EMCTLのセキュリティ・コマンド

表7-6に、EMCTLの一般的なセキュリティ・コマンドを示します。

表7-4 EMCTLのセキュリティ・コマンド

EMCTLコマンド	説明
`emctl secure console [-sysman_pwd <pwd>] (-wallet <wallet_loc>\| -self_signed) [-key_strength <strength>] [-cert_validity <validity>]`	OMSのHTTPSコンソール・ポートのSSL構成を設定します。
`emctl secure lock [-sysman_pwd <pwd>] [-console] [-upload]`	OMSのアップロードおよびコンソールをロックすることで、OMSへのHTTPアクセスを回避します。 `-console`および`-upload`パラメータはオプションです。 `-console`パラメータはEMコンソールへのHTTPアクセスをロックおよび回避し、HTTPSでのみEMコンソールにアクセスできるようにします。 `-upload`パラメータによって、管理エージェントがOMSに接続できるのはHTTPS経由でのみになるため、管理エージェントがHTTP経由でOMSにデータをアップロードできなくなります。
`emctl secure unlock [-sysman_pwd <pwd>] [-console] [-upload]`	OMSアップロードおよびコンソールのロックが解除されるため、OMSへのHTTPアクセスが可能になります。 `-console`および`-upload`パラメータはオプションです。 `-console`パラメータは、HTTP経由でもアクセスできるようにコンソールのロックを解除します。 `-upload`パラメータは、アップロード・アクティビティのロックを解除するため、管理エージェントはHTTP経由でもOMSにデータをアップロードできるようになります。
`emctl secure createca [-sysman_pwd <pwd>] [-root_country <root_country>] [-root_state <root_state>] [-root_org <root_org>] [-root_unit <root_unit>] [-key_strength <strength>] [-cert_validity <validity>]`	後でOMSおよび管理エージェントを保護するときに証明書を発行するために使用する新しい認証局(CA)を作成します。
`emctl secure setpwd [sysman password] [new registration password]`	新しい管理エージェント登録パスワードを追加します。
`emctl secure sync`	管理リポジトリが起動しているかどうかを確認します。
`emctl secure create_admin_creds_wallet [-admin_pwd <pwd>] [-nodemgr_pwd <pwd>]`	管理者資格証明ウォレットを再作成します。
emctl secure oms [-sysman_pwd <sysman password>] [-reg_pwd <registration password>] [-host <hostname>] [-ms_hostname <Managed Server hostname>] [slb_port <SLB HTTPS upload port>] [-slb_console_port <SLB HTTPS console port>] [-no_slb] [-secure_port <OHS HTTPS upload Port>] [-upload_http_port <OHS HTTP upload port>] [-reset] [-console] [-force_newca] [-lock_upload] [-lock_console] [-unlock_upload] [-unlock_console] [-wallet <wallet_loc> -trust_certs_loc <certs_loc>] [-key_strength <strength>] [-sign_alg <md5\|sha1\|sha256\|sha384\|sha512>] [-cert_validity <validity>] [-protocol <protocol>] [-root_dc <root_dc>] [-root_country <root_country>] [-root_email <root_email>] [-root_state <root_state>] [-root_loc <root_loc>] [-root_org <root_org>] [-root_unit <root_unit>]	`emctl secure oms`コマンドは、管理リポジトリにルート・キーを生成し、OMSと管理エージェント間のHTTPSチャネルが有効になるようにWebTierを変更し、OMSがEnterprise Managerフレームワーク・セキュリティを使用して管理エージェントからのリクエストを受け入れることができるようにします。
`emctl secure wls [-sysman_pwd <sysman password>] (-jks_loc <loc> -jks_pvtkey_alias <alias> \| -wallet <loc> \| -use_demo_cert)`	`emctl secure wls`コマンドは、WebLogic Serverを保護します。

