Oracle® Key Vault

リリース・ノート

リリース18.2

F26275-01(原本部品番号:F25624-01)

2019年12月

リリース・ノートには、このリリースのOracle Key Vaultの新機能、最新の製品ソフトウェアおよびドキュメントのダウンロード方法、およびOracle Key Vaultの既知の問題の対処方法が記載されています。

1.1 Oracle Key Vaultのこのリリースの変更点

Oracle Key Vaultリリースでは、大規模な企業でOracle Key Vaultの使用を強化する新機能が導入されています。

親トピック: リリース・ノート

1.1.1 Oracle Key Vaultサーバー証明書のローテーション

Oracle Key Vault内のサーバー証明書は730日間続きます。証明書(サーバー証明書とエンドポイント証明書の両方)をローテーションしない場合、証明書を使用するエンドポイントはOracle Key Vaultサーバーに接続できません。この場合、サーバー証明書をローテーションしてエンドポイントを再エンロールする必要があります。ローテーション・プロセスは、1回の操作ですべての証明書のローテーションを処理します。このシナリオを回避するには、730日の制限が切れる前に証明書をローテーションするよう警告するアラートを構成できます。Oracle Key Vault管理コンソールの「Configure Alerts」ページで「Oracle Key Vault Server Certificate Expiration」設定を編集することで、証明書の有効期限アラートをどの程度早く取得するかを設定できます。Oracle Key Vaultサーバー証明書の有効期限を確認するには、Oracle Key Vault管理コンソールで「System」タブの「Manage Server Certificate」ページをチェックします。エンドポイントの証明書の有効期限を確認するには、「Endpoints」ページに移動して、「Certificate Expires」列をチェックする必要があります。

証明書ローテーション・プロセスは、Oracle Key Vaultサーバー内のすべての証明書を取得します。サード・パーティの証明書は取得しません。

プライマリ/スタンバイまたはマルチマスター・クラスタ構成である場合、Oracle Key Vaultによって両方のシステムの証明書が自動的に同期されます。

親トピック: Oracle Key Vaultのこのリリースの変更点

1.1.2 ノード・インダクション中に障害またはエラーが発生した場合の候補ノードのリカバリ

以前は、候補ノードのインダクションを中断できませんでした。コントローラ・ノードの間違ったリカバリ・パスフレーズ、IPアドレスまたは証明書を入力した場合、これは問題でした。候補を元の候補前の状態に戻す「Abort」ボタンが候補ノードのために表示されるようになりました。候補ノードは、コントローラ・ノードからのバンドルの受信を開始した後は中断できません。

親トピック: Oracle Key Vaultのこのリリースの変更点

1.1.3 逆移行を必要としないルート・オブ・トラストとしてHSMを使用したOracle Key Vaultサーバーのアップグレード

HSMが有効になっているOracle Key Vaultをアップグレードすると、いくつかの理由で続行されません。まず、ホスト名を介してアクセスする必要があるHSMのクライアントとしてOracle Key Vaultが登録された場合、再起動後、Oracle Key Vault DNSサービスdnsmasqは、Oracle Key VaultがHSMに接続しようとしたときに実行されていませんでした。このため、TDEウォレットを開くことができませんでした。バグ24478865で説明されているとおりこの問題には、DNSサーバー・エントリを/etc/resolv.confに追加する必要があったという回避策がありましたが、アップグレード・プロセスではこのファイルがリセットされるため、HSMアップグレードの有効な回避策ではありませんでした。その後バグ24478865が解決されたため、回避策は必要なくなりました。HSMが有効になっているOracle Key Vaultのアップグレードがブロックされる別の問題はnCipher HSMの問題で、Oracle Key VaultがTDEウォレットを開こうとしたときにhardserverサービスが実行されていませんでした。このため、アップグレード中の再起動後に障害が発生しました。ウォレットを開く前に、必要に応じてhardserverサービスを開始するようになりました。Oracle Key Vaultバージョン18.1以降のバージョンからアップグレードする場合は、HSMをルート・オブ・トラストとして使用してアップグレードすることが可能です。

親トピック: Oracle Key Vaultのこのリリースの変更点

1.1.4 ユーザー・パスワードのリセットを電子メールによるリカバリにのみ制限

Oracle Key Vaultでは、セキュアなユーザー管理が有効になっている場合、管理ユーザーが他のユーザーのパスワードを手動で変更できないようにします。ユーザーの電子メール・アドレスにワンタイム・パスワードを送信するオプションのみが提供されます。

関連項目

親トピック: Oracle Key Vaultのこのリリースの変更点

1.1.5 クラスタ内のリバースSSHトンネルに対する変更でのエンドポイント構成の自動更新

エンドポイントで使用できるが、エンドポイントのエンロール後に作成される新しいリバースSSHトンネルは、エンドポイント構成okvclient.oraに自動的に追加されます。クラスタ内のノードの追加または削除に応じて、他のエンドポイントのように、DBCSエンドポイントはエンドポイント構成のノードIPアドレスのリストを自動的に更新します。削除されたクラスタのノードで作成されたエンドポイントは、クラスタ内の他のノードからエンドポイント構成の更新を取得します。

新しいトンネルは、そのエンドポイントがトンネルを使用でき、その後再エンロールされていても、既存のエンドポイントのokvclient.oraに含まれません。

その後削除されたクラスタのノードで作成されたエンドポイントは、スキャン・リストの更新を受信しません。

親トピック: Oracle Key Vaultのこのリリースの変更点

1.1.6 ルート・オブ・トラストとしてのHSMの改善点

この項では、ルート・オブ・トラストとしてのOracle Key Vault HSMの改善点について説明します。

親トピック: Oracle Key Vaultのこのリリースの変更点

1.1.6.1 HSM設定の定期的な検証

HSMをルート・オブ・トラストとして使用する以前のバージョンのOracle Key Vaultでは、HSMへの接続はOracle Key Vaultの設定時にのみ検証されました。HSMが正しく機能していることを検証するために、接続が定期的にチェックされるようになりました。正しく機能していない場合は、Invalid HSM Configurationアラートが発生します。

