19 オンラインおよびオフラインのシークレットの管理

資格証明ファイルは、エンドポイントが必要に応じて取得できる不透明オブジェクトとして、Oracle Key Vaultに格納して管理できます。

• 資格証明ファイルのアップロードとダウンロード
  okvutil uploadコマンドおよびokvutil downloadコマンドによって、資格証明ファイルをアップロードおよびダウンロードできます。
• SQL*Plusのシークレットと資格証明の管理
  多数のOracleデータベースに対応するSQL*Plusスクリプトのパスワードを管理するために、そのパスワードをOracle Key Vaultにアップロードできます。
• SSHのシークレットと資格証明の管理
  公開キー認証は、Oracle Key Vaultで保護されている秘密キーで実行できます。
• 大規模なデータベース・デプロイメントに対応するスクリプトのOracle Key Vaultでのパスワード管理
  大規模なデータベース・デプロイメントでは、データベース・パスワードの変更を管理するためのスクリプトを作成できます。

19.1 資格証明ファイルのアップロードとダウンロード

okvutil uploadおよびokvutil downloadコマンドは、資格証明ファイルをアップロードおよびダウンロードできます。

• 資格証明ファイルのアップロードとダウンロードについて
  資格証明ファイルをアップロードおよびダウンロードするには、okvutilユーティリティを使用します。
• 資格証明ファイルのアップロード
  okvutil uploadコマンドは、資格証明ファイルをアップロードできます。
• 資格証明ファイルのダウンロード
  okvutil downloadコマンドは、資格証明ファイルをダウンロードできます。
• 資格証明ファイルのアップロードおよびダウンロードのガイドライン
  Oracleでは、資格証明ファイルをアップロードおよびダウンロードする際の推奨事項を提供しています。

19.1.1 資格証明ファイルのアップロードとダウンロードについて

資格証明ファイルをアップロードおよびダウンロードするには、okvutilユーティリティを使用します。

資格証明ファイルは、Oracle Key Vaultに不透明オブジェクトとしてアップロードおよび保存されますが、これは、Oracle Key VaultがOracle WalletまたはJavaキーストアなどのファイルの内容を解析しないことを意味します。アップロード・プロセスでは、資格証明ファイルは変更されません。

不透明オブジェクトの例は、次のとおりです。

• X.509証明書を含むファイル

• Kerberosキータブ

• パスワードを含むファイル

• SSHキーを含むファイル

これらの資格証明ファイルをアップロードすると、長期保持用の一元的でセキュアな場所が得られます。資格証明ファイルは、アップロードした後で、同じサーバーの場所にダウンロードしたり、他の信頼できるサーバーと共有することができます。Oracle Key Vaultは、最大128 KBのサイズの資格証明ファイルをサポートします。

資格証明ファイルは、Oracle Key Vaultエンドポイントがアクセスできるサーバー・インフラストラクチャ(データベース・サーバーやアプリケーション・サーバーを含む)のどこにでも配置できます。

19.1.2 資格証明ファイルのアップロード

okvutil uploadコマンドは、資格証明ファイルをアップロードできます。

1. 資格証明ファイルがあるサーバーがOracle Key Vaultエンドポイントとしてエンロールされ、プロビジョニングされていることを確認します。
2. エンドポイントに対してアクセス制御が構成されていることを確認します。

   資格証明ファイルを仮想ウォレットにアップロードする場合、エンドポイントがウォレットへの読取り、変更およびウォレット管理アクセス権を持っていることを確認します。

3. okvutil uploadコマンドを実行します。

   次に例を示します。

   # okvutil upload -l "/etc/oracle/app/creds/hr.keytab" -t kerberos -g HRWallet -d "Kerberos keytab file for HR group, 06_11_14"
   Enter Oracle Key Vault endpoint password: Key_Vault_endpoint_password
   

