ヘッダーをスキップ
Oracle Database Advanced Security管理者ガイド
11g リリース1(11.1)
E05729-02
  目次
目次
索引
索引

戻る
戻る
 
次へ
次へ
 

はじめに

このマニュアルは、Oracle Advanced Security 11g リリース1(11.1)の『Oracle Database Advanced Security管理者ガイド』です。

Oracle Advanced Securityには、エンタープライズ・ネットワークを保護し、インターネットに対して安全に拡張するための、包括的な一連のセキュリティ機能が組み込まれています。Oracle Advanced Securityは、複数のネットワークの暗号化および認証のソリューションを1つのソースに統合し、シングル・サインオン・サービスおよびセキュリティ・プロトコルを提供します。

この『Oracle Database Advanced Security管理者ガイド』では、Oracle Advanced Securityの実装、構成および管理の方法について説明します。

この章の項目は、次のとおりです。

対象読者

『Oracle Database Advanced Security管理者ガイド』は、Oracle Advanced Securityの実装、構成および管理を行う次のユーザーとシステム担当者を対象としています。

ドキュメントのアクセシビリティについて

オラクル社は、障害のあるお客様にもオラクル社の製品、サービスおよびサポート・ドキュメントを簡単にご利用いただけることを目標としています。オラクル社のドキュメントには、ユーザーが障害支援技術を使用して情報を利用できる機能が組み込まれています。HTML形式のドキュメントで用意されており、障害のあるお客様が簡単にアクセスできるようにマークアップされています。標準規格は改善されつつあります。オラクル社はドキュメントをすべてのお客様がご利用できるように、市場をリードする他の技術ベンダーと積極的に連携して技術的な問題に対応しています。オラクル社のアクセシビリティについての詳細情報は、Oracle Accessibility ProgramのWebサイトhttp://www.oracle.com/accessibility/を参照してください。

ドキュメント内のサンプル・コードのアクセシビリティについて

スクリーン・リーダーは、ドキュメント内のサンプル・コードを正確に読めない場合があります。コード表記規則では閉じ括弧だけを行に記述する必要があります。しかしJAWSは括弧だけの行を読まない場合があります。

外部Webサイトのドキュメントのアクセシビリティについて

このドキュメントにはオラクル社およびその関連会社が所有または管理しないWebサイトへのリンクが含まれている場合があります。オラクル社およびその関連会社は、それらのWebサイトのアクセシビリティに関しての評価や言及は行っておりません。

Oracleサポート・サービスへのTTYアクセス

アメリカ国内では、Oracleサポート・サービスへ24時間年中無休でテキスト電話(TTY)アクセスが提供されています。 TTYサポートについては、(800)446-2398にお電話ください。アメリカ国外からの場合は、+1-407-458-2479にお電話ください。

このマニュアルの構成

このマニュアルは、次の章で構成されています。

第I部「Oracle Advanced Securityスタート・ガイド」

第1章「Oracle Advanced Securityの概要」

この章では、このリリースで提供されるOracle Advanced Securityの機能の概要について説明します。

第2章「構成および管理ツールの概要」

この章では、Oracle Advanced SecurityのGUIとコマンドライン・ツールの概要について説明します。

第II部「データの暗号化と整合性」

第3章「透過的データ暗号化を使用した格納済データの保護」

この章では、Oracle Advanced Security 11g リリース1(11.1)に導入された透過的データ暗号化機能の概要を説明します。透過的データ暗号化サービスの構成方法と使用方法について説明します。

第4章「Oracleサーバーとクライアントに対するネットワーク・データの暗号化および整合性の構成」

この章では、既存のOracle Net Services 11g リリース1(11.1)ネットワーク内でのデータの暗号化および整合性の構成方法について説明します。

第5章「JDBCシン・クライアントに対するネットワーク認証、暗号化および整合性の構成」

この章では、Oracle Advanced SecurityのJava実装の概要について説明します。このJava実装によって、Java Database Connectivity(JDBC)シン・クライアントがOracle Databaseのデータベースに安全に接続できます。

第III部「Oracle Advanced Securityの厳密認証」

第6章「RADIUS認証の構成」

この章では、RADIUS(Remote Authentication Dial-In User Service)を使用するOracleの構成方法について説明します。RADIUSがOracle環境でどのように動作するかについて概説するとともに、RADIUS認証およびアカウントを使用可能にする方法について説明します。また、サード・パーティ認証デバイス・ベンダーがその認証デバイスを統合するためにカスタマイズできるチャレンジ/レスポンス・ユーザー・インタフェースについても説明します。

