セキュリティの構成

2 セキュリティの構成

Oracle GoldenGate Veridataには、Secure Sockets Layer (SSL)およびプレーン・ソケット通信を使用して、ビジネス・データを使用する安全でセキュアな環境が用意されています。パスワードを管理し、レポート・ファイルを暗号化することによって、セキュリティを制御できます。

この章の内容は次のとおりです。

Oracle GoldenGate Veridataセキュリティの概要

Oracle GoldenGate Veridataを使用する場合、ビジネス・アプリケーションの表またはファイルからデータ値を選択、表示、ソートします。次のコンポーネントへのアクセスを必ず保護します。

Oracle GoldenGate Veridataインストール・ディレクトリにあるファイル、プログラムおよびディレクトリ
データ比較の結果が含まれるデータファイル
データ値を表示できるOracle GoldenGate Veridata Webユーザー・インタフェース

Oracle GoldenGate Veridataサーバーとエージェントの間のSSL接続の構成

Oracle GoldenGate VeridataはOracle GoldenGate Veridataサーバー(サーバー)と、ネットワーク上で接続されている複数のOracle GoldenGate Veridataエージェント(エージェント)との間でSSLおよびプレーン・ソケット通信をサポートします。この項では、サーバーとエージェントの間のSSLおよびセキュアな通信の構成方法について説明します。

注意:

NonStopプラットフォーム用のOracle GoldenGate Veridataエージェントは、SSL通信をサポートしていません。

SSLのシナリオでは、サーバーがSSLクライアント、エージェントがSSLサーバーとみなされます。サーバーとエージェントは、相互のアイデンティティを認証します。サーバーとエージェント間で交換されるデータも暗号化されます。

一方向および双方向SSL接続の構成

Oracle GoldenGate Veridataでは、一方向または双方向でSSLを構成できます。

一方向SSL接続では、SSLクライアント(Oracle GoldenGate Veridataサーバー)がSSLサーバー(Oracle GoldenGate Veridataエージェント)を信頼する必要があります。双方向SSL接続では、SSLサーバーとクライアントの間で相互信頼が必要です。SSLを有効にするには、自己署名証明書または認証局(CA)署名証明書のいずれかを使用できます。

自己署名証明書を使用して一方向SSLを確立する手順:

すべてのエージェントで自己署名証明書を作成します。
すべてのエージェント証明書をサーバーのVeridataWebTrustStoreにアップロードします。「サーバー・アイデンティティおよびトラスト・キーストアの管理」を参照してください。

CA署名証明書を使用して双方向SSLを確立する手順:

すべてのエージェントで自己署名証明書を作成します。
すべてのエージェント証明書をサーバーのVeridataWebTrustStoreにアップロードします。
サーバーのアイデンティティ・ストアの自己証明証明書を作成します。
サーバー・アイデンティティ証明書をすべてのエージェントのトラストストアにアップロードします。

証明書の作成およびインポートの詳細は、「キーストアおよび自己署名証明書の作成」を参照してください。

CA署名証明書を使用して一方向SSLを確立する手順:

すべてのエージェントに対して、同じCAによって発行された証明書を使用します。
サーバーのルートCA証明書を信頼します。

CA署名証明書を使用して双方向SSLを確立する手順:

すべてのエージェントに対して、同じCAによって発行された証明書を使用します。
サーバーのルートCA証明書を信頼します。
CAが発行した証明書をサーバーのアイデンティティ・ストアに使用します。
前述の手順でエージェント・トラストストアに使用したルートCA証明書を信頼します。

SSLを有効化するプロセス

デフォルトでは、サーバーおよびエージェントでSSLが有効になっていません。SSLを使用する場合は、サーバーおよびエージェントのプロパティを有効にする必要があります。

アイデンティティおよびトラスト・キーストアも作成する必要があります。CA証明書を使用していない場合は、自己署名証明書を作成します。

サーバーとエージェントの間でSSL接続を確立する手順:

サーバーに対するSSLを構成します。「Oracle GoldenGate Veridata ServerのSSL設定の構成」を参照してください。
サーバーを再起動します。
エージェントを停止します。エージェントのSSLを構成します。「Oracle GoldenGate VeridataエージェントのSSL設定の構成」を参照してください。
1. エージェント側のキーストアを取得します。「サーバー・アイデンティティおよびトラスト・キーストアの管理」を参照してください。
2. エージェント側のキーストアをエージェント構成プロパティ・ファイルに構成します。
configure_agent_ssl.shを実行し、エージェント構成ファイルに構成したキーストアにパスワードを指定します。「Oracle GoldenGate Veridataエージェント・ウォレットの変更」を参照してください。
エージェントを起動します。
エージェント・キーストアと、Oracle Platform Security Servicesキーストア・サービスに存在するサーバーとの間で信頼が適切に確立されると、SSL通信が確立されます。

Oracle GoldenGate VeridataエージェントのSSL設定の構成

デフォルトでは、SSLはエージェントに対して無効です。SSLを構成するには、エージェントのagent.propertiesファイルの次のプロパティを編集します。

表2-1 agent.propertiesファイルのSSLパラメータ

パラメータ	説明	デフォルト値
server.useSsl	エージェントとサーバーの間のSSL通信を有効化または無効化します。使用される値は、次のとおりです。 true: SSL通信を有効にします false: SSL通信を無効にします	false
server.use2WaySsl	SSL通信のfalse値が一方向か双方向かを指定します。オプションは次のとおりです。 true: 双方向SSL通信を使用します false: 一方向SSL通信を使用します	false
server.identitystore.type	SSL構成に使用されるキーストアのタイプを指定します。	JKS
server.identitystore.path	サーバー・アイデンティティ・キーストアのパスを指定します。	./certs/serverIdentity.jks (自己署名)
server.truststore.type	SSL構成に使用されるトラストストアのタイプを指定します。	JKS
server.truststore.path	サーバー・トラストストアのパスを指定します。	./certs/serverTrust.jks (自己署名)
server.identitystore.keyfactory.alg.name	SSLサーバー・アイデンティティ・ストアに使用されるキーファクトリのアルゴリズム名。	SunX509
server.truststore.keyfactory.alg.nam	SSLサーバー・トラストストアに使用されるキーファクトリのアルゴリズム名。	SunX509
server.ssl.algorithm.name	SSLアルゴリズム名。注意: このパラメータの値は、エージェントとサーバーで同じにする必要があります。	TLS

Oracle GoldenGate VeridataサーバーのSSL設定の構成

サーバーとエージェント間のすべての接続でSSL通信を有効にするには、インストールのDOMAIN_HOME/config/veridataディレクトリにあるveridata.cfgファイル内でSSLパラメータを設定する必要があります。表2-2は、SSL通信用にveridata.cfgファイルに設定する必要のある各パラメータの説明です。

特定の接続のみにSSL通信を確立するには、Oracle GoldenGate VeridataWebユーザー・インタフェースで接続プロパティを編集します。詳細は、オンライン・ヘルプを参照してください。

注意:

これらの設定に加えて、Oracle WebLogic ServerドメインのOPSSキーストア・サービスを使用して、サーバー・アイデンティティ・キーストアおよびトラスト・キーストアを構成します。詳細は、「サーバー・アイデンティティおよびトラスト・キーストアの管理」を参照してください。

表2-2 veridata.cfgファイルのSSL設定

パラメータ	説明	デフォルト値
server.useSsl	エージェントとサーバーの間のSSL通信を有効化または無効化します。使用される値は、次のとおりです。 true: SSL通信を有効にします false: SSL通信を無効にします	false
server.ssl.client.identitystore.keyfactory.alg.name	SSLサーバー・アイデンティティ・ストアに使用されるキーファクトリのアルゴリズム名。	SunX509
server.ssl.client.truststore.keyfactory.alg.name	SSLサーバー・トラストストアに使用されるキーファクトリのアルゴリズム名。	SunX509
server.ssl.algorithm.name	SSLアルゴリズム名。注意: このパラメータの値は、エージェントとサーバーで同じにする必要があります。	TLS

キーストアおよび自己署名証明書の作成

相互認証およびSSL通信の確立のために、サーバーとエージェントが相互に信頼し、それぞれのトラストストアに証明書を追加する必要があります。

この項では、Java Runtime Environment (JRE)に付属のkeytoolユーティリティを使用して、キーストアおよび自己署名証明を作成する方法について説明します。keytoolの詳細は、Javaドキュメント(http://docs.oracle.com/javase/7/docs/technotes/tools/#security)を参照してください。

