Oracle Database Vault インストレーション・ガイド 10gリリース2(10.2) for Solaris Operating System(SPARC 64-bit) B40121-02 |
|
この章では、Oracle Database Vaultを既存のOracle Database 10gリリース2(10.2.0.4)データベースにインストールするための主な手順の概要を説明します。これらの手順を実行すると、既存のOracle Databaseシステム(関連するアプリケーションを含む)がOracle Database Vaultシステムに変換されます。この章で説明する手順に従ってアップグレードされたデータベースでは、以前のリリースとほぼ同様の動作を得られるのに加えて、新しいOracle Database Vaultの機能も利用できます。Database Vaultのインストールによって発生する変更のリストは、付録F「初期化パラメータ」および『Oracle Database Vault管理者ガイド』を参照してください。
この章には、次の内容が含まれます。
この項には、次の内容が含まれます。
アップグレード処理を計画する前に、Oracle Database Vaultの機能を理解しておく必要があります。Oracle Database Vaultの基本的な機能の説明は、『Oracle Database Vault管理者ガイド』に記載されています。
システムが最小限満たす必要があるハードウェア要件は、次のとおりです。
RAM | スワップ領域 |
---|---|
1024〜2048MB |
RAMのサイズの1.5倍 |
2049〜8192MB |
RAMのサイズと同じ |
8192MBよりも多い |
RAMのサイズの0.75倍 |
/tmp
ディレクトリに400MBのディスク領域
自動バックアップを構成する場合は、フラッシュ・リカバリ領域用に追加のディスク領域(ファイル・システム上または自動ストレージ管理ディスク・グループ内)が必要です。
システムがこれらの要件を満たしているか確認するには、次の手順を行います。
# /usr/sbin/prtconf | grep "Memory size"
物理RAMのサイズが要件より小さい場合は、後続の手順を行う前に、メモリーを追加する必要があります。
# /usr/sbin/swap -s
必要に応じて、使用するオペレーティング・システムのドキュメントに記載されている、追加のスワップ領域の構成方法に関する情報を参照してください。
/tmp
ディレクトリの使用可能なディスク領域を調べるには、次のコマンドを入力します。
# df -k /tmp # df -h /tmp (on Solaris 10)
/tmp
ディレクトリの使用可能なディスク領域が400MB未満の場合は、次に示す手順の1つを実行してください。
# df -k # df -h (on Solaris 10)
ソフトウェア・ファイルのディスク領域要件の概要を、インストール・タイプごとに次の表に示します。
インストール・タイプ | ソフトウェア・ファイルの要件(GB) |
---|---|
Enterprise Edition |
2.0 |
Standard Edition |
1.5 |
カスタム(最大) |
2.5 |
# /bin/isainfo -kv
インストールする製品に応じて、システムに次のソフトウェアがインストールされていることを確認してください。これらの要件が満たされているかどうかを確認する方法は、表の下に記載しています。
システムがこれらの要件を満たしているか確認するには、次の手順を行います。
# uname -r 5.9
この例の場合は、Solaris 9(5.9)というバージョンが表示されています。オペレーティング・システムのアップグレードについては、必要に応じてオペレーティング・システムのドキュメントを参照してください。
# pkginfo -i SUNWarc SUNWbtool SUNWhea SUNWlibm SUNWlibms SUNWsprot \ SUNWsprox SUNWtoo SUNWi1of SUNWi1cs SUNWi15cs SUNWxwfnt
パッケージがインストールされていない場合は、インストールしてください。パッケージのインストールについては、オペレーティング・システムまたはソフトウェアのドキュメントを参照してください。
また、次のパッチがシステムにインストールされていることを確認する必要もあります。これら要件のチェック方法については、表の後の手順を参照してください。
注意 サイレント・インストールの場合、次のパッチは不要です。
サイレント・インストールの詳細は、付録Bを参照してください。 |
システムがこれらの要件を満たしているか確認するには、次の手順を行います。
# /usr/sbin/patchadd -p | grep patch_number(without version number)
たとえば、いずれかのバージョンの111713パッチがインストールされているかどうかを調べるには、次のコマンドを使用します。
