2 セキュリティの構成
この章の内容は次のとおりです。
Oracle GoldenGate Veridataセキュリティの概要
Oracle GoldenGate Veridataを使用する場合、ビジネス・アプリケーションの表またはファイルからデータ値を選択、表示、ソートします。次のコンポーネントへのアクセスを必ず保護します。
-
Oracle GoldenGate Veridataインストール・ディレクトリにあるファイル、プログラムおよびディレクトリ
-
データ比較の結果が含まれるデータファイル
-
データ値を表示できるOracle GoldenGate Veridata Webユーザー・インタフェース
Oracle GoldenGate Veridataサーバーとエージェントの間のSSL接続の構成
Oracle GoldenGate VeridataはOracle GoldenGate Veridataサーバー(サーバー)と、ネットワーク上で接続されている複数のOracle GoldenGate Veridataエージェント(エージェント)との間でSSLおよびプレーン・ソケット通信をサポートします。この項では、サーバーとエージェントの間のSSLおよびセキュアな通信の構成方法について説明します。
注意:
NonStopプラットフォーム用のOracle GoldenGate Veridataエージェントは、SSL通信をサポートしていません。
SSLのシナリオでは、サーバーがSSLクライアント、エージェントがSSLサーバーとみなされます。サーバーとエージェントは、相互のアイデンティティを認証します。サーバーとエージェント間で交換されるデータも暗号化されます。
一方向および双方向SSL接続の構成
Oracle GoldenGate Veridataでは、一方向または双方向でSSLを構成できます。
一方向SSL接続では、SSLクライアント(Oracle GoldenGate Veridataサーバー)がSSLサーバー(Oracle GoldenGate Veridataエージェント)を信頼する必要があります。双方向SSL接続では、SSLサーバーとクライアントの間で相互信頼が必要です。SSLを有効にするには、自己署名証明書または認証局(CA)署名証明書のいずれかを使用できます。
自己署名証明書を使用して一方向SSLを確立する手順:
-
すべてのエージェントで自己署名証明書を作成します。
- すべてのエージェント証明書をサーバーの
VeridataWebTrustStore
にアップロードします。「サーバー・アイデンティティおよびトラスト・キーストアの管理」を参照してください。
CA署名証明書を使用して双方向SSLを確立する手順:
-
すべてのエージェントで自己署名証明書を作成します。
-
すべてのエージェント証明書をサーバーの
VeridataWebTrustStore
にアップロードします。 -
サーバーのアイデンティティ・ストアの自己証明証明書を作成します。
-
サーバー・アイデンティティ証明書をすべてのエージェントのトラストストアにアップロードします。
証明書の作成およびインポートの詳細は、「キーストアおよび自己署名証明書の作成」を参照してください。
CA署名証明書を使用して一方向SSLを確立する手順:
-
すべてのエージェントに対して、同じCAによって発行された証明書を使用します。
-
サーバーのルートCA証明書を信頼します。
CA署名証明書を使用して双方向SSLを確立する手順:
-
すべてのエージェントに対して、同じCAによって発行された証明書を使用します。
-
サーバーのルートCA証明書を信頼します。
-
CAが発行した証明書をサーバーのアイデンティティ・ストアに使用します。
-
前述の手順でエージェント・トラストストアに使用したルートCA証明書を信頼します。
SSLを有効化するプロセス
デフォルトでは、サーバーおよびエージェントでSSLが有効になっていません。SSLを使用する場合は、サーバーおよびエージェントのプロパティを有効にする必要があります。
アイデンティティおよびトラスト・キーストアも作成する必要があります。CA証明書を使用していない場合は、自己署名証明書を作成します。
サーバーとエージェントの間でSSL接続を確立する手順:
-
サーバーに対するSSLを構成します。「Oracle GoldenGate Veridata ServerのSSL設定の構成」を参照してください。
-
サーバーを再起動します。
-
エージェントを停止します。エージェントのSSLを構成します。「Oracle GoldenGate VeridataエージェントのSSL設定の構成」を参照してください。
-
エージェント側のキーストアを取得します。「サーバー・アイデンティティおよびトラスト・キーストアの管理」を参照してください。
-
エージェント側のキーストアをエージェント構成プロパティ・ファイルに構成します。
-
-
configure_agent_ssl.sh
を実行し、エージェント構成ファイルに構成したキーストアにパスワードを指定します。「Oracle GoldenGate Veridataエージェント・ウォレットの変更」を参照してください。 -
エージェントを起動します。
-
エージェント・キーストアと、Oracle Platform Security Servicesキーストア・サービスに存在するサーバーとの間で信頼が適切に確立されると、SSL通信が確立されます。
