COMPANY A, OU=NA, O=COMPANY A, L=USA, ST=USA, C=US
Issuer: CN=COMPANY A, OU=NA, O=COMPANY A, L=USA, ST=USA, C=US
Serial number: 6b590df2
Valid from: Thu May 14 12:08:00 IST 2015 until: Fri May 13 12:08:00 IST 2016
Certificate fingerprints:
         MD5:  3E:75:A3:96:40:60:10:96:DD:10:7B:4D:E4:3F:4C:04
         SHA1: D1:CC:EB:67:A1:C6:CD:CA:62:27:EA:F8:82:BF:AB:E4:E7:2B:45:6D
         SHA256: E7:20:CF:D4:48:E2:AE:1E:1C:C7:06:1A:B3:0A:17:1F:8F:02:88:B7:A6:A0:5D:F7:12:BC:26:68:5B:C3:C9:C8
         Signature algorithm name: SHA256withRSA
         Version: 3
 
Extensions:
 
#1: ObjectId: 2.5.29.14 Criticality=false
SubjectKeyIdentifier [
KeyIdentifier [
0000: C0 D5 02 D9 24 6F 58 F6   63 D7 34 D3 9D C4 9E 33  ....$oX.c.4....3
0010: FC 16 4E 5F                                        ..N_
]
]
 
Trust this certificate? [no]:  yes
Certificate was added to keystore
[Storing vdtServerTrust.jks]

サーバー・アイデンティティおよびトラスト・キーストアの管理

サーバー・アイデンティティとトラスト・キーストアを格納するリポジトリとして、Oracle Platform Security Servicesのキーストア・サービスを使用します。また、これを使用して、エージェントのキーストアを管理することもできます。詳細は、Oracle® Fusion Middleware Oracle Platform Security Servicesによるアプリケーションの保護キーストア・サービスを使用したキーと証明書の管理に関する項を参照してください。

表2-3に、OPSS設定のデフォルト値を示します。

表2-3 Oracle Platform Security Servicesの設定

設定

サーバーによって作成されるアプリケーション・ストライプの名前

VeridataSec

VeridataSecアプリケーション・ストライプのアイデンティティ・キーストアの名前

VeridataWebIdentityStore

VeridataSecアプリケーション・ストライプのトラスト・キーストアの名前

VeridataWebTrustStore

Oracle Platform Security Servicesのキーストア・サービスを使用して双方向SSLを構成する手順:

  1. エージェントごとに、アイデンティティおよびトラスト・キーストアを作成します。

  2. サーバーのアイデンティティ証明書でVeridataWebIdentityStoreを更新します。

  3. エージェントのすべての証明書でVeridataWebTrustStoreを更新します。

  4. サーバーのアイデンティティ証明書でエージェントの各トラストストアを更新します。

  5. エージェントのキーストアおよびトラストストアをJKSファイルとしてエクスポートし、パスワードをメモします。

  6. JKSファイルを対応するエージェント・マシンに配信します。

  7. configure_agent_sslツールを実行し、キーストア・パスワードでエージェント・ウォレットを更新します。

  8. エージェントごとに、SSLが有効になるようにagent.propertiesファイルを構成します。

Oracle Platform Security Servicesのキーストア・サービスを使用して一方向SSLを構成する手順:

  1. エージェントごとに、アイデンティティ・キーストアを作成します。

  2. サーバーのアイデンティティ証明書でVeridataWebIdentityStoreを更新します。

  3. エージェントのキーストアおよびトラストストアをJKSファイルとしてエクスポートし、パスワードを書きとめます。

  4. JKSファイルを対応するエージェント・マシンに配信します。

  5. configure_agent_sslツールを実行し、キーストア・パスワードでエージェント・ウォレットを更新します。

  6. エージェントごとに、SSLが有効になるようにagent.propertiesファイルを構成します。

Oracle GoldenGate Veridataエージェント・ウォレットの変更

エージェントをSSLモードで起動する前に、アイデンティティおよびトラスト・キーストアのパスワードでエージェント・ウォレットを更新する必要があります。そうしないと、エージェントは起動しません。

ウォレットを更新する手順:

  1. エージェント・ホームにあるconfigure_agent_sslスクリプトを実行します。

    AGENT_HOME\configure_agent_ssl.sh AgentID
    
    AgentIDは、.properties拡張子なしのエージェント・プロパティ・ファイルの名前です。AgentIDのデフォルト値は、agentです。
  2. 入力を求められたら、エージェントのアイデンティティおよびトラスト・キーストアのエントリまたはロック解除のパスワードを入力します。

Oracle GoldenGate Veridataファイルの保護

この項では、ビジネス・データの保護方法およびOracle GoldenGate Veridataインストール・ディレクトリとユーザー・インタフェースへのアクセスの制御方法について説明します。