# /usr/sbin/patchadd -p | grep 111713
オペレーティング・システムのパッチがインストールされていない場合、次のWebサイトからダウンロードし、インストールしてください。
http://sunsolve.sun.com
http://www-306.ibm.com/software/integration/wmq/support
次の表を参照して、カーネル・パラメータがSolaris 8およびSolaris 9オペレーティング・システムの推奨値以上の値に設定されていることを確認してください。値の確認および設定方法については、表の後の手順を参照してください。
Solaris 10の場合は、次の表を参照して、カーネル・パラメータが推奨値以上の値に設定されていることを確認してください。次の表には、特定のカーネル・パラメータに対して/etc/system
ファイルを置換するリソース制御も含まれています。
Solaris 8およびSolaris 9オペレーティング・システムでは、次の手順を使用して、これらのカーネル・パラメータで指定されている現在値を表示し、必要に応じて変更します。
# grep noexec_user_stack /etc/system # /usr/sbin/sysdef | grep SEM # /usr/sbin/sysdef | grep SHM
/etc/system
ファイルのバックアップ・コピーを作成します。
# cp /etc/system /etc/system.orig
/etc/system
ファイルを開き、必要に応じて次のような行を追加します(ファイルにそれらの行がすでに含まれている場合は、それらの行を編集します)。
set noexec_user_stack=1 set semsys:seminfo_semmni=100 set semsys:seminfo_semmns=1024 set semsys:seminfo_semmsl=256 set semsys:seminfo_semvmx=32767 set shmsys:shminfo_shmmax=4294967295 set shmsys:shminfo_shmmin=1 set shmsys:shminfo_shmmni=100 set shmsys:shminfo_shmseg=10
# /usr/sbin/reboot
root
に切り替えます。
Solaris 10の場合は、次の手順を使用して、リソース制御で指定されている現在値を表示し、必要に応じてそれらの値を変更します。
# id -p // to verify the project id uid=0(root) gid=0(root) projid=1 (user.root) # prctl -n project.max-shm-memory -i project user.root # prctl -n project.max-sem-ids -i project user.root
Oracle Database Vaultをインストールするには、Oracle Database 10gリリース2(10.2.0.4)のEnterprise Editionが実行されている必要があります。データベースには、Oracle Enterprise Manager Console DB 10.2.0.4.0をインストールしておく必要があります。さらに、Database Vaultインストーラでは、ファイルoratab
およびoraInst.loc
への書込みアクセスが要求されます。
既存のデータベースには、リスナーが構成されている必要があります。Oracle Netコンフィギュレーション・アシスタントを使用すると、データベースを最初にインストールしたときにリスナーが構成されます。また、Oracle Enterprise Managerを使用すると、リスナーを管理できます。
データベースには既存のパスワード・ファイルが必要です。パスワード・ファイルの認証パラメータREMOTE_LOGIN_PASSWORDFILE
がEXCLUSIVE
またはSHARED
に設定されている必要があります。
REMOTE_LOGIN_PASSWORDFILE
パラメータはinit.ora
ファイルで設定できます。パスワード・ファイルを作成および管理するには、orapwd
ユーティリティを使用します。
10.2.0.4パッチ・セットの適用および必要なコンポーネントのインストールの詳細は、次の各項で説明します。
Oracle Database Vaultをインストールする前に、Oracle Enterprise Manager Console DB 10.2.0.4.0がインストールされていることを確認してください。Oracle Enterprise Manager Console DBは、Oracle Universal Installer(OUI)を使用してインストールします。Oracle Enterprise Manager Console DBのインストールの手順を、次に要約します。
