5 Oracle Database Applianceでのマルチユーザー・アクセスの実装
Oracle Database Applianceでマルチユーザー・アクセスを実装する方法、そのメリットと制限事項およびアプライアンスに関連するライフサイクル管理の変更について説明します。
注意:
ベア・メタル・システムでOracle Database Applianceをプロビジョニングするときにのみマルチユーザー・アクセスを有効にでき、アプライアンスをプロビジョニングおよびデプロイした後は、マルチユーザー・アクセスをロールバックできません。マルチユーザー・アクセス機能をデプロイすると、Oracle Database Appliance管理モデルが変更されます。この機能を使用する前に、ロール分離要件を評価してください。最初にテスト・システムにデプロイすると、新しい管理モデルの評価に役立ちます。ノート:
ODACLIコマンドまたはブラウザ・ユーザー・インタフェース(BUI)のいずれかを使用してDBシステムを作成するときに、Oracle Database Appliance DBシステムでマルチユーザー・アクセスを有効にできます。- Oracle Database Applianceでのマルチユーザー・アクセスについて
アプライアンスをプロビジョニングする前に、マルチユーザー・アクセスによってシステムのセキュリティが強化され、ロール分離のための効率的なメカニズムが提供される仕組みを説明します。 - マルチユーザー・アクセス対応のOracle Database Applianceシステムでのユーザー、ロール、権限および操作について
マルチユーザー・アクセスを有効にしてアプライアンスをプロビジョニングする場合のユーザー、ロール、権限および操作について説明します。 - リソース・アクセスの付与と取消しについて
マルチユーザー・アクセスにより、リソースへの排他的アクセスまたは共有アクセスが可能になります。共有リソース・アクセスに関する例を確認します。 - Oracle Database Applianceでのパスワードなしのマルチユーザー・アクセスの使用
Oracle Database Applianceにパスワードなしのマルチユーザー・アクセスを実装する方法、そのメリットと制限事項およびアプライアンスに関連するライフサイクル管理の変更について説明します。 - マルチユーザー・アクセスを使用したOracle Database Applianceのプロビジョニング
マルチユーザー・アクセスを有効にできるのは、CLIコマンドまたはブラウザ・ユーザー・インタフェースを使用してOracle Database Applianceをプロビジョニングする場合のみです。 - マルチユーザー・アクセスを使用したOracle Database Applianceでのユーザーの作成、表示および削除
マルチユーザー・アクセスを有効にしてアプライアンスをプロビジョニングした後に、特定の権限を持つユーザーを作成できます。 - マルチユーザー・アクセスを使用したOracle Database Applianceでの新規ユーザーのアクティブ化
マルチユーザー・アクセスが有効なOracle Database Applianceで新規ユーザーをアクティブ化する方法を説明します。 - マルチユーザー・アクセスを使用したOracle Database Applianceでのリソース・アクセスの付与および取消し
アプライアンスでのリソース・アクセスを付与したり、取り消すことができます。 - マルチユーザー・アクセスを使用したOracle Database Applianceでのロール、操作および権限の表示
アプライアンスでロールと権限を表示できます。 - マルチユーザー・アクセスを使用したOracle Database Applianceでのデータベースおよびデータベース・ホームの管理
マルチユーザー・アクセスのOracle Database Applianceで作成されたカスタム・ユーザーは、データベースとデータベース・ホームをデプロイおよび管理できます。 - マルチユーザー・アクセスを使用したOracle Database Applianceのユーザー・アカウントのパスワードの変更
マルチユーザー・アクセスのOracle Database Applianceでパスワードを管理する方法を説明します。 - マルチユーザー・アクセスを使用したOracle Database Applianceのロックされたユーザー・アカウントのパスワードのリセット
マルチユーザー・アクセスのOracle Database Applianceでパスワードをリセットする方法を説明します。
Oracle Database Applianceでのマルチユーザー・アクセスについて
アプライアンスをプロビジョニングする前に、マルチユーザー・アクセスによってシステムのセキュリティが強化され、ロール分離のための効率的なメカニズムが提供される仕組みを説明します。
現在、ユーザー名とパスワードがある1つのOracle Database Applianceアカウントを使用して、アプライアンスへの安全な接続、ODACLIコマンドの実行、BUIへのログインを行っています。rootユーザーは、Oracle Database Applianceに対するすべての管理を実行します。マルチユーザー・アクセスでは、データベースを管理するデータベース管理者に個別のアクセスを提供できます。ブラウザ・ユーザー・インタフェース内のリソースの表示も、ユーザー・ロールごとにフィルタされます。rootアクセスは、システム・ログにアクセスしたり、問題をデバッグするためにrootアクセスを必要とするOracle Database Applianceシステム管理者に制限されています。
マルチユーザー・アクセスを有効にする場合は、ロールが異なる複数のユーザーを作成して、それらのユーザーが他のユーザーが作成したリソースにアクセスできないようにしたり、ODACLIコマンドまたはブラウザ・ユーザー・インタフェース(BUI)を使用して実行できる操作のセットを制限します。設定したのと同じユーザー資格情報を使用して、BUIにログインしたり、ODACLIコマンドを実行できます。また、BUIでは、リソース・セットへのアクセスに基づいてリソースと情報が表示されます。別の「Multi-User Access Management」タブは、システム内のユーザーおよびリソースを管理するodaadminユーザーのみが使用できます。
ノート:
マルチユーザー・アクセスを有効にすると、Oracle Database Appliance管理者はodaadminになります。このユーザーはアプライアンス上のすべてのリソースへのアクセス権を持ち、同じ資格証明セットを使用してODACLIまたはBUIで、すべての操作を実行できます。マルチユーザー・アクセスを有効にしない場合、BUIへのログインに使用するユーザー名はoda-adminです。
ノート:
ODACLIセッション管理用の認証トークン・サポートは、マルチユーザー・アクセスのユーザー・アカウントにリンクされています。rootはオペレーティング・システム管理ユーザーであり、マルチユーザー・アクセスのユーザーではないため、ユーザーがrootとしてログインしている場合は認証トークン・ベースのセッション管理システムはサポートされません。そのため、ODACLIコマンドを実行するには、Oracle Database Applianceアカウントのユーザー名およびパスワードを指定する必要があります。
マルチユーザー・アクセスを有効にするメリット
- マルチユーザー・アクセス機能は、作成、アクティブ化、更新、非アクティブ化、削除、資格証明管理などのユーザー・ライフサイクル管理をサポートします。
- マルチユーザー・アクセスを使用することで、同じ組織内の財務や人事などの複数の部門がOracle Database Applianceを統合プラットフォームとして使用して、データベースを安全にホストできます。これは、各部門の権限を持つユーザーのみが、その部門データベースにアクセスし、データベースのライフサイクル管理操作を実行できるためです。
- rootアクセス・ポリシーによる制限事項がある組織は、マルチユーザー・アクセスを使用して、制限付きロールを持つ個別のユーザーを作成できます。
- マルチユーザー・アクセスがない場合、プロビジョニング中にデフォルト・データベース・ユーザーが選択したとおりにすべてのデータベースが作成されていました。したがって、
sudoベースのマルチユーザー環境であっても、ODA管理者はリソースの使用状況を追跡できませんでした。データベース・レベルでそのようなレポートを作成できるようになりました。 - マルチユーザー・アクセス機能は、トークンベースのセッション管理をサポートします。ユーザーがパスワードを入力するのは、最初の
odacliコマンドを実行する場合のみです。その後、トークンが生成され、その有効期限が切れるまでユーザーはパスワードを再度入力する必要がありません。odacliコマンドが実行されるたびに、有効期限が120分またはodaadminユーザーによって構成された値である新しいトークンで既存のトークンがリフレッシュされます。つまり、odacliセッションが失効期間にアイドルでない場合、ユーザーはパスワードを再度入力する必要がありません。 - Basic認証モードとmTLSモードの両方の認証がサポートされています。ODACLIおよびBUIはBasic認証を使用します。
oracleやgridなどのユーザーは、mTLSベースの認証を使用してDCSエージェントに対する特定の操作を実行することもできます。Basic認証はパスワードベースの認証スキームです。mTLSは、認証が完了する前に、クライアント(ユーザー)とサーバー(DCSエージェント)の両方が相互に存在し、互いの証明書を認証する証明書ベースの認証スキームです。 - マルチユーザー・アクセスは、複数のログイン試行の失敗やパスワードの有効期限でのユーザー・アカウントのロックを提供します。パスワードを忘れた場合に、アカウントのロックを解除してリセットすることもできます。
ノート:
Oracle Database Applianceをプロビジョニングするときにのみマルチユーザー・アクセスを有効にでき、アプライアンスをプロビジョニングおよびデプロイした後は、マルチユーザー・アクセスをロールバックできません。最初にテスト・システムで機能をプロビジョニングしてから、その機能を本番システムにデプロイします。マルチユーザー・アクセス対応のOracle Database Applianceシステムでのユーザー、ロール、権限および操作について
マルチユーザー・アクセスを有効にしてアプライアンスをプロビジョニングする場合のユーザー、ロール、権限および操作について説明します。
ノート:
マルチユーザー・アクセスが有効なデプロイメントでは、oda-adminユーザーが存在しないことに注意してください。ODA管理ユーザー名は、odaadminです。管理権限を持つ最初のユーザーがodaadminと呼ばれます。このユーザーは、BUIにログインしてODACLIコマンドを実行できます。このユーザーは、必要に応じて、ロールおよび権限を持つ他のユーザー・アカウントを作成することもできます。
ロール、権限および操作について
マルチユーザー対応のOracle Database Applianceシステムでは、各ユーザーに1つ以上のロールを割り当てることができます。各ロールには、ODACLIまたはBUIを使用して特定の一連の操作のみを実行することをユーザーに許可する一連の権限が含まれています。各権限は、類似した一連の操作のグループです。たとえば、PROVISIONDB-MGMTは、create-database、clone-database、delete-database、register-databaseなどのプロビジョニング関連の操作を含む権限です。同様に、BACKUPDB-MGMTには、create-backup、delete-backup、irestore-database、recover-databaseなどのバックアップ関連の操作が含まれています。ODA-DBロールは、PROVISIONDB-MGMT、BACKUPDB-MGMT、PATCHDB-MGMTなどの権限のコレクションにアクセスできます。ODA-DBロールを持つユーザーは、所有するデータベースに対してすべてのデータベース・ライフサイクル管理操作を実行できます。また、ODA-DBロールを持つユーザーがODA-GRIDロールも付与されると、Oracle Grid Infrastructure関連の操作を実行できるようになります。
ロールは内部または外部にできます。内部ロールはシステム・ユーザーに割り当てられ、Oracle Database Applianceシステムの管理のために内部的に使用されます。たとえば、ODA-ADMINISTRATORロールが、アプライアンスまたは関連するエンティティを管理するOracle Database Applianceシステム管理者に割り当てられます。もう1つの例は、ODA-DBVMINFRAロールを持つシステム・ユーザーを使用してベア・メタルと通信するDBシステムです。
