5 Oracle Database Applianceでのマルチユーザー・アクセスの実装
Oracle Database Applianceでマルチユーザー・アクセスを実装する方法、そのメリットと制限事項およびアプライアンスに関連するライフサイクル管理の変更について説明します。
注意:
ベア・メタル・システムでOracle Database Applianceをプロビジョニングするときにのみマルチユーザー・アクセスを有効にでき、アプライアンスをプロビジョニングおよびデプロイした後は、マルチユーザー・アクセスをロールバックできません。マルチユーザー・アクセス機能をデプロイすると、Oracle Database Appliance管理モデルが変更されます。この機能を使用する前に、ロール分離要件を評価してください。最初にテスト・システムにデプロイすると、新しい管理モデルの評価に役立ちます。ノート:
Oracle Database Appliance DBシステムでは、マルチユーザー・アクセスを有効にできません。DBシステムごとに1つのデータベースのみを作成できるため、DBシステムではロールの分離は必要ありません。- Oracle Database Applianceでのマルチユーザー・アクセスについて
アプライアンスをプロビジョニングする前に、マルチユーザー・アクセスによってシステムのセキュリティが強化され、ロール分離のための効率的なメカニズムが提供される仕組みを説明します。 - マルチユーザー・アクセス対応のOracle Database Applianceシステムでのユーザー、ロール、権限および操作について
マルチユーザー・アクセスを有効にしてアプライアンスをプロビジョニングする場合のユーザー、ロール、権限および操作について説明します。 - リソース・アクセスの付与と取消しについて
マルチユーザー・アクセスにより、リソースへの排他的アクセスまたは共有アクセスが可能になります。共有リソース・アクセスに関する例を確認します。 - マルチユーザー・アクセスを使用したOracle Database Applianceのプロビジョニング
マルチユーザー・アクセスを有効にできるのは、CLIコマンドまたはブラウザ・ユーザー・インタフェースを使用してOracle Database Applianceをプロビジョニングする場合のみです。 - マルチユーザー・アクセスを使用したOracle Database Applianceでのユーザーの作成、表示および削除
マルチユーザー・アクセスを有効にしてアプライアンスをプロビジョニングした後に、特定の権限を持つユーザーを作成できます。 - マルチユーザー・アクセスを使用したOracle Database Applianceでの新規ユーザーのアクティブ化
マルチユーザー・アクセスが有効なOracle Database Applianceで新規ユーザーをアクティブ化する方法を説明します。 - マルチユーザー・アクセスを使用したOracle Database Applianceでのリソース・アクセスの付与および取消し
アプライアンスでのリソース・アクセスを付与したり、取り消すことができます。 - マルチユーザー・アクセスを使用したOracle Database Applianceでのロール、操作および権限の表示
アプライアンスでロールと権限を表示できます。 - マルチユーザー・アクセスを使用したOracle Database Applianceでのデータベースおよびデータベース・ホームの管理
マルチユーザー・アクセスのOracle Database Applianceで作成されたカスタム・ユーザーは、データベースとデータベース・ホームをデプロイおよび管理できます。 - マルチユーザー・アクセスを使用したOracle Database Applianceのユーザー・アカウントのパスワードの変更
マルチユーザー・アクセスのOracle Database Applianceでパスワードを管理する方法を説明します。 - マルチユーザー・アクセスを使用したOracle Database Applianceのロックされたユーザー・アカウントのパスワードのリセット
マルチユーザー・アクセスのOracle Database Applianceでパスワードをリセットする方法を説明します。
Oracle Database Applianceでのマルチユーザー・アクセスについて
アプライアンスをプロビジョニングする前に、マルチユーザー・アクセスによってシステムのセキュリティが強化され、ロール分離のための効率的なメカニズムが提供される仕組みを説明します。
現在、ユーザー名とパスワードがある1つのOracle Database Applianceアカウントを使用して、アプライアンスへの安全な接続、ODACLIコマンドの実行、BUIへのログインを行っています。rootユーザーは、Oracle Database Applianceに対するすべての管理を実行します。マルチユーザー・アクセスでは、データベースを管理するデータベース管理者に個別のアクセスを提供できます。ブラウザ・ユーザー・インタフェース内のリソースの表示も、ユーザー・ロールごとにフィルタされます。rootアクセスは、システム・ログにアクセスしたり、問題をデバッグするためにrootアクセスを必要とするOracle Database Applianceシステム管理者に制限されています。
