Oracle Exadataのユーザー・セキュリティ

3 Oracle Exadataのユーザー・セキュリティ

データおよびシステムのセキュリティを強化するには、ユーザー・アクセスを制限し、強力なパスワード・セキュリティ・ポリシーを作成します。

Oracle Exadataのデフォルト・ユーザー・アカウント
Oracle Exadataのコンポーネントは、複数のユーザー・アカウントで定期的に管理されます。
デフォルトのパスワード要件
Oracle Exadata Deployment Assistant (OEDA)は、Oracle Exadata Database Machineにデフォルトのパスワード・ポリシーを実装します。
OEDAによって実装されるデフォルト・セキュリティ設定
Oracle Exadata Deployment Assistant (OEDA)には、Oracle Exadataのデフォルトのセキュリティ設定を実装するためのステップが含まれています。
パスワードおよび認証ポリシーの管理
Oracle Exadata System Softwareのユーザーおよびロールの作成
ロールに権限を付与し、ユーザーにロールを付与することで、ユーザーが実行できるOracle Exadata System Softwareコマンドを制御できます。
Oracle Exadata Storage Serverのオペレーティング・システム・ユーザーのセキュリティ・ポリシー
オペレーティング・システムへのユーザー・アクセスは、セキュアで堅固なパスワードを使用することによって保護できます。

3.1 Oracle Exadataのデフォルト・ユーザー・アカウント

Oracle Exadataのコンポーネントは、複数のユーザー・アカウントで定期的に管理されます。

rootユーザーに加えて、Oracle Exadata Storage Serverには2種類のユーザー、celladminとcellmonitorがあります。celladminユーザーは、セルですべてのサービスを実行するために使用されます。cellmonitorユーザーは、監視のために使用されます。cellmonitorユーザーはセルでサービスを実行できません。その他のOracle Exadataコンポーネントには、そのコンポーネントの管理用のユーザーがあります。

ノート:

Oracle Exadataがデプロイされた後、システムのセキュリティ手段として、インストール・プロセスによってすべてのroot SSHキーが無効化され、すべてのユーザー・パスワードが失効します。SSHキーが無効化されたり、パスワードが失効しないようにするには、デプロイメントの前にインストール・エンジニアに依頼してください。

Oracle Exadata System Softwareリリース19.1.0以降では、特定のアクションのセキュリティを向上させるために、2つの新規ユーザーが作成されます。celloflユーザーは、非rootユーザーとしてストレージ・サーバーで問合せオフロード・プロセスを実行します。exawatchユーザーは、データベース・サーバーとストレージ・サーバーの両方でシステム統計を収集およびアーカイブします。

次の表に、Oracle Exadataコンポーネントのデフォルトのユーザーとパスワードを示します。Oracle Exadataのインストール後、すべてのデフォルト・パスワードを変更する必要があります。デフォルトのユーザー・アカウント・パスワードの変更の詳細は、My Oracle Supportノート1291766.1を参照してください。