外部ロールは、Oracle Database Applianceシステム管理者であるodaadminによって作成された新規ユーザーに付与できます。たとえば、odaadminは、ODA-DBロールを持つ新しいユーザーodadb1を作成します。このユーザーodadb1は、付与されたロールにより、データベースを作成し、ライフサイクル管理操作を実行できます。1人のユーザーに1つ以上のロールを割り当てることができます。
Oracle Database Applianceでのマルチユーザー・アクセスに伴うODACLIコマンドの変更のトピックでは、マルチユーザー・アクセスのために変更されるODACLIコマンドと、コマンドの実行に必要な権限について説明します。
マルチユーザー・アクセスのユーザー・ロール
Oracle Database Applianceでマルチユーザー・アクセスを有効にすると、次のユーザー・ロールを使用できます。
- ODA-ADMINISTRATOR: これは、Oracle Database Applianceのプロビジョニング中に作成された最初のユーザー(
odaadmin)に割り当てられる内部ロールです。このロールによって、odaadminは、すべてのODACLIコマンドを実行したり、すべてのブラウザ・ユーザー・インタフェース(BUI)操作を実行できます。このロールは、odaadminによって作成される新規ユーザーに割り当てることはできません。odaadminアカウントは、任意のリソースに対して任意の操作(コマンド)を実行できる管理者ロールです。たとえば、ユーザーoda1はデータベースdb1を作成し、ユーザーoda2はデータベースdb2を作成します。各ユーザーは、それぞれ自分のデータベースに対してのみライフサイクル管理操作を実行できます。しかし、odaadminはodacliコマンドを実行して、両方のデータベースにパッチを適用できます。これにより、DBA (oda1およびoda2)と全体的な管理者(odaadmin)の両方が、自分のロールに固有の機能を実行できます。 - ODA-DB: これは、
odaadminが新しく作成したユーザーに割り当てることができる外部ロールです。このロールによってユーザーは、作成、変更、リストア、リカバリ、バックアップ、パッチ、クローン、移動、登録、削除などのデータベース管理操作を実行できます。 - ODA-OAKDROOT: これは、プロビジョニング中に作成されたシステム・ユーザー
oakdrootに割り当てられる内部ロールで、DCSエージェントに対するget-disksやrelease-disksなどの特定の操作を実行するためにOAKDによって使用されます。OAKDは、mTLS証明書ベースの認証を介してDCSと通信します。したがって、このユーザーにはパスワードが関連付けられていません。このロールを使用してSSHでアプライアンスに接続したり、ブラウザ・ユーザー・インタフェースにログインしてODACLIコマンドを実行しないでください。change-passwordなどのパスワード管理コマンドはこのユーザーには適用されません。 - ODA-GRID: これは、
gridユーザーに割り当てられる内部ロールです。このロールによってユーザーは、Oracle Grid Infrastructure関連の操作を実行できます。 - ODA-DBVMINFRA: これは、DBシステムのプロビジョニング時にベア・メタル・システムで作成されたDBVMユーザーに割り当てられる内部ロールです。このロールによって、ユーザーはDBシステムとベア・メタル・システムの間でメタデータを同期できます。
リソース・アクセスの付与と取消しについて
マルチユーザー・アクセスにより、リソースへの排他的アクセスまたは共有アクセスが可能になります。共有リソース・アクセスに関する例を確認します。
マルチユーザー・アクセスにより、リソースへの排他的アクセスまたは共有アクセスが可能になります。各ユーザーが独自のデータベース・ホームを作成し、そのホームでデータベースを作成することをお薦めします。これにより、各ユーザーがデータベースに排他的にアクセスできる職務を効率的に分離できます。ただし、ディスク領域の不足などの例外的な状況では、ユーザーは管理者odaadminに別のユーザーが所有するリソースへの共有アクセス権を付与するようにリクエストできます。
たとえば、ユーザーoda1がバージョン19cのデータベースを作成するときに、別のユーザーoda2によって作成された同じバージョンのデータベース・ホームDBH2がすでに存在する場合があります。ユーザーoda2の同意により、ユーザーoda1は、odaadminユーザーにデータベース・ホームDBH2への共有アクセス権を付与するようにリクエストできるようになりました。共有アクセス権が付与されたら、ユーザーoda1は、共有データベース・ホームDBH2でデータベースdb1を作成して管理できます。データベース・ホームDBH2はユーザーoda2によって所有されているため、ユーザーoda1は、SYSユーザーのパスワードによってのみデータベースdb1に接続でき、オペレーティング・システム認証に基づくパスワードレス接続では接続できません。データベース・ホーム、データベース・ストレージ、データベースなどのOracle Database Applianceリソースは、オンデマンドで同様の方法でユーザー間で共有できます。ただし、共有リソースを管理するセカンダリ所有者には制限があります。
Oracle Database Applianceでのパスワードなしのマルチユーザー・アクセスの使用
Oracle Database Applianceにパスワードなしのマルチユーザー・アクセスを実装する方法、そのメリットと制限事項およびアプライアンスに関連するライフサイクル管理の変更について説明します。
注意:
パスワードなしのマルチユーザー・アクセスを有効にできるのは、ベア・メタル・システムおよびDBシステムにOracle Database Applianceをプロビジョニングするときのみとなり、アプライアンスをプロビジョニングしてデプロイした後では、マルチユーザー・アクセスをロールバックできません。パスワードなしのマルチユーザー・アクセス機能をデプロイすると、Oracle Database Appliance管理モデルが変更されます。この機能を使用する前に、ロール分離要件を評価してください。最初にテスト・システムにデプロイすると、新しい管理モデルの評価に役立ちます。マルチユーザー・アクセスが有効になっていない、またはodacliコマンドを初めて実行するときにパスワードを必要とする以前のマルチユーザー・アクセス機能を持つ既存のベア・メタル・システムおよびDBシステム・デプロイメントは、パスワードなしのマルチユーザー・アクセス・デプロイメントに変換できません。
ノート:
Oracle Database Applianceリリース19.23以降では、パスワードなしのマルチユーザー・アクセス機能も使用できます。マルチユーザー・アクセスが有効になっていないベア・メタル・システムでは、いずれかのマルチユーザー・アクセス機能を備えたDBシステムをプロビジョニングできます。このようなベア・メタル・システムでは、マルチユーザー・アクセスまたはパスワードなしのマルチユーザー・アクセスによって提供されるロール分離およびリソース所有権機能を引き続き使用できます。- Oracle Database Applianceでのパスワードなしのマルチユーザー・アクセスについて
アプライアンスをプロビジョニングする前に、パスワードなしのマルチユーザー・アクセスによってシステムのセキュリティが強化され、ロール分離のための効率的なメカニズムが提供される仕組みを説明します。 - パスワードなしのマルチユーザー・アクセスを使用したOracle Database Applianceのプロビジョニング
パスワードなしのマルチユーザー・アクセスを有効にできるのは、CLIコマンドを使用してOracle Database Applianceをプロビジョニングするときのみです。パスワードなしのマルチユーザー・アクセス機能のプロビジョニングおよび管理は、ブラウザ・ユーザー・インタフェース(BUI)ではサポートされていません。 - パスワードなしのマルチユーザー・アクセスを使用したOracle Database Applianceでのユーザーの作成、表示および削除
パスワードなしのマルチユーザー・アクセスを有効にしたアプライアンスをプロビジョニングすると、特定の権限を持つユーザーを作成できます。 - パスワードなしのマルチユーザー・アクセスを使用したOracle Database Applianceのユーザー・アカウントのパスワードの変更
マルチユーザー・アクセスのOracle Database Applianceでパスワードを管理する方法を説明します。 - 単一ノードのパスワードなしのマルチユーザーが有効なアプライアンスを作成するためのJSONファイルの例
複数のJSONファイルの例に従って、コマンドodacli create-applianceを使用して単一ノード・アプライアンスをデプロイするJSONファイルを作成します。 - 高可用性のパスワードなしのマルチユーザーが有効なアプライアンスを作成するためのJSONファイルの例
JSONファイルの例に従って、コマンドodacli create-applianceを使用して高可用性アプライアンスをデプロイするJSONファイルを作成します。 - 単一ノードのパスワードなしのマルチユーザーが有効なDBシステムを作成するためのJSONファイルの例
JSONファイルの例に従って、コマンドodacli create-dbsystemを使用して、ロール分離を使用する単一ノードDBシステムをデプロイするJSONファイルを作成します。 - 高可用性のパスワードなしのマルチユーザーが有効なDBシステムを作成するためのJSONファイルの例
JSONファイルの例に従って、コマンドodacli create-dbsystemを使用して、ロール分離を使用する2ノードDBシステムをデプロイするJSONファイルを作成します。
Oracle Database Applianceでのパスワードなしのマルチユーザー・アクセスについて
アプライアンスをプロビジョニングする前に、パスワードなしのマルチユーザー・アクセスによってシステムのセキュリティが強化され、ロール分離のための効率的なメカニズムが提供される仕組みを説明します。
Oracle Database Applianceでは、ベア・メタル・システムおよびDBシステムでOracle Database Applianceをプロビジョニングするときにパスワードなしのマルチユーザー・アクセスを有効化することがサポートされています。ベア・メタル・システムおよびDBシステムのプロビジョニングに使用されるJSONファイルに"isMultiUserAccessPLEnabled": trueオプションを指定する必要があります。詳細は、この章のこのオプションを使用したJSONファイルの例を参照してください。
パスワードなしのマルチユーザー・アクセスを有効にする場合は、異なるロールを持つ複数のユーザーを作成して、他のユーザーが作成したリソースへのアクセスを制限したり、ODACLIコマンドを使用して実行できる操作のセットを制限することもできます。
ノート:
ODACLIコマンドを使用してプロビジョニングするときに、Oracle Database Applianceベア・メタル・システムおよびDBシステムでパスワードなしのマルチユーザー・アクセスを有効にできます。ブラウザ・ユーザー・インタフェース(BUI)を使用して、Oracle Database Applianceベア・メタル・システムでパスワードなしのマルチユーザー・アクセスを有効にすることはできません。ただし、プロビジョニングするときに、Oracle Database Applianceベア・メタル・システムのBUIを使用して、Oracle Database Appliance DBシステムでマルチユーザー・アクセスを有効にできます。パスワードなしのマルチユーザー・アクセスを有効にするメリット
- 企業ポリシーにより、企業資格証明を介してOracle Database Applianceへのアクセスを許可するツールまたはソフトウェアを使用してOracle Database Applianceユーザー・アカウントのパスワードを直接使用できない場合は、パスワードなしのマルチユーザー・アクセスを構成し、ODACLIコマンドを初めて実行するとき、または認証トークンが期限切れになったときにOracle Database Applianceアカウントのパスワードを指定する必要なく、アプライアンスでコマンドを実行できます。Oracle Database Applianceサーバーへのすべての通信は、ユーザーごとに一意の強力でセキュアなシステム生成パスワードを介して行われるため、システムのセキュリティが損なわれることはありません。
- パスワードなしのマルチユーザー・アクセス機能は、ロール分離を提供し、ユーザー・ライフサイクル管理(作成、削除、資格証明管理など)をサポートします。
