プライマリ・コンテンツに移動
Oracle® Database Advanced Security管理者ガイド
11gリリース2 (11.2)
B56286-10
  目次へ移動
目次
索引へ移動
索引

前
 
次
 

B 認証パラメータ

この付録では、Kerberos、RADIUSまたはSSL認証を使用する場合のプロファイル・ファイル(sqlnet.ora)とデータベース初期化ファイルの認証パラメータによるサンプル構成ファイルについて説明します。

この付録のトピックは次のとおりです。

B.1 Kerberos認証を使用するクライアントとサーバーのパラメータ

Kerberosを使用するクライアントとサーバーの構成ファイルに挿入するパラメータのリストを次に示します。

表B-1 Kerberos認証パラメータ

ファイル名 構成パラメータ

sqlnet.ora

SQLNET.AUTHENTICATION_SERVICES=(KERBEROS5)        
SQLNET.AUTHENTICATION_KERBEROS5_SERVICE=oracle     
SQLNET.KERBEROS5_CC_NAME=/usr/tmp/DCE-CC   
SQLNET.KERBEROS5_CLOCKSKEW=1200   
SQLNET.KERBEROS5_CONF=/krb5/krb.conf      
SQLNET.KERBEROS5_CONF_MIT=(FALSE)
SQLNET.KERBEROS5_REALMS=/krb5/krb.realms  
SQLNET.KERBEROS5_KEYTAB=/krb5/v5sLrvtab
SQLNET.FALLBACK_AUTHENTICATION=FALSE

初期化パラメータ・ファイル

OS_AUTHENT_PREFIX=""

B.2 RADIUS認証を使用するクライアントとサーバーのパラメータ

次の各項では、RADIUS認証のパラメータについて説明します。

B.2.1 sqlnet.oraファイルのパラメータ

次の各項では、RADIUS認証の指定に使用するsqlnet.oraパラメータについて説明します。

B.2.1.1 SQLNET.AUTHENTICATION_SERVICESパラメータ

このパラメータでは、RADIUSアダプタを使用するようにクライアントまたはサーバーを構成します。表B-2に、このパラメータの属性を示します。

表B-2 SQLNET.AUTHENTICATION_SERVICESパラメータの属性

属性 説明

構文

SQLNET.AUTHENTICATION_SERVICES=(radius)

デフォルト設定

なし


B.2.1.2 SQLNET.RADIUS_AUTHENTICATIONパラメータ

このパラメータでは、プライマリRADIUSサーバーの場所(ホスト名またはドット区切りの10進形式)を構成します。RADIUSサーバーがOracleサーバーとは異なるコンピュータ上にある場合は、そのコンピュータのホスト名またはIPアドレスを指定する必要があります。表B-3に、このパラメータの属性を示します。

表B-3 SQLNET.RADIUS_AUTHENTICATIONパラメータの属性

属性 説明

構文

SQLNET.RADIUS_AUTHENTICATION=RADIUS_server_IP_address

デフォルト設定

localhost


B.2.1.3 SQLNET.RADIUS_AUTHENTICATION_PORTパラメータ

このパラメータでは、プライマリRADIUSサーバーのリスニング・ポートを設定します。表B-4に、このパラメータの属性を示します。

表B-4 SQLNET.RADIUS_AUTHENTICATION_PORTパラメータの属性

属性 説明

構文

SQLNET.RADIUS_AUTHENTICATION_PORT=port_number

デフォルト設定

1645


B.2.1.4 SQLNET.RADIUS_AUTHENTICATION_TIMEOUTパラメータ

このパラメータでは、応答を待機する時間を設定します。表B-5に、このパラメータの属性を示します。

表B-5 SQLNET.RADIUS_AUTHENTICATION_TIMEOUTパラメータの属性

属性 説明

構文

SQLNET.RADIUS_AUTHENTICATION_TIMEOUT=time_in_seconds

デフォルト設定

5


B.2.1.5 SQLNET.RADIUS_AUTHENTICATION_RETRIESパラメータ

このパラメータでは、認証情報を再送信する回数を設定します。表B-6に、このパラメータの属性を示します。

表B-6 SQLNET.RADIUS_AUTHENTICATION_RETRIESパラメータの属性

属性 説明

構文

SQLNET.RADIUS_AUTHENTICATION_RETRIES=n_times_to_resend

デフォルト設定

3


B.2.1.6 SQLNET.RADIUS_SEND_ACCOUNTINGパラメータ

このパラメータでは、アカウンティングのオンとオフを切り替えます。アカウンティングを有効にした場合、パケットは、1を加えたリスニング・ポートでアクティブなRADIUSサーバーに送信されます。デフォルトでは、パケットはポート1646に送信されます。この機能は、RADIUSサーバーでアカウンティングがサポートされ、ユーザーがシステムにログオンする回数を追跡する場合にのみオンにする必要があります。表B-7に、このパラメータの属性を示します。

