2 Enterprise Manager管理エージェントのインストール

この章では、Audit Vault ServerおよびDatabase Firewall ApplianceにEnterprise Manager (EM)管理エージェントをインストールする手順について説明します。

Enterprise Managerエージェントのインストールの前提条件

Enterprise Managerエージェントをインストールする前に、監査Vaultコンソールで実行する必要がある複数の前提条件があります。

トピック:

• ユーザーoracleへのSSHアクセスを許可する

• Enterprise Manager用のOracleソフトウェア所有者ユーザーの存在を確認する

• Enterprise Manager用のOracleソフトウェア所有者ユーザーを作成する

• Enterprise Manager用のOracleインベントリ・グループの存在を確認する

• Enterprise Manager用のOracleインベントリ・グループを作成する

• ユーザーoracleを構成する

• dbsnmpおよびasmsnmpアカウントをロック解除する(AVSのみ)

• ホスト名を割り当てる

• EMエージェント・ネットワーク・ポートのブロックを解除する

ユーザーoracleへのSSHアクセスを許可する

1. 端末ウィンドウを開き、ファイル/etc/ssh/sshd_configを編集して、ユーザーoracleへのSSHアクセスを許可します。

   vi /etc/ssh/sshd_config

2. oracleをAllowUsers行に追加します。

   AllowUsers support oracle

3. sshdを再起動します。

   service sshd restart

Enterprise Manager用のOracleソフトウェア所有者ユーザーの存在を確認する

oracleというOracleソフトウェア所有者ユーザーが存在するかどうかを確認するには、次のコマンドを実行します。

$ id oracle

oracleユーザーが存在する場合、このコマンドによる出力は次のようになります。

uid=440(oracle) gid=200(oinstall) groups=201(dba),202(oper)

ユーザーが存在する場合、既存のユーザーを使用するか、または他のoracleユーザーを作成するかを決定します。

既存ユーザーを使用する場合は、ユーザーのプライマリ・グループがOracle Inventoryグループであることを確認します。

ノート:

既存ユーザーを使用または変更する前に、必要に応じて、システム管理者に連絡してください。

Enterprise Manager用のOracleソフトウェア所有者ユーザーを作成する

Oracleソフトウェア所有者ユーザーが存在しないか、Oracleソフトウェア所有者ユーザーが新規に必要な場合、次のステップを使用して作成します。次の手順では、同じ名前のユーザーが存在する場合以外は、oracleというユーザー名を使用してください。

1. oracleユーザーを作成するには、次のようなコマンドを入力します。

   # /usr/sbin/useradd -g oinstall oracle

   このコマンドで、-gオプションは、プライマリ・グループを定義します。プライマリ・グループは、oinstallなどのOracleインベントリ・グループである必要があります

2. oracleユーザーのパスワードを設定します。

   # passwd oracle

ノート:

特にOracleソフトウェア・ライブラリを使用している場合は、すべてのOMSインスタンスで同じUIDを使用することをお薦めします。UIDが異なる場合、あるOMSで作成されたファイルは、別のOMSで変更できません。

Enterprise Manager用のOracleインベントリ・グループの存在を確認する

システムに最初にOracleソフトウェアをインストールすると、oraInst.locファイルが作成されます。このファイルにより、Oracleインベントリ・グループの名前とOracleインベントリ・ディレクトリへのパスが識別されます。

Oracleインベントリ・グループが存在するかどうかを確認するには、次のコマンドを入力します。

$ more /etc/oraInst.loc

ノート:

oraInst.locファイルは、Linuxおよびその他のプラットフォームの/etcディレクトリにあります。Solarisプラットフォームでは、/var/opt/oracle/にあります。

oraInst.locファイルが存在する場合、このコマンドによる出力は次のようになります。

inventory_loc=/u01/app/oracle/oraInventory
inst_group=oinstall

inst_groupパラメータは、Oracleインベントリ・グループの名前oinstallを示します。

Enterprise Manager用のOracleインベントリ・グループを作成する

oraInst.locファイルが存在しない場合、またはOracleインベントリ・グループが異なる場合、次のコマンドを使用してOracleインベントリ・グループoinstallを作成します。