   この例では次のとおりです。

   • -lは、アップロードされるhr.keytab資格証明ファイルのディレクトリ・パスです。ディレクトリの場所は、二重引用符で囲みます。

   • -tは、資格証明ファイルのタイプを指定します。この例ではKerberosキータブ・ファイルです。KERBEROSの他に、指定できるタイプは次のとおりです。

     • SSHキー・ファイルの場合、SSH

     • 機密情報(たとえばアップロードまたはダウンロードされたファイル)が格納されている他のファイルの場合、OTHER

   • -gは、すでに存在している必要があるHRWalletグループに資格証明ファイルを追加します。このパラメータを使用すると、デフォルトの仮想ウォレットではなく、HRアプリケーション・ユーザーの必要に応じた専用のウォレットに資格証明をアップロードできます。この例では、HRWalletはOracle Key Vault仮想ウォレットで、そのアクセス制御はステップ2で構成されました。

   • -dは、オプションの説明です。ベスト・プラクティスとしては、資格証明ファイルの使用目的の概要と、アップロードを実行した日付を入れておきます。この情報は、あとで参照し、資格証明ファイルを追跡する助けになります。この説明は、必要に応じて、後からOracle Key Vault管理コンソールで変更できます。

19.1.3 資格証明ファイルのダウンロード

okvutil downloadコマンドは、資格証明ファイルをダウンロードできます。

1. 次のいずれかの方法を使用して、ダウンロードする必要のある資格証明ファイルの一意のIDを見つけます。

   • Oracle Key Vault管理コンソール: エンドポイント管理者または仮想ウォレットに必要なアクセス権を持っているユーザーとしてログインします。Oracle Key Vault管理コンソールで、「Keys & Wallets」タブから「All Items」を選択して、アップロードされたファイルを検索します。ダウンロードする、アップロードされたファイルの一意のIDを書き留めます。資格証明ファイルは、不透明オブジェクトとしてリストされます。

   • okvutil list command: 資格証明ファイルへのアクセス権を持つエンドポイント、または資格証明ファイルが含まれている仮想ウォレットから、okvutil listコマンドを実行します。ファイルのアップロード時に入力した説明に基づいて、ダウンロードする必要のある資格証明ファイルの一意のIDを見つけます。

2. コマンドラインから、okvutil downloadコマンドを実行して、資格証明ファイルをダウンロードします。

   次に例を示します。

   # okvutil download -l "/etc/oracle/app/newcreds/hr.keytab" -t kerberos -i 6ba7b810-9dad-11d1-80b4-00c04fd430c8
   Enter Oracle Key Vault endpoint password: Key_Vault_endpoint_password
   

   この例では次のとおりです。

   • -lは、アップロードされた資格証明をダウンロードするディレクトリです。

   • -tは、資格証明ファイルのタイプを指定します。この例ではKerberosキータブ・ファイルです。KERBEROSの他に、指定できるタイプは次のとおりです。

     • SSHキー・ファイルの場合、SSH

     • 機密情報(たとえばアップロードまたはダウンロードされたファイル)が格納されている他のファイルの場合、OTHER

   • -iは、資格証明ファイルの一意のIDです。

19.1.4 資格証明ファイルのアップロードとダウンロードに関するガイドライン

資格証明ファイルをアップロードおよびダウンロードする場合の推奨事項は、次のとおりです。

• アップロードの完了後は、資格証明ファイルが次に変更されたときに再アップロードしてください。そうしないと、アップロードされたファイル(およびそれ以降にダウンロードされたバージョン)は最新でないものになります。資格証明ファイルの最終変更日を、アップロードされたバージョンのタイムスタンプと定期的に比較してください。

• okvutil uploadおよびokvutil downloadコマンドで上書き(-o)オプションを使用する場合は注意してください。このオプションは、アップロードされた資格証明ファイルを上書きします。アップロードとダウンロードのプロセスを開始する前に、資格証明ファイルのバックアップを作成することをお薦めします。

• 複数のサーバー・エンドポイント間で、1つの資格証明ファイルを共有できます。仮想ウォレットに不透明オブジェクトを追加し、続いて、すべてのエンドポイントがその仮想ウォレットへのアクセス権を持っていることを確認します。オプションで、エンドポイント・グループを定義し、すべてのサーバー・エンドポイントをそのグループのメンバーにします。okvutil uploadコマンドの-gオプションを使用して、この共通のウォレットを使用して共有する証明書ファイルを、Oracle Key Vaultにグループとしてアップロードします。ウォレットを定義して、それをエンドポイント・グループにアタッチします。その後は、グループのすべてのメンバーが、そのウォレットへのアクセス権を持ちます。

