5 Oracle Database Applianceでのマルチユーザー・アクセスの実装
Oracle Database Applianceにマルチユーザー・アクセスを実装する方法、そのメリットと制限事項およびアプライアンスに関連するライフサイクル管理の変更について説明します。
注意:
マルチユーザー・アクセスは、ベア・メタル・システムにOracle Database Applianceをプロビジョニングするときにのみを有効にできます。アプライアンスをプロビジョニングしてデプロイした後では、マルチユーザー・アクセスをロールバックできません。 マルチユーザー・アクセス機能をデプロイすると、Oracle Database Applianceの管理モデルが変更されます。 この機能を使用する前に、ロール分離の要件を評価してください。 最初にテスト・システムにデプロイすることが、新しい管理モデルの評価と査定に役立ちます。ノート:
Oracle Database Appliance DBシステムでは、マルチユーザー・アクセスを有効化できません。 DBシステムごとに1つのデータベースのみを作成できるため、DBシステムではロールの分離は必要ありません。- Oracle Database Applianceでのマルチユーザー・アクセスについて
アプライアンスのプロビジョニング前に、マルチユーザー・アクセスによってシステムのセキュリティが強化され、ロール分離のための効率的なメカニズムが提供される仕組みについて説明します。 - マルチユーザー・アクセス対応のOracle Database Applianceシステムでのユーザー、ロール、権限および操作について
マルチユーザー・アクセスを有効にしたアプライアンスをプロビジョニングするときのユーザー、ロール、権限および操作について説明します。 - リソース・アクセス権の付与と取消しについて
マルチユーザー・アクセスでは、リソースへの排他的アクセスまたは共有アクセスが可能になります。 ここに示す共有リソース・アクセスに関する例を確認してください。 - マルチユーザー・アクセスを使用するOracle Database Applianceのプロビジョニング
マルチユーザー・アクセスは、CLIコマンドまたはブラウザ・ユーザー・インタフェースを使用して、Oracle Database Applianceをプロビジョニングするときにのみ有効にできます。 - マルチユーザー・アクセスを使用するOracle Database Applianceでのユーザーの作成、表示および削除
マルチユーザー・アクセスを有効にしたアプライアンスをプロビジョニングすると、特定の権限を持つユーザーを作成できます。 - マルチユーザー・アクセスを使用するOracle Database Applianceでの新規ユーザーのアクティブ化
マルチユーザー・アクセス対応のOracle Database Applianceで新規ユーザーをアクティブ化する方法について説明します。 - マルチユーザー・アクセスを使用するOracle Database Applianceでのリソース・アクセス権の付与と取消し
アプライアンスのリソース・アクセス権は付与と取消しができます。 - マルチユーザー・アクセスを使用するOracle Database Applianceでのロール、操作および権限の表示
アプライアンスでのロールと権限を表示できます。 - マルチユーザー・アクセスを使用するOracle Database Applianceのデータベースとデータベース・ホームの管理
マルチユーザー・アクセスのOracle Database Applianceで作成したカスタム・ユーザーは、データベースとデータベース・ホームをデプロイおよび管理できます。 - マルチユーザー・アクセスを使用するOracle Database Applianceのユーザー・アカウントのパスワードの変更
マルチユーザー・アクセスのOracle Database Applianceでパスワードを管理する方法について説明します。 - マルチユーザー・アクセスを使用するOracle Database Applianceのロックされたユーザー・アカウントのパスワードのリセット
マルチユーザー・アクセスのOracle Database Applianceでパスワードをリセットする方法について説明します。
Oracle Database Applianceでのマルチユーザー・アクセスについて
アプライアンスのプロビジョニング前に、マルチユーザー・アクセスによってシステムのセキュリティが強化され、ロール分離のための効率的なメカニズムが提供される仕組みについて説明します。
現在、安全なアプライアンスへの接続、ODACLIコマンドの実行またはBUIへのログインのために、ユーザー名とパスワードによる1つのOracle Database Applianceアカウントが使用されています。 rootユーザーはOracle Database Applianceに対するすべての管理を実行します。 マルチユーザー・アクセスによって、データベースを管理するデータベース管理者に個別のアクセス権を提供するという選択肢が得られます。 ブラウザ・ユーザー・インタフェース内のリソースの表示についても、ユーザー・ロールごとにフィルタされます。 rootアクセス権は、rootアクセス権が必要になるシステム・ログへのアクセスや問題のデバッグのためにOracle Database Applianceシステム管理者に限定されています。
