Oracleデータベース・インスタンスに高度なセキュリティ機能を構成するには、Oracle Net Servicesの暗号化、整合性(チェックサム)および厳密認証方式を構成します。厳密認証方式の構成には、KerberosやRADIUSなどのサード・パーティ・ソフトウェアを含めることができ、Secure Sockets Layer (SSL)でデジタル証明書を使用するための公開鍵インフラストラクチャの構成や管理が必要になることがあります。
このように多様で高度なセキュリティ機能には、それを構成および管理するための様々なツールが必要です。この章では、Oracleデータベースの高度なセキュリティ機能を構成および管理するために使用されるツールについて、次のトピックで説明します。
Oracle Net Servicesは、標準の暗号化アルゴリズムを使用してデータを暗号化し、Kerberos、RADIUS、SSLなどの厳密認証方式に対応するように構成できます。次の各項では、Oracle Databaseのこれらの高度なセキュリティ機能を構成するために使用できるOracleツールについて説明します。
Oracle Net Managerは、グラフィカル・ユーザー・インタフェース・ツールで、主にローカル・クライアントまたはサーバー・ホスト上のOracleホームにOracle Net Servicesを構成するために使用されます。
Oracle Net Managerを使用して、ネーミング、リスナー、一般的なネットワーク設定などのOracle Net Servicesを構成できますが、Oracle Netプロトコルを使用する次のOracle Advanced Security機能を構成することもできます。
厳密認証(Kerberos、RADIUSおよびSecure Sockets Layer)
ネットワーク暗号化(Triple-DESおよびAES)
データ整合性のためのチェックサム(SHA-1)
この項では、Oracle Advanced Securityの構成に使用するOracle Net Managerの機能について説明します。内容は次のとおりです。
Oracle Advanced Securityプロファイルへのナビゲート
関連項目:
|
Oracle Net Managerは、Oracle Enterprise Managerコンソールを使用して起動するか、またはスタンドアロン・アプリケーションとして起動できます。ただし、Oracle Advanced Securityの機能を構成できるOracle Advanced Securityプロファイルにアクセスするには、スタンドアロン・アプリケーションを使用する必要があります。
Oracle Net Managerをスタンドアロンのアプリケーションとして起動するには、次の手順を実行します。
(UNIXの場合)$ORACLE_HOME
/bin
から、コマンドラインで次のように入力します。
netmgr
(Windows)「スタート」→「プログラム」→Oracle - HOME_NAME→Configuration and Migration Tools→Net Managerを選択します。
Oracle Net Managerインタフェース・ウィンドウには、2つのペイン(ナビゲータ・ペインと右側のペイン)があります。インタフェースには、様々なプロパティ・シートが表示され、ネットワーク・コンポーネントを構成できます。ナビゲータ・ペインでネットワーク・オブジェクトを選択すると、そのオブジェクトに関連するプロパティ・シートが右側のペインに表示されます。Oracle Advanced Security機能を構成するには、図2-1に示すように、ナビゲータ・ペインで「プロファイル」オブジェクトを選択し、右側のペインのリストから「Oracle Advanced Security」を選択します。
図2-1 Oracle Net ManagerのOracle Advanced Securityプロファイル
Oracle Advanced Securityプロファイルには、次のプロパティ・シートが含まれています。
このプロパティ・シートを使用して、Kerberos Version 5 (KERBEROS5)、Windows固有の認証(NTS)、RADIUSなどの厳密認証方式を選択します。
このプロパティ・シートを使用して、「認証」プロパティ・シートで選択した認証方式の他のパラメータを設定します。
このプロパティ・シートを使用して、クライアントまたはサーバーでのチェックサムを有効にし、安全なメッセージ・ダイジェストを生成するための暗号化アルゴリズムを選択します。
このプロパティ・シートを使用して、ネイティブ暗号化アルゴリズムでクライアントまたはサーバー接続を暗号化するための1つ以上の暗号スイートを選択します。
Oracle Advanced SecurityのKerberosアダプタは、Kerberos資格証明を取得、キャッシュ、表示および削除できる3つのコマンドライン・ユーティリティを提供します。次の表では、これらのユーティリティについて簡単に説明しています。
ユーティリティ名 | 説明 |
---|---|
okinit |
Key Distribution Center (KDC) からKerberosチケットを取得し、それをユーザーの資格証明キャッシュに格納します。 |
oklist |
指定された資格証明キャッシュ内のKerberosチケットのリストを表示します。 |
okdstry |
指定された資格証明キャッシュからKerberos資格証明を削除します。 |
注意: Cybersafeアダプタは、このリリースからサポートされなくなりました。かわりに、OracleのKerberosアダプタを使用する必要があります。Kerberosアダプタを使用する場合は、Cybersafe KDC (Trust Broker)によるKerberos認証が引き続きサポートされます。 |
