1. セキュリティ・ガイド
  2. Enterprise Managerの保護
  3. セキュアなインフラストラクチャおよびインストールのガイドライン

セキュアなインフラストラクチャおよびインストールのガイドライン

Oracle Enterprise Managerのデプロイメントを保護するには、OMSおよびリポジトリが配置されている基礎となるオペレーティング・システムから、Enterprise Managerコンポーネント自体に至るまでのスタックのすべてのレイヤーを保護することが必要になります。ここで取り上げる推奨事項は、特定のDoS攻撃を防ぐだけでなく全体のセキュリティも強化します。

インフラストラクチャおよびオペレーティング・システムの保護

Linuxプラットフォーム上のrsh、rlogin、telnetおよびrexecなどの非保護サービスをすべて削除することによって、マシン自体を強化します(非保護サービスのリストおよび異なるプラットフォーム上でそれらを削除する方法については、CISベンチマークを参照してください)。また、必須ではないサービスを停止してホストの「アタック・フットプリント」を最小限に抑え、不要なサービスのリソース消費を削減してシステム・リソースを解放し、OMSから最良のパフォーマンスを引き出すことをお薦めします。

sudoやPowerBrokerなどのユーティリティを使用して、すべての「Oracleホーム」への間接または偽装ベースのアクセスのみをサポートすることによって、OSのアクセスを制限します。WebLogic Serverホーム・ディレクトリ、特に構成ファイル、セキュリティ・ファイル、ログ・ファイルおよび他のWebLogicドメイン用Java EEリソースを含むドメイン・ディレクトリを保護します。WebLogic Serverを実行する1人のみのOSユーザーにこのディレクトリへのアクセス権限を付与します。

すべてのOracleホームが最新のCPU (Critical Patch Update)を使用してパッチ適用されていることを確認します。これは、Oracle Management Service、リポジトリ、エージェントおよび管理対象ターゲットを保護するための推奨のベスト・プラクティスです。My Oracle Supportの資格証明を、「パッチ・アドバイザ」から新規のセキュリティ・アラートおよびCPUを検出するように設定します。デフォルトの「Oracle製品用のセキュリティ推奨」コンプライアンス標準では、ターゲットに最新のセキュリティ・パッチがない場合、コンプライアンス標準違反がトリガーされます。さらに、「ホストのセキュアな構成」がOMSおよびリポジトリのホストに関連付けられている必要があります。セキュリティ・レベルに応じて適用できる、データベースおよびWLS用の追加のコンプライアンス標準もあります。使用可能なコンプライアンス標準およびターゲットの関連付け方法の詳細は、『Oracle Enterprise Manager管理者ガイド』を参照してください。

OMSは、Oracle WebLogic Server上で実行します。Oracle WebLogic Serverを保護するためのベスト・プラクティスの多くは、OMSの保護にも適用できます。詳細は、『Oracle Fusion Middleware Oracle WebLogic Server本番環境の保護』のOracle WebLogic Serverの保護に関する説明を参照してください。

OMS、リポジトリおよびエージェントがファイル・システムの領域についてモニターされていることを確認します。OMSはログおよびトレース・ファイルに多くの情報を書き込むため、正常な操作およびトラブルシューティングには、適切な領域が必要となります。エージェントも、ログ・ファイル、トレース・ファイルおよびターゲット・メトリックの収集用にファイル・システム領域を必要とします。

インフラストラクチャおよびオペレーティング・システムを保護するためのベスト・プラクティス

  • セキュアではないサービスを削除し、すべてのインフラストラクチャ・コンポーネントの必須ではないサービスを停止する

  • OSのアクセスを制限し、重要なファイルおよびディレクトリを保護する

  • 最新のOSセキュリティ・パッチを適用する

  • セキュリティ・コンプライアンス標準に従い、最新のOracle CPUパッチをすべてのコンポーネントに適用する(OMS、リポジトリおよびエージェント)

  • OMS、リポジトリおよびエージェントについて、ファイル・システムの領域をモニターする

Oracle Management Repositoryの保護

前述の推奨事項に加えて、Oracle Management Repositoryを保護するステップが必要です。Oracle Management RepositoryはOracle Database内にあるため、Oracle Database自体を保護する多くのベスト・プラクティスをリポジトリの保護にも適用できます。Oracle Databaseセキュリティのベスト・プラクティスについては、Oracle Databaseセキュリティ・チェックリストを参照してください。

前述のドキュメントには、データベースを保護するために実行する必要のある特定のオペレーティング・システム・レベルのステップについても記載されています。Enterprise Managerのデプロイメントにおいて実装される追加の推奨事項を次に説明します。

