この付録では、Oracle Advanced Securityでサポートされている暗号化とデータ整合性のパラメータについて説明します。また、第9章「Oracleサーバーとクライアントに対するネットワーク・データの暗号化および整合性の構成」
と第13章「Secure Sockets Layer認証の構成」で説明されているネットワーク構成の実行によって生成されるsqlnet.oraファイルの例も示します。
この付録のトピックは次のとおりです。
この項では、似た特性を持つ一連のクラインと似た特性を持つ一連のサーバーのsqlnet.ora
構成ファイルのサンプルを示します。このファイルには、Oracle Advanced Securityの暗号化とデータ整合性のパラメータの例が含まれています。
#Trace file setup trace_level_server=16 trace_level_client=16 trace_directory_server=/orant/network/trace trace_directory_client=/orant/network/trace trace_file_client=cli trace_file_server=srv trace_unique_client=true
Oracle Advanced Securityの透過的データ暗号化設定
ENCRYPTION_WALLET_LOCATION = (SOURCE = (METHOD = FILE) (METHOD_DATA = (DIRECTORY = /etc/ORACLE/WALLETS/oracle)))
Oracle Advanced Securityのネットワーク暗号化設定
#ASO Encryption sqlnet.encryption_server=accepted sqlnet.encryption_client=requested sqlnet.encryption_types_server=(AES_256) sqlnet.encryption_types_client=(AES_256)
Oracle Advanced Securityのネットワーク・データ整合性設定
#ASO Checksum sqlnet.crypto_checksum_server=requested sqlnet.crypto_checksum_client=requested sqlnet.crypto_checksum_types_server = (SHA1) sqlnet.crypto_checksum_types_client = (SHA1)
#SSL WALLET_LOCATION = (SOURCE= (METHOD = FILE) (METHOD_DATA = DIRECTORY=/wallet) SSL_CIPHER_SUITES=(SSL_RSA_WITH_3DES_EDE_CBC_SHA) SSL_VERSION= 3 SSL_CLIENT_AUTHENTICATION=FALSE
#Common automatic_ipc = off sqlnet.authentication_services = (beq) names.directory_path = (TNSNAMES)
#Kerberos sqlnet.authentication_services = (beq, kerberos5) sqlnet.authentication_kerberos5_service = oracle sqlnet.kerberos5_conf= /krb5/krb.conf sqlnet.kerberos5_keytab= /krb5/v5srvtab sqlnet.kerberos5_realms= /krb5/krb.realm sqlnet.kerberos5_cc_name = /krb5/krb5.cc sqlnet.kerberos5_clockskew=900 sqlnet.kerberos5_conf_mit=false
#Radius sqlnet.authentication_services = (beq, RADIUS ) sqlnet.radius_authentication_timeout = (10) sqlnet.radius_authentication_retries = (2) sqlnet.radius_authentication_port = (1645) sqlnet.radius_send_accounting = OFF sqlnet.radius_secret = /orant/network/admin/radius.key sqlnet.radius_authentication = radius.us.example.com sqlnet.radius_challenge_response = OFF sqlnet.radius_challenge_keyword = challenge sqlnet.radius_challenge_interface = oracle/net/radius/DefaultRadiusInterface sqlnet.radius_classpath = /jre1.1/
サーバー暗号化、クライアント暗号化、サーバー・チェックサムまたはクライアント・チェックサムの値を指定しない場合、対応する構成パラメータはsqlnet.ora
ファイルに含まれません。ただし、Oracle Advanced SecurityによってデフォルトでACCEPTED
に設定されます。
データ暗号化と整合性の両方のアルゴリズムでは、サーバーは、そのサーバーのsqlnet.ora
ファイル内のアルゴリズムのうち、クライアントのsqlnet.ora
ファイル、またはクライアントのsqlnet.ora
ファイルにアルゴリズムがリストされていない場合はクライアントのインストール済リストにリストされているアルゴリズムに、最初に一致するものを選択します。サーバーのsqlnet.ora
ファイルにエントリがない場合、サーバーはそのインストール済リストを順に検索して、クライアント側(クライアントのsqlnet.ora
ファイルまたはクライアントのインストール済リスト)の項目と照合します。一致するアルゴリズムが見つからず、接続の一方でアルゴリズムのタイプ(データ暗号化または整合性)がREQUIREDである場合、接続は失敗します。それ以外の場合、接続はアルゴリズムのタイプinactive
で成功します。
データ暗号化と整合性のアルゴリズムは、互いに独立して選択されます。表A-1に示すように、暗号化は整合性なしでアクティブにでき、整合性は暗号化なしでアクティブにできます。
次の各項では、データ暗号化および整合性パラメータについて説明します。
このパラメータでは、クライアントまたはクライアントとして機能しているサーバーがこのサーバーに接続する際の暗号化動作を指定します。サーバーの動作は、接続の相手側のSQLNET.ENCRYPTION_CLIENT
の設定に部分的に依存します。
このパラメータでは、このクライアントまたはクライアントとして機能しているサーバーがサーバーに接続する際の暗号化動作を指定します。クライアントの動作は、接続の相手側のSQLNET.ENCRYPTION_SERVER
の設定値に部分的に依存します。
このパラメータでは、拡張鍵使用方法を使用して常にクライアント認証を使用するSecure Sockets Layer証明書を設定します。
このパラメータでは、クライアントまたはクライアントとして機能している別のサーバーがこのサーバーに接続する際のデータ整合性動作を指定します。動作は、接続の相手側のSQLNET.CRYPTO_CHECKSUM_CLIENT
の設定に部分的に依存します。
このパラメータでは、このクライアントまたはクライアントとして機能しているサーバーがサーバーに接続する際のデータ整合性動作を指定します。動作は、接続の相手側のSQLNET.CRYPTO_CHECKSUM_SERVER
の設定に部分的に依存します。
このパラメータでは、このサーバーで使用する暗号化アルゴリズムのリストをアルゴリズムの使用順に指定します。このリストは、相互に使用可能なアルゴリズムを接続のクライアント側とネゴシエートする際に使用されます。各アルゴリズムは、一致するものが見つかるまで、使用可能なクライアント・アルゴリズムのタイプのリストに対してチェックされます。インストールされていないアルゴリズムをサーバー側で指定した場合、接続はエラー・メッセージORA-12650で終了します。
表A-7 SQLNET.ENCRYPTION_TYPES_SERVERパラメータの属性
このパラメータでは、このクライアントまたはクライアントとして機能しているサーバーで使用する暗号化アルゴリズムのリストを指定します。このリストは、相互に使用可能なアルゴリズムを接続の相手側とネゴシエートする際に使用されます。インストールされていないアルゴリズムをクライアント側で指定した場合、接続はORA-12650
エラー・メッセージで終了します。
表A-8 SQLNET.ENCRYPTION_TYPES_CLIENTパラメータの属性
このパラメータでは、このサーバーまたは別のサーバーのクライアントで使用するデータ整合性アルゴリズムのリストをアルゴリズムの使用順に指定します。このリストは、相互に使用可能なアルゴリズムを接続の相手側とネゴシエートする際に使用されます。各アルゴリズムは、一致するものが見つかるまで、使用可能なクライアント・アルゴリズムのタイプのリストに対してチェックされます。インストールされていないアルゴリズムをサーバー側で指定した場合、接続はORA-12650
エラー・メッセージで終了します。