C.2 一般的なOracle Key Vaultタスク

Oracle Key Vaultの操作時に発生した一般的な問題を解決するには、次のタスクを確認します。

• エンドポイント・データベースでエンドポイントを再登録する方法
  次のステップを使用して、エンドポイント・データベースでエンドポイントを再登録できます。
• Oracle Key Vaultサーバーから診断をダウンロードする方法
  21.5以前のバージョンのOracle Key Vault診断ログをダウンロードすると、Oracle Key Vaultの問題のトラブルシューティング情報が提供されます。
• rootユーザー・パスワードのリカバリ方法
  現在のrootパスワードを忘れた場合、Oracle Key Vaultサーバーのターミナル・コンソールを使用して、Oracle Key Vaultのrootユーザー・パスワードをリセットできます。
• supportユーザー・パスワードのリセット方法
  現在のパスワードを忘れた場合、Oracle Key Vaultサーバーのコンソール・ターミナルを使用して、Oracle Key Vaultのsupportユーザー・パスワードをリセットできます。
• コンソール証明書へのSAN詳細の追加方法
  次の手順を使用してコンソール証明書にSANの詳細を追加できます。

C.2.1 エンドポイント・データベースでエンドポイントを再登録する方法

次のステップを使用して、エンドポイント・データベースでエンドポイントを再登録できます。

1. システム管理者ロールまたはエンドポイント管理権限を持つユーザーとして、Oracle Key Vault管理コンソールにログインします。
2. 「Endpoints」タブに移動します。
3. エンドポイントを選択し、エンドポイントを再登録します。
4. エンドポイント登録トークンを使用してokvclient.jarファイルをダウンロードします。
5. SCPを使用して、okvclient.jarをエンドポイント・データベース・サーバーに安全に転送します。
6. 必要に応じて、ORACLE_BASE、ORACLE_HOME、ORACLE_SID、JAVA_HOMEおよびOKV_HOME環境変数を設定します。
7. $OKV_HOMEディレクトリをバックアップし、$OKV_HOMEの下のファイルを削除します。

   $cp -R $OKV_HOME $OKV_HOME_bkp_date +%Y%m%d

8. $OKV_HOMEディレクトリに移動し、すべてのファイルを削除します。
9. okvclient.oraファイルが$ORACLE_BASE/okv/$ORACLE_SIDに存在するかどうかを確認します。ファイルが存在する場合は、名前を変更します。

   cd $ORACLE_BASE/okv/$ORACLE_SID
   ls -ltr 
   mv okvclient.jar okvclient.jar_bkp_date +%Y%m%d
   rm okvclient.lck
   rm okv.pc.lck

10. 新しいokvclient.jarファイルをインストールします。

    $JAVA_HOME/bin/java -jar okvclient.jar -d $OKV_HOME -v -o

C.2.2 Oracle Key Vaultサーバーから診断をダウンロードする方法

21.5以前のバージョンのOracle Key Vault診断ログをダウンロードすると、Oracle Key Vaultの問題のトラブルシューティング情報が提供されます。

Oracle SupportからリクエストされたOracle Key Vault診断ログをダウンロードするには:

1. Oracle Key Vaultサーバーにrootとしてログインします
2. 診断パッケージをインストールします。

   /usr/local/dbfw/bin/priv/dbfw-diagnostics-package.rb --install

3. ユーティリティがアプライアンスに関する情報を収集できるように、診断構成を変更します。すべての要素とファイルのコレクションを有効にします。

   /usr/local/dbfw/bin/priv/dbfw-diagnostics-package.rb --enable ALL

4. 診断ファイルを削除する前に、Oracle Key Vaultの外部にコピーします。

   scp/usr/local/dbfw/tmp/diagnostics_okv*.zip user@hostname:/tmp

5. 診断ログを収集します。

   /usr/local/dbfw/bin/priv/dbfw-diagnostics-package.rb

   たとえば、診断ファイルは次のようになります。

   /usr/local/dbfw/tmp/diagnostics_okv0039f6043e9a_2017_06_08_17_48_07_75F4728E5644D781A215200EAAEADF3B.zip

6. 診断ファイルをOracle Key Vaultの外部の宛先にコピーした後、パッケージを削除します。

   /usr/local/dbfw/bin/priv/dbfw-diagnostics-package.rb --remove

C.2.3 rootユーザー・パスワードのリカバリ方法

現在のrootパスワードを忘れた場合、Oracle Key Vaultサーバーのターミナル・コンソールを使用して、Oracle Key Vaultのrootユーザー・パスワードをリセットできます。

Oracle Key Vaultサーバーのrootユーザー・パスワードをリセットするには:

1. Oracle Key Vaultサーバーを再起動します。

   ターミナル・コンソールで、GRUB2メニューにOracle Key Vaultサーバー・エントリのメニュー項目が表示されたら、[e]キーを押して編集モードに移行します。

   
   