自己署名証明書を使用したアイデンティティ・キーストアの作成

自己署名証明書を含むkeystoreを作成する手順:

次のように入力します

keytool -genkey -keystore certs -keyalg rsa -alias vdt_alias -storepass server_ks_pwd -keypass server_pwd

プロンプトが表示されたら、証明書について必要な情報を入力します。

サーバーおよびエージェントのキーストアの構築

エージェント・キーストアを作成する手順:

keytool -genkey -alias agent.server.keys -keyalg RSA -keystore agent.server.keystore -storepass ks_password -keypass keypwd

エージェントの証明書をファイルにエクスポートし、次のkeytoolコマンドを実行します。

keytool -export -alias agent.server.keys -keystore agent.server.keystore -storepass ks_password -file agent.server.cer

サーバー・キーストアを作成し、次のkeytoolコマンドを実行します。

keytool -genkey -alias vdt.web.client.keys -keyalg RSA -keystore vdt.web.client.keystore -storepass ks_password -keypass keypwd

サーバーの証明書をファイルにエクスポートし、次のkeytoolコマンドを実行します。

keytool -export -alias vdt.web.client.keys -keystore vdt.web.client.keystore -storepass ks_password -file vdt.web.client.cer

サーバーおよびエージェントのトラストストアのインポート

サーバー証明書をエージェントのトラストストアにインポートし、次のように入力します。
```
keytool -import -v -keystore agent.server.truststore -storepass ks_password -file vdt.web.client.cer
```
エージェントの証明書をサーバーのトラストストアにインポートするには、次のkeytoolコマンドを実行します。
```
keytool -import -v -keystore vdt.web.client.truststore -storepass ks_password -file agent.server.cer
```

例

例1 エージェントのIDキーストアの作成

keytool -genkey -alias vdt.agent.id -keyalg RSA -keystore vdtAgentID.jks -storepass changeit -keypass changeit -validity 365

C:\java\Java8\jdk1.8.0_40\bin>keytool -genkey -alias vdt.agent.id -keyalg RSA -keystore vdtAgentID.jks -storepass changeit -keypass c
hangeit -validity 365
What is your first and last name?
  [Unknown]:  COMPANY A
What is the name of your organizational unit?
  [Unknown]:  NA
What is the name of your organization?
  [Unknown]:  COMPANY A
What is the name of your City or Locality?
  [Unknown]:  USA
What is the name of your State or Province?
  [Unknown]:  USA
What is the two-letter country code for this unit?
  [Unknown]:  US
Is CN=COMPANY A, OU=NA, O=COMPANY A, L=USA, ST=USA, C=US correct?
  [no]:  yes

keytool -export -alias vdt.agent.id -keystore vdtAgentID.jks -storepass changeit -file vdtAgentID.cer

C:\java\Java8\jdk1.8.0_40\bin>keytool -export -alias vdt.agent.id -keystore vdtAgentID.jks -storepass changeit -file vdtAgentID.cer

証明書はvdtAgentID.cerファイルに格納されます。

例2 サーバーのIDキーストアの作成

keytool -genkey -alias vdt.server.id -keyalg RSA -keystore vdtServerID.jks -storepass changeit -keypass changeit -validity 365

C:\java\Java8\jdk1.8.0_40\bin>keytool -genkey -alias vdt.server.id -keyalg RSA -keystore vdtServerID.jks -storepass changeit -keypass changeit -validity 365
 
What is your first and last name?
  [Unknown]:  ORACLE GOLDENGATE VERIDATA SERVER
What is the name of your organizational unit?
  [Unknown]:  NA
What is the name of your organization?
  [Unknown]:  COMPANY A
What is the name of your City or Locality?
  [Unknown]:  USA
What is the name of your State or Province?
  [Unknown]:  USA
What is the two-letter country code for this unit?
  [Unknown]:  US
Is CN=COMPANY A, OU=NA, O=COMPANY A, L=USA, ST=USA, C=US correct?
[no]:  yes

keytool -export -alias vdt.server.id -keystore vdtServerID.jks -storepass changeit -file vdtServerID.cer