- パスワードなしのマルチユーザー・アクセスを使用することで、同じ組織内の財務や人事などの複数の部門がOracle Database Applianceを統合プラットフォームとして使用して、データベースを安全にホストできます。これは、各部門の権限を持つユーザーのみが、その部門データベースにアクセスし、データベースのライフサイクル管理操作を実行できるためです。
- rootアクセス・ポリシーによる制限事項がある組織は、パスワードなしのマルチユーザー・アクセスを使用して、制限付きロールを持つ個別のユーザーを作成できます。
- マルチユーザー・アクセスがない場合、プロビジョニング中にデフォルト・データベース・ユーザーが選択したとおりにすべてのデータベースが作成されていました。したがって、
sudoベースのマルチユーザー環境であっても、ODA管理者はリソースの使用状況を追跡できませんでした。データベース・レベルでそのようなレポートを作成できるようになりました。 - パスワードなしのマルチユーザー・アクセスの場合、ODACLIコマンドを初めて実行するとき、または認証トークンが期限切れになったときに、Oracle Database Applianceアカウントのパスワードを指定する必要はありません。Oracle Database Applianceシステムによって、ユーザーごとに強力でセキュアなパスワードが生成されます。このパスワードは、システムによって内部的に格納され、odacliコマンドの実行時に使用されます。
- Basic認証モードとmTLSモードの両方の認証がサポートされています。ODACLIでは、Basic認証を使用しています。
oracleやgridなどのユーザーは、mTLSベースの認証を使用してDCSエージェントに対する特定の操作を実行することもできます。Basic認証はパスワードベースの認証スキームです。mTLSは、認証が完了する前に、クライアント(ユーザー)とサーバー(DCSエージェント)の両方が相互に存在し、互いの証明書を認証する証明書ベースの認証スキームです。
ノート:
パスワードなしのマルチユーザー・アクセスを有効にできるのは、Oracle Database Applianceをプロビジョニングするときのみとなり、アプライアンスをプロビジョニングしてデプロイした後では、パスワードなしのマルチユーザー・アクセスをロールバックできません。最初にテスト・システムで機能をプロビジョニングしてから、その機能を本番システムにデプロイします。パスワードなしのマルチユーザー・アクセスを使用したOracle Database Applianceのプロビジョニング
パスワードなしのマルチユーザー・アクセスを有効にできるのは、CLIコマンドを使用してOracle Database Applianceをプロビジョニングするときのみです。パスワードなしのマルチユーザー・アクセス機能のプロビジョニングおよび管理は、ブラウザ・ユーザー・インタフェース(BUI)ではサポートされていません。
Oracle Database Applianceベア・メタル・システムのプロビジョニングの章の説明に従って、アプライアンスをプロビジョニングします。
注意:
パスワードなしのマルチユーザー・アクセスを有効にできるのは、ベア・メタル・システムにOracle Database Applianceをプロビジョニングするときのみとなり、アプライアンスをプロビジョニングしてデプロイした後では、マルチユーザー・アクセスをロールバックできません。パスワードなしのマルチユーザー・アクセス機能をデプロイすると、Oracle Database Appliance管理モデルが変更されます。この機能を使用する前に、ロール分離要件を評価してください。最初にテスト・システムにデプロイすると、新しい管理モデルの評価に役立ちます。パスワードなしのマルチユーザー・アクセスを有効にしたOracle Database Applianceのプロビジョニングのすべてのステップ
- パスワードなしのマルチユーザー・アクセスを有効にします。
- JSONファイルを使用してアプライアンスをプロビジョニングするには、
prov_req.jsonファイルに属性"isMultiUserAccessPLEnabled": trueを追加します。この属性がfalseに設定されている場合やprov_req.jsonファイルに存在しない場合は、アプライアンスのプロビジョニング時にパスワードなしのマルチユーザー・アクセスが有効になりません。JSONファイルでは、マルチユーザー・アクセスまたはパスワードなしのマルチユーザー・アクセスのいずれかを設定でき、両方は設定できません。"isRoleSeparated": true, "isMultiUserAccessPLEnabled": true, "osUserGroup": { "groups": [{ "groupId": 1001, "groupName": "oinstall", "groupRole": "oinstall" }, ...
- JSONファイルを使用してアプライアンスをプロビジョニングするには、
- Oracle Database Applianceネットワークに接続し、Oracle ILOMコンソールを使用して
odacli configure-firstnetコマンドを実行します。 - rootユーザーとしてOracle Database Applianceにログインし、
prov.jsonファイルで"isMultiUserAccessPLEnabled": trueを指定してodacli create-appliance -r prov.jsonコマンドを実行します。 - プロビジョニング・ジョブが発行されたら、
rootとしてログアウトし、PAMユーティリティまたはパスワードなしSSHを使用してodaadminユーザーとしてログインし、プロビジョニング・ジョブのステータスを確認して成功していることを確認します。 odaadmin、oracleおよびgridユーザーのOracle Database Applianceアカウントが作成されます。これらはOracle Database Applianceシステム・ユーザーであり、作成中にそのアカウントがアクティブ化されます。odaadminユーザーはロールODA-ADMINISTRATORで作成され、oracleユーザーとgridユーザーはそれぞれODA_DBロールとODA_GRIDロールで作成されます。- システム内のユーザーに割り当てるために使用されるロールと権限のリストを使用して、マルチユーザー・アクセス・リポジトリが構成されます。
- これで、アプライアンスと統合されているPAMユーティリティを使用してアプライアンスにログインできます。PAMユーティリティにより、企業資格証明の入力を求められ、認証が成功すると、PAMユーティリティ管理者が定義したマッピングに従って、Oracle Database Applianceユーザーとしてアプライアンスにログインします。または、パスワードなしSSHを設定してアプライアンスにログインすることもできます。
- ベア・メタル・システムがプロビジョニングされたら、
odaadminユーザーとしてログインし、prov.jsonファイルで"isMultiUserAccessPLEnabled": trueを指定してodacli create-dbsystem -p prov.jsonコマンドを実行します。 - DBシステムがプロビジョニングされたら、PAMユーティリティまたはパスワードなしSSHを使用して
odaadminユーザーとしてログインし、必要に応じて追加のユーザーを作成します。 - PAMユーティリティまたはパスワードなしSSHを使用して
oracleユーザーとしてDBシステムにログインし、oracleユーザーのデータベースを作成します。 - PAMユーティリティまたはパスワードなしSSHを使用してカスタム・ユーザーとしてDBシステムにログインし、カスタム・ユーザーのデータベースを作成します。
パスワードなしのマルチユーザー・アクセスを使用したOracle Database Applianceでのユーザーの作成、表示および削除
パスワードなしのマルチユーザー・アクセスを有効にしたアプライアンスをプロビジョニングすると、特定の権限を持つユーザーを作成できます。
マルチユーザー・アクセスを有効にしてアプライアンスをプロビジョニングした後に、次の手順を実行します。
ODACLIコマンドを使用したユーザーの作成、表示および削除
odaadminユーザーとしてアプライアンスに接続します。ssh odaadmin@oda-box hostname/IP- 任意のODACLIコマンドを実行し、プロンプトが表示されたら
odaadminパスワードを指定します。 - 認証が成功したら、次のコマンドを使用してユーザーを作成します。
odacli create-user –u username -r comma-separated role namesたとえば、データベースのライフサイクル管理権限を持つユーザーdbuser1を作成します。odacli create-user –u dbuser1 –r ODA-DBodaadminユーザーは、dbuser1を作成し、一時パスワードを割り当てます。 - 正常に作成された後に、
dbuser1ユーザーは一時パスワードを使用してアプライアンスにログインできます。 dbuser1はInactive状態です。次のコマンドを使用してこのユーザーをアクティブ化します。odacli activate-userパスワードを変更するように求められます。一時パスワードと新しいパスワードを入力し、新しいパスワードを確認します。
- 新しいパスワードを使用してアプライアンスにSSHで接続し、ODACLIコマンドを実行するか、ブラウザ・ユーザー・インタフェースに接続します。
odaadminユーザーは、システム内のすべてのユーザーを表示できます。# odacli list-users-
odaadminユーザーは、システム内のユーザーの詳細を表示できます。# odacli describe-user -u user_id - システム内のユーザーを削除します。
odaadminユーザーのみがシステム内のユーザーを削除できます。# odacli delete-user -u user_id
パスワードなしのマルチユーザー・アクセスを使用したOracle Database Applianceのユーザー・アカウントのパスワードの変更
マルチユーザー・アクセスOracle Database Applianceでパスワードを管理する方法を説明します。
ノート:
アプライアンスがパスワードなしのマルチユーザー対応として構成されている場合、すべてのユーザー・アカウントは作成時に事前にアクティブ化され、システムが各ユーザーのパスワードを内部的に生成し、ODACLIコマンドの実行に必要な場合に認証のためにDCSエージェントに提供するため、ロックされることはありません。パスワードなしのマルチユーザー対応システムの場合、odaadminアカウントのロックを解除するスクリプト、またはパスワードをリセットするodacli reset-passwordコマンドを実行しないでください。odacli change-passwordコマンドを実行して、Oracle Database Applianceアカウントのシステム生成パスワードを変更します。
ODACLIコマンドを使用したパスワードなしのマルチユーザー・アクセスが有効なシステムのパスワードの変更
- アカウントがアクティブであるOracle Database Applianceユーザーのパスワードを変更できます。このコマンドは、このユーザー・アカウントのパスワードを、ランダムに生成された新しいパスワードにリセットします。
odacli change-password
単一ノードのパスワードなしのマルチユーザーが有効なアプライアンスを作成するためのJSONファイルの例
JSONファイルの例に従って、odacli create-applianceコマンドを使用して単一ノード・アプライアンスをデプロイするJSONファイルを作成します。
ノート:
設定に基づいてネットワークおよびOracle ILOMの情報を正しく入力していない場合は、ホストおよびOracle ILOM両方へのネットワーク・アクセスが失われます。例を使用してJSONファイルを作成する場合は、環境に合わせて定義を変更します。パスワードは、パスワードの要件を満たしている必要があります。
ノート: プロビジョニング中にOracle ASRを構成するには、常にJSONファイルでasrTypeパラメータを指定します。
例5-1 ロール分離およびパスワードなしのマルチユーザー・アクセスを使用する単一ノードのOracle Database Applianceを作成するためのJSONファイル
次の記述は、Oracle Database Applianceでの単一ノード・アプライアンスの作成に使用されるJSONファイルの例です。この例では、ロール分離を使用し、パスワードなしのマルチユーザー・アクセスを有効にします。
{
"instance" : {
"name" : "odambox",
