Oracleデータベース プロファイル設定ガイド

Oracle Master Silver

1. プロファイルの役割と戦略的な活用方法

プロファイルは、ユーザーが利用できるリソースやセキュリティ設定を一元管理する手段です。例えば、開発環境・本番環境・テスト環境のように、目的別に最適なプロファイルを設計することで、データベース全体の効率を向上させる戦略的活用が可能です。

  • ユーザー管理の効率化:プロファイルによって、役割に応じた制限を一元的に設定でき、ユーザー管理が容易になります。例えば、社内ユーザー、外部ベンダー、管理者など、それぞれのプロファイルを設定することでリスクを低減し、メンテナンス負荷を削減できます。
  • リソース管理の自動化:プロファイルはリソースを自動的に割り当て、必要に応じて制限を設けることで、無駄なリソース消費やシステムダウンを防ぎます。

2. プロファイル作成構文と設定項目の詳細解説

以下はプロファイル作成の基本構文です。各設定項目の詳細とその運用面での意味を補足します。

CREATE PROFILE <プロファイル名>
LIMIT
  SESSIONS_PER_USER           <値>         -- 一度に許可するセッション数
  CPU_PER_SESSION             <値>         -- セッションあたりのCPU制限
  CONNECT_TIME                <値>         -- 接続時間制限
  IDLE_TIME                   <値>         -- アイドル状態制限
  PASSWORD_LIFE_TIME          <値>         -- パスワード有効期限
  PASSWORD_VERIFY_FUNCTION    <関数名>     -- パスワード検証関数
  FAILED_LOGIN_ATTEMPTS       <値>         -- ログイン失敗回数制限
  PASSWORD_LOCK_TIME          <値>;        -- ロック解除までの時間

項目別の実践的なポイント

  • SESSIONS_PER_USER: 同時セッション数の上限。多重セッションが必要な場合は高めに設定し、業務アプリの安定性確保。
  • CPU_PER_SESSION: CPU制限を設けることで、特定ユーザーが過剰にCPUを消費するリスクを防ぎ、リソース競合を避ける。
  • PASSWORD_LIFE_TIME: 企業のセキュリティポリシーに合わせ、パスワードの有効期間を定期的に設定し、パスワードリフレッシュを促進。

3. 環境別プロファイル設定例とベストプラクティス

本番環境向けプロファイル

本番環境では、リソースの無駄使いや不正アクセスのリスクを最小化するために厳格な制限が必要です。

CREATE PROFILE production_profile
LIMIT
  SESSIONS_PER_USER        3
  CPU_PER_SESSION          5000
  CONNECT_TIME             120
  IDLE_TIME                30
  FAILED_LOGIN_ATTEMPTS    3
  PASSWORD_LIFE_TIME       30;

開発環境向けプロファイル

開発環境では、柔軟性が必要なため制限を緩和。特定のリソース制限を無制限とすることで、開発効率を優先させます。

CREATE PROFILE dev_profile
LIMIT
  SESSIONS_PER_USER        10
  CPU_PER_SESSION          UNLIMITED
  CONNECT_TIME             UNLIMITED
  IDLE_TIME                UNLIMITED
  PASSWORD_LIFE_TIME       90;

4. プロファイル管理とパフォーマンスモニタリング

プロファイルの設定が適用されると、ユーザーがリソース制限を超えた場合にエラーが発生することがあります。こうした問題を解決するため、監査とモニタリングを通じて継続的にプロファイルの効果を検証する必要があります。

  • SQLスクリプトによるプロファイル監視:
    • すべてのユーザーが使用しているプロファイルを一覧で確認し、どのユーザーがどのプロファイルに割り当てられているかを追跡します。

    SELECT username, profile FROM dba_users;
    • プロファイル設定の詳細を確認するためのSQL。

    SELECT profile, resource_name, limit FROM dba_profiles WHERE profile = 'production_profile';

5. セキュリティ対策としてのパスワードポリシー強化

Oracleでは、デフォルトでPASSWORD_VERIFY_FUNCTIONというパスワード検証関数が用意されていますが、セキュリティ要件が高い場合は、独自の関数を作成して適用できます。これにより、特定のパスワードパターンや強度要件を確保できます。

