| Oracle Databaseプラットフォーム・ガイド 11gリリース1(11.1) for Microsoft Windows E05885-05 |
|
 戻る |
 次へ |
この章では、セキュリティを高めるために実行できる構成タスクおよびOracle interMediaとその他のOracleオプションを使用する前に実行する必要のあるその他の構成タスクについて説明します。適宜、構成タスクについて記述されている他のマニュアルを参照先として記載しています。
この章の項目は次のとおりです。
|
注意: この章のディレクトリ・パスの例は、Optimal Flexible Architecture(OFA)のガイドラインに準拠しています。インストール時にOFAに準拠していないディレクトリを指定した場合、ディレクトリ・パスは異なったものになります。詳細は、Oracle Databaseのインストレーション・ガイドの付録「Optimal Flexible Architecture」を参照してください。 |
Windows XP Service Pack 2以上の環境では、Windowsファイアウォールにより、デフォルトで着信接続に対してすべてのTCPネットワーク・ポートを事実上ブロックできます。これは、Windows Server 2003 Service Pack 1以上でも同じです。そのため、TCPポート上で着信接続をリスニングするOracle製品はすべて、これらのどの接続要求も受信せず、これらの接続を行っているクライアントはエラーを報告します。
インストールするOracle製品やその使用方法によって異なりますが、これらのオペレーティング・システムで製品を正しく動作させるために、Windowsファイアウォールのインストール後構成がいくつか必要になる場合があります。
次の項目について説明します。
表4-1は、WindowsのTCPポートでリスニングするOracle Database 10gリリース1(10.1)以上の実行可能ファイルのリストです。これらが使用中で、リモート・クライアント・コンピュータからの接続を受け入れている場合は、正しく動作するようWindowsファイアウォールの例外リストに追加することをお薦めします。特に指定のないかぎり、これらは、ORACLE_HOME\binにあります。
表4-1にリストされているRMIレジストリ・アプリケーションおよびデーモン実行可能ファイルは、リモート・クローラを起動するためにOracle Ultra Searchで使用されます。Ultra Searchのリモート・クローラ機能を使用する場合や、Windowsファイアウォールを有効にしたコンピュータでリモート・クローラを実行している場合は、これらのアプリケーションとファイルをWindowsファイアウォールの例外リストに追加する必要があります。
|
注意: 複数のOracleホームを使用している場合は、同じ実行可能ファイルに複数のファイアウォール例外(実行可能ファイルのロード元のホームごとに1つ)が必要になる場合があります。 |
表4-1 Windowsファイアウォール例外が必要なOracle実行可能ファイル
| ファイル名 | 実行プログラム名 |
|---|---|
|
|
Oracle Database |
|
|
Oracle TNSリスナー |
|
|
Oracle Database Control |
|
|
Java仮想マシン |
|
|
Apache Web Server |
|
|
Oracle Process Manager |
|
|
RMIレジストリ・アプリケーション |
|
|
RMIデーモン実行可能ファイル |
|
|
Data Guard Manager |
|
|
Oracle Services for Microsoft Transaction Server |
|
|
Oracle Database Gateway for Sybase |
|
|
Oracle Database Gateway for Teradata |
|
|
Oracle Database Gateway for SQL Server |
|
|
Oracle Database Gateway for DRDA |
|
|
Oracle Database Gateway for APPC |
|
|
Oracle Database Gateway for APPC |
|
|
Oracle Database Gateway for WebSphere MQ |
|
|
Oracle Database Gateway for WebSphere MQ |
|
|
Oracle Database Gateway for ODBC |
|
|
外部プロシージャ |
|
|
Oracle Internet Directory LDAPサーバー |
Windowsファイアウォールのインストール後構成は、次のすべての条件を満たす場合に実行できます。
Oracleサーバー側のコンポーネントがインストールされている。
これらのコンポーネントとして、Oracle Database、ネットワーク・リスナー、Webサーバー、Webサービスがあります。
