プライマリ・コンテンツに移動
Oracle® Database Advanced Security管理者ガイド
11
g
リリース2 (11.2)
B56286-10
索引
次
目次
例一覧
図一覧
表一覧
タイトルおよび著作権情報
はじめに
対象読者
ドキュメントのアクセシビリティについて
関連ドキュメント
表記規則
Oracle Advanced Securityの新機能
Oracle Database 11
g
リリース2 (11.2.0.4)におけるOracle Advanced Securityの新機能
Oracle Database 11gリリース2 (11.2.0.3)におけるOracle Advanced Securityの新機能
Oracle Database 11
g
リリース2 (11.2)におけるOracle Advanced Securityの新機能
Oracle Database 11
g
リリース1 (11.1)におけるOracle Advanced Securityの新機能
第I部 Oracle Advanced Securityスタート・ガイド
1
Oracle Advanced Securityの概要
1.1
エンタープライズ環境におけるセキュリティの問題
1.1.1
エンタープライズ・グリッド・コンピューティング環境におけるセキュリティ
1.1.2
イントラネットまたはインターネット環境におけるセキュリティ
1.1.3
一般的なセキュリティの脅威
1.1.3.1
傍受とデータの盗難
1.1.3.2
データの書換え
1.1.3.3
ユーザーIDの偽造
1.1.3.4
パスワード関連の脅威
1.2
Oracle Advanced Securityによるセキュリティ問題の解決
1.2.1
データの暗号化
1.2.1.1
サポートされる暗号化アルゴリズム
1.2.1.2
データの整合性
1.2.1.3
米国連邦情報処理標準
1.2.2
厳密認証
1.2.2.1
集中化された認証とシングル・サインオン
1.2.2.2
サポートされている認証方式
1.3
Oracle Advanced Securityのアーキテクチャ
1.4
システム要件
1.5
Oracle Advanced Securityの制限事項
2
構成ツールと管理ツールの概要
2.1
ネットワーク暗号化ツールと厳密認証構成ツール
2.1.1
Oracle Net Manager
2.1.1.1
Oracle Net Managerの起動
2.1.1.2
Oracle Advanced Securityプロファイルへのナビゲート
2.1.1.3
Oracle Advanced Securityプロファイルのプロパティ・シート
2.1.2
Oracle Advanced SecurityのKerberosアダプタ・コマンドライン・ユーティリティ
2.2
公開鍵インフラストラクチャ資格証明管理ツール
2.2.1
Oracle Wallet Manager
2.2.1.1
Oracle Wallet Managerの起動
2.2.1.2
Oracle Wallet Managerユーザー・インタフェースのナビゲート
2.2.1.3
ツールバー
2.2.1.4
メニュー
2.2.2
orapkiユーティリティ
2.3
セキュリティ管理者/DBAの責務
第II部 Oracle Data Redaction
3
Oracle Data Redactionの概要
3.1
Oracle Data Redactionとは
3.2
Oracle Data Redactionを使用する状況
3.3
Oracle Data Redactionを使用する利点
3.4
Oracle Data Redactionのターゲットのユースケース
3.4.1
データベース・アプリケーションにおけるOracle Data Redactionの使用
3.4.2
非定型データベース問合せにおけるOracle Data Redaction使用時の考慮事項
4
Oracle Data Redactionの特徴と機能
4.1
完全データ・リダクションを使用した全データのリダクション
4.2
部分データ・リダクションを使用したデータのセクションのリダクション
4.3
正規表現を使用したデータのパターンのリダクション
4.4
ランダム・データ・リダクションを使用したランダム化された値の生成
4.5
データ型に基づいた完全、部分およびランダム・リダクションの比較
4.5.1
Oracle組込みデータ型のリダクション機能
4.5.2
ANSIデータ型のリダクション機能
4.5.3
ユーザー定義データ型またはオラクル社提供データ型のリダクション機能
4.6
テストを目的にリダクションしない場合
5
Oracle Data Redactionポリシーの構成
5.1
Oracle Data Redactionポリシーについて
5.2
Oracle Data Redactionポリシーを作成できるユーザー
5.3
Oracle Data Redactionポリシーの作成の計画
5.4
DBMS_REDACT.ADD_POLICYプロシージャの一般的な構文
5.5
データ・リダクション・ポリシーの条件の定義における式の使用
5.5.1
データ・リダクション・ポリシーにおける式の使用について
5.5.2
ユーザー環境に基づくリダクション・ポリシーの適用
5.5.3
データベース・ロールに基づくリダクション・ポリシーの適用