高度なセキュリティ・オプションの有効化

OMSとリポジトリとの間の高度なセキュリティ・オプション(ASO)を有効にして、OMSとリポジトリとの間のデータが機密保護および整合性の両方の観点から見て確実にセキュアであるようにします。リポジトリ・データベースで必要なASO構成に加えて、OMSとエージェントをセキュアなリポジトリ・データベースに接続するように構成する必要もあります。Enterprise Managerに対するASOの実装手順の詳細は、『Oracle Enterprise Manager管理者ガイド』の「Enterprise Managerのセキュリティ」の項を参照してください。

ASOの詳細は、『Oracle Database Advanced Securityガイド』を参照してください。

ネットワーク・アクセスの制限

リポジトリ・データベースをファイアウォール内に置き、ネットワークIPアドレスを確認することによって、リポジトリが配置されているホストへのネットワーク・アクセスを制限します。リスナーは、TNS_ADMIN/protocol.oraファイルに次のパラメータを追加して、OMSノードからのみのリクエストを受けるように構成する必要があります。

  • tcp.validnode_checking =YES

  • tcp.excluded_nodes = (IPアドレスのリスト)

  • tcp.invited_nodes = (IPアドレスのリスト)(すべてのOMSノードをここにリストする)

最初のパラメータでこの機能を有効にし、次のパラメータはそれぞれOracleリスナーへの接続を拒否および許可する特定のクライアントのIPアドレスを指定します。詳細は、『Oracle Databaseセキュリティ・ガイド』のネットワーク接続の保護に関する項を参照してください。

SYSアクションの監査

AUDIT_SYS_OPERATIONS = TRUEに設定して、すべてのSYS (スキーマ)操作をデータベース・レベルで監査します。

オペレーティング・システムsyslog監査証跡を使用して、リポジトリのデータベースのバージョンが10gR2以降の場合に、データベース管理者のような権限を持つユーザーが、オペレーティング・システム証跡に格納された監査レコードを変更または削除できるリスクを最小限に抑えます。

  • 10gR2 DBの場合、syslog監査証跡の詳細は、監査のドキュメントを参照してください。

  • 11g DBでは、AUDIT_SYS_LEVEL初期化パラメータをsyslog監査証跡を使用するように適切に設定します。詳細は、11gのドキュメントを参照してください。

ユーザー・アカウントの保護

ユーザーは、自分の個別のアカウントを使用してコンソールにログインする必要があり、SYSMANユーザーは使用しません。SYSMANはスキーマの所有者で、Enterprise Managerスーパー管理者よりも権限が高くなっています。SYSMANアクセスの必要性を減らすため、複数のユーザーにスーパー管理者を付与する必要があります。複数のスーパー管理者アカウントを作成する大きな理由は、あるユーザーが辞書攻撃または総当たり攻撃によりロックされた場合に、別のユーザーがアカウント・アクセスを維持できるようにするためです。スーパー管理者権限は、スーパー管理者であることにより得られるすべての権限が本当に必要なユーザーにのみ制限する必要があります。

状況によっては、リポジトリ・データベースでSYSMANユーザーとして次のSQL文を実行して、SYSMANがコンソールにログインしないようにした方がよい場合があります。

UPDATE MGMT_CREATED_USERS 
SET SYSTEM_USER='-1' 
WHERE user_name='SYSMAN'

SYSMANのコンソールへのログインを無効にした後、次のようにすると有効にできます。

UPDATE MGMT_CREATED_USERS 
SET SYSTEM_USER='1' 
WHERE user_name='SYSMAN'

リポジトリベースの認証を使用しながらEnterprise Manager管理者のパスワード制御を強化するには、パスワード・プロファイルを使用します。すぐに使用できるEnterprise Manager管理者用のパスワード・プロファイル、MGMT_ADMIN_USER_PROFILEがあり、これは次のパラメータ設定になっています。

  • FAILED_LOGIN_ATTEMPTS=10

  • PASSWORD_LIFE_TIME=180

  • PASSWORD_REUSE_TIME=UNLIMITED

  • PASSWORD_REUSE_MAX=UNLIMITED

  • PASSWORD_LOCK_TIME=1

  • PASSWORD_GRACE_TIME=7

  • PASSWORD_VERIFY_FUNCTION=MGMT_PASS_VERIFY

すぐに使用できるパスワード検証関数MGMT_PASS_VERIFYでは、パスワードがユーザー名と同じではなく、長さが8文字以上で、1つ以上の英数字および句読点を含んでいることを確認します。特別な要件を満たす様々な値、たとえば、厳しい複雑さのパスワード要件を満たす新しいパスワード検証関数を使用して、カスタマイズしたパスワード・プロファイルを作成できます。

SYSMANおよびMGMT_VIEWユーザーのパスワードは、『Oracle Enterprise Manager管理者ガイド』の「セキュリティ」の項に記載された方法のみを使用して定期的に変更します。ドキュメントに記載された(update_db_password())コマンドを使用すると、OMSおよびリポジトリ・データベースでのSYSMAN関連のパスワードの変更に役立ちます。このコマンドを正しく実行しないと、複数あるアカウントのうちの1つに対する一貫したパスワードが得られないため、OMSは起動に失敗する場合があります。新旧のSYSMANパスワードを入力するよう求められます。

