ヘッダーをスキップ
Oracle Database Advanced Security管理者ガイド
11g リリース1(11.1)
E05729-02
  目次
目次
索引
索引

戻る
戻る
 
次へ
次へ
 

2 構成および管理ツールの概要

Oracle Databaseインスタンスに対する高度なセキュリティ機能の構成には、Oracle Net Servicesに対する暗号化、整合性(チェックサム)および厳密認証方式の構成が含まれます。厳密認証方式の構成には、KerberosやRADIUSの場合と同様に、サード・パーティのソフトウェアを含めることができ、また、デジタル証明書とSecure Sockets Layer(SSL)を使用するための公開鍵インフラストラクチャの構成と管理を必要とします。

このような多様で高度なセキュリティ機能には、それを構成し管理するための様々なツールのセットが必要です。この章では、Oracle Databaseに対する高度なセキュリティ機能を構成および管理するために使用されるツールについて説明します。項目は次のとおりです。

2.1 ネットワーク暗号化ツールと厳密認証構成ツール

Oracle Net Servicesは、データベース暗号化アルゴリズムを使用してデータを暗号化し、Kerberos、RADIUS、SSLのような厳密認証方式を構成できます。次の項では、Oracle Databaseにこれらの高度なセキュリティ機能を構成できるOracleのツール製品について説明します。

2.1.1 Oracle Net Manager

Oracle Net Managerは、グラフィカル・ユーザー・インタフェース・ツールで、主にローカル・クライアントやサーバー・ホスト上のOracleホームに対してOracle Net Servicesを構成するのに使用します。

Oracle Net Managerを使用して、ネーミング、リスナー、一般的なネットワーク設定などのOracle Net Servicesを構成できますが、次のようなOracle Netプロトコルを使用するOracle Advanced Security機能を構成することもできます。

  • 厳密認証(Kerberos、RADIUSおよびSecure Sockets Layer)

  • ネットワーク暗号化(RC4、DES、Triple-DESおよびAES)

  • データ整合性のチェックサム(MD5、SHA-1)

この項では、Oracle Advanced Securityの構成に使用するOracle Net Managerの機能を紹介します。次の項目について説明します。

2.1.1.1 Oracle Net Managerの起動

Oracle Net Managerは、Oracle Enterprise Manager Consoleを使用するか、またはスタンドアロン・アプリケーションとして起動できます。ただし、Oracle Advanced Securityの機能を構成できるOracle Advanced Securityプロファイルにアクセスするには、スタンドアロン・アプリケーションを使用する必要があります。

Oracle Net Managerをスタンドアロン・アプリケーションとして起動する手順は次のとおりです。

  • (UNIXの場合)$ORACLE_HOME/binから、コマンドラインで次のように入力します。

    netmgr
    
  • (Windowsの場合)「スタート」→「プログラム」→「Oracle - HOME_NAME」→「Configuration and Migration Tools」→「Net Manager」を順に選択します。

2.1.1.2 Oracle Advanced Securityプロファイルへのナビゲート

Oracle Net Managerインタフェース・ウィンドウには、ナビゲータ・ペインと右側のペインの2つのペインがあります。インタフェースには、ネットワーク・コンポーネントを構成できる様々なプロパティ・シートが表示されます。ナビゲータ・ペインでネットワーク・オブジェクトを選択する場合、関連するプロパティ・シートが右側のペインに表示されます。Oracle Advanced Securityの機能を構成するには、図2-1に示すように、ナビゲータ・ペインで「プロファイル」を選択し、次に右側のペインのリストから「Oracle Advanced Security」選択します。

図2-1 Oracle Net ManagerのOracle Advanced Securityプロファイル

図2-1の説明は次にあります。
「図2-1 Oracle Net ManagerのOracle Advanced Securityプロファイル」の説明

2.1.1.3 Oracle Advanced Securityプロファイルのプロパティ・シート

Oracle Advanced Securityプロファイルには、次のプロパティ・シートがあります。

2.1.1.3.1 「認証」プロパティ・シート

このプロパティ・シートを使用して、Kerberos Version 5(KERBEROS5)、Windows 固有の認証(NTS)、RADIUSなどの厳密認証方式を選択します。