5.5.4
Oracle Application Expressのセッション状態に基づくリダクション・ポリシーの適用
5.5.5
フィルタリングなしでのリダクション・ポリシーの適用
5.6
完全データ・ポリシーの作成とデフォルトの完全リダクション値の変更
5.6.1
完全リダクション・ポリシーの作成
5.6.1.1
完全データ・リダクション・ポリシーの作成について
5.6.1.2
完全リダクション・ポリシーを作成する構文
5.6.1.3
完全データ・リダクション・ポリシーの例
5.6.2
デフォルトの完全データ・リダクション値の変更
5.6.2.1
デフォルトの完全データ・リダクション値の変更について
5.6.2.2
LOB以外のデータ型の列に対するデフォルトの完全データ・リダクション値の変更
5.6.2.3
LOBデータ型の列に対するデフォルトの完全データ・リダクション値の変更
5.7
部分リダクション・ポリシーの作成
5.7.1
部分リダクション・ポリシーの作成について
5.7.2
部分リダクション・ポリシーを作成する構文
5.7.3
固定文字ショートカットを使用した部分リダクション・ポリシーの作成
5.7.3.1
固定文字ショートカットの設定
5.7.3.2
固定文字ショートカットを使用した部分リダクション・ポリシーの例
5.7.4
文字データ型を使用した部分リダクション・ポリシーの作成
5.7.4.1
文字データ型の設定
5.7.4.2
文字データ型を使用した部分リダクション・ポリシーの例
5.7.5
数値データ型を使用した部分リダクション・ポリシーの作成
5.7.5.1
数値データ型の設定
5.7.5.2
数値データ型を使用した部分リダクション・ポリシーの例
5.7.6
日時データ型を使用した部分リダクション・ポリシーの作成
5.7.6.1
日時データ型の設定
5.7.6.2
日時データ型を使用した部分リダクション・ポリシーの例
5.8
正規表現ベースのリダクション・ポリシーの作成
5.8.1
正規表現ベースのリダクション・ポリシーの作成について
5.8.2
正規表現ベースのリダクション・ポリシーを作成する構文
5.8.3
ショートカットを使用した正規表現ベースのリダクション・ポリシーの作成
5.8.3.1
正規表現ショートカット
5.8.3.2
ショートカットを使用した正規表現リダクション・ポリシーの例
5.8.4
カスタム正規表現リダクション・ポリシーの作成
5.8.4.1
カスタム正規表現の設定
5.8.4.2
カスタム正規表現リダクション・ポリシーの例
5.9
ランダム・リダクション・ポリシーの作成
5.9.1
ランダム・リダクション・ポリシーの作成について
5.9.2
ランダム・リダクション・ポリシーを作成する構文
5.9.3
ランダム・リダクション・ポリシーの例
5.10
リダクションを使用しないポリシーの作成
5.10.1
リダクションを使用しないポリシーの作成について
5.10.2
リダクションを使用しないポリシーを作成する構文
5.10.3
リダクションを実行しない例
5.11
Oracle Data Redactionポリシーからのユーザーの除外
5.12
Oracle Data Redactionポリシーの変更
5.12.1
Oracle Data Redactionポリシーの変更について
5.12.2
DBMS_REDACT.ALTER_POLICYプロシージャの構文
5.12.3
様々なDBMS_REDACT.ALTER_POLICY操作に必要なパラメータ
5.12.4
Oracle Data Redactionポリシーの変更例
5.13
複数列のリダクション
5.14
Oracle Data Redactionポリシーの有効化と無効化
5.14.1
Oracle Data Redactionポリシーの無効化
5.14.2
Oracle Data Redactionポリシーの有効化
5.15
Oracle Data Redactionポリシーの削除
5.16
例: Oracle Data Redactionが表およびビューに与える影響
5.17
例: SQL式を使用したリダクションされた値を含むレポートの作成
5.18
Oracle Data Redactionポリシーに関する情報の検索
6
Oracle Data RedactionとOracle Database機能の併用
6.1
Oracle Data Redactionと、DMLおよびDDL操作
6.2
ネストした関数、インライン・ビューおよびWHERE句でのOracle Data Redaction
6.3
Oracle Data Redactionおよび集計関数
6.4
Oracle Data Redactionおよびオブジェクト型
6.5
Oracle Data Redactionおよびエディション
6.6
Oracle Data RedactionとOracle Virtual Private Database
6.7
Oracle Data RedactionとOracle Database Vault
6.8
Oracle Data RedactionとEXPDPユーティリティのaccess_methodパラメータ
6.9
Oracle Data RedactionとData Masking and Subsetting Pack
7
Oracle Data Redactionのセキュリティ・ガイドライン
