| Oracle Database Advanced Security管理者ガイド 11g リリース1(11.1) E05729-02 |
|
 戻る |
 次へ |
Oracle Databaseインスタンスに対する高度なセキュリティ機能の構成には、Oracle Net Servicesに対する暗号化、整合性(チェックサム)および厳密認証方式の構成が含まれます。厳密認証方式の構成には、KerberosやRADIUSの場合と同様に、サード・パーティのソフトウェアを含めることができ、また、デジタル証明書とSecure Sockets Layer(SSL)を使用するための公開鍵インフラストラクチャの構成と管理を必要とします。
このような多様で高度なセキュリティ機能には、それを構成し管理するための様々なツールのセットが必要です。この章では、Oracle Databaseに対する高度なセキュリティ機能を構成および管理するために使用されるツールについて説明します。項目は次のとおりです。
Oracle Net Servicesは、データベース暗号化アルゴリズムを使用してデータを暗号化し、Kerberos、RADIUS、SSLのような厳密認証方式を構成できます。次の項では、Oracle Databaseにこれらの高度なセキュリティ機能を構成できるOracleのツール製品について説明します。
Oracle Net Managerは、グラフィカル・ユーザー・インタフェース・ツールで、主にローカル・クライアントやサーバー・ホスト上のOracleホームに対してOracle Net Servicesを構成するのに使用します。
Oracle Net Managerを使用して、ネーミング、リスナー、一般的なネットワーク設定などのOracle Net Servicesを構成できますが、次のようなOracle Netプロトコルを使用するOracle Advanced Security機能を構成することもできます。
厳密認証(Kerberos、RADIUSおよびSecure Sockets Layer)
ネットワーク暗号化(RC4、DES、Triple-DESおよびAES)
データ整合性のチェックサム(MD5、SHA-1)
この項では、Oracle Advanced Securityの構成に使用するOracle Net Managerの機能を紹介します。次の項目について説明します。
Oracle Advanced Securityプロファイルへのナビゲート
|
関連項目:
|
Oracle Net Managerは、Oracle Enterprise Manager Consoleを使用するか、またはスタンドアロン・アプリケーションとして起動できます。ただし、Oracle Advanced Securityの機能を構成できるOracle Advanced Securityプロファイルにアクセスするには、スタンドアロン・アプリケーションを使用する必要があります。
Oracle Net Managerをスタンドアロン・アプリケーションとして起動する手順は次のとおりです。
(UNIXの場合)$ORACLE_HOME/binから、コマンドラインで次のように入力します。
netmgr
(Windowsの場合)「スタート」→「プログラム」→「Oracle - HOME_NAME」→「Configuration and Migration Tools」→「Net Manager」を順に選択します。
Oracle Net Managerインタフェース・ウィンドウには、ナビゲータ・ペインと右側のペインの2つのペインがあります。インタフェースには、ネットワーク・コンポーネントを構成できる様々なプロパティ・シートが表示されます。ナビゲータ・ペインでネットワーク・オブジェクトを選択する場合、関連するプロパティ・シートが右側のペインに表示されます。Oracle Advanced Securityの機能を構成するには、図2-1に示すように、ナビゲータ・ペインで「プロファイル」を選択し、次に右側のペインのリストから「Oracle Advanced Security」選択します。
図2-1 Oracle Net ManagerのOracle Advanced Securityプロファイル
Oracle Advanced Securityプロファイルには、次のプロパティ・シートがあります。
このプロパティ・シートを使用して、Kerberos Version 5(KERBEROS5)、Windows 固有の認証(NTS)、RADIUSなどの厳密認証方式を選択します。
このプロパティ・シートを使用して、クライアントまたはサーバーでチェックサムを有効にし、安全なメッセージ・ダイジェストを作成するための暗号化アルゴリズムを選択します。
このプロパティ・シートを使用して、1つ以上の暗号スイートを選択し、固有の暗号化アルゴリズムでクライアントまたはサーバー接続を暗号化します。
Oracle Advanced Security Kerberosアダプタは、Kerberos資格証明の取得、キャッシュ、表示および削除ができる3つのコマンドライン・ユーティリティを提供します。次の表は、これらのユーティリティについて簡単に示しています。
| ユーティリティ名 | 説明 |
|---|---|
okinit |
KerberosチケットをKey Distribution Center(KDC)から取得して、ユーザーの資格証明キャッシュに書き込みます。 |
oklist |
特定の資格証明キャッシュにあるKerberosチケットのリストを表示します。 |
okdstry |
Kerberos資格証明を特定の資格証明キャッシュから削除します。 |
|
注意: Cybersafeアダプタは、このリリースからサポートが廃止されています。かわりにOracleのKerberosアダプタを使用してください。Kerberosアダプタを使用すると、Kerberos認証とCybersafe KDC(Trust Broker)を引き続き組み合せて使用できます。 |
