Oracle Database Applianceでのマルチユーザー・アクセス
Oracle Database Applianceマルチユーザー・アクセスに関するFAQです。
Oracle Database Applianceでマルチユーザー・アクセスを有効にするメリットは何ですか。
マルチユーザー・アクセスは、認証、認可、リソース所有権およびアクセス制御のための拡張機能を提供します。 これは、ロール分離のための効率的なメカニズムの提供に役立ちます。 Oracle Database Appliance管理者は、特定のロールを持つユーザーを作成し、そのロールで許可される操作のみにこれらのユーザーを制限できます。 また、このロールの分離によって、あるユーザーが他のユーザーのリソースにアクセスできないように制限されるため、リソースの所有権が保証されます。 この分離により、統合に対する障壁がなくなります。 たとえば、部門別データベースの作成および管理を、分離の保持中に別の所有者に委任できます。 詳細は、ハードウェア・モデルのOracle Database Applianceデプロイメントおよびユーザーズ・ガイドの「Oracle Database Applianceでのマルチユーザー・アクセスの実装」の章を参照してください。
Oracle Database Applianceのプロビジョニングでは、マルチユーザー・アクセスがデフォルトで有効になっていますか。
いいえ。マルチユーザー・アクセスは、アプライアンスのプロビジョニング時にオプションを有効にすることを選択した場合にのみ、Oracle Database Applianceのプロビジョニング時に有効になります。
現在のOracle Database Applianceデプロイメントでマルチユーザー・アクセスを有効にできますか。
いいえ。マルチユーザー・アクセスを有効にするオプションは、Oracle Database Applianceの新規デプロイメントにのみ使用できます。 Oracle Database Applianceリリース19.13より前にプロビジョニングされた既存のOracle Database Applianceシステムは、Oracle Database Applianceリリース19.13以降へのパッチ適用後もマルチユーザー・アクセス機能なしで引き続き機能します。
Oracle Database Applianceでのプロビジョニング中にマルチユーザー・アクセスを有効にした後で無効にできますか。
いいえ。一度有効にすると、マルチユーザー・アクセスを無効にすることはできません。 最初にステージング・システムに機能をプロビジョニングしてから、本番システムにデプロイすることをお薦めします。
Oracle Database Applianceでマルチユーザー・アクセスを有効にした場合、ODACLIコマンドを実行するたびにパスワードを入力する必要がありますか。
いいえ。Oracle Database Applianceアカウントの資格証明でログインすると、ODACLIコマンドを初めて実行したときにのみパスワードの入力を求められます。 認証が成功すると、認証トークンが生成され、後続のODACLIコマンドの実行の認証に使用されます。 ODACLIコマンドごとに、認証トークンの有効期限と同じ間隔で認証トークンがさらにリフレッシュされます。 これは、システムがトークンの有効期間を超えてアイドル状態でない場合は、パスワードを一度だけ入力する必要があることを意味します。 トークンの有効期限のデフォルト値は120分で、アプライアンスのプロビジョニング時に最大600分まで構成できます。 ただし、Oracle Database Appliance管理者は、トークンの有効期限をデフォルト値から変更するときに、組織のセキュリティ・ポリシーを考慮することをお薦めします。
マルチユーザー・アクセスが有効になっている場合は、rootユーザーとしてアプライアンスにログインします。 認証トークンがサポートされていても、毎回パスワードを入力する必要があるのはなぜですか。
ODACLIセッション管理用の認証トークン・サポートは、マルチユーザー・アクセスのユーザー・アカウントにリンクされています。 rootはオペレーティング・システム管理ユーザーであり、マルチユーザー・アクセス・ユーザーではないため、認証トークン・ベースのセッション管理システムは、ユーザーがrootとしてログインした場合、サポートされません。 そのため、ODACLIコマンドを実行するには、Oracle Database Applianceアカウントのユーザー名およびパスワードを指定する必要があります。
rootアクセスは、Oracle Database Appliance管理者だけがroot権限が必要なタスクに対してのみ使用する必要があることに注意してください。 それ以外の場合は、odaadminを含むシステム内のすべてのマルチユーザー・アクセス・ユーザーが、割り当てられたOracle Database Appliance資格証明を使用する必要があります。
新しいロールと権限を作成できますか。
いいえ。このリリースでは、デフォルトのロールと権限がサポートされており、odaadminユーザーが新しいロールと権限を作成するプロビジョニングはありません。
マルチユーザー・アクセスの構成可能なパラメータは何ですか。
- Token expiration duration in minutes: 指定できる最小値は10分で、最大値は600分で、デフォルトは120分です。
- Password expiration duration in days: 指定できる最小値は30日で、最大値は180日で、デフォルトは90日です。
- Maximum failed login attempts allowed: 指定できる最小値は2で、最大値は5で、デフォルトは3です。
マルチユーザー・アクセスを有効にしましたが、新規ユーザーを作成する予定はありません。 Oracle Database Applianceのすべての機能は以前と同じように機能しますか。
はい。 すべてのニーズについて、アプライアンスのプロビジョニング中にoracleUserおよびgridUserというロールで作成されたデフォルト・ユーザーとしてログインできます。
Oracle Database Applianceアカウントのパスワードを忘れた場合、どうなりますか。
Oracle Database Appliance管理者からの認可後に、Oracle Database Applianceアカウントのパスワードをリセットできます。 ODACLIまたはBUIを使用してパスワードをリセットできます。
間違ったパスワードを複数回入力するとどうなりますか。
「Maximum failed login attempts allowed」設定での定義に従って、連続ログイン試行が失敗するとアカウントがロックされます。 Oracle Database Appliance管理者から認可を取得した後でパスワードをリセットすることで、アカウントのロックを解除できます。 ODACLIまたはBUIを使用してパスワードをリセットできます。
私は、ODA-DBロールを持つodadmin以外のユーザーです。 自分の使用のために別のデータベース・ホームを作成する必要がありますか。
データベース・ホームを独自に作成し、データベース・ホームにデータベースを作成して、データベースを排他的に完全に制御して他のユーザーがアクセスできないようにすることをお薦めします。 ただし、例外的な状況では、別のデータベース・ホームへの共有アクセス権を付与するようにOracle Database Appliance管理者にリクエストできます。 共有データベース・ホームにデータベースを作成すると、データベースで実行できる操作が制限されます。
マルチユーザー・アクセスが有効なシステム上に作成できるユーザーの数に制限はありますか。
いいえ。デプロイメントに作成できるユーザー数の上限はありません。 実際のユーザー数は、アプライアンス上のCPUコア、ディスク領域、メモリーなどのハードウェア・リソースの可用性によって異なります。