# /usr/sbin/groupadd oinstall

ユーザーoracleを構成する

1. エージェントのホーム・ディレクトリを作成します。

   mkdir $ORACLE_BASE/agent13c

2. .bashrc内でoraenvコマンドを編集します。

   1. vi $HOME/.bashrc

   2. -sをoraenvに追加します。

      ./usr/local/bin/oraenv -s

dbsnmpおよびasmsnmpアカウントをロック解除する(AVSの場合のみ)

1. ユーザーをdvaccountmgrに変更します。

   su dvaccountmgr

2. 次のコマンドを実行します。

   sqlplus /
   alter user dbsnmp identified by password account unlock;

3. ユーザーをgridに変更します。

   su grid

4. 次のコマンドを実行します。

   orapwd file=/var/lib/oracle/grid/dbs/orapw+ASM password=<password>
   sqlplus / as sysasm
   alter user asmsnmp identified by password account unlock;
   grant sysdba to asmsnmp;
   

   Oracleでは、sysdba権限を持つOracle Databaseユーザーasmsnmpを作成することをお薦めします。

ホスト名を割り当てる

1. AV_ADMINロールを持つユーザーとしてAudit Vault Serverコンソールにログインするか、Firewallの管理権限を持つユーザーとしてDatabase Firewall Applianceコンソールにログインします。
2. ホスト名を完全修飾ホスト名として設定します(たとえば、location.mycompany.com)。
   • Audit Vault Serverで「設定」をクリックしてから、「システム」グループ・ヘッダーの下の「ネットワーク」をクリックします。ネットワーク・ページでホスト名を変更します。
   • Database Firewall Applianceコンソールで、「システム」ヘッダーの下の「ネットワーク」をクリックしてから、ページの右下隅にある「変更」ボタンをクリックします。
3. モニター対象の各アプライアンスで、OMSサーバーでのDNSと同じDNSを構成します。「システム」または「設定」をクリックしてから、「システム」グループ・ヘッダーの下の「サービス」をクリックします。「サービス」ページで、DNSを構成し、ホスト名を変更します。
   デフォルトでは、Audit Vault ServerおよびDatabase FirewallへのSSHアクセスは無効です。次のステップにはSSHが必要です。そのため、同じ「サービス」ページで、「SSH」ボックスの中の「無効」を接続元マシンのIPアドレスに置き換えるか、ネットワーク上のすべてのマシンからSSH接続ができるように「all」に置き換えます。

EMエージェント・ネットワーク・ポートのブロックを解除する

1. Audit Vault ServerまたはDatabase Firewall Applianceのオペレーティング・システムにrootユーザーとしてログインします。
2. EM管理エージェントおよびEnterprise Managerサーバーが通信を行うために使用するネットワーク・ポートをブロック解除します。
   1. /usr/local/dbfw/templates/template-iptablesファイルを編集します。デフォルトでは、このファイルの権限は読取り専用です。編集を許可するように権限を変更する必要があります。rootとして、権限を変更します。

      chmod 644 template-iptables

      下の説明に従って行を編集します。データベースのリスナー・ポートに類似したエントリが存在している場合があります。そのエントリの下にエントリを作成します。20.1より前のAVDFサーバー・バージョンの場合は、次のように行を追加します。

      -A RH-Firewall-1-INPUT -p tcp -m state --state NEW --dport <EM agent port number> -j ACCEPT