インストール・ディレクトリへのアクセス制御

標準オペレーティング・システムの権限は、サーバー、エージェント、およびWebユーザー・インタフェース・インストール・ディレクトリのプログラム、ファイルおよびディレクトリに適用されます。これらのオブジェクトの権限はビジネス・セキュリティ・ルールに基づいて調整する必要があります。

ビジネス・データを含むファイルの保護

サーバーによって、重要なアプリケーション・データを含むデータ・ファイルが作成されます。デフォルトでは、これらのファイルはDOMAIN_HOME/veridata/reportsにあります。サブディレクトリには、ビジネス・データを反映するファイルが含まれます。

次のタイプのファイルには重要なデータが含まれています。

  • 比較レポート(rptサブディレクトリ)

  • 非同期レポート(oosxmlおよびoosサブディレクトリ)

これらのファイルは、サーバーのインストール・プログラムを実行するユーザーと同じファイル権限を継承します。権限は変更しないでください。変更すると、Oracle GoldenGate Veridataが権限を保守できなくなる場合があります。これらのファイルはビジネス・データを保管する場合と同様に安全にする必要があります。Oracle GoldenGate Veridata Webユーザー・インタフェースは、クライアント・インタフェースで同じ情報が表示されるため、これらのファイルにアクセスする必要はありません。すべてのレポート・ファイルの内容を暗号化できます。

ユーザー・ロールの定義によるOracle GoldenGate Veridataへのアクセスの保護

ソフトウェア機能へのアクセスを制御するセキュリティ・ロールを割り当てます。その機能の一部によって、一部のデータ値がデータベースから公開されます。

Oracle GoldenGate Veridata タイプ 説明

veridataAdministrator

Type-A

管理者ロールは、最高レベルのセキュリティ・ロールです。このロールは、Oracle GoldenGate Veridataを構成、実行および監視する機能のすべてを実行できます。

veridataPowerUser

Type-A

パワー・ユーザー・ロールが、2番目に高いロールです。このロールは、Webユーザー・インタフェースからOracle GoldenGate Veridataを構成、実行および監視するすべての機能を実行できます。サーバーの構成機能を実行することはできません。

veridataReportViewer

Type-B

レポート・ビューア・ロールでは、Oracle GoldenGate Veridataを構成またはジョブを実行する機能は実行できません。このロールでは、構成およびジョブ情報の表示、比較レポートの表示のみができます。

veridataDetailReportViewer

Type-B

詳細レポート・ビューア・ロールでは、Oracle GoldenGate Veridataを構成またはジョブを実行する機能は実行できません。このロールでは、構成およびジョブ情報の表示のみを行うことができます。Webユーザー・インタフェースを通じて、またはファイル・レベルで、比較レポートおよび非同期レポート情報を表示することもできます。

veridataRepairOperator

Additional

修理操作ロールは、Oracle GoldenGate Veridataで修復機能を使用できます。

veridataCommandLineUser

Additional

コマンドライン・ユーザー・ロールは、Oracle GoldenGate Veridataコマンドライン・ツール、vericom、およびOracle GoldenGate Veridataインポート・ユーティリティとエクスポート・ユーティリティにアクセスできます。

これらのロールは、次のように分類されます。

  • Type AおよびType B: デフォルトでは、Type AおよびType Bのユーザーには追加のユーザー・ロールの権限が割り当てられません。これらのタイプのユーザーに追加のロールを割り当てます。

  • Additional: WebLogic管理者は、これらのAdditionalロールをType Aユーザーに割り当て、必要なOracle GoldenGate Veridata機能を実行できます。

セキュリティは、Oracle WebLogic Server管理コンソールから制御します。管理者ロールが管理コンソールで実行できることは、次のとおりです。

  • ユーザーを作成し、セキュリティ・ロールを割当てます。

  • ユーザー・グループを作成し、セキュリティ・ロールを割当てます。ユーザーはセキュリティ・ロールがなくてもこれらのグループに追加できます。ユーザーはそのグループのロールを継承します。

  • ユーザーを作成してセキュリティ・ロールを割当て、そのユーザーをグループに追加します。ユーザーはそのグループのロールを継承し、各ロールを保持します。

Oracle GoldenGate VeridataでのActive Directoryユーザーの設定

Oracle GoldenGate VeridataでActive Directoryユーザーを設定するには、次の手順を実行します。

  1. Oracle WebLogic Server管理コンソールで、「セキュリティ・レルム」に移動し、「myrealm」を選択してから、「ロールとポリシー」をクリックします。

  2. 「レルム・ロール」サブタブを選択します。

  3. 「グローバル・ロール」を展開し、表から「ロール」リンクをクリックします。
  4. 「新規」をクリックして次のロールを作成します。
    1. ExtAdministrator
    2. ExtPowerUser
    3. ExtDetailReportViewer
    4. ExtReportViewer
    5. ExtReportViewer
Oracle GoldenGate Veridata タイプ 説明
ExtAdministrator