MGMT_VIEWパスワードを変更する際、-auto_generateを選択してだれにもわからないランダム・パスワードを生成できます。MGMT_VIEWパスワードはレポート・システムによってのみ使用され、ログインには使用できないため、auto_generateフラグでこのパスワードが知られないようにできます。

内部ユーザーのロックアウトによるサービスの中断を防ぐため、SYSMANおよびMGMT_VIEWユーザーはインストール時にMGMT_INTERNAL_USER_PROFILEと関連付けられます。パスワード・パラメータはすべて、UNLIMITEDに設定されます。さらに、リソースの消費制限によりセッションがハングしたり時間がかからないように、MGMT_INTERNAL_USER_PROFILEのカーネル・パラメータがデフォルトで無制限に設定されます。

暗号化キーの保護とバックアップ

暗号化キーは、リポジトリに格納されているパスワードや優先資格証明などの機密データの暗号化または復号化に使用されるマスター・キーです。このキー自体は最初にリポジトリに保存され、インストールが完了すると自動的に削除されます。これはアップグレードの間のみ、リポジトリに置かれている必要があります。キーをEnterprise Managerスキーマとは別に保管することで、スキーマの所有者およびSYSDBAユーザー(データベースのメンテナンス・タスクを行える特権ユーザー)が、優先資格証明などの機密データにアクセスできないようにします。キーをEnterprise Managerスキーマとは別にすることで、リポジトリ・バックアップはアクセスされても、機密データはアクセスされないようにします。さらに、Enterprise Managerスキーマの所有者(SYSMAN)は、emkeyの読取りや上書きをしないように、OMSのOracleホームへアクセスできないようにします。Enterprise Managerの暗号化サポートおよびemkeyの詳細は、『Oracle Enterprise Manager管理者ガイド』を参照してください。暗号化キーを保護するには次に説明するプロセスを実行します。

次のコマンドを実行してファイルに暗号化キーをバックアップし、この暗号化ファイルを別のマシンに安全に保持し、アクセスをOMSソフトウェアの所有者のみに制限します。暗号化キーが消失または破損した場合、リポジトリ内の暗号化データは使用できなくなります。

$ emctl config emkey –copy_to_file_from_credstore –emkey_file emkey.ora

Enterprise Managerパッチおよびアップグレードなどの一部の操作では、暗号化キーがリポジトリに必要です。

操作が終了したら、リポジトリからキーを削除します。

$ emctl config emkey –remove_from_repos

Oracle Management Repositoryを保護するためのベスト・プラクティス

  • リポジトリ・データベースで高度なセキュリティ・オプションを有効にし、OMSおよびエージェントを構成する

  • 既知のターゲットへのネットワーク・アクセスを制限する

  • 管理者の選択にはスーパー管理者権限を付与し、SYSMANアカウントでログインしない

  • 強力なパスワード・プロファイルを有効にし、アプリケーション関連アカウントのパスワードを定期的に変更する

  • 暗号化キーを保護およびバックアップする

Oracle Management Agentの保護

エージェントのインストール時に高いセキュリティを確保するには、セキュアなSSHプロトコルを使用するEnterprise Managerの「エージェント・デプロイ」を使用してエージェントをデプロイする必要があります。ユーザーが認可されていないエージェントをインストールする可能性がなくなるよう、手動でエージェントをデプロイする場合、永続的な登録パスワードのかわりに、適切な有効期限のあるワンタイム登録パスワードを使用してください。登録パスワードは、コンソールで作成するか、emctl secure setpwdコマンドを使用して作成できます。

認可されていない変更を防ぐには、エージェントをOMSのインストールとは別のユーザーとしてインストールし、インストール後、sudoまたはPowerBrokerなどのこのアカウントへの偽装ベースのアクセスのみをサポートします。

セキュアな通信

OMSとエージェントとの間の通信をセキュアにするには、ファイアウォール、OMSセキュアロック機能、TLSv1の有効化、強力な暗号スイートおよび証明書の有効化など、方法がいくつかあります。次の項では、これらについて詳細に説明します。

Oracle Management Agentを保護するためのベスト・プラクティス

  • エージェントのインストールには、Enterprise Managerの「エージェント・デプロイ」方法を使用する。

  • 有効期限のあるワンタイム登録パスワードを使用する

  • OMSまたはターゲットとは別のユーザーとしてエージェントをインストールする

    ノート:

    リモート・サーバー上のエージェントは、そのサーバーにターゲットの個別のOSユーザーとしてインストールする必要がありますが、これは連鎖しているエージェントには適用されません。連鎖しているエージェントはOMSとともにインストールされるため、個別のユーザーとしてインストールすることはできません。