独自のパスワード検証関数の作成例

CREATE OR REPLACE FUNCTION custom_password_verify
  (username VARCHAR2, password VARCHAR2, old_password VARCHAR2)
RETURN BOOLEAN AS
BEGIN
  IF LENGTH(password) < 8 THEN
    raise_application_error(-20001, 'パスワードは8文字以上必要です');
  END IF;
  RETURN TRUE;
END;
/
ALTER PROFILE production_profile
LIMIT PASSWORD_VERIFY_FUNCTION custom_password_verify;
SQL> CREATE PROFILE production_profile
  2  LIMIT
  3    SESSIONS_PER_USER        3
  4    CPU_PER_SESSION          5000
  5    CONNECT_TIME             120
  6    IDLE_TIME                30
  7    FAILED_LOGIN_ATTEMPTS    3
  8    PASSWORD_LIFE_TIME       30;
 
プロファイルが作成されました。
 
SQL> CREATE OR REPLACE FUNCTION custom_password_verify
  2    (username VARCHAR2, password VARCHAR2, old_password VARCHAR2)
  3  RETURN BOOLEAN AS
  4  BEGIN
  5    IF LENGTH(password) < 8 THEN
  6      raise_application_error(-20001, 'パスワードは8文字以上必要です');
  7    END IF;
  8    RETURN TRUE;
  9  END;
 10  /
 
ファンクションが作成されました。
 
SQL> ALTER PROFILE production_profile
  2  LIMIT PASSWORD_VERIFY_FUNCTION custom_password_verify;
 
プロファイルが変更されました。
 
SQL> create user user1 identified by user1;
 
ユーザーが作成されました。
 
SQL> grant create session to user1;
 
権限付与が成功しました。
 
SQL> alter user user1 profile production_profile;
 
ユーザーが変更されました。
 
SQL> alter user user1 identified by test;
alter user user1 identified by test
*
行1でエラーが発生しました。:
ORA-28003: 指定されたパスワードのパスワード照合に失敗しました。 ORA-20001:
パスワードは8文字以上必要です  ★8文字未満なので失敗する
 
 
SQL> alter user user1 identified by test1234;
 
ユーザーが変更されました。

6. トラブルシューティング:よくあるエラーと解決方法

一般的なエラー例

  • ORA-02391: SESSIONS_PER_USER制限を超えた場合。複数セッションを利用するユーザーに適切なプロファイルが設定されていない可能性があります。
  • ORA-02394: CPU_PER_CALL制限を超えた場合。長時間のクエリを実行するユーザーに対し、CPUリソースの割り当てが不足しています。

解決方法:エラーが発生した場合、対象ユーザーに適切なプロファイルを再設定するか、制限項目を緩和することで対応します。

7. プロファイルの定期監査と見直し

プロファイル設定は一度設定すればよいわけではなく、定期的に見直しが必要です。Oracleの監査機能やログ機能を活用し、以下の観点からプロファイルの設定が適切かどうかを評価します。

  • 監査SQL例: プロファイルの適用がどの程度効果的かを把握するため、使用されているプロファイルとリソース制限の利用状況を定期的にチェックします。

    SELECT profile, COUNT(username) AS user_count FROM dba_users GROUP BY profile;
  • リソース制限の超過状況を確認:特定のユーザーがリソース制限に頻繁に達する場合、プロファイル設定の見直しが必要です。

    SELECT profile, resource_name, limit FROM dba_profiles WHERE profile = 'production_profile' AND resource_name IN ('CPU_PER_SESSION', 'SESSIONS_PER_USER');

8. 付録:プロファイル運用時の参考スクリプト集

  • プロファイル一覧表示
    • すべてのプロファイルとその設定を一覧で表示するSQLスクリプトを提供します。プロファイルの構成内容を素早く確認できます。
    SELECT profile, resource_name, limit FROM dba_profiles ORDER BY profile;
  • プロファイル設定の自動化
    • 定期的にプロファイル設定を自動チェックするスクリプトを追加し、リソース制限やパスワードポリシーが適切に維持されているかを確認します。

この記事では、プロファイルの構成や設定方法の基本から、実際の運用に即した詳細設定、エラーのトラブルシューティング、監視と監査の方法までを包括的にカバーしています。各種スクリプトを活用することで、Oracleデータベースのプロファイル管理がより効率的で効果的になります。

[参考]
SQL言語リファレンス – CREATE PROFILE

【初心者向け】Oracleデータベースにおけるユーザー作成と削除
データベース管理者(DBA)やシステム管理者として、Oracleデータベースを運用する際に避けては通れないのが「ユーザーの作成」と「ユーザーの削除」です。ユーザー管理はセキュリティの観点からも重要で、適切な権限を持ったユーザーを作成し、不要...
oracle-master00000.com
2024.09.25

コメント

タイトルとURLをコピーしました