Oracle GoldenGate VeridataエージェントのSSL設定の構成
デフォルトでは、SSLはエージェントに対して無効です。SSLを構成するには、エージェントのagent.properties
ファイルの次のプロパティを編集します。
表2-1 agent.propertiesファイルのSSLパラメータ
パラメータ | 説明 | デフォルト値 |
---|---|---|
server.useSsl |
エージェントとサーバーの間のSSL通信を有効化または無効化します。使用される値は、次のとおりです。
|
false |
server.use2WaySsl |
SSL通信のfalse値が一方向か双方向かを指定します。オプションは次のとおりです。
|
false |
server.identitystore.type |
SSL構成に使用されるキーストアのタイプを指定します。 |
JKS |
server.identitystore.path |
サーバー・アイデンティティ・キーストアのパスを指定します。 |
./certs/serverIdentity.jks (自己署名) |
server.truststore.type |
SSL構成に使用されるトラストストアのタイプを指定します。 |
JKS |
server.truststore.path |
サーバー・トラストストアのパスを指定します。 |
./certs/serverTrust.jks (自己署名) |
server.identitystore.keyfactory.alg.name |
SSLサーバー・アイデンティティ・ストアに使用されるキーファクトリのアルゴリズム名。 |
SunX509 |
server.truststore.keyfactory.alg.nam |
SSLサーバー・トラストストアに使用されるキーファクトリのアルゴリズム名。 |
SunX509 |
server.ssl.algorithm.name |
SSLアルゴリズム名。 注意: このパラメータの値は、エージェントとサーバーで同じにする必要があります。 |
TLS |
Oracle GoldenGate VeridataサーバーのSSL設定の構成
サーバーとエージェント間のすべての接続でSSL通信を有効にするには、インストールのDOMAIN_HOME
/config/veridata
ディレクトリにあるveridata.cfg
ファイル内でSSLパラメータを設定する必要があります。表2-2は、SSL通信用にveridata.cfg
ファイルに設定する必要のある各パラメータの説明です。
特定の接続のみにSSL通信を確立するには、Oracle GoldenGate VeridataWebユーザー・インタフェースで接続プロパティを編集します。詳細は、オンライン・ヘルプを参照してください。
注意:
これらの設定に加えて、Oracle WebLogic ServerドメインのOPSSキーストア・サービスを使用して、サーバー・アイデンティティ・キーストアおよびトラスト・キーストアを構成します。詳細は、「サーバー・アイデンティティおよびトラスト・キーストアの管理」を参照してください。
表2-2 veridata.cfgファイルのSSL設定
パラメータ | 説明 | デフォルト値 |
---|---|---|
server.useSsl |
エージェントとサーバーの間のSSL通信を有効化または無効化します。使用される値は、次のとおりです。
|
false |
server.ssl.client.identitystore.keyfactory.alg.name |
SSLサーバー・アイデンティティ・ストアに使用されるキーファクトリのアルゴリズム名。 |
SunX509 |
server.ssl.client.truststore.keyfactory.alg.name |
SSLサーバー・トラストストアに使用されるキーファクトリのアルゴリズム名。 |
SunX509 |
server.ssl.algorithm.name |
SSLアルゴリズム名。 注意: このパラメータの値は、エージェントとサーバーで同じにする必要があります。 |
TLS |
キーストアおよび自己署名証明書の作成
相互認証およびSSL通信の確立のために、サーバーとエージェントが相互に信頼し、それぞれのトラストストアに証明書を追加する必要があります。
この項では、Java Runtime Environment (JRE)に付属のkeytool
ユーティリティを使用して、キーストアおよび自己署名証明を作成する方法について説明します。keytool
の詳細は、Javaドキュメント(http://docs.oracle.com/javase/7/docs/technotes/tools/#security
)を参照してください。
自己署名証明書を使用したアイデンティティ・キーストアの作成
自己署名証明書を含むkeystore
を作成する手順:
-
次のように入力します
keytool -genkey -keystore certs -keyalg rsa -alias vdt_alias -storepass server_ks_pwd -keypass server_pwd
-
プロンプトが表示されたら、証明書について必要な情報を入力します。