公開鍵インフラストラクチャ(PKI)によって提供されるセキュリティは、PKI資格証明をどの程度効果的に格納、管理および検証しているかに依存します。次のOracleツールを使用すると、証明書、ウォレットおよび証明書失効リストを管理して、PKI資格証明を安全に格納し、証明書検証メカニズムを最新の状態に保持できます。
Oracle Wallet Managerは、Oracleウォレット内のセキュリティ資格証明の管理および編集するためにウォレットの所有者およびセキュリティ管理者が使用するアプリケーションです。ウォレットはパスワードで保護されたコンテナで、認証情報や、SSLに必要な秘密鍵、証明書および信頼できる証明書を含む署名証明書が格納されます。Oracle Wallet Managerを使用して次のタスクを実行できます。
公開鍵と秘密鍵のペアの生成
ユーザー資格証明書の格納および管理
証明書リクエストの生成
ウォレットのLDAPディレクトリへのアップロードおよびLDAPディレクトリからのダウンロード
ハードウェア・セキュリティ・モジュールの資格証明書を格納するウォレットの作成
次のトピックでは、Oracle Wallet Managerのユーザー・インタフェースについて説明します。
Oracle Wallet Managerを起動する手順は、次のとおりです。
(UNIXの場合)$ORACLE_HOME
/bin
から、コマンドラインで次のように入力します。
owm
(Windowsの場合)「スタート」→「プログラム」→Oracle - HOME_NAME→Integrated Management Tools→Wallet Managerの順に選択します。
Oracle Wallet Managerのユーザー・インタフェースには、図2-2に示すように、2つのペイン、ツールバーおよび様々なメニュー項目があります。
ナビゲータ・ペインには、Oracle Wallet ManagerがインストールされたOracleホームに格納されている証明書リクエストや証明書のグラフィカル・ナビゲーション・ツリー表示があります。ナビゲーション・ペインを使用して、証明書や証明書リクエストを表示、変更、追加または削除できます。
ナビゲータ・ペインは、他のOracleグラフィカル・ユーザー・インタフェース・ツールと同じように機能し、このペインで次の操作を実行できます。
ウォレット・オブジェクトを開閉して、その中に含まれるユーザーや信頼できる証明書を管理します。
ウォレット、証明書または証明書リクエストを右クリックして、追加、削除、インポート、エクスポートなどの操作を実行します。
ウォレットを開くと、ユーザーと信頼できる証明書のネストされたリストが表示されます。ナビゲータ・ペインでウォレットまたは証明書を選択すると、Oracle Wallet Managerの隣接する右側のペインに選択項目に関する詳細が表示されます。表2-1に、ナビゲータ・ペインに表示されるメイン・オブジェクトを示します。
表2-1 Oracle Wallet Managerのナビゲータ・ペインのオブジェクト
オブジェクト | 説明 |
---|---|
ウォレット |
認証や署名の資格証明を格納するために使用する、パスワードで保護されたコンテナ |
証明書リクエスト脚注 1 |
|
証明書脚注 1 |
|
信頼できる証明書脚注 1 |
ルート鍵証明書とも呼ばれることもあり、一定の信頼度を有すると認定されたサード・パーティ機関からの証明書 |
脚注 1 これらのオブジェクトが表示されるのは、ウォレットを作成し、証明書リクエストを生成して、ウォレットに証明書をインポートした後のみです。
右側のペインには、ナビゲータ・ペインで選択されたオブジェクトに関する情報が表示されます。右側のペインは読取り専用です。
図2-3は、ナビゲータ・ペインで証明書リクエスト・オブジェクトが選択されたときの右側のペインの表示を示しています。リクエストに関する情報と要求者の識別情報が「リクエストされた識別情報」、「鍵のサイズ」および「鍵のタイプ」フィールドに表示されます。PKCS #10でエンコードされた証明書リクエストは、「証明書リクエスト」テキスト・ボックスに表示されます。認証局に証明書をリクエストするには、このリクエストを電子メールにコピーするか、ファイルにエクスポートできます。
図2-3 Oracle Wallet Managerの右側のペインに表示される証明書リクエスト情報
ツールバーには、ウォレットを管理できるボタンがあります。ツールバーのボタンの上にカーソルを置くと、そのボタンの機能の説明が表示されます。ツールバーのボタンについては、表2-2で説明します。
Oracle Wallet Managerのメニューを使用して、ウォレットやその中に含まれている資格証明を管理します。次の各項では、各メニューで使用できるオプションについて説明します。
表2-3に、「ウォレット」メニューの内容を示します。
表2-3 Oracle Wallet Managerの「ウォレット」メニュー・オプション
オプション | 説明 |
---|---|
新規 |
新規ウォレットを作成します。 |
開く |
既存のウォレットを開きます。 |
閉じる |
現在開いているウォレットを閉じます。 |
ディレクトリ・サービス内へのアップロード |
ウォレットを指定したLDAPディレクトリ・サーバーにアップロードします。 ディレクトリ・パスワード、ホスト名およびポート情報を入力する必要があります。 |
ディレクトリ・サービスからのダウンロード |
ウォレットを指定したLDAPディレクトリ・サーバーからダウンロードします。ディレクトリ・パスワード、ホスト名およびポート情報を入力する必要があります。 |
保存 |
現在開いているウォレットを現在の作業ディレクトリに保存します。 |
別名保存 |
