Oracle® Fusion Middleware Oracle Platform Security Servicesによるアプリケーションの保護 12c (12.2.1.3.0) E92000-01 |
|
前 |
次 |
この章では、WebLogic Serverドメインの作成または拡張時に、セキュリティ・ストアにシードできるセキュリティ・アーティファクトについて説明します。セキュリティ・ストアのバックアップ方法とリカバリ方法についても説明します。
この章の内容は次のとおりです。
注意:
セキュリティ・アーティファクトを旧リリースから12.2.1.xにアップグレードするための手順および共有セキュリティ・ストアをアップグレードするための手順は、『Oracle Fusion Middlewareのアップグレードのプランニング』のデータストアの保護に説明されています。11gドメインでは、デプロイメント・ディスクリプタが適切に設定されている場合、製品固有のセキュリティ・アーティファクトの指定はアプリケーションのエンタープライズ・アーカイブ(EAR)ファイルにバンドルされ、それらのアーティファクトはアプリケーションのデプロイ時にセキュリティ・ストアに移行されます。
12cドメインでは、製品固有のセキュリティ・アーティファクトの指定は、それらのアーティファクトをドメインの作成時にセキュリティ・ストアにシードする手段となる製品テンプレートで構成されます。
Fusion Middlewareドメインは、Java Required Files (JRF)テンプレートを使用して作成または拡張されます。テンプレートにより、セキュリティ・ストアのアーティファクトのプロビジョニングが指定されます。具体的には、次のものが作成されます。
OPSSセキュリティ・アーティファクト。
暗号化鍵でシードされるcwallet.sso
ブートストラップ・ファイル。
キーストア(トラストストア、デモ・キーストア、Oracle WebLogic Serverで使用されるドメイン・アイデンティティ・キーストアを含む)。
トラストストアに接続されたトラスト・サービス。
3つのデータ・ソース: OPSSスキーマ、OPSS監査ビューア・スキーマ、OPSS監査追加スキーマそれぞれに1つずつ。
データベース・セキュリティ・ストアおよび監査ストアの構成。
JRFテンプレートでは、管理対象サーバーは作成されません。Fusion Middlewareドメインでは、すべてのリソースが管理サーバーにのみターゲット設定されます。後で管理対象サーバーをドメインに追加する場合は、その管理対象サーバーへのターゲット・リソースにもJRFテンプレートを適用する必要があります。ドメイン再構成後にOPSSおよび監査データ・ソースを管理対象サーバーにターゲット設定するには、applyJRF
WebLogic Scripting Tool (WLST)コマンドを使用します。
本番のFusion Middlewareドメインには、データベース・セキュリティ・ストアが必要です。データベースは、新しいデータベースまたは他のFusion Middlewareドメインに関連付けられたデータベースのどちらでもかまいません。
次の各項では、Fusion Middlewareドメインの作成方法について説明します。
次の手順では、WLSTコマンドのみを使用します。ドメイン・データベースに関連付けられた拡張Fusion Middlewareドメインを作成するには、次の手順を実行します。
注意:
このスクリプトを使用して、domain1
と同様に他のFusion Middlewareドメインを作成することもできます。そのようにする場合、スクリプトのsetSharedSecretStoreWithPassword
で開始する行を削除します。
exportEncryptionKey
WLSTコマンドを使用してドメインの暗号化鍵を必ずバックアップし、ドメインに障害があって再作成する必要がある場合に備えて安全な場所に保持してください。
関連項目:
『インフラストラクチャ・セキュリティWLSTコマンド・リファレンス』のexportEncryptionKey
セキュリティ・アーティファクトのシードおよび処理を簡略化するには、ドメインの作成または拡張時に、OPSSを使用するコンポーネントによってテンプレートが指定される必要があります。このテンプレートは、コンポーネントの実行に必要な、コンポーネントのみに固有のアーティファクトを定義およびバンドルし、表7-1に示すファイルを含みます。
表7-1 OPSSで使用されるコンポーネント・テンプレートのファイル
ファイル名 | 説明 | テンプレートのルート・フォルダからの場所 |
---|---|---|
|
必須。セキュリティ・アーティファクトのライフ・サイクルを指定します。 |
./security/component-security-info.xml |
|
オプション。ポリシーを指定します。 |
