14 ユーザー・アカウントおよびアクセス権の管理
ユーザー・アカウントおよびアクセス権を管理するには、コマンドラインとAudit Vault Serverコンソールの両方を使用できます。
14.1 Oracle Audit Vault and Database Firewall管理アカウントについて
Oracle Audit Vault and Database Firewall管理アカウントは、ユーザー・アクセスの管理に役立ちます。
管理者がOracle Audit Vault and Database Firewallにログインすると、管理機能にのみアクセスできるのに対し、監査者は監査機能にのみアクセスできます。
Oracle Audit Vault and Database Firewallには、3つのタイプの管理ユーザー・アカウントがあります。
-
Audit Vault Serverスーパー管理者:
-
全システム的な設定を管理します
-
スーパー管理者および管理者のユーザー・アカウントを作成します。
-
すべてのターゲットおよびターゲット・グループにアクセスできます
-
ターゲットまたはターゲット・グループへのアクセス権を管理者に付与します
-
-
Audit Vault Server管理者: スーパー管理者によってアクセス権を付与された特定のターゲットまたはターゲット・グループにアクセスできます。管理者は全システム的な設定を管理できません。
Oracle Audit Vault and Database Firewallのインストール後に、インストール後の構成ページを使用して、Audit Vault Server用に1つのスーパー管理者アカウントおよび1つのスーパー監査者アカウントのパスワードを作成および指定できます。インストール後に作成されるこのスーパー管理者およびスーパー監査者は、Audit Vault Serverデータベース・ユーザーです。スーパー管理者として少なくとも1人、スーパー監査者として1人のAudit Vault Serverデータベース・ユーザーが存在します。
それ以降、サーバーに対して、Audit Vault Serverスーパー管理者は他の管理ユーザーを作成でき、スーパー監査者は他の監査ユーザーを作成できます。
この章では、Oracle Audit Vault and Database Firewall管理者ユーザー・インタフェース用のユーザー・アカウントおよびパスワードの管理について説明します。
関連項目:
-
インストール後の構成の詳細は、『Oracle Audit Vault and Database Firewallインストレーション・ガイド』を参照してください。
-
監査者アカウントの管理の詳細は、『Oracle Audit Vault and Database Firewall監査者ガイド』を参照してください。
14.2 ユーザー・アカウントに関するセキュリティ技術導入ガイドと実装
Oracle Audit Vault and Database Firewallは、ユーザー・アカウントのSTIGガイドラインに従います。
Oracle Audit Vault and Database Firewallは、ユーザー・アカウントに関してセキュリティ技術導入ガイド(STIG)および実装のルールに従います。
-
デフォルトのOracle Audit Vault and Database Firewallユーザー・アカウントにはカスタム・パスワードが必要です。
-
ログイン試行の連続失敗回数は3です。
-
ユーザーがログイン試行失敗回数の最大値を超えると、スーパー管理者によって解除されるまでアカウントがロックされます。
-
アカウントのロックアウトはスーパー管理者がユーザー・アカウントをリセットするまで続きます。
関連項目:
STIGコンプライアンスの詳細は、セキュリティ技術導入ガイドを参照してください
14.3 Oracle Audit Vault Serverの管理アカウントの構成
Oracle Audit Vault Serverの管理アカウントを構成する方法を学習します。
14.3.1 Oracle Audit Vault and Database Firewallユーザー・アカウントの保護に関するガイドライン
Oracle Audit Vault and Database Firewallユーザー・アカウントの保護に関するガイドラインを確認します。
ベスト・プラクティスとして、インストール済のOracle Audit Vault and Database Firewallユーザー・アカウントは、バックアップ・アカウントのみとして使用してください。毎日のOracle Audit Vault and Database Firewall操作を担当するユーザー用に、一意のユーザー名およびパスワードの新しいユーザー・アカウントを追加します。
ノート:
Oracle Audit Vault and Database Firewallでは、引用符付きのユーザー名を使用できません。たとえば、"jsmith"
は、Oracle Audit Vault and Database Firewallユーザー・アカウントでも、Oracle Audit Vault and Database Firewallで使用するターゲットで作成されるアカウントでも有効なユーザー名ではありません。
14.3.2 Audit Vault Serverの管理アカウントの作成
管理のためのAudit Vault Server管理アカウントを作成できます。
14.3.3 管理者ユーザー・アカウントのステータスの表示
管理者アカウントのステータスを表示する方法を学習します。
スーパー管理者であれば、「設定」タブをクリックして管理者アカウントのステータスを表示できます。「管理者の管理」サブタブには、すべての管理者およびスーパー管理者のアカウントが、ステータス、パスワード有効期限日、アクセス権のあるターゲットおよびターゲット・グループなどとともにリストされます。
14.3.4 Audit Vault Serverのユーザー・アカウント・タイプの変更
