用語集

A C D F G H J K L M N O P R S T W X あいうえおかきくこさしすせそたちてとにねはひふへめゆりるれ

A

Advanced Encryption Standard: Advanced Encryption Standard（AES）は、米国商務省国立標準技術研究所によってDESに代わるものとして承認された新しい暗号アルゴリズムである。AES規格は、Federal Information Processing Standards Publication 197で入手できる。AESアルゴリズムは、128、192および256ビットの長さの暗号鍵を使用して、128ビットのデータ・ブロックを処理できる対称型ブロック暗号である。

AES: 「Advanced Encryption Standard」を参照。

C

CA: 「認証局」を参照。

CDS: 「セル・ディレクトリ・サービス（CDS）」を参照。

CRL: 「証明書失効リスト」を参照。

CRL DP: 「CRL配布ポイント」を参照。

CRL配布ポイント（CRL Distribution Point: CRL DP）: X.509バージョン3証明書標準で指定されるオプションの拡張子。証明書の失効情報が格納されている区分CRLの位置を示す。通常、この拡張の値はURLの形式である。CRL DPでは、単一の認証局ドメイン内の失効情報を複数のCRLにポストできる。CRL DPは、失効情報を管理しやすい断片に分割して、大量のCRLの増殖を回避することにより、パフォーマンスを向上させる。たとえば、CRL DPを証明書で指定し、証明書の失効情報をダウンロードできるWebサーバー上のファイルを指すことができる。

D

Data Encryption Standard（DES）: 米国のデータ暗号化規格。

DCE: 「分散コンピューティング環境（DCE）」を参照。

DES: 「Data Encryption Standard（DES）」を参照。

Diffie-Hellman鍵交換アルゴリズム（Diffie-Hellman key negotiation algorithm）: これは、安全でないチャネルを通じて通信する2者に、当時者のみが知っている乱数で合意させる方法である。当時者は、Diffie-Hellman鍵交換アルゴリズムの実行中に安全でないチャネルを通じて情報を交換するが、攻撃者がネットワーク通信を分析して、合意した乱数を推定するのは計算上不可能である。Oracle Advanced Securityでは、Diffie-Hellman鍵交換アルゴリズムを使用してセッション鍵を生成する。

F

FIPS: 「米国連邦情報処理標準（FIPS）」を参照。

G

GDS: 「グローバル・ディレクトリ・サービス（GDS）」を参照。

H

HTTP: Hypertext Transfer Protocol: World Wide Web上でのファイル（テキスト、グラフィック・イメージ、サウンド、ビデオおよびその他のマルチメディア・ファイル）の交換に関するルール・セット。TCP/IPプロトコル・スイート（インターネット上での情報交換の基礎）に対して、HTTPはアプリケーション・プロトコルである。

HTTPS: 標準のHTTPアプリケーション・レイヤーのサブレイヤーとしてSecure Sockets Layer（SSL）を使用したプロトコル。

J

Java Database Connectivity（JDBC）: Javaプログラムからリレーショナル・データベースに接続するための業界標準のJavaインタフェース。Sun社が定義した。

Javaコード不明瞭化（java code obfuscation）: Javaコード不明瞭化は、Javaプログラムをリバース・エンジニアリングから保護するために使用される。特別なプログラム（obfuscator）を使用して、コードに見つかったJavaシンボルをスクランブルする。プロセスは、元のプログラム構造をそのまま保持し、意図した動作を隠すためにクラス、メソッドおよび変数の名前を変更する一方でプログラムが正常に稼働するようにする。不明瞭化されていないJavaコードをデコンパイルして読み取ることは可能だが、不明瞭化されたJavaコードのデコンパイルは、米国政府の輸出規制を満たすのに十分なほど困難になっている。

JDBC: 「Java Database Connectivity（JDBC）」を参照。

K

KDC: Key Distribution Center。Kerberos認証では、KDCはユーザー・プリンシパルのリストを管理し、ユーザーの初期チケットに関してkinit（okinitはOracleバージョン）プログラムを通じてアクセスされる。KDCおよびチケット認可サービスが同じエンティティに結合されることが多いが、その場合もKDCと呼ばれる。チケット認可サービスは、サービス・プリンシパルのリストを管理し、このようなサービスを提供するサーバーに対してユーザーの認証が必要な場合にアクセスされる。KDCは、セキュア・ホストで実行する必要のある信頼できるサード・パーティである。チケット認可チケットおよびサービス・チケットを作成する。

Kerberos: Massachusetts Institute of TechnologyのAthenaプロジェクトで開発されたネットワーク認証サービスであり、分散環境でのセキュリティを強化する。Kerberosは信頼できるサード・パーティ認証システムであり、共有秘密鍵に基づき、サード・パーティがセキュアであることを前提とする。シングル・サインオン機能とデータベース・リンク認証（MIT Kerberosのみ）があり、パスワードを一元的に保管してPCのセキュリティを強化する。

keytabファイル（keytab file）: 1つ以上のサービス・キーを含むKerberosキー表ファイル。ホストまたはサービスは、ユーザーがパスワードを使用するのと同じ方法でkeytabファイルを使用する。

kinstance: Kerberos認証されたサービスのインスタンス化または場所。これは、任意の文字列だが、通常はサービスのホスト・コンピュータ名を指定する。

kservice: Kerberosサービス・オブジェクトの任意の名前。

L

LDAP: 「Lightweight Directory Access Protocol（LDAP）」を参照。

ldap.oraファイル（ldap.ora file）: 次のディレクトリ・サーバー・アクセス情報を含むファイル。Oracle Net Configuration Assistantによって作成される。; ディレクトリ・サーバーのタイプ; ディレクトリ・サーバーの場所; クライアントまたはサーバーで使用するデフォルトのアイデンティティ管理レルムまたはOracleコンテキスト（ポートを含む）

Lightweight Directory Access Protocol（LDAP）: 標準の拡張可能ディレクトリ・アクセス・プロトコル。LDAPクライアントおよびサーバーが通信に使用する共通言語である。Oracle Internet Directoryなど、業界標準のディレクトリ製品をサポートする設計規則のフレームワーク。

listener.oraファイル（listener.ora file）: 次の内容を識別するリスナーの構成ファイル。; リスナー名; 接続リクエストを受け入れるプロトコル・アドレス; リスニングするサービス; 通常、listener.oraファイルは、UNIXプラットフォームでは$ORACLE_HOME/network/adminに、WindowsではORACLE_BASE\ORACLE_HOME\network\adminにある。

