1. セキュリティ・ガイド
  2. セキュリティ機能
  3. セキュリティのその他の考慮事項

セキュリティのその他の考慮事項

Enterprise Managerのコンポーネントとフレームワークに対してセキュリティを有効にした場合、セキュリティのその他の考慮事項があります。この項では次のトピックを記載しています:

Oracleアカウントのパスワードの変更

この項では、SYSMAN、MGMT_VIEWおよびEUS_ENGINE_USERのパスワードの変更に使用されるコマンドについて説明します。

SYSMANユーザー・パスワードの変更

SYSMANユーザー・アカウントは、Oracle Management Repositoryにログインして、すべてのアクティビティの格納および問合せを行うために、Oracle Management Serverによって使用されます。パスワードは暗号化されて格納されます。SYSMANパスワードがOMRで変更された場合は、すべての操作でEnterprise Managerが適切に機能するために、OMSでも変更する必要があります。これには、次のような他のSYSMANユーザーが含まれます。

  • SYSMAN_STB
  • SYSMAN_TYPES
  • SYSMANUPGR_OPSS

Enterprise Managerのデータを使用してレポートおよび分析用にOracle Analytics Server (OAS)を構成した場合は、SYSMANパスワードを変更するステップについて、SYSMANパスワードを使用したOAS構成の更新を参照してください。

ノート:

SYSMANのパスワード、または、リポジトリ・データベース上の他の任意のリポジトリ・ユーザーのパスワードを直接変更することはお薦めしません。したがって、パスワードは次にリストする方法のいずれかを使用して変更してください。

現在のSYSMANパスワードがわかっている場合。

  1. emctl stop omsを使用して、すべてのOMSインスタンスを停止します。

    OMS_Home/bin/emctl stop oms

    JVMDまたはADP(あるいはその両方)が構成されている場合、JVMD/ADPエンジンを停止します:

    emctl extended oms jvmd stop –all

    emctl extended oms adp stop -all

    プライマリOMSマシンも含め、すべてのOMSマシンで同じコマンドを実行します。この操作中も管理サーバーは稼働している必要があるので、「-all」は含めないでください。

  2. (管理サーバーが構成されている)プライマリOMSサーバーでSYSMANパスワードを変更します。

    cd <OMS_HOME>/bin

    emctl config oms -change_repos_pwd [-old_pwd <old_pwd>] [-new_pwd <new_pwd>] [-use_sys_pwd [-sys_pwd <sys_pwd>]]

    emctl config oms -change_repos_pwd'

    コマンド・パラメータ

    パラメータ 説明

    -change_repos_pwd

    SYSMANのパスワードの変更に使用されます。

    -old_pwd

    現在のSYSMANパスワードです。

    -new_pwd

    新しいパスワードです。

    -use_sys_pwd

    このパラメータはオプションです。SYSユーザーとしてデータベースに接続する場合に使用されます。SYSMANアカウントが失効したり、ロックされた場合、このオプションを使用します。

    -sys_pwd

    SYSユーザーのパスワードです。-use_sys_pwdが指定される場合にのみ必要です。

    コマンドの動作

    ノート:

    前述のコマンドは、SYSMANユーザーの現在のパスワードと新しいパスワードを要求します。

    パスワードは、OMSおよびリポジトリ・ターゲット用に、リポジトリ・データベースおよびモニタリング資格証明で変更されます。

    SYSMANパスワードとともに、このコマンドはリポジトリ・データベースで作成されたパスワードをEMユーザー(SYSMAN_MDS、SYSMAN_OPSS、SYSMAN_APM、SYSMAN_RO)用に変更します。

    コマンドの出力例 

    emctl config oms -change_repos_pwd 
Oracle Enterprise Manager 24ai Release 1 
Copyright (c) 1996, 2024 Oracle Corporation. All rights reserved. 
Enter Repository User's Current Password : 
Enter Repository User's New Password : 
 
