B 認証パラメータ

この付録では、プロファイル・ファイル（sqlnet.ora）とデータベース初期化ファイルに必要な認証パラメータを含む構成ファイルのサンプルをいくつか紹介します。これらのパラメータは、Kerberos、RADIUSまたはSSLの各認証を使用するときに必要です。

項目は、次のとおりです。

Kerberos認証を使用するクライアントとサーバーのパラメータ
RADIUS認証を使用するクライアントとサーバーのパラメータ
SSLを使用するクライアントとサーバーのパラメータ

B.1 Kerberos認証を使用するクライアントとサーバーのパラメータ

Kerberosを使用するクライアントとサーバーの構成ファイルには、次のパラメータを挿入します。

表B-1 Kerberos認証パラメータ

ファイル名構成パラメータ

ファイル名	構成パラメータ
`sqlnet.ora`	SQLNET.AUTHENTICATION_SERVICES=(KERBEROS5) SQLNET.AUTHENTICATION_KERBEROS5_SERVICE=oracle SQLNET.KERBEROS5_CC_NAME=/usr/tmp/DCE-CC SQLNET.KERBEROS5_CLOCKSKEW=1200 SQLNET.KERBEROS5_CONF=/krb5/krb.conf SQLNET.KERBEROS5_CONF_MIT=(FALSE) SQLNET.KERBEROS5_REALMS=/krb5/krb.realms SQLNET.KERBEROS5_KEYTAB=/krb5/v5srvtab
`初期化パラメータ・ファイル`	REMOTE_OS_AUTHENT=FALSE OS_AUTHENT_PREFIX=""

sqlnet.ora

SQLNET.AUTHENTICATION_SERVICES=(KERBEROS5)
SQLNET.AUTHENTICATION_KERBEROS5_SERVICE=oracle
SQLNET.KERBEROS5_CC_NAME=/usr/tmp/DCE-CC
SQLNET.KERBEROS5_CLOCKSKEW=1200
SQLNET.KERBEROS5_CONF=/krb5/krb.conf
SQLNET.KERBEROS5_CONF_MIT=(FALSE)
SQLNET.KERBEROS5_REALMS=/krb5/krb.realms
SQLNET.KERBEROS5_KEYTAB=/krb5/v5srvtab

初期化パラメータ・ファイル

REMOTE_OS_AUTHENT=FALSE
OS_AUTHENT_PREFIX=""

B.2 RADIUS認証を使用するクライアントとサーバーのパラメータ

次の項では、RADIUS認証用のパラメータについて説明しています。

sqlnet.oraファイルのパラメータ
最小限のRADIUSパラメータ
初期化ファイル・パラメータ

B.2.1 sqlnet.oraファイルのパラメータ

次の各項では、RADIUS認証の指定に使用されるsqlnet.oraパラメータについて説明します。

B.2.1.1 SQLNET.AUTHENTICATION_SERVICES

このパラメータは、RADIUSアダプタを使用するためにクライアントまたはサーバーを構成します。表B-2に、このパラメータの属性を示します。

表B-2 SQLNET.AUTHENTICATION_SERVICESパラメータの属性

属性	説明
構文	`SQLNET.AUTHENTICATION_SERVICES=radius`
デフォルト設定	なし

B.2.1.2 SQLNET.RADIUS_AUTHENTICATION

このパラメータは、プライマリRADIUSサーバーの場所を、ホスト名またはドット付き10進数の書式で設定します。RADIUSサーバーがOracleサーバー以外のコンピュータにあるときは、そのコンピュータのホスト名またはIPアドレスを指定する必要があります。表B-3に、このパラメータの属性を示します。

表B-3 SQLNET.RADIUS_AUTHENTICATIONパラメータの属性

属性	説明
構文	`SQLNET.RADIUS_AUTHENTICATION=RADIUS_server_IP_address`
デフォルト設定	`localhost`