表3-1 デフォルトのOracle Exadataユーザーおよびパスワード

アカウント	デフォルトのパスワード	アカウント・タイプ	コンポーネント
`root`	`welcome1`	オペレーティング・システムのユーザー	Oracle Exadata Database Server Oracle Exadata Storage Server RDMAネットワーク・ファブリックのスイッチデータベース・サーバーILOM Oracle Exadata Storage Server ILOM RDMA Network Fabric ILOM
`oracle`	`We1come$`	オペレーティング・システムのユーザー	Oracle Exadata Database Server
`grid` ノート: このアカウントは、デプロイ中にロールの分離を選択した場合にのみ存在します。	`We1come$`	オペレーティング・システムのユーザー	Oracle Exadata Database Server
`celladmin`	`welcome` ノート: Oracle Exadata Deployment Assistant (OEDA) November 2019リリース以降では、デプロイ中に`celladmin`ユーザーのパスワードがランダムな文字列に設定されるため、初回使用時にそれを変更する必要があります。	オペレーティング・システムのユーザー	Oracle Exadata Storage Server
`CELLDIAG`	`Welcome12345` ノート: `CELLDIAG`ユーザーのパスワードは、OEDAの「セキュリティ修正の適用」ステップの間にランダムなパスワードにリセットされます。	Oracle Exadata System Softwareユーザー	Oracle Exadata Storage Server
`cellmonitor`	`welcome` ノート: OEDA November 2019リリース以降では、デプロイ中に`cellmonitor`ユーザーのパスワードがランダムな文字列に設定されるため、初回使用時にそれを変更する必要があります。	オペレーティング・システムのユーザー	Oracle Exadata Storage Server
`cellofl` ノート: このアカウントは、ログイン権限がなく、リリース19.1.0以降にのみ存在します。		オペレーティング・システムのユーザー	Oracle Exadata Storage Server
`dbmadmin`	`welcome` ノート: OEDA November 2019リリース以降では、デプロイ中に`dbmadmin`ユーザーのパスワードがランダムな文字列に設定されるため、初回使用時にそれを変更する必要があります。	オペレーティング・システムのユーザー	Oracle Exadata Database Server
`dbmmonitor`	`welcome` ノート: OEDA November 2019リリース以降では、デプロイ中に`dbmmonitor`ユーザーのパスワードがランダムな文字列に設定されるため、初回使用時にそれを変更する必要があります。	オペレーティング・システムのユーザー	Oracle Exadata Database Server
`dbmsvc` ノート: このアカウントは、ログイン権限がなく、リリース12.1.2.1.0以降にのみ存在します。		オペレーティング・システムのユーザー	Oracle Exadata Database Server
`exawatch` ノート: このアカウントは、ログイン権限がなく、リリース19.1.0以降にのみ存在します。		オペレーティング・システムのユーザー	Oracle Exadata Database Server Oracle Exadata Storage Server
`SYS`	`We1come$`	Oracle Databaseユーザー	Oracle Exadata Database Server
`SYSTEM`	`We1come$`	Oracle Databaseユーザー	Oracle Exadata Database Server
Grubブート・ローダー	`sos1Exadata`	オペレーティング・システムのユーザー	Oracle Exadata Database Server Oracle Exadata Storage Server
`nm2user`	`changeme`	ファームウェア・ユーザー	InfiniBand Network Fabricスイッチ
`ilom-admin`	`ilom-admin`	ILOMユーザー	InfiniBand Network Fabricスイッチ
`ilom-operator`	`ilom-operator`	ILOMユーザー	InfiniBand Network Fabricスイッチ
`admin`	`welcome1`	ファームウェア/スイッチ管理者	RoCE Network Fabricスイッチ
`admin`	`welcome1` ノート: `admin`ユーザーの`enable mode password`値と`secret`値を保護する必要があります。	ファームウェア・ユーザー	Ethernetスイッチ
`admin`	`welcome1` ノート: PDUを出荷時のデフォルト設定にリセットした場合、`admin`ユーザーのパスワードは`adm1n`です。	ファームウェア・ユーザー	配電ユニット(PDU) キーボード、ビデオ、マウス(KVM)
`MSUser` ノート: 管理サーバー(MS)は、このアカウントを使用して、応答が停止した場合にILOMインタフェースをリセットします。このアカウントは変更しないでください。このアカウントを使用できるのはMSのみです。	`MSUser`パスワードは、どこにも持続しません。MSが起動する度に、以前の`MSUser`アカウントを削除し、ランダムに生成されたパスワードを使用してアカウントを再び作成します。	ILOMユーザー	データベース・サーバーILOM Oracle Exadata Storage Server ILOM
`LocalMSV3user` ノート: 管理サーバー(MS)は、自動ILOM SNMP通知ルールを使用したハードウェアのモニタリングと障害処理にこのアカウントを使用します。このアカウントまたは関連するILOM SNMP通知ルールは変更しないでください。このアカウントを使用できるのはMSのみです。	`LocalMSV3user`パスワードは、どこにも保存されません。MSが起動する度に、以前の`LocalMSV3user`アカウントを削除し、ランダムに生成されたパスワードを使用して、アカウントを再び作成します。	ILOM SNMPバージョン3ユーザー	データベース・サーバーILOM Oracle Exadata Storage Server ILOM
`rocedisc` ノート: デフォルトでは、このアカウントは無効になっており、RoCE Network Fabricスイッチへのログインには使用できません。このアカウントを削除しないでください。そうしないと、スイッチ構成の検証は失敗します。		RoCE Network Fabricスイッチ・ユーザー	RoCE Network Fabricスイッチ