19.2 SQL*Plusのシークレットと資格証明の管理

多数のOracleデータベースに対応するSQL*Plusスクリプトのパスワードを管理するために、そのパスワードをOracle Key Vaultにアップロードできます。

多くの大規模サイトでは、自動化スクリプトを使用することで、Oracleデータベースにログインして、Oracle Recovery Manager (Oracle RMAN)のバックアップや、Oracle Databaseデータ・ウェアハウスへのバッチ・ロードなどの定期的なメンテナンス・アクティビティを実行します。通常、こうしたスクリプトは、高い権限を持つユーザーとして接続する必要があります。高い権限を持つユーザーとしてログインするために、スクリプトではユーザーのパスワードにアクセスする必要があります。スクリプト内にクリアテキストのパスワードをハードコードすると、当然のことながら、セキュリティの確保が困難になります。また、ユーザーのパスワードが変更されると、そのスクリプトは役に立たなくなります。スクリプト内でクリアテキストのパスワードを使用しないようにするための方策として、自動オープン・ウォレット(セキュアな外部パスワード・ストアと呼ばれる)にパスワードを配置して、そこからパスワードを取得するようクライアント・アプリケーションに指示します。ただし、このアイデアは、データベースが少数の場合にしか機能しません。数百のデータベースがあると、パスワードの管理が困難になり、セキュアな外部パスワード・ストアごとに更新が必要になります。

多数のOracleデータベースがある場合は、一元的にパスワードを保管して、そのパスワードをデータベース接続のために安全に取得できます。この機能には、次の利点があります。

• メンテナンス・スクリプトからクリアテキストのパスワードを排除します
• パスワードの変更が簡単になります
• sqlnet.oraファイルの追加エントリは不要です
• セキュアな外部パスワード・ストアを廃止にします

19.3 SSHのシークレットと資格証明の管理

公開キー認証は、Oracle Key Vaultで保護されている秘密キーで実行できます。

多くのIT部門では、オンプレミスのホストとクラウドベースのホストのどちらについても、公開キー認証をデフォルトのアプローチとして、管理者のパスワードの記憶に頼ることなく安全にリモート・サーバーにログインします。Oracle Cloud Infrastructure (Oracle OCI)を使用しているときには、ユーザーopcのパスワードは不明なため、OCIコンピュート・インスタンスにログインする唯一の方法は公開キー認証になります。この方法は便利ですが、リスクがないわけではありません。秘密キーが失われると、リモート・ログインが不可能になります。また、新しい公開キーをプロビジョニングするプロセスには時間がかかります。さらに別の問題として、秘密キーは所有者を一意に識別するため、そのキーが盗難、コピーまたは侵害されると、侵入者は、侵入者ではなく所有者を指し示す証拠を残して、簡単に大きな問題を引き起こせるようになります。

このような問題の解決策として、okvutil uploadコマンドを使用して、Oracle Key VaultにSSH秘密キーをアップロードすることを検討してください。そのメリットは、次のとおりです。

• SSHキーはホスト・コンピュータに存在しないため、コピーや盗難が不可能になるばかりか、ディスクやファイルの破損ついて心配する必要もなくなります。
• SSHキーはOracle Key Vaultのバックアップ操作に含まれるため、キーが失われる可能性はありません。
• Oracle Key Vaultは、最大16台のOracle Key Vaultサーバーを単一のマルチマスター・クラスタに接続できるため、継続的でフォルト・トレラントな可用性を実現できます。読取り/書込みペアにより、機密性の高い情報(暗号化キーやパスワードなど)が少なくとも1台以上のOracle Key Vaultサーバーにレプリケートされることが保証されます。

