2 Enterprise Manager管理エージェントのインストール

この章では、Audit Vault ServerおよびDatabase Firewall ApplianceにEnterprise Manager (EM)管理エージェントをインストールする手順について説明します。

Enterprise Managerエージェントのインストールの前提条件

Enterprise Managerエージェントをインストールする前に、監査Vaultコンソールで実行する必要がある複数の前提条件があります。

ユーザーoracleへのSSHアクセスを許可する

  1. 端末ウィンドウを開き、ファイル/etc/ssh/sshd_configを編集して、ユーザーoracleへのSSHアクセスを許可します。
    vi /etc/ssh/sshd_config
  2. oracleをAllowUsers行に追加します。
    AllowUsers support oracle
  3. sshdを再起動します。
    service sshd restart

Enterprise Manager Cloud Control用のOracleソフトウェア所有者ユーザーの存在の確認

oracleというOracleソフトウェア所有者ユーザーが存在するかどうかを確認するには、次のコマンドを実行します。

$ id oracle

oracleユーザーが存在する場合、このコマンドによる出力は次のようになります。

uid=440(oracle) gid=200(oinstall) groups=201(dba),202(oper)

ユーザーが存在する場合、既存のユーザーを使用するか、または他のoracleユーザーを作成するかを決定します。

既存ユーザーを使用する場合は、ユーザーのプライマリ・グループがOracle Inventoryグループであることを確認します。

ノート:

既存ユーザーを使用または変更する前に、必要に応じて、システム管理者に連絡してください。

Enterprise Manager Cloud Control用のOracleソフトウェア所有者ユーザーの作成

Oracleソフトウェア所有者ユーザーが存在しないか、Oracleソフトウェア所有者ユーザーが新規に必要な場合、次のステップを使用して作成します。次の手順では、同じ名前のユーザーが存在する場合以外は、oracleというユーザー名を使用してください。

  1. oracleユーザーを作成するには、次のようなコマンドを入力します。

    # /usr/sbin/useradd -g oinstall oracle

    このコマンドで、-gオプションは、プライマリ・グループを定義します。プライマリ・グループは、oinstallなどのOracleインベントリ・グループである必要があります

  2. oracleユーザーのパスワードを設定します。

    # passwd oracle

ノート:

特にOracleソフトウェア・ライブラリを使用している場合は、すべてのOMSインスタンスで同じUIDを使用することをお薦めします。UIDが異なる場合、あるOMSで作成されたファイルは、別のOMSで変更できません。

Enterprise Manager Cloud Control用のOracleインベントリ・グループの存在の確認

システムに最初にOracleソフトウェアをインストールすると、oraInst.locファイルが作成されます。このファイルにより、Oracleインベントリ・グループの名前とOracleインベントリ・ディレクトリへのパスが識別されます。

Oracleインベントリ・グループが存在するかどうかを確認するには、次のコマンドを入力します。

$ more /etc/oraInst.loc

ノート:

oraInst.locファイルは、Linuxおよびその他のプラットフォームの/etcディレクトリにあります。Solarisプラットフォームでは、/var/opt/oracle/にあります。

oraInst.locファイルが存在する場合、このコマンドによる出力は次のようになります。

inventory_loc=/u01/app/oracle/oraInventory
inst_group=oinstall

inst_groupパラメータは、Oracleインベントリ・グループの名前oinstallを示します。

Enterprise Manager Cloud Control用のOracleインベントリ・グループの作成

oraInst.locファイルが存在しない場合、またはOracleインベントリ・グループが異なる場合、次のコマンドを使用してOracleインベントリ・グループoinstallを作成します。

# /usr/sbin/groupadd oinstall

ユーザーoracleを構成する

  1. エージェントのホーム・ディレクトリを作成します。
    mkdir $ORACLE_BASE/agent13c
  2. .bashrc内でoraenvコマンドを編集します。
    1. vi $HOME/.bashrc
    2. -sをoraenvに追加します。
      ./usr/local/bin/oraenv -s

dbsnmpおよびasmsnmpアカウントをロック解除する(AVSの場合のみ)

  1. ユーザーをdvaccountmgrに変更します。
    su dvaccountmgr
  2. 次のコマンドを実行します。
    sqlplus /
    alter user dbsnmp identified by password account unlock;
  3. ユーザーをgridに変更します。
    su grid
  4. 次のコマンドを実行します。
    orapwd file=/var/lib/oracle/grid/dbs/orapw+ASM password=<password>
    sqlplus / as sysasm
    alter user asmsnmp identified by password account unlock;
    grant sysdba to asmsnmp;
    