サーバーおよびエージェントのキーストアの構築
-
エージェント・キーストアを作成する手順:
keytool -genkey -alias agent.server.keys -keyalg RSA -keystore agent.server.keystore -storepass ks_password -keypass keypwd
-
エージェントの証明書をファイルにエクスポートし、次の
keytool
コマンドを実行します。keytool -export -alias agent.server.keys -keystore agent.server.keystore -storepass ks_password -file agent.server.cer
- サーバー・キーストアを作成し、次の
keytool
コマンドを実行します。keytool -genkey -alias vdt.web.client.keys -keyalg RSA -keystore vdt.web.client.keystore -storepass ks_password -keypass keypwd
-
サーバーの証明書をファイルにエクスポートし、次の
keytool
コマンドを実行します。keytool -export -alias vdt.web.client.keys -keystore vdt.web.client.keystore -storepass ks_password -file vdt.web.client.cer
サーバーおよびエージェントのトラストストアのインポート
-
サーバー証明書をエージェントのトラストストアにインポートし、次のように入力します。
keytool -import -v -keystore agent.server.truststore -storepass ks_password -file vdt.web.client.cer
-
エージェントの証明書をサーバーのトラストストアにインポートするには、次の
keytool
コマンドを実行します。keytool -import -v -keystore vdt.web.client.truststore -storepass ks_password -file agent.server.cer
例
- 例1 エージェントのIDキーストアの作成
-
keytool -genkey -alias vdt.agent.id -keyalg RSA -keystore vdtAgentID.jks -storepass changeit -keypass changeit -validity 365
C:\java\Java8\jdk1.8.0_40\bin>keytool -genkey -alias vdt.agent.id -keyalg RSA -keystore vdtAgentID.jks -storepass changeit -keypass c hangeit -validity 365 What is your first and last name? [Unknown]: COMPANY A What is the name of your organizational unit? [Unknown]: NA What is the name of your organization? [Unknown]: COMPANY A What is the name of your City or Locality? [Unknown]: USA What is the name of your State or Province? [Unknown]: USA What is the two-letter country code for this unit? [Unknown]: US Is CN=COMPANY A, OU=NA, O=COMPANY A, L=USA, ST=USA, C=US correct? [no]: yes
keytool -export -alias vdt.agent.id -keystore vdtAgentID.jks -storepass changeit -file vdtAgentID.cer
C:\java\Java8\jdk1.8.0_40\bin>keytool -export -alias vdt.agent.id -keystore vdtAgentID.jks -storepass changeit -file
vdtAgentID.cer
証明書は
vdtAgentID.cer
ファイルに格納されます。 - 例2 サーバーのIDキーストアの作成
-
keytool -genkey -alias vdt.server.id -keyalg RSA -keystore vdtServerID.jks -storepass changeit -keypass changeit -validity 365
