14 ユーザー・アカウントおよびアクセス権の管理

ユーザー・アカウントおよびアクセス権を管理するには、コマンドラインとAudit Vault Serverコンソールの両方を使用できます。

14.1 Oracle Audit Vault and Database Firewall管理アカウントについて

Oracle Audit Vault and Database Firewall管理アカウントは、ユーザー・アクセスの管理に役立ちます。

管理者がOracle Audit Vault and Database Firewallにログインすると、管理機能にのみアクセスできるのに対し、監査者は監査機能にのみアクセスできます。

Oracle Audit Vault and Database Firewallには、次の2種類の管理ユーザー・アカウントがあります。

  • Audit Vault Serverスーパー管理者:

    • 全システム的な設定を管理します

    • スーパー管理者および管理者のユーザー・アカウントを作成します。

    • すべてのターゲットおよびターゲット・グループにアクセスできます

    • ターゲットまたはターゲット・グループへのアクセス権を管理者に付与します

  • Audit Vault Server管理者: スーパー管理者によってアクセス権を付与された特定のターゲットまたはターゲット・グループにアクセスできます。管理者は全システム的な設定を管理できません。

Oracle Audit Vault and Database Firewallのインストール後に、インストール後の構成ページを使用して、Audit Vault Server用に1つのスーパー管理者アカウントおよび1つのスーパー監査者アカウントのパスワードを作成および指定できます。インストール後に作成されるこのスーパー管理者およびスーパー監査者は、Audit Vault Serverデータベース・ユーザーです。スーパー管理者として少なくとも1人、スーパー監査者として1人のAudit Vault Serverデータベース・ユーザーが存在します。

Audit Vault Serverコンソールは、次の方法を使用して認証されるように構成できます。

それ以降、サーバーに対して、Audit Vault Serverスーパー管理者は他の管理ユーザーを作成でき、スーパー監査者は他の監査ユーザーを作成できます。

この章では、Oracle Audit Vault and Database Firewall管理者ユーザー・インタフェース用のユーザー・アカウントおよびパスワードの管理について説明します。

関連項目:

14.2 ユーザー・アカウントに関するセキュリティ技術導入ガイドと実装

Oracle Audit Vault and Database Firewallは、ユーザー・アカウントのSTIGガイドラインに従います。

Oracle Audit Vault and Database Firewallは、ユーザー・アカウントに関してセキュリティ技術導入ガイド(STIG)および実装のルールに従います。

  • デフォルトのOracle Audit Vault and Database Firewallユーザー・アカウントにはカスタム・パスワードが必要です。

  • ログイン試行の連続失敗回数は3です。

  • ユーザーがログイン試行失敗回数の最大値を超えると、スーパー管理者によって解除されるまでアカウントがロックされます。

  • アカウントのロックアウトはスーパー管理者がユーザー・アカウントをリセットするまで続きます。

関連項目:

STIGコンプライアンスの詳細は、セキュリティ技術導入ガイドを参照してください

14.3 Oracle Audit Vault Serverの管理アカウントの構成

Oracle Audit Vault Serverの管理アカウントを構成する方法を学習します。

14.3.1 Oracle Audit Vault and Database Firewallユーザー・アカウントの保護に関するガイドライン

Oracle Audit Vault and Database Firewallユーザー・アカウントの保護に関するガイドラインを確認します。

ベスト・プラクティスとして、インストール済のOracle Audit Vault and Database Firewallユーザー・アカウントは、バックアップ・アカウントのみとして使用してください。毎日のOracle Audit Vault and Database Firewall操作を担当するユーザー用に、一意のユーザー名およびパスワードの新しいユーザー・アカウントを追加します。

ノート:

Oracle Audit Vault and Database Firewallでは、引用符付きのユーザー名を使用できません。たとえば、"jsmith"は、Oracle Audit Vault and Database Firewallユーザー・アカウントでも、Oracle Audit Vault and Database Firewallで使用するターゲットで作成されるアカウントでも有効なユーザー名ではありません。

14.3.2 ローカル管理ユーザーの作成

管理のためのAudit Vault Server管理アカウントを作成できます。

Audit Vault Serverスーパー管理者は、スーパー管理者と管理者の両方のユーザー・アカウントを作成できます。

  1. Audit Vault Serverコンソールにスーパー管理者としてログインします。
  2. 「設定」タブをクリックします。

    メイン・ページの「管理者の管理」サブタブがデフォルトで選択されています。

  3. 右上隅にある「追加」をクリックします。
  4. 「管理者の追加」ダイアログ・ボックスで、「ローカルAVDFユーザー」を選択します。
  5. 「ローカルAVDFユーザー」では、データベース管理者を作成するための詳細を入力します。
  6. 新規に作成した管理者名を入力します。
  7. 管理タイプを選択します。
  8. 「パスワード」および「パスワードの再入力」に入力します。

    Oracle Audit Vault and Database Firewallでは、"jsmith"などの引用符付きのユーザー名を使用できません。

  9. 「保存」をクリックします。

関連トピック

14.3.3 管理者ユーザー・アカウントのステータスの表示

管理者アカウントのステータスを表示する方法を学習します。

スーパー管理者であれば、「設定」タブをクリックして管理者アカウントのステータスを表示できます。「管理者の管理」サブタブには、すべての管理者およびスーパー管理者のアカウントが、ステータス、パスワード有効期限日、アクセス権のあるターゲットおよびターゲット・グループなどとともにリストされます。

14.3.4 Audit Vault Serverのユーザー・アカウント・タイプの変更

Audit Vault Server管理アカウント・タイプを管理者からスーパー管理者に、またはその反対に変更できます。

管理アカウント・タイプは、管理者からスーパー管理者に、またはその反対に変更できます。

ノート:

ユーザーのアカウント・タイプを管理者からスーパー管理者に変更した場合、ユーザーはすべてのターゲットおよびターゲット・グループにアクセスできます。

  1. Audit Vault Serverにスーパー管理者としてログインします。

  2. 「設定」タブをクリックします。

    「管理者の管理」セクションがデフォルトで表示されます。既存のユーザーと、そのユーザーがアクセスできるターゲットまたはグループが表示されます。

  3. 変更するユーザー・アカウントの名前をクリックします。

  4. 「管理者の変更」ダイアログで、「タイプ」フィールドの編集アイコンをクリックします。

  5. タイプは、「管理者」から「スーパー管理者」に変更できます。タイプを「スーパー管理者」から「管理者」に変更する必要がある場合。

  6. このユーザーの必要に応じて、任意のターゲットやグループへのアクセス権を付与または取り消すこともできます。

  7. 「保存」をクリックします。

14.3.5 ユーザー・アカウントのロック解除

この手順では、ユーザー・アカウントのロック解除方法について説明します。

Oracle Audit Vault and Database Firewall管理者アカウントは、ログイン試行が3回以上失敗するとロックされます。スーパー管理者がユーザー・アカウントをロック解除する必要があります。
  1. Audit Vault Serverコンソールにスーパー管理者としてログインします。
  2. 「設定」タブをクリックします。