親トピック: ルート・オブ・トラストとしてのHSMの改善点

1.1.6.2 HSM機能のエラー・レポートの改善
エラー処理が次のように改善されました。
  • "古い"リカバリ・パスフレーズおよび"新しい"リカバリ・パスフレーズのフィールドに同じリカバリ・パスフレーズを使用した、スタンドアロン・モード(クラスタでも、プライマリ/スタンバイでもない)で18.1のHSMからの逆移行では、不適切なエラー・メッセージが表示されます。"古い"リカバリ・パスフレーズおよび"新しい"リカバリ・パスフレーズは、逆移行時に同じにできるようになりました。
  • バンドルの適用中にエラーが発生したときに、一般的なエラー・メッセージを受信していました。これらのエラー・メッセージは、問題を適切に診断するためにより具体的になりました。
  • 「Set Credential」ボタンを使用して、同じ資格証明でHSMの資格証明を2回設定すると、エラーが発生しました。これは、問題なく完了できるようになりました。
  • 間違ったHSM資格証明を使用してHSMバンドルを作成したときに受信したエラー・メッセージは、特定の問題を示していませんでした。このエラー・メッセージは、問題の原因に関してより具体的になりました。

親トピック: ルート・オブ・トラストとしてのHSMの改善点

1.1.7 新しいアラートおよび変更されたアラート

この項では、Oracle Key Vaultの新しいアラートおよび変更されたアラートについて説明します。

親トピック: Oracle Key Vaultのこのリリースの変更点

1.1.7.1 このリリースで追加された新しいアラート

このリリースのOracle Key Vaultで追加された新しいアラートは次のとおりです。

  • Validate HSM Setup Periodically: HSMが有効になっている場合、HSM構成が有効で、正しく機能していることを確認します。正しく機能していない場合は、「Invalid HSM Configuration」アラートが発生します。
  • Raise an Alert if Replication Lag Is Greater Than Configured Limit: マルチマスター・クラスタ設定の場合、他のノードから現在のノードへのレプリケーション・ラグを追跡する新しいアラートがあります。このアラートは、レプリケーション・ラグが指定のしきい値を超えたときに発行されます。デフォルトは60秒です。
  • Alerts Are Raised If the Alert Jobs Are Hitting Issues: 以前のバージョンのOracle Key Vaultでは、アラート・ジョブのアラート条件のチェックに失敗すると、syslogにのみログ記録されました。アラート条件のチェックが失敗した場合にはアラートが発生し、構成している場合は電子メールが送信されるようになりました。このようなアラートは、失敗したアラート条件が後続の評価で正常に実行されると、クリーン・アップされます。

親トピック: 新しいアラートおよび変更されたアラート

1.1.7.2 このリリースで変更されたアラート
このリリースのOracle Key Vaultで変更されたアラートは次のとおりです。
  • Retain Heartbeat Alerts for Defunct Nodes Until They Are Deleted: 2つのノード間でレプリケーションをリストアしたのに一部のレコードが失われている可能性があるため、「Maximum Disable Node Duration」期間を超えて別のノードに接続しないノードに関するアラートは、接続がリストアされた場合でも削除されません。
  • Delete Alerts Associated with a Reverse-SSH Tunnel when the Tunnel Is Deleted: SSHトンネルのアラートは、SSHトンネルの削除の際に削除されませんでした。このアラートは、トンネルの削除の際に削除されるようになりました。
  • Alerts Raised on Switchover Are Not Deleted When the Primary-Standby Are Unpaired: プライマリ/スタンバイ構成からのアラートは、ペアの解除後も引き続き表示されました。このアラートは、ペアの解除後に削除されるようになりました。

親トピック: 新しいアラートおよび変更されたアラート

1.1.8 その後の診断のためのエンドポイント・ソフトウェアのインストール・ログ環境変数

Oracle Databaseエンドポイントで使用されるPKCS#11ライブラリではORACLE_HOME、ORACLE_BASE、OKV_HOMEなどの環境変数を使用してエンドポイント構成ファイルokvclient.oraを検索します。環境変数は時間とともに変化することがあり、その結果、複数の永続キャッシュが作成されたり、データベース・セッションまたはバックグラウンド・プロセスでエンドポイント構成ファイルを検出できないことがあります。

クイック診断を容易にするために、okvclient.jarをデプロイする際のORACLE_HOME、ORACLE_BASEおよびOKV_HOMEに関する追加情報がデプロイメント・ログに含まれています。これは、PKCS#11ライブラリを使用するデータベース・プロセス間で一致する必要があります。この情報はログ・ファイルで入手でき、okvclient.jarのデプロイ時に-vオプションが使用された場合は、このオプションも標準出力に出力されます。

親トピック: Oracle Key Vaultのこのリリースの変更点

1.1.9 RESTfulサービスの改善点

この項では、Oracle Key VaultでのRESTfulサービスの改善点について説明します。

親トピック: Oracle Key Vaultのこのリリースの変更点

1.1.9.1 KMIP REST Locateでのキー名によるフィルタリングのサポート

人間が読めるKMIPオブジェクト名を指定すると、ユーザーはオブジェクトに関連付けられたKMIP識別子を見つけることができます。Oracle Key Vault RESTfulサービスでは、UUIDを覚えておくことが難しいため、locateコマンドに-nameオプションを指定してKMIP UUIDを簡単に取得できるようになりました。locateコマンドで-nameオプションを使用してUUIDを取得すると、そのUUIDを他のKMIP RESTコールで使用できます。