7.1
一般的な使用上のガイドライン
7.2
Oracle Data Redactionポリシーへの管理アクセスの制限
7.3
Oracle Data RedactionがSYS、SYSTEMおよびデフォルト・スキーマに与える影響
7.4
SYS_CONTEXT属性に依存するポリシー式の記述
7.5
マテリアライズド・ビューに対するポリシーの作成
7.6
ごみ箱が有効になっている場合のポリシーの削除
第III部 データ暗号化および整合性
8
透過的データ暗号化を使用した格納済データの保護
8.1
透過的データ暗号化について
8.1.1
透過的データ暗号化を使用する利点
8.1.2
透過的データ暗号化のタイプ
8.1.2.1
TDE列暗号化
8.1.2.2
TDE表領域暗号化
8.2
透過的データ暗号化の使用
8.2.1
透過的データ暗号化の有効化
8.2.1.1
透過的データ暗号化用のウォレット・ロケーションの指定
8.2.1.2
自動ログインが有効なウォレットの使用
8.2.2
マスター暗号化鍵の設定および再設定
8.2.2.1
マスター暗号化鍵の設定
8.2.2.2
マスター暗号化鍵の再設定
8.2.3
暗号化ウォレットのオープンおよびクローズ
8.2.4
表の列の暗号化
8.2.4.1
暗号化列を含む表の作成
8.2.4.2
既存の表にある列の暗号化
8.2.4.3
暗号化列に対する索引の作成
8.2.4.4
暗号化列に対するSaltの追加または削除
8.2.4.5
暗号化列を含む表に対する暗号化鍵またはアルゴリズムの変更
8.2.4.6
TDE列暗号化で暗号化できるデータ型
8.2.4.7
TDE列暗号化の使用に関する制限
8.2.5
表領域全体の暗号化
8.2.5.1
表領域マスター暗号化鍵の設定
8.2.5.2
Oracleウォレットのオープン
8.2.5.3
暗号化された表領域の作成
8.2.5.4
TDE表領域暗号化の使用に関する制限
8.2.6
TDEでのハードウェア・セキュリティ・モジュールの使用
8.2.6.1
sqlnet.oraファイルでのENCRYPTION_WALLET_LOCATIONパラメータの設定
8.2.6.2
正しいパスへのPKCS#11ライブラリのコピー
8.2.6.3
HSMの設定
8.2.6.4
HSMベースの暗号化のためのマスター暗号化鍵の生成
8.2.6.5
ソフトウェア・ウォレットの再構成(オプション)
8.2.6.6
HSMがアクセス可能であることの確認
8.2.6.7
データの暗号化と復号化
8.2.7
Oracle RACでの透過的データ暗号化の使用
8.2.7.1
非共有ファイル・システムを使用したウォレットの格納
8.3
透過的データ暗号化の管理
8.3.1
Oracleウォレットの管理
8.3.1.1
透過的データ暗号化用の別のウォレットの指定
8.3.1.2
自動ログイン・ウォレットの使用
8.3.1.3
ウォレットの作成
8.3.2
マスター暗号化鍵のバックアップおよびリカバリ
8.3.2.1
Oracleウォレットのバックアップおよびリカバリ
8.3.2.2
PKI鍵ペアのバックアップおよびリカバリ
8.3.3
暗号化列を含む表のエクスポートおよびインポート
8.3.4
パフォーマンスと記憶域のオーバーヘッド
8.3.4.1
パフォーマンスのオーバーヘッド
8.3.4.2
記憶域のオーバーヘッド
8.3.5
セキュリティに関する考慮事項
8.3.6
マルチデータベース環境における透過的データ暗号化の使用
8.3.7
分散環境でのレプリケーション
8.3.8
暗号化データの圧縮とデータ重複除外
8.3.9
OCIを使用した透過的データ暗号化
8.3.10
マルチデータベース環境における透過的データ暗号化
8.3.11
透過的データ暗号化のデータ・ディクショナリ・ビュー
8.4
例: TDE列暗号化とTDE表領域暗号化のスタート・ガイド
8.4.1
透過的データ暗号化用データベースの準備
8.4.1.1
sqlnet.oraファイルでのOracleウォレット・ロケーションの指定
8.4.1.2
マスター暗号化鍵の作成
8.4.1.3
Oracleウォレットのオープン
8.4.2
暗号化列を含む表の作成
8.4.3
暗号化列に対する索引の作成
8.4.4
既存の列を暗号化するための表の変更
8.4.5
暗号化された表領域の作成
8.4.6
暗号化された表領域での表の作成
8.5
透過的データ暗号化のトラブルシューティング
8.6
透過的データ暗号化の参照情報
8.6.1
サポートされる暗号化と整合性のアルゴリズム
8.6.2
クイック・リファレンス: 透過的データ暗号化のSQLコマンド
9
Oracleサーバーとクライアントに対するネットワーク・データの暗号化および整合性の構成
9.1
Oracle Advanced Securityの暗号化
9.1.1
Advanced Encryption Standard
9.1.2
Triple-DESのサポート
9.2
Oracle Advanced Securityのデータの整合性
9.2.1
サポートされるデータの整合性アルゴリズム
9.3
Diffie-Hellmanベースの鍵交換
9.3.1
認証鍵フォールドイン
9.4
データの暗号化および整合性の構成方法
9.4.1
暗号化および整合性のアクティブ化について
9.4.2
暗号化および整合性のネゴシエーションについて
9.4.2.1