"instanceBaseName" : "odambox-c",
"dbEdition" : "EE",
"timeZone" : "UTC",
"ntpServers" : ["xx.x.x.x"],
"dnsServers" : ["x.x.x.xx","xx.x.x.xx","xx.x.x.xx"],
"domainName" : "example.com",
"isRoleSeparated" : true,
"isMultiUserAccessPLEnabled" : true,
"osUserGroup" : {
"groups" : [ {
"groupId" : 1001,
"groupName" : "oinstall",
"groupRole" : "oinstall"
}, {
"groupId" : 1002,
"groupName" : "dbaoper",
"groupRole" : "dbaoper"
}, {
"groupId" : 1003,
"groupName" : "dba",
"groupRole" : "dba"
}, {
"groupId" : 1004,
"groupName" : "asmadmin",
"groupRole" : "asmadmin"
}, {
"groupId" : 1005,
"groupName" : "asmoper",
"groupRole" : "asmoper"
}, {
"groupId" : 1006,
"groupName" : "asmdba",
"groupRole" : "asmdba"
} ],
"users" : [ {
"userId" : 1000,
"userName" : "oracle",
"userRole" : "oracleUser"
}, {
"userId" : 1001,
"userName" : "grid",
"userRole" : "gridUser"
} ]
}
},
"users": [
{
"id": 1000,
"name": "ugrid",
"role": "gridUser"
},
{
"id": 1001,
"name": "uoracle",
"role": "oracleUser"
}
]
},
"multiUserAccess": {
"isMultiUserAccessPLEnabled": true
}
},
"sysOraHomeStorage": {
"volumeSize": "160",
"diskgroup": "DATA"
}
"nodes" : [ {
"nodeNumber" : "0",
"nodeName" : "odambox",
"network" : [ {
"nicName" : "btbond1",
"ipAddress" : "xx.x.x.xx",
"subNetMask" : "xxx.xxx.xxx.x",
"gateway" : "xx.x.x.x",
"networkType" : [ "Public" ],
"isDefaultNetwork" : true
},
],
"ilom" : {
"ilomName":"odambox-c",
"ipAddress":"xx.x.x.xx",
"subNetMask":"xxx.xxx.xx.x",
"gateway":"xx.x.x.x"
}
} ],
"grid" : {
"diskGroup" : [ {
"diskGroupName" : "DATA",
"redundancy" : "NORMAL",
"diskPercentage" :80
}, {
"diskGroupName" : "RECO",
"redundancy" : "NORMAL",
"diskPercentage" :20
} ],
"scan" : null,
"vip": null,
"language" : "en",
"enableAFD":"TRUE"
},
"database" : {
"dbName" : "myTestDb",
"databaseUniqueName":"myTestDb_sea1kj",
"dbEdition" : "EE",
"dbVersion" : "19.23.0.0",
"dbHomeId":null,
"instanceOnly" : false,
"isCdb" : true,
"pdBName" : "pdb1",
"pdbAdminuserName" : "pdbuser",
"enableTDE":true,
"adminPassword" : "password",
"dbType" : "SI",
"dbTargetNodeNumber" : null,
"dbClass" : "OLTP",
"dbShape" : "odb1",
"dbStorage" : "ACFS",
"dbCharacterSet" : {
"characterSet" : "AL32UTF8",
"nlsCharacterset" : "AL16UTF16",
"dbTerritory" : "AMERICA",
"dbLanguage" : "AMERICAN"
},
"dbConsoleEnable" : false,
"backupConfigId":null,
"rmanBkupPassword": null
},
"asr" :{
"asrType": "INTERNAL",
"userName":"john.smith@example.com",
"password":"password",
"proxyServerName":"www-proxy.example.com",
"proxyPort":"80",
"proxyUserName":"proxy-user",
"proxyPassword":"proxy-password",
"httpsPortNumber":"16163"
}
}
例5-2 ロール分離を使用せず、パスワードなしのマルチユーザー・アクセスを使用する単一ノードのOracle Database Applianceを作成するためのJSONファイル
次に、ロール分離を使用せず、パスワードなしのマルチユーザー・アクセスを使用するOracle Database Applianceを作成するJSONファイルの例を示します。この例では、2つのグループ(oinstallとdba)および単一のユーザー(oracle)を作成します。
{
"instance" : {
"name" : "odambox",
"instanceBaseName" : "odambox-c",
"dbEdition" : "EE",
"timeZone" : "UTC",
"ntpServers" : ["xx.x.x.xx"],
"dnsServers" : ["xx.x.x.xx","xx.x.x.xx","xx.x.x.xx"],
"domainName" : "example.com",
"isRoleSeparated" : false,
"isMultiUserAccessPLEnabled" : true,
"osUserGroup" : {
"groups" : [ {
"groupId" : 1001,
"groupName" : "oinstall",
"groupRole" : "oinstall"
}, {
"groupId" : 1002,
"groupName" : "dba",
"groupRole" : "dba"
} ],
"multiUserAccess": {
"isMultiUserAccessPLEnabled": true
}
},
"nodes" : [ {
"nodeNumber" : "0",
"nodeName" : "odambox",
"network" : [ {
"nicName" : "btbond1",
"ipAddress" : "xx.x.x.xx",
"subNetMask" : "xxx.xxx.xxx.x",
"gateway" : "xx.x.x.x",
"networkType" : [ "Public" ],
"isDefaultNetwork" : true
},
],
"ilom" : {
"ilomName":"odambox-c",
"ipAddress":"xx.x.x.xx",
"subNetMask":"xxx.xxx.xxx.x",
"gateway":"xx.x.x.x"
}
} ],
"grid" : {
"diskGroup" : [ {
"diskGroupName" : "DATA",
"redundancy" : "NORMAL",
"diskPercentage" :80
}, {
"diskGroupName" : "RECO",
"redundancy" : "NORMAL",
"diskPercentage" :20
} ],
"scan" : null,
"vip": null,
"language" : "en",
"enableAFD":"TRUE"
},
"database" : {
"dbName" : "myTestDb",
"databaseUniqueName":"myTestDb_sea1kj",
"dbEdition" : "EE",
"dbVersion" : "19.21.0.0",
"dbHomeId":null,
"instanceOnly" : false,
"isCdb" : true,
"pdBName" : "pdb1",
"pdbAdminuserName" : "pdbuser",
"enableTDE":true,
"adminPassword" : "password",
"dbType" : "SI",
"dbTargetNodeNumber" : null,
"dbClass" : "OLTP",
"dbShape" : "odb1",
"dbStorage" : "ACFS",
"dbCharacterSet" : {
"characterSet" : "AL32UTF8",
"nlsCharacterset" : "AL16UTF16",
"dbTerritory" : "AMERICA",
"dbLanguage" : "AMERICAN"
},
"dbConsoleEnable" : false,
"backupConfigId":null,
"rmanBkupPassword": null
},
"asr" :{
"asrType": "INTERNAL",
"userName":"john.smith@example.com",
"password":"password",
"proxyServerName":"www-proxy.example.com",
"proxyPort":"80",
"proxyUserName":"proxy-user",
"proxyPassword":"proxy-password",
"httpsPortNumber":"16163"
}
}
高可用性のパスワードなしのマルチユーザーが有効なアプライアンスを作成するためのJSONファイルの例
JSONファイルの例に従って、コマンドodacli create-applianceを使用して高可用性アプライアンスをデプロイするJSONファイルを作成します。
ノート:
JSONファイルを作成する前に、readmeおよび例を慎重に検討することが重要です。設定に基づいてネットワークおよびOracle ILOMの情報を正しく入力していない場合は、ホストおよびOracle ILOM両方へのネットワーク・アクセスが失われます。例5-3 ロール分離およびパスワードなしのマルチユーザー・アクセスを使用する高可用性Oracle Database Applianceを作成するためのJSONファイル
次に、Oracle Database Applianceベア・メタル・プラットフォームに高可用性アプライアンスを作成するJSONファイルの例を示します。この例では、ロール分離およびパスワードなしのマルチユーザー・アクセスを使用します。例を使用してJSONファイルを作成する場合は、環境に合わせて定義を変更します。パスワードは、パスワードの要件を満たしている必要があります。
{
"instance":{
"name":"odahabox",
"instanceBaseName":"odahabox",
"dbEdition":"EE",
"timeZone":"UTC",
"ntpServers" : ["10.0.3.14"],
"dnsServers" : ["10.0.4.10","10.0.4.11","10.0.4.12"],
"domainName":"example.com",
"isRoleSeparated":true,
"isMultiUserAccessPLEnabled" : true,
"osUserGroup":{
"groups":[
{
"groupId":1001,
"groupName":"oinstall",
"groupRole":"oinstall"
},
{
"groupId":1002,
"groupName":"dbaoper",
"groupRole":"dbaoper"
},
{
"groupId":1003,