19.4 大規模なデータベース・デプロイメントに対応するスクリプトのOracle Key Vaultでのパスワード管理

大規模なデータベース・デプロイメントでは、データベース・パスワードの変更を管理するためのスクリプトを作成できます。

• 大規模なデータベース・デプロイメントに対応するスクリプトのOracle Key Vaultでのパスワードの管理について
  外部キーストアのパスワードを一元的に保管して、そのパスワードを大規模なOracle Database接続のデプロイメントで使用するために安全に取得できます。
• 外部キーストアのパスワード・アップロードの構成
  大規模なデータベース・デプロイメントに対応するように外部キーストアのパスワード・アップロードを構成するには、まず、Oracle Key VaultクライアントとRESTful APIを使用する必要があります。
• 例: SQL*Plusの操作で外部キーストアのパスワードを使用する場合のスクリプト
  アップロードされているユーザーのUUIDをユーザー名で取得して、そのパスワードをSQL*Plusコマンドに挿入するスクリプトを作成できます。
• その他のデータベースとのシークレットの共有
  Oracle Key Vaultで情報を共有するには、Oracle Key Vault内の仮想ウォレットと、共有ウォレットへのアクセス権を持つ専用のエンドポイントに接続する複数のデータベースが必要です。
• 大規模なデータベース・デプロイメントに対応するパスワードの変更
  セキュリティ強化のために、人間と自動化プロセスのどちらが使用するパスワードも定期的に変更する必要があります。

19.4.1 大規模なデータベース・デプロイメントに対応するスクリプトのOracle Key Vaultでのパスワード管理について

外部キーストアのパスワードを一元的に保管して、そのパスワードを大規模なOracle Database接続のデプロイメントで使用するために安全に取得できます。

パスワードを一元的に保管することで、次のメリットが得られます。

• メンテナンス・スクリプトからクリア・テキストのパスワードの使用が排除されます
• セキュアな外部パスワード・ストアの必要性がなくなります。
• パスワードの変更が簡単になります。
• sqlnet.oraファイルへの変更は不要です。

以前のリリースでは、Oracle Recovery Manager (Oracle RMAN)のバックアップ、Oracle Data Warehouseへのデータのロード、マテリアライズド・ビューのリフレッシュなどの定期的なメンテナンスを実行するために自動化スクリプトが使用されていました。このようなスクリプトは、高度な権限を持つユーザーのパスワードを使用してログインする必要がありました。これは、スクリプトにハードコードされたクリア・テキストのパスワードが必要になるために、適切なセキュリティ・プラクティスではありませんでした。当然のことながら、パスワードを変更すると、すべてのスクリプトの変更も必要になります。クリアテキストのパスワードの必要性をなくす方法として、自動オープン・ウォレット(セキュアな外部パスワード・ストアと呼ばれる)にパスワードを配置して、そこからパスワードを取得するようにクライアントに指示します。この方法は少数のデータベースには適していますが、データベースが数百にもなると管理が困難です。さらに、パスワードを変更するには、セキュアな外部パスワード・ストアをすべて更新する必要があります。この問題は、パスワードを一元的な場所で保管することで回避できます。

19.4.2 外部キーストアのパスワード・アップロードの構成

大規模なデータベース・デプロイメントに対応するように外部キーストアのパスワード・アップロードを構成するには、まず、Oracle Key VaultクライアントとRESTful APIを使用する必要があります。

1. Oracle Key Vault RESTful APIがインストールされていることを確認します。
   RESTful APIをインストールしていない場合は、次のコマンドを実行することでOracle Key Vaultからダウンロードできます。

   $ curl -O -k https://Oracle_Key_Vault_IP_address:5695/okvrestservices.jar

2. パスワードを使用しないOracle Key Vaultクライアントをインストールします。
   ほとんどの場合、すでにOracle Key Vaultクライアントはインストールされていますが、パスワードで保護されています。このクライアントは使用しないでください。パスワードで保護されていないOracle Key Vaultクライアントを使用する必要があります。Oracle Key Vaultクライアントのディスク・フットプリントは小さく、その他のキー管理システムとは異なり、Oracle Key Vaultはクライアントやキーの数に基づいてライセンスされないため、ディスク領域およびライセンスが問題になることはありません。
   1. RESTfulコマンドを使用してパスワードなしのOracle Key Vaultクライアントをインストールするには、次の2つのコマンドを含むスクリプトを作成します。

      create_endpoint -e SECRETS_db_name -t ORACLE_NON_DB -q LINUX64 -d "Endpoint for Secrets Management for db_name"
      provision --autologin -e SECRETS_db_name -y /home/oracle/okv