C:\java\Java8\jdk1.8.0_40\bin>keytool -genkey -alias vdt.server.id -keyalg RSA -keystore vdtServerID.jks -storepass changeit -keypass changeit -validity 365 What is your first and last name? [Unknown]: ORACLE GOLDENGATE VERIDATA SERVER What is the name of your organizational unit? [Unknown]: NA What is the name of your organization? [Unknown]: COMPANY A What is the name of your City or Locality? [Unknown]: USA What is the name of your State or Province? [Unknown]: USA What is the two-letter country code for this unit? [Unknown]: US Is CN=COMPANY A, OU=NA, O=COMPANY A, L=USA, ST=USA, C=US correct? [no]: yes
keytool -export -alias vdt.server.id -keystore vdtServerID.jks -storepass changeit -file vdtServerID.cer
C:\java\Java8\jdk1.8.0_40\bin>keytool -export -alias vdt.server.id -keystore vdtServerID.jks -storepass changeit -file vdtServerID.cer
証明書は
vdtAgentID.cer
ファイルに格納されます。 - 例3 エージェントとサーバーのトラストストアの作成
-
keytool -import -v -keystore vdtAgentTrust.jks -storepass changeit -file vdtServerID.cer -alias vdt.server.id
C:\java\Java8\jdk1.8.0_40\bin>keytool -import -v -keystore vdtAgentTrust.jks -storepass changeit -file vdtServerID.cer -alias vdt.ser ver.id Owner: CN=ORACLE GOLDENGATE VERIDATA SERVER, OU=NA, O=COMPANY A, L=USA, ST=USA, C=US Issuer: CN=ORACLE GOLDENGATE VERIDATA SERVER, OU=NA, O=COMPANY A, L=USA, ST=USA, C=US Serial number: 2aded02f Valid from: Thu May 14 12:18:09 IST 2015 until: Fri May 13 12:18:09 IST 2016 Certificate fingerprints: MD5: 4E:7D:89:F7:C8:E8:64:37:E5:0C:D3:03:8F:3E:94:0A SHA1: 1B:00:9D:44:BD:73:6E:71:9D:44:56:4A:29:4E:F5:D7:1C:49:57:F3 SHA256: 25:CB:77:3F:BC:5F:88:4B:09:D2:2D:C1:F8:E6:BA:70:DB:2B:55:53:48:7D:BA:F1:A3:01:18:AB:AA:D1:56:6A Signature algorithm name: SHA256withRSA Version: 3 Extensions: #1: ObjectId: 2.5.29.14 Criticality=false SubjectKeyIdentifier [ KeyIdentifier [ 0000: EF C3 25 BB 83 4E 2D 0D 15 3D EF 50 F7 F2 D0 A6 ..%..N-..=.P.... 0010: 94 5F 87 F2 ._.. ] ] Trust this certificate? [no]: yes Certificate was added to keystore [Storing vdtAgentTrust.jks]
keytool -import -v -keystore vdtServerTrust.jks -storepass changeit -file vdtAgentID.cer -alias vdt.agent.id
C:\java\Java8\jdk1.8.0_40\bin>keytool -import -v -keystore vdtServerTrust.jks -storepass changeit -file vdtAgentID.cer -alias vdt.age nt.id Owner: CN=COMPANY A, OU=NA, O=COMPANY A, L=USA, ST=USA, C=US Issuer: CN=COMPANY A, OU=NA, O=COMPANY A, L=USA, ST=USA, C=US Serial number: 6b590df2 Valid from: Thu May 14 12:08:00 IST 2015 until: Fri May 13 12:08:00 IST 2016 