      AVDFサーバー・バージョン20.1以降の場合は、次のように行を追加します。

      -A INPUT -p tcp -m state --state NEW --dport <EM agent port number> -j ACCEPT

      説明:
      • --dportは、EMエージェントのポート番号です。通常、EMエージェントで使用されるデフォルトのポート番号は3872です。
      • オプションの"-s"オプションは、IP範囲を特定のOMSに制限します。ベスト・プラクティスは、追加のオプション・スイッチ"- s ip1,ip2"を追加し、IP範囲を制限することです。
      template-iptablesファイルを変更する際には、細心の注意を払ってください。編集に誤りがあった場合、システムが動作不能になる可能性があります。template-iptablesファイルの権限を読取り専用に戻します。

      chmod 444 template-iptables

   2. 次のコマンドをrootとして実行します。

      /usr/local/dbfw/bin/priv/configure-networking

   3. 変更内容をテストします。エージェントのポート番号がデフォルト値3872であり、oem-agentでOracleによってIANAに正式に登録されている場合は、次を使用します。

      iptables -L | grep oem

      別のポートを使用している場合は、次のコマンドを実行します。

      iptables -L n | grep <EM agent port number>

これで、管理エージェントに対してACCEPTルールが設定されています。

ノート:

ここでtemplate-iptablesファイルに対して行った変更は、次回のOracle Audit Vault and Database Firewallパッチまたはアップグレードによりロールバックできる場合があります。次回のパッチまたはアップグレードの適用後に、Enterprise ManagerがAV Serverに関する情報を正確には収集していないことが判明した場合は、前述のステップaおよびbを繰り返します。

次のステップでは、AVDFエージェントが常駐している各サーバーでEM管理エージェントをインストールおよび構成します。EM管理エージェントをインストールするには、Enterprise Managerグラフィカル・ユーザー・インタフェースを使用するか(プッシュ方式を使用)、エージェント・ソフトウェアをAudit Vault ServerまたはDatabase Firewall Applianceに手動でプルします。

UIを使用したEnterprise Managerエージェントのインストール

Oracle Enterprise Managerエージェントのインストールは、OEMコンソールからのプッシュ方式を介して実行されます。

Enterprise Managerエージェントのインストールの前提条件で説明されている前提条件を必ず実行してください

1. 「設定」ドロップダウンから、「ターゲットの追加」→「ターゲットの手動追加」を選択します。
2. 「ホストにエージェントをインストール」をクリックします。
3. 「+追加」ボタンをクリックし、「ホスト名」および「プラットフォーム」に入力して「次」をクリックします。
4. 「インストールのベース・ディレクトリ」に/var/lib/oracle/agent13cと入力します。
5. ユーザーoracleの名前付き資格証明を作成します。
6. root資格証明は空白のままにします。
7. 「エージェントのデプロイ」をクリックします。

   ノート:

   インストール・フェーズ中に、有効なパスワードで設定されていないsudoに関するメッセージが表示される場合があります。すべてのホストを続行をクリックします。
8. 監査Vaultサーバーでrootとして端末ウィンドウを開き、次のコマンドを実行します。

   ./var/lib/oracle/agent13c/<agent_version>/root.sh

Audit Vault ServerまたはDatabase Firewall ApplianceのEM管理エージェントの手動インストール

次のステップを実行して、エージェント・ファイルをプルし、Database Firewall Appliance 12.2.xまたはAudit Vault Serverでエージェントを構成することで、EM管理エージェントを手動でインストールします。

「Enterprise Managerエージェントのインストールの前提条件」で説明されている前提条件を必ず実行してください。

1. Audit Vault Serverにrootユーザーとしてログインし、次のコマンドを実行してoracleユーザーになります。

   su - oracle

2. 次のようにして、AgentPull.shスクリプトをダウンロードします。

   cd /tmp
   curl "https://<OMS_HOST>:<OMS_PORT>/em/install/getAgentImage" -k -o AgentPull.sh

3. AgentPull.shスクリプトに対して、実行権限を付与します。

   chmod +x AgentPull.sh

4. AgentPull.shスクリプトを実行し、管理エージェントをダウンロードしてインストールします。LOGIN_USERはEMリポジトリ所有者(SYSMAN)で、パスワードはリポジトリ所有者パスワード(SYSMANパスワード)です。

   sh AgentPull.sh LOGIN_USER=<username> LOGIN_PASSWORD=password PLATFORM=<PLATFORM> AGENT_BASE_DIR=<EM agent install directory> AGENT_REGISTRATION_PASSWORD=password ORACLE_HOSTNAME=<ORACLE HOSTNAME>