C:\java\Java8\jdk1.8.0_40\bin>keytool -export -alias vdt.server.id -keystore vdtServerID.jks -storepass changeit -file vdtServerID.cer

証明書はvdtAgentID.cerファイルに格納されます。

例3 エージェントとサーバーのトラストストアの作成

keytool -import -v -keystore vdtAgentTrust.jks -storepass changeit -file vdtServerID.cer -alias vdt.server.id

C:\java\Java8\jdk1.8.0_40\bin>keytool -import -v -keystore vdtAgentTrust.jks -storepass changeit -file vdtServerID.cer -alias vdt.ser
ver.id
Owner: CN=ORACLE GOLDENGATE VERIDATA SERVER, OU=NA, O=COMPANY A, L=USA, ST=USA, C=US
Issuer: CN=ORACLE GOLDENGATE VERIDATA SERVER, OU=NA, O=COMPANY A, L=USA, ST=USA, C=US
Serial number: 2aded02f
Valid from: Thu May 14 12:18:09 IST 2015 until: Fri May 13 12:18:09 IST 2016
Certificate fingerprints:
         MD5:  4E:7D:89:F7:C8:E8:64:37:E5:0C:D3:03:8F:3E:94:0A
         SHA1: 1B:00:9D:44:BD:73:6E:71:9D:44:56:4A:29:4E:F5:D7:1C:49:57:F3
         SHA256: 25:CB:77:3F:BC:5F:88:4B:09:D2:2D:C1:F8:E6:BA:70:DB:2B:55:53:48:7D:BA:F1:A3:01:18:AB:AA:D1:56:6A
         Signature algorithm name: SHA256withRSA
         Version: 3
 
Extensions:
 
#1: ObjectId: 2.5.29.14 Criticality=false
SubjectKeyIdentifier [
KeyIdentifier [
0000: EF C3 25 BB 83 4E 2D 0D   15 3D EF 50 F7 F2 D0 A6  ..%..N-..=.P....
0010: 94 5F 87 F2                                        ._..
]
]
 
Trust this certificate? [no]:  yes
Certificate was added to keystore
[Storing vdtAgentTrust.jks]

keytool -import -v -keystore vdtServerTrust.jks -storepass changeit -file vdtAgentID.cer -alias vdt.agent.id

C:\java\Java8\jdk1.8.0_40\bin>keytool -import -v -keystore vdtServerTrust.jks -storepass changeit -file vdtAgentID.cer -alias vdt.age
nt.id
Owner: CN=COMPANY A, OU=NA, O=COMPANY A, L=USA, ST=USA, C=US
Issuer: CN=COMPANY A, OU=NA, O=COMPANY A, L=USA, ST=USA, C=US
Serial number: 6b590df2
Valid from: Thu May 14 12:08:00 IST 2015 until: Fri May 13 12:08:00 IST 2016
Certificate fingerprints:
         MD5:  3E:75:A3:96:40:60:10:96:DD:10:7B:4D:E4:3F:4C:04
         SHA1: D1:CC:EB:67:A1:C6:CD:CA:62:27:EA:F8:82:BF:AB:E4:E7:2B:45:6D
         SHA256: E7:20:CF:D4:48:E2:AE:1E:1C:C7:06:1A:B3:0A:17:1F:8F:02:88:B7:A6:A0:5D:F7:12:BC:26:68:5B:C3:C9:C8
         Signature algorithm name: SHA256withRSA
         Version: 3
 
Extensions:
 
#1: ObjectId: 2.5.29.14 Criticality=false
SubjectKeyIdentifier [
KeyIdentifier [
0000: C0 D5 02 D9 24 6F 58 F6   63 D7 34 D3 9D C4 9E 33  ....$oX.c.4....3
0010: FC 16 4E 5F                                        ..N_
]
]
 
Trust this certificate? [no]:  yes
Certificate was added to keystore
[Storing vdtServerTrust.jks]

サーバー・アイデンティティおよびトラスト・キーストアの管理

サーバー・アイデンティティとトラスト・キーストアを格納するリポジトリとして、Oracle Platform Security Servicesのキーストア・サービスを使用します。また、これを使用して、エージェントのキーストアを管理することもできます。詳細は、Oracle® Fusion Middleware Oracle Platform Security Servicesによるアプリケーションの保護のキーストア・サービスを使用したキーと証明書の管理に関する項を参照してください。