Certificate fingerprints: MD5: 3E:75:A3:96:40:60:10:96:DD:10:7B:4D:E4:3F:4C:04 SHA1: D1:CC:EB:67:A1:C6:CD:CA:62:27:EA:F8:82:BF:AB:E4:E7:2B:45:6D SHA256: E7:20:CF:D4:48:E2:AE:1E:1C:C7:06:1A:B3:0A:17:1F:8F:02:88:B7:A6:A0:5D:F7:12:BC:26:68:5B:C3:C9:C8 Signature algorithm name: SHA256withRSA Version: 3 Extensions: #1: ObjectId: 2.5.29.14 Criticality=false SubjectKeyIdentifier [ KeyIdentifier [ 0000: C0 D5 02 D9 24 6F 58 F6 63 D7 34 D3 9D C4 9E 33 ....$oX.c.4....3 0010: FC 16 4E 5F ..N_ ] ] Trust this certificate? [no]: yes Certificate was added to keystore [Storing vdtServerTrust.jks]
サーバー・アイデンティティおよびトラスト・キーストアの管理
サーバー・アイデンティティとトラスト・キーストアを格納するリポジトリとして、Oracle Platform Security Servicesのキーストア・サービスを使用します。また、これを使用して、エージェントのキーストアを管理することもできます。詳細は、Oracle® Fusion Middleware Oracle Platform Security Servicesによるアプリケーションの保護のキーストア・サービスを使用したキーと証明書の管理に関する項を参照してください。
表2-3に、OPSS設定のデフォルト値を示します。
表2-3 Oracle Platform Security Servicesの設定
設定 | 値 |
---|---|
サーバーによって作成されるアプリケーション・ストライプの名前 |
|
|
|
|
|
Oracle Platform Security Servicesのキーストア・サービスを使用して双方向SSLを構成する手順:
-
エージェントごとに、アイデンティティおよびトラスト・キーストアを作成します。
-
サーバーのアイデンティティ証明書で
VeridataWebIdentityStore
を更新します。 -
エージェントのすべての証明書で
VeridataWebTrustStore
を更新します。 -
サーバーのアイデンティティ証明書でエージェントの各トラストストアを更新します。
-
エージェントのキーストアおよびトラストストアをJKSファイルとしてエクスポートし、パスワードをメモします。
-
JKSファイルを対応するエージェント・マシンに配信します。
-
configure_agent_ssl
ツールを実行し、キーストア・パスワードでエージェント・ウォレットを更新します。 -
エージェントごとに、SSLが有効になるように
agent.properties
ファイルを構成します。
Oracle Platform Security Servicesのキーストア・サービスを使用して一方向SSLを構成する手順:
-
エージェントごとに、アイデンティティ・キーストアを作成します。
-
サーバーのアイデンティティ証明書で
VeridataWebIdentityStore
を更新します。 -
エージェントのキーストアおよびトラストストアをJKSファイルとしてエクスポートし、パスワードを書きとめます。
-
JKSファイルを対応するエージェント・マシンに配信します。
-
configure_agent_ssl
ツールを実行し、キーストア・パスワードでエージェント・ウォレットを更新します。 -
エージェントごとに、SSLが有効になるように
agent.properties
ファイルを構成します。
Oracle GoldenGate Veridataエージェント・ウォレットの変更
エージェントをSSLモードで起動する前に、アイデンティティおよびトラスト・キーストアのパスワードでエージェント・ウォレットを更新する必要があります。そうしないと、エージェントは起動しません。
ウォレットを更新する手順:
-
エージェント・ホームにある
configure_agent_ssl
スクリプトを実行します。AGENT_HOME\configure_agent_ssl.sh AgentID
AgentID
は、.properties
拡張子なしのエージェント・プロパティ・ファイルの名前です。AgentID
のデフォルト値は、agent
です。 -
入力を求められたら、エージェントのアイデンティティおよびトラスト・キーストアのエントリまたはロック解除のパスワードを入力します。
Oracle GoldenGate Veridataファイルの保護
この項では、ビジネス・データの保護方法およびOracle GoldenGate Veridataインストール・ディレクトリとユーザー・インタフェースへのアクセスの制御方法について説明します。
インストール・ディレクトリへのアクセス制御