REJECTED
9.4.2.2
ACCEPTED
9.4.2.3
REQUESTED
9.4.2.4
REQUIRED
9.4.3
Oracle Net Managerを使用した暗号化および整合性パラメータの構成
9.4.3.1
クライアントとサーバーでの暗号化の構成
9.4.3.2
クライアントとサーバーでの整合性の構成
10
シンJDBCクライアントに対するネットワーク認証、暗号化および整合性の構成
10.1
Java実装について
10.1.1
Java Database Connectivityのサポート
10.1.2
シンJDBCの保護
10.1.3
実装の概要
10.1.4
不明瞭化
10.2
構成パラメータ
10.2.1
CONNECTION_PROPERTY_THIN_NET_ENCRYPTION_LEVELパラメータ
10.2.2
CONNECTION_PROPERTY_THIN_NET_ENCRYPTION_TYPESパラメータ
10.2.3
CONNECTION_PROPERTY_THIN_NET_CHECKSUM_LEVELパラメータ
10.2.4
CONNECTION_PROPERTY_THIN_NET_CHECKSUM_TYPESパラメータ
10.2.5
CONNECTION_PROPERTY_THIN_NET_AUTHENTICATION_SERVICESパラメータ
10.2.6
AnoServices定数
第IV部 Oracle Advanced Securityの厳密認証
11
RADIUS認証の構成
11.1
RADIUSについて
11.2
RADIUS認証モード
11.2.1
同期認証モード
11.2.2
チャレンジ・レスポンス(非同期)認証モード
11.3
RADIUS認証、認可およびアカウンティングの有効化
11.3.1
手順1: Oracleデータベース・サーバーとOracleクライアントでのRADIUSのインストール
11.3.2
手順2: RADIUS認証の構成
11.3.2.1
手順2A: OracleクライアントでのRADIUSの構成
11.3.2.2
手順2B: Oracleデータベース・サーバーでのRADIUSの構成
11.3.2.3
手順2C: その他のRADIUS機能の構成
11.3.3
手順3: ユーザーの作成とアクセス権の付与
11.3.4
手順4: 外部RADIUS認可の構成(オプション)
11.3.4.1
手順4A: Oracleサーバー(RADIUSクライアント)の構成
11.3.4.2
手順4B: ユーザーがログインするOracleクライアントの構成
11.3.4.3
手順4C: RADIUSサーバーの構成
11.3.5
手順5: RADIUSアカウンティングの構成
11.3.5.1
手順5A: Oracleデータベース・サーバーでのRADIUSアカウンティングの設定
11.3.5.2
手順5B: RADIUSアカウンティング・サーバーの構成
11.3.6
手順6: RADIUSクライアント名のRADIUSサーバー・データベースへの追加
11.3.7
手順7: RADIUSとともに使用する認証サーバーの構成
11.3.8
手順8: 認証サーバーとともに使用するRADIUSサーバーの構成
11.3.9
手順9: マッピング・ロールの構成
11.4
RADIUSを使用したデータベースへのログイン
11.5
RSA ACE/Server構成チェックリスト
12
Kerberos認証の構成
12.1
Kerberos認証の有効化
12.1.1
手順1: Kerberosのインストール
12.1.2
手順2: Oracleデータベース・サーバーに対するサービス・プリンシパルの構成
12.1.3
手順3: Kerberosからのサービス・キー表の抽出
12.1.4
手順4: Oracleデータベース・サーバーとOracleクライアントのインストール
12.1.5
手順5: Oracle Net ServicesとOracle Advanced Securityのインストール
12.1.6
手順6: Oracle Net ServicesとOracle Databaseの構成
12.1.7
手順7: Kerberos認証の構成
12.1.7.1
手順7A: クライアントとデータベース・サーバーでのKerberosの構成
12.1.7.2
手順7B: 初期化パラメータの設定
12.1.7.3
手順7C: sqlnet.oraパラメータの設定(オプション)
12.1.8
手順8: Kerberosユーザーの作成
12.1.9
手順9: 外部認証されたOracleユーザーの作成
12.1.10
手順10: Kerberos/Oracleユーザーの初期チケットの取得
12.2
Kerberos認証アダプタのユーティリティ
12.2.1
okinitユーティリティを使用した初期チケットの取得
12.2.2
oklistユーティリティを使用した資格証明の表示
12.2.3
okdstryユーティリティを使用したキャッシュ・ファイルからの資格証明の削除
12.2.4
Kerberosによって認証されたOracle Databaseサーバーへの接続
12.3
Windows 2000ドメイン・コントローラKDCとの相互運用性の構成
12.3.1
手順1: Windows 2000ドメイン・コントローラKDCのためのOracle Kerberosクライアントの構成
12.3.1.1
