プライマリ・コンテンツに移動
Oracle® Enterprise Manager Cloud Controlセキュリティ・ガイド
13
c
リリース3
E98543-01
索引
次へ
目次
タイトルおよび著作権情報
はじめに
対象読者
ドキュメントのアクセシビリティについて
関連ドキュメント
表記規則
1
セキュリティの概要
1.1
セキュリティの脅威
1.2
セキュリティの原則
1.2.1
職務の分離と最低限の権限の原則
1.2.2
暗号化
1.2.3
疑わしいアクティビティのモニタリング(監査)
1.2.4
非拒否
2
セキュリティ機能
2.1
認証の構成
2.1.1
サポートされている認証スキーム
2.1.2
新規管理者の作成
2.1.2.1
リポジトリ・ベースの認証
2.1.2.1.1
新規ユーザーの作成(コマンドライン)
2.1.2.2
デフォルトの認証方法への復元
2.1.2.2.1
シングル・サインオン・ログオン・ページの省略
2.1.2.2.2
デフォルトの認証方法の復元
2.1.3
管理者の削除
2.1.4
エンタープライズ・ユーザー・セキュリティベースの認証
2.1.4.1
エンタープライズ・ユーザー(EUSユーザー)のEnterprise Managerユーザーとしての登録
2.1.4.1.1
Enterprise Managerコンソールを使用したエンタープライズ・ユーザーの登録
2.1.4.1.2
コマンドライン・インタフェースを使用したエンタープライズ・ユーザーの登録
2.1.5
Oracle Internet Directory(OID)
2.1.5.1
前提条件
2.1.5.2
OID構成のテスト
2.1.6
Microsoft Active Directoryベースの認証
2.1.6.1
Microsoft Active Directoryの構成テスト
2.1.7
外部ロールを使用した外部認可
2.1.7.1
自動プロビジョニング
2.1.7.2
外部ユーザー表示名に別の名前を使用
2.1.7.2.1
Oracle Virtual Directoryでのユーザー名の変更の更新
2.1.8
LDAPユーザー属性のEnterprise Managerユーザー属性へのマッピング
2.1.9
Enterprise Managerでのユーザー表示名の変更
2.1.10
他のLDAP/SSOプロバイダの構成
2.1.10.1
シングル・サインオン・ベースの認証の構成
2.1.10.1.1
Oracle Access Manager 10gを使用したシングル・サインオンの構成
2.1.10.1.2
Oracle AS SSO 10gを使用したシングル・サインオンの構成
2.1.11
エンタープライズ・ユーザー・セキュリティベースの認証の構成
2.1.12
デフォルトの認証方法への復元
2.1.12.1
シングル・サインオン・ログオン・ページの省略
2.1.12.2
デフォルトの認証方法の復元
2.2
権限とロール認可の構成
2.2.1
ユーザー、権限、ロールについて
2.2.1.1
ユーザーのクラス
2.2.1.2
オブジェクトの再割当て
2.2.1.3
集計ターゲット権限
2.2.2
権限とロール
2.2.2.1
管理者権限およびデータベース権限
2.2.2.2
権限の付与
2.2.2.3
ファイングレイン・アクセス制御
2.2.2.4
ロールの作成
2.2.2.5
プライベート・ロール
2.2.2.6
ロールを使用した権限の管理
2.2.3
権限伝播グループを使用した権限の管理
2.2.3.1
例1: 様々なチームにターゲット・グループへの異なるレベルのアクセス権を付与
2.2.3.2
例2: 開発者へのターゲット・データベース・インスタンスに対する表示アクセスの付与
2.2.3.3
権限のサマリー
2.3
セキュアな通信の構成
2.3.1
セキュアな通信
2.3.2
Oracle Management Serviceのセキュリティの有効化
2.3.2.1
サーバー・ロード・バランサを使用するOMSの構成
2.3.2.1.1
サーバー・ロード・バランサの構成の削除
2.3.2.2
新しい認証局の作成
2.3.2.2.1
管理資格証明ウォレット
2.3.2.3
セキュリティ・ステータスとOMSポート情報の表示
