SharePlex の暗号化には、ネットワーク上の複製データを暗号化する機能があります。SharePlex は、業界標準の Advanced Encryption Standard(AES)暗号化を採用しています。
Export プロセスは暗号化が実行されるかどうかと、キーのサイズを制御します。また、これらの要因について、Import プロセスと情報をやり取りします。
暗号化を設定するには
ソースシステム側
ソースおよびターゲットシステム側
ソースシステム側
ソースシステムで、Export パラメータ SP_XPT_ENABLE_AES を 1 に設定します。デフォルトでは、このパラメータは 0(暗号化は無効)に設定されています。
sp_ctrl> set param sp_xpt_enable_aes 1
暗号化の設定が終了したら、Export を再開して、この設定をアクティベートします。
デフォルトでは、AES キーサイズは 128 ビットです。キーサイズを 192 または 256 ビットに増やすには、ソースシステムで Export パラメータ SP_XPT_AES_KEY_LENGTH を必要な長さに設定します。このパラメータは、Export の次回の開始時に有効になります。
sp_ctrl> set param sp_xpt_aes_key_length {128 | 192 | 256}
ソースシステムの sp_ctrl で、次のコマンドを発行します。
sp_ctrl> create encryption key
このコマンドは、次の例のように、ランダムに生成された AES キーを返します。E5F5D4CBA329D2C86B5D7ABA096C18600595490129F55A1422AAB0248B28D0E4
注: このコマンドは、キーを生成するだけです。ユーザーがすべてのシステムでキーを設定する必要があります。「ソースおよびターゲットでのキーの設定」を参照してください。
暗号化キーはソースシステムに加えて、すべてのターゲットシステムで設定する必要があります。
キーを設定するには
ソースおよびターゲットシステムの sp_ctrl で、次のコマンドを発行します。
sp_ctrl> set encryption key key
| コンポーネント | 説明 |
|---|---|
| key |
create encryption key コマンドによって生成された暗号化キー。このキーは、create encryption key によって生成されたすべての値に設定する必要があります。64 バイト長であることが必要です。 追加のオプションを指定しなければ、このコマンドはすべてのルートに影響を及ぼします。 例: sp_ctrl> set encryption key E5F5D4CBA329D2C86B5D7ABA096C18600595490129F55A1422AAB0248B28D0E4 |
次の例では、暗号化キーを作成して設定しています。
ソースシステム側:
sp_ctrl> create encryption key
ターゲット 1 側
sp_ctrl> set encryption key E5F5D4CBA329D2C86B5D7ABA096C18600595490129F55A1422AAB0248B28D0E4
ターゲット 2 側
sp_ctrl>set encryption key E5F5D4CBA329D2C86B5D7ABA096C18600595490129F55A1422AAB0248B28D0E4
暗号化キーを表示するには
show encryption key コマンドを使用して、SharePlex で使用されているキーを表示します。
sp_ctrl> show encryption key
暗号化キーをリセットするには
reset encryption key コマンドを使用して、暗号化キーを削除します。
sp_ctrl> reset encryption key
SharePlex セキュリティグループを使用すると、SharePlex コマンドおよび制御システムへのアクセスを制御できます。これらのグループを適切に設定しないと、システムに対するアクセス許可を持つユーザーなら誰でもデータ複製を表示、設定、制御するコマンドを使用できます。
SharePlex の複製を監視、制御、変更するには、コマンドを発行するシステムのいずれかの SharePlex セキュリティグループに割り当てられる必要があります。各グループは認証レベルに対応します。認証レベルは、どの SharePlex コマンドをユーザーが発行できるかを決定します。コマンドを実行するには、ユーザーはそのコマンド認証レベル以上の権限を持つ必要があります。
authlevel コマンドは、システムで SharePlex コマンドを発行する権限レベルを決定するために使用します。
各 SharePlex ユーザーに付与するグループおよび認証レベルを判断するには、以下の表を参照してください。
| 認証レベル | ユーザータイプ | ユーザーグループ | ユーザーロール |
|---|---|---|---|
| 1 | 管理者 | spadmin* |
ソースシステムとターゲットシステムのそれぞれに少なくとも 1 人の管理者権限のあるユーザーが必要です。 すべての SharePlex コマンドを発行できます。SharePlex Administrator だけが発行できるコマンドは次のとおりです。
SharePlex 管理者ユーザーは、Oracle dba グループに属している必要があります。Oracle RAC および ASM 11gR2 以降の場合、ユーザーは Oracle Inventory グループにも属している必要があります。例:$ useradd –g spadmin –G dba,oinstall Oracle Inventory グループのメンバーシップは、etc/group ファイルに明示的にリストされている必要があります。 Unix および Linux では、SharePlex を root ユーザーとしてインストールしない限り、インストール前に SharePlex 管理者ユーザーと SharePlex admin グループが存在する必要があります。 |
| 2 | オペレータ | spopr | 上記以外のすべての SharePlex コマンドを発行できます。 |
| 3 | 閲覧者 | spview | 複製を監視するために、リスト、ステータス画面、ログを表示することだけができます。 |
注: SharePlex 管理者グループのデフォルト名は spadmin ですが、インストール時に任意のグループを指定したりグループに任意の名前を指定したりすることができます。
Unix および Linux で SharePlex グループをいつどこに作成するのかは、SharePlex をインストールするユーザーが root なのか非 root なのかによって異なります。
* インストール中に SharePlex 管理者ユーザーが spadmin グループに追加されるため、グループが存在している必要があります。クラスタでは、このユーザーはプライマリノードにのみ追加されます。SharePlex 管理者ユーザーを他のノードに追加する必要があります。
グループを /etc/group に作成するには
# groupadd spadmin
# groupadd spopr
# groupadd spview
ユーザーをグループに割り当てるには
Unix または Linux のユーザー名を適切なグループに 追加します。グループにユーザー名のリストを割り当てるには、コンマ区切りのリストを使用します(次の例を参照)。
spadmin:*:102:spadmin,root,jim,jane,joyce,jerry
パスワードフィールドがヌルの場合は、グループにはパスワードは関連付けられません。この例でアスタリスク(*)はパスワードを表し、「102」は数値グループ ID を表し、spadmin はグループです。グループ ID は一意である必要があります。
ファイルを保存します。
ユーザーは、sp_ctrl で authlevel コマンドを発行することによって、権限レベルを確認できます。
© 2021 Quest Software Inc. ALL RIGHTS RESERVED. Feedback Terms of Use Privacy