手順1A: クライアントKerberos構成ファイルの作成
12.3.1.2
手順2A: sqlnet.oraファイルでのOracle構成パラメータの指定
12.3.1.3
手順3A: リスニング・ポート番号の指定
12.3.2
手順2: OracleクライアントのためのWindows 2000ドメイン・コントローラKDCの構成
12.3.2.1
手順2A: ユーザーの作成
12.3.2.2
手順2B: Oracle Databaseプリンシパルの作成
12.3.3
手順3: Windows 2000ドメイン・コントローラKDCのためのOracleデータベースの構成
12.3.3.1
手順3A: sqlnet.oraファイルでの構成パラメータの設定
12.3.3.2
手順3B: 外部認証されたOracleユーザーの作成
12.3.4
手順4: Kerberos/Oracleユーザーの初期チケットの取得
12.4
Kerberos認証フォールバック動作の構成
12.5
Oracle Kerberos認証の構成のトラブルシューティング
13
Secure Sockets Layer認証の構成
13.1
Secure Sockets LayerおよびTransport Layer Security
13.1.1
Secure Sockets LayerとTransport Layer Securityの違い
13.1.2
Oracle DatabaseでのSecure Sockets Layerを使用した認証
13.1.3
Oracle環境におけるSecure Sockets Layerの機能: SSLハンドシェイク
13.2
Oracle環境における公開鍵インフラストラクチャ
13.2.1
Oracle環境における公開鍵インフラストラクチャについて
13.2.2
公開鍵の暗号化について
13.2.3
Oracle環境における公開鍵インフラストラクチャ・コンポーネント
13.2.3.1
認証局
13.2.3.2
証明書
13.2.3.3
証明書失効リスト
13.2.3.4
ウォレット
13.2.3.5
ハードウェア・セキュリティ・モジュール
13.3
Secure Sockets Layerと他の認証方式の併用
13.3.1
アーキテクチャ: Oracle Advanced SecurityとSecure Sockets Layer
13.3.2
Secure Sockets Layerと他の認証方式の併用
13.4
Secure Sockets Layerとファイアウォール
13.5
Secure Sockets Layer使用時の問題
13.6
Secure Sockets Layerの有効化
13.6.1
手順1: Oracle Advanced Securityと関連製品のインストール
13.6.2
手順2: サーバーでのSecure Sockets Layerの構成
13.6.2.1
手順2A: サーバーでのウォレット作成の確認
13.6.2.2
手順2B: サーバーでのデータベース・ウォレット・ロケーションの指定
13.6.2.3
手順2C: サーバーでのSecure Sockets Layer暗号スイートの設定(オプション)
13.6.2.4
手順2D: サーバーでの必要なSSLバージョンの設定(オプション)
13.6.2.5
手順2E: サーバーでのSSLクライアント認証の設定(オプション)
13.6.2.6
手順2F: サーバーでの認証サービスとしてのSSLの設定(オプション)
13.6.2.7
手順2G: SSL付きTCP/IPを使用するリスニング・エンドポイントのサーバーでの作成
13.6.3
手順3: クライアントでのSecure Sockets Layerの構成
13.6.3.1
手順3A: クライアント・ウォレット作成の確認
13.6.3.2
手順3B: サーバーDNの構成とクライアントのSSL付きTCP/IPの使用
13.6.3.3
手順3C: 必要なクライアントSSL構成の指定(ウォレット・ロケーション)
13.6.3.4
手順3D: クライアントのSecure Sockets Layer暗号スイートの設定(オプション)
13.6.3.5
手順3E: 必要なSSLバージョンのクライアントでの設定(オプション)
13.6.3.6
手順3F: クライアントにおける認証サービスとしてのSSLの設定(オプション)
13.6.3.7
手順3G: クライアントでの認証に使用する証明書の指定(オプション)
13.6.4
手順4: データベース・インスタンスへのログオン
13.7
Secure Sockets Layerのトラブルシューティング
13.8
証明書失効リストによる証明書の検証
13.8.1
証明書失効リストによる証明書検証について
13.8.2
使用するCRLの選択方法
13.8.3
CRLチェックの動作の仕組み
13.8.4
証明書失効リストによる証明書検証の構成
13.8.4.1
証明書失効リストによる証明書検証の構成について
13.8.4.2
クライアントまたはサーバーの証明書失効ステータス・チェックの有効化
13.8.4.3
証明書失効ステータス・チェックの無効化
13.8.5
証明書失効リストの管理
13.8.5.1
証明書失効管理について
13.8.5.2
CRLを管理するコマンドのorapkiヘルプの表示
13.8.5.3
証明書検証用ハッシュ値によるCRLの名前変更
13.8.5.4