M

MD5: 指定されたデータから128ビットの暗号メッセージ・ダイジェスト値を生成することにより、データの整合性を保証するアルゴリズム。データのわずか1ビット値が変更された場合でも、データのMD5チェックサムが変更される。MD5で元のデータと同じ結果が生成されるようにデータを偽造することは、計算上不可能と考えられる。

N

NIST: 「米国連邦情報処理標準（FIPS）」を参照。

O

obfuscator: Javaソース・コードの不明瞭化に使用される特殊なプログラム。「不明瞭化」を参照。

OracleContextAdmins: Oracle Internet Directoryの管理グループの1つ。このグループのメンバーは、関連付けられたレルムOracleコンテキスト内のすべてのグループおよびエントリへの完全なアクセス権を持つ。

OracleDBAdmins: Oracle Internet Directoryの管理グループの1つ。このグループのメンバーは、ディレクトリに登録されている特定のデータベースのデータベース・ユーザー・スキーマ・マッピングを管理する。

OracleDBCreators: Oracle Internet Directoryの管理グループの1つ。このグループのメンバーは、Database Configuration Assistantを使用して新規データベースを作成し、ディレクトリに登録する。

OracleDBSecurityAdmins: Oracle Internet Directoryの管理グループの1つ。このグループのメンバーは、すべてのエンタープライズ・ドメインでエンタープライズ・ユーザーのアイデンティティ管理レルムを構成する権限を持つ。

Oracle Net Services: OracleサーバーまたはDesigner/2000などのOracleのツール製品を実行する2台以上のコンピュータがサード・パーティ・ネットワークを通じてデータを交換できるようにするOracle製品。Oracle Net Servicesは、分散処理および分散データベース機能をサポートする。Oracle Net Servicesは、通信プロトコルに依存しないためオープン・システムであり、ユーザーは多くのネットワーク環境へのインタフェースとしてOracle Netを使用できる。

OraclePasswordAccessibleDomains: 「パスワードでアクセス可能なドメインのリスト」を参照。

Oracle PKI証明書使用（Oracle PKI certificate usage）: 証明書でサポートされるOracleアプリケーションのタイプを定義する。

OracleUserSecurityAdmins: Oracle Internet Directoryの管理グループの1つ。このグループのメンバーは、ディレクトリ内のOracleデータベース・ユーザーのセキュリティを管理できる。

Oracleコンテキスト（Oracle Context）: LDAP準拠のインターネット・ディレクトリ内にあるcn=OracleContextというエントリ。このディレクトリには、Oracle Net Servicesディレクトリ・ネーミングおよびチェックサムのセキュリティのエントリなど、Oracleソフトウェア関連のすべての情報が格納されている。; 1つのディレクトリに1つ以上のOracleコンテキストを設定できる。Oracleコンテキストは、通常はアイデンティティ管理レルムにある。

Oracleデータベース・メソッド（Oracle database method）: Oracleデータベースを使用して、Indentix Biometric認証を構成する際に指紋テンプレートを格納すること。このメソッドのかわりに、ファイル・システム・メソッドを使用することもできる。

P

PCMCIAカード（PCMCIA card）: Personal Computer Memory Card International Association（PCMCIA）標準に準拠する小さなクレジット・カード・サイズのコンピューティング・デバイス。これらのデバイスはPCカードとも呼ばれ、メモリー、モデムまたはハードウェア・セキュリティ・モジュールの追加に使用される。PCMCIAカードは、ハードウェア・セキュリティ・モジュールが公開鍵と秘密鍵のペアの秘密鍵コンポーネントを安全に格納する際に使用され、暗号操作も実行する場合がある。

PEM: インターネット上で安全な電子メールを提供するためにInternet Architecture Boardによって採用されたInternet Privacy-Enhanced Mailプロトコル標準。PEMプロトコルは、暗号化、認証、メッセージ整合性および鍵管理を提供する。PEMは、データ暗号化鍵を暗号化するための対称型スキームと公開鍵スキームの両方を含む様々な鍵管理アプローチと互換性を持つよう意図された包括的な標準である。PEMの仕様は、4つのInternet Engineering Task Force（IETF）ドキュメント、RFC 1421、1422、1423および1424に記載されている。

PKCS #10: 認証リクエストの構文を記述するRSA Security社のPublic-Key Cryptography Standards（PKCS）仕様。認証リクエストは、識別名、公開鍵およびオプションの属性セットから構成され、証明書をリクエストするエンティティによって一括して署名される。このマニュアルでは、認証リクエストを証明書リクエストと呼ぶ。「証明書リクエスト」を参照。

PKCS #11: 暗号情報を保持し、暗号操作を実行するデバイスに対する、Cryptokiと呼ばれるアプリケーション・プログラミング・インタフェース（API）を定義するRSA Security社のPublic-Key Cryptography Standards（PKCS）仕様。「PCMCIAカード」を参照。

PKCS #12: 通常はウォレットと呼ばれる形式で個人認証資格証明を格納および転送するための転送構文を記述するRSA Security社のPublic-Key Cryptography Standards（PKCS）仕様。

PKI: 「公開鍵インフラストラクチャ（PKI）」を参照。

R

RADIUS: Remote Authentication Dial-In User Service（RADIUS）は、リモート・アクセス・サーバーが中央サーバーと通信してダイアルイン・ユーザーを認証し、リクエストされたシステムまたはサービスへのアクセスを認可できるようにするクライアント/サーバー・プロトコルおよびソフトウェアである。

S

Secure Hash Algorithm（SHA）: 指定されたデータから160ビットの暗号メッセージ・ダイジェスト値を生成することにより、データの整合性を保証するアルゴリズム。データのわずか1ビットが変更された場合でも、データのSecure Hash Algorithmチェックサムが変更される。Secure Hash Algorithmで元のデータと同じ結果が生成されるように指定されたデータ・セットを偽造することは、計算上不可能と考えられる。; 264ビット未満の長さのメッセージを受け取り、160ビットのメッセージ・ダイジェストを生成するアルゴリズムである。このアルゴリズムはMD5に比べて少し低速だが、メッセージ・ダイジェストが長いほど、総当たり攻撃と侵入攻撃に対する安全度が増す。

Secure Sockets Layer（SSL）: ネットワーク接続を保護するためにNetscape社が開発した業界標準プロトコル。SSLは、公開鍵インフラストラクチャ（PKI）を使用した認証、暗号化、およびデータの整合性を提供する。

