ヘッダーをスキップ
Oracle Database Advanced Security管理者ガイド
11g リリース1(11.1)
E05729-02
  目次
目次
索引
索引

戻る
戻る
 
次へ
次へ
 

10 複数の認証方式の構成方法およびOracle Advanced Securityを使用禁止にする方法

この章では、Oracle Advanced Securityで複数の認証方式を構成する方法、および別の認証方式を構成している場合に従来のユーザー名とパスワードの認証を使用する方法について説明します。また、Oracleクライアントが特定の認証方式を使用し、Oracleサーバーが任意の認証方式を受け入れられるようにネットワークを構成する方法についても説明します。

次の項目について説明します。

10.1 ユーザー名とパスワードによる接続

Oracle Advanced Securityの認証方式が構成されている場合にユーザー名とパスワードを使用してOracle Databaseサーバーに接続するには、外部認証を使用禁止にします(「Oracle Advanced Security認証の使用禁止」を参照してください)。

外部認証を使用禁止にすると、ユーザーは次のように入力してデータベースに接続できます。

% sqlplus username@net_service_name
Enter password: password

例:

% sqlplus hr@emp
Enter password: password

注意:


1つのデータベースで、外部認証ユーザーとパスワード認証ユーザーをどちらも含む複数の認証方式を構成できます。

10.2 Oracle Advanced Security認証の使用禁止

認証方式を使用禁止にするには、Oracle Net Managerを使用します(「Oracle Net Managerの起動」を参照してください)。

  1. Oracle Advanced Securityプロファイルにナビゲートします。「Oracle Advanced Securityプロファイルへのナビゲート」を参照してください。図10-1に示すように、「Oracle Advanced Security」というタブのウィンドウが表示されます。

図10-1 Oracle Advanced Securityの「認証」ウィンドウ

図10-1の説明は次にあります。
「図10-1 Oracle Advanced Securityの「認証」ウィンドウ」の説明

  1. 認証」タブをクリックします。

  2. 認証方式を選択し、左矢印「<」をクリックして、「選択メソッド」リストのすべての認証方式を「使用可能なメソッド」リストに順に移動します。

  3. ファイル」→「ネットワーク構成の保存」を選択します。

    sqlnet.oraファイルが更新され、次のエントリが追加されます。

    SQLNET.AUTHENTICATION_SERVICES = (NONE)
    

10.3 複数の認証方式の構成

多くのネットワークは、1つのセキュリティ・サーバー上で複数の認証方式を使用しています。そのため、Oracle Advanced Securityでは、Oracleクライアントが特定の認証方式を使用し、Oracle Databaseサーバーが任意の認証方式を受け入れられるようにネットワークを構成できます。

クライアント・システムとサーバー・システムの両方に複数の認証方式を設定するには、Oracle Net Managerを使用するか、テキスト・エディタを使用してsqlnet.oraファイルを変更します。

Oracle Net Managerを使用して、クライアントとサーバーの両方に認証方式を追加します(「Oracle Net Managerの起動」を参照してください)。

複数の認証方式を構成する手順は次のとおりです。

  1. Oracle Advanced Securityプロファイルにナビゲートします。「Oracle Advanced Securityプロファイルへのナビゲート」を参照してください。図10-1に示すように、「Oracle Advanced Security」というタブのウィンドウが表示されます。

  2. 認証」タブをクリックします。

  3. 「使用可能なメソッド」リストで方式を選択します。

  4. 次に、右矢印「>」をクリックして、選択した方式を「選択メソッド」リストに順に移動します。

  5. 選択した方式を使用優先順位の高い順に並べます。「選択メソッド」リストで方式を選択し、「上へ」または「下へ」を選択して並べ替えます。

  6. ファイル」→「ネットワーク構成の保存」を選択します。

    sqlnet.oraファイル中の次のエントリが更新され、選択した認証方式が左から順にリストされます。

    SQLNET.AUTHENTICATION_SERVICES = (KERBEROS5, RADIUS)
    