親トピック: RESTfulサービスの改善点

1.1.9.2 単一のRESTfulコマンドによるすべてのエンドポイントの再エンロール

多数のエンドポイントがあるOracle Key Vaultデプロイメントでは、RESTful APIを使用しても、すべてのエンドポイントを1つずつ再エンロールすることに時間がかかる場合があります。Oracle Key Vaultでは、すべてのエンドポイントを再エンロールする単一のRESTfulコマンドが用意されています。新しいRESTfulコマンドは、re_enroll_allです。

親トピック: RESTfulサービスの改善点

1.1.9.3 RESTプロビジョニング・コマンドの新しいwallet_rootオプション

新しいwallet_rootオプションがRESTfulサービスprovisionコマンドに追加されました。dirオプションとは異なり、エンドポイント名ディレクトリは作成されません。その結果、ユーザーはこのオプションでTDE WALLET_ROOTルート・ディレクトリを指定できます。ユーザーは、要件に基づいて、wallet_rootオプションまたはdirオプションを選択できます。

関連項目

親トピック: RESTfulサービスの改善点

1.1.10 長時間実行されているプロセスでのキャッシュされたOKV構成の定期的なリフレッシュ

OKV 18.2より前のリリースでは、エンドポイント・データベースのgen0プロセスは新しいokvclient.ora値を定期的に取得していませんでした。その結果、okvclient.oraのパラメータ(SERVERリスト、PKCS11_CACHE_TIMEOUT、PKCS11_PERSISTENT_CACHE_TIMEOUT、PKCS11_PERSISTENT_CACHE_REFRESH_WINDOWなど)への変更は、キーがOracle Key Vaultからリフレッシュされたときでも取得されませんでした。プロセスごとに、okvclient.oraが最後に読み取られてからの時間が、新しいPKCS11_CONFIG_PARAM_REFRESH_INTERVAL値(分単位)よりも大きい場合は、次回インメモリー・キャッシュ・キーが期限切れになり、永続キャッシュまたはOracle Key Vaultサーバーからリフレッシュする必要があるときに、okvclient.oraは再度読み取られ、変更された値はプロセスで取り込まれます。

親トピック: Oracle Key Vaultのこのリリースの変更点

1.1.11 エンドポイント・データベースの停止時に自動的に期限切れになる永続キャッシュ

パスワードを使用せずにOKVclientをインストールすると、永続キャッシュが自動オープン・ウォレットとして構成されます。パスワードを使用してOKVclientをインストールすると、このパスワードは永続キャッシュにも適用されます。自動的に期限切れになる永続キャッシュを作成する新しいオプションは、誰にも知られていない自動生成されたパスワードで永続キャッシュを保護するため、データベースの再起動後やOSの再起動後に開くことができません。

親トピック: Oracle Key Vaultのこのリリースの変更点

1.2 Oracle Key Vaultのソフトウェアおよびドキュメントのダウンロード

最新バージョンのOracle Key Vaultのソフトウェアおよびドキュメントはいつでもダウンロードできます。

親トピック: リリース・ノート

1.2.1 Oracle Key Vaultインストール・ソフトウェアのダウンロード

新規インストールの場合は、Software Delivery CloudからOracle Key Vaultソフトウェアをダウンロードできます。このパッケージは、Oracle Key Vaultのアップグレードには使用できません。既存のOracle Key Vault 12.2デプロイメントからのアップグレードの場合は、Oracle Key Vaultのアップグレード・ソフトウェアをMy Oracle Support Webサイトからダウンロードできます。

  1. WebブラウザでOracle Software Delivery Cloudポータルにアクセスします。
  2. 「Sign In」をクリックし、入力を求められたら、「User ID」および「Password」に入力します。
  3. 「All Categories」メニューで、「Release」を選択します。次のフィールドで、「Oracle Key Vault」と入力して、「Search」をクリックします。
  4. 表示されたリストから「Oracle Key Vault 18.2.0.0.0」を選択するか、「Oracle Key Vault 18.2.0.0.0」の横にある「+Add to Cart」ボタンをクリックします。
    ダウンロードがカートに追加されます。(カートの中身を確認するには、画面の右上にある「View Cart」をクリックします。)
  5. 「Checkout」をクリックします。
  6. 次のページでインストール・パッケージの詳細を確認して、「Continue」をクリックします。
  7. 「Oracle Standard Terms and Restrictions」ページで、契約条件を読み、同意した後、「I have reviewed and accept the terms of the Commercial License, Special Programs License, and/or Trial License」を選択して「Continue」をクリックします。

    ダウンロード・ページが表示され、次のOracle Key Vault ISOファイルがリストされます。

    • Vpart_number.iso (Oracle Key Vault 18.2.0.0.0 - ディスク1)

    • Vpart_number.iso (Oracle Key Vault 18.2.0.0.0 - ディスク2)

  8. 「Print」ボタンの右側にある「View Digest Details」をクリックします。

    2つのISOファイルのリストを展開すると、各ISOファイルのSHA-1およびSHA-256のチェックサム参照番号が表示されます。

  9. SHA-256チェックサム参照番号をコピーし、後で参照するために保存します。
  10. 「Download」をクリックして、ISOファイルを保存する場所を選択します。
    各ファイルを個別に保存するには、名前をクリックしてダウンロードする場所を指定します。
  11. 「Save」をクリックします。