SHA: 「Secure Hash Algorithm（SHA）」を参照。

Sniffer: ネットワークからのプライベート・データ・トラフィックを不正にリスニングまたは取得するために使用されるデバイス。

sqlnet.oraファイル（sqlnet.ora file）: 次の内容を指定するクライアントまたはサーバーの構成ファイル。; 修飾されていないサービス名またはネット・サービス名に付加するクライアント・ドメイン; 名前を変換する際にクライアントで使用するネーミング・メソッドの順序; 使用するロギングおよびトレース機能; 接続のルート; デフォルトのOracle Names Server; 外部ネーミング・パラメータ; Oracle Advanced Securityパラメータ; 通常、sqlnet.oraファイルは、UNIXプラットフォームでは$ORACLE_HOME/network/adminに、WindowsプラットフォームではORACLE_BASE\ORACLE_HOME\network\adminにある。

SSO: 「シングル・サインオン（SSO）」を参照。

T

tnsnames.ora: 接続記述子を含むファイル。各接続記述子は、ネット・サービス名にマップされる。ファイルは、すべてのクライアントまたは個々のクライアントで使用するために一元的またはローカルに管理できる。通常、このファイルはプラットフォームに応じて次の場所に存在する。; （UNIXの場合）ORACLE_HOME/network/admin; （Windowsの場合）ORACLE_BASE\ORACLE_HOME\network\admin

W

Windowsシステム固有の認証（Windows native authentication）: Windowsサーバーおよびそのサーバー上で稼働しているデータベースへのクライアントのシングル・ログイン・アクセスを可能にする認証方式。

WRL: 「ウォレット・リソース・ロケータ」を参照。

X

X.509: デジタル証明書に関する業界標準の仕様。

あ

アイデンティティ管理（identity management）: オンライン、すなわちデジタルなエンティティの作成、管理および使用。アイデンティティ管理には、デジタル識別情報の作成（デジタル識別情報のプロビジョニング）から、メンテナンス（電子リソースへのアクセスに関する組織ポリシーの施行）、さらに最終的な終了までのライフ・サイクル全体の安全な管理が含まれる。

アイデンティティ管理レルム（identity management realm）: Oracle Internet Directoryのサブツリーであり、Oracleコンテキストだけでなく、それぞれアクセス制御リストで保護されているユーザーおよびグループの追加サブツリーも含む。

アクセス制御（access control）: 特定のクライアントまたはクライアント・グループに対して特定のデータへのアクセス権を付与または制限するシステム機能。

アクセス制御リスト（Access Control List: ACL）: ユーザーが定義するアクセス・ディレクティブのグループ。ディレクティブは、特定のクライアント、クライアント・グループまたはその両方に対して特定のデータへのアクセス・レベルを付与する。

暗号化（cryptography）: データのエンコーディングおよびデコーディング処理であり、メッセージを保全する。

暗号化（encryption）: 対象受信者以外には判読不能なものとしてメッセージの形式を変換するプロセス。

暗号化テキスト（encrypted text）: 暗号化アルゴリズムを使用して暗号化されたテキスト。暗号化プロセスの出力ストリーム。最初に復号化しないかぎり、そのままでは読取りまたは解読できない。暗号文とも呼ばれる。暗号化テキストは、最終的には平文になる。

暗号スイート（cipher suite）: ネットワーク・ノード間でメッセージを交換するために使用される認証、暗号化およびデータ整合性のアルゴリズムのセット。たとえば、SSLハンドシェイク中に2つのノードがネゴシエーションして、メッセージの送受信中に使用する暗号スイートを確認する。

暗号スイート名（cipher suite name）: 暗号スイートは、特定のセッションで接続により使用される暗号保護の種類を示す。

暗号ブロック連鎖（Cipher Block Chaining: CBC）: 暗号化方式の1つ。先行するすべてのブロックに従って暗号ブロックの暗号化を行い、ブロック再生攻撃からデータを保護する。許可されていない復号化が段階的に困難になるように設計されている。Oracle Advanced Securityでは、外部暗号ブロック連鎖が使用されている。これは、内部暗号ブロック連鎖より安全性が高く、実質的なパフォーマンスの低下を伴わないためである。

暗号文（ciphertext）: 暗号化されたメッセージ・テキスト。

い

インスタンス（instance）: 稼働中のすべてのOracleデータベースは、Oracleインスタンスに関連付けられている。データベースが（コンピュータのタイプに関係なく）データベース・サーバー上で起動すると、Oracleによってシステム・グローバル領域（SGA）というメモリー領域が割り当てられ、Oracleプロセスが起動する。このSGAとOracleプロセスの組合せをインスタンスと呼ぶ。インスタンスのメモリーおよびプロセスは、関連付けられているデータベースのデータを効率的に管理し、1つ以上のデータベース・ユーザーを処理する。

う

ウォレット（wallet）: 個々のエンティティのセキュリティ資格証明の格納と管理に使用されるデータ構造。ウォレット・リソース・ロケータ（WRL）は、ウォレットの位置を特定するために必要なすべての情報を提供する。

ウォレット不明瞭化（wallet obfuscation）: ウォレット不明瞭化は、アクセスの前にユーザーにパスワードを問い合せずにOracleウォレットを格納およびアクセスするために使用される（シングル・サインオン（SSO）をサポートする）。

ウォレット・リソース・ロケータ（Wallet Resource Locator）: ウォレット・リソース・ロケータ（WRL）は、ウォレットの位置を特定するために必要なすべての情報を提供する。ウォレットが格納されているオペレーティング・システム・ディレクトリへのパス。

え

エンタープライズ・ドメイン（enterprise domain）: データベースとエンタープライズ・ロールのグループで構成されたディレクトリ構造。1つのデータベースが同時に複数のエンタープライズ・ドメイン内に存在することはない。エンタープライズ・ドメインは、共通ディレクトリ・データベースを共有するコンピュータの集合であるWindows 2000ドメインとは異なる。

エンタープライズ・ドメイン管理者（enterprise domain administrator）: 新規エンタープライズ・ドメイン管理者を追加する権限を含め、特定のエンタープライズ・ドメインの管理を認可されたユーザー。

エンタープライズ・ユーザー（enterprise user）: ディレクトリで定義および管理されるユーザー。各エンタープライズ・ユーザーは、エンタープライズ全体で一意の識別情報を持つ。