    「管理者の管理」サブタブがデフォルトで選択されています。既存のユーザーのリストが表示されます。

  3. ロックを解除するユーザー・アカウントの名前をクリックします。
  4. ダイアログで「ロック解除」をクリックします。

    関連項目:

    ALTER USER
14.3.5.1 スーパー管理者またはスーパー監査者ユーザーのロック解除

次のプロセスは、最後のスーパー管理者または最後のスーパー監査者ユーザーのロックを解除するために使用します。また、コンソールを介して他のユーザーのロックを解除するための代替方法として使用できます。

  1. SSHを使用してAudit Vault Serverにログインし、rootユーザーに切り替えます。

    「SSHを使用したOracle AVDFアプライアンスへのログイン」を参照してください。

  2. dvaccountmgrユーザーに切り替えます。 

    su - dvaccountmgr

  3. ユーザー名とパスワードを指定せずにSQL*Plusを起動します。

    sqlplus /

  4. アカウントがロックされている場合は、次のコマンドを実行してアカウントのロックを解除します:

    alter user <user name> account unlock;

14.3.6 Oracle Audit Vault Server管理者アカウントの削除

この手順を使用してOracle Audit Vault Server管理者アカウントを削除することが必要になる場合があります。

  1. Audit Vault Serverにスーパー管理者としてログインします。
  2. 「設定」タブをクリックします。

    デフォルトでは、「管理者の管理」ページが表示され、既存のユーザーと、そのユーザーがアクセスできるターゲットまたはグループが表示されます。

  3. 削除するユーザーを選択し、「削除」をクリックします。

14.4 ユーザーのsudoアクセスの構成

ユーザーのsudoアクセスの構成について学習します。

14.4.1 sudoアクセスの構成について

sudoアクセスの構成について学習します。

sudoコマンドは、rootユーザーのパスワードを使用してログインすることなしに、信頼できるユーザーがシステムへの管理アクセスを行うことを許可します。

sudoアクセス権を与えられているユーザーの場合、管理コマンドの前にsudoを入力でき、自分のパスワードを入力するように要求されます。認証の完了後、コマンドが許可されているとすると、コマンドはrootユーザーによって実行された場合と同じように処理されます。

14.4.2 ユーザーのsudoアクセスの構成

ユーザーのsudoアクセスの構成について学習します。

ユーザーのsudoアクセスを構成するには、root権限が必要です。

  1. rootユーザーとしてシステムにログインします。

  2. -G supportオプションを指定したuseraddコマンドを使用して、新しいユーザー・アカウントを作成します。これにより、新しいユーザーがsupportグループに追加され、アプライアンスへのSSHアクセス権が付与されます。

    たとえば、ユーザーpsmithの通常のユーザー・アカウントを作成するには、次のように入力します。 

    # useradd -G support psmith

  3. passwdコマンドを使用してユーザーのパスワードを設定します。

    たとえば: 

    # passwd psmith
Changing password for user psmith.
New password: new_password
Retype new password: new_password
passwd: all authentication tokens updated successfully

  4. visudoユーティリティを実行して、/etc/sudoersファイルを編集します。 

    # visudo

    sudoersファイルは、sudoコマンドが適用するポリシーを定義します。

  5. sudoersファイル内で、有効にすることで、wheelグループ内のユーザーにアクセス権限を付与するための行を探します。 

    ## Allows people in group wheel to run all commands
# %wheel        ALL=(ALL)       ALL

  6. %wheelで始まる2番目の行の先頭にあるコメント文字(#)を削除します。

    これにより、構成オプションが有効になります。

  7. 変更を保存して、エディタを終了します。

  8. usermodコマンドを使用して、前に作成したユーザー・アカウントをwheelグループに追加します。

    たとえば:

    usermod -aG wheel psmith

  9. 更新した構成が作成したユーザーに対して有効になっていることをテストするため、sudoを使用してコマンドを実行します。

    1. suコマンドを使用して作成した新しいユーザー・アカウントに切り替えます。 

      # su psmith

    2. groupsコマンドを使用してユーザーがwheelグループに属していることを確認します。 

      $ groups
psmith wheel

    3. sudoコマンドを使用してwhoamiコマンドを実行します。

      これが、このユーザー・アカウントからsudoを使用してコマンドを実行する最初の機会となるため、バナー・メッセージが表示されます。ユーザー・アカウントのパスワードを入力するように要求されます。 

      $ sudo whoami

      次の出力が表示されます。

      We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these three things:
  #1) Respect the privacy of others.
  #2) Think before you type.
  #3) With great power comes great responsibility.

      要求されたら、次のようにパスワードを入力します。

      [sudo] password for psmith: password
root

      出力の最後の行は、whoamiコマンドによって返されるユーザー名です。sudoアクセスが正しく構成されている場合は、この値はrootです。

14.5 ターゲットおよびグループへのユーザーのアクセス権限の管理

ターゲットおよびグループへのユーザーのアクセス権限の管理について学習します。

14.5.1 ユーザーのアクセス権限の管理について

ユーザーのアクセス権限の管理について学習します。

スーパー管理者は、すべてのターゲットおよびターゲット・グループにアクセスでき、特定のターゲットおよびグループへのアクセス権を管理者に付与できます。

ターゲットまたはグループへのアクセス権は、次の2つの方法で制御できます。

  • ターゲットまたはグループを変更して、1人以上のユーザーに対してアクセス権を付与または取り消します。

  • ユーザー・アカウントを変更して、1つ以上のターゲットまたはグループへのアクセス権を付与または取り消します。

14.5.2 ユーザーによるアクセス権限の制御

ユーザーによるアクセス権限の制御について学習します。

  1. Audit Vault Serverにスーパー管理者としてログインします。
  2. 「設定」タブをクリックします。

    「管理者の管理」サブタブをクリックします。既存のユーザーと、そのユーザーがアクセスできるターゲットまたはグループが表示されます。

  3. 変更するユーザー・アカウントの名前をクリックします。

    「管理者の変更」ダイアログが表示されます。

  4. 「ターゲットとターゲット・グループ」セクションで、次の手順を実行します。
  5. 「保存」をクリックします。

14.5.3 ターゲットまたはグループによるアクセス権限の制御

ターゲットまたはグループによってアクセス権限を制御できます。

  1. Audit Vault Serverにスーパー管理者としてログインします。
  2. 「設定」タブをクリックし、「セキュリティ」(デフォルトで選択されています)をクリックします。
  3. 「管理者の管理」サブタブで、ターゲット・アクセス権を変更する管理者の名前を選択します。
    「管理者の変更」ウィンドウが表示されます。
  4. 「タイプ」の編集アイコンをクリックします。リストで適切なタイプを選択します。
  5. 「ターゲットとターゲット・グループ」セクションで、次の手順を実行します。
  6. 「保存」をクリックします。