コンピュータでネットワークを介した他のコンピュータからの接続が行われている。
Oracleソフトウェアをインストールしたコンピュータに接続しているコンピュータがない場合は、インストール後構成は一切不要で、Oracleソフトウェアは期待どおりに動作します。
Windowsファイアウォールが有効になっている。
Windowsファイアウォールが有効になっていない場合は、インストール後構成は一切不要です。
ファイアウォール内の特定の静的TCPポートを開くか、特定の実行可能ファイルの例外を作成することによって、Windowsファイアウォールを構成できます。これにより、選択した任意のポートで接続要求を受信できるようになります。ファイアウォールを構成するには、「コントロール パネル」→「Windowsファイアウォール」→「例外」を選択するか、コマンドラインでnetsh firewall add...と入力します。
あるいは、フォアグラウンド・アプリケーションがポートでリスニングを試みている場合、Windowsによって通知され、この実行可能ファイルの例外を作成するかどうかを尋ねられます。実行することを選択した場合、前述の「コントロール パネル」またはコマンドラインで実行可能ファイルの例外を作成した場合と同じ結果になります。
表4-1にリストされている実行可能ファイルに対する例外を許可した後で、接続が設定できなかった場合は、次の手順を実行して、インストールのトラブルシューティングを行ってください。
Oracleの構成ファイル(*.confファイルなど)、Windowsレジストリ内のOracleキー、ORACLE_HOME\network\admin内のネットワーク構成ファイルを調べます。
特に、PROGRAM=句のORACLE_HOME\network\admin\listener.oraにリストされているすべての実行可能ファイルに注意してください。実行可能ファイルには、TNSリスナーを介して接続するので、それぞれの実行可能ファイルにWindowsファイアウォールの例外が付与されている必要があります。
Oracleトレース・ファイル、ログ・ファイル、その他の診断情報ソースで、失敗した接続に関する詳細を調べます。データベース・クライアント・コンピュータ上のログ・ファイルとトレース・ファイルには、失敗した接続に関する有用なエラー・コードまたはトラブルシューティング情報が含まれている可能性があります。サーバー上のWindowsファイアウォールのログ・ファイルにも有用な情報が含まれている場合があります。
前述のトラブルシューティングの手順で、Windows XP Service Pack 2の構成に関する問題を解決できなかった場合は、診断と問題解決のために、netsh firewall show state verbose=enableコマンドの出力をOracleサポート・サービスにお送りください。
|
関連項目:
|
Oracle Databaseのインストールでは、多数のデフォルト・アカウントもインストールされます。インストールが正常に終了した場合、Database Configuration Assistantにより、ほとんどのデフォルトのデータベース・アカウントがロックされ、無効になります。インストール後、即時にすべてのユーザー・パスワードを変更することをお薦めします。
|
関連項目: デフォルトのデータベース・アカウントおよびパスワードの詳細は、『Oracle Database管理者ガイド』を参照 |
認可されたデータベース管理者(DBA)のみが完全な制御権を持つように、Oracle Databaseファイル、ディレクトリおよびレジストリの設定を構成することをお薦めします。Database Configuration Assistantを使用してデータベースを作成した場合、またはOracle Database Upgrade Assistantを使用してデータベースをアップグレードした場合は、それ以上の処理は不要です。
この項では、Oracle Universal Installer、Database Configuration AssistantおよびOracle Database Upgrade Assistantで自動的に設定される権限と、これらの権限を手動で設定する手順について説明します。
次の項目について説明します。
|
関連項目: NTFSファイル・システムおよびWindowsレジストリの設定の変更の詳細は、オペレーティング・システムのドキュメントを参照 |
Oracle9iリリース2(9.2)からは、Oracle Databaseソフトウェアのインストールまたはアップグレード時に、Oracle Universal Installer、Database Configuration AssistantおよびDatabase Upgrade Assistantによりファイル権限が設定されます。
次の項目について説明します。