エンタープライズ・ロール（enterprise role）: エンタープライズ・ユーザーに割り当てられるアクセス権限。エンタープライズ・ドメイン内の1つ以上のデータベースに対するOracleロールベースの認可のセット。エンタープライズ・ロールはディレクトリに格納され、1つ以上のグローバル・ロールを含む。

エントリ（entry）: ディレクトリの基本要素であり、ディレクトリ・ユーザーに関係のあるオブジェクトに関する情報が含まれている。

お

オブジェクト・クラス（object class）: 属性の名前付きグループ。エントリに属性を割り当てるには、これらの属性を保持するオブジェクト・クラスをそのエントリに割り当てる。同じオブジェクト・クラスに関連付けられているすべてのオブジェクトは、同じ属性を共有する。

か

介在者（man-in-the-middle）: 第三者によるメッセージの不正傍受を特徴とするセキュリティ攻撃であり、第三者である介在者がメッセージを復号化して再び暗号化し（元のメッセージを変更する場合としない場合がある）、元々の対象受信者に再送信する。これらはすべて正当な送信者および受信者が認識しないうちに行われる。このタイプのセキュリティ攻撃は、認証が行われていない場合のみ機能する。

外部認証（external authentication）: KerberosやRADIUSなどのサード・パーティ認証サービスによるユーザー識別情報の検証。

鍵（key）: データの暗号化時に、指定されたアルゴリズムによって指定された平文から生成される暗号文を決定する値。また、データの復号化時に、暗号文を正しく復号化するために必要な値。正しい鍵が提供された場合のみ、暗号文は正しく復号化される。; 対称型暗号化アルゴリズムでは、同じデータの暗号化と復号化の両方に同じ鍵が使用される。非対称型暗号化アルゴリズム（公開鍵暗号化アルゴリズムまたは公開鍵暗号方式とも呼ぶ）では、同じデータの暗号化と復号化に異なる鍵が使用される。

鍵のペア（key pair）: 公開鍵およびそれに関連付けられている秘密鍵。「公開鍵と秘密鍵のペア」を参照。

き

機密保護（confidentiality）: 暗号化の機能。機密保護によって、メッセージを参照（暗号文を復号化する）できるのはメッセージの本来の受信者のみであることが保証される。

共有スキーマ（shared schema）: 複数のエンタープライズ・ユーザーが使用できるデータベースまたはアプリケーション・スキーマ。Oracle Advanced Securityでは、複数のエンタープライズ・ユーザーをデータベース上の同じ共有スキーマにマップできる。これにより、管理者は、各データベースのユーザーごとにアカウントを作成する必要がなくなる。かわりに、ユーザーを1箇所（エンタープライズ・ディレクトリ）に作成し、そのユーザーを共有スキーマにマップできる。この共有スキーマには他のエンタープライズ・ユーザーもマップできる。ユーザー/スキーマの分割と呼ばれることもある。

く

クライアント（client）: サービスを利用する側。クライアントはユーザーの場合や、データベース・リンク中にユーザーとして機能するプロセス（プロキシともいう）の場合がある。

クリアテキスト（cleartext）: 暗号化されていない平文。

グリッド・コンピューティング（grid computing）: 単一の大規模コンピュータとして機能する大量のサーバーおよびストレージを調整するコンピューティング・アーキテクチャ。Oracle Grid Computingは、柔軟性のあるオンデマンド・コンピューティング・リソースをすべてのエンタープライズ・コンピューティング・ニーズに対して作成する。Oracle 10gグリッド・コンピューティング・インフラストラクチャで稼働しているアプリケーションは、フェイルオーバー、ソフトウェア・プロビジョニングおよび管理のための共通インフラストラクチャ・サービスを利用できる。Oracle Grid Computingは、リソースの需要を分析し、それに応じて供給を調整する。

グローバル・ディレクトリ・サービス（Global Directory Service: GDS）: DCE CDSと任意のX.500ディレクトリ・サービス間でエージェントとして機能するDCEディレクトリ・サービス。GDSとCDSはどちらも使用されなくなり、DCEでのみ使用されている。

グローバル・ロール（global role）: ディレクトリで管理されるロールだが、その権限は単一のデータベースに格納されている。グローバル・ロールは、次の構文を使用してデータベースに作成される。

こ

公開鍵（public key）: 公開鍵暗号化では、この鍵がすべてに対して公開される。主に暗号化に使用されるが、署名の検証にも使用できる。「公開鍵と秘密鍵のペア」を参照。

公開鍵暗号化（public key encryption）: メッセージの送信者が受信者の公開鍵でメッセージを暗号化するプロセス。配信時に、メッセージは受信者によって秘密鍵を使用して復号化される。

公開鍵インフラストラクチャ（public key infrastructure: PKI）: 公開鍵暗号化の原理を利用した情報セキュリティ・テクノロジ。公開鍵暗号化には、共有の公開鍵と秘密鍵のペアを使用した情報の暗号化および復号化が含まれる。パブリック・ネットワーク内にセキュアでプライベートな通信を提供する。

公開鍵と秘密鍵のペア（public and private key pair）: 暗号化および復号化に使用される2つの数値のセットであり、一方を秘密鍵と呼び、もう一方を公開鍵と呼ぶ。通常、公開鍵は広範に使用可能であるが、秘密鍵はそれぞれの所有者が保持する。数学的な関連性はあるが、一般には公開鍵から秘密鍵を導出するのは計算上不可能とみなされている。公開鍵と秘密鍵は、公開鍵暗号化アルゴリズムまたは公開鍵暗号方式とも呼ばれる非対称型暗号化アルゴリズムでのみ使用される。鍵のペアの公開鍵または秘密鍵のいずれかで暗号化されたデータは、鍵のペアのうち関連付けられている鍵で復号化できる。ただし、公開鍵で暗号化されたデータを同じ公開鍵で復号化することはできず、秘密鍵で暗号化されたデータを同じ秘密鍵で復号化することはできない。

さ

サーバー（server）: サービスのプロバイダ。

サービス（service）: 1. Oracleデータベース・サーバーなど、クライアントによって使用されるネットワーク・リソース。; 2. Windowsレジストリにインストールされ、Windowsによって管理される実行可能プロセス。サービスが作成され、開始された後は、コンピュータにログオンしているユーザーがいない場合でも実行できる。

サービス・チケット（service ticket）: クライアントの認証に使用される信頼できる情報。初期チケットとも呼ばれるチケット認可チケットは、okinitを直接または間接的に実行し、パスワードを指定することで取得され、クライアントがサービス・チケットを要求するために使用される。サービス・チケットは、クライアントがサービスへの認証を受けるために使用される。