14.6 Oracle Audit Vault and Database Firewallでのユーザー・パスワードの変更

パスワード変更の管理方法を学習します。

14.6.1 パスワードの要件

Oracle Audit Vault and Database Firewallでは、いくつかのパスワード要件を満たす必要があります。

Oracle Audit Vault and Database Firewallユーザー・アカウントには、パスワード変更ポリシーを適用する必要があります。たとえば、定期的に(120日ごとなど)パスワードを変更することや、簡単に推測されないパスワードを作成することをユーザーに要求します。

Unicode文字を含むパスワードの要件

パスワードにUnicode文字(アクセント記号が付いた英語以外の文字など)が含まれる場合、パスワードの要件は次のとおりです。

  • 8文字以上30文字以下にします。

英語のみ(ASCII)のパスワードの要件

英語のみのASCII印字可能文字を使用する場合、Oracle AVDFのパスワードの要件は次のとおりです。

  • 8文字以上30文字以下にします。

  • 次のそれぞれを、少なくとも1つずつ含めます。

    • 小文字: a-z。

    • 大文字: A-Z。

    • 数値: 0-9。

    • 区切り記号: コンマ(,)、ピリオド(.)、プラス記号(+)、コロン(:)、感嘆符(!)およびアンダースコア(_)

  • 二重引用符(")、バックスペースまたは制御文字は含めません。

また、パスワードに関する推奨事項は次のとおりです。

  • ユーザー名と同じにならないようにします。

  • Oracleの予約語は使用できません。

  • わかりやすいパスワード(welcome、account、database、userなど)は使用しないでください。

  • 連続する文字が含まれないようにします。

14.6.2 Audit Vault Server管理者パスワードの変更

管理者のパスワードを変更する方法を学習します。

管理者は自分のパスワードを変更できます。スーパー管理者は、他の管理者のパスワードを変更することもできます。スーパー管理者が別の管理者のパスワードを変更すると、変更直後にそのパスワードは自動的に期限切れとなります。

14.6.2.1 自分のパスワードの変更

管理者として自分のパスワードを変更する方法を学習します。

  1. Audit Vault Serverに管理者としてログインします。
  2. 右上隅にあるログイン名の右のメニュー・アイコンを選択します。
  3. このメニューから「パスワードの変更」を選択します。
  4. 「パスワードの変更」ウィンドウで、次のフィールドに入力します。
    • 現在のパスワード
    • 新規パスワード
    • 新規パスワードの再入力
  5. 「保存」をクリックします。

関連トピック

14.6.2.2 別の管理者のパスワードの変更

スーパー管理者として別の管理者のパスワードを変更する方法を学習します。

スーパー管理者は、他の管理者のパスワードを変更できます。ただし、パスワードは、スーパー管理者が変更した直後に自動的に期限切れになります。管理者は、管理者の期限切れパスワードの変更のトピックの手順に従う必要があります。

  1. Audit Vault Serverにスーパー管理者としてログインします。
  2. 「設定」タブをクリックし、必要に応じて、左側のナビゲーション・メニューの「セキュリティ」を選択します。
  3. 「管理者の管理」で、パスワードを変更する管理者の名前を選択します。
  4. 「管理者の変更」ウィンドウで、「パスワードの変更」をクリックします。
  5. 「パスワードの変更」ウィンドウで、次のフィールドに入力します。
    • 新規パスワード
    • 新規パスワードの再入力
  6. 「保存」をクリックします。

関連トピック

14.6.2.3 管理者の期限切れパスワードの変更

パスワードは、スーパー管理者がそのパスワードを変更するか、またはパスワードの有効期限が過ぎた場合、期限切れになる可能性があります。

Oracle AVDFリリース20.4以前の場合は、次の手順に従います:

  1. SSHを使用してAudit Vault Serverにログインし、rootユーザーに切り替えます。

    「SSHを使用したOracle AVDFアプライアンスへのログイン」を参照してください。

  2. dvaccountmgrユーザーに切り替えます。 

    su - dvaccountmgr

  3. ユーザー名とパスワードを指定せずにSQL*Plusを起動します。

    sqlplus /

  4. アカウントがロックされている場合は、次のコマンドを実行してアカウントのロックを解除します:

    alter user <user name> account unlock;

  5. 次のコマンドを実行して、パスワードを変更します。

    alter user <user name> identified by <new_password>;

Oracle AVDFリリース20.5以降の場合は、次の手順に従います:

  1. ユーザー名を使用してAVCLIにログインします。
  2. AVCLIでパスワードの入力を求められます。期限切れパスワードを入力します。

    次のメッセージが表示されます。

    パスワードが期限切れです。新規パスワードを入力してください:

  3. 任意の新しいパスワードを入力します。パスワード要件に従ってください。

    次のメッセージが表示されます。

    パスワードを再入力してください:

  4. 新規パスワードを再度入力します。
  5. 次のメッセージが表示された場合は、新しいパスワードでAVCLIに正常にログインしており、アカウントが再びアクティブになっています。
    
Connected to: 
        Oracle Audit Vault Server - Version : 20.x.0.0.0

    ノート:

    ログイン試行が3回以上失敗すると、アカウントはロックされます。アカウントのロックを解除し、前述のステップを再試行する必要があります。

14.7 Oracle Audit Vault and Database FirewallとMicrosoft Active DirectoryまたはOpenLDAPの統合

Microsoft Active DirectoryまたはOpenLDAPを使用して、Oracle Audit Vault and Database Firewallへのアクセス権を制御できます。

14.7.1 Microsoft Active DirectoryまたはOpenLDAPとの統合について

Microsoft Active DirectoryまたはOpenLDAPサーバーを統合して、Audit Vault Serverコンソールに接続するユーザーを認証できます。

ユーザーがAudit Vault Serverコンソールにログインすると、グループのリストからグループを選択するよう要求されます。ユーザーは自分が属していて選択したグループから認可されます。ユーザーが認証されると、そのユーザーが属していて選択したMicrosoft Active DirectoryまたはOpenLDAPグループに基づいてアクセス権が付与されます。

スーパーユーザーは、Oracle Audit Vault Database Firewallのグループにロールを割り当てることができます。たとえば、スーパー管理者、スーパー監査者、管理者、監査者などです。Oracle Audit Vault and Database Firewallリリース20.1以降では、Microsoft Active DirectoryおよびOpenLDAPがサポートされています。