Audit Vault Server管理アカウント・タイプを管理者からスーパー管理者に、またはその反対に変更できます。
管理アカウント・タイプは、管理者からスーパー管理者に、またはその反対に変更できます。
ノート:
ユーザーのアカウント・タイプを管理者からスーパー管理者に変更した場合、ユーザーはすべてのターゲットおよびターゲット・グループにアクセスできます。-
Audit Vault Serverにスーパー管理者としてログインします。
-
「設定」タブをクリックします。
「管理者の管理」セクションがデフォルトで表示されます。既存のユーザーと、そのユーザーがアクセスできるターゲットまたはグループが表示されます。
-
変更するユーザー・アカウントの名前をクリックします。
-
「管理者の変更」ダイアログで、「タイプ」フィールドの編集アイコンをクリックします。
-
タイプは、「管理者」から「スーパー管理者」に変更できます。タイプを「スーパー管理者」から「管理者」に変更する必要がある場合。
-
このユーザーの必要に応じて、任意のターゲットやグループへのアクセス権を付与または取り消すこともできます。
リリースOracle AVDF 20.1および20.2 リリースOracle AVDF 20.3以降 -
アクセス権を付与または取り消すターゲットまたはグループを選択します。
-
「権限付与」または「権限取消」ボタンをクリックします。
緑色のチェック・マークは、アクセス権が付与されていることを示します。赤色の十字マーク(X)は、アクセスが取り消されていることを示します。
-
アクセス権を付与または取り消すターゲットまたはグループを選択します。また、「ターゲットとターゲット・グループ」の下のフィールドで、ターゲットやターゲット・グループを検索することもできます。
- 「使用可能」列でアクセス権を選択し、それらを「選択」列に移動して、アクセス権を付与します。「選択」列でアクセス権を選択し、それらを「使用可能」列に移動して、アクセス権を取り消します。
-
-
「保存」をクリックします。
14.3.5 ユーザー・アカウントのロック解除
この手順では、ユーザー・アカウントのロック解除方法について説明します。
14.4 ユーザーのsudoアクセスの構成
ユーザーのsudoアクセスの構成について学習します。
14.4.1 sudoアクセスの構成について
sudoアクセスの構成について学習します。
sudo
コマンドは、root
ユーザーのパスワードを使用してログインすることなしに、信頼できるユーザーがシステムへの管理アクセスを行うことを許可します。
sudo
アクセス権を与えられているユーザーの場合、管理コマンドの前にsudo
を入力でき、自分のパスワードを入力するように要求されます。認証の完了後、コマンドが許可されているとすると、コマンドはroot
ユーザーによって実行された場合と同じように処理されます。
14.4.2 ユーザーのsudoアクセスの構成
ユーザーのsudoアクセスの構成について学習します。
ユーザーのsudo
アクセスを構成するには、root
権限が必要です。
-
root
ユーザーとしてシステムにログインします。 -
useradd
コマンドを使用して通常のユーザー・アカウントを作成します。たとえば、ユーザー
psmith
の通常のユーザー・アカウントを作成するには、次のように入力します。# useradd psmith
-
passwd
コマンドを使用してユーザーのパスワードを設定します。たとえば:
# passwd psmith Changing password for user psmith. New password: new_password Retype new password: new_password passwd: all authentication tokens updated successfully
-
visudo
ユーティリティを実行して、/etc/sudoers
ファイルを編集します。# visudo
sudoers
ファイルは、sudo
コマンドが適用するポリシーを定義します。 -
sudoers
ファイル内で、有効にすることで、wheelグループ内のユーザーにアクセス権限を付与するための行を探します。## Allows people in group wheel to run all commands # %wheel ALL=(ALL) ALL
-
%wheel
で始まる2番目の行の先頭にあるコメント文字(#
)を削除します。これにより、構成オプションが有効になります。
-
変更を保存して、エディタを終了します。
-
usermod
コマンドを使用して、前に作成したユーザー・アカウントをwheel
グループに追加します。たとえば:
usermod -aG wheel psmith
-
更新した構成が作成したユーザーに対して有効になっていることをテストするため、
sudo
を使用してコマンドを実行します。-
su
コマンドを使用して作成した新しいユーザー・アカウントに切り替えます。# su psmith
-
groups
コマンドを使用してユーザーがwheelグループに属していることを確認します。$ groups psmith wheel
-
sudo
コマンドを使用してwhoami
コマンドを実行します。これが、このユーザー・アカウントから
sudo
を使用してコマンドを実行する最初の機会となるため、バナー・メッセージが表示されます。ユーザー・アカウントのパスワードを入力するように要求されます。$ sudo whoami
次の出力が表示されます。
We trust you have received the usual lecture from the local System Administrator. It usually boils down to these three things: #1) Respect the privacy of others. #2) Think before you type. #3) With great power comes great responsibility.