関連項目

親トピック: Oracle Exadataのユーザー・セキュリティ

3.2 デフォルトのパスワード要件

Oracle Exadata Deployment Assistant (OEDA)は、Oracle Exadata Database Machineにデフォルトのパスワード・ポリシーを実装します。

OEDAの最後のステップ、Oracle Exadata Database Machineの保護では、次のパスワード要件が実装されます。

辞書の単語が無効、または受け入れられません。
パスワードの文字クラスとは、大文字、小文字、数字、特殊文字です。
パスワードには、4つの文字クラスすべての文字を含める必要があります。1つ、2つまたは3つの文字クラスしか使用しないパスワードは使用できません。
パスワードの最小長は8文字です。
パスフレーズを使用できます。パスフレーズの条件は、少なくとも3つの単語が含まれていること、16文字から40文字までの長さであること、および異なる文字クラスが含まれていることです。
新しいパスワードは古いパスワードに類似したものにすることはできません。新パスワードには、旧パスワードで使用されていない文字が8文字以上が必要です。
パスワードでは、同じ文字を最大3連続まで使用できます。
パスワードでは、同じ文字クラスの文字を最大4連続まで使用できます。たとえばabcde1#6Bは、連続して5つの小文字を使用しているためパスワードとして使用できません。

親トピック: Oracle Exadataのユーザー・セキュリティ

3.3 OEDAによって実装されるデフォルト・セキュリティ設定

Oracle Exadata Deployment Assistant (OEDA)には、Oracle Exadataにデフォルトのセキュリティ設定を実装するためのステップが含まれています。

OEDAの最後の構成ステップ、Oracle Exadata Database Machineの保護では、次のセキュリティ設定が実装されます:

データベース・サーバーおよびストレージ・サーバー上のすべてのオペレーティング・システム・ユーザーには、デフォルトで次のパスワード・ルールが適用されます:
- root以外のユーザーは、初回ログイン時にパスワードを変更する必要があります。
- パスワードの複雑度のルールは、使用中のOracle Linuxのバージョンによって異なります。
  
  Oracle Linux 7以降のシステムの場合:
  - パスワードの最小の長さは8文字です。
  - パスワードには、少なくとも1つの数字、1つの大文字、1つの小文字および他の1つの文字を含める必要があります。
  - パスワードに3回を超えて同じ文字を連続して使用することはできません。
  - パスワードには、同じクラス(数字、小文字、大文字またはその他の文字)から連続する4文字を超える文字を含めることはできません。
  - パスワードを変更するには、新しいパスワードに最低8文字の変更を含める必要があります。
  Oracle Linux 6以前のシステムの場合、パスワードの最小の長さは5文字で、これ以上の複雑度の要件はありません。
- 最大パスワード期間は60日です。
- パスワード変更の最小間隔は1日です。
- 警告アラートは、パスワードの有効期限の7日前に生成されます。
- ユーザー・パスワードを変更する場合、新しいパスワードは以前の10個のパスワードのいずれにも一致することはできません。
オペレーティング・システムのユーザー・アカウントは、15分以内に3回のログイン試行が失敗した後、15分間ロックされます。
ログイン・セッションは、14400秒間入力がなければ自動的に終了します。
SSHセッションは、600秒間、非アクティブ状態になると自動的に終了します。
rootユーザーの場合、すべてのデータベース・サーバーとストレージ・サーバーでSSH等価が削除されます。

親トピック: Oracle Exadataのユーザー・セキュリティ

3.4 パスワードおよび認証ポリシーの管理

各Oracle Exadataサーバーには、パスワードおよび認証ポリシーを表示および変更するための単純なインタフェースを提供するhost_access_controlユーティリティ(/opt/oracle.cellos/host_access_control)が含まれています。

Oracleでは、host_access_controlユーティリティを使用して、パスワードおよび認証ポリシーを表示および変更することをお薦めします。独自のコストとリスクでhost_access_controlユーティリティの範囲外でカスタマイズを実行できます。