注意:


SecurID機能は、RADIUSを介して使用できます。RADIUSのサポートは、RSA ACE/Serverに組み込まれています。


関連項目:


詳細は、第6章「RADIUS認証の構成」を参照してください。

10.4 外部認証を使用する場合のOracle Databaseの構成

この項では、Oracle Databaseでネットワーク認証を使用するために設定するパラメータについて説明します。関連する作業は次のとおりです。

10.4.1 sqlnet.oraでのSQLNET.AUTHENTICATION_SERVICESパラメータの設定

すべてのクライアントとサーバーで、それぞれがサポートされている認証方式を使用するには、sqlnet.oraファイルで次のパラメータが設定されている必要があります。

SQLNET.AUTHENTICATION_SERVICES=(oracle_authentication_method)


たとえば、Kerberos認証を使用するすべてのクライアントとサーバーに対して、sqlnet.oraパラメータが次のように設定されている必要があります。

SQLNET.AUTHENTICATION_SERVICES=(KERBEROS5)

10.4.2 REMOTE_OS_AUTHENTがTRUEに設定されていないことの確認

REMOVE_OS_AUTHENTがTRUEに設定されていないことを確認するには、各データベース・インスタンスで認証方式を構成するときに、初期化ファイルに次のパラメータを追加します。

REMOTE_OS_AUTHENT=FALSE

注意:


REMOTE_OS_AUTHENTTRUEに設定すると、非保護プロトコル(TCPなど)を使用するユーザーがオペレーティング・システム許可ログイン(以前のOPS$ログイン)を実行できるので、セキュリティが侵害されるおそれがあります。


注意:


REMOTE_OS_AUTHENT初期化パラメータ・ファイルをFALSEに設定する他に、PFILEオプションを使用してstartupコマンドを発行する必要があります。これにより、initSID.oraのパラメータが確実に使用されるようになります。

REMOTE_OS_AUTHENTFALSEに設定した場合に、サーバーがクライアントの要求した認証方式を提供できないと、認証サービスの折衝が失敗して、接続が終了します。

クライアント側またはサーバー側のsqlnet.oraファイルにパラメータが次のように設定されている場合、データベースは入力されたユーザー名とパスワードを使用して、ユーザーのログインを許可しようとします。

SQLNET.AUTHENTICATION_SERVICES=(NONE)

しかし、REMOTE_OS_AUTHENTFALSEに設定されている場合、接続は失敗します。

10.4.3 OS_AUTHENT_PREFIXへのNULL値の設定

認証サービスでは長いユーザー名を使用できますが、Oracleユーザー名は30文字に制限されています。したがって、データベース・インスタンス用の初期化ファイルで、次のようにOS_AUTHENT_PREFIXパラメータをNULL値に設定することをお薦めします。

OS_AUTHENT_PREFIX=""

注意:


OS_AUTHENT_PREFIXのデフォルト値はOPS$ですが、このパラメータは任意の文字列に設定できます。


注意:


データベースでOS_AUTHENT_PREFIXがすでにNULL(" ")以外の値に設定されている場合は、その値を変更しないでください。変更すると、すでに作成されている外部で識別されるユーザーがOracleサーバーに接続できなくなります。

ユーザーを作成するには、SQL*Plusを起動し、次のように入力します。

SQL> CREATE USER os_authent_prefix username IDENTIFIED EXTERNALLY;


OS_AUTHENT_PREFIXがNULL値("")に設定されているときは、次のように入力してユーザーkingを作成します。

SQL> CREATE USER king IDENTIFIED EXTERNALLY;


この方法でユーザーを作成すると、外部的に識別されるユーザーに対して、異なるユーザー名を管理する必要がありません。これは、サポートされているすべての認証方式に適用されます。


関連項目:

  • 『Oracle Database管理者ガイド』

  • 『Oracle Database Heterogeneous Connectivity管理者ガイド』