Oracle Database Vaultをインストールするには、データベースをOracle Databaseリリース10.2.0.4にアップグレードする必要があります。アップグレードまたはインストールを実行する際には、実行前に必ずデータベースのバックアップを作成しておくことをお薦めします。
この項には、次の内容が含まれます。
Oracle Databaseリリース10.2.0.4のパッチ・セットは、Oracle Database 10gリリース2の次のインストールに適用できます。
このパッチ・セットにはOracle Universal Installerリリース10.2.0.4が含まれており、パッチ・セットをインストールすると、これが自動的にインストールされます。このOracle Universal Installerがインストールされることで、以降Oracleホームにパッチを適用することが可能になります。これより前のメンテナンス・リリース・メディアまたはOracleホームのOracle Universal Installerを使用しないでください。
このパッチ・セットは、完全なソフトウェア・ディストリビューションではありません。既存のOracle Database 10gリリース2のインストール環境にインストールする必要があります。
このリリースのOracle Databaseパッチ・セットに関連するドキュメントは、次の2つです。
これらのドキュメントは、両方ともパッチ・セットに含まれます。次のOracleMetalinkのWebサイトからも入手可能です。
http://metalink.oracle.com
アップグレードまたはインストールを実行する際には、実行前に必ずデータベースのバックアップを作成しておくことをお薦めします。アップグレードが最終的に正常に実行されるかどうかは、適切なバックアップ方法の設計と実行に大きく依存します。バックアップ方法を決定する際には、次の項目を考慮してください。
使用するバックアップ方法は、これらの考慮事項に対処しており、なおかつデータベースのバックアップとリカバリを正常に実行するためのプロシージャを含んでいる必要があります。
既存のデータベースでカスタム・プロファイルおよびパスワードの複雑さのチェックを作成している場合は、インストールを実行する前にこれらを無効化する必要があります。これらはインストールの完了後に再度有効化できます。これを実行するには、次の手順を使用します。
例2-1に、プロファイル名と設定を抽出してmyprofiles.sql
という出力スクリプトを作成するサンプル・スクリプトを示します。インストールの完了後に、myprofiles.sql
を実行してプロファイル設定をリストアできます。
set serverout on size 100000 spool myprofiles.sql . declare l_last varchar2(30) := 'X'; l_count number := 0; begin for c in ( select profile, resource_name , limit from dba_profiles order by profile, resource_name ) loop if l_last <> c.profile then l_last := c.profile; if l_count > 0 then dbms_output.put_line(';'); end if; l_count := l_count + 1; dbms_output.put_line('create profile ' || c.profile || ' limit '); else dbms_output.put_line(' ' || c.resource_name || ' ' || c.limit); end if; end loop; dbms_output.put_line(';'); end; / . spool off
SQL> ALTER PROFILE SomeCustomProfile LIMIT PASSWORD_REUSE_MAX UNLIMITED -- The number of times a password can be reused PASSWORD_REUSE_TIME UNLIMITED -- The number of days between reuses of a password PASSWORD_VERIFY_FUNCTION NULL /
SQL>@myprofiles.sql
既存のReal Application Clusters(RAC)データベースを検出するには、Database Vaultインストーラに対してOracle Clusterwareを実行しておく必要があります。Oracle Clusterwareを停止している場合、Oracle Universal Installerを実行する前に再起動する必要があります。Oracle Clusterwareを起動するには、次のコマンドを使用します。
$CRS_HOME/bin/crsctl start crs