"groupName":"dba",
"groupRole":"dba"
},
{
"groupId":1004,
"groupName":"asmadmin",
"groupRole":"asmadmin"
},
{
"groupId":1005,
"groupName":"asmoper",
"groupRole":"asmoper"
},
{
"groupId":1006,
"groupName":"asmdba",
"groupRole":"asmdba"
}
],
"users":[
{
"userId":101,
"userName":"grid",
"userRole":"gridUser"
},
{
"userId":102,
"userName":"oracle",
"userRole":"oracleUser"
}
]
},
"users": [
{
"id": 1000,
"name": "ugrid",
"role": "gridUser"
},
{
"id": 1001,
"name": "uoracle",
"role": "oracleUser"
}
]
},
"multiUserAccess": {
"isMultiUserAccessPLEnabled": true
}
},
"objectStoreCredentials":null
},
"sysOraHomeStorage": {
"volumeSize": "160",
"diskgroup": "DATA"
}
"nodes":[
{
"nodeNumber":"0",
"nodeName":"odahaboxc1n2",
"network":[
{
"nicName":"btbond1",
"ipAddress":"10.31.98.133",
"subNetMask":"255.255.240.0",
"gateway":"10.31.96.1",
"networkType":[
"Public"
],
"isDefaultNetwork":true
}
],
"ilom":{
"ilomName":"odahabox2-c",
"ipAddress":"10.31.16.140",
"subNetMask":"255.255.240.0",
"gateway":"10.31.16.1"
}
},
{
"nodeNumber":"1",
"nodeName":"odahaboxc1n1",
"network":[
{
"nicName":"btbond1",
"ipAddress":"10.31.98.132",
"subNetMask":"255.255.240.0",
"gateway":"10.31.96.1",
"networkType":[
"Public"
],
"isDefaultNetwork":true
}
],
"ilom":{
"ilomName":"odahabox1-c",
"ipAddress":"10.31.16.139",
"subNetMask":"255.255.240.0",
"gateway":"10.31.16.1"
}
}
],
"grid":{
"diskGroup":[
{
"diskGroupName":"DATA",
"redundancy":"HIGH",
"diskPercentage":80
},
{
"diskGroupName":"RECO",
"redundancy":"HIGH",
"diskPercentage":20
},
],
"scan":{
"scanName":"odahaboxc1-scan",
"ipAddresses":[
"10.31.98.182",
"10.31.98.183"
]
},
"vip":[
{
"nodeNumber":"0",
"vipName":"odahaboxc1n2-vip",
"ipAddress":"10.31.98.159"
},
{
"nodeNumber":"1",
"vipName":"odahaboxc1n1-vip",
"ipAddress":"10.31.98.158"
}
],
"language":"en",
"enableAFD":"TRUE"
},
"database":{
"dbName":"myTestDb",
"databaseUniqueName":"myTestDb_sea1kj",
"dbVersion":"19.21.0.0",
"dbHomeId":null,
"instanceOnly":false,
"isCdb":true,
"pdBName":"pdb1",
"pdbAdminuserName":"pdbuser",
"enableTDE":true,
"adminPassword":"password",
"dbType":"RAC",
"dbTargetNodeNumber":null,
"dbClass":"OLTP",
"dbShape":"odb1",
"dbStorage":"ACFS",
"dbCharacterSet":{
"characterSet":"AL32UTF8",
"nlsCharacterset":"AL16UTF16",
"dbTerritory":"AMERICA",
"dbLanguage":"AMERICAN"
},
"dbConsoleEnable":false,
"backupConfigId":null
},
"asr":null
}単一ノードのパスワードなしのマルチユーザーが有効なDBシステムを作成するためのJSONファイルの例
JSONファイルの例に従ってJSONファイルを作成し、コマンドodacli create-dbsystemを使用して、ロール分離を使用する単一ノードのDBシステムをデプロイします。
JSONファイルの例を使用して、環境にあわせてファイルを作成します。
ノート:
JSONファイルを作成する前に、readmeおよび例を慎重に検討することが重要です。例5-4 ロール分離およびパスワードなしのマルチユーザー・アクセスを使用する単一ノードのOracle KVMデータベース・システムを作成するためのJSONファイル
次に、Oracle Database Applianceベア・メタル・プラットフォームで単一ノードのOracle KVMデータベース・システムを作成するJSONファイルの例を示します。この例では、ロール分離およびパスワードなしのマルチユーザー・アクセスを使用します。例を使用してJSONファイルを作成する場合は、環境に合わせて定義を変更します。パスワードは、パスワードの要件を満たしている必要があります。
{
"system": {
"name": "test_example",
"shape": "odb2",
"customMemorySize": "24G",
"timeZone": "America/Los_Angeles",
"diskGroup": "DATA",
"cpuPoolName": "shared_dbsystem_cpupool",
"enableRoleSeparation": true,
"customRoleSeparation": {
"groups": [
{
"name": "oinstall",
"id": 1001,
"role": "oinstall"
},
{
"name": "dbaoper",
"id": 1002,
"role": "dbaoper"
},
{
"name": "dba",
"id": 1003,
"role": "dba"
},
{
"name": "asmadmin",
"id": 1004,
"role": "asmadmin"
},
{
"name": "asmoper",
"id": 1005,
"role": "asmoper"
},
{
"name": "asmdba",
"id": 1006,
"role": "asmdba"
}
],
"users": [
{
"name": "grid",
"id": 1000,
"role": "gridUser"
},
{
"name": "oracle",
"id": 1001,
"role": "oracleUser"
}
]
"users": [
{
"id": 1000,
"name": "ugrid",
"role": "gridUser"
},
{
"id": 1001,
"name": "uoracle",
"role": "oracleUser"
}
]
},
"multiUserAccess": {
"isMultiUserAccessPLEnabled": true
}
},
}
},
"database": {
"name": "db19",
"uniqueName": "db19",
"domainName": "example.com",
"version": "19.25.0.0.241015",
"edition": "EE",
"type": "SI",
"dbClass": "OLTP",
"shape": "odb2",
"role": "PRIMARY",
"targetNodeNumber": null,
"enableDbConsole": false,
"enableFlashStorage": false,
"enableFlashCache": false,
"enableUnifiedAuditing": true,
"enableEEHA": true,
"enableSEHA": false,
"redundancy": null,<<< if diskgroup redundancy is FLEX, then database redundancy must be set to one of "HIGH" or "MIRROR", otherwise, can be null
"characterSet": {
"characterSet": "AL32UTF8",
"nlsCharacterset": "AL16UTF16",
"dbTerritory": "AMERICA",
"dbLanguage": "ENGLISH"
},
"enableTDE": false,
"isCdb": true,
"pdbName": "pdb1",
"pdbAdminUser": "pdbadmin"
},
"network": {
"domainName": "test_domain",
"ntpServers": [
"xx.xxx.xx.xxx"
],
"dnsServers": [
"xx.xxx.xx.xxx"
],
"nodes": [
{
"name": "node1",
"ipAddress": "xx.xx.xx.xxx",
"netmask": "xxx.xxx.xxx.x",
"gateway": "xx.xx.xx.x",
"number": 0
}
],
"publicVNetwork": "vnet1"
},
"grid": {
"language": "en",
"enableAFD": true
}
}例5-5 ロール分離を使用せず、パスワードなしのマルチユーザー・アクセスを使用する単一ノードのOracle KVMデータベース・システムを作成するためのJSONファイル
次に、Oracle Database Applianceベア・メタル・プラットフォームでロール分離を使用せず、パスワードなしのマルチユーザー・アクセスを使用する単一ノードのOracle KVMデータベース・システムを作成するJSONファイルの例を示します。例を使用してJSONファイルを作成する場合は、環境に合わせて定義を変更します。パスワードは、パスワードの要件を満たしている必要があります。
{
"system": {
"name": "test_example",
"shape": "odb2",
"customMemorySize": "24G",
"timeZone": "America/Los_Angeles",
"diskGroup": "DATA",
"cpuPoolName": "shared_dbsystem_cpupool",
"database": {
"name": "db19",
"uniqueName": "db19",
"domainName": "example.com",
"version": "19.25.0.0.241015",
"edition": "EE",
"type": "SI",
"dbClass": "OLTP",
"shape": "odb4",
"role": "PRIMARY",
"targetNodeNumber": null,
"enableDbConsole": false,
"enableUnifiedAuditing": true,
"redundancy": "HIGH",<<< if diskgroup redundancy is FLEX, then database redundancy must be set to one of "HIGH" or "MIRROR", otherwise, can be null
"characterSet": {
"characterSet": "AL32UTF8",
"nlsCharacterset": "AL16UTF16",