Oracle Databaseのインストール時に、デフォルトでは、Oracle Universal InstallerによりソフトウェアがORACLE_BASE\ORACLE_HOMEにインストールされます。Oracle Universal Installerにより、このディレクトリ、およびこのディレクトリの下のすべてのファイルとディレクトリに対して次のアクセス権が設定されます。
Administrators: Full Control
System: Full Control
Authenticated Users: Read、ExecuteおよびList Contents
|
重要: これらのアカウントがすでに存在し、より制限された権限を持つ場合は、最も制限された権限が保持されます。Administrators、SystemおよびAuthenticated Users以外のアカウントがすでに存在する場合、これらのアカウントの権限は削除されます。 |
データベースの構成時に、Database Configuration Assistantによりファイルおよびディレクトリが次のデフォルトの場所にインストールされます。database_nameは、データベース名またはSIDです。
ORACLE_BASE\admin\database_name(管理ファイル・ディレクトリ)
ORACLE_BASE\oradata\database_name(データベース・ファイル・ディレクトリ)
ORACLE_BASE\oradata\database_name(REDOログ・ファイルおよび制御ファイル)
ORACLE_BASE\ORACLE_HOME\database(SPFILESID.ORA)
Database Configuration Assistantにより、これらのディレクトリ、およびこれらのディレクトリの下のすべてのファイルとディレクトリに対して次のアクセス権が設定されます。
Administrators: Full Control
System: Full Control
|
重要: これらのアカウントがすでに存在し、より制限された権限を持つ場合は、最も制限された権限が保持されます。AdministratorsおよびSystem以外のアカウントがすでに存在する場合、これらのアカウントの権限は削除されます。 |
旧バージョンのデータベースがOracle Database 10gリリース1(10.1)以上にアップグレードされるときに、Database Upgrade Assistantにより、ソフトウェアが次のディレクトリにインストールされます。database_nameは、データベース名またはSIDです。
ORACLE_BASE\admin\database_name(管理ファイル)
ORACLE_BASE\oradata\database_name(データベース・ファイル・ディレクトリ)
ORACLE_BASE\oradata\database_name(REDOログ・ファイルおよび制御ファイル)
ORACLE_BASE\ORACLE_HOME\database(SPFILESID.ORA)
Database Upgrade Assistantにより、これらのディレクトリ、およびこれらのディレクトリの下のすべてのファイルとディレクトリに対して次のアクセス権が設定されます。
Administrators: Full Control
System: Full Control
|
重要: これらのアカウントがすでに存在し、より制限された権限を持つ場合は、最も制限された権限が保持されます。AdministratorsおよびSystem以外のアカウントがすでに存在する場合、これらのアカウントの権限は削除されます。 |
Oracle Database 11gリリース1(11.1)からは、Database Upgrade AssistantでもEnterprise Managerを構成できます。Enterprise Managerの構成時に「日次バックアップ有効化」オプションを選択した場合、Database Upgrade Assistantではフラッシュ・リカバリ領域を求める別の画面が表示されます。Database Upgrade Assistantでは、どのファイル・システムの場所が指定されている場合でも、ディレクトリ構造が存在しない場合は、その作成を試行します。同じファイル権限のセットがこの場所に挿入されます。フラッシュ・リカバリ領域のDBUAで示されるデフォルトの場所は次のとおりです。
ORACLE_BASE\flash_recovery_area
認可されたユーザーのみが完全なファイル・システムの権限を持つようにするには、次のようにします。
Windowsエクスプローラに移動します。
各ディレクトリまたはファイルに次のアクセス権を設定します。
| ディレクトリ | グループおよびアクセス権 |
|---|---|
ORACLE_BASE\ORACLE_HOME |
|
ORACLE_BASE\admin\database_name |
|
ORACLE_BASE\oradata\database_name |
|
ORACLE_BASE\ORACLE_HOME\database\spfileSID.ora |