2.3.2.4
Transport Layer Securityの構成
2.3.3
Oracle Management Agentの保護
2.3.4
エージェント登録パスワードの管理
2.3.4.1
Cloud Controlコンソールを使用したエージェント登録パスワードの管理
2.3.4.2
emctlを使用した新しいエージェント登録パスワードの追加
2.3.5
管理サービスへのHTTPアクセスの制限
2.3.6
管理リポジトリ・データベースのセキュリティの有効化
2.3.6.1
Oracle Advanced Securityとsqlnet.ora構成ファイルについて
2.3.6.2
セキュアな管理リポジトリ・データベースへ接続するための管理サービスの構成
2.3.6.3
管理リポジトリに対するOracle Advanced Securityの有効化
2.3.6.4
セキュアな管理リポジトリまたはデータベースをモニタリングしている管理エージェントのセキュリティの有効化
2.3.7
カスタム構成
2.3.7.1
WebLogic Server用のカスタム証明書の構成
2.3.7.1.1
各OMS用Javaキーストアまたはウォレットの作成
2.3.7.1.2
カスタムCA証明書の、エージェントのモニタリング・トラスト・ストアへのインポート
2.3.7.1.3
各WLS用カスタム証明書の構成
2.3.7.1.4
WebLogic Serverからデモ証明書へのロールバック
2.3.7.2
OMSコンソール・アクセス用のカスタム証明書の構成
2.3.7.3
OMSアップロード・アクセス用のカスタム証明書の構成
2.3.8
セキュアな通信設定ツール
2.3.8.1
emctl secure oms
2.3.8.2
emctl secure agent
2.3.8.3
emctl secure wls
2.3.8.4
emctl status oms -details
2.3.9
サード・パーティの証明書の構成
2.3.9.1
HTTPSコンソール・ユーザー用のサード・パーティの証明書の構成
2.3.9.2
HTTPSアップロード仮想ホスト用のサード・パーティの証明書の構成
2.4
ターゲット資格証明の構成と使用
2.4.1
資格証明サブシステム
2.4.1.1
名前付き資格証明
2.4.1.1.1
名前付き資格証明を使用した典型的なシナリオ
2.4.1.1.2
アクセス制御
2.4.1.1.3
名前付き資格証明の作成
2.4.1.1.4
名前付き資格証明のアクセス制御
2.4.1.1.5
認証スキーム
2.4.1.2
特権資格証明
2.4.1.2.1
特権資格証明の作成
2.4.1.3
モニタリング資格証明
2.4.1.4
優先資格証明
2.4.1.4.1
グローバル優先資格証明
2.4.1.5
ホストおよびOracleホーム用の優先資格証明の保存
2.4.1.6
My Oracle Supportへのアクセス用の優先資格証明の保存
2.4.1.7
EM CLIを使用した資格証明の管理
2.4.1.8
ホスト認証機能
2.4.1.8.1
SSH鍵ベースのホスト認証の設定
2.4.1.8.2
設定サンプル・セッション
2.4.1.8.3
SSHキー資格証明を使用したホスト優先資格証明の設定
2.4.1.8.4
SSHキー資格証明を使用したホスト優先資格証明の設定(12.1.0.4より前)
2.4.1.8.5
ホスト資格証明の認証
2.4.1.8.6
PAM「emagent」サービスの構成
2.4.1.8.7
sudoおよびPowerBrokerのサポート
2.4.1.8.8
権限委任設定の作成
2.5
暗号化鍵の構成と使用
2.5.1
emkeyの構成
2.5.2
emctlコマンド
2.5.2.1
emctl status emkey
2.5.2.2
emctl config emkey -copy_to_credstore
2.5.2.3
emctl config emkey -copy_to_file_from_credstore
2.5.2.4
emctl config emkey -copy_to_file_from_repos
2.5.2.5
emctl config emkey -copy_to_credstore_from_file