マルチユーザー・アクセスが有効な場合は、別のユーザーが作成したリソースへのアクセスが制限されるロールやODACLIコマンドまたはブラウザユーザーインタフェース(BUI)を使用して実行できる操作のセットも制限されるロールで複数のユーザーを作成します。 設定した同じユーザー資格情報は、BUIへのログインとODACLIコマンドの実行に使用できます。 さらに、BUIに表示される情報は、リソース・セットへのアクセス権に基づいたものになります。 個別の「Multi-User Access Management」タブは、システム内のユーザーとリソースを管理するために、odaadminユーザーのみが使用できます。
ノート:
マルチユーザー・アクセスが有効な場合、Oracle Database Appliance管理者はodaadminになります。 このユーザーはアプライアンスのすべてのリソースへのアクセス権があり、同じ資格セットを使用することで、ODACLIまたはBUIを使用したすべての操作を実行できます。 マルチユーザー・アクセスが有効でない場合、BUIへのログインに使用するユーザー名はoda-adminになります。
ノート:
ODACLIセッション管理用の認証トークン・サポートは、マルチユーザー・アクセスのユーザー・アカウントにリンクされています。rootはオペレーティング・システム管理ユーザーであり、マルチユーザー・アクセスのユーザーではないため、ユーザーがrootとしてログインしている場合は認証トークン・ベースのセッション管理システムはサポートされません。 そのため、ODACLIコマンドを実行するには、Oracle Database Applianceアカウントのユーザー名およびパスワードを指定する必要があります。
マルチユーザー・アクセスを有効にすることのメリット
- マルチユーザー・アクセス機能は、ユーザー・ライフサイクル管理(作成、アクティブ化、更新、非アクティブ化、削除、資格証明管理など)をサポートします。
- マルチユーザー・アクセスを使用することで、同じ組織内の財務や人事などの複数の部門は、それぞれの部門の権限を持つユーザーのみが、そのユーザーの部門のデータベースにアクセスしてデータベースのライフサイクル管理の操作を実行できるという安全な方法でデータベースをホストする統合プラットフォームとしてOracle Database Applianceを使用できます。
- ルート・アクセスのポリシー制限がある組織は、マルチユーザー・アクセスを使用して、制限付きのロールを付与した個別のユーザーを作成できます。
- マルチユーザー・アクセスがないときには、すべてのデータベースがプロビジョニング時に選択したデフォルト・データベース・ユーザーとして作成されていました。 そのため、
sudoベースのマルチユーザー環境であっても、ODA管理者はリソースの使用状況を追跡できませんでした。 現在、そのようなレポートはデータベース・レベルで作成できるようになりました。 - マルチユーザー・アクセス機能では、トークンベースのセッション管理がサポートされます。 ユーザーは、最初の
odacliコマンドを実行するときにのみパスワードを入力します。 その後、トークンが生成され、ユーザーはトークンの有効期限が切れるまでパスワードを再度入力する必要がなくなります。odacliコマンドの実行のたびに、既存のトークンは120分またはodaadminユーザーが構成した値で失効する新しいトークンでリフレッシュされます。 そのため、この失効期間が経過するまでodacliセッションがアイドル状態にならなければ、ユーザーはパスワードを再度入力する必要がありません。 - Basic認証モードとmTLSモードの両方の認証がサポートされています。 ODACLIおよびBUIでは、Basic認証を使用しています。
oracleやgridなどのユーザーは、mTLSベースの認証を使用することでDCSエージェントに特定の操作を実行することもできます。 Basic認証はパスワードベースの認証スキームです。mTLSは証明書ベースの認証スキームで、クライアント(ユーザー)とサーバー(DCSエージェント)の両方が互いの証明書を相互に提示して認可した後で認証が完了したとみなされます。 - マルチユーザー・アクセスは、ログイン試行の複数回の失敗やパスワードの失効に対応したユーザー・アカウントのロック機能を提供します。 また、パスワードを忘れた場合は、アカウントのロックを解除してリセットすることもできます。
ノート:
マルチユーザー・アクセスは、Oracle Database Applianceをプロビジョニングするときにのみを有効にできます。アプライアンスをプロビジョニングしてデプロイした後では、マルチユーザー・アクセスをロールバックできません。 この機能は、最初にテスト・システムにプロビジョニングしてから本番システムにデプロイしてください。マルチユーザー・アクセス対応のOracle Database Applianceシステムでのユーザー、ロール、権限および操作について
マルチユーザー・アクセスを有効にしたアプライアンスをプロビジョニングするときのユーザー、ロール、権限および操作について説明します。
ノート:
マルチユーザー・アクセスが有効なデプロイメントでは、oda-adminユーザーが存在しないことに注意してください。 ODA管理ユーザー名は、odaadminです。 管理権限のある最初のユーザーは、odaadminと呼ばれます。 このユーザーは、BUIへのログインとODACLIコマンドの実行が可能です。 また、このユーザーは、ロールおよび権限が付与された別のユーザー・アカウントを作成することもできます。