   2. Oracle Key Vault RESTfulサービスを実行します。

      java -jar okvrestservices.jar -c config.ini

   3. Oracle Key Vaultへの残りのRESTfulコールではkmipパラメータを使用しているため、rootスクリプトの実行は不要です(TDE対応のOracleデータベースにのみ必要です)。
3. データベース・アカウントのパスワードをOracle Key Vaultにアップロードします。
   1. アップロードするアカウントごとの名前とパスワードを含むテキスト・ファイルを作成します。たとえば、データベースにログインするメンテナンス・スクリプトが2つあるとします。最初のスクリプトでは、夜間バックアップ・アカウントのnightly_backupを使用します。このスクリプトは、SYSBACKUP管理権限を持つOracle Recovery Manager (Oracle RMAN)としてPDBにログインします。2番目のスクリプトでは、refresh_dwhアカウントを使用します。このスクリプトは、PDBに接続してデータ・ウェアハウスをリフレッシュします。
      次に、それぞれのアカウントのパスワード・テキスト・ファイルと、アカウント名を持つ属性ファイルを順に示します。

      $ more backup_pwd
      hV3t0ksxoSQIEe4VoF237o7t

      $ more refresh_pwd
      NfKmXHAi65kxqVqx2yiOd49s

      $ more backup_name
      NAME=NIGHTLY_BACKUP

      $ more refresh_name
      NAME=REFRESH_DWH

   2. okvrestservices.jarコマンドのkmipオプションを使用して、ユーザーのパスワードと属性をOracle Key Vaultにアップロードします。
      まず、nightly_backupアカウントがアップロードされてから、refresh_dwhアカウントがアップロードされます。Oracle Key Vaultは、これらの各管理対象オブジェクトの汎用一意ID (UUID)を返します。RESTfulコマンドにkmipオプションを使用する場合は、構成ファイルとしてokvclient.oraを使用する必要があります(-cオプション)。

      $ java -jar okvrestservices.jar kmip -c $OKV_HOME/conf/okvclient.ora -s reg_secret -o ./backup_pwd -f ./backup_name -t PASSWORD -m ENCRYPT
      
      9E8AB7E0-0915-4FB4-BFE1-A85696525EA4

      $ java -jar okvrestservices.jar kmip -c $OKV_HOME/conf/okvclient.ora -s reg_secret -o ./refresh_pwd -f ./refresh_name -t PASSWORD -m ENCRYPT
      
      581D9330-5458-4FD2-BFF4-C0BF602644F4

4. パスワードが含まれているファイルを慎重に削除します。

   $ shred -xz backup_pwd
   $ rm backup_pwd
   $ shred -xz refresh_pwd
   $ rm refresh_pwd

5. 前のステップで返されたUUID値を使用して、シークレットをアクティブ化します。

   $ java -jar okvrestservices.jar kmip -c $OKV_HOME/conf/okvclient.ora -s activate -u 581D9330-5458-4FD2-BFF4-C0BF602644F4

   $ java -jar okvrestservices.jar kmip -c $OKV_HOME/conf/okvclient.ora -s activate -u 9E8AB7E0-0915-4FB4-BFE1-A85696525EA4

この構成が完了すると、これらのユーザーのパスワードをOracle Key Vaultから取得して、そのパスワードをSQL*Plusコマンドに挿入するスクリプトを作成できます。

19.4.3 例: SQL*Plusの操作で外部キーストアのパスワードを使用する場合のスクリプト

アップロードされているユーザーのUUIDをユーザー名で取得して、そのパスワードをSQL*Plusコマンドに挿入するスクリプトを作成できます。

このスクリプトの利点は、そのデータベースにログインする管理スクリプトやメンテナンス・スクリプトの数に関係なく、スクリプトは同じままであることです。新しいユーザー・アカウントごとに、ユーザーのパスワードと属性ファイルのみをアップロードして、シークレットをアクティブ化します。