公開鍵インフラストラクチャ(PKI)により提供されるセキュリティは、PKI資格証明をいかに効率的に格納、管理および検証するかにかかっています。次のOracleのツール製品を使用して、証明書、ウォレットおよび証明書失効リストを管理し、PKI資格証明が安全に格納でき、証明書の検証メカニズムが最新に保てるようにします。
Oracle Wallet Managerは、ウォレットの所有者とセキュリティ管理者が各自のOracleウォレット内のセキュリティ資格証明を管理および編集するために使用するアプリケーションです。ウォレットは、秘密鍵、証明書およびSSLに必要な信頼できる証明書も含めて、認証および署名された資格証明の格納に使用されるパスワードで保護されたコンテナです。Oracle Wallet Managerを使用して、次の作業を実行できます。
公開鍵と秘密鍵のペアの作成
ユーザーの資格証明の格納および管理
証明書要求の生成
ウォレットのLDAPディレクトリへのアップロードと、LDAPディレクトリからのダウンロード
ハードウェア・セキュリティ・モジュール資格証明を格納するためのウォレットの作成
次の各項では、Oracle Wallet Managerユーザー・インタフェースについて説明します。
Oracle Wallet Managerを起動する手順は次のとおりです。
(UNIXの場合)$ORACLE_HOME/binから、コマンドラインで次のように入力します。
owm
(Windowsの場合)「スタート」→「プログラム」→「Oracle HOME_NAME」→「Integrated Management Tools」→「Wallet Manager」を順に選択します。
Oracle Wallet Managerのユーザー・インタフェースには、図2-2に示すように、2つのペイン、1つのツールバーおよび様々なメニュー項目があります。
ナビゲータ・ペインには、証明書要求と、Oracleホームに格納されている証明書のグラフィカル・ナビゲーション・ツリー・ビューが表示されます。OracleホームはOracle Wallet Managerがインストールされている場所です。ナビゲータ・ペインを使用して証明書と証明書要求を表示、修正、追加、削除できます。
ナビゲータ・ペインは、他のOracleグラフィカル・ユーザー・インタフェース・ツールと同じように機能し、次のことができます。
ウォレット・オブジェクトの開閉を行うことによる、そこに含まれているユーザーおよび信頼できる証明書の管理。
ウォレット、証明書、証明書要求を右クリックすることによる、追加、削除、インポートまたはエクスポートのような操作の実行。
ウォレットを開くと、ユーザーおよび信頼できる証明書のネストされたリストが表示されます。ナビゲータ・ペインでウォレットまたは証明書を選択すると、それに関する詳細が、Oracle Wallet Managerに隣接する右側のペインに表示されます。表2-1は、ナビゲータ・ペインに表示される主なオブジェクトを示しています。
表2-1 Oracle Wallet Managerのナビゲータ・ペインのオブジェクト
| オブジェクト | 説明 |
|---|---|
|
ウォレット |
認証および署名の資格証明の格納に使用される、パスワードで保護されたコンテナ |
|
証明書リクエスト脚注 1 |
|
|
証明書脚注1 |
|
|
信頼できる証明書脚注1 |
ルート鍵証明書とも呼ばれ、一定の信頼度を有すると認定されたサード・パーティ機関からの証明書。 |
脚注 1 これらのオブジェクトは、ウォレットを作成し、証明書要求を生成して、証明書をウォレットにインポートした後にのみ表示されます。
右側のペインはナビゲータ・ペインで選択されているオブジェクトに関する情報を表示します。右側のペインは読取り専用です。
図2-3は、証明書要求オブジェクトがナビゲータ・ペインで選択されている場合の右側のペインの表示を示しています。要求と要求者の識別情報に関する情報が、「リクエストされた識別情報」、「鍵のサイズ」および「鍵のタイプ」フィールドに表示されます。PKCS #10でエンコードされた証明書要求は「証明書リクエスト」テキスト・ボックスに表示されます。認証局からの証明書を要求するために、この要求を電子メールにコピーしたり、ファイルにエクスポートできます。
ツールバーにはウォレットを管理できるボタンが含まれています。マウスのカーソルをツールバー・ボタン上に移動し、ボタンの機能の説明を表示します。表2-2に、ツールバー・ボタンとその説明を示します。
Oracle Wallet Managerのメニューを使用して、ウォレットと、ウォレット内にある資格証明を管理します。次の項では、各メニューで使用できるオプションについて説明します。
表2-3は、「ウォレット」メニューの内容を示しています。
表2-3 Oracle Wallet Managerの「ウォレット」メニュー・オプション
| オプション | 説明 |
|---|---|
|
新規 |
新規のウォレットを作成します。 |
|
開く |
既存のウォレットをオープンします。 |
|
閉じる |
現在オープンしているウォレットをクローズします。 |
|
ディレクトリ・サービス内へのアップロード |
指定したLDAPディレクトリ・サーバーにウォレットをアップロードします。 ディレクトリ・パスワード、ホスト名およびポート情報を指定する必要があります。 |
|
ディレクトリ・サービスからのダウンロード |
指定したLDAPディレクトリ・サーバーからウォレットをダウンロードします。ディレクトリ・パスワード、ホスト名およびポート情報を指定する必要があります。 |
|
保存 |