ロール、権限および操作について
マルチユーザー対応のOracle Database Applianceシステムでは、それぞれのユーザーに1つ以上のロールを割り当てることができます。 各ロールには、ユーザーにODACLIまたはBUIを使用して特定の操作のセットのみを実行することを許可する権限のセットが含まれています。 それぞれの権限は、同じような操作のセットのグループです。 たとえば、PROVISIONDB-MGMTは、プロビジョニング関連の操作(create-database、clone-database、delete-database、register-databaseなど)を含む権限です。 同様に、BACKUPDB-MGMTには、バックアップ関連の操作(create-backup、delete-backup、irestore-database、recover-databaseなど)が含まれます。 ODA-DBロールには、権限のコレクション(PROVISIONDB-MGMT、BACKUPDB-MGMT、PATCHDB-MGMTなど)へのアクセス権があります。 ODA-DBロールが付与されたユーザーは、そのユーザーが所有するデータベースに対してすべてのデータベース・ライフサイクル管理操作を実行できます。 また、ODA-DBロールに加えてODA-GRIDロールも付与されているユーザーは、Oracle Grid Infrastructure関連の操作を実行できるようになります。
ロールには内部的なものと外部的なものがあります。 内部ロールはシステム・ユーザーに割り当てられるもので、Oracle Database Applianceシステムの管理のために内部的に使用されます。 たとえば、ODA-ADMINISTRATORロールは、アプライアンスまたは関連するエンティティを管理するために、Oracle Database Applianceシステム管理者に割り当てます。 それとは別の例として、ODA-DBVMINFRAのロールが割り当てられたシステム・ユーザーを使用してベア・メタルと通信するDBシステムが挙げられます。
外部ロールは、Oracle Database Applianceシステム管理者のodaadminが作成した新規ユーザーに付与できます。 たとえば、odaadminが、ODA-DBというロールを割り当てた新しいユーザーodadb1を作成したとします。 このユーザーodadb1は、そのロールが付与されているために、データベースの作成とライフサイクル管理操作の実行権限を持ちます。 ユーザーには、1つ以上のロールを割り当てることができます。
トピック「Oracle Database Applianceでのマルチユーザー・アクセスを使用したODACLIコマンドの変更」では、マルチユーザー・アクセスのために変更されたODACLIコマンドと、コマンドの実行に必要な権限について説明しています。
マルチユーザー・アクセスのユーザー・ロール
Oracle Database Applianceのマルチユーザー・アクセスが有効になっているときには、次のユーザー・ロールを使用できます。
- ODA-ADMINISTRATOR: この内部ロールは、Oracle Database Applianceのプロビジョニング時に作成される最初のユーザー(
odaadmin)に割り当てられます。 このロールにより、odaadminには、すべてのODACLIコマンドを実行する権限またはブラウザ・ユーザー・インタフェース(BUI)のすべての操作を実行する権限が付与されます。 このロールは、odaadminが作成する新規ユーザーに割り当てることはできません。odaadminアカウントは、すべてのリソースに任意の操作(コマンド)を実行できる管理者ロールです。 たとえば、ユーザーoda1がデータベースdb1を作成して、ユーザーoda2がデータベースdb2を作成したとします。 それぞれのユーザーは、それぞれのデータベースのライフサイクル管理操作を実行できるようになります。 ただし、odaadminは、どちらのデータベースにもodacliコマンドを実行してパッチを適用できます。 これにより、DBA (oda1およびoda2)と全体的な管理者(odaadmin)の両方が、自分のロールに特有の機能を実行できるようになります。 - ODA-DB: この外部ロールは、新しく作成したユーザーに割り当てるために
odaadminが使用できます。 このロールにより、ユーザーにはデータベース管理操作(作成、変更、リストア、リカバリ、バックアップ、パッチ、クローン、移動、登録、削除など)を実行する権限が付与されます。 - ODA-OAKDROOT: この内部ロールは、プロビジョニング時に作成されるシステム・ユーザーの
oakdrootに割り当てられ、DCSエージェントで特定の操作(get-disksやrelease-disksなど)を実行するためにOAKDによって使用されます。 - ODA-GRID: この内部ロールは、
gridユーザーに割り当てられます。 このロールにより、ユーザーにはOracle Grid Infrastructure関連の操作を実行する権限が付与されます。 - ODA-DBVMINFRA: この内部ロールは、DBシステムのプロビジョニング時にベア・メタル・システムに作成されるDBVMユーザーに割り当てられます。 このロールにより、ユーザーにはDBシステムとベア・メタル・システムの間でメタデータを同期する権限が付与されます。
リソース・アクセス権の付与と取消しについて