表2-3に、OPSS設定のデフォルト値を示します。

表2-3 Oracle Platform Security Servicesの設定

設定	値
サーバーによって作成されるアプリケーション・ストライプの名前	`VeridataSec`
`VeridataSec`アプリケーション・ストライプのアイデンティティ・キーストアの名前	`VeridataWebIdentityStore`
`VeridataSec`アプリケーション・ストライプのトラスト・キーストアの名前	`VeridataWebTrustStore`

Oracle Platform Security Servicesのキーストア・サービスを使用して双方向SSLを構成する手順:

エージェントごとに、アイデンティティおよびトラスト・キーストアを作成します。
サーバーのアイデンティティ証明書でVeridataWebIdentityStoreを更新します。
エージェントのすべての証明書でVeridataWebTrustStoreを更新します。
サーバーのアイデンティティ証明書でエージェントの各トラストストアを更新します。
エージェントのキーストアおよびトラストストアをJKSファイルとしてエクスポートし、パスワードをメモします。
JKSファイルを対応するエージェント・マシンに配信します。
configure_agent_sslツールを実行し、キーストア・パスワードでエージェント・ウォレットを更新します。
エージェントごとに、SSLが有効になるようにagent.propertiesファイルを構成します。

Oracle Platform Security Servicesのキーストア・サービスを使用して一方向SSLを構成する手順:

エージェントごとに、アイデンティティ・キーストアを作成します。
サーバーのアイデンティティ証明書でVeridataWebIdentityStoreを更新します。
エージェントのキーストアおよびトラストストアをJKSファイルとしてエクスポートし、パスワードを書きとめます。
JKSファイルを対応するエージェント・マシンに配信します。
configure_agent_sslツールを実行し、キーストア・パスワードでエージェント・ウォレットを更新します。
エージェントごとに、SSLが有効になるようにagent.propertiesファイルを構成します。

Oracle GoldenGate Veridataエージェント・ウォレットの変更

エージェントをSSLモードで起動する前に、アイデンティティおよびトラスト・キーストアのパスワードでエージェント・ウォレットを更新する必要があります。そうしないと、エージェントは起動しません。

ウォレットを更新する手順:

エージェント・ホームにあるconfigure_agent_sslスクリプトを実行します。
```
AGENT_HOME\configure_agent_ssl.sh AgentID
```
AgentIDは、.properties拡張子なしのエージェント・プロパティ・ファイルの名前です。AgentIDのデフォルト値は、agentです。
入力を求められたら、エージェントのアイデンティティおよびトラスト・キーストアのエントリまたはロック解除のパスワードを入力します。

Oracle GoldenGate Veridataファイルの保護

この項では、ビジネス・データの保護方法およびOracle GoldenGate Veridataインストール・ディレクトリとユーザー・インタフェースへのアクセスの制御方法について説明します。

インストール・ディレクトリへのアクセス制御

標準オペレーティング・システムの権限は、サーバー、エージェント、およびWebユーザー・インタフェース・インストール・ディレクトリのプログラム、ファイルおよびディレクトリに適用されます。これらのオブジェクトの権限はビジネス・セキュリティ・ルールに基づいて調整する必要があります。

ビジネス・データを含むファイルの保護

サーバーによって、重要なアプリケーション・データを含むデータ・ファイルが作成されます。デフォルトでは、これらのファイルはDOMAIN_HOME/veridata/reportsにあります。サブディレクトリには、ビジネス・データを反映するファイルが含まれます。

次のタイプのファイルには重要なデータが含まれています。

比較レポート(rptサブディレクトリ)
非同期レポート(oosxmlおよびoosサブディレクトリ)

これらのファイルは、サーバーのインストール・プログラムを実行するユーザーと同じファイル権限を継承します。権限は変更しないでください。変更すると、Oracle GoldenGate Veridataが権限を保守できなくなる場合があります。これらのファイルはビジネス・データを保管する場合と同様に安全にする必要があります。Oracle GoldenGate Veridata Webユーザー・インタフェースは、クライアント・インタフェースで同じ情報が表示されるため、これらのファイルにアクセスする必要はありません。すべてのレポート・ファイルの内容を暗号化できます。