サービス表（service table）: Kerberos認証では、サービス表はkinstanceに存在するサービス・プリンシパルのリストである。KerberosをOracleで使用するには、その前にこの情報をKerberosから抽出し、Oracleサーバー・コンピュータにコピーする必要がある。

サービス・プリンシパル（service principal）: 「プリンシパル」を参照。

サービス名（service name）: Kerberosベース認証の場合は、サービス・プリンシパルのkservice部分。

し

資格証明（credentials）: データベースにアクセスするために使用するユーザー名、パスワードまたは証明書。

識別情報（identity）: エンティティの公開鍵とその他の公開情報の組合せ。公開情報には、電子メール・アドレスなどのユーザー識別データを含めることができる。宣言どおりのエンティティとして証明されているユーザー。

識別名（distinguished name: DN）: ディレクトリ・エントリの一意の名前。親エントリからディレクトリ情報ツリーのルート・エントリまでのすべての個々の名前から構成される。「ディレクトリ情報ツリー（DIT）」を参照。

辞書攻撃（dictionary attack）: パスワードに対する一般的な攻撃。攻撃者は、考えられる多くのパスワードとそれらに対応する検証の辞書を作成する。なんらかの手段を通じて、攻撃者はターゲット・パスワードに対応する検証を入手し、辞書で検証を検索することでターゲット・パスワードを入手する。

システム・グローバル領域（System Global Area: SGA）: Oracleインスタンスのデータおよび制御情報を含む共有メモリー構造のグループ。

システム識別子（system identifier: SID）: Oracleインスタンスの一意の名前。Oracleデータベース間を切り替えるには、ユーザーが目的のSIDを指定する必要がある。SIDは、tnsnames.oraファイル内の接続記述子のCONNECT DATA部分と、listener.oraファイル内のネットワーク・リスナーの定義に含まれる。

自動ログイン・ウォレット（auto login wallet）: アクセス時に資格証明を指定せずにサービスへのPKIベースまたはパスワードベースのアクセスを可能にするOracle Wallet Managerの機能。自動ログイン・アクセスは、自動ログイン機能がウォレットに対して無効になるまで有効である。ファイル・システム権限は、自動ログイン・ウォレットに必要なセキュリティを提供する。ウォレットに対して自動ログインが有効になっている場合は、そのウォレットを作成したオペレーティング・システム・ユーザーのみ、そのウォレットを使用できる。これらはシングル・サインオン機能を提供するため、SSOウォレットと呼ばれることもある。

証明書（certificate）: 識別情報を公開鍵に安全にバインドするITU x.509 v3標準データ構造。; 証明書は、信頼できる識別情報（認証局）によってエンティティの公開鍵が署名されたときに作成される。この証明書は、エンティティの情報が正しく、公開鍵が実際にそのエンティティに属することを保証する。; 証明書には、エンティティの名前、識別情報および公開鍵が含まれる。シリアル番号、有効期限、および証明書に付随する権利、使用および権限も含まれることがある。最後に、その証明書を発行した認証局に関する情報が含まれる。

証明書失効リスト（certificate revocation list: CRL）: 取り消された証明書のリストを格納する署名済データの構造。CRLの信頼性と整合性は、CRLに付加されているデジタル署名によって提供される。通常、CRLの署名者は、発行された証明書に署名したエンティティと同じである。

証明書リクエスト（certificate request）: 認証リクエスト情報、署名アルゴリズム識別子および認証リクエスト情報に対するデジタル署名の3つの部分から構成される証明書リクエスト。認証リクエスト情報は、対象の識別名、公開鍵およびオプションの属性セットから構成される。属性では、対象の識別情報に関する郵便の宛先などの追加情報、または対象エンティティが後で証明書失効を要求するためのチャレンジ・パスワードを提供できる。「PKCS #10」を参照。

証明連鎖（certificate chain）: エンド・ユーザーまたはサブスクライバの証明書とその認証局の証明書を含む順序付きの証明書リスト。

初期チケット（initial ticket）: Kerberos認証では、初期チケットまたはチケット認可チケット（TGT）によって、ユーザーが追加のサービス・チケットを要求する権利を持つものとして識別される。初期チケットがないと、他のチケットは取得できない。初期チケットは、okinitプログラムを実行し、パスワードを指定することで取得される。

シングル・サインオン（single sign-on: SSO）: 他のデータベースまたはアプリケーションへの後続の接続で透過的に行われる厳密認証と組み合せて、ユーザーを1回認証する機能。シングル・サインオンでは、ユーザーは1回の接続中に入力した単一のパスワードで複数のアカウントおよびアプリケーションにアクセスできる。単一のパスワードによる単一の認証。Oracle Advanced Securityは、Kerberos、DCEおよびSSLベースのシングル・サインオンをサポートしている。

信頼できる証明書（trusted certificate）: 一定の信頼度を有すると認定されたサード・パーティの識別情報で、ルート鍵証明書とも呼ばれることがある。信頼できる証明書は、エンティティが本人（本物）であるという識別情報を検証する際に使用される。通常は、信頼する認証局を信頼できる証明書と呼ぶ。複数レベルの信頼できる証明書がある場合、証明連鎖で下位レベルにある信頼できる証明書では、それより上位レベルの証明書すべての再検証を必要としない。

信頼できる認証局（trusted certificate authority）: 「認証局」を参照。

す

スキーマ（schema）: 1. データベース・スキーマ: 表、ビュー、クラスタ、プロシージャ、パッケージ、属性、オブジェクト・クラスなどのオブジェクトと、それらに対応する一致ルールの名前付きコレクションであり、特定のユーザーに関連付けられている。2. LDAPディレクトリ・スキーマ: 属性、オブジェクト・クラス、およびそれらに対応する一致ルールのコレクション。

スキーマ・マッピング（schema mapping）: 「ユーザー・スキーマ・マッピング」を参照。

スマートカード（smart card）: ユーザー名やパスワードなどの情報を格納するため、また認証交換に関連する計算を実行するための集積回路が埋め込まれた（クレジット・カードに似た）プラスチックのカード。スマートカードは、クライアントまたはサーバーでハードウェア・デバイスによって読み取られる。; スマートカードは、1回かぎりのパスワードとして使用できる乱数を生成できる。この場合、スマートカードは、サーバー上のサービスと同期するため、サーバーはスマートカードによって同じパスワードが生成されると想定する。