ICMPの有効化

エージェントが適切なタイミングまたは予期した間隔でアップロードまたは応答しなかった場合、Enterprise Managerは業界標準のInternet Control Message Protocol (ICMP)エコー・リクエストを使用して、ターゲット・ホスト・マシンの状態を確認します。ICMPが無効化されている場合、ターゲットは停止しているように見えます。不適切な停止ターゲット・アラートを防ぐには、ICMPを許可するようにファイアウォールを構成する必要があります。

ビーコンは、管理エージェントがサービスをリモートでモニターできるようにするターゲットです。ビーコンは、常に1つ以上のサービスをモニターできます。ICMPおよびユーザー・データグラム・プロトコル(UDP)をビーコン・ターゲット間でのデータ転送に使用して、モニタリングしているサービスおよびネットワーク・コンポーネントをエージェントがモニタリングするようにもできます。Webアプリケーション・コンポーネントとそれらのコンポーネントのモニターに使用しているビーコンとの間に、ファイアウォールまたはACLがある場合、ICMP、UDPおよびHTTP通信を許可するように構成する必要があります。

Oracle Management Agentのファイアウォール用の構成

エージェントが配置されているホストがファイアウォールで保護されている場合、エージェントをプロキシを使用するように構成するか、ファイアウォールをOMSからの通信を受信するように構成する必要があります。ファイアウォールを構成するには、エージェントに割り当てられるポートを決定し、通信がHTTPであるかHTPSであるかを決定する必要があります。この情報は、emctl status agentを実行することで得られます。

プロキシを構成するには、Enterprise Managerコンソールを使用して「エージェント」のプロパティを編集するかemctl setproperty agentを実行して次のプロパティを設定し、エージェントを再起動します。すべての環境において、プロキシのレルム、ユーザーおよびパスワードは不要です。

$ emctl setproperty agent -name REPOSITORY_PROXYHOST -value test01.example.com 
$ emctl setproperty agent -name REPOSITORY_PROXYPORT -value 80 
$ emctl setproperty agent -name REPOSITORY_PROXYREALM –value <value if needed> 
$ emctl setproperty agent -name REPOSITORY_PROXYUSER –value <value if needed> 
$ emctl setproperty agent -name REPOSITORY_PROXYPWD –value <value if needed>

Oracle Management Serviceのファイアウォール用の構成

Oracle Management Serviceがファイアウォール内にある場合、エージェントへのプロキシ通信やファイアウォールを介した通信の受信を可能にする構成が必要になります。

ファイアウォール内のエージェントが異なるドメインにある場合、プロキシをこれらのエージェントへの通信を許可し、dontProxyForパラメータを使用してファイアウォール内のエージェントを識別するように構成できます。管理サービスでプロキシを構成するには、emctl set propertyを使用して次のプロパティを設定します。すべての環境において、プロキシのレルム、ユーザーおよびパスワードは不要です。

$ emctl set property -name REPOSITORY_PROXYHOST -value test01.example.com 
$ emctl set property -name proxyPort -value 80 
$ emctl set property -name dontProxyFor –value ".example.com"

メトリック・アップロードのためにエージェントからの通信の受信を許可するようにファイアウォールを構成するには、アップロード・ポートでHTTPまたはHTTPS通信を受け付けるようにファイアウォールを構成する必要があります。デフォルトのポートは、4889 (HTTP)および1159 (HTTPS)です。ポートがカスタマイズされている場合には、それらのポートを使用してください。

ブラウザとEnterprise Managerコンソールとの間にファイアウォールがある場合には、コンソールがポート7788または7799(デフォルト)を経由してHTTPまたはHTTPS通信を受信できるように、ファイアウォールを構成する必要があります。ポートは、コンソールをアクセスするURLを参照することで検証できます。

https://test01.example.com:7799/em

JVMDやAPDなどの追加コンポーネントのインストールには、さらにポート要件があります。デフォルトのポートは、9702/9703 (http/https)です。詳細は、コンポーネント専用のドキュメントを参照してください。

ファイアウォール内で構成されたデータベース・ターゲットを管理するには、リスナー・ポート(通常1521ですが、カスタマイズされることが多い)でのOracle Net通信を許可する必要があります。Oracle Databaseのファイアウォール用の構成方法の詳細は、『Oracle Database 2日でセキュリティ・ガイド』を参照してください。

セキュリティ・コンソール

セキュリティ・コンソールはスーパー管理者のみが使用可能で、セキュリティ関連のすべての構成情報を1箇所で提供し、これによって管理された環境のセキュリティを表示、分析および最適化できます。セキュリティ・コンソールにアクセスするには、「設定」メニューから、「セキュリティ」を選択し、「セキュリティ・コンソール」を選択します。

「セキュリティ・コンソール」が最初に表示された際には、2つのメイン・ウィンドウ(左側にメニュー・ウィンドウ、右側に情報ウィンドウ)に分割されています。

「セキュリティ・コンソール」には、静的(テキスト)情報と動的情報の両方が含まれています。テキストは、簡単な要約コンテキストをデータに提供するものであり、ドキュメントの代替となるものではありません。