B.2.1.3 SQLNET.RADIUS_AUTHENTICATION_PORT

このパラメータは、プライマリRADIUSサーバーのリスニング・ポートを設定します。表B-4に、このパラメータの属性を示します。

表B-4 SQLNET.RADIUS_AUTHENTICATION_PORTパラメータの属性

属性	説明
構文	`SQLNET.RADIUS_AUTHENTICATION_PORT=port_number`
デフォルト設定	`1645`

B.2.1.4 SQLNET.RADIUS_AUTHENTICATION_TIMEOUT

このパラメータは、レスポンス待ち時間を設定します。表B-5に、このパラメータの属性を示します。

表B-5 SQLNET.RADIUS_AUTHENTICATION_TIMEOUTパラメータの属性

属性	説明
構文	`SQLNET.RADIUS_AUTHENTICATION_TIMEOUT=time_in_seconds`
デフォルト設定	`5`

B.2.1.5 SQLNET.RADIUS_AUTHENTICATION_RETRIES

このパラメータは、認証情報の再送回数を設定します。表B-6に、このパラメータの属性を示します。

表B-6 SQLNET.RADIUS_AUTHENTICATION_RETRIESパラメータの属性

属性	説明
構文	`SQLNET.RADIUS_AUTHENTICATION_RETRIES=n_times_to_resend`
デフォルト設定	`3`

B.2.1.6 SQLNET.RADIUS_SEND_ACCOUNTING

このパラメータは、アカウントをオンまたはオフに設定します。アカウントを使用可能にすると、パケットはリスニング・ポート+1のアクティブRADIUSサーバーに送られます。デフォルトの場合、パケットはポート1646に送信されます。この機能をオンにする必要があるのは、RADIUSサーバーでアカウントをサポートしている場合で、システムにログインしたユーザーのログイン回数を記録する場合のみです。表B-7に、このパラメータの属性を示します。

表B-7 SQLNET.RADIUS_SEND_ACCOUNTINGパラメータの属性

属性	説明
構文	`SQLNET.RADIUS_SEND_ACCOUNTING=on`
デフォルト設定	`OFF`

B.2.1.7 SQLNET.RADIUS_SECRET

このパラメータは、ファイル名とRADIUS秘密鍵の場所を指定します。表B-8に、このパラメータの属性を示します。

表B-8 SQLNET.RADIUS_SECRETパラメータの属性

属性	説明
構文	`SQLNET.RADIUS_SECRET=path_to_RADIUS_secret_key`
デフォルト設定	`$ORACLE_HOME/network/security/radius.key`

B.2.1.8 SQLNET.RADIUS_ALTERNATE

このパラメータは、プライマリ・サーバーがフォルト・トレランスに使用できない場合、かわりに使用するRADIUSサーバーの場所を設定します。表B-9に、このパラメータの属性を示します。

表B-9 SQLNET.RADIUS_ALTERNATEパラメータの属性

属性	説明
構文	`SQLNET.RADIUS_ALTERNATE=alternate_RADIUS_server_hostname_or_IP_address`
デフォルト設定	`OFF`

B.2.1.9 SQLNET.RADIUS_ALTERNATE_PORT

このパラメータは、代替RADIUSサーバーのリスニング・ポートを設定します。表B-10に、このパラメータの属性を示します。

表B-10 SQLNET.RADIUS_ALTERNATE_PORTパラメータの属性

属性	説明
構文	`SQLNET.RADIUS_ALTERNATE_PORT=alternate_RADIUS_server_listening_port_number`
デフォルト設定	`1645`