ファイル・システムを参照して、現在開いているウォレットの保存先ディレクトリの場所を選択できます。 |
システム・デフォルトに保存 |
現在開いているウォレットをシステム・デフォルトの場所に保存します。
|
削除 |
現在の作業ディレクトリのウォレットを削除します。 ウォレット・パスワードを指定する必要があります。 |
パスワードの変更 |
現在開いているウォレットのパスワードを変更します。新しいパスワードを作成する前に、古いパスワードを指定する必要があります。 |
自動ログイン |
現在開いているウォレットの自動ログイン機能を設定します。 |
終了 |
Oracle Wallet Managerアプリケーションを終了します。 |
表2-4に、「操作」メニューの内容を示します。
表2-4 Oracle Wallet Managerの「操作」メニュー・オプション
オプション | 説明 |
---|---|
証明書リクエストの追加 |
認証局(CA)に証明書をリクエストするために使用できる、現在開いているウォレットの証明書リクエストを生成します。 |
ユーザー証明書のインポート |
CAから発行されたユーザー証明書をインポートします。ユーザー証明書をインポートする前に、発行元CAの証明書を信頼できる証明書としてインポートする必要があります。 |
信頼できる証明書のインポート |
CAの信頼できる証明書をインポートします。 |
証明書リクエストの削除 |
現在開いているウォレットの証明書リクエストを削除します。証明書リクエストを削除する前に、関連するユーザー証明書を削除する必要があります。 |
ユーザー証明書の削除 |
現在開いているウォレットからユーザー証明書を削除します。 |
信頼できる証明書の削除 |
現在開いているウォレットから、ナビゲータ・ペインで選択されている信頼できる証明書を削除します。削除する前に、信頼できる証明書によって署名されているすべてのユーザー証明書を削除する必要があります。 |
ユーザー証明書のエクスポート |
現在開いているウォレットのユーザー証明書をエクスポートしてファイル・システム・ディレクトリに保存します。 |
証明書リクエストのエクスポート |
現在開いているウォレットの証明書リクエストをエクスポートしてファイルに保存します。 |
信頼できる証明書のエクスポート |
ナビゲータ・ペインで選択されている信頼できる証明書をエクスポートして、ファイル・システムの別の場所に保存します。 |
すべての信頼できる証明書のエクスポート |
現在開いているウォレットのすべての信頼できる証明書をエクスポートして、ファイル・システムの別の場所に保存します。 |
ウォレットのエクスポート |
現在開いているウォレットをエクスポートして、テキスト・ファイルとして保存します。 |
orapkiユーティリティは、証明書失効リスト(CRL)の管理、Oracleウォレットの作成と管理、およびテスト用の署名付き証明書の作成に使用できるコマンドライン・ツールです。
このユーティリティの基本構文は次のとおりです。
orapki module command -option_1 argument ... -option_n argument
たとえば、次のコマンドを実行すると、machine1.us.example.com
にインストールされ、ポート389を使用するOracle Internet DirectoryのインスタンスのCRLサブツリーにあるすべてのCRLがリストされます。
orapki crl list -ldap machine1.us.example.com:389
セキュリティ管理者のほとんどのタスクでは、Oracleデータベースとの間の接続を保護する必要があります。表2-6に、セキュリティ管理者の主なタスク、タスクの実行に使用するツール、およびタスクに関するマニュアルへのリンクを示します。
表2-6 セキュリティ管理者/DBAの一般的な構成および管理タスク
タスク | 使用するツール | 関連項目 |
---|---|---|
データベース・サーバーとクライアント間の暗号化されたOracle Net接続を構成します。 |
Oracle Net Manager |
|
データベース・サーバーとクライアント間のOracle Net接続のチェックサムを構成します。 |
Oracle Net Manager |
|
RADIUS認証を受け入れるようにデータベース・クライアントを構成します。 |
Oracle Net |
「手順2A: OracleクライアントでのRADIUSの構成」 |
RADIUS認証を受け入れるようにデータベースを構成します。 |
Oracle Net |
「手順2B: Oracleデータベース・サーバーでのRADIUSの構成」 |
RADIUSユーザーを作成し、データベース・セッションへのアクセス権を付与します。 |
SQL*Plus |
|
データベース・クライアントとサーバーにKerberos認証を構成します。 |
Oracle Net Manager |
|
Kerberosデータベース・ユーザーを作成します。 |
|
|
資格証明キャッシュ内のKerberos資格証明を管理します。 |
|
|
データベース・クライアントまたはサーバーのウォレットを作成します。 |
|
|
認証局(CA)にSSL認証用のユーザー証明書をリクエストします。 |
|
|
ユーザー証明書とそれに関連する信頼できる証明書(CA証明書)をウォレットにインポートします。 |
|
|
データベース・クライアントのSSL接続を構成します。 |
|
「手順3: クライアントでのSecure Sockets Layerの構成」 |
データベース・サーバーのSSL接続を構成します。 |
|
「手順2: サーバーでのSecure Sockets Layerの構成」 |
証明書失効リストを使用した証明書の検証を有効化します。 |
|
|