要求されたら、次のようにパスワードを入力します。
[sudo] password for psmith: password root
出力の最後の行は、
whoami
コマンドによって返されるユーザー名です。sudo
アクセスが正しく構成されている場合は、この値はroot
です。
-
14.5 ターゲットおよびグループへのユーザーのアクセス権限の管理
ターゲットおよびグループへのユーザーのアクセス権限の管理について学習します。
14.5.1 ユーザーのアクセス権限の管理について
ユーザーのアクセス権限の管理について学習します。
スーパー管理者は、すべてのターゲットおよびターゲット・グループにアクセスでき、特定のターゲットおよびグループへのアクセス権を管理者に付与できます。
ターゲットまたはグループへのアクセス権は、次の2つの方法で制御できます。
-
ターゲットまたはグループを変更して、1人以上のユーザーに対してアクセス権を付与または取り消します。
-
ユーザー・アカウントを変更して、1つ以上のターゲットまたはグループへのアクセス権を付与または取り消します。
14.6 Oracle Audit Vault and Database Firewallでのユーザー・パスワードの変更
パスワード変更の管理方法を学習します。
14.6.1 パスワードの要件
Oracle Audit Vault and Database Firewallでは、いくつかのパスワード要件を満たす必要があります。
Oracle Audit Vault and Database Firewallユーザー・アカウントには、パスワード変更ポリシーを適用する必要があります。たとえば、定期的に(120日ごとなど)パスワードを変更することや、簡単に推測されないパスワードを作成することをユーザーに要求します。
Unicode文字を含むパスワードの要件
パスワードにUnicode文字(アクセント記号が付いた英語以外の文字など)が含まれる場合、パスワードの要件は次のとおりです。
-
8文字以上30文字以下にします。
英語のみ(ASCII)のパスワードの要件
英語のみのASCII印字可能文字を使用する場合、Oracle AVDFのパスワードの要件は次のとおりです。
-
8文字以上30文字以下にします。
-
次のそれぞれを、少なくとも1つずつ含めます。
-
小文字: a-z。
-
大文字: A-Z。
-
数値: 0-9。
-
区切り記号: コンマ(,)、ピリオド(.)、プラス記号(+)、コロン(:)、感嘆符(!)およびアンダースコア(_)
-
-
二重引用符(")、バックスペースまたは制御文字は含めません。
また、パスワードに関する推奨事項は次のとおりです。
-
ユーザー名と同じにならないようにします。
-
Oracleの予約語は使用できません。
-
わかりやすいパスワード(welcome、account、database、userなど)は使用しないでください。
-
連続する文字が含まれないようにします。
14.6.2 Audit Vault Server管理者パスワードの変更
管理者のパスワードを変更する方法を学習します。
管理者は自分のパスワードを変更できます。スーパー管理者は、他の管理者のパスワードを変更することもできます。スーパー管理者が別の管理者のパスワードを変更すると、変更直後にそのパスワードは自動的に期限切れとなります。
14.6.2.1 自分のパスワードの変更
管理者として自分のパスワードを変更する方法を学習します。
- Audit Vault Serverに管理者としてログインします。
- 右上隅にあるログイン名の右のメニュー・アイコンを選択します。
- このメニューから「パスワードの変更」を選択します。
- 「パスワードの変更」ウィンドウで、次のフィールドに入力します。
- 現在のパスワード
- 新規パスワード
- 新規パスワードの再入力
- 「保存」をクリックします。
関連トピック
14.6.2.2 別の管理者のパスワードの変更
スーパー管理者として別の管理者のパスワードを変更する方法を学習します。
スーパー管理者は、他の管理者のパスワードを変更できます。ただし、パスワードは、スーパー管理者が変更した直後に自動的に期限切れになります。管理者は、管理者の期限切れパスワードの変更のトピックの手順に従う必要があります。
- Audit Vault Serverにスーパー管理者としてログインします。
- 「設定」タブをクリックし、必要に応じて、左側のナビゲーション・メニューの「セキュリティ」を選択します。
- 「管理者の管理」で、パスワードを変更する管理者の名前を選択します。
- 「管理者の変更」ウィンドウで、「パスワードの変更」をクリックします。
- 「パスワードの変更」ウィンドウで、次のフィールドに入力します。