B.2.1.10 SQLNET.RADIUS_ALTERNATE_TIMEOUT

このパラメータは、代替RADIUSサーバーのレスポンス待ち時間を設定します。表B-11に、このパラメータの属性を示します。

表B-11 SQLNET.RADIUS_ALTERNATE_TIMEOUTパラメータの属性

属性	説明
構文	`SQLNET.RADIUS_ALTERNATE_TIMEOUT=time_in_seconds`
デフォルト設定	`5`

B.2.1.11 SQLNET.RADIUS_ALTERNATE_RETRIES

このパラメータは、代替RADIUSサーバーのメッセージの再送回数を設定します。表B-12に、このパラメータの属性を示します。

表B-12 SQLNET.RADIUS_ALTERNATE_RETRIESパラメータの属性

属性	説明
構文	`SQLNET.RADIUS_ALTERNATE_RETRIES=n_times_to_resend`
デフォルト設定	`3`

B.2.1.12 SQLNET.RADIUS_CHALLENGE_RESPONSE

このパラメータは、チャレンジ/レスポンス（つまり、非同期）モードのサポートをオンまたはオフに設定します。表B-13に、このパラメータの属性を示します。

表B-13 SQLNET.RADIUS_CHALLENGE_RESPONSEパラメータの属性

属性	説明
構文	`SQLNET.RADIUS_CHALLENGE_RESPONSE=on`
デフォルト設定	`OFF`

B.2.1.13 SQLNET.RADIUS_CHALLENGE_KEYWORD

このパラメータは、RADIUSサーバーからのチャレンジを求めるキーワードを設定します。クライアント側のユーザーはパスワードを入力しません。表B-14に、このパラメータの属性を示します。

表B-14 SQLNET.RADIUS_CHALLENGE_KEYWORDパラメータの属性

属性	説明
構文	`SQLNET.RADIUS_CHALLENGE_KEYWORD=keyword`
デフォルト設定	`challenge`

B.2.1.14 SQLNET.RADIUS_AUTHENTICATION_INTERFACE

このパラメータは、RADIUSがチャレンジ/レスポンス（非同期）モードのときに、グラフィカル・ユーザー・インタフェースを持つJavaクラスの名前を設定します。表B-15に、このパラメータの属性を示します。

表B-15 SQLNET.RADIUS_AUTHENTICATION_INTERFACEパラメータの属性

属性	説明
構文	`SQLNET.RADIUS_AUTHENTICATION_INTERFACE=Java_class_name`
デフォルト設定	`DefaultRadiusInterface（oracle/net/radius/DefaultRadiusInterface）`

B.2.1.15 SQLNET.RADIUS_CLASSPATH

チャレンジ/レスポンス認証モードを使用した場合、RADIUSは最初にJavaベースのグラフィカル・インタフェースを使用してユーザーにパスワードを要求し、次にユーザーがトークン・カードから取得する動的パスワードなどの追加情報を要求します。SQLNET.RADIUS_CLASSPATHパラメータをsqlnet.oraファイルに追加して、そのグラフィカル・インタフェースのJavaクラスのパスを設定し、JDK Javaライブラリへのパスを設定します。表B-16に、このパラメータの属性を示します。

表B-16 SQLNET.RADIUS_CLASSPATHパラメータの属性

属性	説明
構文	`SQLNET.RADIUS_CLASSPATH=path_to_GUI_Java_classes`
デフォルト設定	`$ORACLE_HOME/jlib/netradius.jar:$ORACLE_HOME/JRE/lib/sparc/native_threads`

B.2.2 最小限のRADIUSパラメータ

sqlnet.authentication_services = (radius)
sqlnet.radius.authentication = IP-address-of-RADIUS-server
sqlnet.radius_challenge_response = ON

B.2.3 初期化ファイル・パラメータ

REMOTE_OS_AUTHENT=FALSE
OS_AUTHENT_PREFIX=""