たとえば、log-me-in.shというスクリプトは、次のようになります。

#!/bin/bash
user="${1}"
export TWO_TASK="${2}"
PRIV="${3}"
export OKV_HOME=/home/oracle/okv
id=$(java -jar okvrestservices.jar kmip -c $OKV_HOME/conf/okvclient.ora -s locate --name $user)
pwd=$(java -jar okvrestservices.jar kmip -c $OKV_HOME/conf/okvclient.ora -s get_secret -u ${id:1:36})
if [ "${PRIV}" == 'AS SYSBACKUP' ]; then
  rman target ''"'${user}/${pwd}@${TWO_TASK} ${PRIV}'"''
else
  sqlplus "${user}"/"${pwd}"
fi

拡張属性を適用することで、このファイルを不変にできます。たとえば、Linuxでrootユーザーとして、次のchattrコマンドを使用します。

# chattr +i log-me-in.sh

このスクリプトを実行するには、次の構文を使用します。

$ ./log-me-in.sh user_name hostname:port/service 'AS privilege'

たとえば、次のようにしてnightly_backupユーザーにログインします。

$ ./log-me-in.sh nightly_backup sales19c.us.example.com:1521/finpdb.us.example.com 'AS SYSBACKUP'

出力は、次のようになります。

Recovery Manager: Release 19.0.0.0.0 - Production on Fri Jun 26 12:22:04 2020
Version 19.7.0.0.0

Copyright (c) 1982, 2019, Oracle and/or its affiliates.  All rights reserved.

connected to target database: sales19c:finpdb (DBID=3200396863)

RMAN> 

次のコマンド例では、refresh_dwhユーザーとしてログインします。

$ ./log-me-in.sh refresh_dwh sales19c.us.example.com:1521/finpdb.us.example.com 

SQL> SHOW USER
REFRESH_DWH

ターゲット・スキーマの所有者がrefresh_dwhアカウント・ユーザーのログインを許可している場合、そのスキーマ所有者は、次のようにCONNECT THROUGH権限をrefresh_dwhに付与する必要があります。

1. SQL*Plusで、ALTER USER文を実行してプロキシを作成します。次に例を示します。

   ALTER USER HR GRANT CONNECT THROUGH refresh_dwh;

2. スクリプトで、最後の行(sqlplus "${user}"/"${pwd}")を変更してプロキシを含めます。次に、HRを含める場合の例を示します。

   sqlplus "${user}"[HR]/"${pwd}"

19.4.4 その他のデータベースとのシークレットの共有

Oracle Key Vaultで情報を共有するには、Oracle Key Vault内の仮想ウォレットと、共有ウォレットへのアクセス権を持つ専用のエンドポイントに接続する複数のデータベースが必要です。

1. シークレットを共有するサーバー(ソース・サーバー)にログインします。
2. 仮想ウォレットを作成して、エンドポイントのデフォルト・ウォレットにします。
   たとえば、次のようにしてSECRETS_db_nameというエンドポイントのデフォルト・ウォレットを作成します。

   create_wallet -w shared_secrets
   set_default_wallet -e secrets_db_name -w shared_secrets

3. 共有仮想ウォレットにシークレット(パスワード)を追加します。

   $ java -jar okvrestservices.jar kmip -c ~/bin/okv/conf/okvclient.ora -s add_member -w shared_secrets -u 994CB3E5-C5B3-4F75-BFED-CB41AE15D0B1

   994CB3E5-C5B3-4F75-BFED-CB41AE15D0B1は、シークレットのUUIDです。シークレットを忘れたとしても、それを取得できます。たとえば、次のようにしてnightly_backupのシークレットを取得します。

   $ java -jar okvrestservices.jar kmip -c ~/bin/okv/conf/okvclient.ora -s locate --name nightly_backup

4. 共有シークレットを使用するサーバー(宛先サーバー)にログインします。
5. エンドポイントを作成してから、shared_secretsウォレットをその新しいエンドポイントのデフォルト・ウォレットにします。

   create_endpoint -e secrets_db_name -t ORACLE_NON_DB -q LINUX64 -d "Endpoint for Secrets Management in db_name"
   set_default_wallet -e secrets_db_name -w shared_secrets
   provision --autologin -e secrets_db_name -y /home/oracle/okv