標準オペレーティング・システムの権限は、サーバー、エージェント、およびWebユーザー・インタフェース・インストール・ディレクトリのプログラム、ファイルおよびディレクトリに適用されます。これらのオブジェクトの権限はビジネス・セキュリティ・ルールに基づいて調整する必要があります。
ビジネス・データを含むファイルの保護
サーバーによって、重要なアプリケーション・データを含むデータ・ファイルが作成されます。デフォルトでは、これらのファイルはDOMAIN_HOME/veridata/reports
にあります。サブディレクトリには、ビジネス・データを反映するファイルが含まれます。
次のタイプのファイルには重要なデータが含まれています。
-
比較レポート(
rpt
サブディレクトリ) -
非同期レポート(
oosxml
およびoos
サブディレクトリ)
これらのファイルは、サーバーのインストール・プログラムを実行するユーザーと同じファイル権限を継承します。権限は変更しないでください。変更すると、Oracle GoldenGate Veridataが権限を保守できなくなる場合があります。これらのファイルはビジネス・データを保管する場合と同様に安全にする必要があります。Oracle GoldenGate Veridata Webユーザー・インタフェースは、クライアント・インタフェースで同じ情報が表示されるため、これらのファイルにアクセスする必要はありません。すべてのレポート・ファイルの内容を暗号化できます。
ユーザー・ロールの定義によるOracle GoldenGate Veridataへのアクセスの保護
ソフトウェア機能へのアクセスを制御するセキュリティ・ロールを割り当てます。その機能の一部によって、一部のデータ値がデータベースから公開されます。
Oracle GoldenGate Veridata | タイプ | 説明 |
---|---|---|
|
Type-A |
管理者ロールは、最高レベルのセキュリティ・ロールです。このロールは、Oracle GoldenGate Veridataを構成、実行および監視する機能のすべてを実行できます。 |
|
Type-A |
パワー・ユーザー・ロールが、2番目に高いロールです。このロールは、Webユーザー・インタフェースからOracle GoldenGate Veridataを構成、実行および監視するすべての機能を実行できます。サーバーの構成機能を実行することはできません。 |
|
Type-B |
レポート・ビューア・ロールでは、Oracle GoldenGate Veridataを構成またはジョブを実行する機能は実行できません。このロールでは、構成およびジョブ情報の表示、比較レポートの表示のみができます。 |
|
Type-B |
詳細レポート・ビューア・ロールでは、Oracle GoldenGate Veridataを構成またはジョブを実行する機能は実行できません。このロールでは、構成およびジョブ情報の表示のみを行うことができます。Webユーザー・インタフェースを通じて、またはファイル・レベルで、比較レポートおよび非同期レポート情報を表示することもできます。 |
|
Additional |
修理操作ロールは、Oracle GoldenGate Veridataで修復機能を使用できます。 |
|
Additional |
コマンドライン・ユーザー・ロールは、Oracle GoldenGate Veridataコマンドライン・ツール、 |
これらのロールは、次のように分類されます。
-
Type AおよびType B: デフォルトでは、Type AおよびType Bのユーザーには追加のユーザー・ロールの権限が割り当てられません。これらのタイプのユーザーに追加のロールを割り当てます。
-
Additional: WebLogic管理者は、これらのAdditionalロールをType Aユーザーに割り当て、必要なOracle GoldenGate Veridata機能を実行できます。
セキュリティは、Oracle WebLogic Server管理コンソールから制御します。管理者ロールが管理コンソールで実行できることは、次のとおりです。
-
ユーザーを作成し、セキュリティ・ロールを割当てます。
-
ユーザー・グループを作成し、セキュリティ・ロールを割当てます。ユーザーはセキュリティ・ロールがなくてもこれらのグループに追加できます。ユーザーはそのグループのロールを継承します。
-
ユーザーを作成してセキュリティ・ロールを割当て、そのユーザーをグループに追加します。ユーザーはそのグループのロールを継承し、各ロールを保持します。
Oracle GoldenGate VeridataでのActive Directoryユーザーの設定
Oracle GoldenGate VeridataでActive Directoryユーザーを設定するには、次の手順を実行します。
-
Oracle WebLogic Server管理コンソールで、「セキュリティ・レルム」に移動し、「myrealm」を選択してから、「ロールとポリシー」をクリックします。
-
「レルム・ロール」サブタブを選択します。
- 「グローバル・ロール」を展開し、表から「ロール」リンクをクリックします。
- 「新規」をクリックして次のロールを作成します。
ExtAdministrator
ExtPowerUser
