| Oracle® Databaseエンタープライズ・ユーザー・セキュリティ管理者ガイド 11gリリース2(11.2) E50142-01 |
|
 前 |
 次 |
この項では、エンタープライズ・ユーザー・セキュリティの新機能と、追加情報の参照先について説明します。以前のリリースの新機能情報も、現行のリリースに移行するユーザーを支援するために提供します。
次の各項では、エンタープライズ・ユーザー・セキュリティの新機能について説明します。
エンタープライズ・ユーザー・セキュリティ11gには、次の新機能があります。
エンタープライズ・ユーザー・セキュリティは、Oracle Enterprise Managerに付属するグラフィカル・ユーザー・インタフェース(GUI)を使用して管理できるようになりました。Oracle Enterprise Managerを使用すると、エンタープライズ・ユーザー、グループ、ロール、ドメインなどを簡単に構成できます。
エンタープライズ・ユーザー・セキュリティ10gリリース2(10.2)には、次の新機能があります。
エンタープライズ・ユーザー・セキュリティ10gリリース2(10.2)には、複数のデータベース間でsqlnet.oraファイルを共有するための新機能が含まれています。データベースは、1つのsqlnet.oraファイルを他のデータベースと共有しながら、個別のウォレットを維持できます。これによって、エンタープライズ・ユーザー・セキュリティの構成が容易になり、Secure Sockets Layer(SSL)の操作性が向上します。詳細は、「複数データベース間でのウォレットとsqlnet.oraファイルの共有」を参照してください。
Oracle Internet Directoryのすべてのアイデンティティ管理レルムに対してパスワード・ポリシーが作成されます。これらのポリシーは、レルム内に存在するすべてのエンタープライズ・ユーザーに適用されます。パスワード・ポリシーには、パスワードの複雑性、パスワードの最低文字数などの設定が含まれます。また、アカウントのロックアウトおよびパスワードの有効期限の設定も含まれます。エンタープライズ・ユーザー・セキュリティでは、Oracle Internet Directoryで設定されているレルム全体のパスワード・ポリシーを順守します。
データベースは、エンタープライズ・ユーザーの認証時にOracle Internet Directoryと通信します。ユーザーのアカウントがロックされているか、無効であるか、期限切れであるか、または期限切れが近いかを確認します。これらの場合には、該当する警告またはエラー・メッセージが表示されます。
ユーザー証明書の識別名(DN)がOracle Internet DirectoryのDNと一致している必要はなくなりました。この機能は、公開鍵インフラストラクチャ(PKI)の認証局がDNでの2つの共通名(CN)の使用をサポートしていない場合に役立ちます。この機能により、ユーザーまたはデータベースに新しい証明書を要求せずにDirectoryを再構成することもできます。詳細は、「SSL認証を使用するエンタープライズ・ユーザー・セキュリティの構成」を参照してください。
エンタープライズ・ユーザー・セキュリティ10gリリース2(10.2)では、セキュリティと使いやすさの両方を向上させる新しいプロキシ機能もいくつか導入されています。
特定のエンタープライズ・ユーザー(またはエンタープライズ・ユーザーのリスト)に対するプロキシ権限を作成し、Oracle Internet Directoryに格納できるようになりました。以前は、プロキシ権限は共有スキーマにのみ付与できたため、その共有スキーマ内のすべてのエンタープライズ・ユーザーは必然的にターゲット・ユーザーとしてプロキシされました。
プロキシ・セッションを確立すると、シングル・ユーザー・セッションになります。以前は、ターゲット・ユーザーとしてプロキシするように元の接続セッションから切り替えると、最初のセッションがアクティブなまま2番目の独立セッションが作成されました。
プロキシ・アクセスは、SQLPLUSおよびOracle Call Interface(OCI)を通じて可能になりました。以前のプロキシ・アクセスは、OCIを介してのみ確立できました。
新しいプロキシ機能の詳細は、「エンタープライズ・ユーザー・プロキシ」を参照してください。
エンタープライズ・ユーザー・セキュリティ10gリリース1(10.1)には、次の新機能があります。
Kerberos認証されたエンタープライズ・ユーザー
データベースに対するKerberosベースの認証は、LDAPディレクトリで管理されているユーザーに対して使用できます。これには、Oracle Internet Directoryや、Directory Integration Platformを使用してOracle Internet Directoryと連携して動作するように同期された他のサード・パーティ・ディレクトリが含まれます。この機能を使用するには、サード・パーティ・ディレクトリから同期されたユーザーを含め、すべてのディレクトリ・ユーザーに、Kerberosプリンシパル名属性(krbPrincipalName属性)を組み込む必要があります。
データベースとOracle Internet Directory間の接続で不要になった公開鍵インフラストラクチャ(PKI)資格証明
このリリースでは、パスワードとSASLベースの認証によりデータベースをOracle Internet Directoryにバインドすることができ、ディレクトリと複数データベースに対するPKI資格証明の設定のオーバーヘッドをなくすことができます。SASL (Simple Authentication and Security Layer)は、Internet Engineering Task Force RFC 2222で定義されている標準です。LDAPなどの接続ベースのプロトコルに認証サポートを追加する方法です。
サード・パーティLDAPディレクトリでのユーザー管理のサポート
エンタープライズ・ユーザー・セキュリティの現行のリリースでは、ユーザーとそのパスワードをサード・パーティのLDAPディレクトリに格納し、管理できます。この機能は次のものがある場合に使用できます。
サード・パーティ・ディレクトリとOracle Internet Directoryを自動的に同期するDirectory Integration Platform。
Oracle Databaseによる標準パスワード検証の認識機能(これもこのリリースでの新機能)。
