プライマリ・コンテンツに移動
Oracle® Enterprise Manager Cloud Controlセキュリティ・ガイド
13c リリース3
E98543-01
目次へ移動
目次 		索引へ移動
索引
前
前へ 		次
次へ

D.1 Enterprise Managerリポジトリとの通信用のTLSv1.2の構成

Enterprise Managerリポジトリとの通信にTLSv1.2プロトコルを有効化することにより、Oracle Management ServiceはTLSを使用してリポジトリとセキュアに通信して、通信トラフィックを暗号化し、Enterprise ManagerリポジトリがOracle Management Serviceに対して自身を認証できるようにします。

Enterprise Managerリポジトリとの通信にTLSv1.2を有効にするには、次の手順に従います。

手順1: Enterprise ManagerリポジトリにTLSv1.2を構成する

Enterprise ManagerリポジトリがOracle Database内に存在しているため、Oracle DatabaseにSSLを構成する際のベスト・プラクティスはEnterprise Managerリポジトリにも適用されます。SSLの構成の詳細は、『Oracle Databaseセキュリティ・ガイド』を参照してください。

  • Oracle 11.2 RACでの構成例は、MOSノートID 1448841.1.を参照してください。

  • sqlnet.oraまたはlistener.oraファイルで、SSL_VERSIONパラメータを1.2に設定してTLSv1.2を構成します。

  • sqlnet.oraファイルで、SSL_CLIENT_AUTHENTICATIONパラメータをFALSEに設定します。

  • 次の手順に進む前に、SQLPLUSおよびTCPS接続記述子を使用したSSL接続を作成して構成を確認します。

    接続記述子が正しいことを確認するには、次のコマンドを実行して接続をテストします。

    ./sqlplus sysman/<sysman_pwd>@"(DESCRIPTION=(ADDRESS_LIST=(ADDRESS=(PROTOCOL=TCPS)(HOST=<REPOS_HOST/SCAN_HOST>)(PORT=<TCPS_PORT>)))(CONNECT_DATA= (SID=<SID/SERVICE>)))"

注意:

TCPSを使用するようにOracle Management Service接続記述子が変更されるまで、TCPおよびTCPSリスナーの両方を稼動させることは重要です(手順2を参照)。

手順2: TLSv1.2対応のEnterprise Managerリポジトリに接続するようにOracle Management Serviceを構成する

プライマリOracle Management Serviceから先に次の手順を実行し、同じ手順を繰返しながら残りのOracle Management Serviceを処理します。

  1. データベース・サーバーのCA証明書をOracle Management ServiceのJDKトラストストアにインポートします。

    サーバーのCA証明書をバックアップした後に、次を実行します
    $ORACLE_HOME/oracle_common/jdk/bin/keytool -importcert -file  trustCert.pem -alias emreprootca -keystore 
$ORACLE_HOME/oracle_common/jdk/jre/lib/security/cacerts -storepass "changeit"

    注意:

    JDKトラストストアのパスワードは、changeitです。

  2. Oracle DBクライアントの本来の暗号化を無効にします。

    <ORACLE_HOME>/gc_inst/em/EMGC_OMS<n>/emgc.propertiesファイルを編集して、次の行を追加します。 
    oracle.sysman.core.conn.enableEncryption=false
    プライマリOracle Management Serviceのみで次を実行します。
    emctl set property -name "oracle.sysman.core.conn.enableEncryption" -value "false" -sysman_pwd sysman

  3. TCPSのみを使用するように、接続記述子を変更します。

    コマンドemctl config oms -list_repos_detailsを使用して、既存の接続記述子を取得します

    変更したTCPSプロトコルおよびポートを使用して、次を実行します。
    emctl config oms -store_repos_details -repos_user sysman -repos_pwd <SYSMAN_PWD> -repos_conndesc "(DESCRIPTION=(ADDRESS_LIST=(ADDRESS=(PROTOCOL=TCPS)(HOST= <REPOS_HOST/SCAN_HOST>)(PORT=<TCPS_PORT>)))(CONNECT_DATA= (SID=<SID/SERVICE>)))"
    次のファイルのポートおよびプロトコルのプロパティが変更されていることを確認します。変更されていない場合、TCPS設定を使用するように、ポートおよびプロトコルのプロパティを変更します。
    <EM_INSTANCE>/user_projects/domains/GCDomain/config/fmwconfig/jps-config.xml 
<EM_INSTANCE>/user_projects/domains/GCDomain/config/fmwconfig/jps-config-jse.xml 
<EM_INSTANCE>/user_projects/domains/GCDomain/config/fmwconfig/embi-policystoremerge-jpscfg.xml