新しいアカウント作成用のパスワード・エージング・ポリシー設定を管理するには、password-policyオプションを指定してhost_access_controlコマンドを使用します。
- 使用可能なオプションおよび設定の詳細は、次を使用します:
```
# /opt/oracle.cellos/host_access_control password-policy --help
```
- 現在のポリシー設定を表示するには、次を使用します:
```
# /opt/oracle.cellos/host_access_control password-policy --status
```
- ポリシーを出荷時のデフォルト設定にリセットするには、次を使用します:
```
# /opt/oracle.cellos/host_access_control password-policy --defaults
```
  出荷時のデフォルトのパスワード・エージング・ポリシーでは、次のようになります:
  - 最大パスワード期間は60日です。
  - パスワードの変更間で許可される最小期間は1日です。
  - パスワードの最小の長さは8文字です。
  - パスワード失効警告期間は7日です。
- 特定のポリシー設定を変更するには、次のうち1つ以上を指定します:
  - --PASS_MAX_DAYS: パスワード最大経過時間(日数)を指定します。
  - --PASS_MIN_DAYS: パスワード変更の間隔として許可される最小日数を指定します。
  - --PASS_MIN_LEN: パスワードの最小の長さを指定します。
  - --PASS_WARN_AGE: パスワード失効警告期間(日数)を指定します。
  たとえば、次のコマンドを使用して、パスワードの最大経過時間を100日、パスワードの最小の長さを12文字に設定します:
```
# /opt/oracle.cellos/host_access_control password-policy --PASS_MAX_DAYS 100 --PASS_MIN_LEN 12
```
既存の対話型ユーザー・アカウントのパスワード・エージング・ポリシーを管理するには、password-agingオプションを指定してhost_access_controlコマンドを使用します。
- 使用可能なオプションおよび設定の詳細は、次を使用します:
```
# /opt/oracle.cellos/host_access_control password-aging --help
```
- 現在のポリシー設定を表示するには、次を使用します:
```
# /opt/oracle.cellos/host_access_control password-aging --status
```
- パスワード・エージング・ポリシーを出荷時のデフォルト設定にリセットするには、次を使用します:
```
# /opt/oracle.cellos/host_access_control password-aging --defaults
```
  出荷時のデフォルトのパスワード・エージング・ポリシーでは、次のようになります:
  - 最大パスワード期間は60日です。
  - パスワードの変更間で許可される最小期間は1日です。
  - パスワードの最小の長さは8文字です。
  - パスワード失効警告期間は7日です。
- パスワード・エージング・ポリシーをExadataセキュア・デフォルト設定にリセットするには、次を使用します:
```
# /opt/oracle.cellos/host_access_control password-aging --secdefaults
```
  Exadataのセキュアなデフォルト設定では、パスワードの最小の長さは15文字です。その他の設定は、出荷時のデフォルト・ポリシーに一致します。
- 既存のユーザーを変更して、新しいアカウント作成のポリシー設定(host_access_controlをpassword-policyオプションとともに使用して定義された設定)を使用するには、次を使用します:
```
# /opt/oracle.cellos/host_access_control password-aging --policy
```
- ユーザーの特定のポリシー設定を変更するには、ユーザーと次の属性の1つ以上を指定します:
  - --maxdays: パスワード最大経過時間(日数)を指定します。
  - --mindays: パスワード変更の間隔として許可される最小日数を指定します。
  - --warndays: パスワード失効警告期間(日数)を指定します。
  たとえば、次のコマンドを使用して、oracle OSユーザーのパスワードの最大経過時間を80日に設定します:
```
# /opt/oracle.cellos/host_access_control password-aging --maxdays 80 --user oracle
```
システム認証ポリシー設定を管理するには、pam-authオプションを指定してhost_access_controlコマンドを使用します。システム認証設定には、すべてのユーザーに適用されるパスワード複雑度とパスワード履歴ルールが含まれています。

Oracle Exadata System Software 23.1.0およびOracle Linux 8以降、pam-authオプションで管理されるセキュリティ設定は、Linux authselectユーティリティを使用してカスタムExadataセキュリティ・プロファイルにカプセル化されます。
- 使用可能なオプションおよび設定の詳細は、次を使用します:
```
# /opt/oracle.cellos/host_access_control pam-auth --help
```
- 現在の認証設定を表示するには、次を使用します:
```
# /opt/oracle.cellos/host_access_control pam-auth --status
```
- 認証設定を出荷時のデフォルト設定にリセットするには、次を使用します:
```
# /opt/oracle.cellos/host_access_control pam-auth --defaults
```
  出荷時のデフォルトの認証設定では、次のようになります:
  - ユーザー・アカウントは、15分以内に3回のログイン試行が失敗した後、15分間ロックされます。
  - ユーザー・パスワードを変更する場合、新しいパスワードは以前の10個のパスワードのいずれにも一致することはできません。
  - パスワードの複雑度のルールは、使用中のOracle Linuxのバージョンによって異なります。
    
