4 Oracle Label Securityの登録とログイン
Oracle Label Securityを使用する前に、Oracle Label Securityをデータベースに登録(構成)する必要があります。そうすることで、Oracle Label Securityにログインできるようになります。
- Oracle DatabaseへのOracle Label Securityの登録
Oracle Label Securityを、その使用場所のデータベースに登録する必要があります。 - LBACSYSユーザーおよびLBAC_DBAロールを管理するためのセキュリティ・ガイドライン
日常的な使用では、Oracle Label Securityを管理する信頼できるユーザーにLBAC_DBA
データベース・ロールを付与することをお薦めします。 - Oracle Label SecurityのためのCloud ControlまたはSQL*Plusへのログイン
Oracle Label Securityの登録および有効化プロセスを完了すると、Oracle Label Securityを使用できるようになります。
親トピック: Oracle Label Securityの機能の使用
4.1 Oracle DatabaseでのOracle Label Securityの登録
Oracle Label Securityを、その使用場所のデータベースに登録する必要があります。
- Oracle Label Securityの登録について
Oracle Databaseをインストールしたときに、そのインストールにOracle Label Securityが含まれますが、デフォルトではそれは有効になりません。 - Oracle Label Securityが登録されて有効になっているかどうかの確認
Oracle Label Securityが登録されて有効になっているかどうかは、DBA_OLS_STATUS
データ・ディクショナリ・ビューを問い合せることで確認できます。 - SQL*PlusからのOracle Label Securityの登録および有効化
Oracle Label Securityの登録と有効化はどちらも、SQL*Plusから実行できます。 - DBCAを使用したOracle Label Securityの登録および有効化
Oracle Label Securityの登録と有効化はどちらも、Database Configuration Assistantを使用して実行できます。
4.1.1 Oracle Label Securityの登録について
Oracle Databaseをインストールしたときに、そのインストールにOracle Label Securityが含まれますが、デフォルトではそれは有効になりません。
これが当てはまるのは、Database Configuration Assistant (DBCA)で標準インストール方法を使用してOracle Databaseをインストールする場合です。カスタム・インストールを使用してインストールする場合は、オプションで、Oracle Databaseインストール・プロセスの一部としてDBCAからOracle Label Securityを登録できます。
標準インストール方法を使用してインストールした場合は、Oracle Label Securityを使用する前にそれを手動で登録(有効化)する必要があります。この登録の実行には、SQL*PlusまたはDBCAを使用できます。
Oracle Label Securityを登録した後は、デフォルトのOracle Label Securityユーザー・アカウントであるLBACSYS
を有効にする必要があります。その後、必要に応じてOracle Label Securityを無効化および再有効化できます。
Oracle Label Securityポリシーの作成を計画しているプラガブル・データベース(PDB)でのみOracle Label Securityを登録します。Oracle Label Securityはデータ・ディクショナリ・オブジェクトを保護するように設計されていないため、ルートではポリシーを保護できません。
4.1.2 Oracle Label Securityが登録されて有効になっているかどうかの確認
DBA_OLS_STATUS
データ・ディクショナリ・ビューを問い合せて、Oracle Label Securityがすでに登録され有効になっているかどうかを確認できます。
4.2 LBACSYSユーザーおよびLBAC_DBAロールを管理するためのセキュリティ・ガイドライン
日常的な使用では、Oracle Label Securityを管理する信頼できるユーザーにLBAC_DBA
データベース・ロールを付与することをお薦めします。
Enterprise Manager Cloud Controlを使用してOracle Label Securityを管理することを計画している場合は、LBAC_DBA
ロールを付与したユーザーがSELECT ANY DICTIONARY
権限も持っていることを確認します。
LBAC_DBA
ロールを付与されているユーザーには、2つのアカウントを保持することをお薦めします。一方のアカウントはユーザーのプライマリ・アカウントであり、日常的に使用されます。他方のアカウントは、プライマリ・アカウントのパスワードを忘れてしまいリセットする必要がある場合に備えたバックアップ・アカウントとして使用されます。
4.3 Oracle Label SecurityのためのCloud ControlまたはSQL*Plusへのログイン
Oracle Label Securityの登録および有効化プロセスを完了すると、Oracle Label Securityを使用できるようになります。
- Enterprise Manager Cloud ControlからのOracle Label Securityへのログイン
Enterprise Manager Cloud Controlから、Oracle Label Securityページを使用してOracle Label Securityポリシーを作成および管理します。 - SQL*PlusからのOracle Label Securityへのログイン
LBAC_DBA
データベース・ロールを付与されている場合は、SQL*PlusからOracle Label Securityにログインできます。
4.3.1 Enterprise Manager Cloud ControlからのOracle Label Securityへのログイン
Enterprise Manager Cloud Controlから、Oracle Label Securityページを使用してOracle Label Securityポリシーを作成および管理します。
4.3.2 SQL*PlusからのOracle Label Securityへのログイン
LBAC_DBA
データベース・ロールを付与されている場合は、SQL*PlusからOracle Label Securityにログインできます。
-
SQL*PlusからOracle Label Securityを使用するには、ユーザー
LBACSYS
またはLBAC_DBA
データベース・ロールを付与されたユーザーとして接続します。ユーザーがこのロールを付与されているかどうかを調べるには、DBA_ROLE_PRIVS
データ・ディクショナリ・ビューのGRANTEE
およびGRANTED_ROLE
列を問い合せます。
たとえば:
sqlplus psmith_ols -- Or, sqlplus psmith_ols@hrpdb for a PDB named hrpdb Enter password: password
利用可能なPDBを検索するには、DBA_PDBS
データ・ディクショナリ・ビューを問い合せます。現在のPDBを確認するには、show con_name
コマンドを実行します。