./security/authorization/jazn-data.xml |
|
オプション。キーストアのメタデータを指定します。 |
./security/keystore/keystore.xml |
|
オプション。コンポーネントで使用される資格証明メタデータを指定します。 |
./security/credential/credentials.xml |
|
オプション。監査データを指定します。 |
./security/audit/component_events.xml |
|
オプション。ローカライズされた監査データを指定します。 |
./security/audit/component_events_xlf.jar |
製品テンプレートにバンドルされたOPSSセキュリティ・アーティファクトには、アーティファクトの処理方法を指定するcomponent-security-info.xml
ファイルが必要です。
この項では、セキュリティ・ストアをバックアップおよびリカバリする方法について説明します。
この項には次のトピックが含まれます:
注意:
migrateSecurityStore
WLSTコマンドを使用して、セキュリティ・データをバックアップおよびリカバリできます。セキュリティ・データをバックアップするには、セキュリティ・データをファイル・ストアに移行します。リカバリするには、ファイル・ストアをターゲット・セキュリティ・ストアに移行します。
関連項目:
Oracle Fusion Middlewareの管理
バックアップの実行
Oracle WebLogic Serverドメインのリカバリ
セキュリティ・ストアのバックアップに加えて、次の構成ファイルおよびデータ・ファイルも保存する必要があります。
DOMAIN_HOME/config/config.xml DOMAIN_HOME/config/fmwconfig/jps-config.xml DOMAIN_HOME/config/fmwconfig/jps-config-jse.xml DOMAIN_HOME/config/fmwconfig/cwallet.sso DOMAIN_HOME/config/fmwconfig/keystores.cml DOMAIN_HOME/config/fmwconfig/audit-store.xml DOMAIN_HOME/config/fmwconfig/system-jazn-data.xml DOMAIN_HOME/config/fmwconfig/ids-config.xml DOMAIN_HOME/config/fmwconfig/mbeans/jps_mbeans.xml DOMAIN_HOME/config/fmwconfig/bootstrap/cwallet.sso
これらのパス名で、DOMAIN_HOMEはドメインを作成したディレクトリを表します。デフォルトのドメイン・ホームの場所は、ORACLE_HOME/user_projects/domains/domain_name
です。
この項に記載されている手順では、バックアップ計画およびリカバリの自動化とデータベースの複製に使用するツールであるOracle Database Utility Recovery Manager (RMAN)を使用します。
次の手順を使用してホストAのデータベース・ベースのセキュリティ・ストアをホストBのデータベース・ベースのセキュリティ・ストアにバックアップします。ホストAのセキュリティ・ストアではjdbc
URLがproddb
に設定されており、ホストBのセキュリティ・ストアではjdbc
URLがtestdb
に設定されています。この手順では、ホストBのクローニングされたデータベース・ベースのセキュリティ・ストアと連動するようにドメインを設定します。
データベース・ベースのセキュリティ・ストアをバックアップするには、次の手順を実行します。
ホストBでtestdb
データベースを設定します。
inittestdb.ora
ファイルを作成して次の行を含めます。
# db_name=testdb #
testdb
をlistener.ora
ファイルに追加します。
SID_LIST_LISTENER = (SID_LIST=(SID_DESC=(SID_NAME=testdb)(GLOBAL_DBNAME=testdb)(ORACLE_HOME=/u01/app/oracle/product/11.2.0/dbhome_1))
testdb/proddb
をtnsnames.ora
ファイルに追加します。
proddb=(DESCRIPTION=(ADDRESS=(PROTOCOL=tcp)(HOST=hostA.com)(PORT=XXXX))(CONNECT_DATA=(SERVER=DEDICATED)(SERVICE_NAME= proddb)))
testdb=(DESCRIPTION=(ADDRESS=(PROTOCOL=tcp)(HOST=hostB.com)(PORT=YYYY))(CONNECT_DATA=(SERVER=DEDICATED)(SERVICE_NAME=testdb)))