マルチユーザー・アクセスを有効にする場合は、ロールが異なる複数のユーザーを作成して、それらのユーザーが他のユーザーが作成したリソースにアクセスできないようにしたり、ODACLIコマンドまたはブラウザ・ユーザー・インタフェース(BUI)を使用して実行できる操作のセットを制限します。設定したのと同じユーザー資格情報を使用して、BUIにログインしたり、ODACLIコマンドを実行できます。また、BUIでは、リソース・セットへのアクセスに基づいてリソースと情報が表示されます。別の「Multi-User Access Management」タブは、システム内のユーザーおよびリソースを管理するodaadminユーザーのみが使用できます。
ノート:
マルチユーザー・アクセスを有効にすると、Oracle Database Appliance管理者はodaadminになります。このユーザーはアプライアンス上のすべてのリソースへのアクセス権を持ち、同じ資格証明セットを使用してODACLIまたはBUIで、すべての操作を実行できます。マルチユーザー・アクセスを有効にしない場合、BUIへのログインに使用するユーザー名はoda-adminです。
ノート:
ODACLIセッション管理用の認証トークン・サポートは、マルチユーザー・アクセスのユーザー・アカウントにリンクされています。rootはオペレーティング・システム管理ユーザーであり、マルチユーザー・アクセスのユーザーではないため、ユーザーがrootとしてログインしている場合は認証トークン・ベースのセッション管理システムはサポートされません。そのため、ODACLIコマンドを実行するには、Oracle Database Applianceアカウントのユーザー名およびパスワードを指定する必要があります。
マルチユーザー・アクセスを有効にするメリット
- マルチユーザー・アクセス機能は、作成、アクティブ化、更新、非アクティブ化、削除、資格証明管理などのユーザー・ライフサイクル管理をサポートします。
- マルチユーザー・アクセスを使用することで、同じ組織内の財務や人事などの複数の部門がOracle Database Applianceを統合プラットフォームとして使用して、データベースを安全にホストできます。これは、各部門の権限を持つユーザーのみが、その部門データベースにアクセスし、データベースのライフサイクル管理操作を実行できるためです。
- rootアクセス・ポリシーによる制限事項がある組織は、マルチユーザー・アクセスを使用して、制限付きロールを持つ個別のユーザーを作成できます。
- マルチユーザー・アクセスがない場合、プロビジョニング中にデフォルト・データベース・ユーザーが選択したとおりにすべてのデータベースが作成されていました。したがって、
sudoベースのマルチユーザー環境であっても、ODA管理者はリソースの使用状況を追跡できませんでした。データベース・レベルでそのようなレポートを作成できるようになりました。 - マルチユーザー・アクセス機能は、トークンベースのセッション管理をサポートします。ユーザーがパスワードを入力するのは、最初の
odacliコマンドを実行する場合のみです。その後、トークンが生成され、その有効期限が切れるまでユーザーはパスワードを再度入力する必要がありません。odacliコマンドが実行されるたびに、有効期限が120分またはodaadminユーザーによって構成された値である新しいトークンで既存のトークンがリフレッシュされます。つまり、odacliセッションが失効期間にアイドルでない場合、ユーザーはパスワードを再度入力する必要がありません。 - Basic認証モードとmTLSモードの両方の認証がサポートされています。ODACLIおよびBUIはBasic認証を使用します。
oracleやgridなどのユーザーは、mTLSベースの認証を使用してDCSエージェントに対する特定の操作を実行することもできます。Basic認証はパスワードベースの認証スキームです。mTLSは、認証が完了する前に、クライアント(ユーザー)とサーバー(DCSエージェント)の両方が相互に存在し、互いの証明書を認証する証明書ベースの認証スキームです。 - マルチユーザー・アクセスは、複数のログイン試行の失敗やパスワードの有効期限でのユーザー・アカウントのロックを提供します。パスワードを忘れた場合に、アカウントのロックを解除してリセットすることもできます。
ノート:
Oracle Database Applianceをプロビジョニングするときにのみマルチユーザー・アクセスを有効にでき、アプライアンスをプロビジョニングおよびデプロイした後は、マルチユーザー・アクセスをロールバックできません。最初にテスト・システムで機能をプロビジョニングしてから、その機能を本番システムにデプロイします。マルチユーザー・アクセス対応のOracle Database Applianceシステムでのユーザー、ロール、権限および操作について
マルチユーザー・アクセスを有効にしてアプライアンスをプロビジョニングする場合のユーザー、ロール、権限および操作について説明します。
ノート:
マルチユーザー・アクセスが有効なデプロイメントでは、oda-adminユーザーが存在しないことに注意してください。ODA管理ユーザー名は、odaadminです。管理権限を持つ最初のユーザーがodaadminと呼ばれます。このユーザーは、BUIにログインしてODACLIコマンドを実行できます。このユーザーは、必要に応じて、ロールおよび権限を持つ他のユーザー・アカウントを作成することもできます。