- 新規パスワード
- 新規パスワードの再入力
- 「保存」をクリックします。
関連トピック
14.6.2.3 管理者の期限切れパスワードの変更
パスワードは、スーパー管理者がそのパスワードを変更するか、またはパスワードの有効期限が過ぎた場合、期限切れになる可能性があります。
Oracle AVDFリリース20.4以前の場合は、次の手順に従います:
-
SSHを使用してAudit Vault Serverにログインし、
root
ユーザーに切り替えます。「SSHを使用したOracle AVDFアプライアンスへのログイン」を参照してください。
-
dvaccountmgr
ユーザーに切り替えます。su - dvaccountmgr
-
ユーザー名とパスワードを指定せずにSQL*Plusを起動します。
sqlplus /
-
アカウントがロックされている場合は、次のコマンドを実行してアカウントのロックを解除します:
alter user <user name> account unlock;
-
次のコマンドを実行して、パスワードを変更します。
alter user <user name> identified by <new_password>;
Oracle AVDFリリース20.5以降の場合は、次の手順に従います:
関連トピック
14.7 AVSYSユーザーのロック解除およびロック
Oracle Audit Vault and Database Firewall (Oracle AVDF)をインストールまたは管理するときには、AVSYS
ユーザーのロックを解除して再度ロックする必要がある場合があります。
14.7.1 AVSYSユーザーのロック解除
インストールまたは管理のタスクを実施するには、次の手順を使用してAVSYS
ユーザーのロックを一時的に解除します。
手順
-
dvaccountmgr
ユーザーに切り替えます。su - dvaccountmgr
-
ユーザー名とパスワードを指定せずにSQL*Plusを起動します。
sqlplus /
-
次のコマンドを実行して
avsys
のロックを解除します:alter user avsys identified by <password> account unlock;
-
SQL*Plusを終了します。
exit
14.8 Oracle Audit Vault and Database FirewallとMicrosoft Active DirectoryまたはOpenLDAPの統合
Microsoft Active DirectoryまたはOpenLDAPを使用して、Oracle Audit Vault and Database Firewallへのアクセス権を制御できます。
14.8.1 Microsoft Active DirectoryまたはOpenLDAPとの統合について
Microsoft Active DirectoryまたはOpenLDAPサーバーを統合して、Audit Vault Serverコンソールに接続するユーザーを認証できます。
ユーザーがAudit Vault Serverコンソールにログインすると、グループのリストからグループを選択するよう要求されます。ユーザーは自分が属していて選択したグループから認可されます。ユーザーが認証されると、そのユーザーが属していて選択したMicrosoft Active DirectoryまたはOpenLDAPグループに基づいてアクセス権が付与されます。
スーパーユーザーは、Oracle Audit Vault Database Firewallのグループにロールを割り当てることができます。たとえば、スーパー管理者、スーパー監査者、管理者、監査者などです。Oracle Audit Vault and Database Firewallリリース20.1以降では、Microsoft Active DirectoryおよびOpenLDAPがサポートされています。
ノート:
- 他のLDAPサーバーは動作しますが、Oracle Audit Vault and Database Firewallリリース20.1ではテストおよび動作保証されていません。
- Oracle AVDFでは、Microsoft Active Directoryのデフォルトのローカル・アカウント(管理者など)をサポートしていません。Active Directoryのデフォルトのローカル・アカウントの詳細は、Microsoftのドキュメントを参照してください。
- Microsoft Active DirectoryおよびOpenLDAPのユーザーおよびグループは、LDAPサーバーの構成のトピックで指定したドメインに属している必要があります。