Oracle Fleet Patching and Provisioningのロール

管理者は、ロールをOracle Fleet Patching and Provisioningのユーザーに割り当てます(各ロールにはアクセスレベル権限が定義されています)。

Oracle Fleet Patching and Provisioningクライアントのユーザーにも、特定のロールが割り当てられます。Oracle Fleet Patching and Provisioningには、基本組込みロールと複合組込みロールが含まれます。

基本組込みロール

基本組込みロールとその機能:

• GH_ROLE_ADMIN: ロールに関連するすべてのための管理ロール。このロールを割り当てられたユーザーは、rhpctl verb roleコマンドを実行できます。

• GH_SITE_ADMIN: Oracle Fleet Patching and Provisioningクライアントに関連するすべてのための管理ロール。このロールを割り当てられたユーザーは、rhpctl verb clientコマンドを実行できます。

• GH_SERIES_ADMIN: イメージ・シリーズに関連するすべてのための管理ロール。このロールを割り当てられたユーザーは、rhpctl verb seriesコマンドを実行できます。

• GH_SERIES_CONTRIB: このロールを割り当てられたユーザーは、シリーズへのイメージの追加(rhpctl insertimage seriesコマンド使用)またはシリーズからのイメージの削除(rhpctl deleteimage seriesコマンド使用)を行うことができます。

• GH_WC_ADMIN: ゴールド・イメージの作業用コピーに関連するあらゆるものを対象とする管理ロール。このロールを割り当てられたユーザーは、rhpctl verb workingcopyコマンドを実行できます。

• GH_WC_OPER: このロールでは、rhpctl add workingcopyコマンドを使用して、自分または他のユーザーのためにゴールド・イメージの作業用コピーを作成できます。他のユーザーのために作成する場合は-userオプションを指定します。このロールが割り当てられたユーザーには管理権限はありません。自分が作成するゴールド・イメージの作業用コピーのみ管理できます。

• GH_WC_USER: このロールでは、rhpctl add workingcopyコマンドを使用してゴールド・イメージの作業用コピーを作成できます。このロールが割り当てられたユーザーには管理権限はありません。自分で作成した作業用コピーのみ削除できます。

• GH_IMG_ADMIN: イメージに関連するすべてのための管理ロール。このロールが割り当てられたユーザーは、rhpctl verb imageコマンドを実行できます。

• GH_IMG_USER: このロールでは、rhpctl add | import imageコマンドを使用してイメージを作成できるようになります。このロールが割り当てられたユーザーには管理権限はありません。自分で作成したイメージのみ削除できます。

• GH_IMG_TESTABLE: このロールでは、TESTABLE状態のイメージの作業用コピーを追加できるようになります。このロールが割り当てられたユーザーが作業用コピーを追加するためには、GH_WC_ADMINロールまたはGH_WC_USERロールのいずれかの割当てが必要です。

• GH_IMG_RESTRICT: このロールでは、RESTRICTED状態のイメージから作業用コピーを追加できるようになります。このロールが割り当てられたユーザーが作業用コピーを追加するためには、GH_WC_ADMINロールまたはGH_WC_USERロールのいずれかの割当てが必要です。

• GH_IMG_PUBLISH: このロールが割り当てられたユーザーは、イメージを別の状態にプロモートするか、PUBLISHED状態のイメージをTESTABLEまたはRESTRICTED状態にリトラクトできます。

• GH_IMG_VISIBILITY: このロールが割り当てられたユーザーは、rhpctl allow | disallow imageコマンドを使用して、プロモート済または公開済のイメージへのアクセスを変更できます。

• GH_AUTHENTICATED_USER: このロールに割り当てられたユーザーは、Oracle Fleet Patching and Provisioningクライアントで任意の操作を実行できます。

• GH_CLIENT_ACCESS: 自動的に作成されたユーザーはこのロールを継承します。GH_CLIENT_ACCESSロールには、GH_AUTHENTICATED_USER組込みロールが含まれます。

複合組込みロール

複合組込みロールとその機能:

• GH_SA: Oracle Fleet Patching and Provisioningサーバー上のOracle Grid Infrastructureユーザーは自動的にこのロールを継承します。

  GH_SAロールに含まれる基本組込みロール: GH_ROLE_ADMIN、GH_SITE_ADMIN、GH_SERIES_ADMIN、GH_SERIES_CONTRIB、GH_WC_ADMIN、GH_IMG_ADMIN、GH_IMG_TESTABLE、GH_IMG_RESTRICT、GH_IMG_PUBLISHおよびGH_IMG_VISIBILITY。

• GH_CA: Oracle Fleet Patching and Provisioningクライアント上のOracle Grid Infrastructureユーザーは自動的にこのロールを継承します。

  GH_CAロールに含まれる基本組込みロール: GH_SERIES_ADMIN、GH_SERIES_CONTRIB、GH_WC_ADMIN、GH_IMG_ADMIN、GH_IMG_TESTABLE、GH_IMG_RESTRICT、GH_IMG_PUBLISHおよびGH_IMG_VISIBILITY。

• GH_OPER: このロールに含まれる基本組込みロール: GH_WC_OPER、GH_SERIES_ADMIN、GH_IMG_TESTABLE、GH_IMG_RESTRICTおよびGH_IMG_USER。このロールが割り当てられたユーザーは、自分が作成したイメージのみを削除できます。

Oracle Fleet Patching and Provisioningサーバーで使用できるG1というゴールド・イメージについて考えてみます。

また、Oracle Fleet Patching and ProvisioningクライアントCl1のユーザーU1がGH_WC_USERロールを持っているとします。U1がゴールド・イメージG1に基づくOracleホームのプロビジョニングをリクエストすると、GH_WC_USERロールによって付与される権限によりU1はそれを実行できます。ただし、U1がG1の削除をリクエストした場合、GH_WC_USERロールには必要な権限が含まれないため、そのリクエストは拒否されます。

Oracle Fleet Patching and Provisioningサーバーは、Oracle Fleet Patching and Provisioningクライアントにユーザー・ロール・マッピングを関連付けることができます。Oracle Fleet Patching and Provisioningサーバーがユーザー・ロール・マッピングを委任すると、Oracle Fleet Patching and Provisioningクライアントは、Oracle Fleet Patching and Provisioningクライアントに属するすべてのユーザーのOracle Fleet Patching and Provisioningサーバー上のユーザー・ロール・マッピングを変更できます。これは、Oracle Fleet Patching and ProvisioningサーバーのみがOracle Fleet Patching and Provisioningクライアント・サイトのユーザーIDをそのサイトのクライアント・クラスタ名で修飾するという事実で暗黙的です。したがって、Oracle Fleet Patching and ProvisioningクライアントCL1は、CL2上のユーザーのユーザー・マッピングを更新できません(CL2は別のOracle Fleet Patching and Provisioningクライアントのクラスタ名)。

• フリート・パッチ適用およびプロビジョニング・クライアント・クラスタ・ユーザーのためのユーザーの作成とロールの割当て
  Oracle Fleet Patching and Provisioning (Oracle FPP)を使用すると、Oracle FPPクライアントの作成時にユーザーを作成してロールを割り当てることができます。