ノート:

  • 他のLDAPサーバーは動作しますが、Oracle Audit Vault and Database Firewallリリース20.1ではテストおよび動作保証されていません。
  • Oracle AVDFでは、Microsoft Active Directoryのデフォルトのローカル・アカウント(管理者など)をサポートしていません。Active Directoryのデフォルトのローカル・アカウントの詳細は、Microsoftのドキュメントを参照してください。
  • Microsoft Active DirectoryおよびOpenLDAPのユーザーおよびグループは、LDAPサーバーの構成のトピックで指定したドメインに属している必要があります。

14.7.2 LDAPサーバーの構成

Microsoft Active DirectoryまたはOpenLDAPを使用してユーザーを認証するようにLDAPサーバーを構成できます。

前提条件: LDAPユーザーは、Oracle AVDFへのアクセス用にプロビジョニングされているMicrosoft Active DirectoryまたはOpenLDAPグループにアクセスできる必要があります。
  1. Microsoft Active DirectoryまたはOpenLDAPに接続するためのSSL/TLS証明書を取得します。これは、Microsoft Active DirectoryまたはOpenLDAPの管理者から入手できます。コマンドcertutil -ca.cert client.crtの使用は、Active DirectoryクライアントのSSL/TLS証明書を生成する一般的な方法です。
  2. Base64エンコーディング形式でSSL/TLS証明書をコピーします。
  3. Audit Vault Serverコンソールを起動します。
  4. スーパー管理者としてコンソールにログインします。
  5. 「設定」タブをクリックします。
  6. メイン・ページで、「LDAP構成」タブ(Oracle AVDFリリース20.8以降では「Active Directory/LDAP構成」タブ)をクリックします。
  7. 追加」ボタンをクリックします。
  8. Microsoft Active DirectoryまたはOpenLDAPサーバーの詳細を入力します。「Active Directory/LDAP構成」ダイアログで、Active Directory (AD)または「LDAP」ラジオ・ボタンを選択します。
  9. LDAPサーバーの新しい Nameを入力します。
  10. AD/LDAPのホスト名 / IPアドレスを入力します。
  11. SSL/TLS接続のポート番号を入力します。
  12. 「Active Directory/LDAPユーザー名」「パスワード」を入力します。

    ユーザーは、AD/LDAPサーバーからすべてのグループを取得できる必要があります。

  13. ドメイン名を入力します。例: foobar.example.com
  14. 最初のステップで取得したAD/LDAPサーバー証明書(SSL/TLS)を、Base64エンコーディング形式で指定します。
  15. 新しいパスワードを証明書を格納するためのウォレット・パスワードとして入力します。このウォレットには、以前LDAP SSL/TLS接続用に指定したSSL/TLS証明書が保存されます。
  16. 「ウォレット・パスワードを再入力してください」フィールドにパスワードを再度入力します。
  17. 「テスト接続」をクリックして、詳細を確認します。発生したエラーを修正し、次のステップに進みます。
  18. 「保存」をクリックします。

    ノート:

    「削除」をクリックして、Microsoft Active DirectoryまたはOpenLDAP構成を削除します。Oracle AVDF 20.4以降、ダイアログが表示され、確認を求められます。

14.7.3 新規ユーザーの作成

Microsoft Active DirectoryまたはOpenLDAP認証用に新規ユーザーを作成します。

  1. Audit Vault Serverコンソールにスーパー管理者またはスーパー監査者としてログインします。
  2. 「設定」タブをクリックします。

    メイン・ページの「管理者の管理」または「監査者の管理」サブタブがデフォルトで選択されています。

  3. 右上隅にある「追加」をクリックします。
  4. 「管理者の追加」(または「監査者の追加」)ダイアログボックスで、Active Directory/LDAPグループを選択します。
  5. 「Active Directory/LDAPグループ」では、「インポート・モード」を選択します。

    Audit Vault Serverで同様に管理者または監査者を作成する前に、OpenLDAPまたはActive DirectoryのユーザーとグループがLDAPサーバーに存在している必要があります。

  6. インポート・モードとして「フェッチ」を選択した場合は、LDAPのユーザー名およびパスワードを指定します。または、識別名を指定して、既存のグループに対応するMicrosoft Active DirectoryまたはOpenLDAPグループをOracle Audit Vault Database Firewallに登録できます。LDAPユーザーには、LDAPサーバーに存在するすべてのグループを表示するための適切なアクセス権限が必要です。

    ノート:

    ユーザー資格証明は格納されません。そのため、「フェッチ」オプションを選択するたびに、資格証明を入力する必要があります。
  7. 「グループ名が次と相似」フィールドで、類似した名前を持つグループから詳細をフェッチするために検索するキーワードを入力します。ダイアログの下部にある「フェッチ」ボタンをクリックします。たとえば、adminキーワードを入力して、グループ名にadmin文字列を含むADグループまたはOpenLDAPグループをフェッチします。

    ノート:

    ユーザーはグループに追加できます。グループは管理者権限または監査者権限を持つことができますが、両方を持つことはできません。たとえば、AdminAndAuditorという名前のグループには、管理者権限を割り当てることができます。しかしながら、同じグループが監査者権限を持つことはできません。両方の権限を追加しようとすると失敗します。ユーザーSpecialUserは、AdminグループとAuditorグループの両方に含めることができます。このユーザーSpecialUserは、管理者としてAdminグループ、監査者としてAuditorグループと接続することを選択できます。
  8. 「ドメイン」を選択します。
  9. ダイアログの下部にある「フェッチ」ボタンをクリックします。「グループ」フィールドと「ユーザー・タイプ」フィールドの値が移入されます。
  10. ドロップダウン・メニューから適切なグループを選択します。
  11. ドロップダウン・メニューから「管理者」「スーパー管理者」「監査者」「スーパー監査者」などのユーザー・タイプを選択します。
  12. インポート・モードとして「手動」を選択した場合は、識別名としてグループ名を入力します。
  13. 「保存」をクリックします。

14.7.4 OpenLDAPまたはMicrosoft Active Directoryユーザーとしてのログイン

OpenLDAPまたはMicrosoft Active Directoryを構成した後、ユーザーはAudit Vault Serverコンソールにログインできます。

  1. Audit Vault Serverコンソールを開きます。
  2. Active Directory/LDAPグループを選択します。
  3. ユーザー名とパスワードを入力します。
    データベース・ユーザーの場合、ユーザー名とパスワードを入力します。Microsoft Active Directoryユーザーの場合は、ユーザー名(sAMAccountName)とパスワードを入力します。ドロップダウン・リストからドメイン名を選択します。

    ノート:

    ドメイン名はユーザー名に付加されます。このため、ユーザー名にドメインが含まれているユーザーを作成した場合に問題が発生する可能性があります。

    たとえば、ユーザーuser@example.comとしてログインして、ドメインcompany.example.comを選択すると、Audit Vault Serverはユーザーuser@example.com@company.example.comを探そうとするようになります。

    ノート:

    ユーザーをMicrosoft Active DirectoryまたはOpenLDAPグループに追加し、そのグループをAudit Vault Serverに登録する必要があります。「新規ユーザーの作成」を参照してください。
  4. 次のページで、ドロップダウンから「グループ」を選択します。
  5. 「保存」をクリックしてログインし、認可を完了します。

ノート:

Microsoft Active DirectoryおよびOpenLDAPユーザーは、Audit Vault Serverコンソールを介してのみAudit Vault Serverに接続できます。AVCLIまたはSQL*Plusを介してAudit Vaultサーバーに接続することはできません。

14.8 Audit Vault Serverコンソール・ユーザーのシングル・サインオン(SSO)の構成

Oracle AVDF 20.11以降では、Audit Vault Serverコンソールのユーザーに対してSSOを構成できます。

14.8.1 Audit Vault Serverコンソール・ユーザーのSSOについて

Audit Vault Serverは、SAML 2.0統合でアイデンティティ・プロバイダ(IdP)と統合できます。そのIdPによって、シングル・サインオン(SSO)および多要素認証(MFA)のサポートを提供できます。Audit Vault Serverでは、SSOユーザー名以外のSSOユーザー資格証明は格納されません。

通常の管理者および監査者、読取り専用監査者、スーパー管理者およびスーパー監査者など、すべてのタイプのAudit Vault Serverコンソール・ユーザーに対してSSOを構成できます。

SSO構成を管理するには、ローカルAVDFユーザーとして構成されている、super administratorとしてAudit Vault Serverコンソールにログインする必要があります。SSOセッションでSSO構成を作成または変更することはできません。

どのような場合でも、ローカルAVDFユーザーとして構成されている最後のスーパー管理者およびスーパー監査者は削除できません。

14.8.2 SSO構成の追加

シングル・サインオン(SSO)を構成するには、アイデンティティ・プロバイダ(IdP)情報をAudit Vault Serverに追加します。

ノート:

複数のSSO構成を追加できますが、一度に有効にできる構成は1つのみです。
  1. ローカルAVDFユーザーとして構成されているスーパー管理者として、Audit Vault Serverコンソールにログインします。
  2. 「設定」タブをクリックします。
  3. 「シングル・サインオン(SSO)」サブタブをクリックします。

  4. 次の情報を入力します。

    フィールド 説明
    アイデンティティ・プロバイダ名 Audit Vault ServerでのIdPを特定する名前。
    プロバイダ・タイプ

    次のような、アイデンティティ・プロバイダ・タイプ。

    • Microsoft Active Directory Federation Service
    • Microsoft Entra ID (MS-EI)
    • Oracle Access Manager(OAM)

      ノート:

      Oracle AVDF 20.11のみ: OAMは有効なアイデンティティ・プロバイダですが、それを選択するオプションはありません。かわりに、他の任意のアイデンティティ・プロバイダを選択しますが、次のフィールドにOAMの情報を入力します。

    ノート:

    Audit Vault ServerにSSO構成を追加した後は、プロバイダ・タイプを変更できません。プロバイダ・タイプを変更するには、新しいプロバイダ・タイプを指定した新しいSSO構成を追加します。
    アイデンティティ・プロバイダ・ドメイン

    IdPのドメイン名。

    例: login.example.com

    プロトコル プロトコルは、常にSAML 2.0です。
    SSOサインインURL

    IdPへのサインインに使用するURL。

    例: https://login.example.com/177306dd-a070-419a-b50f-6f71fc63b993/saml2

    SSOサインアウトURL

    IdPからサインアウトするために使用するURL。一部のプロバイダでは、これはサインインURLと同じである場合があります。

    例: https://login.example.com/177306dd-a070-419a-b50f-6f71fc63b993/saml2

    アイデンティティ・プロバイダの発行者

    IdPのURI。

    例: https://sts.example.net/177306dd-a070-419a-b50f-6f71fc63b993

    アイデンティティ・プロバイダの署名証明書 base-64形式の、IdPからの証明書。証明書をコピーして貼り付けるか、ファイルを選択してここにアップロードします。
  5. 「保存」をクリックします。
  6. Microsoft Azure Active Directoryを使用する場合は、Microsoft Azure Active Directoryの構成時に、「識別子(エンティティID)」「応答URL (アサーション コンシューマ サービスURL)」および「ログアウトURL」の各フィールドにhttps://<AVDF_IP>/ords/apex_authentication.saml_callbackを入力する必要があります。
  7. SSO構成の使用を開始するには、それを有効にする必要があります。「SSO構成の有効化」を参照してください。

14.8.3 アイデンティティ・プロバイダへのAudit Vault Server SSO証明書のコピー

一部のアイデンティティ・プロバイダではAudit Vault Serverのシングル・サインオン(SSO)証明書が必要であり、Audit Vault ServerからSSO証明書をコピーする必要がある場合があります。

  1. ローカルAVDFユーザーとして構成されているスーパー管理者として、Audit Vault Serverコンソールにログインします。
  2. 「設定」タブをクリックします。
  3. 「シングル・サインオン(SSO)」サブタブをクリックします。

  4. 「証明書のコピー」をクリックします。

    SSO証明書がクリップボードにコピーされます。

14.8.4 SSO構成の有効化

シングル・サインオン(SSO)構成の使用を開始するには、Audit Vault Serverでそれを有効にする必要があります。

ノート:

複数のSSO構成を追加できますが、一度に有効にできる構成は1つのみです。

前提条件

  • Audit Vault ServerでSSO構成が定義されていない場合は、それを追加します。「SSO構成の追加」を参照してください。
  • 別のSSO構成がすでに有効になっている場合は、Audit Vault Serverでそれを無効にしてから、別のSSO構成を有効にする必要があります。「SSO構成の無効化」を参照してください。

手順

  1. ローカルAVDFユーザーとして構成されているスーパー管理者として、Audit Vault Serverコンソールにログインします。
  2. 「設定」タブをクリックします。
  3. 「シングル・サインオン(SSO)」サブタブをクリックします。
  4. 有効にするSSO構成を選択します。

  5. 「有効化」をクリックします。

14.8.5 SSOアイデンティティ・プロバイダとしてOracle Access Managerを有効にした後のORDSの構成

SSOアイデンティティ・プロバイダとしてOracle Access Manager (OAM)を有効にした後は、Oracle Rest Data Services (ORDS)を構成する必要があります。