前述のコマンドのパラメータについて次に説明します。

-host: ソフトウェア・ロード・バランサ(SLB)または仮想ホスト名を示します。
-ms_hostname: OMSが実行しているマシンの実際のホスト名を示します。
-slb_port: アップロード用にSLBで構成されたHTTPSポートを示します。
-slb_console_port: コンソール・アクセス用にSLBで構成されたHTTPSポートを示します。
-no_slb: SLB構成を削除します。
-secure_port : WebTierでのHTTPSアップロード・ポート変更を指定します。
-upload_http_port: WebTierでのHTTPアップロード・ポート変更を指定します。
-reset: 新しいCAを作成します。
-force_newca: 古いCAで保護された管理エージェントがある場合でも、新しいCAを使用してOMSで強制的に保護します。
-console: コンソールHTTPSポート用にも証明書を作成します。
-lock_upload: アップロードをロックします。
-lock_console: コンソールをロックします。
-unlock_upload: アップロードのロックを解除します。
-unlock_console: コンソールのロックを解除します。
-wallet: 外部ウォレットが配置されるディレクトリを示します。
-trust_certs_loc: 信頼できるすべての証明書を含むファイルを示します。
-key_strength: 512|1024|2048
-sign_alg: 署名アルゴリズムmd5|sha1|sha256|sha384|sha512です。
-cert_validity: 証明書が有効である必要がある日数を示します。最小値が1で、最大値が3650です。
-protocol: WebTierで使用されるSSLプロトコルを示します。<protocol>の有効な値は、ApacheのSSLプロトコル・ディレクティブで許容される値です。
-jks_loc: 管理者および管理対象サーバーのカスタム証明書を含むJKSの場所を示します。
-jks_pvtkey_alias: JKSの秘密キーの別名を示します。
-jks_pwd: JKSのキーストアのパスワードを示します。
-jks_pvtkey_pwd: JKSの秘密キーのパスワードを示します。
-wallet: 管理者および管理対象サーバーのカスタム証明書を含むウォレットの場所を示します。
-use_demo_cert: 管理者および管理対象サーバーのデモンストレーション証明書を構成します。

セキュリティ診断コマンド

表7-5に、EMCTLのセキュリティ診断コマンドを示します。

表7-5 EMCTLのセキュリティ診断コマンド

EMCTLコマンド説明

EMCTLコマンド	説明
`emctl secdiag openurl -url <url> [-trust_store <location of jks or base64 file>] [-ssl_protocol <protocol>] [-cipher <low\|medium\|high\|some_ciphersuite_name>] [-proxy_host <host> -proxy_port <port>] [-proxy_realm <realm>] [-proxy_user <user> -proxy_pwd <pwd>]`	指定されたURLへの接続性の問題を診断します。パラメータについて次に説明します。 `-url:` テストするURLを示します。 `-trust_store:` トラスト・ストアの場所を示します。`jks`または`base64`ファイルです。指定しないと、接続は無条件に信頼されることになります。 `-ssl protocol:` 接続を確立するために使用されるプロトコルを示します。 `-cipher:` 使用される暗号スイートを示します。low、medium、highまたは暗号スイート名を指定できます。 `-proxy_host:` プロキシ・サーバーのホスト名を示します。 `-proxy_port:` プロキシ・サーバーのポート番号を示します。 `-proxy_realm:` プロキシ・サーバーのレルムを示します。 `-proxy_user:` プロキシ・ユーザーのIDを示します。 `-proxy_password:` プロキシ・ユーザーのパスワードを示します。
`emctl secdiag dumpcertsinrepos -repos_conndesc <connect desriptor> [-repos_pwd <pwd>]`	指定されたリポジトリに格納された信頼できる証明書を表示します。
`emctl secdiag dumpcertsinfile -file <location of jks/sso/p12/base64 file>`	指定されたキーストア、ウォレットまたはbase64ファイルにある信頼できる証明書を表示します。

emctl secdiag openurl -url <url> [-trust_store <location of jks or base64 file>] [-ssl_protocol <protocol>] [-cipher <low|medium|high|some_ciphersuite_name>] [-proxy_host <host> -proxy_port <port>] [-proxy_realm <realm>] [-proxy_user <user> -proxy_pwd <pwd>]

指定されたURLへの接続性の問題を診断します。

パラメータについて次に説明します。

-url: テストするURLを示します。
-trust_store: トラスト・ストアの場所を示します。jksまたはbase64ファイルです。指定しないと、接続は無条件に信頼されることになります。
-ssl protocol: 接続を確立するために使用されるプロトコルを示します。
-cipher: 使用される暗号スイートを示します。low、medium、highまたは暗号スイート名を指定できます。
-proxy_host: プロキシ・サーバーのホスト名を示します。
-proxy_port: プロキシ・サーバーのポート番号を示します。
-proxy_realm: プロキシ・サーバーのレルムを示します。
-proxy_user: プロキシ・ユーザーのIDを示します。
-proxy_password: プロキシ・ユーザーのパスワードを示します。

emctl secdiag dumpcertsinrepos -repos_conndesc <connect desriptor> [-repos_pwd <pwd>]