ロール、権限および操作について
マルチユーザー対応のOracle Database Applianceシステムでは、各ユーザーに1つ以上のロールを割り当てることができます。各ロールには、ODACLIまたはBUIを使用して特定の一連の操作のみを実行することをユーザーに許可する一連の権限が含まれています。各権限は、類似した一連の操作のグループです。たとえば、PROVISIONDB-MGMTは、create-database、clone-database、delete-database、register-databaseなどのプロビジョニング関連の操作を含む権限です。同様に、BACKUPDB-MGMTには、create-backup、delete-backup、irestore-database、recover-databaseなどのバックアップ関連の操作が含まれています。ODA-DBロールは、PROVISIONDB-MGMT、BACKUPDB-MGMT、PATCHDB-MGMTなどの権限のコレクションにアクセスできます。ODA-DBロールを持つユーザーは、所有するデータベースに対してすべてのデータベース・ライフサイクル管理操作を実行できます。また、ODA-DBロールを持つユーザーがODA-GRIDロールも付与されると、Oracle Grid Infrastructure関連の操作を実行できるようになります。
ロールは内部または外部にできます。内部ロールはシステム・ユーザーに割り当てられ、Oracle Database Applianceシステムの管理のために内部的に使用されます。たとえば、ODA-ADMINISTRATORロールが、アプライアンスまたは関連するエンティティを管理するOracle Database Applianceシステム管理者に割り当てられます。もう1つの例は、ODA-DBVMINFRAロールを持つシステム・ユーザーを使用してベア・メタルと通信するDBシステムです。
外部ロールは、Oracle Database Applianceシステム管理者であるodaadminによって作成された新規ユーザーに付与できます。たとえば、odaadminは、ODA-DBロールを持つ新しいユーザーodadb1を作成します。このユーザーodadb1は、付与されたロールにより、データベースを作成し、ライフサイクル管理操作を実行できます。1人のユーザーに1つ以上のロールを割り当てることができます。
Oracle Database Applianceでのマルチユーザー・アクセスに伴うODACLIコマンドの変更のトピックでは、マルチユーザー・アクセスのために変更されるODACLIコマンドと、コマンドの実行に必要な権限について説明します。
マルチユーザー・アクセスのユーザー・ロール
Oracle Database Applianceでマルチユーザー・アクセスを有効にすると、次のユーザー・ロールを使用できます。
- ODA-ADMINISTRATOR: これは、Oracle Database Applianceのプロビジョニング中に作成された最初のユーザー(
odaadmin)に割り当てられる内部ロールです。このロールによって、odaadminは、すべてのODACLIコマンドを実行したり、すべてのブラウザ・ユーザー・インタフェース(BUI)操作を実行できます。このロールは、odaadminによって作成される新規ユーザーに割り当てることはできません。odaadminアカウントは、任意のリソースに対して任意の操作(コマンド)を実行できる管理者ロールです。たとえば、ユーザーoda1はデータベースdb1を作成し、ユーザーoda2はデータベースdb2を作成します。各ユーザーは、それぞれ自分のデータベースに対してのみライフサイクル管理操作を実行できます。しかし、odaadminはodacliコマンドを実行して、両方のデータベースにパッチを適用できます。これにより、DBA (oda1およびoda2)と全体的な管理者(odaadmin)の両方が、自分のロールに固有の機能を実行できます。 - ODA-DB: これは、
odaadminが新しく作成したユーザーに割り当てることができる外部ロールです。このロールによってユーザーは、作成、変更、リストア、リカバリ、バックアップ、パッチ、クローン、移動、登録、削除などのデータベース管理操作を実行できます。 - ODA-OAKDROOT: これは、プロビジョニング中に作成されたシステム・ユーザー
oakdrootに割り当てられる内部ロールで、DCSエージェントに対するget-disksやrelease-disksなどの特定の操作を実行するためにOAKDによって使用されます。 - ODA-GRID: これは、
gridユーザーに割り当てられる内部ロールです。このロールによってユーザーは、Oracle Grid Infrastructure関連の操作を実行できます。 - ODA-DBVMINFRA: これは、DBシステムのプロビジョニング時にベア・メタル・システムで作成されたDBVMユーザーに割り当てられる内部ロールです。このロールによって、ユーザーはDBシステムとベア・メタル・システムの間でメタデータを同期できます。
リソース・アクセスの付与と取消しについて
マルチユーザー・アクセスにより、リソースへの排他的アクセスまたは共有アクセスが可能になります。共有リソース・アクセスに関する例を確認します。