    両方のISOファイルのサイズの合計は4 GBを超えるため、ネットワーク速度によってはダウンロードに時間がかかることがあります。ダウンロードの推定時間と推定速度が「File Download」ダイアログ・ボックスに表示されます。

  12. ISOファイルが指定した場所にダウンロードされたら、ダウンロードされたファイルのSHA-256チェックサムを確認します。
    1. LinuxまたはUnixマシンから、最初のVpart_number.isoのSHA256チェックサムを生成します。
      $ sha256sum Vpart_number.iso

      チェックサムが、ステップ9で「File Download」ダイアログ・ボックスからコピーした値と一致することを確認します。

    2. 2番目のVpart_number.isoのSHA-256チェックサムを生成します。
      $ sha256sum Vpart_number.iso

      チェックサムが、ステップ9で「File Download」ダイアログ・ボックスからコピーした値と一致することを確認します。

  13. 必要に応じて、2つのVpart_number.isoファイルをそれぞれDVD-ROMディスクに書き込み、ディスクにラベルを付けます。

    • OKV 18.2ディスク1

    • OKV 18.2ディスク2

これで、サーバー・マシンにOracle Key Vaultをインストールできます。

親トピック: Oracle Key Vaultのソフトウェアおよびドキュメントのダウンロード

1.2.2 Oracle Key Vaultのドキュメントのダウンロード

  1. Oracleドキュメント・サイトにアクセスします。
  2. 「Oracle Database Related Products」を選択します。
  3. 「Database Security」セクションで、リリース・ノートを含む最新バージョンのOracle Key Vault 18.2ドキュメントを検索してダウンロードします。

親トピック: Oracle Key Vaultのソフトウェアおよびドキュメントのダウンロード

1.3 既知の問題

このリリースの時点で、Oracle Key Vaultにはまれな状況で発生する可能性がある問題があります。各問題の回避策が提供されます。

親トピック: リリース・ノート

1.3.1 一般的な問題

この項では、Oracle Key Vaultに関する一般的な問題について説明します。

親トピック: 既知の問題

1.3.1.1 HP-UXシステムで、SELECT FROM V$ENCRYPTION_KEYSを実行するとORA-28407が返されることがある

問題: HP-UXオペレーティング・システムで、長時間実行されているデータベース・プロセスまたはセッションで実行された次のような透過的データ暗号化(TDE)問合せで、ORA-28407 ハードウェア・セキュリティ・モジュール・エラーが検出されましたというエラーが発生することがあります。 

SELECT * FROM V$ENCRYPTION_KEYS;

これは、PTHREAD_KEYS_MAX設定によって制御されるプロセスごとのキーの合計数に関するシステムによる制限にプロセスが達したか、超過したため、システムがそれ以上スレッド固有のデータ・キーを作成できなかったためです。通常、PTHREAD_KEYS_MAX128に設定されています。

回避策: データベース・セッションを切り替えて、TDE問合せを再実行します。セッションを切り替えることができない場合は、データベースおよびリスナーを開始する前に、PTHREAD_USER_KEYS_MAX16384を設定します。

バグ番号: 28270280

親トピック: 一般的な問題

1.3.1.2 OKV 12.2 BP1: 複数回ログインに失敗すると、ユーザーがロックされ、ログイン不能になる

問題: 現在のパスワード・ポリシーでは、ユーザーがパスワードを連続して3回間違って入力した場合、ユーザー・アカウントが1日間ロックされます。このため、そのユーザーは24時間のロックアウト期間が経過した後にのみログインできます。

回避策: パスワードをメモし、安全に保管して参照できるようにします。

バグ番号: 23300720

親トピック: 一般的な問題

1.3.1.3 問題の修正後もリストにOKVアラートが表示される

問題: ユーザーがパスワードを変更した後でも、ユーザー・パスワードの期限切れのアラートが引き続き表示されます。

回避策: Oracle Key Vault管理コンソールで、「Reports」「Configure Reports」の順に選択します。「User Password Expiration」オプションの選択を解除します。または、アラートを無視します。

バグ番号: 27620622

親トピック: 一般的な問題

1.3.1.4 Java Keystoreがokvutilユーティリティの-oオプションを使用してアップロードされた場合、秘密キーが上書きされない

問題: okvutil uploadコマンドの-oオプションを使用して、Java keystore (JKS)またはJava Cryptography Extension keystore (JCEKS)をOracle Key Vaultサーバーにアップロードした場合、ユーザー定義のキーは上書きされません。

回避策: ウォレットから秘密キーを削除し、そのキーを再度アップロードします。

バグ番号: 26887060

親トピック: 一般的な問題

1.3.1.5 HSMを初期化しない場合でもバンドルの作成時にHSM資格証明が要求される

問題: Oracle Key VaultがHSMに統合されていない場合、HSMバンドルを作成する際にHSM資格証明は使用されず、必要もありませんが、ともかくUIから要求されます。