  4. TCPSのみを使用するように、サービスの接続記述子を変更します。

    他のサービスがPing、イベント、ジョブおよびローダーなどのサブシステム用に作成されている場合、新しいTCPS構成の詳細を使用するように、接続記述子を変更します。

    最初に、プライマリOracle Management Serviceで次を実行します。

    Pingサブシステムの接続記述子の場合:
    emctl set property -name "oracle.sysman.core.omsAgentComm.ping.connectionService.connectDescriptor " -value "\(DESCRIPTION=\(ADDRESS_LIST=\(ADDRESS=\(PROTOCOL=TCPS\)\(HOS T=<REPOS_HOST/SCAN_HOST>\)\(PORT=<TCPS_PORT>\)\)\)\(CONNECT_ DATA=\(SERVICE_NAME=ping\)\)\)" -sysman_pwd <SYSMAN_PWD>
    イベント・サブシステムの接続記述子の場合:
    emctl set property -name "oracle.sysman.core.events.connectDescriptor" -value "\(DESCRIPTION=\(ADDRESS_LIST=\(ADDRESS=\(PROTOCOL=TCPS\)\(HOS T=<REPOS_HOST/SCAN_HOST>\)\(PORT=<TCPS_PORT>\)\)\)\(CONNECT_ DATA=\(SERVICE_NAME=event\)\)\)" -sysman_pwd <SYSMAN_PWD>
    ジョブ・サブシステムの接続記述子の場合:
    emctl set property -name "oracle.sysman.core.jobs.conn.service" -value "\(DESCRIPTION=\(ADDRESS_LIST=\(ADDRESS=\(PROTOCOL=TCPS\)\(HOS T=<REPOS_HOST/SCAN_HOST>\)\(PORT=<TCPS_PORT>\)\)\)\(CONNECT_ DATA=\(SERVICE_NAME=emjob\)\)\)" -sysman_pwd <SYSMAN_PWD>
    ローダー・サブシステムの接続記述子の場合:
    emctl set property -name "oracle.sysman.core.pbs.gcloader.connectDescriptor" -value "\(DESCRIPTION=\(ADDRESS_LIST=\(ADDRESS=\(PROTOCOL=TCPS\)\(HOS T=<REPOS_HOST/SCAN_HOST>\)\(PORT=<TCPS_PORT>\)\)\)\(CONNECT_ DATA=\(SERVICE_NAME=loader\)\)\)" -sysman_pwd <SYSMAN_PWD>

プライマリOracle Management Service上で手順2-1から2-4を実行した後、残りのすべてのOracle Management Serviceについてこれらの手順を繰り返します。

手順3: Enterprise Managerリポジトリ関連のターゲットにブラックアウトを構成する

ターゲットの構成が完了するまでアラートを抑制するには、Enterprise Managerリポジトリに関連したすべてのターゲット(oracle_database、oracle_emrep、oracle_omsおよびmetadata_repositoryターゲット・タイプ)をブラックアウトの下に配置します。

手順4: すべてのOracle Management Serviceをバウンスする

プライマリOracle Management Serviceから先に、すべてのOracle Management Serviceで次を実行します。

emctl stop oms –all

Enterprise Managerリポジトリのlistener.oraファイルでTCPリスナーを無効にし、TCPS接続のみを有効にするようにリスナーを再度バウンスします。

プライマリOracle Management Serviceを起動します。 

emctl start oms

注意:

Oracle Management Serviceが起動しない場合、次のいずれかを実行する必要があります。

SQLNET.RECV_TIMEOUT=100000をデータベースのsqlnet.oraファイルに追加します。

または

データベース・パッチ20544797を適用します(推奨される方法)。

プライマリOracle Management Serviceの起動後、残りのOracle Management Serviceを1つずつ起動します。

手順5: Enterprise Managerリポジトリをモニターするエージェントを再構成する

target.xmlファイルにターゲットの管理サービスおよびリポジトリを配置することにより、管理リポジトリをモニターしているプライマリOracle Management Serviceのセントラル・エージェントを再構成します。リポジトリにRACが構成されている場合、Enterprise Managerリポジトリのホスト・エージェントも配置する必要があります。