マルチユーザー・アクセスにより、リソースへの排他的アクセスまたは共有アクセスが可能になります。各ユーザーが独自のデータベース・ホームを作成し、そのホームでデータベースを作成することをお薦めします。これにより、各ユーザーがデータベースに排他的にアクセスできる職務を効率的に分離できます。ただし、ディスク領域の不足などの例外的な状況では、ユーザーは管理者odaadminに別のユーザーが所有するリソースへの共有アクセス権を付与するようにリクエストできます。
たとえば、ユーザーoda1がバージョン19cのデータベースを作成するときに、別のユーザーoda2によって作成された同じバージョンのデータベース・ホームDBH2がすでに存在する場合があります。ユーザーoda2の同意により、ユーザーoda1は、odaadminユーザーにデータベース・ホームDBH2への共有アクセス権を付与するようにリクエストできるようになりました。共有アクセス権が付与されたら、ユーザーoda1は、共有データベース・ホームDBH2でデータベースdb1を作成して管理できます。データベース・ホームDBH2はユーザーoda2によって所有されているため、ユーザーoda1は、SYSユーザーのパスワードによってのみデータベースdb1に接続でき、オペレーティング・システム認証に基づくパスワードレス接続では接続できません。データベース・ホーム、データベース・ストレージ、データベースなどのOracle Database Applianceリソースは、オンデマンドで同様の方法でユーザー間で共有できます。ただし、共有リソースを管理するセカンダリ所有者には制限があります。
マルチユーザー・アクセスを使用したOracle Database Applianceのプロビジョニング
CLIコマンドまたはブラウザ・ユーザー・インタフェースを使用してOracle Database Applianceをプロビジョニングする場合のみ、マルチユーザー・アクセスを有効にできます。
注意:
ベア・メタル・システムでOracle Database Applianceをプロビジョニングするときにのみマルチユーザー・アクセスを有効にでき、アプライアンスをプロビジョニングおよびデプロイした後は、マルチユーザー・アクセスをロールバックできません。マルチユーザー・アクセス機能をデプロイすると、Oracle Database Appliance管理モデルが変更されます。この機能を使用する前に、ロール分離要件を評価してください。最初にテスト・システムにデプロイすると、新しい管理モデルの評価に役立ちます。ノート:
JSONファイルを使用してマルチユーザー・アクセス対応のOracle Database Applianceをプロビジョニングする場合、トークンの有効期限、パスワードの有効期限、ログイン試行の最大失敗回数およびその他の詳細を指定できます。これらの値は、ブラウザ・ユーザー・インタフェースを使用してマルチユーザー・アクセスを構成しOracle Database Applianceをプロビジョニングする場合はブラウザ・ユーザー・インタフェースから1回かぎりのアクティビティとして指定することもできます。マルチユーザー・アクセス対応のOracle Database Applianceのプロビジョニングの全ステップ
- マルチユーザー・アクセスを有効にします。
- JSONファイルを使用してアプライアンスをプロビジョニングする場合は、
prov_req.jsonファイルに属性"isMultiUserAccessEnabled": trueを追加します。属性がfalseに設定されているか、prov_req.jsonファイルに存在しない場合は、アプライアンスのプロビジョニング中にマルチユーザー・アクセスが有効になりません。"isRoleSeparated": true, "isMultiUserAccessEnabled": true, "osUserGroup": { "groups": [{ "groupId": 1001, "groupName": "oinstall", "groupRole": "oinstall" }, ...JSONファイルに次を追加して、マルチユーザー・アクセス属性を設定することもできます。}, "asr": null, "multiUserAccess": { "dcsUserPasswdExpDurationInDays": 90, "tokenExpirationInMins": 120, "maxNumFailedLoginAttempts": 3 } }これらの属性の値は、次のとおりです。- トークン有効期限(分): 指定できる最小値は10分、最大値は600分、デフォルトは120分です。
- パスワード有効期限(日数): 指定できる最小値は30日、最大値は180日、デフォルトは90日です。
- ログイン試行の最大失敗回数: 指定できる最小値は2、最大値は5、デフォルトは3です。
- ブラウザ・ユーザー・インタフェース(BUI)を使用してアプライアンスを作成する場合は、BUIのログイン・ページで「Enable Multi-User Access (N/A for DB System)」チェック・ボックスを選択します。
- JSONファイルを使用してアプライアンスをプロビジョニングする場合は、