「セキュリティ・コンソール」は、次のセキュリティ領域に分類されます。

概要

「概要」セクションでは、「セキュリティ・コンソール」の各カテゴリの概要を説明します。

プラガブル認証

「プラガブル認証」セクションは、「概要」タブと「構成」タブの2つのタブにさらに分かれています。

プラガブル認証の概要

「概要」セクションには、ドキュメントのテキストが含まれますが、ドキュメントの代替となるものではありません。Enterprise Managerの認証は、Enterprise Managerにアクセスしようとするユーザーの妥当性を確認するプロセスです。認証機能は、Enterprise ManagerコンソールやEnterprise Managerコマンドライン・インタフェース(EM CLI)などの様々なインタフェースで使用可能です。Oracle Enterprise Managerは外部認証方法についてWebLogic Serverに依存しています。そのため、Enterprise Managerは、Oracle WebLogic Serverでサポートされる認証方法を使用して認証できます。

また、このセクションでは、Enterprise Managerでサポートされている認証スキームを識別します(詳細は、セキュリティ機能認証の構成を参照してください)。

プラガブル認証構成

このセクションには、認証に関連するエンタープライズ内の現在の構成情報が表示されます。

認証構成

認証モード: このパラメータは、Enterprise Manager環境に構成されている様々なプラガブル認証スキームに関する情報を提供します。

外部ユーザー・サポート有効: 外部ユーザー認証が有効かどうかを表示します。リポジトリ認証以外の認証を使用している場合は、「はい」を表示します。

サポートされている自動プロビジョニング: 自動プロビジョニングのステータスも表示されます。自動プロビジョニングにより、外部で認証されているユーザーはEnterprise Manager内に事前構成されなくても、Enterprise Managerにログインできるようになり、情報は認証アプリケーションから転送されます。これには、OMSプロパティのoracle.sysman.core.security.auth.autoprovisioningを設定する必要があります。セキュリティ機能および外部ロールを使用した外部認可を参照してください。

パスワード・プロファイル

管理者の作成時(「設定」に移動し、「セキュリティ」を選択して、「管理者」メニューをクリック)には、ユーザーがログイン時に使用するパスワード・プロファイルのタイプを入力します。この表は、様々なパスワード・プロファイルを割り当てられたEnterprise Manager内のユーザーの数を示しています。パスワード・プロファイルの詳細は、ユーザー・アカウントの保護を参照してください。

ファイングレイン・アクセス制御

Enterprise Managerはターゲットおよび他のリソースへのアクセスを制御する詳細な権限を実装し、管理者は職務を有効に分割できます。たとえば、プロビジョニングの設計担当者と運用担当者の職責について検討してみましょう。前者(ソフトウェア・ライブラリのコンポーネントの作成)は後者(デプロイメントの発行)よりも多くの職責を担っています。ファイングレイン・アクセス制御では、権限とロールおよび、それらがEnterprise Manager内の異なるアプリケーション、グループ、サービスおよびターゲットに対する様々なレベルのアクセス制御を提供するためにどのように機能するかについて説明します。システムにの最後にログインした管理者、その管理者に付与された権限とロールの数、およびロールと権限の適切な使用に関するベスト・プラクティスの推奨事項に関する情報は、このセクションで確認できます。

「ファイングレイン・アクセス制御」領域は、5つのタブ(「概要」タブ、「管理者」タブ、「権限」タブ、「ロール」タブおよび「権限の伝播の集計」タブ)に分類されます。

概要

すべてのシステムに対して同じレベルのアクセス権をすべての管理者に付与することは危険ですが、グループのすべての新規メンバーに数十、数百、場合によっては数千ものターゲットに対するアクセス権を個別に付与するのは時間のかかる作業です。Enterprise Managerの管理者の権限およびロール機能を使用すると、このタスクを何時間もかけずに数秒で実行できます。認可により、システム、ターゲットおよびオブジェクト・レベルの権限およびロールを介してEnterprise Managerによって管理されるセキュアなリソースへのアクセスを制御します。

この項では、ユーザー・クラス、およびユーザー・クラスごとに割り当てられるロールと権限などのEnterprise Managerの認可モデルについて説明します。次の項目について説明します。

  • ユーザーのクラス

  • 権限とロール

ユーザーのクラス

Oracle Enterprise Managerでは、管理している環境や、Oracle Enterprise Managerを使用しているコンテキストに応じて、Oracleユーザーの様々なクラスをサポートしています。複数のカテゴリにわたって次の3人の管理者が存在します。

  • スーパー管理者: Enterprise Manager環境のすべてのターゲットおよび管理者アカウントに対して完全なアクセス権限を持つ強力なEnterprise Manager管理者。スーパー管理者(SYSMAN)は、Enterprise Managerがインストールされる際にデフォルトで作成されます。スーパー管理者アカウントは、他のすべての管理者アカウントを管理でき、すべての管理者資格証明を設定できます。スーパー管理者は次のことができます。