マルチユーザー・アクセスでは、リソースへの排他的アクセスまたは共有アクセスが可能になります。 ここに示す共有リソース・アクセスに関する例を確認してください。
マルチユーザー・アクセスでは、リソースへの排他的アクセスまたは共有アクセスが可能になります。 それぞれのユーザーが独自のデータベース・ホームを作成してから、そのホームにデータベースを作成することをお薦めします。 これにより、それぞれのユーザーが自分のデータベースに排他的にアクセスする職務の分離の効率的な方法が提供されます。 ただし、ディスク領域の不足などの例外的な状況では、ユーザーは管理者odaadminに別のユーザーが所有するリソースへの共有アクセス権を付与するようにリクエストできます。
たとえば、ユーザーoda1がバージョン19cのデータベースを作成するときに、すでに別のユーザーoda2が作成した同じバージョンのデータベース・ホームDBH2が存在しているとします。 ユーザーoda2の同意があれば、ユーザーoda1は、odaadminユーザーにデータベース・ホームDBH2への共有アクセス権を付与するようにリクエストできます。 この共有アクセス権が付与されると、ユーザーoda1は、共有データベース・ホームDBH2にデータベースdb1を作成して管理できるようになります。 データベース・ホームDBH2はユーザーoda2が所有しているため、ユーザーoda1は、SYSユーザーのパスワードによってのみデータベースdb1に接続できますが、オペレーティング・システム認証に基づくパスワードなしの接続では接続できません。 Oracle Database Applianceのリソース(データベース・ホーム、データベース・ストレージ、データベースなど)は、同様の方法で必要なときにユーザー間で共有できます。 ただし、共有リソースを管理する二次的な所有者には制限があります。
マルチユーザー・アクセスを使用するOracle Database Applianceのプロビジョニング
マルチユーザー・アクセスは、CLIコマンドまたはブラウザ・ユーザー・インタフェースを使用して、Oracle Database Applianceをプロビジョニングするときにのみ有効にできます。
注意:
マルチユーザー・アクセスは、ベア・メタル・システムにOracle Database Applianceをプロビジョニングするときにのみを有効にできます。アプライアンスをプロビジョニングしてデプロイした後では、マルチユーザー・アクセスをロールバックできません。 マルチユーザー・アクセス機能をデプロイすると、Oracle Database Applianceの管理モデルが変更されます。 この機能を使用する前に、ロール分離の要件を評価してください。 最初にテスト・システムにデプロイすることが、新しい管理モデルの評価と査定に役立ちます。ノート:
マルチユーザー・アクセスが有効なOracle Database ApplianceをJSONファイルでプロビジョニングするときには、トークンの有効期限、パスワードの有効期限、最大失敗ログイン試行回数などの詳細を指定できます。 これらの値は、ブラウザ・ユーザー・インタフェースを使用してマルチユーザー・アクセスを構成しOracle Database Applianceをプロビジョニングする場合はブラウザ・ユーザー・インタフェースから1回かぎりのアクティビティとして指定することもできます。マルチユーザー・アクセスを有効にしたOracle Database Applianceのプロビジョニングのすべてのステップ
- マルチユーザー・アクセスを有効にします。
- アプライアンスのプロビジョニングにJSONファイルを使用する場合は、
prov_req.jsonファイルに属性"isMultiUserAccessEnabled": trueを追加します。 この属性がfalseに設定されている場合やprov_req.jsonファイルに存在しない場合は、アプライアンスのプロビジョニング時にマルチユーザー・アクセスが有効になりません。"isRoleSeparated": true, "isMultiUserAccessEnabled": true, "osUserGroup": { "groups": [{ "groupId": 1001, "groupName": "oinstall", "groupRole": "oinstall" }, ...マルチユーザー・アクセスの属性は、次の内容をJSONファイルに追加することで設定することもできます。}, "asr": null, "multiUserAccess": { "dcsUserPasswdExpDurationInDays": 90, "tokenExpirationInMins": 120, "maxNumFailedLoginAttempts": 3 } }次に、これらの属性の値を示します。- Token expiration duration in minutes: 指定可能な最小値は10分、最大値は600分、デフォルトは120分です。
- Password expiration duration in days: 指定可能な最小値は30日、最大値は180日、デフォルトは90日です。
- Maximum failed login attempts allowed: 指定可能な最小値は2、最大値は5、デフォルトは3です。
- アプライアンスの作成にブラウザ・ユーザー・インタフェース(BUI)を使用する場合は、BUIのログインページで「Enable Multi-User Access (N/A for DB System)」チェック・ボックスを選択します。