前提条件

  • SSO構成を有効にします。「SSO構成の有効化」を参照してください。
  • 次の内容を書き留めてください。
    • Audit Vault Serverの完全修飾ホスト名(FQHN)
    • OAMサーバーのFQHN
    • LDAPサーバーのFQHN

手順

  1. SSHを使用してAudit Vault Serverにログインし、rootユーザーに切り替えます。

    「SSHを使用したOracle AVDFアプライアンスへのログイン」を参照してください。

  2. oracleユーザーに切り替えます。

    su - oracle
  3. 次のようにJAVA_PATH変数を設定します。
    export JAVA_PATH=/usr/java/jdk-11/bin
  4. 次のようにPATH変数を設定します。
    export PATH=$JAVA_PATH:/var/lib/oracle/ords/bin:$PATH
  5. 次の構成を設定します。
    ords --config /var/lib/oracle/ords_conf config set --global security.forceHTTPS true
  6. 次のどちらかによって、次の構成を設定します。

    • 必要に応じて、適切なFQHNを入力してください。

      ords --config /var/lib/oracle/ords_conf config set --global security.externalSessionTrustedOrigins “https://<FQHN of AV server>:443, http://<FQHN of OAM server>:<port>, https://<FQHN LDAP server configured on OAM server>:<port>, null”

    • 前述のパラメータはオプションであるため、かわりに次を使用できます。

      ords --config /var/lib/oracle/ords_conf config set --global security.externalSessionTrustedOrigins “null”
  7. rootに戻ります。
  8. ORDSを再起動します。
    systemctl restart ords
  9. 新しいOAMユーザーを作成し、そのOAMユーザーとしてAudit Vault Serverコンソールにログインすることで、接続をテストします。

    詳細は、「新規SSOユーザーの作成」および「SSOユーザーとしてのAudit Vault Serverコンソールへのログイン」を参照してください。

  10. 高可用性で構成されている場合は、スタンバイAudit Vault Serverで前述のステップを繰り返します。

14.8.6 新規SSOユーザーの作成

シングル・サインオン(SSO)認証用の新規ユーザーを作成するには、次のステップに従います。

前提条件

アイデンティティ・プロバイダでユーザーに対してSSOが有効になっていることを確認します。

手順

  1. super administratorとしてAudit Vault Serverコンソールにログインします。
  2. 「設定」タブをクリックします。
  3. 「管理者の管理」サブタブで、「追加」をクリックします。
  4. ダイアログ・ボックスで、SAML SSOを選択します。

  5. SSOユーザー名を入力します。

    使用できる文字としては、大文字と小文字、数字および記号(@.-_!^~+%)があります。SSOユーザー名の合計長は、127文字以内である必要があります。

    ノート:

    AVDFでは、大文字と小文字を使用できますが、ユーザー名は大文字のみで格納されます。アイデンティティ・プロバイダでは、ユーザー名の、大文字と小文字の区別なしでの比較が実行されます。
  6. 管理者タイプとして「管理者」または「スーパー管理者」を選択します。
  7. 「保存」をクリックします。

14.8.7 SSOユーザーとしてのAudit Vault Serverコンソールへのログイン

Audit Vault Serverコンソールにシングル・サインオン(SSO)ユーザーとしてログインすると、有効になっているアイデンティティ・プロバイダ(IdP)のSSOログイン・ページにリダイレクトされます。

  1. Audit Vault Serverコンソールのログイン・ページで、「シングル・サインオン」を選択します。
  2. 「ログイン」をクリックします。

  3. SSOログイン・ページでSSOユーザー名とパスワードを入力します。

    ノート:

    ログアウトし、セッションの最後にブラウザを閉じます。そうしないと、ブラウザで、SSOユーザーとしてログインしたままになり、Audit Vault Serverへのアクセスが許可されます。

14.8.8 SSOユーザーの変更

既存のシングル・サインオン(SSO)ユーザーの管理者タイプを変更できます。

  1. super administratorとしてAudit Vault Serverコンソールにログインします。
  2. 「設定」タブをクリックします。
  3. 「管理者の管理」サブタブで、変更するユーザーをクリックします。
  4. 「タイプ」フィールドの横にある「変更」アイコンをクリックします。
  5. 新しい管理者タイプを選択します。
  6. 「保存」をクリックします。

14.8.9 SSO構成の無効化

変更、削除または別のSSO構成への切替えを実行する必要がある場合は、シングル・サインオン(SSO)構成を無効にする必要があることがあります。

  1. ローカルAVDFユーザーとして構成されているスーパー管理者として、Audit Vault Serverコンソールにログインします。
  2. 「設定」タブをクリックします。
  3. 「シングル・サインオン(SSO)」サブタブをクリックします。
  4. 無効にするSSO構成を選択します。

  5. 「無効」をクリックします。

    次のメッセージが表示されます。

    このアイデンティティ・プロバイダの無効化を続行しますか?

  6. 「OK」をクリックして構成を無効にします。

14.8.10 SSOアイデンティティ・プロバイダとしてOracle Access Managerを無効にした後のORDSの構成

SSOアイデンティティ・プロバイダとしてOracle Access Manager (OAM)を無効にした後も、Oracle Rest Data Services (ORDS)を構成する必要があります。

前提条件

手順

  1. SSHを使用してAudit Vault Serverにログインし、rootユーザーに切り替えます。

    「SSHを使用したOracle AVDFアプライアンスへのログイン」を参照してください。

  2. oracleユーザーに切り替えます。

    su - oracle
  3. 次のようにJAVA_PATH変数を設定します。
    export JAVA_PATH=/usr/java/jdk-11/bin
  4. 次のようにPATH変数を設定します。
    export PATH=$JAVA_PATH:/var/lib/oracle/ords/bin:$PATH
  5. 次のコマンドを実行します。
    ords --config /var/lib/oracle/ords_conf config delete --global security.forceHTTPS true
  6. 次のコマンドを実行します。
    ords --config /var/lib/oracle/ords_conf config delete --global security.externalSessionTrustedOrigins true
  7. rootに戻ります。
  8. ORDSを再起動します。
    systemctl restart ords
  9. 高可用性で構成されている場合は、オプションで、スタンバイAudit Vault Serverで前述のステップを繰り返します。

14.8.11 SSO構成の変更

Audit Vault Serverでシングル・サインオン(SSO)構成が無効になっている場合は、その構成を変更できます。

ノート:

Audit Vault ServerにSSO構成を追加した後は、プロバイダ・タイプを変更できません。プロバイダ・タイプを変更するには、新しいプロバイダ・タイプを指定した新しいSSO構成を追加します。

前提条件

Audit Vault ServerでSSO構成が現在有効になっている場合は、その構成を無効にします。「SSO構成の無効化」を参照してください。

手順

  1. ローカルAVDFユーザーとして構成されているスーパー管理者として、Audit Vault Serverコンソールにログインします。
  2. 「設定」タブをクリックします。
  3. 「シングル・サインオン(SSO)」サブタブをクリックします。