表B-7 SQLNET.RADIUS_SEND_ACCOUNTINGパラメータの属性

属性 説明

構文

SQLNET.RADIUS_SEND_ACCOUNTING=on

デフォルト設定

off


B.2.1.7 SQLNET.RADIUS_SECRETパラメータ

このパラメータでは、RADIUS秘密鍵のファイル名と場所を指定します。表B-8に、このパラメータの属性を示します。

表B-8 SQLNET.RADIUS_SECRETパラメータの属性

属性 説明

構文

SQLNET.RADIUS_SECRET=path_to_RADIUS_secret_key

デフォルト設定

$ORACLE_HOME/network/security/radius.key


B.2.1.8 SQLNET.RADIUS_ALTERNATEパラメータ

このパラメータでは、プライマリ・サーバーをフォルト・トレランスに使用できなくなった場合に使用する代替RADIUSサーバーの場所を設定します。表B-9に、このパラメータの属性を示します。

表B-9 SQLNET.RADIUS_ALTERNATEパラメータの属性

属性 説明

構文

SQLNET.RADIUS_ALTERNATE=alternate_RADIUS_server_hostname_or_IP_address

デフォルト設定

off


B.2.1.9 SQLNET.RADIUS_ALTERNATE_PORTパラメータ

このパラメータでは、代替RADIUSサーバーのリスニング・ポートを設定します。表B-10に、このパラメータの属性を示します。

表B-10 SQLNET.RADIUS_ALTERNATE_PORTパラメータの属性

属性 説明

構文

SQLNET.RADIUS_ALTERNATE_PORT=alternate_RADIUS_server_listening_port_number

デフォルト設定

1645


B.2.1.10 SQLNET.RADIUS_ALTERNATE_TIMEOUTパラメータ

このパラメータでは、代替RADIUSサーバーの応答を待機する時間を設定します。表B-11に、このパラメータの属性を示します。

表B-11 SQLNET.RADIUS_ALTERNATE_TIMEOUTパラメータの属性

属性 説明

構文

SQLNET.RADIUS_ALTERNATE_TIMEOUT=time_in_seconds

デフォルト設定

5


B.2.1.11 SQLNET.RADIUS_ALTERNATE_RETRIESパラメータ

このパラメータでは、代替RADIUSサーバーでメッセージを再送信する回数を設定します。表B-12に、このパラメータの属性を示します。

表B-12 SQLNET.RADIUS_ALTERNATE_RETRIESパラメータの属性

属性 説明

構文

SQLNET.RADIUS_ALTERNATE_RETRIES=n_times_to_resend

デフォルト設定

3


B.2.1.12 SQLNET.RADIUS_CHALLENGE_RESPONSEパラメータ

このパラメータでは、チャレンジ・レスポンス(非同期)モードのオンとオフを切り替えます。表B-13に、このパラメータの属性を示します。

表B-13 SQLNET.RADIUS_CHALLENGE_RESPONSEパラメータの属性

属性 説明

構文

SQLNET.RADIUS_CHALLENGE_RESPONSE=on

デフォルト設定

off


B.2.1.13 SQLNET.RADIUS_CHALLENGE_KEYWORDパラメータ

このパラメータでは、RADIUSサーバーからのチャレンジを要求するためのキーワードを設定します。ユーザーはクライアントでパスワードを入力しません。表B-14に、このパラメータの属性を示します。

表B-14 SQLNET.RADIUS_CHALLENGE_KEYWORDパラメータの属性

属性 説明

構文

SQLNET.RADIUS_CHALLENGE_KEYWORD=keyword

デフォルト設定

challenge


B.2.1.14 SQLNET.RADIUS_AUTHENTICATION_INTERFACEパラメータ

このパラメータでは、RADIUSがチャレンジ・レスポンス(非同期)モードの場合に、グラフィカル・ユーザー・インタフェースを含むJavaクラスの名前を設定します。表B-15に、このパラメータの属性を示します。

表B-15 SQLNET.RADIUS_AUTHENTICATION_INTERFACEパラメータの属性

属性 説明

構文

SQLNET.RADIUS_AUTHENTICATION_INTERFACE=Java_class_name

デフォルト設定

DefaultRadiusInterface (oracle/net/radius/DefaultRadiusInterface)