ExtDetailReportViewer
ExtReportViewer
ExtReportViewer
Oracle GoldenGate Veridata | タイプ | 説明 |
---|---|---|
ExtAdministrator |
Type-A |
|
ExtPowerUser |
Type-A |
|
ExtReportViewer |
Type-B |
|
ExtDetailReportViewer |
Type-B |
|
ExtRepairOperator |
Additional |
|
Oracle WebLogic Server管理コンソールを開く手順:
- ブラウザで、次のアドレスを入力して、Oracle WebLogic Server管理コンソールに接続します。
http://
weblogic_admin_server_hostname
:admin_server_port
/consoleweblogic_admin_server_hostname
は、サーバー・コンポーネントとWebコンポーネントがホストされているシステムの名前またはIPアドレスで、admin_server_port
は、サーバーに割り当てられたポート番号(デフォルトは7001)です。 - Oracle GoldenGate Veridata管理者ユーザーとしてログオンします。Oracle GoldenGate Veridataドメインを設定したときに、デフォルトの管理者ユーザーが作成されました。
ユーザーの作成または編集手順:
- Oracle WebLogic Server管理コンソールの左ペインで、「セキュリティ・レルム」を選択します。
- 「セキュリティ・レルムのサマリー」ページで、セキュリティ・レルムの名前を選択します。
- Veridataセキュリティ・レルムの設定ページで、「ユーザーとグループ」、「ユーザー」の順に選択します。「ユーザー」表に、管理プロバイダで定義されているすべてのユーザーの名前が表示されます。
- 既存のユーザーを選択して設定を編集するか、「新規作成」をクリックしてユーザーを作成し、ユーザーのプロパティを入力します。
- ユーザーにロールを割り当てるには、user_nameページの「設定」で、「グループ」をクリックします。
このユーザーに該当するロールを選択します。
たとえば、管理者のVeridataAdminには、次の図に示す権限を割り当てることができます。
たとえば、Veridataパワー・ユーザーであるPowerUserには、次の図に示す権限を割り当てることができます。
-
「保存」をクリックします。
データベース・スキーマのパスワードの変更
スキーマ・パスワードの失効時、アカウントのロック時、またはパスワードの変更が必要な場合に、データ・スキーマのパスワードを変更できます。この項は、OGG_IAU, OGG_IAU_APPEND
やOGG_IAU_VIEWER
など、'OGG'という接頭辞が付いたすべてのデータベース・スキーマに適用されます。
データベース・スキーマのパスワードを変更する手順:
-
Oracle GoldenGate Veridataサーバーを停止します。
DOMAIN_HOME/veridata/veridata/bin/veridataServer.sh stop
-
Oracle WebLogic Serverを停止します。
DOMAIN_HOME//veridata/bin/stopWebLogic.sh
-
Oracle WebLogic Scripting Tool (
wlst.sh
)を起動します。次に例を示します。/home/oracle/Oracle/Middleware/Oracle_Home/oracle_common/common/bin/wlst.sh
-
この例に従って、データベース・スキーマのパスワードを変更します。
modifyBootStrapCredential(jpsConfigFile='/home/oracle/wls_domains/veridata/config/fmwconfig/jps-config.xml',username='OGG_OPSS',password='welcome123')
username=
はデータベース・スキーマ名、password=
は新しいパスワードです。 -
exit()
を使用してスクリプティング・ツールを終了します。 -
メタデータ・リポジトリ・データベースにログインし、スキーマ・パスワードを変更してスキーマをロック解除します。
次の例では、OGG_OPSS
スキーマをロック解除します。alter user OGG_OPSS identified by welcome123; alter user OGG_IAU identified by welcome123; alter user OGG_IAU_APPEND identified by welcome123; alter user OGG_IAU_VIEWER identified by welcome123; alter user OGG_STB identified by welcome123; alter user OGG_VERIDATA identified by welcome123; alter user OGG_OPSS account unlock;
-