|
|
注意: Oracle Databaseでは、WindowsのLocalSystemの組込みセキュリティ・アカウントが使用されます。したがって、ファイル権限は、Oracle Databaseを実行するローカル・コンピュータのSystemアカウントに付与する必要があります。 |
|
関連項目: NTFSファイル・システムおよびレジストリの設定の変更方法の詳細は、オペレーティング・システムのオンライン・ヘルプを参照 |
Windowsレジストリの\HKEY_LOCAL_MACHINE\SOFTWARE\ORACLEで、Oracle Database DBAまたはシステム管理者以外のユーザーから書込み権限を削除することをお薦めします。
書込み権限を削除するには、次のようにします。
レジストリ エディタを開きます。
\HKEY_LOCAL_MACHINE\SOFTWARE\ORACLEに移動します。
「セキュリティ」メイン・メニューで「アクセス許可」を選択します。
レジストリ・キーのアクセス許可ダイアログ・ボックスが表示されます。
Oracle Database DBAまたはシステム管理者以外のユーザーから書込み権限を削除します。SYSTEMアカウントはOracle Databaseの実行に使用するアカウントであるため、このアカウントにはFull Controlが必要です。
Oracleアプリケーションを実行する必要のあるユーザー・アカウントに読取り権限があることを確認します。
「OK」を選択します。
このリリースには、エンタープライズ・スケジューリング機能を提供するOracle Scheduler(スケジューラ)が組み込まれています。ユーザーにより実行される外部ジョブは、OracleJobSchedulerSIDサービスを使用して開始されます。このサービスはデフォルトでは使用不可になります。外部ジョブ機能を使用するには、管理者が、このサービスを実行するユーザー・アカウントのユーザー名とパスワードを設定し、サービスを使用可能にする必要があります。
権限の低いユーザーに対して外部ジョブの実行を制限することにより、認可されていないデータベース・ユーザーがオペレーティング・システム・レベルの権限を得ることが防止されますが、実行できるジョブの種類も制限されます。高いレベルのオペレーティング・システム権限を必要とするジョブは、このメカニズムでは実行できません。
資格証明を使用しないローカル外部ジョブでは、Oracle Database 10gリリース1およびリリース2との互換性のためにのみ、OracleJobSchedulerSIDサービスを使用可能にして開始する必要があります。すべてのローカル外部ジョブが資格証明を使用する場合、このサービスは必要ありません。セキュリティを向上するために、ローカル外部ジョブはすべて資格証明を使用することをお薦めします。
|
関連項目: 外部ジョブの詳細は、『Oracle Database管理者ガイド』を参照してください。 |
Oracle Multimedia(旧称interMedia)は、Oracle Databaseにおいてイメージ、DICOM形式の医学用イメージとその他のDICOMデータ、オーディオ、ビデオなどの異種メディア・データを、統合された方式で他のエンタープライズ情報とともに格納、管理および取得できるようにする機能です。Oracle Multimediaにより、従来のアプリケーション、インターネット対応アプリケーション、E-Commerce用アプリケーション、医学用アプリケーションおよびメディアリッチ・アプリケーションのマルチメディア・コンテンツに対するOracle Databaseの信頼性、可用性およびデータ管理性が拡張されます。
Standard Edition、Standard Edition OneまたはEnterprise Editionをインストールした場合は、インストールの終了時にDatabase Configuration Assistantが自動的に起動します。「カスタマイズ」以外のDatabase Configuration Assistantのインストール・タイプを選択した場合は、Oracle Multimediaの手動構成は不要です。この項に示されているタスクは、すべて自動的に実行されます。
「カスタマイズ」インストールを選択した場合は、Database Configuration Assistantにより、Oracle Multimediaの構成手順が順に示されます。
データベースを手動で作成および構成している場合、Oracle Multimediaを構成するには、次のようにします。
SQL*Plusを起動します。
C:\> sqlplus /NOLOG
Oracle DatabaseにアカウントSYSDBAで接続します。
SQL> CONNECT / AS SYSDBA
データベースを起動します(必要な場合)。
SQL> STARTUP
スクリプトordinst.sqlを実行します。
SQL> ORACLE_BASE\ORACLE_HOME\ord\admin\ordinst.sql SYSAUX SYSAUX