    • Enterprise Managerの権限およびロールの作成

    • 電子メール構成の定義や通知のグローバル・ルールの定義など、Enterprise Managerの初期設定の実行

    • Enterprise Managerへのターゲットの追加

    • システムでの全ターゲットに対する全アクションの実行

  • 管理者: 通常のEnterprise Manager管理者。

  • リポジトリ所有者: 管理リポジトリ用のデータベース管理者です。このアカウントは、変更、複製または削除できません。

権限とロール

ユーザー権限は、Enterprise Managerの基本レベルのセキュリティを提供します。権限は、ターゲット権限リソース権限の2つのカテゴリに分けられます。

ロールとは、管理者や他のロールに付与できるEnterprise Managerのリソース権限またはターゲット権限、あるいはその両方の集合です。これらのロールは、地理的位置(カナダのシステムを管理するためのカナダの管理者用ロールなど)、業務系列(人事管理システムや販売システムの管理者用ロールなど)または他のモデルに基づいて作成できます。

  • 即時利用可能なロール

    Enterprise Managerには、様々なリソースおよびターゲット・タイプを管理するための事前定義済ロールが用意されています。

  • 外部ロール

    Enterprise Managerは、外部ロールを定義することでActive Directoryなどの外部認可ソースと統合できます。

  • プライベート・ロール

    • デフォルトでスーパー管理者に付与されない安全な権限(FULL_CREDENTIALやFULL_JOBなど)は、プライベート・ロールに付与できます。

    • プライベート・ロールをシステム・ロールに変換することはできません。プライベート・ロールの作成者は、そのライフ・サイクルを管理します。

    • プライベート・ロールは、Enterprise Manageのコマンドライン・インタフェース(EMCLI)からWITH_ADMINオプションを使用して管理者に付与できるので、管理者は他の管理者に対してプライベート・ロールの付与または取消ができます。

ファイングレイン・アクセス・コントロール管理者

これは、Enterprise Manager内で現在作成されているすべての管理者をリストし、それらが最後にログインした日時もリストします。

ファイングレイン・アクセス・コントロール権限

これは、管理者に直接付与された権限の数が最も多い、上位5位の管理者をリストします。権限の数の多い管理者は、権限が効率的に使用されていないことを示しているので、かわりにロールを使用するようにします。管理者には、自身のタスクの実行に必要な最小数の権限を付与することをお薦めします。権限とロールの詳細は、権限伝播グループを使用した権限の管理を参照してください。

この項には、Enterprise Managerで使用可能なすべてのターゲット権限とリソース権限、権限が単一ターゲット、特定のターゲット、ターゲット・タイプに適用できるかどうか、その権限に別の権限が含まれているかどうかについても表示されます。

ファイングレイン・アクセス制御

このセクションはロール数が最も多い上位5位の管理者を表示し、ロール付与の数が多い場合には、効率的な管理を行うためにロールを統合するよう推奨し、非効率的なロール階層が示されます。

ここには、ネストされたロールが最も多いロールが表示されます。

ファイングレイン・アクセス制御権限の集計への伝播

集計ターゲットは、グループやシステムなどの1つ以上のメンバー・ターゲットで構成されるターゲットです。Enterprise Managerは、権限伝播メカニズムに基づいた2つのタイプの集計ターゲットをサポートします。

  • 標準集計ターゲット - 集計ターゲットに権限を付与すると、表示権限のみがそのメンバーに伝播されます。

  • 権限伝播集計ターゲット - 集計ターゲットに権限を付与すると、同じ権限がそのメンバーに伝播されます。

集計ターゲットのターゲット権限の場合、次の機能がサポートされます。

  • 集計ターゲットへの権限付与とそのメンバー間の区別

  • メンバーに同じ権限を伝播するデフォルトの既存の動作に加えて、ユーザーは集計ターゲットの権限付与とメンバーの権限付与を選択できます。ユーザーは、メンバーに対する権限を持たないことも選択できます。

  • 非権限伝播集計ターゲットでは、表示権限のみがデフォルトでメンバーに付与され、権限伝播集計ターゲットでは、管理者が指定するいかなる権限も適切に付与されます。

  • この機能は、ユーザー・インタフェースのユーザーとロールの管理ページ、およびターゲット・アクセス・ページから使用できます。これらのページで、「ターゲット権限」表の上部にある「拡張権限設定」をクリックして、表内の拡張権限を表示します。

  • EM CLIサポートもこの新機能で使用できます。使用方法の詳細は、関連する既存の動詞のEM CLIヘルプを確認してください。

特定の管理者に対するターゲット権限について、次のスナップショットを考えてみます。

  • 「ターゲット権限付与の管理」列の下にリストされている権限をグループおよびメンバーに適用できます。

  • 「集計専用の権限付与の管理」列の下にリストされている権限をグループのみに適用できます。

  • 「メンバー専用の権限付与の管理」列の下にリストされている権限をメンバーのみに適用できます。

  • 次の例で、PPG_DB_group1がデータベース・ターゲットの権限伝播グループです。PPG_HOST_group2はホスト・ターゲットの権限伝播グループです。NORMAL_group1は非権限伝播グループです。