第7章「Kerberos認証の構成」

この章では、MIT Kerberosを使用するOracleの構成方法を説明し、Oracleユーザーを認証するKerberosの構成手順について簡単に説明します。Oracle Advanced Security KerberosアダプタとMicrosoft KDC間の相互運用性を簡単に説明する項もあります。

第8章「Secure Sockets Layer認証の構成」

この章では、Oracle Advanced Securityの公開鍵インフラストラクチャ(PKI)のサポート方法を説明します。また、Secure Sockets Layer(SSL)、証明書の検証およびOracle Advanced Securityのハードウェア・セキュリティ・モジュールのサポート機能の構成と使用についても説明します。

第9章「Oracle Wallet Managerの使用方法」

この章では、Oracle Wallet Managerを使用してOracleウォレットとPKI資格証明を管理する方法を説明します。

第10章「複数の認証方式の構成方法およびOracle Advanced Securityを使用禁止にする方法」

この章では、Oracle Advanced Securityで使用できる認証方式について説明するとともに、従来のユーザー名とパスワードの認証を使用する方法について説明します。また、Oracleクライアントが特定の認証方式を使用し、Oracleサーバーが指定された任意の方式を受け入れられるようにネットワークを構成する方法も説明します。

第IV部「付録」

付録A「データの暗号化と整合性のパラメータ」

この付録では、Oracle Advanced Securityデータ暗号化および整合性構成パラメータについて説明します。

付録B「認証パラメータ」

この付録では、Oracle Advanced Security認証構成ファイル・パラメータについて説明します。

付録C「RADIUSによる認証デバイスの統合」

この付録では、サード・パーティ認証デバイス・ベンダーがそのデバイスを統合し、RADIUSチャレンジ/レスポンス認証で使用されているGraphical User Interface(GUI)をカスタマイズする方法について説明します。

付録D「Oracle Advanced Security FIPS 140-1の設定」

この付録では、FIPS 140-1 Level 2で求められる構成に準拠するために必要となるsqlnet.ora構成パラメータについて説明します。

付録E「Oracle Advanced Security FIPS 140-2の設定」

この付録では、FIPS 140-2 Level 2で求められる構成に準拠するために必要となる構成パラメータについて説明します。

付録F「orapkiユーティリティ」

この付録では、orapkiコマンドライン・ユーティリティ用の構文を提供します。このユーティリティは証明書失効リスト(CRL)を管理するのに使用する必要があります。このユーティリティを使用すると、証明書要求、署名された証明書、およびテスト用のユーザー証明書の生成などOracleウォレットの作成および管理ができ、また、Oracleウォレットからの証明書および証明書要求をエクスポートすることもできます。

付録G「Entrust対応のSSL認証」

この付録では、Secure Sockets Layer(SSL)認証のための、Entrust対応Oracle Advanced Securityの構成および使用方法について説明します。

用語集

関連ドキュメント

詳細は、次のマニュアルを参照してください。

このマニュアル・セット内のマニュアルの多くは、Oracleのインストール時にデフォルトでインストールされるシード・データベースのサンプル・スキーマを使用しています。これらのスキーマがどのように作成されているか、およびその使用方法については、『Oracle Databaseサンプル・スキーマ』を参照してください。

リリース・ノート、インストール関連ドキュメント、ホワイト・ペーパーまたはその他の関連ドキュメントは、OTN-J(Oracle Technology Network Japan)から、無償でダウンロードできます。OTN-Jを使用するには、オンラインでの登録が必要です。登録は、次のWebサイトから無償で行えます。

http://www.oracle.com/technology/global/jp/membership/index.html

すでにOTN-Jのユーザー名およびパスワードを取得している場合は、次のURLでOTN-J Webサイトのドキュメントのセクションに直接接続できます。

http://www.oracle.com/technology/global/jp/documentation/index.html

サード・パーティ・ベンダーからの情報は、次の資料を参照してください。

Oracle Advanced Securityによってサポートされているネットワーク・セキュリティ技術の概念については、次のサード・パーティの出版物を参照してください。