    Oracleでは、sysdba権限を持つOracle Databaseユーザーasmsnmpを作成することをお薦めします。

ホスト名を割り当てる

  1. AV_ADMINロールを持つユーザーとしてAudit Vault Serverコンソールにログインするか、Firewallの管理権限を持つユーザーとしてDatabase Firewall Applianceコンソールにログインします。
  2. ホスト名を完全修飾ホスト名として設定します(たとえば、location.mycompany.com)。
    • Audit Vault Serverで「設定」をクリックしてから、「システム」グループ・ヘッダーの下の「ネットワーク」をクリックします。ネットワーク・ページでホスト名を変更します。
    • Database Firewall Applianceコンソールで、「システム」ヘッダーの下の「ネットワーク」をクリックしてから、ページの右下隅にある「変更」ボタンをクリックします。
  3. モニター対象の各アプライアンスで、OMSサーバーでのDNSと同じDNSを構成します。「システム」または「設定」をクリックしてから、「システム」グループ・ヘッダーの下の「サービス」をクリックします。「サービス」ページで、DNSを構成し、ホスト名を変更します。
    デフォルトでは、Audit Vault ServerおよびDatabase FirewallへのSSHアクセスは無効です。次のステップにはSSHが必要です。そのため、同じ「サービス」ページで、「SSH」ボックスの中の「無効」を接続元マシンのIPアドレスに置き換えるか、ネットワーク上のすべてのマシンからSSH接続ができるように「all」に置き換えます。

EMエージェント・ネットワーク・ポートのブロックを解除する

  1. Audit Vault ServerまたはDatabase Firewall Applianceのオペレーティング・システムにrootユーザーとしてログインします。
  2. EM管理エージェントおよびEnterprise Managerサーバーが通信を行うために使用するネットワーク・ポートをブロック解除します。
    1. /usr/local/dbfw/templates/template-iptablesファイルを編集します。デフォルトでは、このファイルの権限は読取り専用です。編集を許可するように権限を変更する必要があります。rootとして、権限を変更します。
      chmod 644 template-iptables
      下の説明に従って行を編集します。データベースのリスナー・ポートに類似したエントリが存在している場合があります。そのエントリの下にエントリを作成します。20.1より前のAVDFサーバー・バージョンの場合は、次のように行を追加します。
      -A RH-Firewall-1-INPUT -p tcp -m state --state NEW --dport <EM agent port number> -j ACCEPT
      AVDFサーバー・バージョン20.1以降の場合は、次のように行を追加します。
      -A INPUT -p tcp -m state --state NEW --dport <EM agent port number> -j ACCEPT
      説明:
      • --dportは、EMエージェントのポート番号です。通常、EMエージェントで使用されるデフォルトのポート番号は3872です。
      • オプションの"-s"オプションは、IP範囲を特定のOMSに制限します。ベスト・プラクティスは、追加のオプション・スイッチ"- s ip1,ip2"を追加し、IP範囲を制限することです。
      template-iptablesファイルを変更する際には、細心の注意を払ってください。編集に誤りがあった場合、システムが動作不能になる可能性があります。template-iptablesファイルの権限を読取り専用に戻します。
      chmod 444 template-iptables
    2. 次のコマンドをrootとして実行します。
      /usr/local/dbfw/bin/priv/configure-networking
    3. 変更内容をテストします。エージェントのポート番号がデフォルト値3872であり、oem-agentでOracleによってIANAに正式に登録されている場合は、次を使用します。
      iptables -L | grep oem
      別のポートを使用している場合は、次のコマンドを実行します。
      iptables -L n | grep <EM agent port number>
これで、管理エージェントに対してACCEPTルールが設定されています。

ノート:

ここでtemplate-iptablesファイルに対して行った変更は、次回のOracle Audit Vault and Database Firewallパッチまたはアップグレードによりロールバックできる場合があります。次回のパッチまたはアップグレードの適用後に、Enterprise ManagerがAV Serverに関する情報を正確には収集していないことが判明した場合は、前述のステップaおよびbを繰り返します。

次のステップでは、AVDFエージェントが常駐している各サーバーでEM管理エージェントをインストールおよび構成します。EM管理エージェントをインストールするには、Enterprise Managerグラフィカル・ユーザー・インタフェースを使用するか(プッシュ方式を使用)、エージェント・ソフトウェアをAudit Vault ServerまたはDatabase Firewall Applianceに手動でプルします。

UIを使用したEnterprise Managerエージェントのインストール

Oracle Enterprise Manager Cloud Control 13cエージェントのインストールは、OEMコンソールからのプッシュ方式を介して実行されます。

