1. セキュリティ・ガイド
  2. Enterprise Managerの保護
  3. ターゲット資格証明の管理のガイドライン

ターゲット資格証明の管理のガイドライン

優先資格証明を使用すると、管理リポジトリ内にターゲットのログイン資格証明を格納することによって、管理対象ターゲットへのアクセスが簡素化されます。ユーザーは、これらの資格証明を認識するEnterprise Managerターゲットに、ログインを要求されずにアクセスできます。優先資格証明はユーザー単位で設定されるため、管理対象のエンタープライズ環境のセキュリティを確保できます。デフォルトの資格証明は、特定のターゲット・タイプ、および特定のターゲット用のターゲット資格証明にも設定できます。ターゲット資格証明は、デフォルトの資格証明より優先されます。

SYSMANなどのグループまたは共通アカウントに優先資格証明を設定しないでください。共通アカウントに優先資格証明が設定された場合、これらの資格証明の使用のアカウンタビリティは失われます。次のSQL文を使用して、優先資格証明セットを持つユーザーのリストをレポートできます。

SELECT t.target_name,tc.user_name,tc.credential_set_name FROM MGMT_TARGET_CREDENTIALS tc, MGMT_TARGETS t WHERE tc.target_guid=t.target_guid

SELECT t.target_name,tc.user_name, tc.set_name FROM EM_TARGET_CREDS tc, MGMT_TARGETS t WHERE tc.target_guid=t.target_guid and tc.user_name = 'SYSMAN'

資格証明は名前付き資格証明として保存でき、他のユーザーにこの資格証明の使用、更新または所有するための権限が付与されます。これらの資格証明は、特定のターゲットに対してまたはグローバルに、ジョブ、パッチ適用または他の管理タスクのために使用できます。適用可能な資格証明のタイプには、ユーザー名またはパスワード、ホストに対するSSHキー、データベースに対するKerberosがあります。この方法では、管理者が特権アクセス用の名前付き資格証明を構成し、特定のユーザーに付与できます。監査では、名前付き資格証明の作成、変更および使用を追跡します。

名前付き資格証明を使用すると、ターゲットの権限委任から権限管理を切り離すことができるセキュアなメカニズムがEnterprise Managerに提供されます。名前付き資格証明を使用して、組織は特定のユーザー名、パスワードまたは認証の詳細の管理を、これらの資格証明を使用する実際の認証局から分離させることができます。これは、悪質なユーザーがEnterprise Manager内部から取得した既知の資格証明のセットを使用して、Enterprise Manager以外から操作を実行できないようにする必要のある、現代の安全な組織において不可欠な手段です。さらに、名前付き資格証明の一元化されたセットを管理すると、多くのEnterprise Manager管理者にわたって、資格証明情報の急増による著しい負荷をなくすことができるため、これらがEnterprise Manager環境以外から使用される可能性を低くし、資格証明が誤って公開されないようにできます。

モニタリング・ユーザーおよびモニタリング以外のユーザーの資格証明パスワード管理の自動化

パスワード・ライフサイクル管理は、セキュアなデータベース(DB)環境の維持に重要な役割を果たします。これは数百または数千のデータベースを扱う場合に負担となります。通常、ユーザーのパスワードを変更し、このパスワードを使用してデータベースをモニターおよび管理するすべてのEnterprise Manager構成を更新します。

Enterprise Managerでは、ジョブ・システムを使用して、「データベース・モニタリング・ユーザーのパスワードの変更」および「データベース・ユーザーのパスワードの変更」の各ジョブを使用して、モニタリングとモニタリング以外の両方のデータベース・ユーザーのデータベース・パスワード変更/ローテーション・タスクを自動化できます。どちらのジョブ・タイプでも、Oracle Databaseおよびクラスタ・データベース・インスタンスでジョブをスケジュールできます。

新しいパスワードを明示的に指定することも、オプションで、自動生成の基礎として現在のパスワードまたは明示的に指定された参照パスワードを使用して新しいパスワードを自動生成することもできます。Enterprise Managerで生成されたパスワードにパスワードが変更されると、この自動生成されたパスワードは、Enterprise Managerとそのコンポーネント(エージェントなど)のみに認識され、それ以外のユーザーは認識しなくなります。ユーザーのターゲット・スコープ名前付き資格証明も更新されます。ユーザー定義のパスワードのオプションは、このジョブを定期的に手動で実行しても以降のジョブ実行では実際にはパスワードが変更されないため、通常、一度だけスケジュールされるジョブで意味を持ちます。Enterprise Managerでランダムなパスワードを自動生成するほうが、セキュリティの観点で効果があります。

ノート:

このジョブには、パスワード・ポリシーの更新や新しいセキュリティ標準を理解する機能がなく、指定したパスワード(「自動生成」「いいえ」として選択されている場合)または参照パスワードが、データベースで有効な現在のパスワード・ポリシーに準拠していることを想定しています。「はい(現在のパスワードに基づく)」を使用する場合、現在のパスワードが有効なパスワード・ポリシーに準拠していることが想定されています。

重要: どちらのジョブ(「データベース・モニタリング・ユーザーのパスワードの変更」および「データベース・ユーザーのパスワードの変更」)も、SYSDBAおよびSYSDG権限を持つData Guard環境のユーザー(SYSユーザー自身を除く)をサポートしています。スタンバイ・データベースのパスワードを変更するには、Oracle Database 12.2以降の機能(プライマリ・データベースからスタンバイ・データベースへのパスワードの自動伝播)を使用します。Far SyncまたはSnapshot StandbyデータベースがあるData Guard環境のモニタリング・パスワードの変更はサポートされていません。

Data Guard環境に関する警告

スタンバイ・インスタンスに重大な適用ラグ(1分以上)がある場合は、このジョブの完了後、REDOログ適用を介してそのスタンバイ上で新しいパスワードが更新されるまで、Enterprise Managerでそのスタンバイ・インスタンスが一時的に「停止中」と示されることがあります。

自動パスワード管理は次の状況で機能します。

Oracle Enterprise Manager 13cリリース5更新4 (13.5.0.4)以降

  • DBターゲット、DBSNMPおよびカスタム(非DBSNMP)のモニタリング・ユーザー
  • Enterprise Managerリポジトリ・ターゲット上のNORMALが付与された非モニタリング・ユーザー

Oracle Enterprise Manager 13cリリース5更新6 (13.5.0.6)以降

  • SYS*ロール(SYSDBA、SYSDGなど)を持つモニタリングおよびモニタリング以外のユーザー(Enterprise Managerリポジトリ・ターゲットのSYSロールを持つDBユーザーを含む)。

    ノート:

    この機能は、Oracle Enterprise Manager 13cリリース4更新18 (13.4.0.18)でも使用可能です。

Oracle Enterprise Manager 13cリリース5更新12 (13.5.0.12)以降

  • パスワード自動生成のベースとして(現在のパスワードのかわりに)使用できる参照パスワードの指定のサポート

この項の内容は、次のとおりです。

モニタリング・ユーザーのパスワード管理の自動化

データベース・インスタンスを検出したユーザー(モニタリングのみ)のパスワード管理を自動化するには、Enterprise Managerコンソールで「データベース・モニタリング・ユーザーのパスワードの変更」ジョブ・タイプを使用します。

Oracleデータベースのインストール時に、DBSNMPユーザーに即時利用可能なプロビジョニングが行われます。この設定は、主にEnterprise Managerからそのデータベースをモニタリングするために使用されます。DBSNMPのユーザー名とパスワードは、検出時およびEnterprise Managerエージェントからのメトリック収集の両方で使用されます。DBSNMPは、Enterprise Managerコンソールのデータベース・ホーム・ページに表示されるメトリックを収集する際にも使用されます。また、別のユーザー(DBSNMP以外)をデータベース・モニタリング・ユーザーとして使用することもできます。

パスワードのローテーションは、すべてのユーザーに対するセキュリティ・ポリシーの標準部分であり、通常は、DBSNMPユーザーまたはその他のモニタリング専用ユーザーにも適用されます。通常、このタスクは、このデータベース・ユーザー(DBSNMPまたはDBSNMP以外)のパスワードを変更し、データベースのモニタリングと管理にこのパスワードを使用するすべてのEnterprise Manager構成を更新します。新しいパスワードは、ユーザーが指定するか、Enterprise Managerで自動生成できます。

重要: パスワード変更ジョブは、通常のロール、SYSDBAまたはSYSDGで構成されているDBSNMP (またはその他のモニタリング・ユーザー)に対して、このユーザーとして実際のデータベースにアクセスを試みる製品/ユーザーがEnterprise Managerのみの場合に使用してください。詳細は、モニタリング・ユーザーおよびモニタリング以外のユーザーの資格証明パスワード管理の自動化を参照してください。

必要なターゲット権限

このジョブを実行するEnterprise Managerユーザーは、これらのデータベース・ターゲットを最初に検出したユーザーであるか、データベース/クラスタで少なくとも次のEnterprise Managerターゲット権限を持っている必要があります。
  • CONFIGURE_TARGET
  • CONNECT_TARGET
  • BLACKOUT_TARGET
  • EDIT_CREDENTIAL (モニタリングおよび任意の保存されている名前付き資格証明)