Oracle Internet DirectoryへのCRLのアップロード
13.8.5.5
Oracle Internet Directoryに格納されているCRLの一覧表示
13.8.5.6
Oracle Internet DirectoryでのCRLの表示
13.8.5.7
Oracle Internet DirectoryからのCRLの削除
13.8.6
証明書検証のトラブルシューティング
13.8.6.1
証明書検証に関連するOracle Netトレース・ファイルのエラー・メッセージ
13.9
ハードウェア・セキュリティ・モジュールを使用するためのシステムの構成
13.9.1
ハードウェア・セキュリティ・モジュールを使用するためのシステムの構成について
13.9.2
Oracle Advanced Securityでハードウェア・セキュリティ・モジュールを使用するためのガイドライン
13.9.3
nCipherハードウェア・セキュリティ・モジュールを使用するためのシステムの構成
13.9.3.1
nCipherハードウェア・セキュリティ・モジュールを使用するためのシステムの構成について
13.9.3.2
nCipherハードウェア・セキュリティ・モジュールを使用するために必要なOracleコンポーネント
13.9.3.3
nCipherハードウェア・セキュリティ・モジュールのインストールについて
13.9.4
SafeNETハードウェア・セキュリティ・モジュールを使用するためのシステムの構成
13.9.4.1
SafeNetハードウェア・セキュリティ・モジュールを使用するためのシステムの構成について
13.9.4.2
SafeNET Luna SAハードウェア・セキュリティ・モジュールのOracleコンポーネント
13.9.4.3
SafeNETハードウェア・セキュリティ・モジュールのインストールについて
13.9.5
ハードウェア・セキュリティ・モジュールの使用時のトラブルシューティング
13.9.5.1
Oracle Netトレース・ファイルのエラー
13.9.5.2
ハードウェア・セキュリティ・モジュールの使用に関連するエラー・メッセージ
13.10
Oracle Real Application Clusters環境でのSSLの構成
13.10.1
手順1: TCPSプロトコル・エンドポイントの構成
13.10.2
手順2: 各Oracle RACノードでのローカル・リスナー・パラメータの更新
13.10.3
手順3: クラスタおよびクライアントのSSL証明書およびウォレットの作成
13.10.3.1
各クラスタ用およびテスト・クライアント用SSL証明書の作成
13.10.3.2
各ユーザー証明書の署名
13.10.4
手順4: 各クラスタ・ノードへのウォレットのコピーおよび不明瞭化されたウォレットの作成
13.10.5
手順5: listener.oraおよびsqlnet.oraファイルへのウォレット・ロケーションの定義
13.10.6
手順6: データベース・インスタンスおよびリスナーの再起動
13.10.7
手順7: クラスタ・ノードからの構成のテスト
13.10.8
手順8: リモート・クライアントからの構成のテスト
14
Oracle Wallet Managerの使用方法
14.1
Oracle Wallet Managerの概要
14.1.1
ウォレット・パスワード管理
14.1.2
強力なウォレット暗号化
14.1.3
Microsoft Windowsレジストリ・ウォレット・ストレージ
14.1.3.1
サポートされているオプション
14.1.4
下位互換性
14.1.5
公開鍵暗号規格(PKCS)サポート
14.1.6
複数証明書サポート
14.1.7
LDAPディレクトリのサポート
14.2
Oracle Wallet Managerの起動
14.3
完全なウォレットの作成方法: プロセス概要
14.4
ウォレットの管理
14.4.1
ウォレット・パスワードの作成に関する必須ガイドライン
14.4.2
ウォレットの新規作成
14.4.2.1
標準ウォレットの作成
14.4.2.2
ハードウェア・セキュリティ・モジュール資格証明を格納するためのウォレットの作成
14.4.3
既存のウォレットのオープン
14.4.4
ウォレットのクローズ
14.4.5
サード・パーティ環境へのOracleウォレットのエクスポート
14.4.6
PKCS #12をサポートしないツールへのOracleウォレットのエクスポート
14.4.7
LDAPディレクトリへのウォレットのアップロード
14.4.8
LDAPディレクトリからのウォレットのダウンロード
14.4.9
変更の保存
14.4.10
開いているウォレットの新しい場所への保存
14.4.11
システム・デフォルトへの保存
14.4.12
ウォレットの削除
14.4.13
パスワードの変更
14.4.14
自動ログインの使用
14.4.14.1
自動ログインの有効化
14.4.14.2
自動ログインの無効化
14.5
証明書の管理
14.5.1
ユーザー証明書の管理
14.5.1.1
証明書リクエストの追加
14.5.1.2
ウォレットへのユーザー証明書のインポート
14.5.1.3
サード・パーティによって作成された証明書およびウォレットのインポート
14.5.1.4
ウォレットからのユーザー証明書の削除
14.5.1.5
証明書リクエストの削除