表記規則

この項では、このマニュアルの本文およびコード例で使用される表記規則について説明します。この項の内容は次のとおりです。

本文の表記規則

本文では、特定の項目が一目でわかるように、次の表記規則を使用します。次の表に、その規則と使用例を示します。

規則 意味
太字 太字は、本文中で定義されている用語および用語集に記載されている用語を示します。 この句を指定すると、索引構成表が作成されます。
固定幅フォントの大文字 固定幅フォントの大文字は、システム指定の要素を示します。このような要素には、パラメータ、権限、データ型、Recovery Managerキーワード、SQLキーワード、SQL*Plusまたはユーティリティ・コマンド、パッケージおよびメソッドがあります。また、システム指定の列名、データベース・オブジェクト、データベース構造、ユーザー名およびロールも含まれます。 NUMBER列に対してのみ、この句を指定できます。

BACKUPコマンドを使用して、データベースのバックアップを作成できます。

USER_TABLESデータ・ディクショナリ・ビュー内のTABLE_NAME列を問い合せます。

DBMS_STATS.GENERATE_STATSプロシージャを使用します。

固定幅フォントの小文字 固定幅フォントの小文字は、実行可能ファイル、ファイル名、ディレクトリ名およびユーザーが指定する要素のサンプルを示します。このような要素には、コンピュータ名およびデータベース名、ネット・サービス名および接続識別子があります。また、ユーザーが指定するデータベース・オブジェクトとデータベース構造、列名、パッケージとクラス、ユーザー名とロール、プログラム・ユニットおよびパラメータ値も含まれます。

注意: プログラム要素には、大文字と小文字を組み合せて使用するものもあります。これらの要素は、記載されているとおりに入力してください。

sqlplusと入力して、SQL*Plusをオープンします。

パスワードは、orapwdファイルで指定します。

/disk1/oracle/dbsディレクトリ内のデータ・ファイルおよび制御ファイルのバックアップを作成します。

hr.departments表には、department_iddepartment_nameおよびlocation_id列があります。

QUERY_REWRITE_ENABLED初期化パラメータをtrueに設定します。

oeユーザーとして接続します。

JRepUtilクラスが次のメソッドを実装します。

固定幅フォントの小文字のイタリック 固定幅フォントの小文字のイタリックは、プレースホルダまたは変数を示します。 parallel_clauseを指定できます。

old_release.SQLを実行します。ここで、old_releaseとはアップグレード前にインストールしたリリースを示します。


コード例の表記規則

コード例は、SQL、PL/SQL、SQL*Plusまたは他のコマンドライン文の例です。次のように固定幅フォントで表示され、通常のテキストと区別されます。

SELECT username FROM dba_users WHERE username = 'MIGRATE';

次の表に、コード例で使用される表記規則とその使用例を示します。

規則 意味
[ ]
大カッコは、カッコ内の項目を任意に選択することを表します。大カッコは、入力しないでください。
DECIMAL (digits [ , precision ])
{ }
中カッコは、カッコ内の項目のうち、1つが必須であることを表します。中カッコは、入力しないでください。
{ENABLE | DISABLE}
|

縦線は、大カッコまたは中カッコ内の複数の選択項目の区切りに使用します。項目のうちの1つを入力します。縦線は、入力しないでください。
{ENABLE | DISABLE}
[COMPRESS | NOCOMPRESS]
...
水平の省略記号は、次のいずれかを示します。
  • 例に直接関連しないコードの一部が省略されている。

  • コードの一部を繰り返すことができる。

CREATE TABLE ... AS subquery;

SELECT col1, col2, ... , coln FROM employees;
 .
 .
 .
垂直の省略記号は、例に直接関連しない複数の行が省略されていることを示します。
SQL> SELECT NAME FROM V$DATAFILE;
NAME
------------------------------------
/fsl/dbs/tbs_01.dbf
/fs1/dbs/tbs_02.dbf
.
.
.
/fsl/dbs/tbs_09.dbf
9 rows selected.
その他の記号 大カッコ、中カッコ、縦線および省略記号以外の記号は、記載されているとおりに入力する必要があります。
acctbal NUMBER(11,2);
acct    CONSTANT NUMBER(4) := 3;
イタリック体
イタリック体は、特定の値を指定する必要があるプレースホルダや変数を示します。
CONNECT SYSTEM/system_password
DB_NAME = database_name
大文字
大文字は、システム指定の要素を示します。これらの要素は、ユーザー定義の要素と区別するために大文字で示されます。大カッコ内にないかぎり、表示されているとおりの順序および綴りで入力します。ただし、大/小文字が区別されないため、小文字でも入力できます。
SELECT last_name, employee_id FROM employees;
SELECT * FROM USER_TABLES;
DROP TABLE hr.employees;
小文字
小文字は、ユーザー指定のプログラム要素を示します。たとえば、表名、列名またはファイル名などです。