リスナーを再起動します。
lsnrctl stop, lsnrctl start
nomount
モードでpfile
を使用して新しいインスタンスを起動します。
$ export ORACLE_SID=testdb
$ sqlplus / as sysdba
SYS@testdb SQL>startup nomount pfile=/scratch/rdbms/dbs/inittestdb.ora
RMANを使用してproddb
データベースをtestdb
データベースにクローニングします。
testdb/proddb
をtnsnames.ora
ファイルに追加します。
proddb=(DESCRIPTION=(ADDRESS=(PROTOCOL=tcp)(HOST=myhostA.com)(PORT=XXXX))(CONNECT_DATA=(SERVER=DEDICATED)(SERVICE_NAME= proddb)))
testdb=(DESCRIPTION=(ADDRESS=(PROTOCOL=tcp)(HOST=myhostB.com)(PORT=YYYY))(CONNECT_DATA=(SERVER=DEDICATED)(SERVICE_NAME=testdb)))
proddb
データベースでspfile
が使用されていることを確認します。使用されていない場合は、sysdba
ユーザーとしてログインしてcreate spfile from pfile
を実行し、init
ファイルからバイナリspfile
を生成します。次にサーバーを再起動します。
リスナーを再起動します。
lsnrctl stop, lsnrctl start
複製データベース・ファイルの名前を生成する方法を決定します。具体的には、制御ファイル、データ・ファイル、オンラインREDOログ・ファイルおよび一時ファイルに名前を付ける方法を決定します。
たとえば、proddb
データベースでは、ホストAのディレクトリ/oradata/proddb
にあるファイルを、ホストBの/oradata/testdb
ディレクトリに保存する場合は、次の手順で示すように、DB_FILE_NAME_CONVERT
/proddb, /testdb
を指定します。
RMANを実行してproddb
データベースをtestdb
データベースにクローニングします。
$rman RMAN> CONNECT TARGET SYS@proddb RMAN> CONNECT AUXILIARY SYS@testdb RMAN> DUPLICATE TARGET DATABASE TO testdb FROM ACTIVE DATABASE DB_FILE_NAME_CONVERT '/proddb','/testdb' SPFILE PARAMETER_VALUE_CONVERT '/proddb','/testdb' SET LOG_FILE_NAME_CONVERT '/proddb','/testdb';
RMANがエラーなしで完了したことを確認します。
ドメインを切り替えて、バックアップしたデータベースをセキュリティ・ストアとして使用することで、testdb
データベースが予期したとおりに機能することを確認します。
WebLogic Serverを停止します。
{domain}/config/fmwconfig/jps-config.xml
ファイル、{domain}/config/fmwconfig/jps-config-jse.xml
ファイルおよび{domain}/config/jdbc/*xml
ファイルで、jdbc
URLをproddb
からtestdb
に変更します。
WebLogic Serverを再起動します。
ドメイン・セキュリティが正しく機能することを確認します。
12cリリースではLDAPセキュリティ・ストアはお薦めしません。これは11gからアップグレードされた環境で使用される場合があります。
この項に記載されている手順を使用し、ソースLDAPストアをターゲットLDAPストアにバックアップします。
関連項目:
Oracle Internet Directory管理者ガイド:
ldifwriteを使用したOracle Internet Directoryからファイルへのデータのダンプ
LDIFファイルおよびバルク・ローダーを使用したLDAPデータの移行
セキュリティ・ストアと構成ファイルを、定期的に、および次のイベントのいずれかが発生したときにバックアップすることをお薦めします。
最初のインストール後。
アップグレードの前と後。
rolloverEncryptionKey
WLSTコマンドを実行するときはいつでも。
ポリシー、資格証明または鍵とキーストアなど新しいセキュリティ・データを作成した後。
構成ファイルの詳細は、バックアップ用構成ファイルを参照してください。