14.5.1.6
ユーザー証明書のエクスポート
14.5.1.7
ユーザー証明書リクエストのエクスポート
14.5.2
信頼できる証明書の管理
14.5.2.1
信頼できる証明書のインポート
14.5.2.2
信頼できる証明書の削除
14.5.2.3
信頼できる証明書のエクスポート
14.5.2.4
すべての信頼できる証明書のエクスポート
15
複数の認証方式の構成およびOracle Advanced Securityの無効化
15.1
ユーザー名とパスワードによる接続
15.2
Oracle Advanced Security認証の無効化
15.3
複数の認証方式の構成
15.4
外部認証のためのOracle Databaseの構成
15.4.1
sqlnet.oraでのSQLNET.AUTHENTICATION_SERVICESパラメータの設定
15.4.2
OS_AUTHENT_PREFIXのNull値への設定
第V部 付録
A
データ暗号化および整合性パラメータ
A.1
サンプルsqlnet.oraファイル
A.2
データ暗号化および整合性パラメータ
A.2.1
SQLNET.ENCRYPTION_SERVERパラメータ
A.2.2
SQLNET.ENCRYPTION_CLIENTパラメータ
A.2.3
SQLNET.SSL_EXTENDED_KEY_USAGEパラメータ
A.2.4
SQLNET.CRYPTO_CHECKSUM_SERVERパラメータ
A.2.5
SQLNET.CRYPTO_CHECKSUM_CLIENTパラメータ
A.2.6
SQLNET.ENCRYPTION_TYPES_SERVERパラメータ
A.2.7
SQLNET.ENCRYPTION_TYPES_CLIENTパラメータ
A.2.8
SQLNET.CRYPTO_CHECKSUM_TYPES_SERVERパラメータ
A.2.9
SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENTパラメータ
B
認証パラメータ
B.1
Kerberos認証を使用するクライアントとサーバーのパラメータ
B.2
RADIUS認証を使用するクライアントとサーバーのパラメータ
B.2.1
sqlnet.oraファイルのパラメータ
B.2.1.1
SQLNET.AUTHENTICATION_SERVICESパラメータ
B.2.1.2
SQLNET.RADIUS_AUTHENTICATIONパラメータ
B.2.1.3
SQLNET.RADIUS_AUTHENTICATION_PORTパラメータ
B.2.1.4
SQLNET.RADIUS_AUTHENTICATION_TIMEOUTパラメータ
B.2.1.5
SQLNET.RADIUS_AUTHENTICATION_RETRIESパラメータ
B.2.1.6
SQLNET.RADIUS_SEND_ACCOUNTINGパラメータ
B.2.1.7
SQLNET.RADIUS_SECRETパラメータ
B.2.1.8
SQLNET.RADIUS_ALTERNATEパラメータ
B.2.1.9
SQLNET.RADIUS_ALTERNATE_PORTパラメータ
B.2.1.10
SQLNET.RADIUS_ALTERNATE_TIMEOUTパラメータ
B.2.1.11
SQLNET.RADIUS_ALTERNATE_RETRIESパラメータ
B.2.1.12
SQLNET.RADIUS_CHALLENGE_RESPONSEパラメータ
B.2.1.13
SQLNET.RADIUS_CHALLENGE_KEYWORDパラメータ
B.2.1.14
SQLNET.RADIUS_AUTHENTICATION_INTERFACEパラメータ
B.2.1.15
SQLNET.RADIUS_CLASSPATHパラメータ
B.2.2
最小限のRADIUSパラメータ
B.2.3
初期化ファイル・パラメータ
B.3
Secure Sockets Layerを使用するクライアントとサーバーのパラメータ
B.3.1
Secure Sockets Layer認証パラメータ
B.3.2
暗号スイート・パラメータ
B.3.2.1
サポートされているSSL暗号スイート
B.3.3
Secure Sockets Layerバージョン・パラメータ
B.3.4
Secure Sockets Layerクライアント認証パラメータ
B.3.4.1
SSL X.509サーバー照合パラメータ
B.3.5
ウォレット・ロケーション
C
RADIUSを使用した認証デバイスの統合
C.1
RADIUSチャレンジ・レスポンス・ユーザー・インタフェースについて
C.2
RADIUSチャレンジ・レスポンス・ユーザー・インタフェースのカスタマイズ
D
Oracle Advanced Security FIPS 140の設定
D.1
FIPS 140の設定について
D.2
FIPS 140-2用のOracle Databaseの構成
D.2.1
FIPS 140-2の設定について
D.2.2
SSLFIPS_140パラメータの構成
D.2.3
暗号スイートの選択
D.2.4
インストール後のチェック
D.2.5
FIPS接続の検証
D.3
FIPS 140-1用のOracle Databaseの構成
D.3.1
FIPS 140-1の設定について
D.3.2
sqlnet.oraのFIPS 140-1構成パラメータ
D.3.2.1