    名前 タイプ ターゲット権限付与の管理 集計専用の権限付与の管理 メンバー専用の権限付与の管理

    PPG_DB_group1

    グループ

    表示

    ターゲットの構成

    ブラックアウト・ターゲット

    PPG_HOST_group2

    グループ

    なし

    ターゲットの構成

    なし

    NORMAL_group1

    グループ

    なし

    ブラックアウト・ターゲット

    表示

    NORMAL_group1

    ホスト

    ホスト

    該当なし

    該当なし

  • 上の表の最初の行を考えてみます。この構成は、特定のユーザーがグループPPG_group1およびメンバーの表示権限を持っていることを意味します。これとともに、グループPPG_group1にのみターゲットの構成権限があり、メンバーにのみブラックアウト・ターゲット権限があります。つまり、画像の現在のユーザーはグループPPG_group1のメンバーにブラックアウトを作成できますが、グループ自体に実行できず、PPG_group1を構成できますが、メンバーを構成できないことを意味します。ユーザーはグループおよびメンバーを表示できます。

  • 2番目の行を考えてみます。PPG_HOST_group2は権限伝播グループです。この構成は、特定のユーザーに、グループPPG_group2のみに対するターゲットの構成権限があり、メンバーには表示権限もないことを意味します。 

  • 3番目の行では、ユーザーにグループに対するブラックアウト・ターゲット権限およびメンバー対する表示権限がある、非権限伝播グループを確認できます。

  • ホスト・ターゲットなどの非集計ターゲットの場合に2つの新しい拡張権限列値を適用できないことに注意してください。

前述した機能は一般的にすべての集計ターゲットに適用できることに注意してください。前述の例は、集計ターゲット・タイプ(グループ)の1つを示しています。

セキュアな通信

この項では、Enterprise Manager内で使用されるセキュアな通信の条件とプロトコルについての概要を示します。保護されたEnterprise Managerコンポーネントの現在のステータス、それらの証明書問題および詳細について表示できます。

セキュアな通信の概要

Enterprise Manager Framework Securityは、次のようなEnterprise Managerコンポーネント間のセキュアな接続を実装します。

  • 管理サービスと管理エージェントの間の通信用の署名されたデジタル証明書も含む、HTTPSおよび公開キー・インフラストラクチャ(PKI)コンポーネント。

  • 管理サービスと管理リポジトリの間の通信のためのOracle Advanced Security。

Oracle Management Serviceのセキュリティの有効化

管理サービスに対してEnterprise Manager Framework Securityを有効にするには、emctl secure omsユーティリティを使用して、次のアクションを実行します。

  • 管理リポジトリ内にルート・キーを生成します。ルート・キーは、管理エージェントに対する一意のデジタル証明書を含むOracle Walletの配布時に使用されます。

  • Web層を変更し、管理サービスと管理エージェント間のHTTPSチャネルを有効化します。

  • Enterprise Manager Framework Securityを使用した管理エージェントからのリクエストを管理サービスが受諾できるようにします。

Oracle Management Agentの保護

ホストに管理エージェントをインストールする際は、管理エージェントによって使用される管理サービスを指定する必要があります。管理エージェントに対してEnterprise Manager Framework Securityを有効にするには、emctl secure agentユーティリティを使用します。

管理サービスへのHTTPアクセスの制限

管理サービスHTTPSチャネルを使用するセキュアな管理エージェント・インストールのみがデータを管理リポジトリにアップロードでき、Enterprise ManagerコンソールがHTTPSを介してのみアクセス可能であることが重要です。

エージェント登録パスワードの管理

Enterprise Managerでは、Oracle Management AgentのインストールがデータをOracle Management Serviceにロードする権限を持つことを検証するために、エージェント登録パスワードを使用します。

エージェント登録パスワードは、Oracle Management Serviceに対してセキュリティが有効な場合、インストール時に作成されます。Enterprise Managerコンソールから登録パスワードを直接追加、編集、削除できます。

管理リポジトリ・データベースのセキュリティの有効化

管理リポジトリのセキュリティはOracle Advanced Securityを使用して有効にします。

セキュアな通信の現在の構成

エージェントの証明書詳細: セキュアなエージェントをその証明書の詳細(アルゴリズム、強度、作成時期、有効期限、エージェントが保護された時期など)とともに表示します。

保護されていないエージェント数: エンタープライズ内で、現在セキュアでない操作を行っているエージェントの数を示します。

期限が切れている登録パスワード数: 証明書の有効期限が切れたために実行を停止したエージェントの数を示します。

認証局の詳細: Enterprise Managerのインストール内で使用されている証明書をリストします。

OMSのセキュアな構成: Enterprise Manager構成およびManagement Servicesとの通信の詳細を表示し、コンソールおよびアップロード証明書詳細を含むそれぞれのセキュアな構成詳細をSLB詳細とともに示します。