指定されたリポジトリに格納された信頼できる証明書を表示します。

emctl secdiag dumpcertsinfile -file <location of jks/sso/p12/base64 file>

指定されたキーストア、ウォレットまたはbase64ファイルにある信頼できる証明書を表示します。

EMCTL EMキー・コマンド

表7-6に、EMCTLのEMキー・コマンドを示します。

表7-6 EMCTLのEMキー・コマンド

EMCTLコマンド	説明
`emctl status emkey [-sysman_pwd <パスワード>]`	`emkey`の状態またはステータスを表示します。
`emctl config emkey -copy_to_credstore [-sysman_pwd <パスワード>]`	`emkey`を管理リポジトリから資格証明ストアにコピーします。
`emctl config emkey -remove_from_repos [-sysman_pwd <パスワード>]`	`emkey`を管理リポジトリから削除します。
`emctl config emkey -copy_to_file_from_credstore -admin_host <ホスト> -admin_port <ポート> -admin_user <ユーザー名> [-admin_pwd <パスワード>] [-repos_pwd <パスワード>] -emkey_file <emkeyファイル>`	`emkey`を資格証明ストアから指定されたファイルにコピーします。
`emctl config emkey -copy_to_file_from_repos (-repos_host <ホスト> -repos_port <ポート> -repos_sid <SID> \| -repos_conndesc <接続記述子>) -repos_user <ユーザー名> [-repos_pwd <パスワード>] [-admin_pwd <パスワード>] -emkey_file <emkeyファイル>`	`emkey`を管理リポジトリから指定されたファイルにコピーします。
`emctl config emkey -copy_to_credstore_from_file -admin_host <ホスト> -admin_port <ポート> -admin_user <ユーザー名> [-admin_pwd <パスワード>] [-repos_pwd <パスワード>] -emkey_file <emkeyファイル>`	`emkey`を指定されたファイルから資格証明ストアにコピーします。
`emctl config emkey -copy_to_repos_from_file (-repos_host <ホスト> -repos_port <ポート> -repos_sid <SID> \| -repos_conndesc <接続記述子>) -repos_user <ユーザー名> [-repos_pwd <パスワード>] [-admin_pwd <パスワード>] -emkey_file <emkeyファイル>`	`emkey`を指定されたファイルから管理リポジトリにコピーします。

認証の構成

この項では、認証を構成するためのEMCTLコマンドについて説明します。

この項で説明するコマンドは次のとおりです。

これらのすべてのコマンドのパラメータについて次に説明します。

-enable_auto_provisioning: EMでの自動プロビジョニングを有効にします(この場合、外部LDAPユーザーをEMで手動でプロビジョニングする必要はありません)。
-auto_provisioning_minimum_role <min_role>: LDAPでmin_roleが付与されているEMの外部ユーザーのみを自動プロビジョニングします。
-minimum_privilege <min_priv>: min_privが付与されていないユーザーがEMにアクセスできないようにします。
-use_ssl: LDAPサーバーに接続するためのSSLを示します。
-cert_file <cert>: SSLによるLDAPサーバーへの接続時に信頼を確立するためのLDAPサーバー証明書を示します。このオプションは、LDAPサーバーが一般的でない(または信頼できない)認証局によって署名された証明書を持つ場合に指定します。

ノート:

このパラメータは、1つの証明書のみ受け入れます。証明連鎖のインポートはサポートされていません。このコマンドを実行する前に、keytoolユーティリティを使用して証明書をインポートします。
-trust_cacerts: LDAPサーバーへの接続時にLDAPサーバーの証明書への信頼を確立します。通常、このパラメータは、証明書が既知の認証局によって署名されている場合に使用します。
-keystore_pwd <passwd>: デフォルトのDemoTrust.jksキーストア(デフォルトのパスワードが変更された場合)、または検証の一部としてLDAPサーバーの証明書がインポートされるカスタムkeystoreのパスワードを示します。
-use_anonymous_bind: LDAPサーバーに接続するために匿名バインドを使用します。

OSSO認証の構成

EMCTL OSSO認証コマンドは、Oracle Application Server Single Sign-Onを使用して任意のシングル・サインオン・ユーザーをEnterprise Manager管理者として登録するように、Enterprise Managerを構成します。OSSO認証を構成するためのEMCTLコマンドは次のとおりです。

emctl config auth sso -ossoconf <conf file loc> -dasurl <DAS URL> [-unsecure] [-sysman_pwd <pwd>] [-domain <domain>] -ldap_host <ldap host> -ldap_port <ldap port> -ldap_principal <ldap principal> [-ldap_credential <ldap credential>] -user_base_dn <user base DN> -group_base_dn <group base DN> [-logout_url <sso logout url>] [-enable_auto_provisioning] [-auto_provisioning_minimum_role <min_role>] [-minimum_privilege <min_priv>] [-use_ssl] [-cert_file <cert>] [-trust_cacerts] [-use_anonymous_bind] [-keystore_pwd <passwd>]