スクリプトiminst.sqlを実行します。
SQL> ORACLE_BASE\ORACLE_HOME\ord\im\admin\catim.sql
SQL*Plusを終了します。
SQL> EXIT
|
注意: Oracle8iのlistener.oraファイルおよびtnsnames.oraファイルをOracle Databaseネットワーク・ディレクトリに手動でコピーする場合は、外部ルーチン・コールが動作し、Oracle Multimediaが正しく機能するよう、サーバー上のネットワーク構成ファイルtnsnames.oraおよびlistener.oraを変更する必要があります。『Oracle Net Services管理者ガイド』の手順に従ってください。 |
Oracle Textを使用すると、ほとんどのOracleインタフェースからSQLおよびPL/SQLを介してテキスト問合せを実行できます。Oracle TextをOracle Databaseサーバーとともにインストールすることによって、SQL*PlusやPro*C/C++などのクライアント・ツールでOracle Database内のテキストを取り出し、処理することができます。
Oracle Textでは、Oracle Databaseの従来のデータ型と組み合せてテキスト・データが管理されます。テキストが挿入、更新または削除されたときは、Oracle Textによってその変更が自動的に管理されます。
メディアからOracle Textをインストールし、旧リリースのOracle Textがインストールされていない場合に、次のいずれかの条件に該当すれば、Oracle DatabaseはOracle Textとともに使用できるようにすでに構成されています。
スタンドアロン・モードでDatabase Configuration Assistantを使用し、「標準」データベース作成タイプを選択してデータベースを作成。
データベースが、次の手順を実行して作成した初期データベース。
インストールする製品の選択ウィンドウで「Oracle Database 11g」を選択します。
インストール方法の選択ウィンドウで「基本インストール」を選択します。
前述のいずれにも該当しない場合は、「Database Configuration Assistantを使用したOracle Textの構成」の手順を使用してOracle Textとともに使用できるようにOracle Databaseを構成する必要があります。
旧リリースからのOracle Textのアップグレード
リリース11.1のメディアからOracle Textをインストールし、Oracle Textの旧リリース(旧称interMedia Text)がすでにインストールされている場合、USER_FILTERの実行可能ファイルがORACLE_BASE\ORACLE_HOME\ctx\binから実行されます。したがって、アップグレード後にデータベース・ユーザーSYS、SYSTEMまたはCTXSYSとして次のSQLコマンドを発行し、USER_FILTERの実行可能ファイルのリストを取得する必要があります。それらの実行可能ファイルをORACLE_BASE\ORACLE_HOME\binからORACLE_BASE\ORACLE_HOME\ctx\binにコピーしてください。
SQL> SELECT IXV_VALUE FROM CTXSYS.CTX_INDEX_VALUES WHERE IXV_CLASS='FILTER' AND IXV_OBJECT='USER_FILTER' AND IXV_ATTRIBUTE='COMMAND';
|
関連項目: 『Oracle Textアプリケーション開発者ガイド』 |
Database Configuration Assistantを使用したOracle Textの構成
Database Configuration Assistantを使用して、データベースの作成時にOracle Textとともに使用できるようにOracle Databaseを構成するには、プロンプトが表示された際に、構成するオプションとして「Oracle Text」を選択します。
後でデータベースを構成するには、次のようにします。
Database Configuration Assistantを起動します。
「スタート」メニュー→「プログラム」→「Oracle - HOME_NAME」→「Configuration and Migration Tools」→「Database Configuration Assistant」を選択します。
「データベース内のデータベース・オプションの構成」を選択します。
プロンプトが表示されたら、変更するデータベースを選択します。
プロンプトが表示されたら、構成するオプションとして「Oracle Text」を選択します。
Oracle Spatialを使用すると、ユーザーは、より簡単かつ直感的に空間データの格納、取出しおよび操作を行うことができます。