- アプライアンスのプロビジョニングにJSONファイルを使用する場合は、
- ユーザー
odaadmin、oracleおよびgridのパスワードを指定します。 これらはOracle Database Applianceシステム・ユーザーであり、そのユーザーのアカウントは作成中にアクティブ化されます。 ユーザーodaadminは、ODA-ADMINISTRATORのロールで作成され、ユーザーoracleとgridは、それぞれODA_DBとODA_GRIDのロールで作成されます。 - システムによって、マルチユーザー・アクセス・リポジトリがシステム内のユーザーへの割当てに使用されるロールと権限のリストで構成されます。
- この時点で、新しく作成したユーザー資格証明でアプライアンスにログインして、データベースをデプロイできます。
ブラウザ・ユーザー・インタフェースを使用したマルチユーザー・アクセスが有効なOracle Database Applianceのプロビジョニング
- ブラウザ・ユーザー・インタフェースにアクセスします。
https://host-ip-address:7093/mgmt/index.html - 最初のログインの場合は、
odaadminロールが構成されていないため、ODAパスワードを指定して、マルチユーザー・アクセスを有効にするよう求められます。 - 「Enable Multi-User Access (N/A for DB System)」を選択して、ODAユーザーの強力なパスワードを指定します。
- 「Configure Multi-User Settings」をクリックしてから「User Password Expiry Duration (In Days)」、「Session Expiration for CLI (minutes)」および「Maximum Failed Login Attempts」を設定します。 「Save」をクリックしてこれらの設定を保存し、BUIの「Login」ページに戻ります。
- 「Submit」をクリックします。 ユーザーの作成に成功すると、確認のメッセージが表示されます。
- 「OK」をクリックします。 「Login」ページに移動されます。
- 「User Name」と「ODA Password」を指定して、「Login」をクリックします。 マルチユーザー・アクセスが有効な場合は、ODA管理ユーザー名が
odaadminになる点に注意してください。 マルチユーザー・アクセスが有効でない場合は、ODA管理ユーザー名がoda-adminになります。 - 「Create Appliance」ページで、アプライアンスの作成のための詳細を指定します。 指定が必要な情報の詳細は、トピック「アプライアンスの作成」を参照してください。
- すべてのユーザーに同じパスワードを指定する場合は、「Assign same password for admin, oracle, grid users」を選択します。 それ以外の場合は、ユーザー
system admin、oracleおよびgridに異なるパスワードを指定します。 - 「Submit」をクリックして、マルチユーザー・アクセスが有効なアプライアンスを作成します。
- ジョブが発行され、ジョブへのリンクを含む確認ページが表示されます。 リンクをクリックすると、ジョブの進捗、タスクおよびステータスが表示されます。 ジョブ確認ページを閉じた後、「Activity」タブをクリックしてジョブの進捗を監視できます。 ジョブ番号をクリックすると、タスクおよびステータスの詳細が表示されます。 「Refresh」をクリックするとページがリフレッシュされます。
マルチユーザー・アクセスを使用するOracle Database Applianceでのユーザーの作成、表示および削除
マルチユーザー・アクセスを有効にしたアプライアンスをプロビジョニングすると、特定の権限を持つユーザーを作成できます。
ODACLIコマンドによるユーザーの作成、表示および削除
- アプライアンスに
odaadminユーザーとして接続します。ssh odaadmin@oda-box hostname/IP - 任意のODACLIコマンドを実行して、プロンプトが表示されたら
odaadminパスワードを指定します。 - 認証に成功したら、次のコマンドを使用してユーザーを作成します。
odacli create-user –u username -r comma-separated role namesたとえば、データベースのライフサイクル管理権限を持つユーザーdbuser1を作成します。odacli create-user –u dbuser1 –r ODA-DBodaadminユーザーは、dbuser1を作成して一時パスワードを割り当てます。 - ユーザーの作成に成功すると、
dbuser1は一時パスワードを使用してアプライアンスにログインできます。 dbuser1は、Inactive状態になっています。 次のコマンドを使用して、ユーザーをアクティブ化します。odacli activate-userパスワードの変更を求められます。 一時パスワードと新しいパスワードを入力して、新しいパスワードを確定します。
- 新しいパスワードを使用して、SSHでアプライアンスに接続し、ODACLIコマンドを実行するか、ブラウザ・ユーザー・インタフェースに接続します。
- ユーザー
odaadminは、システム内のすべてのユーザーを表示できます。# odacli list-users - ユーザー