2.1.1.3.2 「その他のパラメータ」プロパティ・シート

このプロパティ・シートを使用して認証プロパティ・シートで選択した認証方式に対するその他のパラメータを設定します。

2.1.1.3.3 「整合性」プロパティ・シート

このプロパティ・シートを使用して、クライアントまたはサーバーでチェックサムを有効にし、安全なメッセージ・ダイジェストを作成するための暗号化アルゴリズムを選択します。

2.1.1.3.4 「暗号化」プロパティ・シート

このプロパティ・シートを使用して、1つ以上の暗号スイートを選択し、固有の暗号化アルゴリズムでクライアントまたはサーバー接続を暗号化します。

2.1.1.3.5 「SSL」プロパティ・シート

このプロパティ・シートを使用して、クライアントまたはサーバーに、ウォレットの位置や暗号スイートを含むSecure Sockets Layer(SSL)を構成します。

2.1.2 Oracle Advanced SecurityのKerberosアダプタ・コマンドライン・ユーティリティ

Oracle Advanced Security Kerberosアダプタは、Kerberos資格証明の取得、キャッシュ、表示および削除ができる3つのコマンドライン・ユーティリティを提供します。次の表は、これらのユーティリティについて簡単に示しています。

ユーティリティ名 説明
okinit KerberosチケットをKey Distribution Center(KDC)から取得して、ユーザーの資格証明キャッシュに書き込みます。
oklist 特定の資格証明キャッシュにあるKerberosチケットのリストを表示します。
okdstry Kerberos資格証明を特定の資格証明キャッシュから削除します。


関連項目:


これらのユーティリティ、構文および使用可能なオプションの詳細は、「Kerberos認証アダプタで使用するユーティリティ」を参照してください。


注意:


Cybersafeアダプタは、このリリースからサポートが廃止されています。かわりにOracleのKerberosアダプタを使用してください。Kerberosアダプタを使用すると、Kerberos認証とCybersafe KDC(Trust Broker)を引き続き組み合せて使用できます。

2.2 公開鍵インフラストラクチャ資格証明管理ツール

公開鍵インフラストラクチャ(PKI)により提供されるセキュリティは、PKI資格証明をいかに効率的に格納、管理および検証するかにかかっています。次のOracleのツール製品を使用して、証明書、ウォレットおよび証明書失効リストを管理し、PKI資格証明が安全に格納でき、証明書の検証メカニズムが最新に保てるようにします。

2.2.1 Oracle Wallet Manager

Oracle Wallet Managerは、ウォレットの所有者とセキュリティ管理者が各自のOracleウォレット内のセキュリティ資格証明を管理および編集するために使用するアプリケーションです。ウォレットは、秘密鍵、証明書およびSSLに必要な信頼できる証明書も含めて、認証および署名された資格証明の格納に使用されるパスワードで保護されたコンテナです。Oracle Wallet Managerを使用して、次の作業を実行できます。

  • 公開鍵と秘密鍵のペアの作成

  • ユーザーの資格証明の格納および管理

  • 証明書要求の生成

  • 認証局の証明書(ルート鍵証明書および証明連鎖)の格納と管理

  • ウォレットのLDAPディレクトリへのアップロードと、LDAPディレクトリからのダウンロード

  • ハードウェア・セキュリティ・モジュール資格証明を格納するためのウォレットの作成

次の各項では、Oracle Wallet Managerユーザー・インタフェースについて説明します。

2.2.1.1 Oracle Wallet Managerの起動

Oracle Wallet Managerを起動する手順は次のとおりです。

  • (UNIXの場合)$ORACLE_HOME/binから、コマンドラインで次のように入力します。

    owm
    
  • (Windowsの場合)「スタート」→「プログラム」→「Oracle HOME_NAME」→「Integrated Management Tools」→「Wallet Manager」を順に選択します。

