1. 管理者ガイド
  2. Oracle Database Vaultの無効化および有効化

B Oracle Database Vaultの無効化および有効化

Oracle Databaseのオプション製品または機能のインストールなどのアクティビティのために、定期的にOracle Database Vaultを無効化してから再有効化する必要があります。

B.1 Oracle Database Vaultを無効にする必要がある場合

アップグレード・タスクを実行する際、または誤った構成を修正する際には、Oracle Database Vaultを無効にする必要があります。

修正タスクが終了したら、Oracle Database Vaultを再度有効にできます。

Oracle Database Vaultの有効化ステータスおよび構成ステータスを確認するには、Database Vaultが構成および有効化されていることの確認を参照してください。

次の場合に、Oracle Database Vaultを無効にする必要があります。

  • Oracle Databaseのオプションの製品または機能(Oracle SpatialやOracle Multimediaなど)のいずれかをDatabase Configuration Assistant(DBCA)を使用してインストールする必要がある場合。

  • Oracle Database Vaultの登録時にDV_OWNERおよびDV_ACCTMGRのバックアップ・アカウントを構成しておらず、これらのアカウントが不注意でロックされたかそれらのパスワードを忘れた場合。使用サイトにDV_OWNERユーザーが1人しかおらず、このユーザーが自身のパスワードを失くした場合、担当者はOracle Database Vaultを無効にすることができません。ただし、サイトで唯一のDV_ACCTMGRユーザーがパスワードを失くした場合は、Database Vaultを無効にできます。ベスト・プラクティスとして、DV_OWNERロールとDV_ACCTMGRロールを、新しいまたは既存のユーザー・アカウントに付与し、Database Vaultをバックアップ・アカウントとして登録したときに作成したDatabase Vault所有者およびアカウント・マネージャのアカウントを使用する必要があります。(以後この問題を回避するためのガイドラインについては、「バックアップOracle Database Vaultアカウント」を参照)。

  • Oracle Database Configuration Assistant (DBCA)を使用して、Oracle Internet Directory (OID)を登録する場合。

ノート:

  • Oracle Database Vaultを無効にすると、インストール時に既存のユーザーおよびロールから取り消された権限が有効のままになることに注意してください。取り消される権限のリストは、「既存のユーザーおよびロールから取り消される権限」を参照してください。

  • Oracle Database Vaultを無効にする場合、一部のDatabase Vault機能は引き続き使用できます。

  • Oracle Database Vaultの削除はサポートされていません。

親トピック: Oracle Database Vaultの無効化および有効化

B.2 ステップ1: Oracle Database Vaultの無効化

Oracle Database Vaultを無効化した後も、Database Vaultの実行に必要なOracle Label Securityは有効なままです。

  1. SQL*Plusでは、Oracle Database所有者(DV_OWNER)アカウントとしてログインしてから、Oracle Database Vaultを無効にします。
    sqlplus psmith
Enter password: password

EXEC DBMS_MACADM.DISABLE_DV;
  2. マルチテナント環境で、適切なプラガブル・データベース(PDB)に接続します。

    たとえば:

    CONNECT psmith@hrpdb
Enter password: password

    利用可能なPDBを検索するには、DBA_PDBSデータ・ディクショナリ・ビューを問い合せます。現在のPDBを確認するには、show con_nameコマンドを実行します。

  3. データベースを再起動します。
    CONNECT SYS AS SYSOPER -- Or, CONNECT SYS@hrpdb AS SYSOPER
Enter password: password

SHUTDOWN IMMEDIATE
STARTUP
  4. Oracle RACインストールの場合は、データベースがインストールされているノードごとに、これらのステップを繰り返します。

親トピック: Oracle Database Vaultの無効化および有効化

B.3 ステップ2: 必要なタスクの実行

この段階では、Oracle Database Vaultは無効になっており、必要な作業を実行できます。

次のようなアクティビティを実行できます。

  • Oracle Database VaultのPL/SQLパッケージおよびファンクションを使用します。たとえば、ログインまたはCONNECTルール・セット・エラーを修正するには、DBMS_MACADM PL/SQLパッケージまたはEnterprise Manager Cloud ControlのOracle Database Vaultページを使用します。CONNECTコマンド・ルールでは、DV_OWNERまたはDV_ADMINロールを持つユーザーのデータベースへの接続は阻止できません。このため、Database Vault管理者はDatabase Vaultを無効化することなく、間違って構成された保護を修正できます。

  • パスワードの作成または変更、あるいはアカウントのロックおよびロック解除などのタスクを実行するために、SYSTEMアカウントまたはSYSアカウントを使用します。標準のデータベースおよび管理ユーザー・アカウントの変更に加えて、DV_ADMINまたはDV_ACCTMGRロールを付与されているユーザーなど、任意のOracle Database Vault固有のアカウントのパスワードおよびロック・ステータスを変更できます。(以後この問題を回避するためのガイドラインについては、「登録中に作成されるOracle Database Vaultアカウント」でヒントを参照)。

  • インストールまたはセキュリティ保護を無効にする必要のあるその他のタスクを実行します。

親トピック: Oracle Database Vaultの無効化および有効化

B.4 ステップ3: Oracle Database Vaultの有効化

SQL*PlusからOracle Database VaultおよびOracle Label Securityを有効にできます。

  1. SQL*Plusで、Oracle Database所有者(DV_OWNER)アカウントとして接続してから、Database Vaultを有効にします。

    非マルチテナント環境またはPDBからDatabase Vaultを有効にしている場合は、次のようにします。

    CONNECT psmith -- Or, CONNECT psmith@hrpdb for a PDB
Enter password: password

EXEC DBMS_MACADM.ENABLE_DV;

    CDBルートからDatabase Vaultを有効にしている場合。たとえば:

    CONNECT c##sec_admin_owen 
Enter password: password

    次の設定のどちらかを選択します。

    EXEC DBMS_MACADM.ENABLE_DV (strict_mode => 'n');
 -- For regular mode
EXEC DBMS_MACADM.ENABLE_DV (strict_mode => 'y');
 -- For strict mode
  2. Oracle Label Securityが有効がどうかを確認します。 
    SELECT VALUE FROM V$OPTION WHERE PARAMETER = 'Oracle Label Security';

    Database Vaultを使用する前に、Oracle Label Securityを有効にする必要があります。有効でない場合、この問合せからFALSEが返されます。

  3. Oracle Label Securityが有効でない場合は、有効にしてください。
    CONNECT SYS AS SYSDBA -- Or, CONNECT SYS@hrpdb AS SYSDBA
Enter password: password

EXEC LBACSYS.CONFIGURE_OLS;
EXEC LBACSYS.OLS_ENFORCEMENT.ENABLE_OLS;
  4. データベースを再起動します。
    CONNECT SYS AS SYSOPER -- Or, CONNECT SYS@hrpdb AS SYSOPER
Enter password: password

SHUTDOWN IMMEDIATE
STARTUP
  5. Oracle RACインストールの場合は、データベースがインストールされているノードごとに、これらのステップを繰り返します。

親トピック: Oracle Database Vaultの無効化および有効化