2.5.2.6
emctl config emkey -copy_to_repos_from_file
2.5.2.7
emctl config emkey -remove_from_repos
2.5.3
シナリオのインストールおよびアップグレード
2.5.3.1
管理リポジトリのインストール
2.5.3.2
最初のOracle Management Serviceのインストール
2.5.3.3
10.2または11.1から12.1へのアップグレード
2.5.3.4
管理リポジトリの再作成
2.6
監査の構成と管理
2.6.1
資格証明の監査
2.6.2
デフォルト監査アクション
2.6.3
Enterprise Manager監査システムの構成
2.6.4
監査データ・エクスポート・サービスの構成
2.6.5
監査設定のアップグレード
2.6.6
監査データの検索
2.6.7
監査対象操作のリスト
2.6.8
インフラストラクチャの監査
2.6.8.1
WebLogic Serverの監査可能イベント
2.7
セキュリティのその他の考慮事項
2.7.1
SYSMANパスワードおよびMGMT_VIEWパスワードの変更
2.7.1.1
SYSMANユーザー・パスワードの変更
2.7.1.1.1
現在のSYSMANパスワードがわかっている場合。
2.7.1.1.2
現在のSYSMANパスワードが不明な場合
2.7.1.2
MGMT_VIEWユーザー・パスワードの変更
2.7.2
ブラウザ固有のセキュリティ証明書アラートへの対応
2.7.2.1
サード・パーティの証明書のワークフロー
2.7.2.2
Internet Explorerのセキュリティ・アラート・ダイアログ・ボックスへの対応
2.7.2.3
Mozilla Firefoxの新しいサイトの証明書ダイアログ・ボックスへの対応
2.7.2.4
Google Chromeのセキュリティ・アラート・ダイアログ・ボックスへの対応
2.7.2.5
Safariのセキュリティ・ダイアログ・ボックスへの対応
3
Enterprise Managerの保護
3.1
セキュアなインフラストラクチャおよびインストールのガイドライン
3.1.1
インフラストラクチャおよびオペレーティング・システムの保護
3.1.1.1
インフラストラクチャおよびオペレーティング・システムを保護するためのベスト・プラクティス
3.1.2
Oracle Management Repositoryの保護
3.1.2.1
高度なセキュリティ・オプションの有効化
3.1.2.1.1
ネットワーク・アクセスの制限
3.1.2.1.2
SYSアクションの監査
3.1.2.1.3
ユーザー・アカウントの保護
3.1.2.1.4
暗号化鍵の保護とバックアップ
3.1.3
Oracle Management Agentの保護
3.1.4
セキュアな通信
3.1.4.1
Oracle Management Agentを保護するためのベスト・プラクティス
3.1.4.2
ICMPの有効化
3.1.4.3
Oracle Management Agentのファイアウォール用の構成
3.1.4.4
Oracle Management Serviceのファイアウォール用の構成
3.1.5
セキュリティ・コンソール
3.1.5.1
概要
3.1.5.2
プラガブル認証
3.1.5.2.1
「プラガブル認証」の「概要」
3.1.5.2.2
「プラガブル認証」の「構成」
3.1.5.3
ファイングレイン・アクセス・コントロール
3.1.5.3.1
概要
3.1.5.3.2
ユーザーのクラス
3.1.5.3.3
ファイングレイン・アクセス・コントロール管理者
3.1.5.3.4
ファイングレイン・アクセス・コントロール権限
3.1.5.3.5
ファイングレイン・アクセス制御
3.1.5.3.6
ファイングレイン・アクセス制御権限の集計への伝播
3.1.5.4
セキュアな通信
3.1.5.4.1
「セキュアな通信」の概要
3.1.5.4.2
データベースの暗号化構成
3.1.5.5
資格証明管理
3.1.5.6
包括的な監査
3.1.5.7
アクティブ・ユーザー・セッション数
3.1.5.8
ベスト・プラクティス分析
3.2
SSL通信のガイドライン