Changing passwords in backend ... 
Passwords changed in backend successfully. 
Updating repository password in Credential Store... 
Successfully updated Repository password in Credential Store. 
Restart all the OMSs using 'emctl stop oms -all' and 'emctl start oms'. 
Successfully changed repository password.
  3. プライマリOMSマシン上の管理サーバーを停止してから、すべてのOMSを再起動します。

    cd <OMS_HOME>/bin

    emctl stop oms –all

  4. すべての管理サービスを再起動します。

    cd <OMS_HOME>/bin

    emctl start oms

現在のSYSMANパスワードが不明な場合

  1. すべてのOMSを停止します。

    cd <OMS_HOME>/bin

    emctl stop oms

    プライマリOMSマシンでも同じコマンドを実行します。この操作中も管理サーバーは稼働している必要があるので、「-all」は含めないでください。

    さらに、次のステップを確認して実行します。

    • JVMDまたはADP(あるいはその両方)が構成されている場合、JVMD/ADPエンジンを停止します:

      emctl extended oms jvmd stop -all

      emctl extended oms adp stop -all

  2. SYSMANパスワードを変更します。

    cd <OMS_HOME>/bin

    emctl config oms -change_repos_pwd -use_sys_pwd -sys_pwd <sys user password> -new_pwd <new sysman password>

    ノート:

    「-use_sys_pwd」は、SYSユーザーとしてデータベースに接続するために使用され、SYSMANパスワードをリポジトリ・データベース内で変更します。

    現在のSYSMANパスワードは要求されず、新しいパスワードのみを入力するよう要求されます。これにより、古いパスワードが、入力した新しいパスワードに再設定されます。

    パスワードは、OMSおよびリポジトリ・ターゲット用に、リポジトリ・データベースおよびモニタリング資格証明で変更されます。

    SYSMANパスワードとともに、このコマンドはリポジトリ・データベースで作成されたパスワードをEMユーザー(SYSMAN_MDS、SYSMAN_OPSS、SYSMAN_APM、SYSMAN_RO)用に変更します。

  3. プライマリOMSマシン上の管理サーバーを停止してから、すべてのOMSを再起動します。

    cd <OMS_HOME>/bin

    emctl stop oms -all

    emctl start oms

SYSMANパスワードを使用したOAS構成の更新

Enterprise Managerのデータを使用してレポートおよび分析用にOracle Analytics Server (OAS)を構成した場合は、SYSMANユーザーの新しいパスワード・セットでOASも更新する必要があります。

  1. データベース・セキュリティ・モデルでOASが使用するSYSMANパスワードを変更します。

    1. OASにスーパー管理者(SYSMANユーザーまたは帯域外セキュリティ操作用に構成されている可能性がある内部SuperUser)としてログインします。「管理」に移動し、「セキュリティ・センター」「セキュリティ構成」をクリックします。

      ノート:

      OASがデータベース・セキュリティ・モデルで構成されている場合、weblogicユーザーはOASにログインするための有効なユーザーではありません。データベース・セキュリティ・モデルで構成されている場合、有効なEMユーザーのみがOASにログインするために使用できます。

    2. 「ローカルSuperUserの有効化」チェック・ボックスを一時的に選択します。

      サイトがセットアップされ必要どおりに機能したら、ローカルのスーパー・ユーザーを無効にできます。

    3. 「認可」セクションで、次を実行します。

      • 「LDAPの使用」チェック・ボックスの選択を解除します。
      • 「セキュリティ・モデル」Oracle Databaseに設定します。
      • Enterprise Managerで使用する新しいSYSMAN資格証明の値を入力します。
      • 「適用」をクリックします。

  2. Enterprise ManagerでのSYSMANパスワードの更新。SYSMANユーザー・パスワードの変更を参照してください。

  3. OASサーバーを再起動します。SYSMANユーザーとしてOASにログインします。

  4. 正しいOASグループ割当てが表示されることを確認します。

  5. すべてのレポート(ライブとスケジュールの両方)が期待どおりに動作することを確認します。

  6. OASローカル・スーパー・ユーザーを無効にします。OASサーバーを再起動します。

MGMT_VIEWユーザー・パスワードの変更

MGMT_VIEWユーザーのパスワードを変更するには、次のコマンドを使用する必要があります。 

emctl config oms -change_view_user_pwd [-user_pwd <user_pwd>] [-auto_generate]
パラメータ 説明

-change_view_user_pwd

MGMT_VIEWユーザーのパスワードの変更に使用されます。

-user_pwd

MGMT_VIEWユーザーの新規パスワード。

-auto_generate

このオプションを指定する場合、パスワードは自動生成されます。
  1. すべてのOMSを停止します。

    <OMS_HOME>/bin/emctl stop oms

  2. OMSのいずれかで次のコマンドを実行します。

    <OMS_HOME>/bin/emctl config oms -change_view_user_pwd [-old_pwd <old_pwd>] [ -new_pwd <new_pwd>]