B.2.1.15 SQLNET.RADIUS_CLASSPATHパラメータ

チャレンジ・レスポンス認証モードを使用する場合、RADIUSは、最初にパスワード、続いて追加情報(トークン・カードから取得する動的パスワードなど)を要求するJavaベースのグラフィカル・ユーザー・インタフェースをユーザーに表示します。sqlnet.oraファイルにSQLNET.RADIUS_CLASSPATHパラメータを追加して、そのグラフィカル・インタフェースのJavaクラスを設定し、JDK Javaライブラリへのパスを設定します。表B-16に、このパラメータの属性を示します。

表B-16 SQLNET.RADIUS_CLASSPATHパラメータの属性

属性 説明

構文

SQLNET.RADIUS_CLASSPATH=path_to_GUI_Java_classes

デフォルト設定

$ORACLE_HOME/jlib/netradius.jar:$ORACLE_HOME/JRE/lib/sparc/native_threads


B.2.2 最小限のRADIUSパラメータ

sqlnet.authentication_services = (radius)
sqlnet.radius.authentication = IP-address-of-RADIUS-server

B.2.3 初期化ファイル・パラメータ

OS_AUTHENT_PREFIX=""

B.3 Secure Sockets Layerを使用するクライアントとサーバーのパラメータ

パラメータの構成方法は2つあります。

  • 静的: sqlnet.oraファイルに存在するパラメータの名前。SSL_CIPHER_SUITESSSL_VERSIONなどのパラメータは、listener.oraファイルを使用して構成することもできます。

  • 動的: Oracle Netアドレスのセキュリティ・サブセクションで使用されるパラメータの名前。

B.3.1 Secure Sockets Layer認証パラメータ

この項では、サーバーでSSLを構成するための静的パラメータと動的パラメータについて説明します。

属性 説明
パラメータ名(静的) SQLNET.AUTHENTICATION_SERVICES
パラメータ名(動的) AUTHENTICATION
パラメータ・タイプ 文字列LIST
パラメータ・クラス 静的
設定できる値 使用可能な認証サービスのリストにTCPSを追加します。
デフォルト値 デフォルト値はありません。
説明 ユーザーが使用する認証サービスを制御します。

注意: 動的バージョンでは、1つのタイプの設定のみがサポートされます。

既存/新規パラメータ

既存

構文(静的) SQLNET.AUTHENTICATION_SERVICES = (TCPS, selected_method_1, selected_method_2)
例(静的) SQLNET.AUTHENTICATION_SERVICES = (TCPS, radius)
構文(動的) AUTHENTICATION = string
例(動的)

AUTHENTICATION = (TCPS)


B.3.2 暗号スイート・パラメータ

この項では、暗号スイートを構成するための静的パラメータと動的パラメータについて説明します。

属性 説明
パラメータ名(静的) SSL_CIPHER_SUITES
パラメータ名(動的) SSL_CIPHER_SUITES
パラメータ・タイプ 文字列LIST
パラメータ・クラス 静的
設定できる値 既知のSSL暗号スイート
デフォルト値 デフォルトなし
説明 SSLで使用する暗号化とデータ整合性の組合せを制御します。
既存/新規パラメータ 既存
構文(静的) SSL_CIPHER_SUITES=(SSL_cipher_suite1[, SSL_cipher_suite2, ... SSL_cipher_suiteN])
例(静的) SSL_CIPHER_SUITES=(SSL_DH_DSS_WITH_DES_CBC_SHA)
構文(動的) SSL_CIPHER_SUITES=(SSL_cipher_suite1

[, SSL_cipher_suite2, ...SSL_cipher_suiteN])

例(動的) SSL_CIPHER_SUITES=(SSL_DH_DSS_WITH_DES_CBC_SHA)

B.3.2.1 サポートされているSSL暗号スイート

Oracle Advanced Securityでは、次の暗号スイートをサポートしています。

  • SSL_RSA_WITH_3DES_EDE_CBC_SHA

  • SSL_DH_anon_WITH_3DES_EDE_CBC_SHA

  • SSL_RSA_WITH_AES_128_CBC_SHA

  • SSL_RSA_WITH_AES_256_CBC_SHA

Advanced Encryption Standard (AES)を使用する暗号スイートは、Transport Layer Security (TLS 1.0)でのみ使用できます。

B.3.3 Secure Sockets Layerバージョン・パラメータ

この項では、使用するSSLのバージョンを構成するための静的パラメータと動的パラメータについて説明します。

属性 説明
パラメータ名(静的) SSL_VERSION
パラメータ名(動的) SSL_VERSION
パラメータ・タイプ 文字列
パラメータ・クラス 静的
設定できる値 SSLで有効なバージョン。値は次のとおりです。

undetermined | 3.0 | 1.0 | 1.1 | 1.2

あるバージョンまたは別のバージョンを指定する場合は、"or"を使用します。次の値を使用できます。

1.0 or 3.0 | 1.2 or 3.0 | 1.1 or 1.0 | 1.2 or 1.0 | 1.2 or 1.1 | 1.1 or 1.0 or 3.0 | 1.2 or 1.0 or 3.0 | 1.2 or 1.1 or 1.0 | 1.2 or 1.1 or 3.0 | 1.2 or 1.1 or 1.0 or 3.0