   
   図218_root_user_password.pngの説明

   
   

   次の画像に示すように、GRUB編集モードはブート・プロセスに割り込み、カーネル・ブート・パラメータを表示します:

   
   
   図218_kernel_boot_params.pngの説明
   

2. linuxefiで始まる行の末尾に移動します。[Ctrl]+[e]を押して行の末尾に移動します。
3. linux16で始まる行の末尾に未認可のrd.breakと入力します。
4. [Ctrl]+[x]を押して、変更されたカーネル・パラメータでブート・プロセスを続行します。switch_root:/#プロンプトが表示されます。
5. rootパスワードを変更するには、読取り/書込みアクセス権を持つファイル・システムを再マウントします。デフォルトでは、ファイル・システムは読取り専用として/sysrootにマウントされます。
6. switch_root:/#プロンプトで指定されたコマンドを実行して、/sysrootを書き込み可能にします。

   mount -o remount,rw /sysroot

7. chroot環境に入るには、次のコマンドを実行します:

   chroot /sysroot

8. passwdコマンドを使用して、新しいrootパスワードを設定します。パスワードの変更を完了するには、プロンプトに従います。

   passwd

9. システムの次回再起動時に、SELinuxファイル・システムのラベル変更処理を強制します:

   touch /.autorelabel

   スラッシュの後にドットが表示されることを確認します。

10. chroot環境を終了します。

    exit

11. switch_rootプロンプトを終了します。

    exit

    ブート・プロセスが続行します。数分待ってから、SELinuxラベル変更プロセスを完了します。ラベル変更プロセスが完了すると、システムは自動的に再起動します。

12. システムが再起動すると、rootパスワードのリセットが完了します。
13. 新しいrootパスワードでログインします。

C.2.4 supportユーザー・パスワードのリセット方法

現在のパスワードを忘れた場合、Oracle Key Vaultサーバーのコンソール・ターミナルを使用して、Oracle Key Vaultのsupportユーザー・パスワードをリセットできます。

Oracle Key Vaultコンソール・ターミナルでOSユーザーのsupportパスワードを変更するには:

1. rootユーザーとしてログインします。

   ノート:

   rootとしてログインするには、コンソール端末を使用します。
2. passwd supportコマンドを実行して、supportユーザー・パスワードをリセットします。

   [root@okvserver ~]# passwd support
   Changing password for user support.
   New password:
   Retype new password: 
   passwd: all authentication tokens updated successfully.
   [root@okvserver ~]#

   supportパスワードを変更しても、結果は表示されません。

   パスワードが正常に設定されると、次のメッセージがコンソールに表示されます。

   All authentication tokens updated successfully.

3. supportとしてログインします。

C.2.5 コンソール証明書へのSAN詳細の追加方法

次の手順を使用してコンソール証明書にSANの詳細を追加できます。

例

Oracle Key Vaultでは、コンソール証明書をアップロードした後に、ブラウザで、SANの詳細がないために「Invalid Certificate」と表示されます。

考えられる原因

• 現在は、Oracle Key Vault管理Webコンソールからのコンソール証明書の生成中にはSANの詳細を追加できません。
• Oracle Key Vault 21.7またはそれ以前のバージョンでは、コンソール証明書にSANの詳細を追加できません。

解決策

1. sshを使用してsupportユーザーとしてOracle Key Vaultサーバーにログインし、rootユーザーに切り替えます。
2. mkdir /tmp/console_certのように、/tmpディレクトリの下に一時ディレクトリを作成します。

   chmod 755 /tmp/console_cert
   cp/etc/pki/tls/private/user_uploaded_ui.key public.key 

3. 構成コードをコピーします。

   consolecrt.conf:
   [req]
   distinguished_name = req_distinguished_name
   req_extensions = v3_req
   
   [req_distinguished_name]
   countryName = Country Name (2 letter code)
   countryName_default = US
   localityName = Locality Name (eg, city)
   organizationalUnitName = Organizational Unit Name (eg, section)
   commonName = Common Name (eg, YOUR name)
   commonName_max = 64
   emailAddress = Email Address
   emailAddress_max = 70
   
   [v3_req]
   basicConstraints = CA:FALSE
   keyUsage = nonRepudiation, digitalSignature, keyEncipherment
   extendedKeyUsage = serverAuth
   subjectAltName = @alt_names
   
   [alt_names]
   DNS.1 = [eg. oracle.com]
   IP.1     = [ip address]

4. /tmp/console_certにconsolecrt.confを作成します。
5. consolecrt.confファイルを編集し、alt_nameレコードの下にalt_namesを追加します。
6. 指定されたコマンドを使用してcsrを生成します。

   openssl req -new -key public.key -out console_cert_okvname.csr –config consolecrt.conf 

   1. 生成されたcsrに署名します。
7. Oracle Key Vault管理コンソールでコンソール証明書ページに移動します。
8. 「Upload Certificate」をクリックして署名付き証明書をアップロードします。