たとえば、emctl config auth sso -ossoconf $T_WORK/osso.conf -dasurl "http://xxx.oracle.com:11" -sysman_pwd sysman -ldap_host xxx.oracle.com -ldap_port 111 -ldap_principal cn=orcladmin -ldap_credential ackdele1 -user_base_dn "cn=Users,dc=us,dc=oracle,dc=com" -group_base_dn "cn=Groups,dc=us,dc=oracle,dc=com" -logout_url "http://xxx.oracle.com:11/pls/orasso/orasso.wwsso_app_admin.ls_logout?p_done_url=https//xyy.oracle.com:216/emです。

OAM認証の構成

Oracle Access Manager認証は、Oracle Fusion Middlewareのシングル・サインオン・ソリューションです。この認証スキームは、すべてのエンタープライズ・アプリケーションにわたる認証用の中心的ツールとしてOracle Access Managerで標準化されたデータ・センターに使用されます。OAM認証を構成するためのEMCTLコマンドは次のとおりです。

emctl config auth oam [-sysman_pwd <pwd>] -oid_host <host> -oid_port <port> -oid_principal <principal> [-oid_credential <credential>] [-use_anonymous_bind] -user_base_dn <dn> -group_base_dn <dn> -oam_host <host< -oam_port <port> [-logout_url <url>] [-is_oam10g] [-user_dn <dn>] [-group_dn <dn>] [-enable_auto_provisioning] [-auto_provisioning_minimum_role <min_role>] [-minimum_privilege <min_priv>] [-use_ssl] [-cert_file <cert>] [-trust_cacerts] [-keystore_pwd <passwd>]

たとえば、emctl config auth oam -oid_host "xxx.oracle.com" -oid_port "111" -oid_principal "cn=orcladmin" -user_base_dn "cn=users,dc=us,dc=oracle,dc=com" -group_base_dn "cn=groups,dc=us,dc=oracle,dc=com" -oam_host "xxx.oracle.com" -oam_port "555" -oid_credential "eldleco1" -sysman_pwd "sysman" -logout_url http://xxx.oracle.com:23716/oam/server/logout?end_url=https://yyy.oracle.com:5416/em -enable_auto_provisioning -auto_provisioning_minimum_role “EM_DBA"です。

LDAP (OIDおよびAD)認証の構成

OID認証を構成するためのEMCTLコマンドは次のとおりです。ADの場合、次のコマンド構文emctl config auth oidをemctl config auth adと置き換えます。その他のパラメータはすべて同じままにします。

OID認証コマンドは、OIDに対するユーザーの認証を行うために、すべてのアプリケーションのアイデンティティ・ストアとしてOracle Internet Directoryを構成します。

同様に、AD認証コマンドは、ADに対するユーザーの認証を行うために、すべてのアプリケーションのアイデンティティ・ストアとしてMicrosoft Active Directoryを構成します。

emctl config auth oid -ldap_host <ldap host> -ldap_port <ldap port> -ldap_principal <ldap principal> [-ldap_credential <ldap credential>] [-sysman_pwd <pwd>] -user_base_dn <user base DN> -group_base_dn <group base DN> [-user_dn <dn>] [-group_dn <dn>] [-enable_auto_provisioning] [-auto_provisioning_minimum_role <min_role>] [-minimum_privilege <min_priv>] [-use_ssl] [-cert_file <cert>] [-trust_cacerts] [-use_anonymous_bind] [-keystore_pwd <passwd>]

たとえば、emctl config auth oid -ldap_host "xxx.oracle.com" -ldap_port "111" -ldap_principal "cn=orcladmin" -user_base_dn "cn=users,dc=us,dc=oracle,dc=com" -group_base_dn "cn=groups,dc=us,dc=oracle,dc=com" -ldap_credential "elecmee1" -sysman_pwd "sysman" –use_ssl –cert_file “/scratch/oidcert.txt"です。

リポジトリ認証(デフォルトの認証)の構成

リポジトリ認証コマンドは、認証を行うために管理リポジトリに対するユーザー資格証明を検証します。リポジトリ認証を構成するためのEMCTLコマンドは次のとおりです。

emctl config auth repos [-sysman_pwd <pwd>]