odaadmin、oracleおよびgridユーザーのパスワードを指定します。これらはOracle Database Applianceシステム・ユーザーであり、作成中にそのアカウントがアクティブ化されます。odaadminユーザーはロールODA-ADMINISTRATORで作成され、oracleユーザーとgridユーザーはそれぞれODA_DBロールとODA_GRIDロールで作成されます。- システム内のユーザーに割り当てるために使用されるロールと権限のリストを使用して、マルチユーザー・アクセス・リポジトリが構成されます。
- 新しく作成されたユーザー資格証明を使用してアプライアンスにログインし、データベースをデプロイできるようになりました。
マルチユーザー・アクセスが有効なOracle Database Applianceのブラウザ・ユーザー・インタフェースを使用したプロビジョニング
- ブラウザ・ユーザー・インタフェースにアクセスします。
https://host-ip-address:7093/mgmt/index.html - 最初のログインでは、
odaadminロールが構成されていないため、ODAパスワードを指定し、マルチユーザー・アクセスを有効にするよう求められます。 - 「Enable Multi-User Access (N/A for DB System)」を選択し、ODAユーザーの強力なパスワードを指定します。
- 「Configure Multi-User Settings」をクリックしてから「User Password Expiry Duration (In Days)」、「Session Expiration for CLI (minutes)」および「Maximum Failed Login Attempts」を設定します。「Save」をクリックしてこれらの設定を保存し、BUIの「Login」ページに戻ります。
- 「Submit」をクリックします。ユーザーの作成に成功すると、確認メッセージが表示されます。
- 「OK」をクリックします。「Login」ページが表示されます。
- 「User Name」および「ODA Password」を指定して、「Login」をクリックします。マルチユーザー・アクセスが有効な場合、ODA管理ユーザー名は
odaadminであることに注意してください。マルチユーザー・アクセスが有効になっていない場合、ODA管理ユーザー名はoda-adminです。 - 「Create Appliance」ページで、アプライアンスを作成するための詳細を指定します。指定する必要がある情報の詳細は、アプライアンスの作成を参照してください。
- すべてのユーザーに同じパスワードを指定する場合は、「Assign same password for admin, oracle, grid users」を選択します。それ以外の場合は、
system admin、oracleおよびgridユーザーに異なるパスワードを指定します。 - 「Submit」をクリックして、マルチユーザー・アクセスが有効なアプライアンスを作成します。
- ジョブが発行され、ジョブへのリンクを含む確認ページが表示されます。リンクをクリックすると、ジョブの進捗、タスクおよびステータスが表示されます。ジョブ確認ページを閉じた後、「Activity」タブをクリックしてジョブの進捗を監視できます。ジョブ番号をクリックすると、タスクおよびステータスの詳細が表示されます。ページをリフレッシュするには、「Refresh」をクリックします。
マルチユーザー・アクセスを使用したOracle Database Applianceでのユーザーの作成、表示および削除
マルチユーザー・アクセスを有効にしてアプライアンスをプロビジョニングした後に、特定の権限を持つユーザーを作成できます。
ODACLIコマンドを使用したユーザーの作成、表示および削除
odaadminユーザーとしてアプライアンスに接続します。ssh odaadmin@oda-box hostname/IP- 任意のODACLIコマンドを実行し、プロンプトが表示されたら
odaadminパスワードを指定します。 - 認証が成功したら、次のコマンドを使用してユーザーを作成します。
odacli create-user –u username -r comma-separated role namesたとえば、データベースのライフサイクル管理権限を持つユーザーdbuser1を作成します。odacli create-user –u dbuser1 –r ODA-DBodaadminユーザーは、dbuser1を作成し、一時パスワードを割り当てます。 - 正常に作成された後に、
dbuser1ユーザーは一時パスワードを使用してアプライアンスにログインできます。 dbuser1はInactive状態です。次のコマンドを使用してこのユーザーをアクティブ化します。odacli activate-userパスワードを変更するように求められます。一時パスワードと新しいパスワードを入力し、新しいパスワードを確認します。
- 新しいパスワードを使用してアプライアンスにSSHで接続し、ODACLIコマンドを実行するか、ブラウザ・ユーザー・インタフェースに接続します。
odaadminユーザーは、システム内のすべてのユーザーを表示できます。# odacli list-users-
odaadminユーザーは、システム内のユーザーの詳細を表示できます。# odacli describe-user -u user_id - システム内のユーザーを削除します。