  3. AdminServerとすべてのOMSを再起動します。

    emctl stop oms -all

    emctl start oms

emctlコマンドを使用してMGMT_VIEWユーザーのパスワードを変更した場合、管理サービス・ターゲットのモニタリング資格証明(MGMT_VIEWに設定済)は更新されません。手動でパスワードを変更する必要があります。

  1. Enterprise ManagerコンソールのURLに移動します。
  2. 有効なシングル・サインオン・ユーザーの資格証明を入力します。
  3. 「設定」メニューから、「セキュリティ」,、「監視資格証明」の順に選択します。
  4. Oracle Management Serviceとして「ターゲット・タイプ」を選択し、「モニタリング資格証明の管理」をクリックします。
  5. Oracle Management Serviceターゲット・タイプの「モニタリング資格証明」ページで、MGMT_VIEWのパスワードを新しいパスワードに手動で更新し、変更を保存します。
  6. 「保存」をクリックします。

EUS_ENGINE_USERユーザー・パスワードの変更

EUS_ENGINE_USERユーザーのパスワードがRUEIで管理されていない場合に、それを変更するには、SQL*plusを使用してデータベースに接続し、passwordコマンドを使用する必要があります。

  1. ターミナル・ウィンドウを開き、次のようにデータベースに接続します。

    $ sqlplus EUS_ENGINE_USER@database

  2. 次のようにpasswordコマンドを使用します
    SQL> password
    Changing password for EUS_ENGINE_USER
Old password: 
New password: 
Retype new password: 
Password changed

ブラウザ固有のセキュリティ証明書アラートへの対応

Enterprise ManagerにHTTPSを介して接続する場合、管理サービスではブラウザに管理サービスのアイデンティティを確認する証明書が表示されます。この証明書は、使用しているコンピュータが信頼するサード・パーティにより検証されています。Webブラウザで信頼できない証明書が検出されると、セキュリティ・アラート・メッセージが生成されます。Enterprise Managerの証明書がブラウザに信頼されていない認証局によって発行されるため、セキュリティ・アラート・ダイアログ・ボックスが表示されます。

警告を無視して、Enterprise Managerセッションを継続することもできます。または、CA証明書をブラウザの信頼できる"ルート"証明書のリストにインポートして、以降のブラウザ・セッションで証明書のセキュリティ・アラートを排除できます。

サード・パーティの証明書のワークフロー

次の高度なレベルのステップは、Enterprise Managerがサード・パーティの証明書を使用する設定に含まれます。

  • ステップ1: ウォレットを生成し、Entrust、Verisign、ThwateまたはDigiCertなどのサード・パーティの認証局による認証を受けます。
  • ステップ2: 各OMS用カスタム・ウォレットを構成します。手順は、HTTPSコンソール・ユーザー用のサード・パーティの証明書の構成を参照してください。
  • ステップ3: 証明書をブラウザの信頼できるルート証明書のリストに追加して、ブラウザ証明書警告がこれ以上表示されないようにします。次の項では、セキュアな環境でEnterprise Managerを使用する場合のブラウザ固有のセキュリティ・アラート・ダイアログ・ボックスへの対応方法について説明します。ノート: ステップ3は、VerisignやEntrusなどの十分に認知された認証局には必要ありません。

Internet Explorerのセキュリティ・アラート・ダイアログ・ボックスへの対応

セキュリティは、管理サービスに対してデフォルトでは有効です。ただし、Web層の拡張セキュリティ機能を有効にしていない場合、「このWebサイトのセキュリティ証明書には問題があります。」という警告が表示されます。これは、Enterprise Managerの証明書がブラウザに信頼されていない認証局によって発行されるためです。

Internet Explorerに証明書の警告ページが表示された場合、次の手順で証明書をインストールし、今後Enterprise Managerセッションでこのページが再度表示されないようにします。

  1. 証明書の警告ページで、「このサイトの閲覧を続行する(推奨されません)。」 をクリックします。

    Internet Explorerから「セキュリティの警告」ダイアログが表示されます。

  2. 「はい」をクリックします。これより前のInternet Explorerセッションで「今後、この警告を表示しない」を選択していない場合、Internet Explorerは「セキュリティの警告」ダイアログを表示します。「OK」をクリックしてダイアログ・ボックスを閉じます。
  3. Enterprise Managerコンソールのログオン・ページが表示されます。
  4. ブラウザの最上部の「証明書のエラー」 をクリックすると、「証明書」のポップアップが表示されます。
  5. 「証明書の表示」をクリックします。「証明書」ダイアログが表示されます。
  6. 「証明書のパス」タブをクリックし、次の図に示すような証明書のリストの最初のエントリを選択します。
  7. 「証明書の表示」をクリックして、2つ目の「証明書」ダイアログ・ボックスを表示します。
  8. 「証明書のインストール」をクリックして証明書のインポート・ウィザードを表示します。
  9. ウィザードでデフォルトの設定を受け入れ、終了したら「完了」をクリックします。