   ノート:

   ORACLE_HOSTNAMEは、EM管理エージェントがインストールされているAudit Vault ServerまたはDatabase Firewall Applianceの完全修飾ホスト名です。

ダウンロードが終了すると同時に、EM管理エージェントのインストールが自動的に開始されます。インストールの最後で、スクリプトをrootとして実行するように要求されます。

スクリプトを実行したら、Oracle AVDFターゲットの検出に進みます。

Database Firewall Appliance 20.xのEM管理エージェントの手動インストール

次のステップを実行して、エージェント・ファイルをプルし、Database Firewall Appliance 20.xでエージェントを構成することで、EM管理エージェントを手動でインストールします。

「Enterprise Managerエージェントのインストールの前提条件」で説明されている前提条件を必ず実行してください。

1. rootユーザーとして、oinstallグループを追加し、oracleユーザーを作成してoinstallグループに追加します。

   /usr/sbin/groupadd oinstall
   /usr/sbin/useradd -g oinstall oracle

2. rootユーザーとして、dbfwディレクトリに移動します。

   cd /var/dbfw

3. emagentディレクトリを作成し、emagentディレクトリのユーザーおよびグループ所有権を変更します。

   mkdir emagent
   chown oracle emagent
   chgrp oinstall emagent

4. oracleユーザーに切り替えて、emagentディレクトリに移動します。

   su - oracle
   cd /var/dbfw/emagent

5. エージェントを転送します:

   curl https://<OMS Host>:<Port>/em/install/getAgentImage --insecure -o AgentPull.sh
   chmod +x AgentPull.sh 

6. AgentPull.shスクリプトを実行し、管理エージェントをダウンロードしてインストールします。LOGIN_USERはEMリポジトリ所有者(SYSMAN)で、パスワードはリポジトリ所有者パスワード(SYSMANパスワード)です。

   sh AgentPull.sh LOGIN_USER=<username> LOGIN_PASSWORD=password PLATFORM=<PLATFORM> AGENT_BASE_DIR=<EM agent install directory> AGENT_REGISTRATION_PASSWORD=password ORACLE_HOSTNAME=<ORACLE HOSTNAME>

   ノート:

   ORACLE_HOSTNAMEは、EM管理エージェントがインストールされているDatabase Firewall Applianceの完全修飾ホスト名です。

ダウンロードが終了すると同時に、EM管理エージェントのインストールが自動的に開始されます。インストールの最後で、スクリプトをrootとして実行するように要求されます。

スクリプトを実行したら、Oracle AVDFターゲットの検出に進みます。

Audit Vault ServerのEM管理エージェントの手動インストール

トピック:

• Oracleソフトウェア・ユーザーの構成
• dbsnmpアカウントのロック解除
• Audit Vault ServerのEM管理エージェントの手動インストール
• Oracle AVDFターゲットの検出
• AVDFプラグインのホームページ

Oracleソフトウェア・ユーザーの構成

1. エージェントのホーム・ディレクトリを作成します。

   mkdir $ORACLE_BASE/emagent

2. .bashrc内でoraenvコマンドを編集します:

   1. vi $HOME/.bashrc

   2. -sをoraenvに追加します。

      ./usr/local/bin/oraenv -s

dbsnmpアカウントのロックを解除します

1. rootアカウントのsu - dvaccountmgrを使用して、ユーザーをdvaccountmgrに変更します。
2. 次のコマンドを実行し、<password>アカウントのロック解除で識別されるユーザーdbsnmpを変更します:

   sqlplus /

3. ユーザーをrootからgridに変更します:

   su -grid

4. 次のコマンドを実行します。

   orapwd file=+SYSTEMDATA password=<password> asm=Y
   sqlplus
   create user asmsnmp identified by <password>;
   grant sysdba to asmsnmp;