せ

整合性（integrity）: 受信したメッセージの内容が、送信された元のメッセージの内容から変更されていないことの保証。

セッション鍵（session key）: 少なくとも2者間（通常はクライアントとサーバー）で共有される鍵であり、単一の通信セッションの継続中にデータの暗号化に使用される。セッション鍵は、通常はネットワーク・トラフィックの暗号化に使用される。クライアントとサーバーはセッションの開始時にセッション鍵を取り決めることができ、そのセッションで関係者間のすべてのネットワーク・トラフィックの暗号化にその鍵が使用される。クライアントとサーバーが新しいセッションで再び通信する場合は、新しいセッション鍵を取り決める。

セッション・レイヤー（session layer）: プレゼンテーション・レイヤーのエンティティが必要とするサービスを提供するネットワーク・レイヤーであり、エンティティで対話の編成と同期およびデータ交換の管理を行えるようにする。このレイヤーは、クライアントとサーバー間でネットワーク・セッションを確立、管理および終了する。セッション・レイヤーの例には、ネットワーク・セッションがある。

接続記述子（connect descriptor）: ネットワーク接続先の特殊な書式の記述。接続記述子には、接続先サービスおよびネットワーク・ルート情報が含まれる。接続先サービスは、Oracle9iまたはOracle8iデータベースの場合はそのサービス名を、Oracleリリース8.0データベースの場合はOracleシステム識別子（SID）を使用して指定する。ネットワーク・ルートは、最低でも、ネットワーク・アドレスを使用してリスナーの場所を提供する。「接続識別子」を参照。

接続識別子（connect identifier）: 接続記述子または接続記述子にマップされる名前。接続識別子は、ネット・サービス名、データベース・サービス名、ネット・サービス別名のいずれかである。ユーザーは、接続するサービスの接続文字列で接続識別子とともにユーザー名とパスワードを渡すことにより、接続リクエストを開始する。

接続文字列（connect string）: ユーザー名、パスワード、ネット・サービス名など、ユーザーが接続先のサービスに渡す情報。次に例を示す。; CONNECT username@net_service_name; Enter password:

セル・ディレクトリ・サービス（Cell Directory Service: CDS）: 外部ネーミング・メソッドの1つ。このサービスを使用すると、ユーザーはOracleのツール製品を透過的に使用でき、アプリケーションでは分散コンピューティング環境（DCE）にあるOracle Databaseデータベースにアクセスできる。

そ

属性（attribute）: LDAPディレクトリ内のエントリの性質を説明する情報項目。エントリは属性のセットから構成され、それぞれの属性がオブジェクト・クラスに属する。さらに、各属性には、属性の情報の種類を記述するタイプと、実際のデータを含む値の両方がある。

た

単一鍵ペア・ウォレット（single key-pair wallet）: 単一のユーザー証明書とそれに関連する秘密鍵が含まれるPKCS #12形式のウォレット。公開鍵は証明書に埋め込まれている。

単一パスワード認証（single password authentication）: 単一のパスワードを使用して複数のデータベースでユーザーを認証する機能。Oracle Advanced Security実装では、パスワードはLDAP準拠のディレクトリに格納され、暗号化やアクセス制御リストで保護される。

ち

チェックサム（checksumming）: メッセージ・パケットに含まれているデータに基づいてメッセージ・パケットの値を計算し、その値をデータとともに渡して、データが改ざんされていないことを証明するメカニズム。データの受信者は暗号チェックサムを再計算して、それをデータとともに渡された暗号チェックサムと比較する。一致している場合は、転送中にデータの改ざんがなかったことを高い確率で証明できる。

チケット（ticket）: 所有者の識別に役立つ情報。「サービス・チケット」を参照。

て

ディレクトリ情報ツリー（directory information tree: DIT）: LDAPディレクトリ内のエントリのDNから構成される階層ツリー型構造。「識別名（DN）」を参照。

ディレクトリ・ネーミング（directory naming）: データベース・サービス、ネット・サービス名またはネット・サービス別名を中央ディレクトリ・サーバーに格納されている接続記述子に変換するネーミング・メソッド。

ディレクトリ・ネーミング・コンテキスト（directory naming context）: ディレクトリ・サーバー内で意味を持つサブツリー。通常は、組織サブツリーの最上位である。あるディレクトリでは、固定のこのようなコンテキストが1個のみ許可されるが、他のディレクトリでは、ディレクトリ管理者によって0個から多数までのコンテキストを構成できる。

デジタル署名（digital signature）: デジタル署名は、公開鍵アルゴリズムを使用して送信者の秘密鍵で送信者のメッセージに署名するときに作成される。このデジタル署名によって、文書が信頼できるものであること、別のエンティティで偽造されていないこと、変更されていないこと、送信者によって拒否されないことが保証される。

データ・ディクショナリ（data dictionary）: データベースに関する情報を提供する読取り専用の表のセット。

データベース・インストール管理者（Database Installation Administrator）: データベース作成者とも呼ばれる。この管理者は、新規データベースの作成を担当する。この作業には、Database Configuration Assistantを使用したディレクトリへの各データベースの登録が含まれる。この管理者は、データベース・サービス・オブジェクトおよび属性に対する作成および変更のアクセス権を持つ。この管理者は、デフォルトのドメインも変更できる。

データベース管理者（database administrator）: （1）Oracleサーバーまたはデータベース・アプリケーションを操作および管理する人。（2）DBA権限を付与され、データベース管理機能を実行できるOracleユーザー名。通常、これら2つを同時に意味する。多くのサイトには複数のDBAがいる。（3）OracleDBAdminsディレクトリ管理グループのメンバーであり、ディレクトリ内の特定のデータベース・エントリのデータベース・ユーザー・スキーマ・マッピングを管理する。Database Configuration Assistantは、ディレクトリにデータベースを登録するユーザーを、登録されるデータベースのOracleDBAdminsグループの最初のメンバーとして自動的に追加する。

データベース・セキュリティ管理者（Database Security Administrator）: データベース・エンタープライズ・ユーザー・セキュリティの最上位レベルの管理者。この管理者は、すべてのエンタープライズ・ドメインに対する権限を持ち、次のことに責任を担っている。; Oracle DBSecurityAdminsおよびOracleDBCreatorsグループの管理; 新規エンタープライズ・ドメインの作成; エンタープライズ内のあるドメインから別のドメインへのデータベースの移動