    Internet Explorerから、証明書をインストールするかどうかをたずねる「セキュリティの警告」が表示されます。「はい」をクリックします。証明書が正常にインポートされたことを示すメッセージがInternet Explorerから表示されます。

  10. 「OK」をクリックして各セキュリティ・ダイアログ・ボックスを終了し、「セキュリティの警告」ダイアログ・ボックスで「はい」をクリックしてブラウザ・セッションを続けます。

    このブラウザを使用する場合のEnterprise Managerへの以降の接続で「セキュリティの警告」ダイアログ・ボックスが表示されなくなります。

Mozilla Firefoxの新しいサイトの証明書ダイアログ・ボックスへの対応

Enterprise Managerの証明書がブラウザに信頼されていない認証局によって発行されると、Firefoxも接続の警告を発行します。Mozilla FirefoxでHTTPS URLを使用して初めてコンソールを表示すると、接続が信頼できないため、警告が表示されます。


図は、接続の安全性を確認できませんというメッセージを示しています。

Firefoxから「接続の安全性を確認できません」ページが表示された場合、次の手順で証明書をインストールし、今後Enterprise Managerセッションでこのページが再度表示されないようにします。

  1. 手順と情報を確認します。「危険性を理解した上で接続するには」をクリックします。Firefoxによって、詳細情報と証明書を追加するオプションが表示されます。
  2. 「例外の追加...」をクリックします。Firefoxによって、「セキュリティ例外の追加」ダイアログが表示されます。
  3. 「次回以降にもこの例外を有効にする」オプションが選択されていることを確認します。

    現在のブラウザを使用する際に新しいサイト証明書ダイアログ・ボックスは表示されなくなります。

  4. 「セキュリティ例外を承認」をクリックします。Enterprise Managerコンソールが表示されます。

このブラウザを使用した以降のEnterprise Managerへの接続で、接続の安全性を確認できないという警告は表示されなくなりました。

Google Chromeのセキュリティ・アラート・ダイアログ・ボックスへの対応

Google Chromeでは、このWebのセキュリティ証明書が信頼できない場合、警告が表示されます。Google ChromeでHTTPS URLを使用して初めてEnterprise Managerコンソールを表示すると、接続が信頼できないため、警告が表示されます。

Google Chromeから「接続の安全性を確認できません」ページが表示された場合、次の手順で証明書をインストールし、今後Enterprise Managerセッションでこのページが再度表示されないようにします。

ノート:

Google Chromeでこの方法を使用して証明書をインストールすると、パフォーマンスの低下が生じることがあります。この問題を解決する最適なオプションは、選択したベンダーから信頼できる証明書を取得することです。

  1. URLアドレス・バーの左側の×印の付いた南京錠アイコンをクリックします。
  2. メニューの「証明書情報」をクリックします。
  3. 証明書のパス・タブを選択します。
  4. OMSホスト名を選択します(赤い十字アイコン)。
  5. 「証明書を表示」をクリックします。
  6. 「詳細」タブを選択します。
  7. 「ファイルにコピー」をクリックします。
  8. デスクトップに証明書を保存します。たとえば、次のように保存できます。
    adc1110000.cer
  9. Google Chromeのニューから、「ツール」に移動し、「設定」をクリックして、「詳細設定を表示」を選択します。
  10. 「証明書の管理」をクリックします。
  11. 「信頼されたルート証明機関」タブを選択します。
  12. 「インポート」をクリックします。

    ウィザードが保存された証明書のインポート・プロセスをガイドします。

    インポートしている証明書が検証できないというメッセージが警告ウィンドウに表示され、続行するかどうか確認されます。「はい」をクリックして続行します。

  13. 保存された証明書が「信頼されたルート証明機関」表に表示されているかどうかを確認します。
  14. Google Chromeブラウザを再起動し、Enterprise Manager URLをロードします。証明書エラーアイコンがアドレス・バーに表示されていない場合、証明書は有効で信頼できます。

Safariのセキュリティ・ダイアログ・ボックスへの対応

Safariでは、証明書を個別にインストールするオプションはサポートされません。この問題を解決するには、選択したベンダーから信頼できる証明書を取得することです。