B.3 SSLを使用するクライアントとサーバーのパラメータ

パラメータを構成するには、次の2通りあります。

静的: sqlnet.oraファイル内にあるパラメータの名前
動的: Oracle Netアドレスのセキュリティ・サブセクションで使用するパラメータの名前

B.3.1 SSL認証パラメータ

この項では、サーバー上にSSLを構成するための静的パラメータと動的パラメータについて説明します。

属性	説明
パラメータ名（静的）	SQLNET.AUTHENTICATION_SERVICES
パラメータ名（動的）	AUTHENTICATION
パラメータ・タイプ	文字列LIST
パラメータ・クラス	静的
指定できる値	使用可能な認証サービスのリストにTCPSを追加します。
デフォルト値	デフォルト値はありません。
説明	ユーザーが使用する認証サービスを制御します。注意: 動的バージョンでは1種類の設定のみサポートされます。
既存/新規パラメータ	既存
構文（静的）	SQLNET.AUTHENTICATION_SERVICES = (TCPS, selected_method_1, selected_method_2)
例（静的）	SQLNET.AUTHENTICATION_SERVICES = (TCPS, radius)
構文（動的）	AUTHENTICATION = string
例（動的）	AUTHENTICATION = (TCPS)

B.3.2 暗号スイート・パラメータ

この項では、暗号スイートを構成するための静的パラメータと動的パラメータについて説明します。

属性	説明
パラメータ名（静的）	SSL_CIPHER_SUITES
パラメータ名（動的）	SSL_CIPHER_SUITES
パラメータ・タイプ	文字列LIST
パラメータ・クラス	静的
指定できる値	既知のSSL暗号スイート
デフォルト値	デフォルトはありません。
説明	SSLで使用する暗号化とデータ整合性の組合せを制御します。
既存/新規パラメータ	既存
構文（静的）	SSL_CIPHER_SUITES=(SSL_cipher_suite1[, SSL_cipher_suite2, ...SSL_cipher_suiteN])
例（静的）	SSL_CIPHER_SUITES=(SSL_DH_DSS_WITH_DES_CBC_SHA)
構文（動的）	SSL_CIPHER_SUITES=(SSL_cipher_suite1 [, SSL_cipher_suite2, ...SSL_cipher_suiteN])
例（動的）	SSL_CIPHER_SUITES=(SSL_DH_DSS_WITH_DES_CBC_SHA)

B.3.2.1 サポートされているSSL暗号スイート

Oracle Advanced Securityでは次の暗号スイートをサポートしています。

SSL_RSA_WITH_3DES_EDE_CBC_SHA
SSL_RSA_WITH_RC4_128_SHA
SSL_RSA_WITH_RC4_128_MD5
SSL_RSA_WITH_DES_CBC_SHA
SSL_DH_anon_WITH_3DES_EDE_CBC_SHA
SSL_DH_anon_WITH_RC4_128_MD5
SSL_DH_anon_WITH_DES_CBC_SHA
SSL_RSA_EXPORT_WITH_RC4_40_MD5
SSL_RSA_EXPORT_WITH_DES40_CBC_SHA
SSL_RSA_WITH_AES_128_CBC_SHA
SSL_RSA_WITH_AES_256_CBC_SHA

Advanced Encryption Standard（AES）を使用する暗号スイートは、Transport Layer Security（TLS 1.0）でのみ動作します。

B.3.3 SSLバージョン・パラメータ

この項では、使用するSSLのバージョンを構成するための静的パラメータと動的パラメータについて説明します。

属性	説明
パラメータ名（静的）	SSL_VERSION
パラメータ名（動的）	SSL_VERSION
パラメータ・タイプ	文字列
パラメータ・クラス	静的
指定できる値	SSLで有効な任意のバージョン。 (0, 3.0)
デフォルト値	"0"
説明	SSL接続のバージョンを強制実行します。
既存/新規パラメータ	新規
構文（静的）	SSL_VERSION=version
例（静的）	SSL_VERSION=3.0
構文（動的）	SSL_VERSION=version
例（動的）	SSL_VERSION=3.0