Oracleホームで実行中のすべてのプロセスを停止します。このタスクが完了していない場合、Oracle Universal Installerは、特定の実行可能ファイルやライブラリにリンクしなおすことができません。RACデータベースの場合は、すべてのノードでプロセスを停止する必要があります。
プロセスの停止は、次の順番で行います。
実行中のEnterprise Manager Database Controlプロセスを停止します。次のコマンドを使用します。
$ORACLE_HOME/bin/emctl stop dbconsole
次のコマンドを使用して、iSQL*Plusプロセスを停止します。
$ORACLE_HOME/bin/isqlplusctl stop
Oracle Database Vaultのインストール先となるOracleホーム・ディレクトリから実行中の、すべてのデータベース・インスタンスを停止します。
sqlplus SYS "AS SYSDBA" Enter password: SQL> shutdown immediate
Oracle Universal Installerを起動すると、TCP/IPポート1521を使用して、デフォルトのOracle Netリスナーが構成され、起動されます。ただし、既存のOracle Netリスナー・プロセスが同じポートまたはキー値を使用していると、新しいリスナーが構成されるのみで、リスナーは起動されません。インストール時に新しいリスナー・プロセスを起動するには、Oracle Universal Installerを起動する前に、既存のリスナーをすべて停止しておく必要があります。
既存のリスナー・プロセスが実行中かどうかを調べ、必要に応じて停止するには、次のようにします。
oracle
に切り替えます。
# su - oracle
$ ps -ef | grep tnslsnr
このコマンドを入力すると、システムで実行中のOracle Netリスナーの情報が表示されます。
... oracle_home1/bin/tnslsnr LISTENER -inherit
この例のoracle_home1
は、リスナーがインストールされているOracleホーム・ディレクトリを指します。また、LISTENER
はリスナー名を指します。
ORACLE_HOME
環境変数を設定し、リスナーに対して適切なOracleホーム・ディレクトリを指定します。
$ $ORACLE_HOME/bin/lsnrctl status listenername
$ $ORACLE_HOME/bin/lsnrctl stop listenername
Oracle Real Application Clusters(RAC)に対してDatabase Vaultをインストールする場合は、すべてのクラスタ・ノードのOracleプロセスを、すべて停止する必要があります。詳細は、付録A「既存のOracle Real Application Clustersデータベースのプロセスを停止する方法」を参照してください。
注意
Oracleソフトウェアを所有しているアカウントを使用して、Oracle Universal Installer(OUI)を実行します。通常、このアカウントはoracle
です。
ただし、Oracle Universal Installerを起動する前に、oracle
ユーザーの環境を構成しておく必要があります。この環境を構成するには、次の処理を行う必要があります。
oracle
ユーザーの環境を設定するには、次のようにします。
xterm
)を開始します。
$ xhost fully_qualified_remote_host_name
次に例を示します。
$ xhost somehost.us.acme.com
oracle
ユーザーとしてログインします。
oracle
ユーザーとしてログインしていない場合は、次のコマンドを入力してユーザーをoracle
に切り替えます。
$ su - oracle
oracle
ユーザーのデフォルト・シェルを調べるには、次のコマンドを入力します。
$ echo $SHELL
oracle
ユーザーのシェルのスタートアップ・ファイルを開きます。
umask 022
ORACLE_SID
、ORACLE_HOME
またはORACLE_BASE
が設定されている場合は、対応する行をファイルから削除します。
$ DISPLAY=local_host
:0.0 ; export DISPLAY
% setenv DISPLAY local_host
:0.0
この例のlocal_host
は、Oracle Universal Installerの表示に使用するシステム(ワークステーションまたはPC)のホスト名またはIPアドレスを指します。
/tmp
ディレクトリのディスクの空き領域が400MBに満たないことが判明した場合は、少なくとも400MB以上の空き領域を持つファイル・システムを特定し、環境変数TEMP
およびTMPDIR
を設定して、そのファイル・システム上の一時ディレクトリを指定します。
ORACLE_BASE
およびORACLE_SIDを設定します。
$ ORACLE_BASE=/u01/app/oracle $ ORACLE_SID=sales $ export ORACLE_BASE ORACLE_SID