2.2.1.2 Oracle Wallet Managerユーザー・インタフェースのナビゲート

Oracle Wallet Managerのユーザー・インタフェースには、図2-2に示すように、2つのペイン、1つのツールバーおよび様々なメニュー項目があります。

図2-2 Oracle Wallet Managerのユーザー・インタフェース

図2-2の説明は次にあります。
「図2-2 Oracle Wallet Managerのユーザー・インタフェース」の説明

2.2.1.2.1 ナビゲータ・ペイン

ナビゲータ・ペインには、証明書要求と、Oracleホームに格納されている証明書のグラフィカル・ナビゲーション・ツリー・ビューが表示されます。OracleホームはOracle Wallet Managerがインストールされている場所です。ナビゲータ・ペインを使用して証明書と証明書要求を表示、修正、追加、削除できます。

ナビゲータ・ペインは、他のOracleグラフィカル・ユーザー・インタフェース・ツールと同じように機能し、次のことができます。

  • ウォレット・オブジェクトの開閉を行うことによる、そこに含まれているユーザーおよび信頼できる証明書の管理。

  • ウォレット、証明書、証明書要求を右クリックすることによる、追加、削除、インポートまたはエクスポートのような操作の実行。

ウォレットを開くと、ユーザーおよび信頼できる証明書のネストされたリストが表示されます。ナビゲータ・ペインでウォレットまたは証明書を選択すると、それに関する詳細が、Oracle Wallet Managerに隣接する右側のペインに表示されます。表2-1は、ナビゲータ・ペインに表示される主なオブジェクトを示しています。

表2-1 Oracle Wallet Managerのナビゲータ・ペインのオブジェクト

オブジェクト 説明

ウォレット

認証および署名の資格証明の格納に使用される、パスワードで保護されたコンテナ

証明書リクエスト脚注 1 

要求者の識別名(DN)、公開鍵、鍵のサイズおよび鍵のタイプを含むPKCS #10でエンコードされたメッセージ。

証明書脚注1

エンティティのDNと公開鍵を含み、信頼できる機関(認証局)によって署名されているX.509データ構造。

信頼できる証明書脚注1

ルート鍵証明書とも呼ばれ、一定の信頼度を有すると認定されたサード・パーティ機関からの証明書。


脚注 1 これらのオブジェクトは、ウォレットを作成し、証明書要求を生成して、証明書をウォレットにインポートした後にのみ表示されます。

2.2.1.2.2 右側のペイン

右側のペインはナビゲータ・ペインで選択されているオブジェクトに関する情報を表示します。右側のペインは読取り専用です。

図2-3は、証明書要求オブジェクトがナビゲータ・ペインで選択されている場合の右側のペインの表示を示しています。要求と要求者の識別情報に関する情報が、「リクエストされた識別情報」、「鍵のサイズ」および「鍵のタイプ」フィールドに表示されます。PKCS #10でエンコードされた証明書要求は「証明書リクエスト」テキスト・ボックスに表示されます。認証局からの証明書を要求するために、この要求を電子メールにコピーしたり、ファイルにエクスポートできます。


注意:


図2-3は、ユーザーに対する証明書要求を示しています。CN属性にユーザー名のかわりにサーバー名が含まれている場合、証明書はサーバーに対して要求されることもあります。

図2-3 Oracle Wallet Managerの右側のペインに表示される証明書要求情報

図2-3の説明は次にあります。
「図2-3 Oracle Wallet Managerの右側のペインに表示される証明書要求情報」の説明

2.2.1.3 ツールバー

ツールバーにはウォレットを管理できるボタンが含まれています。マウスのカーソルをツールバー・ボタン上に移動し、ボタンの機能の説明を表示します。表2-2に、ツールバー・ボタンとその説明を示します。