6. 外部キーストアのパスワードを使用するために作成したスクリプト(log-me-in.shなど)を、ソース・サーバーから共有シークレットを使用する宛先サーバーに安全にコピーします。

   $ scp log-me-in.sh destination_server:/remote_path

7. 宛先サーバーで、次の構文を使用してスクリプトを実行します。

   $ ./log-me-in.sh user_name hostname:port/service 'AS privilege'

   次に例を示します。

   $ ./log-me-in.sh nightly_backup 192.0.2.1:1521/hr_pdb 'AS SYSBACKUP'

   出力は、次のようになります。

   Recovery Manager: Release 19.0.0.0.0 - Production on Fri Jun 26 13:10:49 2020
   Version 19.7.0.0.0
   
   Copyright (c) 1982, 2019, Oracle and/or its affiliates.  All rights reserved.
   
   connected to target database: hr_db:hr_pdb (DBID=1932795327)
   
   RMAN>

19.4.5 大規模なデータベース・デプロイメントに対応するパスワードの変更

セキュリティ強化のために、人間と自動化プロセスのどちらが使用するパスワードも定期的に変更する必要があります。

Oracle Key Vaultに保管されているパスワードを変更するには、okvrestservices.jarを使用して古いパスワードを取り消して破棄し、新しいパスワードをアップロードしてアクティブ化します。最後に、SQL*Plusでパスワードを変更する必要があります。

1. 保管されているパスワードにアクセスできるサーバーにログインします。
2. このパスワードのUUIDを取得します。

   $ java -jar okvrestservices.jar kmip -c $OKV_HOME/conf/okvclient.ora -s locate --name nightly_backup

   UUIDの出力は、次のようになります。

   994CB3E5-C5B3-4F75-BFED-CB41AE15D0B1

3. このUUIDを使用して、このパスワードを取り消します。

   $ java -jar okvrestservices.jar kmip -c $OKV_HOME/conf/okvclient.ora -s revoke -u 994CB3E5-C5B3-4F75-BFED-CB41AE15D0B1 -q CESSATION_OF_OPERATION

   -qオプションを使用することで、パスワードの取消し理由を指定する必要があります。指定可能値は次のとおりです。

   • UNSPECIFIED
   • KEY_COMPROMISE
   • CA_COMPROMISE
   • AFFILIATION_CHANGED
   • SUPERSEDED
   • CESSATION_OF_OPERATION
   • PRIVILEGE_WITHDRAWN
4. このパスワードを破棄します。

   $ java -jar okvrestservices.jar kmip -c $OKV_HOME/conf/okvclient.ora -s destroy -u 994CB3E5-C5B3-4F75-BFED-CB41AE15D0B1
   

5. Oracle Key Vault管理コンソールで、このシークレットを削除します。
6. 元の外部キーストアのパスワードの構成にした元のパスワード・テキスト・ファイルと同様に、新しいパスワードが含まれるテキスト・ファイルを作成します。

   $ more backup_pwd
   cn0KpOnY9vNec2sLVHFnJwR6

7. 新しいパスワードおよび属性をアップロードしてから、新しいシークレットをアクティブ化します。

   $ java -jar okvrestservices.jar kmip -c $OKV_HOME/conf/okvclient.ora -s reg_secret -t PASSWORD -m ENCRYPT -o ./backup_pwd -f ./backup_name
   0739649D-3058-4F34-BF84-50B2BD652C2D

   $ java -jar okvrestservices.jar kmip -c $OKV_HOME/conf/okvclient.ora -s activate -u 0739649D-3058-4F34-BF84-50B2BD652C2D
   

8. Linuxで、パスワードが含まれているファイルを安全に削除します。

   shred -xz backup_pwd
   rm backup_pwd

9. シークレットを共有する各Oracleデータベースで、SQL*Plusにログインし、passwordコマンドを使用してパスワードを変更します。
   次に例を示します。

   SYS> password nightly_backup
   Changing password for nightly_backup
   New password: cn0KpOnY9vNec2sLVHFnJwR6
   Retype new password: cn0KpOnY9vNec2sLVHFnJwR6
   Password changed