odaadminは、システム内のユーザーの詳細を表示できます。# odacli describe-user -u user_id - システム内のユーザーを削除します。 システム内のユーザーは、ユーザー
odaadminのみが削除できます。# odacli delete-user -u user_id
ブラウザ・ユーザー・インタフェースによるユーザーの作成、表示および削除
- ユーザー
odaadminとしてブラウザ・ユーザー・インタフェースにログインします。https://host-ip-address:7093/mgmt/index.html - 「Multi-User Access」タブをクリックします。
- 左側のペインの「Users」リンクをクリックします。
- 「Create User」をクリックします。
- 「Create User」ページで、このユーザーの「User ID」、「Role」および「ODA Password」を指定します。 BUIのログインとODACLIコマンドには、同じユーザー資格情報を使用できます。
- オプションで、「Generate mTLS Certificate」をクリックしてmTLSベースの認証を有効にします。
- 「Create」をクリックします。
- ジョブが発行され、ジョブへのリンクを含む確認ページが表示されます。 リンクをクリックすると、ジョブの進捗、タスクおよびステータスが表示されます。 ジョブ確認ページを閉じた後、「Activity」タブをクリックしてジョブの進捗を監視できます。 ジョブ番号をクリックすると、タスクおよびステータスの詳細が表示されます。 「Refresh」をクリックするとページがリフレッシュされます。
- 「Users」ページの「Multi-User Access」タブで、詳細を表示するユーザーのリンクをクリックします。
- ユーザーを削除する場合は、ユーザー
odaadminとしてログインします。 「Actions」ドロップダウン・リストで、「Delete」を選択します。 「Custom」タイプのユーザーのみを削除できます。
マルチユーザー・アクセスを使用するOracle Database Applianceでの新規ユーザーのアクティブ化
マルチユーザー・アクセス対応のOracle Database Applianceで新規ユーザーをアクティブ化する方法について説明します。
ODACLIコマンドを使用したマルチユーザー・アクセス対応システムの新規ユーザーのアクティブ化
odaadminが新規ユーザーの作成に成功すると、その新しいユーザー(たとえば、dbuser1)は一時パスワードを使用してアプライアンスにログインできます。- 次のコマンドを使用して、ユーザーをアクティブ化します。
odacli activate-userパスワードの変更を求められます。 一時パスワードと新しいパスワードを入力して、新しいパスワードを確定します。
ブラウザ・ユーザー・インタフェースを使用したマルチユーザー・アクセス対応システムの新規ユーザーのアクティブ化
odaadminが新規ユーザーを作成したら、その新しいユーザーとしてブラウザ・ユーザー・インタフェースにログインします。https://host-ip-address:7093/mgmt/index.html- 「User Name」を指定して、「ODA Password」フィールドで一時パスワードを指定します。
- これは新しいアカウントであるため、「Account Status」は
Inactiveになっています。 新しいパスワードの指定と確認を求めるプロンプトが表示されます。 - 「Password」を指定してから確認して、「Submit」をクリックします。
- パスワードの変更に成功したら、ブラウザ・ユーザー・インタフェースに新しいパスワードでログインします。
マルチユーザー・アクセスを使用するOracle Database Applianceでのリソース・アクセス権の付与と取消し
アプライアンスのリソース・アクセス権は付与と取消しができます。
ODACLIコマンドを使用したリソース・アクセス権の付与と取消し
- マルチユーザー・アクセスが有効なシステムのリソースへのアクセス権を付与または取り消します。
# odacli grant-resource-access -ri resource_ID -u user_name # odacli revoke-resource-access -ri resource_ID -u user_name - マルチユーザー・アクセス・システムのDCSリソースへのアクセス権を表示します。
# odacli describe-resource-access -ri resource_ID - マルチユーザー・アクセス・システムのすべての定義済DCSリソースへのアクセス権を表示します。
# odacli list-resources-access -ao -rn resource_name -rt resource_type
ブラウザ・ユーザー・インタフェースによるリソース・アクセス権の付与と取消し
odaadminとしてブラウザ・ユーザー・インタフェースにログインします。https://host-ip-address:7093/mgmt/index.html- 「Multi-User Access」タブをクリックします。
- 左側のペインの「Resources」リンクをクリックします。
- 詳細を表示するには、「Resource」をクリックします。