表2-2 Oracle Wallet Managerのツールバー・ボタン

ツールバー・ボタン 説明

新規

新規のウォレットを作成します。

ウォレットを開く

ファイル・システムをブラウズして、既存のウォレットの位置を識別し、オープンします。

ウォレットの保存

現在オープンしているウォレットを保存します。

ウォレットの削除

ナビゲータ・ペインで現在選択されているウォレットを削除します。

ヘルプ

Oracle Wallet Managerのオンライン・ヘルプをオープンします。


2.2.1.4 メニュー

Oracle Wallet Managerのメニューを使用して、ウォレットと、ウォレット内にある資格証明を管理します。次の項では、各メニューで使用できるオプションについて説明します。

2.2.1.4.1 「ウォレット」メニュー

表2-3は、「ウォレット」メニューの内容を示しています。

表2-3 Oracle Wallet Managerの「ウォレット」メニュー・オプション

オプション 説明

新規

新規のウォレットを作成します。

開く

既存のウォレットをオープンします。

閉じる

現在オープンしているウォレットをクローズします。

ディレクトリ・サービス内へのアップロード

指定したLDAPディレクトリ・サーバーにウォレットをアップロードします。

ディレクトリ・パスワード、ホスト名およびポート情報を指定する必要があります。

ディレクトリ・サービスからのダウンロード

指定したLDAPディレクトリ・サーバーからウォレットをダウンロードします。ディレクトリ・パスワード、ホスト名およびポート情報を指定する必要があります。

保存

現在作業中のディレクトリに現在オープンしているウォレットを保存します。

別名保存

ファイル・システムをブラウズして、現在オープンしているウォレットを保存するディレクトリの場所を選択できます。

システム・デフォルトに保存

現在オープンしているウォレットを、システムのデフォルトの場所に保存します。

  • (UNIXの場合)/etc/ORACLE/WALLETS/username

  • (Windowsの場合)%USERPROFILE%¥ORACLE¥WALLETS

削除

現在作業中のディレクトリにあるウォレットを削除します。

ウォレットのパスワードが必要です。

パスワードの変更

現在オープンしているウォレットのパスワードを変更します。新しいパスワードを作成するには、古いパスワードが必要です。

自動ログイン

現在オープンしているウォレット用に自動ログイン機能を設定します。

終了

Oracle Wallet Managerアプリケーションを終了します。


2.2.1.4.2 「操作」メニュー

表2-4は、「操作」メニューの内容を示しています。

表2-4 Oracle Wallet Managerの「操作」メニュー・オプション

オプション 説明

証明書リクエストの追加

認証局(CA)に証明書を要求するのに使用できる、現在オープンしているウォレットへの証明書要求を生成します。

ユーザー証明書のインポート

CAから発行されたユーザー証明書をインポートします。ユーザー証明書をインポートするには、CAの証明書を、信頼できる証明書としてインポートしておく必要があります。

信頼できる証明書のインポート

CAの信頼できる証明書をインポートします。

証明書リクエストの削除

現在オープンしているウォレットにある証明書要求を削除します。証明書要求を削除するには、関連するユーザー証明書を削除しておく必要があります。

ユーザー証明書の削除

現在オープンしているウォレットからユーザー証明書を削除します。

信頼できる証明書の削除

現在オープンしているウォレットから、ナビゲータ・ペインで選択されている信頼できる証明書を削除します。信頼できる証明書を削除するには、信頼できる証明書による署名があるすべてのユーザー証明書を削除しておく必要があります。