回避策: Oracle Key VaultがHSMと統合されていない場合でも、HSMバンドルの作成時に最新のHSM資格証明を指定します。

バグ番号: 30539386

親トピック: 一般的な問題

1.3.2 アップグレードの問題

この項では、Oracle Key Vaultのアップグレードに関連する問題について説明します。

親トピック: 既知の問題

1.3.2.1 アップグレードしたプライマリ/スタンバイOKV 18.2サーバーのペア解除が権限の問題で失敗することがある
問題: Oracle Key Vault 18.2へのアップグレードの完了後、プライマリ-スタンバイ構成からペア解除しようとすると失敗し、次のメッセージが/var/log/debugファイルに書き込まれることがあります。 
ORA-48141: error creating directory during ADR initialization: [/var/lib/oracle/diag/rdbms/dbfwdb/dbfwdb/metadata_pv]
ORA-48189: OS command to create directory failed
回避策: Oracle Key Vault 18.1にアップグレードされたプライマリ-スタンバイ構成でペア解除する前に、次のステップを使用して/var/lib/oracle/diag/rdbms/dbfwdb/dbfwdb/metadata_pvディレクトリに正しい権限が設定されていることを確認してください。
  1. sshを使用してユーザーsupportとしてプライマリOracle Key Vaultシステムにログインします。
  2. rootユーザーに切り替えます。
    su - root
  3. /var/lib/oracle/diag/rdbms/dbfwdb/dbfwdb/metadata_pvディレクトリの権限を確認します。
    ls -l /var/lib/oracle/diag/rdbms/dbfwdb/dbfwdb
    出力は次のようになります。
    drwxr-xr-x 2 root   oinstall  4096 Apr 24 22:01 metadata_pv
  4. 前述の例のようにディレクトリの所有者がユーザーrootの場合は、次のコマンドを実行します。 
    chown oracle:oinstall /var/lib/oracle/diag/rdbms/dbfwdb/dbfwdb/metadata_pv
    ファイルをリストして、所有者がoracleになったことを確認します。
    ls -l /var/lib/oracle/diag/rdbms/dbfwdb/dbfwdb
    出力は次のようになります。
    drwxr-xr-x 2 oracle oinstall 4096 Apr 24 22:01 metadata_pv

バグ番号: 29693700

親トピック: アップグレードの問題

1.3.2.2 アップグレードする前にペア解除されたOKVシステムでは、DB_UNIQUE_NAMEをリセットする必要がある

問題: ペア解除される前はOracle Key Vault 12.2高可用性(現在はプライマリ-スタンバイ)構成の一部で、その後アップグレードされたOracle Key Vaultシステムでは、DB_UNIQUE_NAMEパラメータにDBFWDB_HA1またはDBFWDB_HA2が設定されています。このパラメータは、システムをクラスタ・モードに変換する前に、DBFWDBにリセットする必要があります。そうしないと、クラスタへのノードの追加に失敗します。

回避策: Oracle Key Vault 12.2高可用性構成のプライマリ・サーバーであったシステムがOracle Key Vault 18.2にアップグレードする前にペア解除された場合は、正常にアップグレードが完了してクラスタ・ノードに変換する前に、次のコマンドをシステムで実行する必要があります。
  1. sshを使用してユーザーsupportとしてプライマリOracle Key Vaultシステムにログインします。
  2. rootユーザーに切り替えます。
    su - root
  3. /var/lib/oracle/diag/rdbms/dbfwdb/dbfwdb/metadata_pvディレクトリの所有者およびグループを確認します。
    ls -l /var/lib/oracle/diag/rdbms/dbfwdb/dbfwdb
    出力は次のようになります。
    drwxr-xr-x 2 root   oinstall  4096 Apr 24 22:01 metadata_pv
  4. 前述の例のようにディレクトリの所有者がユーザーrootの場合は、次のコマンドを実行します。 
    chown oracle:oinstall /var/lib/oracle/diag/rdbms/dbfwdb/dbfwdb/metadata_pv
    ファイルをリストして、所有者がoracleになったことを確認します。
    ls -l /var/lib/oracle/diag/rdbms/dbfwdb/dbfwdb
    出力は次のようになります。
    drwxr-xr-x 2 oracle oinstall 4096 Apr 24 22:01 metadata_pv
  5. ユーザーoracleに切り替えます。
    su oracle
  6. SQL*Plusを開始します。
    sqlplus / as sysdba
  7. 次の文を実行します。
    show parameter db_unique_name;
  8. DB_UNIQUE_NAMEDBFWDB以外である場合は、次のコマンドを実行します。
    alter system set db_unique_name='DBFWDB' scope=spfile;
exit
  9. rootユーザーとして、次のコマンドを実行します。
    service dbfwdb stop
service dbfwdb start
  10. DB_UNIQUE_NAMEパラメータが変更されたことを確認します。
    SQL*Plusを開始します。
    sqlplus / as sysdba
  11. 次の文を実行します。
    show parameter db_unique_name
    返される出力は次の出力と一致するはずです。
    NAME                  TYPE        VALUE
--------------------- ----------- -----------
db_unique_name        string      DBFWDB

バグ番号: 29696058

親トピック: アップグレードの問題

1.3.3 プライマリ/スタンバイの問題

この項では、プライマリ/スタンバイ構成に固有のOracle Key Vaultの問題について説明します。

親トピック: 既知の問題

1.3.3.1 OKV 12.2 BP8: HAペアでのスイッチオーバー時に、監査証跡がリモートのsyslogに送信されない

説明: プライマリにsyslogが構成されている場合は、監査ログもsyslogに書き込まれます。スイッチオーバー時に、監査ログがsyslogに書き込まれないことがあります。これはスタンバイにsyslogが構成されていないためです。syslogはプライマリとスタンバイで別個に構成する必要があります。

回避策: スイッチオーバー後にスタンバイにsyslogを構成し、監査ログがsyslogに書き込まれるようにします。

バグ番号: 28790364

親トピック: プライマリ/スタンバイの問題

1.3.3.2 OKV 12.2 BP2: HAでのフェイルオーバーでSSHトンネル・ステータスが無効として表示される

問題: フェイルオーバー操作の後、新しいOracle Key Vaultプライマリ・サーバーでSSHトンネルの正しいステータスが表示されません。SSHトンネルが使用可能になったときに、SSHトンネルが無効として表示されます。ダッシュボードにもSSHトンネルの設定が失敗したことを警告するアラートが表示されます。これは、フェイルオーバー操作の後、同じサービス・エンドポイントとしてのデータベースに対してOracle Key Vaultが2つのSSHトンネルを確立しようとするためであり、間違ったステータスとなり、ダッシュボードにアラートが表示されます。サービス・エンドポイントとしてのデータベースへの2番目のSSHトンネルは、Oracle Key Vaultサーバーとサービス・エンドポイントとしてのデータベースの間の接続性に影響しません。サービス・エンドポイントとしてのデータベースへの最初のSSHトンネルは、フェイルオーバー後に機能して使用可能です。