現在作業中のディレクトリに現在オープンしているウォレットを保存します。 |
|
別名保存 |
ファイル・システムをブラウズして、現在オープンしているウォレットを保存するディレクトリの場所を選択できます。 |
|
システム・デフォルトに保存 |
現在オープンしているウォレットを、システムのデフォルトの場所に保存します。
|
|
削除 |
現在作業中のディレクトリにあるウォレットを削除します。 ウォレットのパスワードが必要です。 |
|
パスワードの変更 |
現在オープンしているウォレットのパスワードを変更します。新しいパスワードを作成するには、古いパスワードが必要です。 |
|
自動ログイン |
現在オープンしているウォレット用に自動ログイン機能を設定します。 |
|
終了 |
Oracle Wallet Managerアプリケーションを終了します。 |
表2-4は、「操作」メニューの内容を示しています。
表2-4 Oracle Wallet Managerの「操作」メニュー・オプション
| オプション | 説明 |
|---|---|
|
証明書リクエストの追加 |
認証局(CA)に証明書を要求するのに使用できる、現在オープンしているウォレットへの証明書要求を生成します。 |
|
ユーザー証明書のインポート |
CAから発行されたユーザー証明書をインポートします。ユーザー証明書をインポートするには、CAの証明書を、信頼できる証明書としてインポートしておく必要があります。 |
|
信頼できる証明書のインポート |
CAの信頼できる証明書をインポートします。 |
|
証明書リクエストの削除 |
現在オープンしているウォレットにある証明書要求を削除します。証明書要求を削除するには、関連するユーザー証明書を削除しておく必要があります。 |
|
ユーザー証明書の削除 |
現在オープンしているウォレットからユーザー証明書を削除します。 |
|
信頼できる証明書の削除 |
現在オープンしているウォレットから、ナビゲータ・ペインで選択されている信頼できる証明書を削除します。信頼できる証明書を削除するには、信頼できる証明書による署名があるすべてのユーザー証明書を削除しておく必要があります。 |
|
ユーザー証明書のエクスポート |
現在オープンしているウォレットにあるユーザー証明書をエクスポートして、ファイル・システム・ディレクトリに保存します。 |
|
証明書リクエストのエクスポート |
現在オープンしているウォレットにある証明書要求をエクスポートして、ファイルに保存します。 |
|
信頼できる証明書のエクスポート |
ナビゲータ・ペインで選択されている信頼できる証明書をエクスポートして、ファイル・システムの別の位置に保存します。 |
|
すべての信頼できる証明書のエクスポート |
現在オープンしているウォレットにあるすべての信頼できる証明書をエクスポートしてファイル・システムの別の位置に保存します。 |
|
ウォレットのエクスポート |
現在オープンしているウォレットをエクスポートして、テキスト・ファイルとして保存します。 |
orapkiユーティリティは、証明書失効リスト(CRL)の管理、Oracleウォレットの作成と管理、およびテスト用の署名された証明書の作成に使用できるコマンドライン・ツールです。
このユーティリティの基本の構文は次のとおりです。
orapki module command -option_1 argument ... -option_n argument
たとえば、次のコマンドは、machine1.us.acme.comにインストールされ、ポート389を使用するOracle Internet DirectoryインスタンスのCRLサブツリーにあるすべてのCRLをリストします。
orapki crl list -ldap machine1.us.acme.com:389
|
関連項目:
|
セキュリティ管理者には、ほとんどの場合Oracle Databaseへの接続を確実に保護する作業が要求されます。表2-6は、セキュリティ管理者の主な作業、作業に使用するツール、および作業について説明している項目へのリンクを示しています。
表2-6 セキュリティ管理者/DBAの一般的な構成作業と管理作業
| 作業 | 使用されているツール | 関連項目 |
|---|---|---|
|
データベース・サーバーとクライアント間の暗号化されたOracle Net接続の構成 |
Oracle Net Manager |
|
|
データベース・サーバーとクライアント間のOracle Net接続のチェックサムの構成 |
Oracle Net Manager |
|
|
RADIUS認証を受けるためのデータベース・クライアントの構成 |
Oracle Net |
「手順1: OracleクライアントでのRADIUSの構成」 |
|
RADIUS認証を受けるためのデータベースの構成 |
Oracle Net |
「手順2: Oracle DatabaseサーバーでのRADIUSの構成」 |
|
RADIUSユーザーの作成とデータベース・セッションへのアクセス権の付与 |
SQL*Plus |
|
|
データベース・クライアントとサーバー上のKerberos認証の構成 |
Oracle Net Manager |
|
|
Kerberosデータベース・ユーザーの作成 |
|
|
|
資格証明キャッシュ中のKerberos資格証明の管理 |
|
|
|
データベース・クライアントまたはサーバー用のウォレットの作成 |
|
|
|
SSL認証用の認証局(CA)からのユーザー証明書の要求 |
|
|
|
ユーザー証明書とそれに関連する信頼できる証明書(CA証明書)のウォレットへのインポート |
|
|
|
データベース・クライアント用のSSL接続の構成 |
|
|
|
データベース・サーバー用のSSL接続の構成 |
|
|
|
証明書失効リストによる証明書の検証の有効化 |
|
|