デフォルト値 "0"
説明 SSL接続のバージョンを強制します。
既存/新規パラメータ 新規
構文(静的) SSL_VERSION=version
例(静的) SSL_VERSION=1.0 or 3.0
構文(動的) SSL_VERSION=version
例(動的) SSL_VERSION=3.0

B.3.4 Secure Sockets Layerクライアント認証パラメータ

この項では、クライアントでSSLを構成するための静的パラメータと動的パラメータについて説明します。

属性 説明
パラメータ名(静的) SSL_CLIENT_AUTHENTICATION
パラメータ名(動的) SSL_CLIENT_AUTHENTICATION
パラメータ・タイプ ブール
パラメータ・クラス 静的
設定できる値 TRUE/FALSE
デフォルト値 TRUE
説明 クライアント(サーバーに加えて)をSSLを使用して認証するかどうかを制御します。
既存/新規パラメータ 新規
構文(静的) SSL_CLIENT_AUTHENTICATION={TRUE | FALSE}
例(静的) SSL_CLIENT_AUTHENTICATION=FALSE
構文(動的) SSL_CLIENT_AUTHENTICATION={TRUE | FALSE}
例(動的) SSL_CLIENT_AUTHENTICATION=FALSE

B.3.4.1 SSL X.509サーバー照合パラメータ

この項では、クライアントの接続先サーバーの識別情報を検証するために使用されるパラメータについて説明します。

B.3.4.1.1 SSL_SERVER_DN_MATCH
属性 説明
パラメータ名 SSL_SERVER_DN_MATCH
格納場所 sqlnet.ora
用途 このパラメータを使用して、サーバーの識別名(DN)とそのサービス名の一致を強制します。一致確認を強制する場合は、SSLによって証明書がサーバーからのものであることが保証されます。一致確認を強制しない場合、SSLによるチェックは実行されるものの、一致しているかどうかに関係なく接続は許可されます。一致を強制しないと、サーバーの識別情報の偽装が可能になります。
yes|on|true。一致を強制します。DNとサービス名が一致した場合、接続は正しく行われ、それ以外の場合、接続は失敗します。

no|off|false。一致を強制しません。DNがサービス名と一致していない場合、接続は成功しますが、エラーがsqlnet.logファイルに記録されます。

デフォルト Oracle8i以上: FALSE。SSLクライアントは(常に)サーバーDNをチェックします。サービス名と一致していない場合、接続は成功しますが、エラーがsqlnet.logファイルに記録されます。
使用上の注意 さらに、tnsnames.oraのパラメータSSL_SERVER_CERT_DNもサーバーDNの一致を有効にするように構成します。

B.3.4.1.2 SSL_SERVER_CERT_DN
属性 説明
パラメータ名 SSL_SERVER_CERT_DN
格納場所 tnsnames.ora。接続先のサーバーごとにクライアントに格納するか、接続先のサーバーごとにLDAPディレクトリに格納し、一元的に更新できます。
用途 このパラメータでは、サーバーの識別名(DN)を指定します。クライアントは、サーバーのDNとそのサービス名が確実に一致するように、この情報を使用して、各サーバーに予定しているDNのリストを取得します。
サーバーの識別名(DN)と等しい値を指定します。
デフォルト n/a
使用上の注意 さらに、sqlnet.oraのパラメータSSL_SERVER_DN_MATCHもサーバーDNの一致を有効にするように構成します。
dbalias=(description=address_list=(address=(protocol=tcps)(host=hostname)(port=portnum)))(connect_data=(sid=Finance))(security=(SSL_SERVER_CERT_DN="CN=Finance,CN=OracleContext,C=US,O=Acme"))

B.3.5 ウォレット・ロケーション

セキュリティ資格証明をプロセス領域にロードするためにウォレットにアクセスする必要があるアプリケーションでは、次の各構成ファイルで表B-17に示すウォレット・ロケーション・パラメータを指定する必要があります。

  • sqlnet.ora

  • listener.ora

表B-17 ウォレット・ロケーション・パラメータ

静的構成 動的構成

WALLET_LOCATION =

(SOURCE=

(METHOD=File)

(METHOD_DATA=

(DIRECTORY=your wallet location)

)

)

MY_WALLET_DIRECTORY

= your_wallet_dir


デフォルトのウォレット・ロケーションはORACLE_HOMEディレクトリです。