  4. 次の情報を更新します。

    フィールド 説明
    アイデンティティ・プロバイダ名 Audit Vault ServerでのIdPを特定する名前。
    プロバイダ・タイプ

    次のような、アイデンティティ・プロバイダ・タイプ。

    • Microsoft Active Directory Federation Service
    • Microsoft Entra ID (MS-EI)
    • Oracle Access Manager(OAM)

      ノート:

      Oracle AVDF 20.11のみ: OAMは有効なアイデンティティ・プロバイダですが、それを選択するオプションはありません。かわりに、他の任意のアイデンティティ・プロバイダを選択しますが、次のフィールドにOAMの情報を入力します。

    ノート:

    Audit Vault ServerにSSO構成を追加した後は、プロバイダ・タイプを変更できません。プロバイダ・タイプを変更するには、新しいプロバイダ・タイプを指定した新しいSSO構成を追加します。
    アイデンティティ・プロバイダ・ドメイン

    IdPのドメイン名。

    例: login.example.com

    プロトコル プロトコルは、常にSAML 2.0です。
    SSOサインインURL

    IdPへのサインインに使用するURL。

    例: https://login.example.com/177306dd-a070-419a-b50f-6f71fc63b993/saml2

    SSOサインアウトURL

    IdPからサインアウトするために使用するURL。一部のプロバイダでは、これはサインインURLと同じである場合があります。

    例: https://login.example.com/177306dd-a070-419a-b50f-6f71fc63b993/saml2

    アイデンティティ・プロバイダの発行者

    IdPのURI。

    例: https://sts.example.net/177306dd-a070-419a-b50f-6f71fc63b993

    アイデンティティ・プロバイダの署名証明書 base-64形式の、IdPからの証明書。証明書をコピーして貼り付けるか、ファイルを選択してここにアップロードします。
  5. 「保存」をクリックします。

14.8.12 SSO構成の削除

Audit Vault Serverでシングル・サインオン(SSO)構成が無効になっている場合は、その構成を削除できます。

前提条件

Audit Vault ServerでSSO構成が現在有効になっている場合は、その構成を無効にします。「SSO構成の無効化」を参照してください。

手順

  1. ローカルAVDFユーザーとして構成されているスーパー管理者として、Audit Vault Serverコンソールにログインします。
  2. 「設定」タブをクリックします。
  3. 「シングル・サインオン(SSO)」サブタブをクリックします。
  4. 削除するSSO構成を選択します。

  5. 「削除」をクリックします。

    SSO構成を削除すると、ログアウト時に、既存のセッションで次のメッセージが表示されます。

    パラメータの値が無効です: SAML_SIGN_IN_URL

14.9 AVSYSユーザーのロック解除およびロック

Oracle Audit Vault and Database Firewall (Oracle AVDF)をインストールまたは管理するときには、AVSYSユーザーのロックを解除して再度ロックする必要がある場合があります。

14.9.1 AVSYSユーザーのロック解除

インストールまたは管理のタスクを実施するには、次の手順を使用してAVSYSユーザーのロックを一時的に解除します。

前提条件

SSHを使用してAudit Vault Serverにログインし、rootユーザーに切り替えます。

「SSHを使用したOracle AVDFアプライアンスへのログイン」を参照してください。

手順

  1. dvaccountmgrユーザーに切り替えます。 

    su - dvaccountmgr

  2. ユーザー名とパスワードを指定せずにSQL*Plusを起動します。

    sqlplus /

  3. 次のコマンドを実行してavsysのロックを解除します: 

    alter user avsys identified by <password> account unlock;

  4. SQL*Plusを終了します。

    exit

14.9.2 AVSYSユーザーのロック

インストールまたは管理のタスクを実施するためにロックを解除した後は、次の手順を使用してAVSYSユーザーをロックします。

前提条件

SSHを使用してAudit Vault Serverにログインし、rootユーザーに切り替えます。

「SSHを使用したOracle AVDFアプライアンスへのログイン」を参照してください。

手順

  1. dvaccountmgrユーザーに切り替えます。 

    su - dvaccountmgr

  2. ユーザー名とパスワードを指定せずにSQL*Plusを起動します。

    sqlplus /

  3. 次のコマンドを実行してavsysをロックします: 

    alter user avsys account lock;

  4. SQL*Plusを終了します。

    exit

14.10 AGENTUSR#アカウントとAVSRCUSR#アカウントのパスワードの更新

AGENTUSR#またはAVSRCUSR#データベース・アカウントのパスワードの更新はお薦めしませんが、まれにそれが必要になる場合があります。

AGENTUSR#パスワードを更新するには

  1. パスワードを更新する必要があるAudit Vault Agentを非アクティブ化します。「Audit Vault Agentの非アクティブ化と削除」を参照してください。
  2. 非アクティブ化されているすべてのAudit Vault Agentをアクティブ化します。「Audit Vault Agentのアクティブ化および起動」を参照してください。

    必ず、Audit Vault Serverコンソールに表示される新しいアクティブ化キーを使用して、Audit Vault Agentを再デプロイしてください。

AVSRCUSR#パスワードを更新するには

  1. すべての監査証跡を停止します。「Oracle Audit Vault Serverでの監査証跡の停止、開始および自動起動」を参照してください。

  2. avsysユーザーのロックを解除します。

    AVSYSユーザーのロック解除を参照してください。

    ノート:

    このタスクが完了したら、必ずavsysアカウントを再ロックしてください。
  3. パスワードを更新する必要があるすべてのアカウントについて、次を実行します。
    alter user <user_name> identified by <password>;

  4. avsysユーザーをロックします。

    AVSYSユーザーのロックを参照してください。

  5. すべての監査証跡を開始します。「Oracle Audit Vault Serverでの監査証跡の停止、開始および自動起動」を参照してください

14.11 AVREPORTUSERパスワードのローテーション

Oracle AVDF 20.13以降、AVREPORTUSERユーザーのパスワードは、通常の状況では60日ごとに自動的にローテーションされます。具体的には、AVREPORTUSERユーザーのパスワードは90日後に失効しますが、有効期限まで30日未満の場合、パスワードを自動的にローテーションする日次チェックがあります。つまり、パスワードは60日ごとに自動的にローテーションされます。ただし、技術的な問題が繰り返し発生し、60日から90日までの任意の時点でパスワードを自動的にローテーションできない場合は、次のステップを使用してパスワードを手動でローテーションできます。