Type-A

ExtAdministratorロールはOracle GoldenGate Veridataにおける最高レベルのセキュリティ・ロールです。このロールは、Oracle GoldenGate Veridataを構成、実行および監視する機能のすべてを実行できます。

ExtPowerUser

Type-A

ExtPowerUserロールはOracle GoldenGate Veridataで2番目に高いロールです。このロールは、Oracle GoldenGate Veridata Webユーザー・インタフェースからOracle GoldenGate Veridataを構成、実行および監視するすべての機能を実行できますが、Oracle GoldenGate Veridataサーバーの構成機能を実行することはできません。

ExtReportViewer

Type-B

ExtReportViewerロールでは、Oracle GoldenGate Veridataを構成する機能やジョブを実行する機能は実行できません。このロールでは、構成およびジョブ情報の表示、比較レポートの表示のみができます。

ExtDetailReportViewer

Type-B

ExtDetailReportViewerロールでは、Oracle GoldenGate Veridataを構成する機能やジョブを実行する機能は実行できません。このロールでは、Oracle GoldenGate Veridata Webユーザー・インタフェースを使用するか、あるいはファイル・レベルでの構成およびジョブ情報の表示、比較レポートおよび非同期レポート情報の表示のみを行えます。

ExtRepairOperator

Additional

ExtRepairOperatorロールでは、Oracle GoldenGate Veridataでの修復機能を使用できます。

Oracle WebLogic Server管理コンソールを開く手順:

  1. ブラウザで、次のアドレスを入力して、Oracle WebLogic Server管理コンソールに接続します。
    http://weblogic_admin_server_hostname:admin_server_port/console
    

    weblogic_admin_server_hostnameは、サーバー・コンポーネントとWebコンポーネントがホストされているシステムの名前またはIPアドレスで、admin_server_portは、サーバーに割り当てられたポート番号(デフォルトは7001)です。

  2. Oracle GoldenGate Veridata管理者ユーザーとしてログオンします。Oracle GoldenGate Veridataドメインを設定したときに、デフォルトの管理者ユーザーが作成されました。

ユーザーの作成または編集手順:

  1. Oracle WebLogic Server管理コンソールの左ペインで、「セキュリティ・レルム」を選択します。
  2. 「セキュリティ・レルムのサマリー」ページで、セキュリティ・レルムの名前を選択します。
  3. Veridataセキュリティ・レルムの設定ページで、「ユーザーとグループ」「ユーザー」の順に選択します。「ユーザー」表に、管理プロバイダで定義されているすべてのユーザーの名前が表示されます。
  4. 既存のユーザーを選択して設定を編集するか、「新規作成」をクリックしてユーザーを作成し、ユーザーのプロパティを入力します。
  5. ユーザーにロールを割り当てるには、user_nameページの「設定」で、「グループ」をクリックします。

    このユーザーに該当するロールを選択します。

    たとえば、管理者のVeridataAdminには、次の図に示す権限を割り当てることができます。

    veridataユーザー・ロール

    たとえば、Veridataパワー・ユーザーであるPowerUserには、次の図に示す権限を割り当てることができます。

    パワー・ユーザー
  6. 「保存」をクリックします。

データベース・スキーマのパスワードの変更

スキーマ・パスワードの失効時、アカウントのロック時、またはパスワードの変更が必要な場合に、データ・スキーマのパスワードを変更できます。この項は、OGG_IAU, OGG_IAU_APPENDOGG_IAU_VIEWERなど、'OGG'という接頭辞が付いたすべてのデータベース・スキーマに適用されます。

データベース・スキーマのパスワードを変更する手順:

  1. Oracle GoldenGate Veridataサーバーを停止します。

    DOMAIN_HOME/veridata/veridata/bin/veridataServer.sh stop
    
  2. Oracle WebLogic Serverを停止します。

    DOMAIN_HOME//veridata/bin/stopWebLogic.sh
    
  3. Oracle WebLogic Scripting Tool (wlst.sh)を起動します。次に例を示します。

    /home/oracle/Oracle/Middleware/Oracle_Home/oracle_common/common/bin/wlst.sh
    
  4. この例に従って、データベース・スキーマのパスワードを変更します。

    modifyBootStrapCredential(jpsConfigFile='/home/oracle/wls_domains/veridata/config/fmwconfig/jps-config.xml',username='OGG_OPSS',password='welcome123')
    

    username=はデータベース・スキーマ名、password=は新しいパスワードです。

  5. exit()を使用してスクリプティング・ツールを終了します。

  6. メタデータ・リポジトリ・データベースにログインし、スキーマ・パスワードを変更してスキーマをロック解除します。

    次の例では、OGG_OPSSスキーマをロック解除します。
    alter user OGG_OPSS identified by welcome123; 
    alter user OGG_IAU identified by welcome123; 
    alter user OGG_IAU_APPEND identified by welcome123; 
    alter user OGG_IAU_VIEWER identified by welcome123; 
    alter user OGG_STB identified by welcome123; 
    alter user OGG_VERIDATA identified by welcome123; 
    alter user OGG_OPSS account unlock;
    