ユーザー・ロールの定義によるOracle GoldenGate Veridataへのアクセスの保護

ソフトウェア機能へのアクセスを制御するセキュリティ・ロールを割り当てます。その機能の一部によって、一部のデータ値がデータベースから公開されます。

Oracle GoldenGate Veridata	タイプ	説明
`veridataAdministrator`	Type-A	管理者ロールは、最高レベルのセキュリティ・ロールです。このロールは、Oracle GoldenGate Veridataを構成、実行および監視する機能のすべてを実行できます。
`veridataPowerUser`	Type-A	パワー・ユーザー・ロールが、2番目に高いロールです。このロールは、Webユーザー・インタフェースからOracle GoldenGate Veridataを構成、実行および監視するすべての機能を実行できます。サーバーの構成機能を実行することはできません。
`veridataReportViewer`	Type-B	レポート・ビューア・ロールでは、Oracle GoldenGate Veridataを構成またはジョブを実行する機能は実行できません。このロールでは、構成およびジョブ情報の表示、比較レポートの表示のみができます。
`veridataDetailReportViewer`	Type-B	詳細レポート・ビューア・ロールでは、Oracle GoldenGate Veridataを構成またはジョブを実行する機能は実行できません。このロールでは、構成およびジョブ情報の表示のみを行うことができます。Webユーザー・インタフェースを通じて、またはファイル・レベルで、比較レポートおよび非同期レポート情報を表示することもできます。
`veridataRepairOperator`	Additional	修理操作ロールは、Oracle GoldenGate Veridataで修復機能を使用できます。
`veridataCommandLineUser`	Additional	コマンドライン・ユーザー・ロールは、Oracle GoldenGate Veridataコマンドライン・ツール、`vericom`、およびOracle GoldenGate Veridataインポート・ユーティリティとエクスポート・ユーティリティにアクセスできます。

これらのロールは、次のように分類されます。

Type AおよびType B: デフォルトでは、Type AおよびType Bのユーザーには追加のユーザー・ロールの権限が割り当てられません。これらのタイプのユーザーに追加のロールを割り当てます。
Additional: WebLogic管理者は、これらのAdditionalロールをType Aユーザーに割り当て、必要なOracle GoldenGate Veridata機能を実行できます。

セキュリティは、Oracle WebLogic Server管理コンソールから制御します。管理者ロールが管理コンソールで実行できることは、次のとおりです。

ユーザーを作成し、セキュリティ・ロールを割当てます。
ユーザー・グループを作成し、セキュリティ・ロールを割当てます。ユーザーはセキュリティ・ロールがなくてもこれらのグループに追加できます。ユーザーはそのグループのロールを継承します。
ユーザーを作成してセキュリティ・ロールを割当て、そのユーザーをグループに追加します。ユーザーはそのグループのロールを継承し、各ロールを保持します。

Oracle GoldenGate VeridataでのActive Directoryユーザーの設定

Oracle GoldenGate VeridataでActive Directoryユーザーを設定するには、次の手順を実行します。

Oracle WebLogic Server管理コンソールで、「セキュリティ・レルム」に移動し、「myrealm」を選択してから、「ロールとポリシー」をクリックします。
「レルム・ロール」サブタブを選択します。
「グローバル・ロール」を展開し、表から「ロール」リンクをクリックします。
「新規」をクリックして次のロールを作成します。
1. ExtAdministrator
2. ExtPowerUser
3. ExtDetailReportViewer
4. ExtReportViewer
5. ExtReportViewer