"dbTerritory": "AMERICA",
"dbLanguage": "ENGLISH"
},
"enableTDE": false,
"isCdb": true,
"pdbName": "pdb1",
"pdbAdminUser": "pdbadmin"
},
"users": [
{
"id": 1000,
"name": "ugrid",
"role": "gridUser"
},
{
"id": 1001,
"name": "uoracle",
"role": "oracleUser"
}
]
},
"multiUserAccess": {
"isMultiUserAccessPLEnabled": true
}
},
"network": {
"domainName": "test_domain",
"ntpServers": [],
"dnsServers": [
"xx.xxx.xx.xxx"
],
"nodes": [
{
"name": "node1",
"ipAddress": "xx.xx.xx.xxx",
"netmask": "xxx.xxx.xxx.x",
"gateway": "xx.xx.xx.x",
"number": 0
}
],
"publicVNetwork": "vnet1"
},
"grid": {
"language": "en",
"enableAFD": true
}
}高可用性のパスワードなしのマルチユーザーが有効なDBシステムを作成するためのJSONファイルの例
JSONファイルの例に従ってJSONファイルを作成し、コマンドodacli create-dbsystemを使用して、ロール分離を使用する2ノードのDBシステムをデプロイします。
JSONファイルの例を使用して、環境にあわせてファイルを作成します。
例5-6 ロール分離を使用せず、パスワードなしのマルチユーザー・アクセスを使用する2ノードのOracle KVMデータベース・システムを作成するためのJSONファイル
次に、Oracle Database Applianceベア・メタル・プラットフォームでロール分離を使用せず、パスワードなしのマルチユーザー・アクセスを使用する2ノードのOracle KVMデータベース・システムを作成するJSONファイルの例を示します。例を使用してJSONファイルを作成する場合は、環境に合わせて定義を変更します。パスワードは、パスワードの要件を満たしている必要があります。
{
"system": {
"name": "test_system",
"shape": "odb2",
"customMemorySize": "24G",
"timeZone": "America/Los_Angeles",
"diskGroup": "DATA",
"cpuPoolName": "shared_dbsystem_cpupool",
},
"database": {
"name": "dbtest",
"uniqueName": "dbtest",
"domainName": "test_domain",
"version": "19.25.0.0.241015",
"edition": "EE",
"type": "SI",
"dbClass": "OLTP",
"shape": "odb2",
"role": "PRIMARY",
"targetNodeNumber": "0",
"enableDbConsole": false,version
"enableUnifiedAuditing": true,
"enableEEHA": true,
"redundancy": "MIRROR", <<< if diskgroup redundancy is FLEX, then database redundancy must be set to one of "HIGH" or "MIRROR", otherwise, can be null
"characterSet": {
"characterSet": "AL32UTF8",
"nlsCharacterset": "AL16UTF16",
"dbTerritory": "AMERICA",
"dbLanguage": "AMERICAN"
},
"enableTDE": false,
"isCdb": true,
"pdbName": "pdb1",
"pdbAdminUser": "pdbadmin"
},
"users": [
{
"id": 1000,
"name": "ugrid",
"role": "gridUser"
},
{
"id": 1001,
"name": "uoracle",
"role": "oracleUser"
}
]
},
"multiUserAccess": {
"isMultiUserAccessPLEnabled": true
}
},
"network": {
"domainName": "test_domain",
"ntpServers": [],
"dnsServers": [
"xx.xxx.xx.xxx"
],
"nodes": [
{
"name": "node1",
"ipAddress": "xx.xx.xxx.xx",
"netmask": "xxx.xxx.xxx.x",
"gateway": "xx.xx.xxx.x",
"number": 0,
"vipName": "node1-vip",
"vipAddress": "xx.xx.xxx.xx"
},
{
"name": "node2",
"ipAddress": "xx.xx.xxx.xx",
"netmask": "xxx.xxx.xxx.x",
"gateway": "xx.xx.xxx.x",
"number": 1,
"vipName": "node2-vip",
"vipAddress": "xx.xx.xxx.xx"
}
],
"publicVNetwork": "vnet1",
"scanName": "test-scan",
"scanIps": [
"xx.xx.xxx.xx",
"xx.xx.xxx.xx"
]
},
"grid": {
"language": "en",
"enableAFD": true
}
}例5-7 ロール分離およびパスワードなしのマルチユーザー・アクセスを使用する2ノードのOracle KVMデータベース・システムを作成するためのJSONファイル
次に、Oracle Database Applianceベア・メタル・プラットフォームで2ノードのOracle KVMデータベース・システムを作成するJSONファイルの例を示します。この例では、ロール分離およびパスワードなしのマルチユーザー・アクセスを使用します。例を使用してJSONファイルを作成する場合は、環境に合わせて定義を変更します。パスワードは、パスワードの要件を満たしている必要があります。
{
"system": {
"name": "test_system",
"shape": "odb2",
"customMemorySize": "24G",
"timeZone": "America/Los_Angeles",
"diskGroup": "DATA",
"cpuPoolName": "shared_dbsystem_cpupool",
"enableRoleSeparation": true,
"customRoleSeparation": {
"groups": [
{
"name": "oinstall",
"id": 1001,
"role": "oinstall"
},
{
"name": "dbaoper",
"id": 1002,
"role": "dbaoper"
},
{
"name": "dba",
"id": 1003,
"role": "dba"
},
{
"name": "asmadmin",
"id": 1004,
"role": "asmadmin"
},
{
"name": "asmoper",
"id": 1005,
"role": "asmoper"
},
{
"name": "asmdba",
"id": 1006,
"role": "asmdba"
}
],
"users": [
{
"name": "grid",
"id": 1000,
"role": "gridUser"
},
{
"name": "oracle",
"id": 1001,
"role": "oracleUser"
}
]
}
},
"users": [
{
"id": 1000,
"name": "ugrid",
"role": "gridUser"
},
{
"id": 1001,
"name": "uoracle",
"role": "oracleUser"
}
]
},
"multiUserAccess": {
"isMultiUserAccessPLEnabled": true
}
},
"database": {
"name": "dbtest",
"uniqueName": "dbtest",
"domainName": "test_domain",
"version": "19.25.0.0.241015",
"edition": "EE",
"type": "SI",
"dbClass": "OLTP",
"shape": "odb2",
"role": "PRIMARY",
"targetNodeNumber": "0",
"enableDbConsole": false,
"enableUnifiedAuditing": true,
"enableEEHA": true,
"redundancy": null, <<< if diskgroup redundancy is FLEX, then database redundancy must be set to one of "HIGH" or "MIRROR", otherwise, can be null
"characterSet": {
"characterSet": "AL32UTF8",
"nlsCharacterset": "AL16UTF16",
"dbTerritory": "AMERICA",
"dbLanguage": "AMERICAN"
},
"enableTDE": false,
"isCdb": true,
"pdbName": "pdb1",
"pdbAdminUser": "pdbadmin"
},
"network": {
"domainName": "test_domain",
"ntpServers": [],
"dnsServers": [
"xx.xxx.xx.xxx"
],
"nodes": [
{
"name": "node1",
"ipAddress": "xx.xx.xxx.xx",
"netmask": "xxx.xxx.xxx.x",
"gateway": "xx.xx.xxx.x",
"number": 0,
"vipName": "node1-vip",
"vipAddress": "xx.xx.xxx.xx"
},
{
"name": "node2",
"ipAddress": "xx.xx.xxx.xx",
"netmask": "xxx.xxx.xxx.x",
"gateway": "xx.xx.xxx.x",
"number": 1,
"vipName": "node2-vip",
"vipAddress": "xx.xx.xxx.xx"
}
],
"publicVNetwork": "vnet1",
"scanName": "test-scan",
"scanIps": [
"xx.xx.xxx.xx",
"xx.xx.xxx.xx"
]
},
"grid": {
"language": "en",
"enableAFD": true
}
}マルチユーザー・アクセスを使用したOracle Database Applianceのプロビジョニング
CLIコマンドまたはブラウザ・ユーザー・インタフェースを使用してOracle Database Applianceをプロビジョニングする場合のみ、マルチユーザー・アクセスを有効にできます。
Oracle Database Applianceベア・メタル・システムのプロビジョニングの章の説明に従って、アプライアンスをプロビジョニングします。
注意:
ベア・メタル・システムでOracle Database Applianceをプロビジョニングするときにのみマルチユーザー・アクセスを有効にでき、アプライアンスをプロビジョニングおよびデプロイした後は、マルチユーザー・アクセスをロールバックできません。マルチユーザー・アクセス機能をデプロイすると、Oracle Database Appliance管理モデルが変更されます。この機能を使用する前に、ロール分離要件を評価してください。最初にテスト・システムにデプロイすると、新しい管理モデルの評価に役立ちます。ノート:
JSONファイルを使用してマルチユーザー・アクセス対応のOracle Database Applianceをプロビジョニングする場合、トークンの有効期限、パスワードの有効期限、ログイン試行の最大失敗回数およびその他の詳細を指定できます。これらの値は、ブラウザ・ユーザー・インタフェースを使用してマルチユーザー・アクセスを構成しOracle Database Applianceをプロビジョニングする場合はブラウザ・ユーザー・インタフェースから1回かぎりのアクティビティとして指定することもできます。マルチユーザー・アクセス対応のOracle Database Applianceのプロビジョニングの全ステップ
- マルチユーザー・アクセスを有効にします。
- JSONファイルを使用してアプライアンスをプロビジョニングする場合は、
prov_req.jsonファイルに属性"isMultiUserAccessEnabled": trueを追加します。属性がfalseに設定されているか、prov_req.jsonファイルに存在しない場合は、アプライアンスのプロビジョニング中にマルチユーザー・アクセスが有効になりません。"isRoleSeparated": true, "isMultiUserAccessEnabled": true, "osUserGroup": { "groups": [{ "groupId": 1001, "groupName": "oinstall", "groupRole": "oinstall" }, ...JSONファイルに次を追加して、マルチユーザー・アクセス属性を設定することもできます。}, "asr": null, "multiUserAccess": { "dcsUserPasswdExpDurationInDays": 90, "tokenExpirationInMins": 120, "maxNumFailedLoginAttempts": 3 } }これらの属性の値は、次のとおりです。- トークン有効期限(分): 指定できる最小値は10分、最大値は600分、デフォルトは120分です。
- パスワード有効期限(日数): 指定できる最小値は30日、最大値は180日、デフォルトは90日です。
- ログイン試行の最大失敗回数: 指定できる最小値は2、最大値は5、デフォルトは3です。
- ブラウザ・ユーザー・インタフェース(BUI)を使用してアプライアンスを作成する場合は、BUIのログイン・ページで「Enable Multi-User Access (N/A for DB System)」チェック・ボックスを選択します。
- JSONファイルを使用してアプライアンスをプロビジョニングする場合は、
odaadmin、oracleおよびgridユーザーのパスワードを指定します。これらはOracle Database Applianceシステム・ユーザーであり、作成中にそのアカウントがアクティブ化されます。odaadminユーザーはロールODA-ADMINISTRATORで作成され、oracleユーザーとgridユーザーはそれぞれODA_DBロールとODA_GRIDロールで作成されます。- システム内のユーザーに割り当てるために使用されるロールと権限のリストを使用して、マルチユーザー・アクセス・リポジトリが構成されます。
- 新しく作成されたユーザー資格証明を使用してアプライアンスにログインし、データベースをデプロイできるようになりました。
マルチユーザー・アクセスが有効なOracle Database Applianceのブラウザ・ユーザー・インタフェースを使用したプロビジョニング
- ブラウザ・ユーザー・インタフェースにアクセスします。
https://host-ip-address:7093/mgmt/index.html - 最初のログインでは、
odaadminロールが構成されていないため、ODAパスワードを指定し、マルチユーザー・アクセスを有効にするよう求められます。 - 「Enable Multi-User Access (N/A for DB System)」を選択し、ODAユーザーの強力なパスワードを指定します。
- 「Configure Multi-User Settings」をクリックしてから「User Password Expiry Duration (In Days)」、「Session Expiration for CLI (minutes)」および「Maximum Failed Login Attempts」を設定します。「Save」をクリックしてこれらの設定を保存し、BUIの「Login」ページに戻ります。
- 「Submit」をクリックします。ユーザーの作成に成功すると、確認メッセージが表示されます。
- 「OK」をクリックします。「Login」ページが表示されます。
- 「User Name」および「ODA Password」を指定して、「Login」をクリックします。マルチユーザー・アクセスが有効な場合、ODA管理ユーザー名は
odaadminであることに注意してください。マルチユーザー・アクセスが有効になっていない場合、ODA管理ユーザー名はoda-adminです。 - 「Create Appliance」ページで、アプライアンスを作成するための詳細を指定します。指定する必要がある情報の詳細は、アプライアンスの作成のトピックを参照してください。
- すべてのユーザーに同じパスワードを指定する場合は、「Assign same password for admin, oracle, grid users」を選択します。それ以外の場合は、
system admin、oracleおよびgridユーザーに異なるパスワードを指定します。 - 「Submit」をクリックして、マルチユーザー・アクセスが有効なアプライアンスを作成します。
- ジョブが発行され、ジョブへのリンクを含む確認ページが表示されます。リンクをクリックすると、ジョブの進捗、タスクおよびステータスが表示されます。ジョブ確認ページを閉じた後、「Activity」タブをクリックしてジョブの進捗を監視できます。ジョブ番号をクリックすると、タスクおよびステータスの詳細が表示されます。ページをリフレッシュするには、「Refresh」をクリックします。
マルチユーザー・アクセスを使用したOracle Database Applianceでのユーザーの作成、表示および削除
マルチユーザー・アクセスを有効にしてアプライアンスをプロビジョニングした後に、特定の権限を持つユーザーを作成できます。
マルチユーザー・アクセスを有効にしてアプライアンスをプロビジョニングした後に、次の手順を実行します。
ODACLIコマンドを使用したユーザーの作成、表示および削除
odaadminユーザーとしてアプライアンスに接続します。ssh odaadmin@oda-box hostname/IP- 任意のODACLIコマンドを実行し、プロンプトが表示されたら
odaadminパスワードを指定します。 - 認証が成功したら、次のコマンドを使用してユーザーを作成します。
odacli create-user –u username -r comma-separated role namesたとえば、データベースのライフサイクル管理権限を持つユーザーdbuser1を作成します。odacli create-user –u dbuser1 –r ODA-DBodaadminユーザーは、dbuser1を作成し、一時パスワードを割り当てます。 - 正常に作成された後に、
dbuser1ユーザーは一時パスワードを使用してアプライアンスにログインできます。 dbuser1はInactive状態です。次のコマンドを使用してこのユーザーをアクティブ化します。odacli activate-userパスワードを変更するように求められます。一時パスワードと新しいパスワードを入力し、新しいパスワードを確認します。
- 新しいパスワードを使用してアプライアンスにSSHで接続し、ODACLIコマンドを実行するか、ブラウザ・ユーザー・インタフェースに接続します。
odaadminユーザーは、システム内のすべてのユーザーを表示できます。# odacli list-users-
odaadminユーザーは、システム内のユーザーの詳細を表示できます。# odacli describe-user -u user_id - システム内のユーザーを削除します。
odaadminユーザーのみがシステム内のユーザーを削除できます。# odacli delete-user -u user_id
ブラウザ・ユーザー・インタフェースを使用したユーザーの作成、表示および削除
odaadminユーザーとしてブラウザ・ユーザー・インタフェースにログインします。https://host-ip-address:7093/mgmt/index.html- 「Multi-User Access」タブをクリックします。
- 左側のペインの「Users」リンクをクリックします。
- 「Create User」をクリックします。
- 「Create User」ページで、「User ID」を指定し、「Role」を指定し、このユーザーの「ODA Password」を指定します。BUIおよびODACLIコマンドでは、同じユーザー資格情報をログインに使用できます。
- オプションで、「Generate mTLS Certificate」をクリックしてmTLSベースの認証を有効にします。
- 「Create」をクリックします。
- ジョブが発行され、ジョブへのリンクを含む確認ページが表示されます。リンクをクリックすると、ジョブの進捗、タスクおよびステータスが表示されます。ジョブ確認ページを閉じた後、「Activity」タブをクリックしてジョブの進捗を監視できます。ジョブ番号をクリックすると、タスクおよびステータスの詳細が表示されます。ページをリフレッシュするには、「Refresh」をクリックします。
- 「Users」ページの「Multi-User Access」タブで、詳細を表示するユーザーのリンクをクリックします。
- ユーザーを削除するには、
odaadminユーザーとしてログインします。「Actions」ドロップダウン・リストで、「Delete」を選択します。削除できるのは、カスタム・タイプのユーザーのみです。
マルチユーザー・アクセスを使用したOracle Database Applianceでの新規ユーザーのアクティブ化
マルチユーザー・アクセスが有効なOracle Database Applianceで新規ユーザーをアクティブ化する方法を説明します。
ODACLIコマンドを使用したマルチユーザー・アクセス対応システムでの新規ユーザーのアクティブ化
odaadminによって新規ユーザーが正常に作成された後、新しいユーザー(たとえば、dbuser1)は、一時パスワードを使用してアプライアンスにログインできます。- 次のコマンドを使用してこのユーザーをアクティブ化します。
odacli activate-userパスワードを変更するように求められます。一時パスワードと新しいパスワードを入力し、新しいパスワードを確認します。
ブラウザ・ユーザー・インタフェースを使用したマルチユーザー・アクセス対応システムでの新規ユーザーのアクティブ化
odaadminによって新しいユーザーが作成された後に、新しいユーザーとしてブラウザ・ユーザー・インタフェースにログインします。https://host-ip-address:7093/mgmt/index.html- 「User Name」を指定し、「ODA Password」フィールドに一時パスワードを指定します。
- これは新しいアカウントであるため、アカウント・ステータスは
Inactiveです。新しいパスワードの指定と確認を求めるプロンプトが表示されます。 - 「Password」を指定して確認し、「Submit」をクリックします。
- パスワードの変更に成功したら、新しいパスワードでブラウザ・ユーザー・インタフェースにログインします。
マルチユーザー・アクセスを使用したOracle Database Applianceでのリソース・アクセスの付与および取消し
アプライアンスのリソース・アクセスを付与したり、取り消すことができます。
ODACLIコマンドを使用したリソース・アクセスの付与および取消し
- マルチユーザー・アクセスが有効なシステムでリソースへのアクセスを付与したり、取り消します。
# odacli grant-resource-access -ri resource_ID -u user_name # odacli revoke-resource-access -ri resource_ID -u user_name - マルチユーザー・アクセス・システムのDCSリソースへのアクセスを表示します。
# odacli describe-resource-access -ri resource_ID - マルチユーザー・アクセス・システムで定義されているすべてのDCSリソースへのアクセスを表示します。
# odacli list-resources-access -ao -rn resource_name -rt resource_type
ブラウザ・ユーザー・インタフェースを使用したリソース・アクセスの付与および取消し
odaadminとしてブラウザ・ユーザー・インタフェースにログインします。https://host-ip-address:7093/mgmt/index.html- 「Multi-User Access」タブをクリックします。