3.2.1
TLSv1.2プロトコルの有効化
3.2.2
通信のセキュアロック・モード
3.2.2.1
OMSとエージェントの保護およびロック
3.2.3
暗号構成の変更(必要な場合)
3.2.3.1
サード・パーティの証明書
3.2.3.2
Oracle Wallet
3.2.3.2.1
Oracle Walletの作成
3.2.4
通信を保護するためのベスト・プラクティス
3.3
認証のガイドライン
3.3.1
外部認証の有効化
3.3.1.1
認証のベスト・プラクティス
3.4
認可のガイドライン
3.4.1
権限およびロールの管理のベスト・プラクティス
3.4.2
最低限の権限の原則を使用したロール/権限の定義
3.4.3
権限伝播グループの使用
3.4.3.1
グループおよびシステムのベスト・プラクティス
3.5
監査のガイドライン
3.5.1
監査のベスト・プラクティス
3.6
ターゲット資格証明の管理のガイドライン
3.6.1
資格証明のベスト・プラクティス
4
Enterprise Managerでのデータベース管理のセキュリティ・ベスト・プラクティス
4.1
柔軟なデータベース・アクセス制御
4.1.1
データベース管理ロールおよび責任
4.1.2
アプリケーションDBAアクセス
4.1.2.1
アプリケーションDBAアカウントの作成
4.1.2.2
名前付き資格証明の作成
4.1.3
アプリケーション開発者アクセス
4.1.3.1
データベースに対するアプリケーション開発者アクセスの付与
4.1.3.2
データベース名前付き資格証明に対するアプリケーション開発者アクセスの付与
4.1.4
データベース・モニタリング・ユーザー・アクセス
4.1.4.1
データベースに対する「データベース・パフォーマンスの表示」アクセスの付与
4.1.4.2
データベース・モニタリング・ユーザーとの資格証明の共有
4.1.5
データベース管理者アクセス
4.1.5.1
データベース管理者アカウントの作成
4.1.5.2
名前付き資格証明の作成
4.1.5.3
ロールおよび権限伝播グループによる権限の付与
4.1.6
権限グループ
4.1.6.1
データベース・アプリケーションDBA
4.1.6.2
データベース・アプリケーション開発者
4.1.6.3
「データベース高可用性の管理」権限グループ
4.1.6.4
「データベース高可用性の表示」権限グループ
4.1.6.5
「データベース・パフォーマンスの管理」権限グループ
4.1.6.6
「データベース・パフォーマンスの表示」権限グループ
4.1.6.7
「データベース・スキーマの管理」権限グループ
4.1.6.8
「データベース・スキーマの表示」権限グループ
4.1.6.9
「データベース・セキュリティの管理」権限グループ
4.1.6.10
「データベース・セキュリティの表示」権限グループ
4.1.6.11
「データベース記憶域の管理」権限グループ
4.2
データベースへのセキュアな通信(TCPS)アクセス
4.2.1
TCPSの構成
4.2.2
ターゲット・データベースとの通信用のサード・パーティCA証明書の構成
4.3
アカウント管理
5
トラブルシューティング
5.1
Enterprise Managerでの認証問題のトラブルシューティング
5.1.1
WebLogicデバッグ・フラグの有効化
5.1.2
ldap_trace.logATNファイルでのエラーのデバッグ
5.1.3
無効な資格証明
5.1.4
LDAPサーバーでのタイムアウト
5.1.5
ldap_trace.logATN以外でのエラー
6
参照
A.1
あらかじめ用意されているロール
A.2
SYSDBA権限がない場合のデータベース・ターゲットへのユーザー・アクセス
A.2.1
管理者の作成
A.2.2
「データベース・パフォーマンス」ページへのアクセスを必要とするユーザー
A.2.3
AWRまたはADDMへのアクセスを必要とするユーザー
A.2.4
SQLアクセス・アドバイザへのアクセスを必要とするユーザー
A.2.5
SQLチューニング・アドバイザへのアクセスを必要とするユーザー
B.1
権限
C.1
監査操作
D.1
Enterprise Managerリポジトリとの通信用のTLSv1.2の構成
索引