odaadminユーザーのみがシステム内のユーザーを削除できます。# odacli delete-user -u user_id
ブラウザ・ユーザー・インタフェースを使用したユーザーの作成、表示および削除
odaadminユーザーとしてブラウザ・ユーザー・インタフェースにログインします。https://host-ip-address:7093/mgmt/index.html- 「Multi-User Access」タブをクリックします。
- 左側のペインの「Users」リンクをクリックします。
- 「Create User」をクリックします。
- 「Create User」ページで、「User ID」を指定し、「Role」を指定し、このユーザーの「ODA Password」を指定します。BUIおよびODACLIコマンドでは、同じユーザー資格情報をログインに使用できます。
- オプションで、「Generate mTLS Certificate」をクリックしてmTLSベースの認証を有効にします。
- 「Create」をクリックします。
- ジョブが発行され、ジョブへのリンクを含む確認ページが表示されます。リンクをクリックすると、ジョブの進捗、タスクおよびステータスが表示されます。ジョブ確認ページを閉じた後、「Activity」タブをクリックしてジョブの進捗を監視できます。ジョブ番号をクリックすると、タスクおよびステータスの詳細が表示されます。ページをリフレッシュするには、「Refresh」をクリックします。
- 「Users」ページの「Multi-User Access」タブで、詳細を表示するユーザーのリンクをクリックします。
- ユーザーを削除するには、
odaadminユーザーとしてログインします。「Actions」ドロップダウン・リストで、「Delete」を選択します。削除できるのは、カスタム・タイプのユーザーのみです。
マルチユーザー・アクセスを使用したOracle Database Applianceでの新規ユーザーのアクティブ化
マルチユーザー・アクセスが有効なOracle Database Applianceで新規ユーザーをアクティブ化する方法を説明します。
ODACLIコマンドを使用したマルチユーザー・アクセス対応システムでの新規ユーザーのアクティブ化
odaadminによって新規ユーザーが正常に作成された後、新しいユーザー(たとえば、dbuser1)は、一時パスワードを使用してアプライアンスにログインできます。- 次のコマンドを使用してこのユーザーをアクティブ化します。
odacli activate-userパスワードを変更するように求められます。一時パスワードと新しいパスワードを入力し、新しいパスワードを確認します。
ブラウザ・ユーザー・インタフェースを使用したマルチユーザー・アクセス対応システムでの新規ユーザーのアクティブ化
odaadminによって新しいユーザーが作成された後に、新しいユーザーとしてブラウザ・ユーザー・インタフェースにログインします。https://host-ip-address:7093/mgmt/index.html- 「User Name」を指定し、「ODA Password」フィールドに一時パスワードを指定します。
- これは新しいアカウントであるため、アカウント・ステータスは
Inactiveです。新しいパスワードの指定と確認を求めるプロンプトが表示されます。 - 「Password」を指定して確認し、「Submit」をクリックします。
- パスワードの変更に成功したら、新しいパスワードでブラウザ・ユーザー・インタフェースにログインします。
マルチユーザー・アクセスを使用したOracle Database Applianceでのリソース・アクセスの付与および取消し
アプライアンスのリソース・アクセスを付与したり、取り消すことができます。
ODACLIコマンドを使用したリソース・アクセスの付与および取消し
- マルチユーザー・アクセスが有効なシステムでリソースへのアクセスを付与したり、取り消します。
# odacli grant-resource-access -ri resource_ID -u user_name # odacli revoke-resource-access -ri resource_ID -u user_name - マルチユーザー・アクセス・システムのDCSリソースへのアクセスを表示します。
# odacli describe-resource-access -ri resource_ID - マルチユーザー・アクセス・システムで定義されているすべてのDCSリソースへのアクセスを表示します。
# odacli list-resources-access -ao -rn resource_name -rt resource_type
ブラウザ・ユーザー・インタフェースを使用したリソース・アクセスの付与および取消し
odaadminとしてブラウザ・ユーザー・インタフェースにログインします。https://host-ip-address:7093/mgmt/index.html- 「Multi-User Access」タブをクリックします。
- 左側のペインの「Resources」リンクをクリックします。
- リソースをクリックして、詳細を表示します。
