エンタープライズ・ユーザーは、Oracle Identity Managementインフラストラクチャの一部であるOracle Internet Directoryを利用します。所属している組織がActive Directoryなどのサード・パーティのディレクトリを使用してユーザー・エントリを格納および管理している場合は、サード・パーティのディレクトリとOracle Internet Directoryを統合してエンタープライズ・ユーザー・セキュリティを管理できます。
エンタープライズ・ユーザーのKerberos認証では、Microsoft Windowsドメイン・コントローラ上で動作するKerberos Key Distribution Center(KDC)が発行するチケットを利用できます。
この付録では、Kerberos認証を使用したエンタープライズ・ユーザー・セキュリティとMicrosoft Active Directoryの統合手順を示します。次の項目について説明します。
Oracleコンポーネントは、Oracle Internet Directoryを利用してセキュリティを一元管理します。組織によっては、Active Directoryを使用するMicrosoft Windowsドメインを設定してセキュリティを一元管理している場合があります。エンタープライズ・ユーザー・セキュリティとActive Directoryを併用できるように構成するには、Oracle Internet DirectoryとActive Directory間の同期を設定する必要があります。
2つのディレクトリを同期するには、同期プロファイルを使用します。このプロファイルには、2つのディレクトリの同期に必要な構成情報が含まれています。構成情報には、同期の方向、マッピング・ルールと書式、Microsoft Windowsドメインの接続の詳細などがあります。マッピング・ルールには、一方のディレクトリのドメインと属性を他方のディレクトリにマップするためのドメイン・ルールと属性ルールがあり、オプションで属性の書式設定があります。
関連項目: Oracle Internet DirectoryとMicrosoft Active Directoryの統合手順は、『Oracle Identity Management統合ガイド』を参照してください。 |
Windows 2000ドメイン・コントローラで、次のタスクを実行する必要があります。
Microsoft Active DirectoryでOracle Databaseプリンシパルを作成します。
これにより、Microsoft Active Directoryにデータベースの新しいユーザーが作成されます。
ktpass
コマンドライン・ユーティリティを使用して、Kerberosのkeytab
ファイルを作成します。
ktpass
ユーティリティは、Windows 2000サポート・ツールの一部です。Windows 2000ドメイン・コントローラをKDCとして使用するには、keytab
ファイルが必要です。
前の手順で作成したkeytab
ファイルを、データベース・サーバーがインストールされているコンピュータにコピーします。
関連項目: この手順の詳細は、『Oracle Database Advanced Security管理者ガイド』を参照してください。 |
Oracle Databaseがインストールされているホスト・コンピュータで、次のタスクを実行する必要があります。
Kerberosパラメータを使用してデータベースのsqlnet.ora
ファイルを更新します。
関連項目: この手順の詳細は、『Oracle Database Advanced Security管理者ガイド』を参照してください。 |
Oracle Kerberosクライアントで、次の手順を実行する必要があります。
Kerberosクライアント構成ファイルを作成します。
Kerberosクライアント構成ファイルは、Windows 2000ドメイン・コントローラをKerberos KDCとして参照します。
クライアントのsqlnet.ora
ファイルにKerberosパラメータを指定します。
手動でファイルを更新することも、Oracle Net Managerユーティリティを使用することもできます。
関連項目: この手順の詳細は、『Oracle Database Advanced Security管理者ガイド』を参照してください。 |
クライアントがデータベースに接続するには、初期チケットをリクエストする必要があります。初期チケットにより、その他のサービス・チケットを要求する権限を持つクライアントとして識別されます。初期チケットは、okinit
コマンドを使用してリクエストします。
関連項目: okinit を使用した初期チケットのリクエストの詳細は、『Oracle Database Advanced Security管理者ガイド』を参照してください。 |
Kerberos認証を使用するエンタープライズ・ユーザー・セキュリティを構成するには、次の手順に従います。
Oracle Internet Directoryにデータベースを登録します。
データベースの登録には、Database Configuration Assistantを使用できます。
データベースおよびOracle Internet Directoryでエンタープライズ・ユーザー・セキュリティ・オブジェクトを構成します。
データベースでグローバル・スキーマとグローバル・ロールを作成します。また、エンタープライズ・ドメインでエンタープライズ・ロールを作成します。エンタープライズ・ドメインのユーザー・スキーマ・マッピングを構成して、グローバル・データベース・ロールをエンタープライズ・ロールに追加し、データベースにアクセスするエンタープライズ・ユーザーにエンタープライズ・ロールを付与します。
Kerberos認証を受け入れるようにエンタープライズ・ドメインを構成します。
Oracle Enterprise Managerを使用して、エンタープライズ・ドメインに対するKerberos認証を有効にします。
Kerberos認証エンタープライズ・ユーザーとして接続します。
SQL*Plusを起動し、connect /@
net_service_name
コマンドを使用してKerberos認証エンタープライズ・ユーザーとして接続します。