データベースの暗号化構成

OMSと管理リポジトリ/ターゲット・データベースの間の暗号化の構成詳細は、次のようになります。クライアントがサポートしている暗号化アルゴリズムとチェックサム・アルゴリズムのリストを次に示します。詳細は、前述の「管理リポジトリ・データベースのセキュリティの有効化」の項を参照してください。

  • サポートされている暗号化アルゴリズム: サポートされているすべての暗号化アルゴリズムの詳細をリストします。

  • 使用中の暗号化アルゴリズム: 現在使用されているアルゴリズムをリストします。

  • サポートされているチェックサム・アルゴリズム: 現在サポートされているチェックサム・アルゴリズムをリストします(SHA(x)のみがサポートされています)。

  • 使用中のチェックサム・アルゴリズム: 現在使用されているアルゴリズムをリストします。

資格証明管理

ユーザー名やパスワードなどの資格証明は、通常、データベース、アプリケーション・サーバーおよびホストなどのターゲットにアクセスする際に必要です。資格証明は暗号化され、Enterprise Managerに保存されます。基本のユーザー名/パスワード以外に、PKI、SSHキー、Kerberosなどの強力な認証スキームが資格証明サブシステムでサポートされます。ジョブ、デプロイメント・プロシージャおよび他のEnterprise Mangerサブシステムで使用されるSSHキー・ベースのホスト認証は現在サポートされます。

適切な資格証明を使用することにより、次が可能になります。

  • バックグラウンドおよびリアルタイムでのメトリックの収集

  • バックアップ、パッチ適用、クローニングなどのジョブの実行

  • 起動および停止などのリアルタイムのターゲット管理の実行

  • My Oracle Supportへの接続

資格証明はその使用方法に基づいて、次のカテゴリに分類できます。

  • 名前付き資格証明

  • モニタリング資格証明

  • 優先資格証明

資格証明管理の現在の構成

暗号化キー: 暗号化キーは、リポジトリに格納されているパスワードや優先資格証明などの機密データの暗号化/復号化に使用されるマスター・キーです。キーは最初にリポジトリに格納され、最初のOMSのインストール時にリポジトリから削除され、Fusion Middlewareで管理される資格証明ストアにコピーされます。

資格証明管理の使用状況統計

「使用状況統計」タブでは、資格証明の使用状況の情報を表示します。

包括的な監査

包括的な監査では、現在の監査可能な操作およびそれらがディスクへの外部バックアップ用に構成されているかどうかを表示します。最も使用されている操作および最もアクティブな管理者の上位5位の統計も表示されます。

ユーザーの作成、権限の付与、パッチ適用またはクローニングのようなリモート・ジョブの開始などのEnterprise Manager管理者が実行するすべての操作を監査して、サービス組織の請け負った内部統制の準拠を確認する必要があります。

非拒否は監査の原則です。Enterprise Managerの包括的な監査は、すべての重要な操作の改ざんされていない監査証跡を提供します。

「使用状況」タブでは次のことを表示できます。

  • 現在の監査構成

  • 特定の監査操作

  • 監査の使用状況統計(過去7日間の上位5位の操作および過去7日間の上位5位の管理者)

アクティブ・ユーザー・セッション数

アクティブ・ユーザー・セッション数では、セッション・タイムアウト、1ユーザー・アカウント当たりの最大セッション数、1ユーザー・アカウント当たりのアクティブ・セッション数などのセッション管理に関連する情報を表示します。

すべての認証されたオープンなユーザー・セッションがこの領域に表示されます。

「アクティブ・ユーザー・セッション数」領域から、次の情報を表示できます。

  • セッション設定(セッション・タイムアウト、ユーザーごとに許可されるセッションの最大数、許可された数のアクティブ・セッション)

  • アクティブ・セッション

ベスト・プラクティス分析

前述のカテゴリでの情報の監視に基づいて、ベスト・プラクティス・アドバイスがこのセクションに示され、リポジトリ暗号化キーの管理、監査操作管理などの領域について説明します。推奨されたOracleセキュリティ・プロトコルのEnterprise Managerセキュリティ構成の準拠を迅速に表示できます。また、推奨されるベスト・プラクティスは、Enterprise Manager環境の固有な条件に基づいて提供されます。

「ベスト・プラクティス分析」領域から、次のことを表示できます。

  • プラガブル認証: 環境のプラガブル認証スキームに応じて調整されたベスト・プラクティス・アドバイス。

  • ファイングレイン・アクセス制御: ロールおよび権限管理に関するベスト・プラクティス・アドバイス。

  • セキュアな通信: 管理サービス、エージェントおよびEnterprise Managerコンソール間のセキュアな通信に関するベスト・プラクティス。