ユーザー証明書のエクスポート

現在オープンしているウォレットにあるユーザー証明書をエクスポートして、ファイル・システム・ディレクトリに保存します。

証明書リクエストのエクスポート

現在オープンしているウォレットにある証明書要求をエクスポートして、ファイルに保存します。

信頼できる証明書のエクスポート

ナビゲータ・ペインで選択されている信頼できる証明書をエクスポートして、ファイル・システムの別の位置に保存します。

すべての信頼できる証明書のエクスポート

現在オープンしているウォレットにあるすべての信頼できる証明書をエクスポートしてファイル・システムの別の位置に保存します。

ウォレットのエクスポート

現在オープンしているウォレットをエクスポートして、テキスト・ファイルとして保存します。


2.2.1.4.3 「ヘルプ」メニュー

表2-5は、「ヘルプ」メニューの内容を示しています。

表2-5 Oracle Wallet Managerの「ヘルプ」メニュー・オプション

オプション 説明

目次

Oracle Wallet Managerのオンライン・ヘルプをオープンします。

ヘルプを検索

Oracle Wallet Managerのオンライン・ヘルプをオープンし、「検索」タブを表示します。

Oracle Wallet Managerバージョン情報

Oracle Wallet Managerのバージョン番号と著作権情報を表示するウィンドウをオープンします。


2.2.2 orapkiユーティリティ

orapkiユーティリティは、証明書失効リスト(CRL)の管理、Oracleウォレットの作成と管理、およびテスト用の署名された証明書の作成に使用できるコマンドライン・ツールです。

このユーティリティの基本の構文は次のとおりです。

orapki module command -option_1 argument ... -option_n argument

たとえば、次のコマンドは、machine1.us.acme.comにインストールされ、ポート389を使用するOracle Internet DirectoryインスタンスのCRLサブツリーにあるすべてのCRLをリストします。

orapki crl list -ldap machine1.us.acme.com:389

関連項目:


2.3 セキュリティ管理者/DBAの任務

セキュリティ管理者には、ほとんどの場合Oracle Databaseへの接続を確実に保護する作業が要求されます。表2-6は、セキュリティ管理者の主な作業、作業に使用するツール、および作業について説明している項目へのリンクを示しています。

表2-6 セキュリティ管理者/DBAの一般的な構成作業と管理作業

作業 使用されているツール 関連項目

データベース・サーバーとクライアント間の暗号化されたOracle Net接続の構成

Oracle Net Manager


「クライアントとサーバーでの暗号化の構成」


データベース・サーバーとクライアント間のOracle Net接続のチェックサムの構成

Oracle Net Manager


「クライアントとサーバーでの整合性の構成」


RADIUS認証を受けるためのデータベース・クライアントの構成

Oracle Net


「手順1: OracleクライアントでのRADIUSの構成」


RADIUS認証を受けるためのデータベースの構成

Oracle Net


「手順2: Oracle DatabaseサーバーでのRADIUSの構成」


RADIUSユーザーの作成とデータベース・セッションへのアクセス権の付与

SQL*Plus

「タスク3: ユーザーの作成とアクセス権の付与」


データベース・クライアントとサーバー上のKerberos認証の構成

Oracle Net Manager


「タスク7: Kerberos認証の構成」


Kerberosデータベース・ユーザーの作成

  • kadmin.local

  • Oracle Net Manager


資格証明キャッシュ中のKerberos資格証明の管理

  • okinit

  • oklist

  • okdstry


データベース・クライアントまたはサーバー用のウォレットの作成

  • Oracle Wallet Manager


「ウォレットの新規作成」


SSL認証用の認証局(CA)からのユーザー証明書の要求

  • Oracle Wallet Manager



ユーザー証明書とそれに関連する信頼できる証明書(CA証明書)のウォレットへのインポート

  • Oracle Wallet Manager



データベース・クライアント用のSSL接続の構成

  • Oracle Net Manager


「タスク3: クライアントでのSSLの構成」


データベース・サーバー用のSSL接続の構成

  • Oracle Net Manager


「タスク2: サーバーでのSSLの構成」


証明書失効リストによる証明書の検証の有効化

  • Oracle Net Manager