データベース・パスワード検証（database password verifier）: ユーザーのデータベース・パスワードから導出される不可逆的な値。この値は、データベースに対するパスワード認証時に、接続ユーザーの識別情報を証明するために使用される。

データベース別名（database alias）: 「ネット・サービス名」を参照。

データベース・メソッド（database method）: 「Oracleデータベース・メソッド」を参照。

データベース・リンク（database link）: ローカル・データベースまたはネットワーク定義に格納されるネットワーク・オブジェクトであり、リモート・データベース、そのデータベースへの通信パス、および場合によってはユーザー名とパスワードを識別する。定義されると、データベース・リンクはリモート・データベースへのアクセスに使用される。; あるデータベースから別のデータベースへのパブリックまたはプライベート・データベース・リンクは、DBAまたはユーザーによってローカル・データベースに作成される。; グローバル・データベース・リンクは、Oracle Namesで各データベースからネットワーク内の他のすべてのデータベースに自動的に作成される。グローバル・データベース・リンクはネットワーク定義に格納される。

転送可能なチケット認可チケット（forwardable ticket-granting ticket）: Kerberosの場合。FORWARDABLEフラグが設定されたサービス・チケット。このフラグにより、ユーザーにパスワードの再入力を要求せずに転送を認証できる。

と

トークン・カード（token card）: ユーザーが容易に認証サービスを利用できるように、数種類のメカニズムを提供するデバイス。一部のトークン・カードは、認証サービスと同期されている1回かぎりのパスワードを提供する。サーバーは認証サービスとやり取りすることにより、トークン・カードが提供するパスワードをいつでも検証できる。チャレンジ・レスポンス・ベースで動作するトークン・カードもある。その場合、サーバーはユーザーがトークン・カードに入力するチャレンジ（番号）を提供する。そして、トークン・カードは別の番号（チャレンジから暗号的に導出）を提供し、それをユーザーがサーバーに提供する。

ドメイン（domain）: ドメイン・ネーム・システム（DNS）ネームスペース内の任意のツリーまたはサブツリー。一般にドメインは、ホスト名が共通の接尾辞（ドメイン名）を共有するコンピュータのグループを表す。

ドメイン・ネーム・システム（Domain Name System: DNS）: コンピュータやネットワーク・サービスのネーミング・システム。ドメインの階層に編成されている。DNSは、ユーザーにわかりやすい名前でコンピュータの位置を特定するためにTCP/IPネットワークで使用される。DNSは、このわかりやすい名前を、コンピュータが理解できるIPアドレスに変換する。; Oracle Net Servicesでは、DNSはTCP/IPアドレスのホスト名をIPアドレスに変換する。

トラスト・ポイント（trust point）: 「信頼できる証明書」を参照。

トランスポート・レイヤー（transport layer）: データ・フロー制御とエラー・リカバリ方式を通じてエンドツーエンドの信頼性を維持するネットワーキング・レイヤー。Oracle Net Servicesでは、トランスポート・レイヤーにOracleプロトコル・サポートを使用する。

に

認可（authorization）: オブジェクトまたはオブジェクトのセットにアクセスするためにユーザー、プログラムまたはプロセスに付与される権限。Oracleでは、認可はロール・メカニズムを通じて行われる。1つのユーザーまたはユーザー・グループに対して、1つのロールまたは一連のロールを付与できる。また、ロールに他のロールを付与することもできる。認証されたエンティティが利用できる権限のセット。

認証（authentication）: コンピュータ・システムのユーザー、デバイスまたはその他のエンティティの識別情報を検証するプロセスであり、システムのリソースへのアクセス権を付与するための前提条件となることが多い。認証されたメッセージの受信者は、そのメッセージの発信元（送信者）を確認できる。認証は、第三者が送信者を装っている可能性を排除するものとみなされる。

認証局（certificate authority）: 信頼できるサード・パーティ。ユーザー、データベース、管理者、クライアント、サーバーなどの他のエンティティが本人（本物）であることを証明する。ユーザーを認証する場合、認証局は最初に、ユーザーが証明書失効リスト（CRL）にないことを確認してからユーザーの識別情報を検証し、認証局の秘密鍵で署名して証明書を付与する。認証局には、認証局が発行する独自の証明書と公開鍵がある。サーバーおよびクライアントは、これらを使用して、認証局が行った署名を検証する。認証局は、証明書サービスを提供する外部の会社の場合や、企業のMIS部門などの内部組織の場合がある。

認証方式（authentication method）: 分散環境のユーザー、クライアントまたはサーバーの識別情報を検証するセキュリティ方式。ネットワーク認証方式では、ユーザーにシングル・サインオン（SSO）の利点も提供できる。Oracle Advanced Securityがインストールされている場合は、Oracle Databaseで次の認証方式がサポートされる。; Kerberos; RADIUS; Secure Sockets Layer（SSL）; Windowsシステム固有の認証

ね

ネット・サービス別名（net service alias）: ディレクトリ・サーバーのディレクトリ・ネーミング・オブジェクトの代替名。ディレクトリ・サーバーには、定義されたネット・サービス名またはデータベース・サービスのネット・サービス別名が格納される。ネット・サービス別名のエントリには、接続記述子情報はない。かわりに、別名の対象のオブジェクトの場所のみ参照する。クライアントがネット・サービス別名のディレクトリ検索をリクエストすると、ディレクトリは、エントリがネット・サービス別名であることを判断し、そのネット・サービス別名が実際に参照しているエントリであるかのように検索を実行する。

ネット・サービス名（net service name）: クライアントがデータベース・サーバーを識別するために使用する名前。ネット・サービス名は、ポート番号とプロトコルにマップされる。接続文字列またはデータベース別名とも呼ぶ。

ネットワーク認証サービス（network authentication service）: 分散環境で、クライアントからサーバー、サーバー間およびユーザーからクライアントとサーバーの両方を認証する手段。ネットワーク認証サービスは、ユーザーに関する情報、ユーザーがアクセスする様々なサーバー上のサービスに関する情報、およびネットワーク上のクライアントとサーバーに関する情報を格納するためのリポジトリである。認証サーバーは、物理的に異なるコンピュータにすることも、システム内の別のサーバー上の共同の場所にある設備にすることもできる。可用性を保証するために、一部の認証サービスを複製してシングル・ポイント障害を回避できる。

ネットワーク・リスナー（network listener）: 1つ以上のプロトコルで1つ以上のデータベースの接続リクエストをリスニングするサーバー上のリスナー。「リスナー」を参照。