空間データには、たとえば道路地図があります。道路地図は、点、線および多角形によって、都市、道路および県などの行政上の境界が表現されている、2次元のオブジェクトです。道路地図は、地理情報を表します。都市、道路および行政上の境界の位置は、オブジェクトの相対的位置と相対的距離が保たれた状態で、2次元の画面または紙に投影されます。
Enterprise EditionでOracle Spatialをインストールする場合、手動構成は不要です。Oracle Spatialの構成タスクは、すべて自動的に実行されます。
Enterprise EditionまたはStandard Editionの「カスタム」インストールでOracle SpatialとOracle Databaseの両方をインストールする場合は、インストールの終了時にDatabase Configuration Assistantが自動的に起動します。「カスタム」インストールを選択し、「新規データベースの作成」を選択した場合は、アシスタントにより、Oracle Spatialを自動的に構成するかどうかが確認されます。
Enterprise Editionとは別のインストールでOracle Spatialをインストールする場合は、Database Configuration Assistantを起動し、「データベース内のデータベース・オプションの構成」を選択するか、Oracle Spatialを手動で構成する必要があります。
Oracle Spatialを手動で構成するには、次のようにします。
コマンド・プロンプトからSQL*Plusを起動します。
C:\> sqlplus /NOLOG
Oracle DatabaseにアカウントSYSDBAで接続します。
SQL> CONNECT / AS SYSDBA
データベースを起動します(必要な場合)。
SQL> STARTUP
スクリプトordinst.sqlを実行します。
SQL> ORACLE_BASE\ORACLE_HOME\ord\admin\ordinst.sql SYSAUX SYSAUX
データベースにユーザーSYSTEMで接続します。
SQL> CONNECT SYSTEM
Enter password: system_password
スクリプトmdinst.sqlを実行します。
SQL> ORACLE_BASE\ORACLE_HOME\md\admin\mdinst.sql
SQL*Plusを終了します。
SQL> EXIT
|
注意: スクリプトmdinst.sqlには、変数%MD_SYS_PASSWORD%が含まれており、この変数はOracle Universal Installerによってインストール時にインスタンス化されます。したがって、ユーザーmdsysのパスワードを変更した場合は、手動インストールの際に、そのパスワードでスクリプトmdinst.sqlを更新することも忘れないでください。 |
Oracle Databaseは、レプリケーション・パッケージおよびプロシージャを、別々の手動プロセスではなく、自動的にインストールします。アドバンスト・レプリケーションには様々な構成や使用方法があります。
この項では、Oracle Databaseにアドバンスト・レプリケーションを手動で構成する方法について説明します。この機能を使用するように構成されていなかったOracle Databaseのインストール環境にアドバンスト・レプリケーションを追加する場合にのみ、示されている手順に従ってください。
|
関連項目: アドバンスト・レプリケーションの詳細、およびマスター・サイトとマテリアライズド・ビュー・サイトの定義は、『Oracle Databaseアドバンスト・レプリケーション』を参照 |
アドバンスト・レプリケーションを構成する手順は次のとおりです。
表4-2に、アドバンスト・レプリケーションの推奨される表領域およびロールバック・セグメントの要件を示します。
表4-2 アドバンスト・レプリケーションの表領域およびロールバック・セグメントの要件
| 表領域/ロールバック・セグメント | 最小空き領域 |
|---|---|
|
SYSTEM(注意) |
20MB |
|
UNDO TABLESPACE |
10MB |
|
RBS |
5MB |
|
TEMP |
10MB |
|
USERS |
特定の要件なし |
注意
レプリケーション・トリガーおよびプロシージャがここに格納されます。
アドバンスト・レプリケーションを使用する場合は、特定のパラメータ値を初期化パラメータ・ファイルに追加し、それ以外のパラメータ値を推奨値に設定する必要があります。表4-3に、マスター・サイトおよびマテリアライズド・ビュー・サイトのパラメータ名と値を示します。
表4-3 アドバンスト・レプリケーションの初期化パラメータ
| パラメータ名 | 推奨値 | サイト |
|---|---|---|
|
|
50MB |
マスター |
|
|
300秒 |
マスター |
|
|
TRUE |
マスター |
|
|
4 |
マスター |
|
|
現在の設定値に9を加えた値 |
マスター |
|
|
2注意 |
マスター |
|
|
2 |
マテリアライズド・ビュー |
注意
n-wayサイト数に依存します。