  1. SSHを使用してAudit Vault Serverにログインし、rootユーザーに切り替えます。

    「SSHを使用したOracle AVDFアプライアンスへのログイン」を参照してください。

  2. 次のコマンドを実行します。
    /usr/bin/python3/usr/local/dbfw/lib/python/avs/scripts/update_avreportuser_user_password.py –FORCE
  3. AVREPORTUSERユーザーのパスワードを強制的にローテーションします。
    –FORCE

  1. SSHを使用してAudit Vault Serverにログインし、rootユーザーに切り替えます。

    「SSHを使用したOracle AVDFアプライアンスへのログイン」を参照してください。

  2. avsysおよびavreportuserアカウントをロック解除します。

    1. dvaccountmgrユーザーに切り替えます。 

      su - dvaccountmgr

    2. ユーザー名とパスワードを指定せずにSQL*Plusを起動します。

      sqlplus /

    3. 次のコマンドを実行してavsysおよびavreportuserをロック解除し、パスワードを変更します。 

      alter user avsys identified by <avsys_password> account unlock;
alter user avreportuser identified by <avreportuser_new_password> account unlock;

    4. SQL*Plusを終了します。

      exit

    ノート:

    このタスクが完了したら、必ずavsysおよびavreportuserアカウントを再ロックしてください。

  3. oracleユーザーに切り替えます。

    su - oracle
  4. avreportuserアカウントの新しいパスワードを指定して、次のコマンドを実行します。
    /var/lib/oracle/dbfw/bin/avca create_credential -wrl $ORACLE_HOME/network/admin/avwallet -dbalias AV_AUDITOR_USER
    1. プロンプトに従って、source user nameavreportuserと入力します。
    2. 新しいavreportuserパスワードの<avreportuser_new_password>を2回指定します。
  5. SQL*Plusを使用して、既存のデータベース・リンクavrptusr_link.dbfwdboracleユーザーとして削除します。
    sqlplus avsys/<avsys_password>
drop database link avrptusr_link.dbfwdb;
exit
  6. avrptusr_link.dbfwdbデータベース・リンクをoracleユーザーとして再作成します。
    /var/lib/oracle/dbfw/bin/avca create_report_user_dblink

  7. avsysユーザーをロックします。

    AVSYSユーザーのロックを参照してください。

  8. SSHを使用してAudit Vault Serverにログインし、rootユーザーに切り替えます。

    「SSHを使用したOracle AVDFアプライアンスへのログイン」を参照してください。

  9. oracleユーザーに切り替えます。

    su - oracle
  10. 次のコマンドを実行します。
    /usr/local/dbfw/bin/javafwk restart

14.12 ORDS_PUBLIC_USERユーザー・パスワードのローテーション

Oracle AVDF 20.13以降、ORDS_PUBLIC_USERユーザーのパスワードは、通常の状況では60日ごとに自動的にローテーションされます。具体的には、ORDS_PUBLIC_USERユーザーのパスワードは90日後に失効しますが、有効期限まで30日未満の場合、パスワードを自動的にローテーションする日次チェックがあります。つまり、パスワードは60日ごとに自動的にローテーションされます。ただし、技術的な問題が繰り返し発生し、60日から90日までの任意の時点でパスワードを自動的にローテーションできない場合は、次のステップを使用してパスワードを手動でローテーションできます。

  1. SSHを使用してAudit Vault Serverにログインし、rootユーザーに切り替えます。

    「SSHを使用したOracle AVDFアプライアンスへのログイン」を参照してください。

  2. 次のコマンドを実行します。
    /usr/bin/python3/usr/local/dbfw/lib/python/avs/scripts/update_ords_public_user_user_password.py
  3. ORDS_PUBLIC_USERユーザーのパスワードを強制的にローテーションします。
    –FORCE
  1. ORDS_PUBLIC_USERユーザーをロック解除します。

    1. SSHを使用してAudit Vault Serverにログインし、rootユーザーに切り替えます。

      「SSHを使用したOracle AVDFアプライアンスへのログイン」を参照してください。

    2. dvaccountmgrユーザーに切り替えます。 

      su - dvaccountmgr

    3. ユーザー名とパスワードを指定せずにSQL*Plusを起動します。

      sqlplus /

    4. 次のコマンドを実行してORDS_PUBLIC_USERのロックを解除します: 

      alter user ORDS_PUBLIC_USER identified by new_password account unlock;

    5. SQL*Plusを終了します。

      exit
  2. ウォレット・ファイル内のパスワードを更新します。

    1. rootユーザーに切り替えます。

      su - root

      ノート:

      OCIマーケットプレイス・イメージを使用している場合は、sudo su -コマンドを使用します。

    2. oracleユーザーに切り替えます。

      su - oracle
    3. JAVA_PATHおよびPATH変数を設定します。
       JAVA_PATH=/usr/java/jdk-11/bin
export PATH=/var/lib/oracle/ords/bin:$PATH
export PATH=$JAVA_PATH:$PATH
    4. ウォレット・ファイルを開き、プロンプトが表示されたらパスワードを更新します。
      ords --config /var/lib/oracle/ords_conf config secret db.password
  3. ORDSを再起動します

    1. rootユーザーに切り替えます。

      su - root

      ノート:

      OCIマーケットプレイス・イメージを使用している場合は、sudo su -コマンドを使用します。
    2. 次のコマンドを実行します。
      systemctl stop ords
    3. 次のコマンドを実行します。
      systemctl start ords
  1. ORDS_PUBLIC_USERユーザーをロック解除します。

    1. SSHを使用してAudit Vault Serverにログインし、rootユーザーに切り替えます。

      「SSHを使用したOracle AVDFアプライアンスへのログイン」を参照してください。

    2. dvaccountmgrユーザーに切り替えます。 

      su - dvaccountmgr

    3. ユーザー名とパスワードを指定せずにSQL*Plusを起動します。

      sqlplus /

    4. 次のコマンドを実行してORDS_PUBLIC_USERのロックを解除します: 

      alter user ORDS_PUBLIC_USER identified by new_password account unlock;

    5. SQL*Plusを終了します。

      exit
  2. apex.xmlファイルを新しいORDS_PUBLIC_USERパスワードで更新します。
    1. apex.xmlファイルがあるディレクトリに移動します。
      cd var/lib/oracle/ords/conf/ords/conf
    2. 編集のためにapex.xmlファイルを開きます。
      vi apex.xml
    3. パスワードを更新します。パスワードの前に必ず!を入れてください。
      <entry key="db.password">!new_password</entry>
    4. 変更を保存して編集を終了します。
      :wq!
  3. ORDSを再起動します

    1. rootユーザーに切り替えます。

      su - root

      ノート:

      OCIマーケットプレイス・イメージを使用している場合は、sudo su -コマンドを使用します。
    2. 次のコマンドを実行します。
      systemctl stop ords
    3. 次のコマンドを実行します。
      systemctl start ords