注意: プログラム要素には、大文字と小文字を組み合せて使用するものもあります。これらの要素は、記載されているとおりに入力してください。

SELECT last_name, employee_id FROM employees;
sqlplus hr/hr
CREATE USER mjones IDENTIFIED BY ty3MU9;

Microsoft Windowsオペレーティング・システム環境での表記規則

次の表に、Microsoft Windowsオペレーティング・システム環境での表記規則とその使用例を示します。

規則 意味
ファイル名およびディレクトリ名 ファイル名およびディレクトリ名は大/小文字が区別されません。特殊文字の左山カッコ(<)、右山カッコ(>)、コロン(:)、二重引用符(")、スラッシュ(/)、縦線(|)およびハイフン(-)は使用できません。円記号(¥)は、引用符で囲まれている場合でも、要素のセパレータとして処理されます。Windowsでは、ファイル名が¥¥で始まる場合、汎用命名規則が使用されていると解釈されます。
c:\winnt"\"system32 は C:\WINNT\SYSTEM32 と同じです。
Windowsコマンド・プロンプト Windowsコマンド・プロンプトには、カレント・ディレクトリが表示されます。コマンド・プロンプトのエスケープ文字はカレット(^)です。プロンプトは、現在作業中のサブディレクトリを示します。このマニュアルでは、コマンド・プロンプトと呼びます。
C:\oracle\oradata>
特殊文字 Windowsコマンド・プロンプトで二重引用符(")のエスケープ文字として円記号(¥)が必要な場合があります。丸カッコおよび一重引用符(')にはエスケープ文字は必要ありません。エスケープ文字および特殊文字の詳細は、Windowsオペレーティング・システムのドキュメントを参照してください。
C:\>exp scott/tiger TABLES=emp QUERY=\"WHERE job='SALESMAN' and sal<1600\"
C:\>imp SYSTEM/password FROMUSER=scott TABLES=(emp, dept)
HOME_NAME
Oracleホームの名前を表します。ホーム名には、英数字で16文字まで使用できます。ホーム名に使用可能な特殊文字は、アンダースコアのみです。
C:\> net start OracleHOME_NAMETNSListener
ORACLE_HOMEおよびORACLE_BASE Oracle8i より前のリリースでは、Oracleコンポーネントをインストールすると、すべてのサブディレクトリが最上位のORACLE_HOME下に置かれました。Windowsの場合、デフォルトではC:¥orantです。

このリリースは、Optimal Flexible Architecture(OFA)のガイドラインに準拠しています。ORACLE_HOMEディレクトリ下に配置されないサブディレクトリもあります。最上位のディレクトリはORACLE_BASEと呼ばれ、デフォルトではC:¥oracleです。他のOracleソフトウェアがインストールされていないコンピュータに最新リリースのOracleをインストールした場合、Oracleホーム・ディレクトリは、デフォルトでC:¥oracle¥orannに設定されます。nnは最新リリースの番号です。Oracleホーム・ディレクトリは、ORACLE_BASEの直下に配置されます。

このマニュアルに示すディレクトリ・パスの例は、すべてOFAの表記規則に準拠しています。

ORACLE_BASE¥ORACLE_HOME¥rdbms¥adminディレクトリへ移動します。

サポートおよびサービス

次の各項に、各サービスに接続するためのURLを記載します。

Oracleサポート・サービス

オラクル製品サポートの購入方法、およびOracleサポート・サービスへの連絡方法の詳細は、次のURLを参照してください。

http://www.oracle.com/lang/jp/support/index.html

製品マニュアル

製品のマニュアルは、次のURLにあります。

http://www.oracle.com/technology/global/jp/documentation/index.html

研修およびトレーニング

研修に関する情報とスケジュールは、次のURLで入手できます。

http://education.oracle.com/pls/web_prod-plq-dad/db_pages.getpage?page_id=3

その他の情報

オラクル製品やサービスに関するその他の情報については、次のURLから参照してください。

http://www.oracle.com/lang/jp/index.html
http://www.oracle.com/technology/global/jp/index.html

注意:

ドキュメント内に記載されているURLや参照ドキュメントには、Oracle Corporationが提供する英語の情報も含まれています。日本語版の情報については、前述のURLを参照してください。