サーバー暗号化レベルの設定
D.3.2.2
クライアント暗号化レベルの設定
D.3.2.3
サーバー暗号化選択リスト
D.3.2.4
クライアント暗号化選択リスト
D.3.2.5
FIPSパラメータ
D.3.3
インストール後のチェック
D.3.4
ステータス情報
D.3.5
物理的なセキュリティ
E
orapkiユーティリティ
E.1
orapkiユーティリティの概要
E.1.1
orapkiユーティリティの構文
E.2
テスト用の署名付き証明書の作成
E.3
orapkiユーティリティを使用したOracleウォレットの管理
E.3.1
orapkiを使用したウォレットの作成、表示および変更
E.3.1.1
PKCS#12ウォレットの作成
E.3.1.2
自動ログイン・ウォレットの作成
E.3.1.3
ウォレットの表示
E.3.1.4
ウォレットのパスワードの変更
E.3.2
orapkiを使用した証明書と証明書リクエストのOracleウォレットへの追加
E.3.3
orapkiを使用した証明書と証明書リクエストのOracleウォレットからのエクスポート
E.4
orapkiユーティリティを使用した証明書失効リスト(CRL)の管理
E.5
orapkiの使用例
E.6
orapkiユーティリティ・コマンドのサマリー
E.6.1
orapki cert create
E.6.1.1
用途
E.6.1.2
構文
E.6.2
orapki cert display
E.6.2.1
用途
E.6.2.2
構文
E.6.3
orapki crl delete
E.6.3.1
用途
E.6.3.2
前提条件
E.6.3.3
構文
E.6.4
orapki crl display
E.6.4.1
用途
E.6.4.2
構文
E.6.5
orapki crl hash
E.6.5.1
用途
E.6.5.2
構文
E.6.6
orapki crl list
E.6.6.1
用途
E.6.6.2
構文
E.6.7
orapki crl upload
E.6.7.1
用途
E.6.7.2
構文
E.6.8
orapki wallet add
E.6.8.1
用途
E.6.8.2
構文
E.6.9
orapki wallet create
E.6.9.1
用途
E.6.9.2
構文
E.6.10
orapki wallet display
E.6.10.1
用途
E.6.10.2
構文
E.6.11
orapki wallet export
E.6.11.1
用途
E.6.11.2
構文
F
Entrust対応のSecure Sockets Layer認証
F.1
Entrust対応のOracle Advanced Securityの利点
F.1.1
拡張X.509ベースの認証とシングル・サインオン
F.1.2
Entrust Authorityの鍵管理との統合
F.1.3
Entrust Authorityの証明書失効との統合
F.2
Entrust対応のOracle Advanced Securityに必要なシステム・コンポーネント
F.2.1
Entrust Authority for Oracle
F.2.1.1
Entrust Authority Security Manager
F.2.1.2
Entrust Authority Self-Administration Server
F.2.1.3
Entrust Entelligence Desktop Manager
F.2.2
Entrust Authority Server Login Feature
F.2.3
Entrust Authority IPSec Negotiator Toolkit
F.3
Entrust認証プロセス
F.4
Entrust認証の有効化
F.4.1
Entrustプロファイルの作成
F.4.1.1
管理者によるEntrustプロファイルの作成
F.4.1.2
ユーザーによるEntrustプロファイルの作成
F.4.2
Oracle Advanced SecurityおよびEntrust対応のSSL関連製品のインストール
F.4.3
Entrust対応のSSLのためのクライアントおよびサーバーにおけるSSLの構成
F.4.4
クライアントにおけるEntrustの構成
F.4.4.1
UNIXクライアントにおけるEntrustの構成
F.4.4.2
WindowsクライアントにおけるEntrustの構成
F.4.5
サーバーにおけるEntrustの構成
F.4.5.1
UNIXサーバーにおけるEntrustの構成
F.4.5.2
WindowsサーバーにおけるEntrustの構成
F.4.6
Entrust対応データベース・ユーザーの作成
F.4.7
Entrust対応のSSLを使用したデータベースへのログイン
F.5
Entrust対応のSSLに適用される問題および制限事項
F.6
Oracle Advanced SecurityにおけるEntrustのトラブルシューティング
F.6.1
プラットフォームに関係なくEntrust実行時に戻されるエラー・メッセージ
F.6.2
WindowsプラットフォームでのEntrust実行時に戻されるエラー・メッセージ
F.6.3
Entrustを実行するための一般的なチェックリスト(すべてのプラットフォームに共通)
F.6.3.1
WindowsでのEntrustインストールのチェックリスト
用語集
索引