回避策: フェイルオーバー後、新しいOracle Key Vaultプライマリ・サーバーでは、使用可能という正しいSSHステータスが表示され、サービス・エンドポイントとしてのデータベースに接続されます。サービス・エンドポイントとしてのデータベースでokvutil listを使用して、SSHトンネルのステータスを確認することもできます。

バグ番号: 24679516

親トピック: プライマリ/スタンバイの問題

1.3.3.3 HA 12.2 BP5からペア解除し、新しいOKVサーバーに再度ペアリングしてもスタンドアロンと表示される

問題: Oracle Key Vault 12.2.0.5.0以降を実行しているペア解除されたOracle Key Vaultプライマリ・サーバーを新しくインストールされたOracle Key Vaultサーバーとペアリングした場合、「Primary-Standby」ページの「Current status」でサーバーがスタンドアロン・モードであると表示されます。スタンドアロン・ステータスは、プライマリ-スタンバイ構成が失敗したことを示します。プライマリ-スタンバイ設定が失敗するのは、プライマリ・サーバーのSSH構成が再度有効にされないためです。

回避策: Oracle Key Vaultが実行されているペア解除されたOracle Key Vaultプライマリ・サーバーをペアリングする前に、SSH構成を無効にして再度有効にします。プライマリ・サーバーをスタンバイ・サーバーとペア解除して、プライマリ・サーバーでプライマリ-スタンバイ構成を実行した後に、SSH構成を無効にして再度有効にする必要があります。

注意:

Oracle Key Vaultが実行されているペア解除されたOracle Key Vaultプライマリ・サーバーをペアリングする前に、他のすべてのブラウザ・インスタンスを閉じたことを確認します。

バグ番号: 26617880

親トピック: プライマリ/スタンバイの問題

1.3.3.4 管理された停止がプライマリOKVで行われたときに、フェイルオーバーの問題が発生する

問題: プライマリ-スタンバイ・ペアのプライマリOracle Key Vaultサーバーでは、定期的に管理された停止が行われます。たとえば、ユーザーは、ユーザー・インタフェースの電源オフ・ボタンを押すか、端末から停止コマンドを実行して、停止を実行します。これが行われたときに、フェイルオーバー操作が行われず、スタンバイOracle Key Vaultサーバーはプライマリ・サーバーとして引き継ぎません。これはプライマリOracle Key Vaultサーバーの/var/lock/subsys/dbfwdbファイルの存在によって予想できます。管理された停止時にプライマリにこのファイルが存在する場合、フェイルオーバーは行われません。存在しない場合は、フェイルオーバーが行われます。

プライマリでの電源喪失、データベースの障害などの他の状況では、このファイルが存在しているかどうかにかかわらず、フェイルオーバーは引き続き行われます。

回避策: スタンバイが新しいプライマリとして引き継がれるようにして管理された停止を実行する場合は、かわりにスイッチオーバーを実行します。

バグ番号: 29666606

親トピック: プライマリ/スタンバイの問題

1.3.3.5 プライマリおよびスタンバイが異なるRO制限モード構成の場合にHA設定が成功する

問題: プライマリ-スタンバイ構成を行うとき、一方のOracle Key Vaultサーバーで読取り専用制限モードが有効にされ、もう一方のOracle Key Vaultサーバーで無効にされている場合に、構成が成功します。プライマリ-スタンバイ・デプロイメントでは、この不一致は問題と混乱に繋がる場合があります。

回避策: Oracle Key Vault管理コンソールを使用して、両方のサーバーに同じ読取り専用制限モード状態が適用されていることを確認します。これを行うには、「System」タブを選択して、「Primary-Standby」を選択します。「Allow Read-Only Restricted Mode」オプションを選択します。その後、各サーバーにプライマリ-スタンバイ構成を適用します。

バグ番号: 26536033

親トピック: プライマリ/スタンバイの問題

1.3.4 マルチマスター・クラスタの問題

この項では、マルチマスター・クラスタ構成に固有のOracle Key Vaultの問題について説明します。

親トピック: 既知の問題

1.3.4.1 OKVクラスタで複数のシステム障害が発生した後に、レプリケーションの再開が失敗することがある

問題: GoldenGateのバグ29624366が原因で、Oracle Key Vaultクラスタで複数のシステム障害が発生した後に、一部のノードからのレプリケーションの再開に失敗することがあります。特に、これが発生すると、GoldenGateのReplicatが終了し、GoldenGate証跡ファイルの新しい変更ログを処理できません。

回避策: そのようなReplicatの位置を手動で変更して、証跡ファイル内のエラーのあるレコードをスキップするか、障害の発生したOracle Key Vaultノードをクラスタから強制的に削除し、新しいノードを追加してそれに置き換えます。

バグ番号: 29700647

親トピック: マルチマスター・クラスタの問題

1.3.4.2 候補ノードに変換された後にOKVシステムで変更されたシステム設定がコントローラ・ノードに反映されない

問題: Oracle Key Vaultシステムが候補ノードに変換された後にシステム設定が変更され、コントローラ・ノードがその候補ノードの設定を最初に検証しようとして失敗した場合、更新された設定がコントローラ・ノードに反映されません。ペアリング処理を中断して、候補ノードを再インストールする必要があります。