ネーミング・メソッド（naming method）: クライアント・アプリケーションがデータベース・サービスへの接続を試みるときに、接続識別子を接続記述子に変換するために使用する解決メソッド。

は

パスワードでアクセス可能なドメインのリスト（Password-Accessible Domains List）: パスワード認証ユーザーからの接続を受け入れるように構成された、エンタープライズ・ドメインのグループ。

ひ

ピア識別情報（peer identity）: SSL接続セッションは、特定のクライアントと特定のサーバー間のセッションである。ピアの識別情報は、セッションのセットアップの一部として設定される場合がある。ピアは、X.509 証明連鎖によって識別される。

否認防止（non-repudiation）: メッセージの発信元、配信、送信または伝送の明白な証明。

秘密鍵（private key）: 公開鍵暗号化では、この鍵が秘密鍵（secret key）である。主に復号化に使用されるが、デジタル署名とともに暗号化にも使用される。「公開鍵と秘密鍵のペア」を参照。

ビュー（view）: 1つ以上の表（またはその他のビュー）の選択的な表示で、構造とデータの両方を示す。

平文（plaintext）: 暗号化されていないメッセージ・テキスト。

ふ

ファイル・システム・メソッド（file system method）: Identix Biometric認証を構成する際にファイルに指紋テンプレートを格納すること。このメソッドのかわりに、Oracleデータベース・メソッドを使用することもできる。

フォレスト（forest）: 相互に信頼する1つ以上のActive Directoryツリーのグループ。フォレスト内のすべてのツリーは、共通のスキーマ、構成およびグローバル・カタログを共有する。フォレストに複数のツリーが含まれる場合、ツリーは連続したネームスペースを形成しない。特定フォレスト内のすべてのツリーは、推移的な双方向の信頼関係を介して相互に信頼する。

復号化（decryption）: 暗号化されたメッセージ（暗号文）の内容を元の判読可能な形式（平文）に変換するプロセス。

不明瞭化（obfuscation）: 情報を判読不能な形式にスクランブルするプロセス。スクランブルに使用されているアルゴリズムが不明な場合、スクランブル解除が非常に困難になる。

プリンシパル（principal）: Kerberos資格証明のセットが割り当てられているクライアントまたはサーバーを一意に識別する文字列。通常、この文字列にはkservice/kinstance@REALMという3つの部分が含まれる。ユーザーの場合、kserviceはユーザー名である。「kservice」、「kinstance」および「レルム」も参照。

プロキシ認証（proxy authentication）: 一般にファイアウォールなどの中間層のある環境で採用されるプロセス。この環境では、エンド・ユーザーが中間層に対して認証を行い、中間層がユーザーにかわって（プロキシとして）ディレクトリに対して認証を行う。中間層は、ディレクトリにプロキシ・ユーザーとしてログインする。プロキシ・ユーザーは識別情報を切り替えることができ、ディレクトリにログインするとエンド・ユーザーの識別情報に切り替わる。プロキシ・ユーザーは、特定のエンド・ユーザーに適した認可を使用して、そのエンド・ユーザーにかわって操作を実行できる。

分散コンピューティング環境（Distributed Computing Environment: DCE）: 分散環境を提供するために複数のシステムにまたがって動作する統合ネットワーク・サービスのセット。分散アプリケーションとオペレーティング・システムまたはネットワーク・サービスとの間のミドルウェアであり、クライアント/サーバー・コンピューティング・モデルに基づく。DCEはOpen Groupによってサポートされている。

へ

米国商務省国立標準技術研究所（National Institute of Standards and Technology: NIST）: 米国商務省の機関であり、コンピュータおよびテレコミュニケーション・システム内の暗号ベース・セキュリティ・システムの設計、取得および実装に関連するセキュリティ標準の開発を担う。連邦機関、または連邦の機能を遂行するために連邦政府にかわって情報を処理する連邦機関の請負業者やその他の組織によって運営されている。

米国連邦情報処理標準（Federal Information Processing Standard: FIPS）: 暗号モジュールのセキュリティ要件を定義する米国政府の標準。コンピュータおよびテレコミュニケーション・システム内の未分類情報を保護するセキュリティ・システムに採用されている。米国商務省国立標準技術研究所（NIST）により発行される。

ベース（base）: LDAP準拠ディレクトリでのサブツリー検索のルート。

め

メッセージ・ダイジェスト（message digest）: 「チェックサム」を参照。

メッセージ認証コード（message authentication code）: データ認証コード（DAC）とも呼ばれる。秘密鍵を追加したチェックサム。鍵を持つ人のみが暗号チェックサムを検証できる。

ゆ

ユーザー検索ベース（user search base）: LDAPディレクトリ内のユーザーが存在するノード。

ユーザー/スキーマの分割（user/schema separation）: 「共有スキーマ」を参照。

ユーザー・スキーマ・マッピング（user-schema mapping）: ユーザーが存在するディレクトリ内のベースおよびユーザーがマップされるデータベース・スキーマの名前という値のペアを含むLDAPディレクトリ・エントリ。マッピングで参照されるユーザーは、データベースへの接続時に指定されたスキーマに接続される。ユーザー・スキーマ・マッピング・エントリは、1つのデータベースにのみ適用できるか、ドメイン内のすべてのデータベースに適用できる。「共有スキーマ」を参照。

ユーザー名（username）: データベース内のオブジェクトに接続およびアクセスするための名前。

り

リスナー（listener）: サーバー上のプロセスであり、着信クライアント接続リクエストをリスニングし、サーバーへのトラフィックを管理する。; クライアントがサーバーとのネットワーク・セッションをリクエストするたびに、リスナーが実際のリクエストを受信する。クライアント情報がリスナー情報と一致する場合、リスナーはサーバーへの接続を付与する。

リモート・コンピュータ（remote computer）: ローカル・コンピュータ以外のネットワーク上にあるコンピュータ。

る

ルート鍵証明書（root key certificate）: 「信頼できる証明書」を参照。

れ

レジストリ（registry）: コンピュータの構成情報を格納するWindowsリポジトリ。

レルム（realm）: 1. アイデンティティ管理レルムの省略形。2. Kerberosオブジェクト。1つのKey Distribution Center/Ticket Granting Service（KDC/TGS）の下で動作するクライアントとサーバーのセット。同じ名前を共有する異なるレルム内のサービス（kserviceを参照）は一意である。

レルムOracleコンテキスト（realm Oracle Context）: Oracle Internet Directoryのアイデンティティ管理レルムの一部であるOracleコンテキスト。