- リソースについて、「Actions」ドロップダウン・リストで「Grant Resource Access」を選択して、ユーザーにリソースへの共有アクセスを付与します。ドロップダウン・リストからユーザー名を選択し、「Grant」をクリックします。「Yes」をクリックして確認し、ジョブを送信します。
- ユーザーのリソースへのアクセス権を取り消すには、「Revoke Resource Access」を選択します。ドロップダウン・リストからユーザー名を選択し、「Revoke」をクリックします。「Yes」をクリックして確認し、ジョブを送信します。
マルチユーザー・アクセスを使用したOracle Database Applianceでのロール、操作および権限の表示
アプライアンスのロールおよび権限を表示できます。
ODACLIコマンドを使用したロール、操作および権限の表示
ノート:
Oracle Database Applianceリリース19.13では、スタンドアロンのOracle Database Applianceシステムでマルチユーザー・アクセス機能を使用できます。プロビジョニング中、単一のドメインおよびテナンシがデフォルトで作成され、すべてのユーザーがデフォルトのドメインおよびテナンシ内に作成されます。- システムで定義されているすべてのロールを表示します。
# odacli list-user-roles - システム内のユーザー・ロールの詳細を表示します。
# odacli describe-user-role -n role_name - システムで定義されているすべての権限を表示します。
# odacli list-user-entitlements - システム内の権限の詳細を表示します。
# odacli describe-user-entitlement -n entitlement_name - システムで定義されているすべての操作を表示します。
# odacli list-user-operations - システム内の操作の詳細を表示します。
# odacli describe-user-operation -n operation_name - システムで定義されているドメインを表示します。このリリースでは、これがデフォルト・ドメインです。
# odacli list-domains - システム内のドメインの詳細を表示します。
# odacli describe-domain -dn domain_name - マルチユーザー・アクセスが有効なドメイン内のテナントを表示します。このリリースでは、これがデフォルトのテナンシです。
# odacli list-tenants - マルチユーザー・アクセスが有効なドメイン内のテナントの詳細を表示します。
# odacli describe-tenant -tn tenant_name
ブラウザ・ユーザー・インタフェースを使用したロール、操作および権限の表示
odaadminとしてブラウザ・ユーザー・インタフェースにログインします。https://host-ip-address:7093/mgmt/index.html- 「Multi-User Access」タブをクリックします。
- 左側のペインの「Roles」リンクをクリックします。システムで定義されているロールが表示されます。これらのロールは編集または更新できません。
- 詳細を表示するには、ロールをクリックします。
- 左側のペインの「Entitlements」リンクをクリックします。システムで定義されている権限が表示されます。これらの権限は編集または更新できません。
- 詳細を表示するには、権限をクリックします。
マルチユーザー・アクセスを使用したOracle Database Applianceでのデータベースおよびデータベース・ホームの管理
マルチユーザー・アクセスのOracle Database Applianceで作成されたカスタム・ユーザーは、データベースとデータベース・ホームをデプロイおよび管理できます。
dbuser1を作成した後に、次のようにしてデータベースを管理します。
ODACLIコマンドを使用したデータベースとデータベース・ホームの作成およびリスト
dbuser1としてアプライアンスに接続します。ssh dbuser1@oda-box hostname/IP- データベースを作成します。
odacli create-database -n dbName -v dbVersion odacli list-databasesを実行して、dbuser1が所有するデータベースを表示します。odacli list-databasesODA-DBロールを持つ別のユーザーは、dbuser1が所有するリソースを使用してデータベース・ホームを作成できないため、ロールの分離が保証されます。- マルチユーザーアクセスが有効になっている場合は、アプライアンスに対して
-allオプションを使用して、システム内のすべてのデータベースを表示します。odacli list-databases -all - マルチユーザーアクセスが有効になっている場合は、アプライアンスに対して
-allオプションを使用して、システム内のすべてのデータベース・ホームを表示します。odacli list-dbhomes -all
ブラウザ・ユーザー・インタフェースを使用したデータベースとデータベース・ホームの作成およびリスト
dbuser1としてブラウザ・ユーザー・インタフェースにログインします。https://host-ip-address:7093/mgmt/index.html- 「Database」タブをクリックします。