    Oracle Linux 7以降のシステムの場合:
    - パスワードの最小の長さは8文字です。
    - パスワードには、少なくとも1つの数字、1つの大文字、1つの小文字および他の1つの文字を含める必要があります。
    - パスワードに3回を超えて同じ文字を連続して使用することはできません。
    - パスワードには、同じクラス(数字、小文字、大文字またはその他の文字)から連続する4文字を超える文字を含めることはできません。
    - パスワードを変更するには、新しいパスワードに最低8文字の変更を含める必要があります。
    Oracle Linux 6以前のシステムの場合、パスワードの最小の長さは5文字で、これ以上の複雑度の要件はありません。
- 認証設定をExadataセキュア・デフォルト設定にリセットするには、次を使用します:
```
# /opt/oracle.cellos/host_access_control pam-auth --secdefaults
```
  Exadataセキュア・デフォルト設定では、次のようになります:
  - ユーザー・アカウントは、15分以内に3回のログイン試行が失敗した後、15分間ロックされます。
  - ユーザー・パスワードを変更する場合、新しいパスワードは以前の10個のパスワードのいずれにも一致することはできません。
  - パスワードの複雑度のルールは、使用中のOracle Linuxのバージョンによって異なります。
    
    Oracle Linux 7以降のシステムの場合:
    - パスワードの最小の長さは15文字です。
    - パスワードには、少なくとも1つの数字、1つの大文字、1つの小文字および他の1つの文字を含める必要があります。
    - パスワードに3回を超えて同じ文字を連続して使用することはできません。
    - パスワードには、同じクラス(数字、小文字、大文字またはその他の文字)から連続する4文字を超える文字を含めることはできません。
    - パスワードを変更するには、新しいパスワードに最低8文字の変更を含める必要があります。
    Oracle Linuxのバージョンが以前のシステムの場合、パスワードの最小の長さは8文字で、パスワードには少なくとも1つの数字、1つの大文字、1つの小文字、他の1つの文字が含まれている必要があります。または、文字の4つのクラス(数字、小文字、大文字またはその他の文字)のうち少なくとも3つを含む12文字以上のパスワードを使用できます。
- 特定の認証設定を変更するには、次のうち1つ以上を指定します:
  - --deny: アカウント・ロックアウトをトリガーする間隔(--intervalで指定)内の必要な連続ログイン試行失敗回数を指定します。
  - --interval: アカウント・ロックアウトをトリガーするために連続ログイン試行失敗が発生する秒数を指定します。
  - --lock: アカウント・ロックアウトの期間(秒)を指定します。
  - --passwdqc: この設定は、Oracle Linux 6以前のシステムにのみ適用されます。値は、様々なタイプのパスワードまたはパスフレーズに許可される最小長を定義するカンマ区切りリストです。この設定の詳細は、pam_passwdqc Linuxのマニュアル・ページを参照してください。
  - --pwquality: この設定は、Oracle Linux 7以降のシステムにのみ適用されます。値は、パスワードの最小の長さを定義する整数か、minlen、dcredit、ucredit、lcredit、ocredit、difok、maxrepeat、maxclassrepeat、minclass、maxsequenceおよびgecoscheck属性を使用してパスワード複雑性ルールを定義するカンマ区切りリストです。パスワードの複雑度属性の詳細は、pam_pwquality Linuxのマニュアル・ページを参照してください。
  - --remember: 各ユーザーのパスワード履歴リストのサイズを指定します。パスワード変更の場合、新しいパスワードは、パスワード履歴リストにある以前のパスワードと一致することはできません。
  たとえば、次のコマンドを使用して、10分以内に2回のログイン試行が失敗した後のロックアウト期間を20分に設定します:
```
# /opt/oracle.cellos/host_access_control pam-auth --lock 1200 --deny 2 --interval 600
```