Enterprise Managerエージェントのインストールの前提条件で説明されている前提条件を必ず実行してください。

  1. 「設定」ドロップダウンから、「ターゲットの追加」「ターゲットの手動追加」を選択します。
  2. 「ホストにエージェントをインストール」をクリックします。
  3. 「+追加」ボタンをクリックし、「ホスト名」および「プラットフォーム」に入力して「次」をクリックします。
  4. 「インストールのベース・ディレクトリ」/var/lib/oracle/agent13cと入力します。
  5. ユーザーoracle名前付き資格証明を作成します。
  6. root資格証明は空白のままにします。
  7. 「エージェントのデプロイ」をクリックします。

    ノート:

    インストール・フェーズ中に、有効なパスワードで設定されていないsudoに関するメッセージが表示される場合があります。すべてのホストを続行をクリックします。
  8. 監査Vaultサーバーでrootとして端末ウィンドウを開き、次のコマンドを実行します。
    ./var/lib/oracle/agent13c/<agent_version>/root.sh

Audit Vault ServerまたはDatabase Firewall ApplianceのEM管理エージェントの手動インストール

次のステップを実行して、エージェント・ファイルをプルし、Database Firewall Appliance 12.2.xまたはAudit Vault Serverでエージェントを構成することで、EM管理エージェントを手動でインストールします。

Enterprise Managerエージェントのインストールの前提条件で説明されている前提条件を必ず実行してください

  1. Audit Vault Serverにrootユーザーとしてログインし、次のコマンドを実行してoracleユーザーになります。
    su - oracle
  2. 次のようにして、AgentPull.shスクリプトをダウンロードします。
    cd /tmp
    curl "https://<OMS_HOST>:<OMS_PORT>/em/install/getAgentImage" -k -o AgentPull.sh
  3. AgentPull.shスクリプトに対して、実行権限を付与します。
    chmod +x AgentPull.sh
  4. AgentPull.shスクリプトを実行し、管理エージェントをダウンロードしてインストールします。LOGIN_USERはEMリポジトリ所有者(SYSMAN)で、パスワードはリポジトリ所有者パスワード(SYSMANパスワード)です。
    sh AgentPull.sh LOGIN_USER=<username> LOGIN_PASSWORD=password PLATFORM=<PLATFORM> AGENT_BASE_DIR=<EM agent install directory> AGENT_REGISTRATION_PASSWORD=password ORACLE_HOSTNAME=<ORACLE HOSTNAME>

    ノート:

    ORACLE_HOSTNAMEは、EM管理エージェントがインストールされているAudit Vault ServerまたはDatabase Firewall Applianceの完全修飾ホスト名です。

ダウンロードが終了すると同時に、EM管理エージェントのインストールが自動的に開始されます。インストールの最後で、スクリプトをrootとして実行するように要求されます。

スクリプトを実行したら、Oracle AVDFターゲットの検出に進みます。

Database Firewall Appliance 20.xのEM管理エージェントの手動インストール

次のステップを実行して、エージェント・ファイルをプルし、Database Firewall Appliance 20.xでエージェントを構成することで、EM管理エージェントを手動でインストールします。

Enterprise Managerエージェントのインストールの前提条件で説明されている前提条件を必ず実行してください

  1. rootユーザーとして、oinstallグループを追加し、oracleユーザーを作成してoinstallグループに追加します。

    /usr/sbin/groupadd oinstall
    /usr/sbin/useradd -g oinstall oracle
  2. rootユーザーとして、dbfwディレクトリに移動します。

    cd /var/dbfw
  3. emagentディレクトリを作成し、emagentディレクトリのユーザーおよびグループ所有権を変更します。

    mkdir emagent
    chown oracle emagent
    chgrp oinstall emagent
  4. oracleユーザーに切り替えて、emagentディレクトリに移動します。

    su - oracle
    cd /var/dbfw/emagent
  5. エージェントの転送:

    curl https://<OMS Host>:<Port>/em/install/getAgentImage --insecure -o AgentPull.sh
    chmod +x AgentPull.sh 
  6. AgentPull.shスクリプトを実行し、管理エージェントをダウンロードしてインストールします。LOGIN_USERはEMリポジトリ所有者(SYSMAN)で、パスワードはリポジトリ所有者パスワード(SYSMANパスワード)です。

    sh AgentPull.sh LOGIN_USER=<username> LOGIN_PASSWORD=password PLATFORM=<PLATFORM> AGENT_BASE_DIR=<EM agent install directory> AGENT_REGISTRATION_PASSWORD=password ORACLE_HOSTNAME=<ORACLE HOSTNAME>

    ノート:

    ORACLE_HOSTNAMEは、EM管理エージェントがインストールされているDatabase Firewall Applianceの完全修飾ホスト名です。

ダウンロードが終了すると同時に、EM管理エージェントのインストールが自動的に開始されます。インストールの最後で、スクリプトをrootとして実行するように要求されます。

スクリプトを実行したら、Oracle AVDFターゲットの検出に進みます。