    ノート:

    EDIT_CREDENTIAL権限は、ジョブがターゲットをブラックアウトしてターゲットとEnterprise Managerの両方で資格証明およびモニタリング構成を更新するためと、Enterprise Managerでこのデータベース・ユーザーの名前付き資格証明を更新するために必要となります。

ジョブの構成とスケジュール

  1. 「エンタープライズ」メニューから「ジョブ」「アクティビティ」を選択します。「アクティビティ」ページで、「ジョブの作成」をクリックします。ジョブ・タイプの選択ダイアログが表示されます。


    DBNSMPパスワード変更ジョブ。

    「データベース・モニタリング・ユーザーのパスワードの変更」ジョブ・タイプを選択して、「選択」をクリックします。

  2. 必要な属性(ジョブ名、説明など)を指定し、ジョブをスケジュール/実行するターゲットのリストを選択して、ジョブを定義します。

    ノート:

    ターゲットのリストを選択するかわりに、動的グループを作成してそのグループを選択することもできます。動的グループを選択すると、そのグループに存在するOracle Databaseタイプおよびクラスタ・データベース・タイプのすべてのインスタンスで、ジョブの実行時にモニタリング・ユーザーのパスワードが更新されます。

    選択する対象が多い場合は、これらのジョブがすべて並列して実行されないように、環境に適した「最大パラレル実行」(3程度)を指定することをお薦めします。多数のジョブをパラレルで実行すると、ジョブ・システムが過負荷になるだけでなく、ターゲットも同時にブラックアウトされます。


    「ジョブの作成」の「一般」タブ

  3. Enterprise Managerでパスワードを自動生成しない場合は、次のように「新規パスワード」を指定します。
    ジョブ・パラメータの作成ページ

    「新規パスワードの自動生成」には「いいえ」を設定する必要があります。新しいパスワードを入力します。新規パスワードと確認が一致しない場合は、インライン・エラー・メッセージが表示され、ジョブを発行できません。

    「パラメータ」タブでパラメータが指定されていない場合は、新しいパスワードが生成されます。自動生成されたパスワードは、Enterprise Managerでのみ認識および管理されます。

    「新規パスワードの自動生成」には、明示的なオプションが2つあります。当初、新しいパスワードの自動生成では、新しいパスワードを生成するための基礎として現在のパスワードの形式のみが使用されていました。Enterprise Manager 13cリリース5更新12 (13.5.0.12)以降、参照パスワードに基づいて新しいパスワードを自動生成するオプションが追加されました。つまり、提供されたフィールドにサンプル・パスワードを入力でき、Enterprise Managerで、新しいパスワードを自動生成するための基礎としてサンプルの形式が使用されることを意味します。

    ノート:

    「新規パスワードの自動生成: はい(参照パスワードに基づく)」を選択する場合は、Enterprise Managerが新規準拠パスワードを自動生成するために、サンプル/参照パスワードが現在の企業のパスワード・ポリシーに準拠していることを確認する必要があります。このオプションは、パスワード・ポリシーが変更され(パスワードの最小長が増加するなど)、現在のパスワードが準拠しなくなり、変更する必要がある場合に役立ちます。

    新規パスワードの自動生成

  4. このジョブのスケジュールを定義します。通常は、データベースに定義されているパスワード・プロファイルに従って、モニタリング・ユーザーのパスワードの変更が必要になるまでの間隔です。


    ジョブ・スケジュールの設定

    「発行」をクリックします。

ジョブ実行の出力の表示(ターゲットごとに実行)

次に示すように「ジョブ・アクティビティ」表でジョブ名をクリックすると、パスワード変更ジョブのステータス/出力を表示できます。


ジョブ実行の出力

モニタリング以外のユーザーのパスワード管理の自動化

カスタムの、モニタリング以外のデータベース・ユーザーの場合、「データベース・ユーザーのパスワードの変更」ジョブ・タイプを使用して、パスワード管理を自動化できます。通常、このタスクでは、このデータベース・ユーザーのパスワードを変更し、このパスワードを使用してデータベースのモニタリングおよび管理を行うすべてのEnterprise Manager構成を更新します。詳細は、モニタリング・ユーザーおよびモニタリング以外のユーザーの資格証明パスワード管理の自動化を参照してください。

ノート:

また、カスタム・モニタリング資格証明(ユーザーが定義した資格証明セットに基づく)は、このジョブのパラメータで指定されたユーザーに対して定義されている場合には更新されます。

このジョブ・タイプを実行するには、次のEnterprise Manager権限が必要です。

  • CONNECT_TARGET
  • CONFIGURE_TARGET
  • EDIT_CREDENTIAL

    ノート:

    この権限は、ジョブ・パラメータで指定されたユーザーのターゲットのターゲット・スコープ名前付き資格証明に必要です。
  • CREATE_JOB

    ノート:

    この権限は、ジョブを作成および送信するために必要です。

このジョブでは、ユーザー名をジョブへの入力引数として指定する必要があり、ジョブが呼び出されるデータベース・ターゲットで、有効な現在のパスワードを持つ名前付き資格証明を定義する必要があります。

ジョブの構成とスケジュール

  1. 「エンタープライズ」メニューから「ジョブ」「アクティビティ」を選択します。「アクティビティ」ページで、「ジョブの作成」をクリックします。ジョブ・タイプの選択ダイアログが表示されます。


    図は、dbsnmp以外のusers.rのジョブ・タイプの選択ダイアログを示しています

  2. データベース・ユーザーのパスワードの変更ジョブ・タイプを選択して、「選択」をクリックします。

  3. 必要な属性(ジョブ名、説明など)を指定し、ジョブをスケジュール/実行するターゲットのリストを選択して、ジョブを定義します。

    ノート:

    ターゲットのリストを選択するかわりに、動的グループを作成してそのグループを選択することもできます。動的グループを選択すると、そのグループに存在するOracle Databaseタイプおよびクラスタ・データベース・タイプのすべてのインスタンスで、ジョブの実行時にデータベース・ユーザーのパスワードが更新されます。

    多数のターゲットを選択する場合は、それらのジョブがすべてパラレルで実行されないように、環境に適した数(3など)を指定することをお薦めします。多数のジョブをパラレルで実行すると、ジョブ・システムが過負荷になるのみではありません。


    図は、ジョブの作成ページを示しています。

  4. ジョブ・タイプのパラメータを定義します。この場合、「データベース・ ユーザー」は、パスワードを変更またはローテーションする必要があるユーザーです。ジョブは、ジョブに定義されたデータベース・インスタンスのそれぞれに定義された名前付き資格証明が1つのみ存在するかチェックします。ジョブに指定されたDBターゲットで、このユーザーに名前付き資格証明が定義されていないか、複数の名前付き資格証明が定義されている場合、ジョブはエラーを生成します。このユーザーがDBターゲットのデフォルトのモニタリング・ユーザーである場合にもエラーが発生します。

  5. Enterprise Managerでパスワードを自動生成しない場合は、次のように「新規パスワード」を指定します。
    図は、パラメータ・ページを示しています。

    「新規パスワードの自動生成」には「いいえ」を設定する必要があります。新しいパスワードを入力します。新規パスワードと確認が一致しない場合は、インライン・エラー・メッセージが表示され、ジョブを発行できません。

    「パラメータ」タブでパラメータが指定されていない場合は、新しいパスワードが生成されます。自動生成されたパスワードは、Enterprise Managerでのみ認識および管理されます。

    「新規パスワードの自動生成」には、明示的なオプションが2つあります。当初、新しいパスワードの自動生成では、新しいパスワードを生成するための基礎として現在のパスワードの形式のみが使用されていました。Enterprise Manager 13cリリース5更新12 (13.5.0.12)以降、参照パスワードに基づいて新しいパスワードを自動生成するオプションが追加されました。つまり、提供されたフィールドにサンプル・パスワードを入力でき、Enterprise Managerで、新しいパスワードを自動生成するための基礎としてサンプルの形式が使用されることを意味します。

    ノート:

    「新規パスワードの自動生成: はい(参照パスワードに基づく)」を選択する場合は、Enterprise Managerが新規準拠パスワードを自動生成するために、サンプル/参照パスワードが現在の企業のパスワード・ポリシーに準拠していることを確認する必要があります。このオプションは、パスワード・ポリシーが変更され(パスワードの最小長が増加するなど)、現在のパスワードが準拠しなくなり、変更する必要がある場合に役立ちます。

    図は、DBユーザー参照パスワードを示しています。

  6. このジョブのスケジュールを定義します。通常は、データベースに定義されているパスワード・プロファイルに従って、モニタリング・ユーザーのパスワードの変更が必要になるまでの間隔です。


    図は、dbsnmp以外のユーザーのジョブ・スケジュール・ページを示しています。

    「発行」をクリックします。

資格証明のベスト・プラクティス

  • EMCLIを使用して特権名前付き資格証明での定期的なパスワード変更を自動化する。これにより1人の管理者が許可ユーザーのパスワードの認識および更新ができるようになる。

  • 優先資格証明を設定する際に名前付き資格証明を使用して、資格証明管理を簡素化する。

  • SYSMANなどのグループまたは共通アカウントに優先資格証明を設定しないでください。