回避策: なし。候補ノードに変換してクラスタに追加する前に、Oracle Key Vaultシステムの設定がクラスタの設定と一致していることを確認します。

バグ番号: 29430349

親トピック: マルチマスター・クラスタの問題

1.3.4.3 再起動後の読取り専用制限モードでの読取り/書込みノード

問題: 読取り/書込みノードを再起動すると、ノードまたはその読取り/書込みピアが読取り専用制限モードでスタックすることがあります。

回避策: ノードを再起動する際、ノードの読取り/書込みピア・ノードが一時的に読取り専用制限モードになるのは正常です。ただし、ノードの起動が完了するとすぐに、読取り/書込みピアは数分以内に読取り/書込みモードに戻ります。再起動されたノードは読取り専用制限モードで起動することがありますが、同様に数分以内に読取り/書込みモードに戻ります。ただし、ノードまたはその読取り/書込みピアが読取り専用制限モードのままになっていない場合、REDO送信がスタックしている可能性があります。読取り専用制限モードのままでノードを再起動すると修正できます。

バグ番号: 30589921

親トピック: マルチマスター・クラスタの問題

1.3.4.4 OGGに引き続き必要なアーカイブ・ログのRMANによる自動クリーン・アップ

問題: RMANは、高速リカバリ領域のアーカイブ・ログを自動的に管理します。通常の状況では、Oracle GoldenGateで引き続き必要とされているアーカイブ・ログはRMANによって削除されません。ただし、領域が不足すると、RMANは必要なアーカイブ・ログをクリーン・アップすることがあります。このようなアーカイブ・ログがクリーン・アップされると、現在のノードからノードの読取り/書込みピア・ノードを除いた他のすべてのノードへのレプリケーションが中断されます。Oracle Key Vaultでは、高速リカバリ領域の定期的なクリーン・アップを実行してこの問題を緩和しようとしますが、まれに、高速リカバリ領域が一杯になり、この問題が発生することがあります。

回避策: 高速リカバリ領域での領域不足の原因を特定し、問題を修正します。ディスク領域にタブを保持することで、高速リカバリ領域での領域不足を特定できます。高速リカバリ領域は、/var/lib/oracle/fast_recovery_area/下にあります。

バグ番号: 30558372

親トピック: マルチマスター・クラスタの問題

1.3.4.5 MDNDよりも時間がかかる場合、Oracle Key Vaultでは有効化が終了しないようにする必要がある

問題: 「Maximum Disable Node Duration」時間制限より前にOracle Key Vaultノードを有効または無効にしたが、「Maximum Disable Node Duration」時間制限が失効する前に有効化が終了しない場合、クラスタ内の不一致の原因となるアーカイブ・ログおよび証跡ファイルのクリーン・アップが行われる可能性があります。この場合、有効化プロセスを終了させないでください。

回避策: 有効化を終了するのに「Maximum Disable Node Duration」期間より長くかかる場合、クラスタからノードを削除または強制削除します。

バグ番号: 30533066

親トピック: マルチマスター・クラスタの問題

1.3.4.6 12.2 BP4以前からのアップグレードの場合、クラスタに変換する前に証明書をローテーションする必要がある

問題: Oracle Key Vault 12.2 BP4から18.1までOracle Key Vault 18.2にアップグレードしようとし、アップグレード前に新しい証明書を生成しない場合は、次のエラー・メッセージを受信します。 

Failed to convert server to cluster node, detected use of weak signature algorithms in OKV server credentials. Please perform a certificate rotation operation before converting this server to a cluster node.

回避策: Oracle Key Vault 18.2.へのアップグレードを試行する前に、新しい証明書を生成します。

バグ番号: 30673249

親トピック: マルチマスター・クラスタの問題

1.4 Oracle Key Vaultに関する考慮事項

Oracle Key Vault 18.2の動作の詳細および変更点を次に示します。

親トピック: リリース・ノート

1.4.1 Oracle TDEとOracle Key Vaultの統合

使用しているOracle DatabaseのバージョンおよびTDEの機能によっては、スムーズな運用のためにOracleデータベースにパッチ適用する必要がある場合があります。

MOS-NOTEのドキュメントID 2535751.1を参照して、使用しているデプロイメントにデータベース・パッチが必要かどうかを確認します。

MOS-NOTEには、Oracle Key Vaultをキーストアとして使用するように構成されたOracle Database Transparent Data Encryption (TDE)機能の既知の問題がリストされています。このドキュメントには問題を解決するための修正もリストされており、Oracle Database TDEとOracle Key Vaultをよりスムーズに統合できます。問題は、不具合、簡略化された操作によるユーザーの負荷の軽減、またはTDEとOKVの統合の改善です。このドキュメントは、データベース管理者、およびOracle Key Vaultを使用してTDEマスター・キーを管理する担当のユーザーを対象としています。

親トピック: Oracle Key Vaultに関する考慮事項

1.4.2 レポートがマルチマスター・クラスタの監査レプリケーションの影響を受ける

ホームページのOracle Key Vaultのレポートおよび詳細は、Oracle Key Vault監査レコードから生成されます。監査レプリケーションがオフにされている場合、各ノードにはそのノードで行われた操作のレポートが表示されます。監査レプリケーションがオンにされている場合、各ノードにはクラスタのすべてのノードで行われた操作のレポートが表示されます。

監査レプリケーションをオフにして、Oracle Audit Vault and Database Firewall (AVDF)などのセキュリティ情報およびイベント管理(SIEM)ソリューションを使用して、すべてのノードから監査レコードを収集することをお薦めします。