B.3.4 SSLクライアント認証パラメータ

この項では、クライアント上にSSLを構成するための静的パラメータと動的パラメータについて説明します。

属性	説明
パラメータ名（静的）	SSL_CLIENT_AUTHENTICATION
パラメータ名（動的）	SSL_CLIENT_AUTHENTICATION
パラメータ・タイプ	ブール値
パラメータ・クラス	静的
指定できる値	TRUE/FALSE
デフォルト値	TRUE
説明	サーバーに加えて、クライアントをSSLで認証するかどうかを制御します。
既存/新規パラメータ	新規
構文（静的）	SSL_CLIENT_AUTHENTICATION={TRUE \| FALSE}
例（静的）	SSL_CLIENT_AUTHENTICATION=FALSE
構文（動的）	SSL_CLIENT_AUTHENTICATION={TRUE \| FALSE}
例（動的）	SSL_CLIENT_AUTHENTICATION=FALSE

B.3.4.1 SSL X.509サーバー照合パラメータ

この項では、クライアントの接続先サーバーを識別するためのパラメータについて説明します。

B.3.4.1.1 SSL_SERVER_DN_MATCH

属性	説明
パラメータ名	SSL_SERVER_DN_MATCH
格納場所	`sqlnet.ora`
用途	サーバーの識別名（DN）とそのサービス名を照合するために使用します。照合検証を行う場合は、SSLによって、証明書がサーバーのものであることが保証されます。照合検証を強制しない選択の場合、SSLはDNとサービス名が一致しているかどうかチェックし、一致していない場合でも接続を許可します。照合を行わないと、サーバーが自身の識別情報を偽る可能性があります。
指定できる値	`yes\|on\|true`。照合することを指定します。DNとサービス名が一致した場合は接続が成功し、一致しない場合は失敗します。 `no\|off\|false`。照合しないことを指定します。DNとサービス名が一致しない場合、接続は成功しますが、`sqlnet.log`ファイルにエラーが記録されます。
デフォルト	Oracle8i 以上: FALSE。SSLクライアントは常にサーバーのDNをチェックします。DNとサービス名が一致しない場合、接続は成功しますが、`sqlnet.log`ファイルにエラーが記録されます。
使用上の注意	サーバーDNの照合を有効にするには、`tnsnames.ora`のパラメータ`SSL_SERVER_CERT_DN`も構成する必要があります。

B.3.4.1.2 SSL_SERVER_CERT_DN

属性	説明
パラメータ名	SSL_SERVER_CERT_DN
格納場所	`tnsnames.ora`。クライアント上に格納し、接続するサーバーごとにエントリを定義できます。また、LDAPディレクトリに格納し、接続するサーバーごとにエントリを定義して、集中的に更新することもできます。
用途	サーバーの識別名（DN）を指定します。クライアントは、この情報を使用して、各サーバーに対して希望するDNのリストを取得し、サーバーのDNとそのサービス名との照合を行います。
指定できる値	サーバーの識別名（DN）と等しい値を設定します。
デフォルト	N/A
使用上の注意	サーバーDNの照合を有効にするには、`sqlnet.ora`のパラメータ`SSL_SERVER_DN_MATCH`も構成する必要があります。
例	`dbalias=(description=address_list=(address=(protocol=tcps)(host=hostname)(port=portnum)))(connect_data=(sid=Finance))(security=(SSL_SERVER_CERT_DN="CN=Finance,CN=OracleContext,C=US,O=Acme"))`

B.3.5 ウォレット・ロケーション

セキュリティ資格証明をプロセス空間にロードするためにウォレットにアクセスする必要があるアプリケーションについては、表B-17で定義されているウォレット・ロケーション・パラメータを次の各構成ファイルに指定する必要があります。

sqlnet.ora
listener.ora

表B-17 ウォレット・ロケーション・パラメータ

静的構成動的構成

静的構成	動的構成
`WALLET_LOCATION =` `(SOURCE=` `(METHOD=File)` `(METHOD_DATA=` `(DIRECTORY=your wallet location)` `)` `)`	`MY_WALLET_DIRECTORY` `= your_wallet_dir`

WALLET_LOCATION =

(SOURCE=

(METHOD=File)

(METHOD_DATA=

(DIRECTORY=your wallet location)

)

MY_WALLET_DIRECTORY

= your_wallet_dir

デフォルトのウォレット・ロケーションは、ORACLE_HOMEディレクトリです。