関連項目

OEDAによって実装されるデフォルト・セキュリティ設定

親トピック: Oracle Exadataのユーザー・セキュリティ

3.5 Oracle Exadata System Softwareのユーザーとロールの作成

ロールに権限を付与し、ユーザーにロールを付与することで、ユーザーが実行できるOracle Exadata System Softwareコマンドを制御できます。

たとえば、ユーザーにLIST GRIDDISKコマンドを実行可能にしALTER GRIDDISKを実行不可にするよう指定できます。このレベルの制御は、システムへの完全なアクセスをごく少数のユーザーにのみ許可するOracle Cloud環境で役立ちます。

Exadata System Softwareのユーザーの作成の概要
ロールの作成およびロールに関する情報の取得
Oracle Exadata System Softwareユーザーのロールを作成するには、CREATE ROLEコマンドを使用します。
権限の付与および取消し
GRANT PRIVILEGEコマンドを使用して、Oracle Exadata System Softwareユーザーのロールに権限を付与します。
ユーザーの作成
CREATE USERコマンドを使用して、Oracle Exadata System Softwareユーザーを作成します。
サーバーにリモートからアクセスするユーザーのパスワード有効期限の構成
CELL属性を構成して、ユーザー・パスワードを期限切れにできます。
ロールの付与および取消し
GRANT ROLEコマンドを使用して、Oracle Exadata System Softwareユーザーにロールを作成します。

関連項目

ExaCLIユーティリティの使用

親トピック: Oracle Exadataのユーザー・セキュリティ

3.5.1 Exadata System Softwareのユーザーの作成の概要

Oracle Exadata System Softwareユーザーは、オンプレミスまたはOracle Cloud環境でExaCLIを実行する場合に必要です。ExaCLIでは、計算ノードからリモートでセルを管理できます。計算ノード上でExaCLIを実行するときに、セル・ノードへの接続に使用するユーザー名を指定する必要があります。管理サーバー(MS)により、ユーザーの資格証明が認証され、そのユーザーによって発行されるコマンドの許可チェックが実行されます。そのユーザーがコマンドを実行する適切な権限を持っていない場合、MSによりエラーが返されます。

パスワードのセキュリティ・キーは、HMAC-SHA1とパスワード・ベース・キー導出関数2 (PBKDF2)を使用して暗号化されています。

Oracle Exadata System Softwareで使用するユーザーおよびロールを作成するステップの概要を次に示します。

CREATE ROLEコマンドを使用してロールを作成します。
GRANT PRIVILEGEコマンドを使用してロールに権限を付与します。
CREATE USERコマンドを使用してユーザーを作成します。
GRANT ROLEコマンドを使用してユーザーにロールを付与します。

REVOKE PRIVILEGEコマンドを使用して、ロールから権限を取り消すこともできます。ユーザーからロールを取り消すには、REVOKE ROLEコマンドを使用します。

親トピック: Oracle Exadata System Softwareのユーザーとロールの作成

3.5.2 ロールの作成およびロールに関する情報の取得

CREATE ROLEコマンドを使用して、Oracle Exadata System Softwareユーザーのロールを作成します。

たとえば、管理者のロールを作成するには、次のコマンドを使用します。

CellCLI> CREATE ROLE admin

ロールを作成した後、GRANT PRIVILEGEコマンドを使用してロールに権限を付与できます。ロールをユーザーに付与することもできます。たとえば:

CellCLI> GRANT PRIVILEGE ALL ACTIONS ON ALL OBJECTS TO ROLE admin

CellCLI> GRANT ROLE admin TO USER username

ロールに関する詳細情報を取得するには、LIST ROLEコマンドを使用します。次のコマンドはadminロールのすべての属性を返します。

CellCLI> LIST ROLE admin DETAIL
         name:                   admin
         privileges:             object=all objects, verb=all actions, 
attributes=all attributes, options=all options

3.5.3 権限の付与および取消し

GRANT PRIVILEGEコマンドを使用して、Oracle Exadata System Softwareユーザーのロールに権限を付与します。

GRANT PRIVILEGEコマンドを使用してロールに権限を付与します。
- 次の例は、adminロールを持つOracle Exadata System Softwareユーザーにすべての権限を付与しています。
```
CellCLI> GRANT PRIVILEGE ALL ACTIONS ON ALL OBJECTS TO ROLE admin
```
- 個々のコマンド権限をロールに付与することもできます。
```
CellCLI> GRANT PRIVILEGE list ON griddisk TO ROLE diskmonitor
```
- 特定のオブジェクトに対するすべてのコマンド権限をロールに付与することもできます。
```
CellCLI> GRANT PRIVILEGE ALL ACTIONS ON griddisk TO ROLE diskadmin
```
REVOKE PRIVILEGEコマンドを使用して、ロールから権限を取り消すことができます。
```
CellCLI> REVOKE PRIVILEGE ALL ACTIONS ON griddisk FROM ROLE diskadmin
```