  7. Oracle WebLogic Server構成ウィザードの起動次に例を示します。

    /home/oracle/Oracle/Middleware/Oracle_Home/oracle_common/common/bin/config.sh
    
  8. 「既存のドメインの更新」を選択し、「次」をクリックします。

  9. 「JDBCコンポーネント・スキーマ」を選択し、データベース・スキーマの新しいパスワードを入力します。

  10. 「構成のサマリー」画面が表示されるまで「次」をクリックし、「更新」をクリックします。

  11. スキーマ・パスワードの変更を保存するには、「次へ」「終了」の順にクリックします。

  12. Oracle WebLogic Serverを起動します。

    DOMAIN_HOME//veridata/bin/startWebLogic.sh
    
  13. Oracle GoldenGate Veridataサーバーを起動します。

    DOMAIN_HOME/veridata/veridata/bin/veridataServer.sh start
    

レポート・ファイルの暗号化

Oracle GoldenGate Veridataで、比較レポート・ファイル(.rpt.oos.oosxml)を暗号化できます。次の項では、レポートの暗号化について説明します。

レポート暗号化の有効化

暗号化は、veridata.cfg構成ファイルの次のパラメータで制御されます。

  • server.encryption

  • server.encryption.bits

暗号化を有効にするには、server.encryptiontrueに設定します。

レポート・ファイルの暗号化では、Advanced Encryption Standard (AES)暗号化が使用され、デフォルトの暗号化の強度は128ビットです。veridata.cfgserver.encryption.bitsパラメータの値を編集して、暗号化の強度を192から256ビットに上げることができます。ただし、128を超える暗号化の強度には、Unlimited Strength Cryptography ExtensionとともにインストールされたJREが必要です。

これらのパラメータの詳細は、「レポート・ファイル暗号化のパラメータ」を参照してください。

暗号化されたレポート・ファイルには、次の拡張子がファイル名に含まれます。

  • .xrpt: 暗号化された比較または修復レポート・ファイル

  • .xoos: 暗号化されたバイナリ非同期ファイル

  • .xoosxml: 暗号化された非同期XMLファイル

  • .xNNN: 暗号化された非同期XMLチャンク・ファイル(NNNは10進数)

暗号化されたファイルをreportutilユーティリティで表示

レポートの暗号化が有効になっている場合、最初から大きいランダム値の暗号化鍵を使用して、すべてのレポート・ファイルが暗号化されます。必要な場合は、暗号化鍵を変更できます。

暗号化されたファイルを読み取るには、復号化する必要があります。Oracle GoldenGate Veridata Webユーザー・インタフェースでは、ファイルを表示する前に自動的に復号化します。reportutil.sh/.batユーティリティを使用して、暗号化された内容を表示します。このユーティリティは、VERIDATA_DOMAIN_HOME\veridata\binディレクトリにあります。

暗号化されたファイルを表示するには、VERIDATA_DOMAIN_HOME\veridata\binディレクトリにあるreportutil.sh/.batユーティリティを実行します。

reportutil   [-wlport port ] -wluser weblogic_user { options }

wlportは、サーバーのポート番号(デフォルトのポートは8830)で、wluserは、サーバーのユーザー名を表します。

有効なオプションは次のとおりです。

  • -version-v: 現在のバージョンを表示します

  • -help: ヘルプ・メッセージを表示します

  • -r: レポートの暗号化をロールします

  • -f filename [-d directory]: ディレクトリが-dオプションで指定されている場合、レポート・ファイルを復号化して、指定したファイルに出力します。それ以外の場合は、復号化したファイルをコマンドで標準出力に出力します。

操作を実行するには、reportutilユーティリティを実行しているユーザーが適切なユーザー・グループに属している必要があります。

  • -r, -f: ユーザーがveridataCommandLineUserグループのメンバーの場合のみ許可されます。

  • -r: ユーザーがveridataAdministratorグループのメンバーの場合に許可されます。

  • -f: ユーザーがveridataAdministratorグループのメンバー、またはveridataPowerUserグループ、veridataPowerUserグループ、veridataDetailReportViewerグループのメンバーの場合に許可されます。

ユーザー・ロールの詳細は、「ユーザー・ロールの定義によるOracle GoldenGate Veridataへのアクセスの保護」を参照してください。