親トピック: Oracle Key Vaultに関する考慮事項

1.4.3 マルチマスター・クラスタでの更新は単一インスタンスでの更新より遅い

マルチマスター・クラスタの更新ではオブジェクトの存在がチェックされることがあり、クラスタ内のすべてのノードがスキャンされて更新操作が遅くなります。時間はクラスタ内のノード数に比例して増加します。更新は完了までに数分かかることがあります。

TDEマスター暗号化キーの設定およびローテーションが、更新操作の例です。

親トピック: Oracle Key Vaultに関する考慮事項

1.5 サポートされるデータベースのバージョン

次のバージョンのOracle Databaseは、Oracle Key Vault 18.2でサポートされます。

  • 互換性パラメータを11.2に設定したOracle DB 11.2
  • 互換性パラメータを11.2に設定したOracle DB 12.1
  • Oracle DB 12.2
  • Oracle DB 18c
  • Oracle DB 19c

親トピック: リリース・ノート

1.6 リリース18.2.0.0.0に含まれているクリティカル・パッチ更新

Oracle Key Vaultリリース18.2では、Oracle Database 18 (18.8 DB RU)の2019年10月のリリース・アップデートを組み込むために、基盤となっているインフラストラクチャが更新されました。詳細についてはログインしてください。

https://www.oracle.com/security-alerts/cpuoct2019.html

Oracle Key Vaultリリース18.2には、JavaおよびOracle Linux (OL)オペレーティング・システムのセキュリティおよび安定性に関する修正も含まれています。

親トピック: リリース・ノート

1.7 ドキュメントのアクセシビリティについて

Oracleのアクセシビリティについての詳細情報は、Oracle Accessibility ProgramのWeb サイト(http://www.oracle.com/pls/topic/lookup?ctx=acc&id=docacc)を参照してください。

Oracleサポートへのアクセス

サポートをご契約のお客様には、My Oracle Supportを通して電子支援サービスを提供しています。詳細情報はhttp://www.oracle.com/pls/topic/lookup?ctx=acc&id=infoか、聴覚に障害のあるお客様はhttp://www.oracle.com/pls/topic/lookup?ctx=acc&id=trsを参照してください。

親トピック: リリース・ノート

Oracle Key Vaultリリース・ノート, リリース18.2

F26275-01

Copyright © 2013, 2019, Oracle and/or its affiliates. All rights reserved.

このソフトウェアおよび関連ドキュメントの使用と開示は、ライセンス契約の制約条件に従うものとし、知的財産に関する法律により保護されています。ライセンス契約で明示的に許諾されている場合もしくは法律によって認められている場合を除き、形式、手段に関係なく、いかなる部分も使用、複写、複製、翻訳、放送、修正、ライセンス供与、送信、配布、発表、実行、公開または表示することはできません。このソフトウェアのリバース・エンジニアリング、逆アセンブル、逆コンパイルは互換性のために法律によって規定されている場合を除き、禁止されています。

ここに記載された情報は予告なしに変更される場合があります。また、誤りが無いことの保証はいたしかねます。誤りを見つけた場合は、オラクル社までご連絡ください。

このソフトウェアまたは関連ドキュメントを、米国政府機関もしくは米国政府機関に代わってこのソフトウェアまたは関連ドキュメントをライセンスされた者に提供する場合は、次の通知が適用されます。

U.S. GOVERNMENT END USERS: Oracle programs, including any operating system, integrated software, any programs installed on the hardware, and/or documentation, delivered to U.S. Government end users are "commercial computer software" pursuant to the applicable Federal Acquisition Regulation and agency-specific supplemental regulations. As such, use, duplication, disclosure, modification, and adaptation of the programs, including any operating system, integrated software, any programs installed on the hardware, and/or documentation, shall be subject to license terms and license restrictions applicable to the programs. No other rights are granted to the U.S. Government.

このソフトウェアもしくはハードウェアは様々な情報管理アプリケーションでの一般的な使用のために開発されたものです。このソフトウェアもしくはハードウェアは、危険が伴うアプリケーション(人的傷害を発生させる可能性があるアプリケーションを含む)への用途を目的として開発されていません。このソフトウェアもしくはハードウェアを危険が伴うアプリケーションで使用する際、安全に使用するために、適切な安全装置、バックアップ、冗長性(redundancy)、その他の対策を講じることは使用者の責任となります。このソフトウェアもしくはハードウェアを危険が伴うアプリケーションで使用したことに起因して損害が発生しても、オラクル社およびその関連会社は一切の責任を負いかねます。

OracleおよびJavaはOracle Corporationおよびその関連企業の登録商標です。その他の名称は、それぞれの所有者の商標または登録商標です。

Intel、Intel Xeonは、Intel Corporationの商標または登録商標です。すべてのSPARCの商標はライセンスをもとに使用し、SPARC International, Inc.の商標または登録商標です。AMD、Opteron、AMDロゴ、AMD Opteronロゴは、Advanced Micro Devices, Inc.の商標または登録商標です。UNIXはThe Open Groupの登録商標です。

このソフトウェアまたはハードウェア、そしてドキュメントは、第三者のコンテンツ、製品、サービスへのアクセス、あるいはそれらに関する情報を提供することがあります。適用されるお客様とOracle Corporationとの間の契約に別段の定めがある場合を除いて、Oracle Corporationおよびその関連会社は、第三者のコンテンツ、製品、サービスに関して一切の責任を負わず、いかなる保証もいたしません。適用されるお客様とOracle Corporationとの間の契約に定めがある場合を除いて、Oracle Corporationおよびその関連会社は、第三者のコンテンツ、製品、サービスへのアクセスまたは使用によって損失、費用、あるいは損害が発生しても一切の責任を負いかねます。