3.5.4 ユーザーの作成

CREATE USERコマンドを使用して、Oracle Exadata System Softwareユーザーを作成します。

新しく作成したユーザーは、何も権限を持っていません。Oracle Exadata System Software ユーザーには、ユーザーに付与されたロールを介して権限が付与されます。

CREATE USERコマンドを使用してユーザーを作成し、初期パスワードを割り当てます。
次のコマンドは、パスワードuq==A*2D$_18でfredというユーザーを作成します。
```
CellCLI> CREATE USER fred PASSWORD = "uq==A*2D$_18"
```
新しいユーザーfredに権限を付与するには、すでに構成されているロールにGRANT ROLEコマンドを使用します。

3.5.5 サーバーにリモートにアクセスするユーザーのパスワードの有効期限の構成

CELL属性を構成して、ユーザー・パスワードを期限切れにできます。

Oracle Exadata System Softwareリリース19.1.0では、REST APIまたはExaCLIなど、リモートでOracle Exadata System Softwareサーバーにアクセスするユーザーにパスワード・セキュリティを構成するための新しいCELL属性があります。これらの属性によって、ユーザーがリモートでパスワードを変更できるかどうか、ユーザー・パスワードが期限切れになるまでの時間、およびパスワード有効期限の前にユーザーが警告メッセージを受け取る日数が決まります。デフォルトの構成では、ユーザー・パスワードは期限切れになりません。

ノート:

パスワードの有効期限用のCELL属性は、Oracle Exadata System Softwareで作成されたユーザーにのみ適用されます。パスワードの有効期限は、LIST USERコマンドで表示されるユーザーにのみ適用され、celladminやoracleなどのオペレーティング・システム・ユーザーには適用されません。

ユーザーがリモートでパスワードを変更できるようにするには、ALTER CELLコマンドを使用してremotePwdChangeAllowed属性をtrueに設定します。
値をfalseに設定すると、ユーザーは、サーバー管理者に連絡してパスワードを変更する必要があることを通知するメッセージを受け取ります。
```
CellCLI> ALTER CELL remotePwdChangeAllowed=true
```
ユーザー・パスワードが期限切れになるまでの時間の長さを変更するには、ALTER CELLコマンドを使用してpwdExpInDays属性を変更します。
この値nを、パスワードの期限が切れるまでの日数に設定します。pwdExpInDaysが0 (デフォルト値)に設定されている場合、ユーザー・パスワードは期限切れになりません。
```
CellCLI> ALTER CELL pwdExpInDays=n
```
パスワードの期限が切れる前に警告期間の長さを構成するには、ALTER CELLコマンドを使用してpwdExpWarnInDays属性を変更します。
値nをパスワードの期限が切れる前にユーザーに警告する日数に設定します。ユーザー・アカウントのパスワード期限切れ警告時間は、デフォルトで7日間です。
```
CellCLI> ALTER CELL pwdExpWarnInDays=n
```
ユーザー・パスワードの期限が切れた後にユーザー・アカウントがロックされるまでの時間を指定するには、ALTER CELLコマンドを使用してaccountLockInDays属性を変更します。
この値nを、ユーザー・アカウントがロックされるまでの日数に設定します。ユーザー・アカウントのロック時間は、デフォルトで7日間です。
```
CellCLI> ALTER CELL accountLockInDays=n
```

親トピック: Oracle Exadata System Softwareのユーザーとロールの作成

3.5.6 ロールの付与と取消し

GRANT ROLEコマンドを使用して、Oracle Exadata System Softwareユーザーにロールを作成します。

コマンド権限がロールに付与され、そのロールがユーザーに付与されます。コマンド権限は、Oracle Exadata System Softwareユーザーに直接付与されません。