リポジトリ接続を参照しているターゲットをモニターする、指定された前述の2つのエージェントのいずれかで次を実行します。
<AGENT_INSTANCE>/bin/emctl setproperty agent -name connectionTrustStoreLocation -value <...>/client/wallet/ewallet.p12 

<AGENT_INSTANCE>/bin/emctl setproperty agent -name connectionTrustStorePassword -value <…>
<AGENT_INSTANCE>/bin/emctl setproperty agent -name connectionTrustStoreType -value PKCS12

管理リポジトリをモニターしているプライマリOracle Management Serviceのセントラル・エージェントのホーム・ディレクトリ内に、次のディレクトリにあるsqlnet.ora構成ファイルを配置します。

AGENT_HOME/network/admin (UNIX)

AGENT_HOME\network\admin (Windows)

sqlnet.oraに次のスニペットが含まれていることを確認します。
SSL_CLIENT_AUTHENTICATION = FALSE 
SSL_VERSION = 1.2
WALLET_LOCATION = (SOURCE =
   (METHOD = FILE) (METHOD_DATA =
      (DIRECTORY = <...>/client/wallet ) )
)

この手順で変更したエージェントをバウンスします。

手順6: Enterprise Managerリポジトリ接続を参照するターゲットを再構成する

Enterprise ManagerリポジトリをモニターするプライマリOracle Management Serviceのセントラル・エージェントのターゲットXMLでリポジトリ接続を参照するターゲットを特定します。また、ローカルの物理ホスト・エージェントがEnterprise Managerリポジトリのホストにデプロイされている場合、そのエージェントのターゲットXMLにあるターゲットも特定します。

特定したターゲットごとに次のEMCLIコマンドを実行します。
emcli modify_target -name="<Target Name>" -type="<target_type>" -properties="<Property>:<Property Value>;<Property>:<Property Value>" -on_agent

注意:

エージェントのtargets.xmlファイルから収集したtarget_name、target_type、プロパティおよびプロパティ値の書式を使用していることを確認してください。

例:

emcli modify_target -name="database1.mycompany.com" -type="oracle_database" -properties="Port:<TCPS_PORT>;Protocol:TCPS" -on_agent
emcli modify_target -name="Management Services and Repository" -type="oracle_emrep" -properties="ConnectDescriptor:(DESCRIPTION=(ADDRESS_LIST=(ADDRESS= (PROTOCOL=TCPS)(HOST=<REPOS_HOST/SCAN_HOST>)(PORT=<TCPS_ PORT>)))(CONNECT_DATA=(SID=<SID>)))" -on_agent
emcli modify_target -name="primary_oms.mycompany.com:4889_Management_Service" -type="oracle_oms" -properties="ConnectDescriptor:(DESCRIPTION=(ADDRESS_LIST=(ADDRESS= (PROTOCOL=TCPS)(HOST=<REPOS_HOST/SCAN_HOST>)(PORT=<TCPS_ PORT>)))(CONNECT_DATA=(SID=<SID>)))" -on_agent
emcli modify_target -name="/EMGC_GCDomain/GCDomain/EMGC_ADMINSERVER/mds-owsm" -type="metadata_repository" -properties="JdbcUrl|jdbc:oracle:thin:@(DESCRIPTION=(ADDRESS_LIST=(ADD RESS=(PROTOCOL=TCPS)(HOST=<REPOS_HOST/SCAN_HOST>)(PORT=< TCPS_PORT>)))(CONNECT_DATA=(SID=<SID>)))" -on_agent -subseparator=properties="|"
emcli modify_target -name="/EMGC_GCDomain/GCDomain/EMGC_ADMINSERVER/mds-sysman_mds" -type="metadata_repository" -properties="DatabaseName:@(DESCRIPTION=(ADDRESS_LIST=(ADDRESS=( PROTOCOL=TCPS)(HOST=<REPOS_HOST/SCAN_HOST>)(PORT=<TCPS_P ORT>)))(CONNECT_DATA=(SID=<SID>)))" -on_agent

手順7: 管理リポジトリに関連したターゲットのブラックアウトを終了する

Enterprise Managerリポジトリに関連したターゲットをブラックアウトから除外して、ターゲットのステータスがEnterprise Managerコンソールで「ターゲット起動」になっていることを確認します。

前
前へ 		次
次へ
目次へ移動
目次 		索引へ移動
索引