LDAP認証およびリカバリ・アプライアンス

リカバリ・アプライアンスはLDAP認証のサポートを提供します。これにより、指定したユーザーにRACLIを介してリカバリ・アプライアンスを管理するために制限された権限が付与されます。これらのユーザー名は、LDAPユーザーまたはネイティブOSユーザーのいずれであっても、リカバリ・アプライアンスの監査ログに表示されます。rootおよびoracleユーザーの直接SSHアクセスをリカバリ・アプライアンス・ノードから削除できます。

既存の企業のLDAPインフラストラクチャを活用して、コンピュータ・サーバー・ノードにOSレベルのLDAP構成を許可できます。これには、LDAPサーバー上のシャドウ/posixユーザー・アカウントが必要です。LDAPユーザーは、raadminグループに属している必要があります。

LDAPユーザーは、次のグループに属することができます:

• raadmin - 必須
• dbmadmin - Exadataのモニターに使用します。
• dbmusers - Exadataのモニターに使用します。
• oinstall

これらのグループに対してグループ識別子(GID)を標準化することが重要です。

• インストール時に、ra_preinstall.plを使用して特定のグループ識別子を定義できます。
• パッチ/アップグレード中に、ra_preinstall.plを使用してraadmin GIDを指定することもできます。

ノート:

raadminグループのGIDが競合する既存のZDLRA 21.1システムがある場合は、サポート・ケースを開いて、グループ識別子を確認して更新してください。

1. LDAPでOSユーザーを認証するには、データ・センターのプロセスに従ってリカバリ・アプライアンスの計算サーバー・ノードを構成します。

2. クラスタ内のすべてのリカバリ・アプライアンス計算サーバー・ノードで、LDAP認証済ユーザーがアクセスできることを確認します。

   getent passwd <USER_NAME>

   これにより、クライアント構成がネーム・サービスに対して正しく、ユーザーが存在することが確認されます。

3. リカバリ・アプライアンスから、コマンドを発行して、そのLDAPユーザーをadmin_userとして追加します。

   racli add admin_user --user_name=USER_NAME [--user_uid=USER_ID --user_gid=GROUP_ID]

   --user_name

   RACLI管理グループに追加するシステム・ユーザー名。

   --user_uid

   新しく作成した管理ユーザーのユーザー識別子を設定します。値は1003以上にする必要があります。

   RA 19.x以降のインストール時に、ra_preinstall.plを使用してraadmin uidを定義できます。

   --user_gid

   新しく作成した管理ユーザーの初期ログイン・グループ識別子を設定します。グループ番号は、既存のグループを参照している必要があります。値は1003以上にする必要があります。

   RA 21.1以降のインストール時に、ra_preinstall.plを使用してgidを定義できます。

追加の非標準パッケージ

非標準の追加パッケージが必要な場合は、2つのパスを確認して、環境に最も合致するパスを選択してください。

1. 非標準パッケージを含むExadataシステムで使用される既存のLDAPクライアント認証設定手順がある場合。

   同じプロセスを使用して、他のエンジニアド・システムで正常に使用しているLDAPクライアント認証を構成します。

   これらは非標準であるため、OSの更新およびRACLIの更新中にアンインストールが必要になる可能性があります。

2. エンジニアド・システムでLDAPを構成したことがなく、非標準のLinuxパッケージが必要な場合。

   データベース/計算サーバー・ノードに非標準のLinuxパッケージをインストールする際のリスクを確認するには、サポートに問い合せてください。