ユーザーにロールを付与するには、GRANT ROLEコマンドを使用します。
次の例は、ユーザーfredにadminロールを付与しています。
```
CellCLI> GRANT ROLE admin TO USER fred
```
REVOKE ROLEコマンドを使用して、ユーザーからロールを取り消すことができます。

3.6 Oracle Exadata Storage Serverのオペレーティング・システム・ユーザーのセキュリティ・ポリシー

オペレーティング・システムへのユーザー・アクセスは、安全で固定化されたパスワードの使用により安全を保証できます。

Oracle Exadata System Softwareを管理するオペレーティング・システム・ユーザーのパスワードは、Oracle Exadata Deployment Assistant (OEDA)によって実施されるセキュリティ・ガイドラインに準拠しています。詳細は、OEDAで実施されるデフォルト・セキュリティ設定に関する項を参照してください。

パスワードの変更
ユーザーのパスワードを変更するには、オペレーティング・システムのpasswdコマンドを使用します。
オペレーティング・システム・ユーザーのセキュリティ・ポリシーの有効化
/opt/oracle.cellos/RESECURED_NODEファイルによって、セキュリティ・ポリシーが有効になります。
失敗したオペレーティング・システム・パスワードの試行の表示
ロックされたオペレーティング・システム・ユーザー・アカウントのリセット

親トピック: Oracle Exadataのユーザー・セキュリティ

3.6.1 パスワードの変更

オペレーティング・システムのpasswdコマンドを使用して、ユーザーのパスワードを変更します。

パスワードの期限が切れる7日前に、オペレーティング・システムのユーザーにはパスワードを変更する必要があることが通知されます。

パスワードを変更するには、passwdコマンドを使用します。ここで、usernameはパスワードを変更するユーザーの名前です。
```
passwd username
```

親トピック: Oracle Exadata Storage Serverのオペレーティング・システム・ユーザーのセキュリティ・ポリシー

3.6.2 オペレーティング・システム・ユーザーのセキュリティ・ポリシーの有効化

/opt/oracle.cellos/RESECURED_NODEファイルによって、セキュリティ・ポリシーが有効化されます。

ファイルが存在しない場合は、次のステップを実行してすべてのオペレーティング・システム・ユーザーのセキュリティ・ポリシーをリセットできます。

すべてのデータベース・サーバー上のOracle Grid Infrastructureサービスをシャットダウンします。
ストレージ・サーバーでセル・サービスを停止します。
```
cellcli -e alter cell shutdown services all
```
セキュリティ・ポリシーをリセットするにはharden_passwords_reset_root_sshスクリプトを使用します。
ノート:
harden_passwords_reset_root_sshスクリプトはセルを再起動します。
```
/opt/oracle.SupportTools/harden_passwords_reset_root_ssh
```
すべてのオペレーティング・システム・ユーザーは、次回ログイン時に新しいパスワードを設定する必要があります。

親トピック: Oracle Exadata Storage Serverのオペレーティング・システム・ユーザーのセキュリティ・ポリシー

3.6.3 失敗したオペレーティング・システム・パスワードの試行の表示

faillockオペレーティング・システム・ユーティリティを使用して、失敗したログイン試行を表示します。

たとえば、celladminユーザーの失敗したログイン試行を表示するには:

# faillock --user celladmin
celladmin:
When                Type  Source                                           Valid
2022-11-06 18:23:18 RHOST xxx.xxx.xxx.xxx                                      V
2022-11-06 18:23:23 RHOST xxx.xxx.xxx.xxx                                      V
2022-11-06 18:23:27 RHOST xxx.xxx.xxx.xxx                                      V

出力例のxxx.xxx.xxx.xxxは、ログイン失敗の原因であるIPアドレスを表します。

親トピック: Oracle Exadata Storage Serverのオペレーティング・システム・ユーザーのセキュリティ・ポリシー

3.6.4 ロックされたオペレーティング・システム・ユーザー・アカウントのリセット

ログイン失敗回数がセキュリティ・ポリシーのしきい値を超えると、オペレーティング・システムのユーザー・アカウントがロックされます。

ロックされたアカウントをリセットするには、次のコマンドを使用します。ここで、usernameは、ロックされたユーザーの名前です:

# faillock --user username --reset

親トピック: Oracle Exadata Storage Serverのオペレーティング・システム・ユーザーのセキュリティ・ポリシー