Oracle GoldenGate Veridata	タイプ	説明
`ExtAdministrator`	Type-A	`ExtAdministrator`ロールはOracle GoldenGate Veridataにおける最高レベルのセキュリティ・ロールです。このロールは、Oracle GoldenGate Veridataを構成、実行および監視する機能のすべてを実行できます。
`ExtPowerUser`	Type-A	`ExtPowerUser`ロールはOracle GoldenGate Veridataで2番目に高いロールです。このロールは、Oracle GoldenGate Veridata Webユーザー・インタフェースからOracle GoldenGate Veridataを構成、実行および監視するすべての機能を実行できますが、Oracle GoldenGate Veridataサーバーの構成機能を実行することはできません。
`ExtReportViewer`	Type-B	`ExtReportViewer`ロールでは、Oracle GoldenGate Veridataを構成する機能やジョブを実行する機能は実行できません。このロールでは、構成およびジョブ情報の表示、比較レポートの表示のみができます。
`ExtDetailReportViewer`	Type-B	`ExtDetailReportViewer`ロールでは、Oracle GoldenGate Veridataを構成する機能やジョブを実行する機能は実行できません。このロールでは、Oracle GoldenGate Veridata Webユーザー・インタフェースを使用するか、あるいはファイル・レベルでの構成およびジョブ情報の表示、比較レポートおよび非同期レポート情報の表示のみを行えます。
`ExtRepairOperator`	Additional	`ExtRepairOperator`ロールでは、Oracle GoldenGate Veridataでの修復機能を使用できます。

Oracle WebLogic Server管理コンソールを開く手順:

ブラウザで、次のアドレスを入力して、Oracle WebLogic Server管理コンソールに接続します。
```
http://weblogic_admin_server_hostname:admin_server_port/console
```
weblogic_admin_server_hostnameは、サーバー・コンポーネントとWebコンポーネントがホストされているシステムの名前またはIPアドレスで、admin_server_portは、サーバーに割り当てられたポート番号(デフォルトは7001)です。
Oracle GoldenGate Veridata管理者ユーザーとしてログオンします。Oracle GoldenGate Veridataドメインを設定したときに、デフォルトの管理者ユーザーが作成されました。

ユーザーの作成または編集手順:

Oracle WebLogic Server管理コンソールの左ペインで、「セキュリティ・レルム」を選択します。
「セキュリティ・レルムのサマリー」ページで、セキュリティ・レルムの名前を選択します。
Veridataセキュリティ・レルムの設定ページで、「ユーザーとグループ」、「ユーザー」の順に選択します。「ユーザー」表に、管理プロバイダで定義されているすべてのユーザーの名前が表示されます。
既存のユーザーを選択して設定を編集するか、「新規作成」をクリックしてユーザーを作成し、ユーザーのプロパティを入力します。
ユーザーにロールを割り当てるには、user_nameページの「設定」で、「グループ」をクリックします。
このユーザーに該当するロールを選択します。

たとえば、管理者のVeridataAdminには、次の図に示す権限を割り当てることができます。

たとえば、Veridataパワー・ユーザーであるPowerUserには、次の図に示す権限を割り当てることができます。
「保存」をクリックします。

データベース・スキーマのパスワードの変更

スキーマ・パスワードの失効時、アカウントのロック時、またはパスワードの変更が必要な場合に、データ・スキーマのパスワードを変更できます。この項は、OGG_IAU, OGG_IAU_APPENDやOGG_IAU_VIEWERなど、'OGG'という接頭辞が付いたすべてのデータベース・スキーマに適用されます。

データベース・スキーマのパスワードを変更する手順:

Oracle GoldenGate Veridataサーバーを停止します。
```
DOMAIN_HOME/veridata/veridata/bin/veridataServer.sh stop
```

Oracle WebLogic Serverを停止します。

DOMAIN_HOME//veridata/bin/stopWebLogic.sh

Oracle WebLogic Scripting Tool (wlst.sh)を起動します。次に例を示します。
```
/home/oracle/Oracle/Middleware/Oracle_Home/oracle_common/common/bin/wlst.sh
```
この例に従って、データベース・スキーマのパスワードを変更します。
```
modifyBootStrapCredential(jpsConfigFile='/home/oracle/wls_domains/veridata/config/fmwconfig/jps-config.xml',username='OGG_OPSS',password='welcome123')
```
username=はデータベース・スキーマ名、password=は新しいパスワードです。
exit()を使用してスクリプティング・ツールを終了します。

メタデータ・リポジトリ・データベースにログインし、スキーマ・パスワードを変更してスキーマをロック解除します。

次の例では、OGG_OPSSスキーマをロック解除します。

alter user OGG_OPSS identified by welcome123; 
alter user OGG_IAU identified by welcome123; 
alter user OGG_IAU_APPEND identified by welcome123; 
alter user OGG_IAU_VIEWER identified by welcome123; 
alter user OGG_STB identified by welcome123; 
alter user OGG_VERIDATA identified by welcome123; 
alter user OGG_OPSS account unlock;