% setenv ORACLE_BASE /u01/app/oracle % setenv ORACLE_SID sales
これらの例の/u01/app/oracle
は、前に作成または特定したOracleベース・ディレクトリを指します。また、sales
はデータベースの名前(通常5文字まで)を指します。
ORACLE_HOME
およびTNS_ADMIN
を確実に未設定の状態にします。
$ umask $ env | more
umask
コマンドによって値22
、022
または0022
が表示されること、およびこの項で設定した環境変数に正しい値が設定されていることを確認します。
Oracle Universal Installer(OUI)を実行して、Oracle Database Vaultを既存のOracle Database 10gリリース2(10.2.0.4)データベースにインストールします。その際、現行のORACLE_HOME
環境を所有するソフトウェア所有者アカウントとして、このインストーラを実行する必要があります。通常、このアカウントはoracle
です。
oracle
ユーザーとしてログインします。もしくは、su
コマンドを使用して、ユーザーをoracle
に切り替えます。カレント・ディレクトリをインストレーション・ファイルが含まれているディレクトリに変更します。Oracle Universal Installerを起動します。
./runInstaller
次の手順に従ってオプションを選択します。
Oracle Database VaultをインストールするデータベースのOracleホームを選択します。
注意 RACインスタンスの場合は、Oracle Clusterwareが実行中であることを確認する必要があります。詳細は、「Oracle Clusterwareの実行の確認(RACのみ)」を参照してください。 |
注意
SYS
ユーザー・パスワードを入力します。
この項では、データベースのアップグレードを完了した後に実行するタスクについて説明します。説明する内容は次のとおりです。
本番データベースの全体バックアップを必ず実行してください。データベースのバックアップの詳細は、『Oracle Databaseバックアップおよびリカバリ・ユーザーズ・ガイド』を参照してください。
次の環境変数が、正しいOracle Database Vaultディレクトリを指定していることを確認します。
インストール後には、できるかぎり、各アカウントのパスワードを変更してください。パスワードを変更することで、Oracle Database Vaultによって提供される強力なセキュリティを効果的に実装できるようになります。
SQL*Plusを使用して、ユーザー・アカウントのパスワードを解除しリセットするには、次のようにします。
account
はロック解除するユーザー・アカウントを指し、password
は新しいパスワードを指します。
SQL> ALTER USER account [ IDENTIFIED BY password ] ACCOUNT UNLOCK;
この例の詳細は次のとおりです。
Oracle Database Vaultでは、SYSDBA
権限を使用したリモート・ログインを無効化することもできます。これを無効化すると、データベースのセキュリティを強化できます。
リモートのSYSDBA
接続を無効にするには、nosysdba
フラグをy
(Yes)に設定してパスワード・ファイルを再作成します。無効化した後も、オペレーティング・システム(OS)認証を通じたローカル接続であればSYSDBA
としてログインできます。ただし、SYSDBA
としてのリモート接続は失敗します。
パスワード・ファイルを再作成するには、次の構文を使用します。
orapwd file=filename password=password [entries=users] force=y nosysdba=y
詳細は次のとおりです。
file
: パスワード・ファイルの名前(必須)。
password
: SYS
のパスワード(必須)。6文字以上の英数字を入力します。
entries
: 明確に識別されるDBAユーザーの最大数。
force
: 既存のファイルを上書きするかどうか。
nosysdba
: SYS
ログオンを有効にするか無効にするか。デフォルトではnoに設定されるため、このフラグを省略してパスワード・ファイルを作成すると、Oracle Database VaultのインスタンスのSYSDBA
アクセスが有効化されます。
次に例を示します。
orapwd file=$ORACLE_HOME/dbs/orapworcl password=5hjk99 force=y nosysdba=y
パスワード・ファイルを再作成すると、SYSDBA
またはSYSOPER
の権限が付与されたすべてのアカウント(SYS
を除く)の権限は、削除されます。パスワード・ファイルの再作成後に、これらのアカウントの権限を付与しなおす必要があります。
nosysdba
フラグをn
(No)に設定してパスワード・ファイルを再作成すると、再びSYSDBA
