9.3.1.1 tfactl access
tfactl accessコマンドを使用して、root以外のユーザーにOracle Trace File Analyzerへの制御されたアクセスを与え、診断収集を実行できるようにします。
root以外のユーザーは、tfactlコマンドのサブセットを実行できます。コマンドのサブセットを実行すると、root以外のユーザーはOracle Trace File Analyzerへの制御されたアクセスが可能になり、診断収集を実行できます。ただし、Oracle Trace File Analyzerをインストールおよび管理するには、rootアクセスが必要です。tfactl accessコマンドを使用して、root以外のユーザーを制御します。ビジネス要件に応じて、root以外のユーザーを追加または削除してください。
ノート:
デフォルトでは、Oracle Trace File Analyzerのインストールまたはアップグレード中に、すべてのOracleホーム所有者、OS DBAグループおよびASMグループがOracle Trace File Analyzerのアクセス・マネージャ・リストに追加されます。
AHFでは、リリース22.3でplatinumとprivileged-compliance-checkの2つのロールが導入されています。
- platinumは次のアクションを実行できます。
diagnosetfaコマンドを使用して、Oracle Trace File Analyzerの問題を特定するためにローカル・ノードからOracle Trace File Analyzerの診断データを収集しますauto-upgradeを設定します- コンプライアンス・チェックを
rootとして実行します - AHFメタデータを更新します
- AHF構成パラメータを変更します
- root以外のTFAユーザーのデフォルト・コマンドを実行します
- privileged-compliance-checksは次のアクションを実行できます。
- コンプライアンス・チェックを
rootとして実行します - root以外のTFAユーザーのデフォルト・コマンドを実行します
- コンプライアンス・チェックを
- AHFがアップグレードされると、
oraromユーザーに対して次の操作が実行されます。oraromユーザーがすでに昇格されている場合は、platinumロールに追加されます。oraromユーザーがまだ昇格されていない場合、platinumロールには追加されません
- アップグレード後、任意のユーザーを
platinumロールに追加するには、次のコマンドを使用します。- 既存のTFAユーザーのロールを追加するには、次のようにします。
tfactl access grant -user <user_name> -role platinum - ユーザーのロールを削除するには、次のようにします。
tfactl access revoke -user <user_name> -role platinum
- 既存のTFAユーザーのロールを追加するには、次のようにします。
- ロールを割り当てられたユーザーはロール管理されます。ユーザーが古いプロモーション・システムに戻すことはできません。
- 1人のユーザーに複数のロールを割り当てることができます。
- ユーザーの現在のロールを確認するには、
tfactl access lsusersコマンドを実行します。tfactl access lsusers .-------------------------------------------------------------------------. | TFA Users in Node1 | +-----------+---------+----------+----------------------------------------+ | User Name | Status | Promoted | Roles | +-----------+---------+----------+----------------------------------------+ | dbusr | Allowed | false | n/a | | giusr | Allowed | true | n/a | | grid | Allowed | n/a | privileged-compliance-checks | | orarom | Allowed | n/a | platinum | | oracle | Allowed | n/a | platinum, privileged-compliance-checks | '-----------+---------+----------+----------------------------------------'この例では次のとおりです。dbusrには、基本的な権限セットがありますgiusrおよびgridには、基本的な権限に加えて、rootとしてコンプライアンス・チェックを実行する機能がありますoraromユーザーには、基本的な権限に加えてplatinumユーザーの権限がありますoraromユーザーには、基本的な権限に加えて、platinumおよびprivileged-compliance-checksユーザーの権限があります
構文
tfactl access <command> [options]
commands:lsusers|add|remove|block|unblock|promote|demote|grant|revoke|reset|removeall
options: -user|-role|-json|-localtfactl access lsuserstfactl access lsusers [ -json ]tfactl access lsusers [ -local ]tfactl access add -user user_nametfactl access add -user user_name -role role_nametfactl access add -user user_name -role role_name [ -local ]tfactl access remove -user user_name [ -local ]tfactl access block -user user_name [ -local ]tfactl access unblock -user user_name [ -local ]tfactl access promote [ -local ]tfactl access demote [ -local ]tfactl access grant -user user_name -role role_name [ -local ]tfactl access revoke -user user_name -role role_name [ -local ]tfactl access resettfactl access removeallパラメータ
表9-45 tfactl accessコマンドのパラメータ
| パラメータ | 説明 |
|---|---|
|
|
Oracle Trace File Analyzerのすべてのユーザーをリストします。 |
|
|
Oracle Trace File Analyzerアクセス・リストにユーザーを追加します。 |
|
|
Oracle Trace File Analyzerアクセス・リストからユーザーを削除します。 |
|
|
root以外のユーザーのOracle Trace File Analyzerアクセスをブロックします。 このコマンドを使用して、特定のユーザーのOracle Trace File Analyzerへのアクセスをブロックします。 |
|
|
以前にブロックしたroot以外のユーザーのOracle Trace File Analyzerアクセスを有効にします。 このコマンドは、以前に |
|
|
root以外のユーザーのOracle Trace File Analyzerアクセスを昇格します。 ローカル・ノードのみで設定を変更するには、 |
|
|
root以外のユーザーのOracle Trace File Analyzerアクセスを降格します。 ただし、root以外のユーザーのアクセスを後で昇格した場合、Oracle Trace File Analyzerへのアクセスを許可されていたユーザーのリストが保存されます。 ローカル・ノードのみで設定を変更するには、 |
|
|
root以外のユーザーにロールを付与します。 |
|
|
root以外のユーザーに付与されたロールを取り消します。 |
|
|
すべてのOracleホーム所有者およびDBAグループを含むデフォルトのアクセス・リストにリセットします。 |
|
|
すべてのOracle Trace File Analyzerユーザーを削除します。 デフォルト・ユーザーを含め、すべてのユーザーがOracle Trace File Analyzerアクセス・リストから削除されます。 |
例9-42 tfactl access
tfactl access lsusers
.-------------------------------------------------------------------------.
| TFA Users in Node1 |
+-----------+---------+----------+----------------------------------------+
| User Name | Status | Promoted | Roles |
+-----------+---------+----------+----------------------------------------+
| dbusr | Allowed | false | n/a |
| giusr | Allowed | true | n/a |
| grid | Allowed | n/a | privileged-compliance-checks |
| orarom | Allowed | n/a | platinum |
| oracle | Allowed | n/a | platinum, privileged-compliance-checks |
'-----------+---------+----------+----------------------------------------'tfactl access lsusers -json
testuser: {
"node1": [
{
"Promoted": "n/a",
"Roles": "platinum",
"Status": "Allowed",
"User Name": "dbusr"
},
{
"Promoted": "false",
"Roles": "n/a",
"Status": "Allowed",
"User Name": "giusr"
}
],
"node2": [
{
"Promoted": "n/a",
"Roles": "platinum",
"Status": "Allowed",
"User Name": "dbusr"
},
{
"Promoted": "false",
"Roles": "n/a",
"Status": "Allowed",
"User Name": "giusr"
}
]
}tfactl access add -user abctfactl access add -user abc -role platinumtfactl access remove -user abctfactl access block -user xyztfactl access grant -user xyz -role platinumtfactl access revoke -user xyz -role platinumtfactl access removeall