   Oracleでは、sysdba権限を持つOracle Databaseユーザーasmsnmpを作成することをお薦めします。

Audit Vault ServerのEM管理エージェントの手動インストール

下のステップに従って、ホスト名を設定し、DNSを構成して、EM管理エージェントをAudit Vault Serverにダウンロードしてインストールします。

1. Audit Vault ServerコンソールにAV_ADMINロールを持つユーザーとしてログインします。
2. 監視対象の各アプライアンスで、OMSサーバーでのDNSと同じDNSを構成します。「設定」をクリックしてから、「システム」グループ・ヘッダーの下の「サービス」をクリックします。「サービス」ページで、DNSを構成し、ホスト名を変更します。デフォルトでは、Audit Vault ServerおよびDatabase FirewallへのSSHアクセスは無効です。次のステップにはSSHが必要です。そのため、同じ「サービス」ページで、「SSH」ボックスの中の「無効」を接続元マシンのIPアドレスに置き換えるか、ネットワーク上のすべてのマシンからSSH接続ができるように「すべて」に置き換えます。
3. Audit Vault Serverのオペレーティング・システムにrootユーザーとしてログインします。
4. EM管理エージェントおよびEnterprise Managerサーバーが通信を行うために使用するネットワーク・ポートをブロック解除します。

   ノート:

   ここでtemplate-iptablesファイルに対して行った変更は、次回のOracle Audit Vault and Database Firewallパッチまたはアップグレードによりロールバックできる場合があります。次回のパッチまたはアップグレードの適用後に、Enterprise ManagerがAV Serverに関する情報を正確には収集していないことが判明した場合は、下のステップ2aおよび2bを繰り返します。
   1. /usr/local/dbfw/templates/template-iptablesファイルを次のエントリで編集します。

      ノート:

      デフォルトでは、このファイルの権限は読取り専用です。編集を許可するように権限を変更してからファイルを編集し、その後権限を読取り専用に戻す必要があります:
      1. rootとして、template-iptablesファイルの権限を変更します:

         chmod 644 template-iptables

      2. 次の行を追加します:

         #OEM
         -A INPUT -p tcp -m state --state NEW --dport 3872 -j ACCEPT

      3. template-iptablesファイルの権限を読取り専用に戻します。

         chmod 444 template-iptables

      データベースのリスナー・ポートにすでに類似したエントリが存在している場合があります。そのエントリの下に使用するエントリを作成します。

      ノート:

      template-iptablesファイルを変更する際には、細心の注意を払ってください。ここで誤りがあった場合、システムが動作不能になる可能性があります。この変更のみを行い、他の変更は行わないでください。
   2. 次のコマンドをrootとして実行します。

      /usr/local/dbfw/bin/priv/configure-networking

   3. 変更内容をテストします。ポート3872を使用している場合(このポートは、oem-agent用にOracleがIANAで正式に登録しています)は、次のコマンドを実行します:

      iptables -L -n | grep 3872

      別のポートを使用している場合は、次のコマンドを実行します。

      iptables -L | grep oem

      これで、管理エージェントに対してACCEPTルールが設定されています。

5. Audit Vault Serverにrootユーザーとしてログインしている間に、次のコマンドを実行してoracleユーザーになります:

   su - oracle

6. 次のようにして、AgentPull.shスクリプトをダウンロードします。

   cd /tmp
   curl "https://<OMS_HOST>:<OMS_PORT>/em/install/getAgentImage" -k -o AgentPull.sh

   OMS_HOST = OEM DNS or IP Address
   OMS_PORT - OEM Port Number

7. AgentPull.shスクリプトに対して、実行権限を付与します。

   chmod 755 AgentPull.sh

8. AgentPull.shスクリプトを実行し、管理エージェントをダウンロードしてインストールします。

   ./AgentPull.sh AGENT_BASE_DIR=/var/lib/oracle/emagent ORACLE_HOSTNAME=<Fully Qualified Hostname> AGENT_PORT=3872 LOGIN_USER=sysman PLATFORM="Linux x86-64"

