LDAP認証およびリカバリ・アプライアンス

リカバリ・アプライアンスはLDAP認証のサポートを提供します。これにより、指定したユーザーにRACLIを介してリカバリ・アプライアンスを管理するために制限された権限が付与されます。これらのユーザー名は、LDAPユーザーまたはネイティブOSユーザーのいずれであっても、リカバリ・アプライアンスの監査ログに表示されます。rootおよびoracleユーザーの直接SSHアクセスをリカバリ・アプライアンス・ノードから削除できます。

既存の企業のLDAPインフラストラクチャを活用して、コンピュータ・サーバー・ノードにOSレベルのLDAP構成を許可できます。これには、LDAPサーバー上のシャドウ/posixユーザー・アカウントが必要です。LDAPユーザーは、raadminグループに属している必要があります。

LDAPユーザーは、次のグループに属することができます:

  • raadmin - 必須
  • dbmusers - Exadataのモニターに使用します。
  • oinstall

これらのグループのグループ識別子(GID)は標準化されています。

  • RA 23.1以降のインストール中に、ra_preinstall.plを使用して特定のGIDを定義できます。
  • RA 19.xからRA 23.xへのパッチ適用/アップグレード中に、ra_preinstall.plを使用してraadminのGIDを指定できます。

ノート:

raadminグループに競合するGIDを持つ既存のRA 23.1システムがある場合は、オラクルが確認できるようにサポート・ケースを開いてください。

  1. リカバリ・アプライアンス計算サーバー(RA DBノード)を構成し、データ・センター(DC)の標準に従ってLDAPを使用してOSユーザーを認証します。

    • 通常はExadata 22.x+の標準Linuxパッケージで十分です。
    • 追加のパッケージが必要な場合は、最も関連性の高いパスを選択します。
      • Exadataシステムで使用される既存のLDAPクライアント認証設定手順があります
        1. 同じプロセスを引き続き使用して、リカバリ・アプライアンスでLDAPクライアント認証を構成します。
        2. これらは標準ではないため、OSおよびRAのパッチ適用中にそれらをアンインストールする必要がある場合があります。
        3. MOSノート2014361.1を参照してください。
      • エンジニアド・システムでLDAPを構成したことがなく、非標準のLinuxパッケージが必要な場合。
        1. 計算サーバー(RA DB)ノードに非標準のLinuxパッケージをインストールする際のリスクを確認するには、Oracleサポートに問い合せてください。

  2. クラスタ内のすべてのリカバリ・アプライアンス計算サーバー(RA DB)ノードで、LDAP認証済ユーザーがアクセスできることを確認します。 

    getent passwd <USER_NAME>

    これにより、クライアント構成がネーム・サービスに対して正しく、ユーザーが存在することが確認されます。

  3. 認証済ユーザーとしてリカバリ・アプライアンスの指定したOS管理ユーザーを追加します。計算サーバー・ノードのRACLIで、次のコマンドを発行して、そのLDAPユーザーとしてadmin_userを追加します。 

    racli add admin_user --user_name=USER_NAME [--user_uid=USER_ID --user_gid=GROUP_ID]
    --user_name

    RACLI管理グループに追加するシステム・ユーザー名。

    --user_uid

    新しく作成した管理ユーザーのユーザー識別子を設定します。値は1003以上にする必要があります。

    RA 19.x以降のインストール時に、ra_preinstall.plを使用してraadmin uidを定義できます。

    --user_gid

    新しく作成した管理ユーザーの初期ログイン・グループ識別子を設定します。グループ番号は、既存のグループを参照している必要があります。値は1003以上にする必要があります。

    RA 21.1以降のインストール時に、ra_preinstall.plを使用してgidを定義できます。

追加の非標準パッケージ

非標準の追加パッケージが必要な場合は、2つのパスを確認して、環境に最も合致するパスを選択してください。

  1. 非標準パッケージを含むExadataシステムで使用される既存のLDAPクライアント認証設定手順がある場合。

    同じプロセスを使用して、他のエンジニアド・システムで正常に使用しているLDAPクライアント認証を構成します。

    これらは非標準であるため、OSの更新およびRACLIの更新中にアンインストールが必要になる可能性があります。

  2. エンジニアド・システムでLDAPを構成したことがなく、非標準のLinuxパッケージが必要な場合。

    データベース/計算サーバー・ノードに非標準のLinuxパッケージをインストールする際のリスクを確認するには、サポートに問い合せてください。