1. Cloud Control管理者ガイド
  2. DBSNMPパスワード管理の自動化

G DBSNMPパスワード管理の自動化

データベース・インスタンスを検出したユーザー(モニタリングのみ)のパスワード管理を自動化するには、Enterprise Manager Cloud Controlコンソールでデータベース・モニタリング・ユーザーのパスワードの変更ジョブ・タイプを使用します。通常、これはDBSNMPユーザーです。

Oracleデータベースのインストール時に、DBSNMPユーザーに初期設定のプロビジョニングが行われます。この設定は、主にEnterprise Manager Cloud Controlからそのデータベースをモニタリングするために使用されます。DBSNMPのユーザー名とパスワードは、検出時およびEnterprise Managerエージェントからのメトリック収集の両方で使用されます。DBSNMPは、Enterprise Managerコンソールのデータベース・ホーム・ページに表示されるメトリックを収集する際にも使用されます。

パスワードのローテーションはすべてのユーザーの通常のセキュリティ・ポリシーの一部であり、DBSNMPユーザーにも適用されます。これは数百または数千のデータベースを扱う場合に負担となります。通常、このタスクでは、このデータベース・ユーザーのパスワードを変更し、このパスワードを使用してデータベースのモニタリングおよび管理を行うすべてのEnterprise Manager構成を更新します。Enterprise Managerでは、DBSNMP、またはEnterprise Manager内のその他の専用データベース・モニタリング・ユーザーに対するこのパスワード変更操作をジョブ・システムで実行できるようにすることによって、このタスクを自動化できます。

データベース・モニタリング・ユーザーのパスワードの変更ジョブ・タイプを使用すると、Oracle Databaseおよびクラスタ・データベースのインスタンスにジョブをスケジュールできます。ジョブが実行されると、モニタリング・ユーザー(Enterprise Managerでデータベース・インスタンスの検出に使用されるユーザー(通常はDBSNMP))のパスワードが更新されます。新しいパスワードは、ユーザーが指定するか、Enterprise Managerで自動生成できます。データベース・モニタリング・ユーザーのパスワードの変更ジョブ・タイプを使用すると、Oracle Databaseおよびクラスタ・データベースのインスタンスにジョブをスケジュールできます。ジョブが実行されると、モニタリング・ユーザー(Enterprise Managerでデータベース・インスタンスの検出に使用されるユーザー(通常はDBSNMP))のパスワードが更新されます。新しいパスワードは、ユーザーが指定するか、Enterprise Managerで自動生成できます。

ユーザー定義のパスワードのオプションは、このジョブを定期的に手動で実行しても以降のジョブ実行では実際にはパスワードが変更されないため、通常、一度だけスケジュールされるジョブで意味を持ちます。Enterprise Managerでランダムなパスワードを自動生成するほうが、セキュリティの観点で効果があります。

重要: パスワード変更ジョブは、NORMALロールで構成されているDBSNMP (またはその他のモニタリング・ユーザー)に対して使用し、このユーザーとして実際のデータベースにアクセスを試みる製品/ユーザーがEnterprise Managerのみである場合に使用してください。Enterprise Managerで生成されたパスワードにパスワードが変更されると、この自動生成されたパスワードは、Enterprise Managerとそのコンポーネント(エージェントなど)のみに認識され、それ以外のユーザーは認識しなくなります。パスワード変更ジョブでは、SYSDBAユーザーまたはSYSOPERユーザーのパスワードの更新は許可されません。このジョブでは、Enterprise Managerリポジトリ・モニタリング・ユーザーまたはDataGuardスタンバイ・インスタンスのパスワードの更新もサポートされていません。また、グローバルに範囲指定された名前付き資格証明がモニタリング・ユーザーに定義されている場合、それらは更新されません。

ノート:

このジョブを実行するEnterprise Managerユーザーは、これらのデータベース・ターゲットを最初に検出したユーザーであるか、データベース/クラスタで少なくとも次のEnterprise Managerターゲット権限を持っている必要があります。
  • CONFIGURE_TARGET
  • CONNECT_TARGET
  • BLACKOUT_TARGET
  • EDIT_CREDENTIAL (モニタリングと保存済の資格証明)。この権限は、ジョブがターゲットをブラックアウトして、ターゲットとEnterprise Managerの両方で資格証明/モニタリング構成を更新し、Enterprise Managerでこのデータベース・ユーザーの名前付き資格証明を更新するために必要となります。

ジョブの構成とスケジュール

  1. 「エンタープライズ」メニューから「ジョブ」「アクティビティ」を選択します。「アクティビティ」ページで、「ジョブの作成」をクリックします。ジョブ・タイプの選択ダイアログが表示されます。


    DBNSMPパスワード変更ジョブ。

    「データベース・モニタリング・ユーザーのパスワードの変更」ジョブ・タイプを選択して、「選択」をクリックします。

  2. 必要な属性(ジョブ名、説明など)を指定し、ジョブをスケジュール/実行するターゲットのリストを選択して、ジョブを定義します。

    ノート:

    ターゲットのリストを選択するかわりに、動的グループを作成してそのグループを選択することもできます。動的グループを選択すると、そのグループに存在するOracle Databaseタイプおよびクラスタ・データベース・タイプのすべてのインスタンスで、ジョブの実行時にモニタリング・ユーザーのパスワードが更新されます。

    多数のターゲットを選択する場合は、それらのジョブがすべてパラレルで実行されないように、環境に適した数(3など)を指定することをお薦めします。多数のジョブをパラレルで実行すると、ジョブ・システムが過負荷になるだけでなく、ターゲットも同時にブラックアウトされます。


    「ジョブの作成」の「一般」タブ

  3. Enterprise Managerでパスワードを自動生成しない場合は、次のように「新規パスワード」を指定します。
    ジョブ・パラメータの作成ページ

    「新規パスワードの自動生成」には「いいえ」を設定する必要があります。新しいパスワードを入力します。新規パスワードと確認が一致しない場合は、インライン・エラー・メッセージが表示され、ジョブを発行できません。


    新規パスワードの自動生成

    前述のように、「パラメータ」タブでパラメータを指定しない場合は、新しいパスワードが生成されます。自動生成されたパスワードは、Enterprise Managerでのみ認識および管理されます。

  4. このジョブのスケジュールを定義します。通常は、データベースに定義されているパスワード・プロファイルに従って、モニタリング・ユーザーのパスワードの変更が必要になるまでの間隔です。


    ジョブのスケジュールの設定

    「送信」をクリックします。

ジョブ実行の出力の表示(ターゲットごとに実行)

次に示すように「ジョブ・アクティビティ」表でジョブ名をクリックすると、パスワード変更ジョブのステータス/出力を表示できます。


ジョブ実行の出力