- 「Resource」ごとに、「Actions」ドロップダウン・リストで「Grant Resource Access」を選択して、ユーザーにリソースへの共有アクセス権を付与します。 ドロップダウン・リストから「User Name」を選択して、「Grant」をクリックします。 「Yes」をクリックしてジョブを確認して送信します。
- ユーザーからリソースへのアクセス権を取り消すには、「Revoke Resource Access」を選択します。 ドロップダウン・リストから「User Name」を選択して、「Revoke」をクリックします。 「Yes」をクリックしてジョブを確認して送信します。
マルチユーザー・アクセスを使用するOracle Database Applianceでのロール、操作および資格の表示
アプライアンスでのロールと権限を表示できます。
ODACLIコマンドを使用したロール、操作および権限の表示
ノート:
Oracle Database Applianceリリース19.13では、スタンドアロンのOracle Database Applianceシステムでマルチユーザー・アクセス機能が使用できます。 プロビジョニング時に、デフォルトで単一のドメインとテナンシが作成され、デフォルトのドメインとテナンシ内にすべてのユーザーが作成されます。- システムで定義されたすべてのロールを表示します。
# odacli list-user-roles - システム内のユーザー・ロールの詳細を表示します。
# odacli describe-user-role -n role_name - システムで定義されたすべての権限を表示します。
# odacli list-user-entitlements - システム内の権限の詳細を表示します。
# odacli describe-user-entitlement -n entitlement_name - システムで定義されたすべての操作を表示します。
# odacli list-user-operations - システム内の操作の詳細を表示します。
# odacli describe-user-operation -n operation_name - システムで定義されたすべてのドメインを表示します。 このリリースでは、これがデフォルト・ドメインです。
# odacli list-domains - システム内のドメインの詳細を表示します。
# odacli describe-domain -dn domain_name - マルチユーザー・アクセスが有効なドメイン内のテナントを表示します。 このリリースでは、これがデフォルト・テナンシです。
# odacli list-tenants - マルチユーザー・アクセスが有効なドメイン内のテナントの詳細を表示します。
# odacli describe-tenant -tn tenant_name
ブラウザ・ユーザー・インタフェースによるロール、操作および権限の表示
odaadminとしてブラウザ・ユーザー・インタフェースにログインします。https://host-ip-address:7093/mgmt/index.html- 「Multi-User Access」タブをクリックします。
- 左側のペインの「Roles」リンクをクリックします。 システムで定義されたロールが表示されます。 これらのロールは編集や更新ができません。
- 詳細を表示するには、「Role」をクリックします。
- 左側のペインの「Entitlements」リンクをクリックします。 システムで定義された権限が表示されます。 これらの権限は編集や更新ができません。
- 詳細を表示するには、「Entitlement」をクリックします。
マルチユーザー・アクセスを使用するOracle Database Applianceでのデータベースとデータベース・ホームの管理
マルチユーザー・アクセスのOracle Database Applianceで作成したカスタム・ユーザーは、データベースとデータベース・ホームをデプロイおよび管理できます。
dbuser1を作成したら、次のようにデータベースを管理します。
ODACLIコマンドを使用したデータベースとデータベース・ホームの作成およびリスト
- アプライアンスに
dbuser1として接続します。ssh dbuser1@oda-box hostname/IP - データベースを作成します。
odacli create-database -n dbName -v dbVersion odacli list-databasesを実行し、dbuser1が所有するデータベースを表示します。odacli list-databasesODA-DBロールが付与された別のユーザーは、データベース・ホームの作成にdbuser1が所有するリソースを使用できないことからロールの分離が保証されます。- マルチユーザー・アクセスが有効になっているアプライアンスでは
-allオプションを使用して、システム内のすべてのデータベースを表示します。odacli list-databases -all - マルチユーザー・アクセスが有効になっているアプライアンスでは
-allオプションを使用して、システム内のすべてのデータベース・ホームを表示します。odacli list-dbhomes -all
ブラウザ・ユーザー・インタフェースを使用したデータベースとデータベース・ホームの作成およびリスト
dbuser1としてブラウザ・ユーザー・インタフェースにログインします。https://host-ip-address:7093/mgmt/index.html- 「Database」タブをクリックします。