Oracle WebLogic Server構成ウィザードの起動次に例を示します。
/home/oracle/Oracle/Middleware/Oracle_Home/oracle_common/common/bin/config.sh
-
「既存のドメインの更新」を選択し、「次」をクリックします。
-
「JDBCコンポーネント・スキーマ」を選択し、データベース・スキーマの新しいパスワードを入力します。
-
「構成のサマリー」画面が表示されるまで「次」をクリックし、「更新」をクリックします。
-
スキーマ・パスワードの変更を保存するには、「次へ」、「終了」の順にクリックします。
-
Oracle WebLogic Serverを起動します。
DOMAIN_HOME//veridata/bin/startWebLogic.sh
-
Oracle GoldenGate Veridataサーバーを起動します。
DOMAIN_HOME/veridata/veridata/bin/veridataServer.sh start
レポート・ファイルの暗号化
Oracle GoldenGate Veridataで、比較レポート・ファイル(.rpt
、.oos
、.oosxml
)を暗号化できます。次の項では、レポートの暗号化について説明します。
レポート暗号化の有効化
暗号化は、veridata.cfg
構成ファイルの次のパラメータで制御されます。
-
server.encryption
-
server.encryption.bits
暗号化を有効にするには、server.encryption
をtrue
に設定します。
レポート・ファイルの暗号化では、Advanced Encryption Standard (AES)暗号化が使用され、デフォルトの暗号化の強度は128ビットです。veridata.cfg
のserver.encryption.bits
パラメータの値を編集して、暗号化の強度を192から256ビットに上げることができます。ただし、128を超える暗号化の強度には、Unlimited Strength Cryptography ExtensionとともにインストールされたJREが必要です。
これらのパラメータの詳細は、「レポート・ファイル暗号化のパラメータ」を参照してください。
暗号化されたレポート・ファイルには、次の拡張子がファイル名に含まれます。
-
.xrpt
: 暗号化された比較または修復レポート・ファイル -
.xoos
: 暗号化されたバイナリ非同期ファイル -
.xoosxml
: 暗号化された非同期XMLファイル -
.xNNN
: 暗号化された非同期XMLチャンク・ファイル(NNN
は10進数)
暗号化されたファイルをreportutilユーティリティで表示
レポートの暗号化が有効になっている場合、最初から大きいランダム値の暗号化鍵を使用して、すべてのレポート・ファイルが暗号化されます。必要な場合は、暗号化鍵を変更できます。
暗号化されたファイルを読み取るには、復号化する必要があります。Oracle GoldenGate Veridata Webユーザー・インタフェースでは、ファイルを表示する前に自動的に復号化します。reportutil.sh/.bat
ユーティリティを使用して、暗号化された内容を表示します。このユーティリティは、VERIDATA_DOMAIN_HOME\veridata\bin
ディレクトリにあります。
暗号化されたファイルを表示するには、VERIDATA_DOMAIN_HOME\veridata\bin
ディレクトリにあるreportutil.sh/.bat
ユーティリティを実行します。
reportutil [-wlport port ] -wluser weblogic_user { options }
wlport
は、サーバーのポート番号(デフォルトのポートは8830)で、wluser
は、サーバーのユーザー名を表します。
有効なオプションは次のとおりです。
-
-version
、-v
: 現在のバージョンを表示します -
-help
: ヘルプ・メッセージを表示します -
-r
: レポートの暗号化をロールします -
-f
filename
[-d
directory
]: ディレクトリが-d
オプションで指定されている場合、レポート・ファイルを復号化して、指定したファイルに出力します。それ以外の場合は、復号化したファイルをコマンドで標準出力に出力します。
操作を実行するには、reportutil
ユーティリティを実行しているユーザーが適切なユーザー・グループに属している必要があります。
-
-r
,-f
: ユーザーがveridataCommandLineUser
グループのメンバーの場合のみ許可されます。 -
-r
: ユーザーがveridataAdministrator
グループのメンバーの場合に許可されます。 -
-f
: ユーザーがveridataAdministrator
グループのメンバー、またはveridataPowerUser
グループ、veridataPowerUser
グループ、veridataDetailReportViewer
グループのメンバーの場合に許可されます。
ユーザー・ロールの詳細は、「ユーザー・ロールの定義によるOracle GoldenGate Veridataへのアクセスの保護」を参照してください。