- 左側のペインの「Resources」リンクをクリックします。
- リソースをクリックして、詳細を表示します。
- リソースについて、「Actions」ドロップダウン・リストで「Grant Resource Access」を選択して、ユーザーにリソースへの共有アクセスを付与します。ドロップダウン・リストからユーザー名を選択し、「Grant」をクリックします。「Yes」をクリックして確認し、ジョブを送信します。
- ユーザーのリソースへのアクセス権を取り消すには、「Revoke Resource Access」を選択します。ドロップダウン・リストからユーザー名を選択し、「Revoke」をクリックします。「Yes」をクリックして確認し、ジョブを送信します。
マルチユーザー・アクセスを使用したOracle Database Applianceでのロール、操作および権限の表示
アプライアンスのロールおよび権限を表示できます。
ODACLIコマンドを使用したロール、操作および権限の表示
ノート:
Oracle Database Applianceリリース19.13では、スタンドアロンのOracle Database Applianceシステムでマルチユーザー・アクセス機能を使用できます。プロビジョニング中、単一のドメインおよびテナンシがデフォルトで作成され、すべてのユーザーがデフォルトのドメインおよびテナンシ内に作成されます。- システムで定義されているすべてのロールを表示します。
# odacli list-user-roles - システム内のユーザー・ロールの詳細を表示します。
# odacli describe-user-role -n role_name - システムで定義されているすべての権限を表示します。
# odacli list-user-entitlements - システム内の権限の詳細を表示します。
# odacli describe-user-entitlement -n entitlement_name - システムで定義されているすべての操作を表示します。
# odacli list-user-operations - システム内の操作の詳細を表示します。
# odacli describe-user-operation -n operation_name - システムで定義されているドメインを表示します。このリリースでは、これがデフォルト・ドメインです。
# odacli list-domains - システム内のドメインの詳細を表示します。
# odacli describe-domain -dn domain_name - マルチユーザー・アクセスが有効なドメイン内のテナントを表示します。このリリースでは、これがデフォルトのテナンシです。
# odacli list-tenants - マルチユーザー・アクセスが有効なドメイン内のテナントの詳細を表示します。
# odacli describe-tenant -tn tenant_name
ブラウザ・ユーザー・インタフェースを使用したロール、操作および権限の表示
odaadminとしてブラウザ・ユーザー・インタフェースにログインします。https://host-ip-address:7093/mgmt/index.html- 「Multi-User Access」タブをクリックします。
- 左側のペインの「Roles」リンクをクリックします。システムで定義されているロールが表示されます。これらのロールは編集または更新できません。
- 詳細を表示するには、ロールをクリックします。
- 左側のペインの「Entitlements」リンクをクリックします。システムで定義されている権限が表示されます。これらの権限は編集または更新できません。
- 詳細を表示するには、権限をクリックします。
マルチユーザー・アクセスを使用したOracle Database Applianceでのデータベースおよびデータベース・ホームの管理
マルチユーザー・アクセスのOracle Database Applianceで作成されたカスタム・ユーザーは、データベースとデータベース・ホームをデプロイおよび管理できます。
マルチユーザー・アクセスが有効なOracle Database Applianceでカスタム
dbuser1を作成した後に、次のようにしてデータベースを管理します。
ODACLIコマンドを使用したデータベースとデータベース・ホームの作成およびリスト
dbuser1としてアプライアンスに接続します。ssh dbuser1@oda-box hostname/IP- データベースを作成します。
odacli create-database -n dbName -v dbVersion odacli list-databasesを実行して、dbuser1が所有するデータベースを表示します。odacli list-databasesODA-DBロールを持つ別のユーザーは、dbuser1が所有するリソースを使用してデータベース・ホームを作成できないため、確実にロールが分離されます。- マルチユーザーアクセスが有効になっている場合は、アプライアンスに対して
-allオプションを使用して、システム内のすべてのデータベースを表示します。odacli list-databases -all - マルチユーザーアクセスが有効になっている場合は、アプライアンスに対して
-allオプションを使用して、システム内のすべてのデータベース・ホームを表示します。odacli list-dbhomes -all
ブラウザ・ユーザー・インタフェースを使用したデータベースとデータベース・ホームの作成およびリスト
dbuser1としてブラウザ・ユーザー・インタフェースにログインします。https://host-ip-address:7093/mgmt/index.html- 「Database」タブをクリックします。
- 「Show All Databases」をクリックします。システム内のすべてのデータベースのリストが表示されます。
- View Details: データベースの詳細を表示します。
- Modify: データベースを変更します
- Move: データベースを移動します
- Upgrade: データベースをアップグレードします
- Delete: データベースを削除します。
- Grant Access: データベースへのアクセス権限をユーザーに付与します。
- Revoke Access: データベースへのアクセス権限をユーザーから取り消します。
- View Pre-patch reports: パッチ適用の事前チェック・レポートを表示します。
- 左側のペインの「Database Home」リンクをクリックします。システム内のすべてのデータベース・ホームのリストが表示されます。
- データベース・ホームの場合は、「Actions」ドロップダウン・リストをクリックすると次のオプションの中から選択できます:
- View Database: データベース・ホームの詳細を表示します。
- Delete: データベースを削除します。
- Grant Access: データベース・ホームへのアクセス権限をユーザーに付与します。
- Revoke Access: データベース・ホームへのアクセス権限をユーザーから取り消します。
- View Pre-patch reports: パッチ適用の事前チェック・レポートを表示します。
マルチユーザー・アクセスを使用したOracle Database Applianceでのユーザー・アカウントのパスワードの変更
マルチユーザー・アクセスOracle Database Applianceでパスワードを管理する方法を説明します。
ODACLIコマンドを使用したマルチユーザー・アクセス対応システムでのパスワードの変更
- アカウントがアクティブであるOracle Database Applianceユーザーのパスワードを変更できます。
odacli change-password
ブラウザ・ユーザー・インタフェースを使用したマルチユーザー・アクセス対応システムでのパスワードの変更
- パスワードを変更するユーザーとしてブラウザ・ユーザー・インタフェースにログインします。
https://host-ip-address:7093/mgmt/index.html - アカウントのパスワードをいつでも変更するには: ブラウザ・ユーザー・インタフェースの右上にある「Account」ドロップダウン・リストをクリックし、「Change Password」を選択します。
- 「Old Password」を指定し、新しいパスワードも指定して確認し、「Submit」をクリックします。
マルチユーザー・アクセスを使用したOracle Database Applianceでのロックされたユーザー・アカウントのパスワードのリセット
マルチユーザー・アクセスOracle Database Applianceでパスワードをリセットする方法を説明します。
ODACLIコマンドを使用したマルチユーザー・アクセスが有効なシステムでのロックされたユーザー・アカウントのパスワードのリセット
ノート:
アプライアンスがパスワードなしのマルチユーザー対応として構成されている場合、すべてのユーザー・アカウントは作成時に事前にアクティブ化され、システムが各ユーザーのパスワードを内部的に生成し、ODACLIコマンドの実行に必要な場合に認証のためにDCSエージェントに提供するため、ロックされることはありません。パスワードなしのマルチユーザー対応システムの場合、odaadminアカウントのロックを解除するスクリプト、またはパスワードをリセットするodacli reset-passwordコマンドを実行しないでください。odacli change-passwordコマンドを実行して、Oracle Database Applianceアカウントのシステム生成パスワードを変更します。
- ログイン試行の複数回の失敗またはパスワードの有効期限のためにロックされている
odaadminユーザー・アカウントをロック解除します。rootとしてログインします。- 次を実行します。
一時パスワードが/opt/oracle/dcs/bin/resetCredsForOdaAdmin.shodaadminユーザーに割り当てられます。 - 一時パスワードを使用して
odaadminユーザーとしてログインします。 - 次のコマンドを実行します。
一時パスワードを入力し、新規パスワードを指定および確認するように求められます。コマンドが正常に実行されると、ユーザー・アカウントのロックが解除されます。odacli reset-password
- ログイン試行の複数回の失敗またはパスワードの有効期限のためにロックされている管理者以外のユーザー・アカウントをロック解除します。
odaadminとしてログインします。- 次のコマンドを実行します。
odacli authorize-user一時パスワードを指定すると、アカウントのロックが解除されます。
- 一時パスワードを使用して、アカウントがロックされたユーザーとしてログインします。
- 次のコマンドを実行します。
古いパスワードと一時パスワードを入力し、新しいパスワードを指定して確認するように求められます。コマンドが正常に実行されると、ユーザーアカウントのロックが解除され、再アクティブ化されます。odacli reset-password
ブラウザ・ユーザー・インタフェースを使用したマルチユーザー・アクセスが有効なシステムでのロックされたユーザー・アカウントのパスワードのリセット
- ログイン試行の複数回の失敗またはパスワードの有効期限のためにロックされている管理者以外のユーザー・アカウントを次のようにロック解除します。
odaadminユーザーとしてブラウザ・ユーザー・インタフェースにログインします。https://host-ip-address:7093/mgmt/index.html- 「Users」ページの「Multi-User Access」タブで、パスワードをリセットするユーザーのリンクをクリックします。パスワードをリセットできるのは、カスタム・タイプのユーザーのみです。ユーザーのアカウント・ステータスは
LockedFailedLoginです。 - 「Actions」ドロップダウン・リストで、「Authorize Password Reset」を選択します。
- 「Authorize Password Reset」ページで、「Old Password」を指定し、「Temporary ODA Password」を指定して確認し、「Authorize」をクリックします。
- アカウントのロックが解除されているユーザーとしてブラウザ・ユーザー・インタフェースにログインします。「User Name」を指定し、「ODA Password」フィールドに一時パスワードを指定します。
- アカウントがロックされていたため、アカウント・ステータスは
CredentialResetです。新しいパスワードの指定と確認を求めるプロンプトが表示されます。 - 「Password」を指定して確認し、「Submit」をクリックします。
- パスワードの変更に成功したら、新しいパスワードでブラウザ・ユーザー・インタフェースにログインします。