- 「Show All Databases」をクリックします。 システム内のすべてのデータベースについての読取り専用リストが表示されます。
- 左側のペインの「Database Home」リンクをクリックします。
- 「Show All Database Homes」をクリックします。 システム内のすべてのデータベース・ホームについての読取り専用リストが表示されます。
マルチユーザー・アクセスを使用するOracle Database Applianceのユーザー・アカウントのパスワードの変更
マルチユーザー・アクセスのOracle Database Applianceでパスワードを管理する方法について説明します。
ODACLIコマンドを使用したマルチユーザー・アクセス対応システムのパスワードの変更
- アカウントがアクティブになっているOracle Database Applianceユーザーのパスワードを変更できます。
odacli change-password
ブラウザ・ユーザー・インタフェースを使用したマルチユーザー・アクセス対応システムのパスワードの変更
- パスワードを変更するユーザーとして、ブラウザ・ユーザー・インタフェースにログインします。
https://host-ip-address:7093/mgmt/index.html - アカウントのパスワードはいつでも変更できます。ブラウザ・ユーザー・インタフェースの右上にある「Account」ドロップダウン・リストをクリックして、「Change Password」を選択します。
- 「旧パスワード」を指定し、新しい「パスワード」を指定して確認し、「送信」をクリックします。
マルチユーザー・アクセスを使用するOracle Database Applianceのロックされたユーザー・アカウントのパスワードのリセット
マルチユーザー・アクセスのOracle Database Applianceでパスワードをリセットする方法について説明します。
ODACLIコマンドを使用してマルチユーザー・アクセスが有効なシステムでロックされたユーザー・アカウントのパスワードをリセットする
- ログイン試行の複数回の失敗またはパスワードの失効のためにロックされている
odaadminユーザー・アカウントのロックを解除します。rootとしてログインします。- 次を実行します。
一時パスワードが/opt/oracle/dcs/bin/resetCredsForOdaAdmin.shodaadminユーザーに割り当てられます。 - 一時パスワードを使用して、
odaadminユーザーとしてログインします。 - 次のコマンドを実行します。
一時パスワードを入力し、新しいパスワードを指定して確認するように求められます。 コマンドの実行が正常に完了すると、ユーザー・アカウントのロックが解除されます。odacli reset-password
- ログイン試行の複数回の失敗またはパスワードの失効のためにロックされている管理者以外のユーザー・アカウントのロックを解除します。
odaadminとしてログインします。- 次のコマンドを実行します。
odacli authorize-user一時パスワードを指定すると、アカウントのロックが解除されます。
- 一時パスワードを使用し、アカウントがロックされたユーザーとしてログインします。
- 次のコマンドを実行します。
古いパスワード、一時パスワード、および新しいパスワードを指定および確認するよう求められます。 コマンドの実行が正常に完了すると、ユーザー・アカウントのロックが解除されて再アクティブ化されます。odacli reset-password
ブラウザ・ユーザー・インタフェースを使用したマルチユーザー・アクセスが有効なシステムでロックされたユーザー・アカウントのパスワードのリセット
- 次のようにして、ログイン試行の複数回の失敗またはパスワードの失効のためにロックされている管理者以外のユーザー・アカウントのロックを解除します。
- ユーザー
odaadminとしてブラウザ・ユーザー・インタフェースにログインします。https://host-ip-address:7093/mgmt/index.html - 「Users」ページの「Multi-User Access」タブで、パスワードをリセットするユーザーのリンクをクリックします。 「Custom」タイプのユーザーのみパスワードをリセットできます。 このユーザーの「Account Status」は、
LockedFailedLoginになっています。 - 「Actions」ドロップダウン・リストで、「Authorize Password Reset」を選択します。
- 「パスワード・リセットの承認」ページで、「旧パスワード」を指定し、「一時ODAパスワード」を指定して確認し、「承認」をクリックします。
- この時点で、アカウントがロックされているユーザーとしてブラウザ・ユーザー・インタフェースにログインします。 「User Name」を指定して、「ODA Password」フィールドで一時パスワードを指定します。
- アカウントがロックされているため、「Account Status」は
CredentialResetになっています。 新しいパスワードの指定と確認を求めるプロンプトが表示されます。 - 「Password」を指定してから確認して、「Submit」をクリックします。
- パスワードの変更に成功したら、ブラウザ・ユーザー・インタフェースに新しいパスワードでログインします。
- ユーザー