- 「Show All Databases」をクリックします。システム内のすべてのデータベースの読取り専用リストが表示されます。
- 左側のペインの「Database Home」リンクをクリックします。
- 「Show All Database Homes」をクリックします。システム内のすべてのデータベース・ホームの読取り専用リストが表示されます。
マルチユーザー・アクセスを使用したOracle Database Applianceでのユーザー・アカウントのパスワードの変更
マルチユーザー・アクセスOracle Database Applianceでパスワードを管理する方法を説明します。
ODACLIコマンドを使用したマルチユーザー・アクセス対応システムでのパスワードの変更
- アカウントがアクティブであるOracle Database Applianceユーザーのパスワードを変更できます。
odacli change-password
ブラウザ・ユーザー・インタフェースを使用したマルチユーザー・アクセス対応システムでのパスワードの変更
- パスワードを変更するユーザーとしてブラウザ・ユーザー・インタフェースにログインします。
https://host-ip-address:7093/mgmt/index.html - アカウントのパスワードをいつでも変更するには: ブラウザ・ユーザー・インタフェースの右上にある「Account」ドロップダウン・リストをクリックし、「Change Password」を選択します。
- 「Password」を指定して確認し、「Submit」をクリックします。
マルチユーザー・アクセスを使用したOracle Database Applianceでのロックされたユーザー・アカウントのパスワードのリセット
マルチユーザー・アクセスOracle Database Applianceでパスワードをリセットする方法を説明します。
ODACLIコマンドを使用したマルチユーザー・アクセスが有効なシステムでのロックされたユーザー・アカウントのパスワードのリセット
- ログイン試行の複数回の失敗またはパスワードの有効期限のためにロックされている
odaadminユーザー・アカウントをロック解除します。rootとしてログインします。- 次を実行します。
一時パスワードが/opt/oracle/dcs/bin/resetCredsForOdaAdmin.shodaadminユーザーに割り当てられます。 - 一時パスワードを使用して
odaadminユーザーとしてログインします。 - 次のコマンドを実行します。
一時パスワードを入力し、新規パスワードを指定および確認するように求められます。コマンドが正常に実行されると、ユーザー・アカウントのロックが解除されます。odacli reset-password
- ログイン試行の複数回の失敗またはパスワードの有効期限のためにロックされている管理者以外のユーザー・アカウントをロック解除します。
odaadminとしてログインします。- 次のコマンドを実行します。
odacli authorize-user一時パスワードを指定すると、アカウントのロックが解除されます。
- 一時パスワードを使用して、アカウントがロックされたユーザーとしてログインします。
- 次のコマンドを実行します。
一時パスワードを入力し、新規パスワードを指定および確認するように求められます。コマンドが正常に実行されると、ユーザーアカウントのロックが解除され、再アクティブ化されます。odacli reset-password
ブラウザ・ユーザー・インタフェースを使用したマルチユーザー・アクセスが有効なシステムでのロックされたユーザー・アカウントのパスワードのリセット
- ログイン試行の複数回の失敗またはパスワードの有効期限のためにロックされている管理者以外のユーザー・アカウントを次のようにロック解除します。
odaadminユーザーとしてブラウザ・ユーザー・インタフェースにログインします。https://host-ip-address:7093/mgmt/index.html- 「Users」ページの「Multi-User Access」タブで、パスワードをリセットするユーザーのリンクをクリックします。パスワードをリセットできるのは、カスタム・タイプのユーザーのみです。ユーザーのアカウント・ステータスは
LockedFailedLoginです。 - 「Actions」ドロップダウン・リストで、「Authorize Password Reset」を選択します。
- 「Authorize Password Reset」ページで「Temporary ODA Password」を指定して確認し、「Authorize」をクリックします。
- アカウントのロックが解除されているユーザーとしてブラウザ・ユーザー・インタフェースにログインします。「User Name」を指定し、「ODA Password」フィールドに一時パスワードを指定します。
- アカウントがロックされていたため、アカウント・ステータスは
CredentialResetです。新しいパスワードの指定と確認を求めるプロンプトが表示されます。 - 「Password」を指定して確認し、「Submit」をクリックします。
- パスワードの変更に成功したら、新しいパスワードでブラウザ・ユーザー・インタフェースにログインします。