Oracle WebLogic Server構成ウィザードの起動次に例を示します。

/home/oracle/Oracle/Middleware/Oracle_Home/oracle_common/common/bin/config.sh

「既存のドメインの更新」を選択し、「次」をクリックします。
「JDBCコンポーネント・スキーマ」を選択し、データベース・スキーマの新しいパスワードを入力します。
「構成のサマリー」画面が表示されるまで「次」をクリックし、「更新」をクリックします。
スキーマ・パスワードの変更を保存するには、「次へ」、「終了」の順にクリックします。

Oracle WebLogic Serverを起動します。

DOMAIN_HOME//veridata/bin/startWebLogic.sh

Oracle GoldenGate Veridataサーバーを起動します。

DOMAIN_HOME/veridata/veridata/bin/veridataServer.sh start

レポート・ファイルの暗号化

Oracle GoldenGate Veridataで、比較レポート・ファイル(.rpt、.oos、.oosxml)を暗号化できます。次の項では、レポートの暗号化について説明します。

レポート暗号化の有効化

暗号化は、veridata.cfg構成ファイルの次のパラメータで制御されます。

server.encryption
server.encryption.bits

暗号化を有効にするには、server.encryptionをtrueに設定します。

レポート・ファイルの暗号化では、Advanced Encryption Standard (AES)暗号化が使用され、デフォルトの暗号化の強度は128ビットです。veridata.cfgのserver.encryption.bitsパラメータの値を編集して、暗号化の強度を192から256ビットに上げることができます。ただし、128を超える暗号化の強度には、Unlimited Strength Cryptography ExtensionとともにインストールされたJREが必要です。

これらのパラメータの詳細は、「レポート・ファイル暗号化のパラメータ」を参照してください。

暗号化されたレポート・ファイルには、次の拡張子がファイル名に含まれます。

.xrpt: 暗号化された比較または修復レポート・ファイル
.xoos: 暗号化されたバイナリ非同期ファイル
.xoosxml: 暗号化された非同期XMLファイル
.xNNN: 暗号化された非同期XMLチャンク・ファイル(NNNは10進数)

暗号化されたファイルをreportutilユーティリティで表示

レポートの暗号化が有効になっている場合、最初から大きいランダム値の暗号化鍵を使用して、すべてのレポート・ファイルが暗号化されます。必要な場合は、暗号化鍵を変更できます。

暗号化されたファイルを読み取るには、復号化する必要があります。Oracle GoldenGate Veridata Webユーザー・インタフェースでは、ファイルを表示する前に自動的に復号化します。reportutil.sh/.batユーティリティを使用して、暗号化された内容を表示します。このユーティリティは、VERIDATA_DOMAIN_HOME\veridata\binディレクトリにあります。

暗号化されたファイルを表示するには、VERIDATA_DOMAIN_HOME\veridata\binディレクトリにあるreportutil.sh/.batユーティリティを実行します。

reportutil   [-wlport port ] -wluser weblogic_user { options }

wlportは、サーバーのポート番号(デフォルトのポートは8830)で、wluserは、サーバーのユーザー名を表します。

有効なオプションは次のとおりです。

-version、-v: 現在のバージョンを表示します
-help: ヘルプ・メッセージを表示します
-r: レポートの暗号化をロールします
-f filename [-d directory]: ディレクトリが-dオプションで指定されている場合、レポート・ファイルを復号化して、指定したファイルに出力します。それ以外の場合は、復号化したファイルをコマンドで標準出力に出力します。

操作を実行するには、reportutilユーティリティを実行しているユーザーが適切なユーザー・グループに属している必要があります。

-r, -f: ユーザーがveridataCommandLineUserグループのメンバーの場合のみ許可されます。
-r: ユーザーがveridataAdministratorグループのメンバーの場合に許可されます。
-f: ユーザーがveridataAdministratorグループのメンバー、またはveridataPowerUserグループ、veridataPowerUserグループ、veridataDetailReportViewerグループのメンバーの場合に許可されます。

ユーザー・ロールの詳細は、「ユーザー・ロールの定義によるOracle GoldenGate Veridataへのアクセスの保護」を参照してください。