   ここで、ORACLE_HOSTNAMEは、EM管理エージェントがインストールされるAudit Vault Serverの完全修飾ホスト名です。

   ノート:

   a.前述のコマンドの実行直後に2つのパスワードを要求されます。EM SYSMANパスワードおよびエージェント・パスワード(ユーザーが割り当てるパスワード)。

   b.ダウンロードが終了すると同時に、EM管理エージェントのインストールが自動的に開始されます。

   c.インストールの最後に、rootとしてスクリプトを実行するように求められます: /var/lib/oracle/emagent/agent_13.X.0.0.0/root.sh

9. 次のエージェントemctlコマンドをoracleとして実行します:

   cd /var/lib/oracle/emagent/agent_13.X.0.0.0/bin
   ./emctl secure agent
   ./emctl config agent addinternaltargets

Oracle AVDFターゲットの検出

下のステップに従って、Oracle Audit Vault Server ターゲットを追加します。

1. Enterprise Managerにログインします。
2. 「設定」、「ターゲットの追加」、最後に「自動検出の構成」の順にクリックします。
3. 「検出の設定」ページの「ホスト」タブの「ターゲット」でホストを選択し、「検出モジュール」をクリックします。
4. 「検出モジュール」ページで、「Audit Vault and Database Firewallエンティティの検出」および「Oracleデータベース、リスナーおよび自動ストレージ管理」を確認します。「OK」をクリックします。
5. 前のページへ戻って、Oracle Audit Vault Serverのホスト名をハイライト表示し、「新規に検出」をクリックします。検出の進行中にダイアログ・ボックスが表示されます。
6. Audit Vault ServerインスタンスおよびDatabase Firewallインスタンスの名前を変更します。
   1. 「設定」、「ターゲットの追加」、最後に「自動検出の結果」の順にクリックします。
   2. 「ホスト」タブで「ターゲット」をクリックします。
   3. 「ターゲット・タイプ」列から「Oracle Audit Vault and Database Firewall」 (これがAudit Vault Server)を検索します。行をハイライト表示し「名前の変更」をクリックして、AVServer_Legal_and_HRのような意味のある名前に変更します。
   4. 次に、データベース・インスタンスのある行をターゲット・タイプとしてハイライト表示します。「名前の変更」をクリックして、AVS_Repositoryのような意味のある名前に変更します。
7. Audit Vault Server (AV Server)を昇格させます。
   1. Audit Vault Serverの行をハイライト表示し、「昇格」をクリックします。
   2. 次のページで、AV_ADMIN権限のあるAV Serverユーザーのユーザー名とパスワードを入力します。「優先接続文字列」がすでに移入されている必要があります。ただし、移入されていない場合は、AV Server Web管理コンソールへ移動し、AV_ADMIN権限のあるユーザーでログインします。「設定」をクリックしてから、「ステータス」をクリックし、優先接続文字列をコピーします。ORACLE_HOMEは次のとおりです。

      /var/lib/oracle/dbfw

   3. 「昇格」をクリックします。
8. AVリポジトリ・データベース・インスタンスを昇格させます。
   1. AVS_Repositoryデータベース・インスタンスの行をハイライト表示します。「昇格」をクリックします。
   2. 次のページで、AVS_Repositoryを確認し、「構成」をクリックします。
   3. 「モニター・パスワード」を入力し(ユーザーはdbsnmp、AVSリポジトリ・データベースのアカウントはロック解除)、ポートを1522から1521に変更し、「リスナー・マシン名」をAV Serverの完全修飾ホスト名に変更します。
   4. 「接続のテスト」をクリックし、成功したら「保存」をクリックします。
9. 前のページへ戻り、「次」をクリックします。次のページで、「保存」をクリックします。
10. Enterprise Managerの新しいAV Serverのホームページへ移動するには:
    1. 「ターゲット」メニューから「すべてのターゲット」を選択します。
    2. 「その他」のリスト項目を展開します。
    3. 「Oracle Audit Vault and Database Firewall」を選択します。AVリポジトリ・データベースは、「ターゲット」と「データベース」の下にリストされています。

AVDFプラグインのホームページ

インストールして構成が完了したら、Enterprise ManagerからOracle Audit Vault and Database Firewallをモニターできるようになります。このページの各項および各リージョンは、「プライマリAVDFプラグインのモニタリング概要」で説明します。