権限での接続を有効化できます。特定の製品またはユーティリティでSYSDBA
権限による接続の使用が求められる場合は、これを再度有効にしておく必要があります。
クラスタ・ファイル・システムおよびRAWデバイスのデフォルト構成では、$ORACLE_HOME
の下のパスワード・ファイルに共有記憶域の場所を指定するシンボリック・リンクが使用されます。この場合は、orapwd
コマンドを発行すると、すべてのノードが影響を受けます。
自動ストレージ管理システムでは、orapwd
ユーティリティを使用してそれぞれのノードを更新し、SYSDBA
接続権限を有効または無効にする必要があります。
インストールを実行したノードを除くすべてのRACノードで、リスナーおよびデータベースを起動する必要があります。リスナーおよびデータベースを起動するには、次のコマンドを使用します。
$ORACLE_HOME/bin/lsnrctl start ListenerName srvctl start instance -d sid -i instance_name
1つのReal Application Clusters(RAC)インスタンスに対してDatabase Vaultをインストールしたら、-action optionrac
スイッチを使用して、その他のすべてのRACノードでDatabase Vaultコンフィギュレーション・アシスタント(DVCA)を実行する必要があります。
このコマンドは、Database Vaultのインストールを実行したノードを除くすべてのRACノードで実行する必要があります。この手順を行わない場合は、Oracle Database Vaultによって提供される高度なセキュリティ機能が有効になりません。
次の構文を使用して、DVCAを実行します。
# dvca -action optionrac -racnode host_name -oh oracle_home -jdbc_str jdbc_connection_string -sys_passwd sys_password [-logfile ./dvca.log] [-silent] [-nodecrypt] [-lockout]
詳細は次のとおりです。
action
: 実行するアクションです。optionrac
は、RACインスタンスのインスタンス・パラメータを更新するアクションを実行し、必要に応じてそのインスタンスに対するSYSDBA
のオペレーティング・システム・アクセスを無効にします。
racnode
: アクションを実行しているRACノードのホスト名です。ホスト名にドメイン名を含めないでください。
oh
: RACインスタンスのOracleホームです。
jdbc_str
: データベースへの接続に使用するJDBC接続文字列です。たとえば、"jdbc:oracle:oci:@orcl1"
のようになります。
sys_password
: SYS
ユーザーのパスワードです。
logfile
: 必要に応じて、ログ・ファイルの名前および場所を指定します。絶対パス、または$ORACLE_HOME/bin
ディレクトリからの相対パスを入力できます。
silent
: xtermウィンドウでDVCAを実行していない場合は必須です。
nodecrypt
: コマンドラインに渡される平文パスワードを読み取ります。
lockout
: SYSDBA
のオペレーティング・システム認証を無効にする場合に使用します。 Oracle Database Vault Administrator(DVA)は、Oracle Database Vaultの管理に使用できる、ブラウザベースのグラフィカル・ユーザー・インタフェース・コンソールです。
DVAが非アクティブ状態のまま接続を継続できる時間は変更することもできます。デフォルトでは、接続の継続時間は35分です。非アクティブ状態で35分が経過すると、セッションは自動的に終了します。
Oracle Database Vault Administratorのセッション・タイムアウトを設定するには、次の手順を実行します。
web.xml
ファイルをバックアップします。このファイルは、デフォルトでは$ORACLE_HOME/dv/jlib/dva_webapp/dva_webapp/WEB-INF
ディレクトリにあります。
web.xml
ファイルを開きます。
<session-config> <session-timeout>35</session-timeout> </session-config>
<session-timeout>
設定を変更して、目的の分数に設定します。
web.xml
ファイルを保存して閉じます。
DVAを再起動するには、次のコマンドを使用できます。
emctl stop dbconsole emctl start dbconsole
Oracle Universal Installer(OUI)を使用して、OracleホームからOracleソフトウェアを削除します。削除の手順を次に要約します。
|
Copyright © 2006, 2008 Oracle Corporation. All Rights Reserved. |
|