| Oracle® Databaseエンタープライズ・ユーザー・セキュリティ管理者ガイド 11gリリース2(11.2) E50142-01 |
|
 前 |
 次 |
Oracleデータベースに対してエンタープライズ・ユーザー・セキュリティを構成するときの主要な作業は、エンタープライズ・ユーザーとデータベース情報を格納するためのディレクトリ・オブジェクトの作成です。一部の実装では、データベースがネットワーク上の正しいディレクトリ・サーバーの位置を確認できるように、特別なネットワーク構成ファイル(ldap.ora)の作成が必要になる場合もあります。
エンタープライズ・ユーザー・セキュリティの構成と管理タスクのいずれでも、Oracle Enterprise Managerが主要なツールになりますが、この章では使用可能なすべてのツールについて説明します。項目は次のとおりです。
エンタープライズ・ユーザーは、識別情報がOracle Internet DirectoryなどのLDAPディレクトリに格納され、一元的に管理されるデータベース・ユーザーです。表3-1に、エンタープライズ・ユーザー・セキュリティの構成および管理タスクと、その実行に使用されるツールの概要を示します。ツール名は、そのツールを説明している項にリンクしています。
表3-1 エンタープライズ・ユーザー・セキュリティのタスクとツールの概要
| タスク | ツール |
|---|---|
|
ユーザーの作成およびそのパスワードの管理 |
Oracle Internet Directoryセルフ・サービス・コンソール |
|
ネットワークを介してディレクトリを使用するためのデータベースのOracleホームの構成 |
|
|
Oracle Internet Directoryへのデータベースの登録および登録解除 |
|
|
エンタープライズ・ユーザー・セキュリティのOracleウォレットの管理 |
|
|
|
|
Oracle Internet Directoryでのアイデンティティ管理レルムの管理 このツールおよびレルムの詳細は、『Oracle Identity Management委任管理ガイド』を参照してください。 |
Oracle Internet Directoryセルフ・サービス・コンソール |
|
Oracle Internet Directoryへのデータベース・ユーザーのバルク移行の実行 |
|
Oracle Internet Directoryセルフ・サービス・コンソールは、Delegated Administration Servicesに基づいたツールです。このツールは、ディレクトリで管理されるアプリケーション・データへの管理アクセスを可能にするセルフ・サービス・アプリケーションです。Oracle Internet Directoryですぐに使用できる状態になっています。
Delegated Administration ServicesとOracle Internet Directoryセルフ・サービス・コンソール・ツールの詳細は、『Oracle Identity Management委任管理ガイド』を参照してください。
Oracle Net Configuration Assistantは、グラフィカル・ユーザー・インタフェースを持つウィザードベースのツールです。主な用途は、リスナー名やプロトコル・アドレスなどの基本的なOracle Netネットワーク・コンポーネントの構成、およびディレクトリ・サーバーを使用するためのOracleホームの構成です。後者に使用する場合、このツールはエンタープライズ・ユーザー・セキュリティの構成で重要になります。
ドメイン・ネーム・システム(DNS)検出(自動ドメイン名検索)を使用してネットワーク上のOracle Internet Directoryを探す場合、このアシスタントは不要です。DNS検出を使用するよう構成することをお薦めします。この構成の詳細は、『Oracle Internet Directory管理者ガイド』を参照してください。
データベースをディレクトリに登録するには、次の2つのタスクのいずれかを実行する必要があります。
ネットワークにOracle Internet DirectoryのDNS検出を構成します。
|
関連項目: DNSサーバー検出の詳細は、『Oracle Internet Directory管理者ガイド』を参照してください。 |
ネットワークにDNS検出を構成しない場合は、Oracle Net Configuration Assistantを使用してOracleホーム用のldap.oraファイルを作成します。
データベースは最初にldap.oraファイルを使用してネットワーク上の正しいOracle Internet Directoryサーバーを探します。この構成ファイルには、ディレクトリ・サーバーのホスト名、ポート番号およびアイデンティティ管理レルム情報が含まれています。
データベースの登録が完了すると、データベース・ウォレットに格納されているデータベースDNによってレルムが確認されます。
Oracle Net Configuration Assistantを起動するには、次のようにします。
(UNIXの場合)$ORACLE_HOME/binから、コマンドラインで次のように入力します。
netca
(Windowsの場合)「スタート」→「プログラム」→「Oracle - HOME_NAME」→「Configuration and Migration Tools」→「Net Configuration Assistant」の順に選択します。
このツールを起動すると、図3-1に示すような開始ページが表示されます。
このページで「ディレクトリ使用構成」オプションを選択し、「次へ」をクリックしてエンタープライズ・ユーザーを格納するディレクトリ・サーバーを選択します。次に、「終了」をクリックして、Oracleホーム用に適切に構成されたldap.oraファイルを作成します。
|
関連項目:
|
Database Configuration Assistantは、Oracleデータベースの作成と構成に使用するウィザードベースのツールです。
Database Configuration Assistantを使用して、データベースをディレクトリに登録します。その処理中に、Database Configuration Assistantはデータベースの識別名(DN)と、対応するエントリおよびサブツリーをOracle Internet Directoryに作成します。
Database Configuration Assistantを起動するには、次のようにします。
(UNIXの場合)$ORACLE_HOME/binから、コマンドラインでdbcaと入力します。
(Windowsの場合)「スタート」→「プログラム」→「Oracle - HOME_NAME」→「Configuration and Migration Tools」→「Database Configuration Assistant」の順に選択します。
|
関連項目:
|
セキュリティ管理者は、Oracle Wallet Managerを使用してOracleクライアントおよびサーバーの公開鍵セキュリティ資格証明を管理します。作成されたウォレットは、Oracle Database、Oracle Application Server 10gおよびOracle Identity Managementインフラストラクチャで読み取ることができます。
|
関連項目: 『Oracle Database Advanced Security管理者ガイド』の「Wallet Managerの使用」を参照してください。 |
Oracle Wallet Managerを起動するには、次のようにします。
(Windowsの場合)「スタート」→「プログラム」→「Oracle - HOME_NAME」→「Integrated Management Tools」→「Wallet Manager」の順に選択します。
(UNIXの場合)コマンドラインでowmと入力します。
orapkiコマンドライン・ユーティリティを使用すると、管理者は、ウォレット、証明書失効リストおよびその他の公開鍵インフラストラクチャ(PKI)の要素をコマンドラインから管理できます。このユーティリティはスクリプト内で使用できるため、多くの日常的なPKIタスクを自動化できます。orapkiコマンドを使用すると、次のタスクを実行できます。
表3-2 orapkiコマンドの概要
| 対象オブジェクト | orapkiコマンドで実行可能な操作 |
|---|---|
|
証明書 |
作成または表示 |
|
証明書失効リスト(CRL) |
削除、表示、ハッシュ、一覧表示またはアップロード |
|
ウォレット |
作成、表示、追加またはエクスポート |
|
関連項目: 『Oracle Database Advanced Security管理者ガイド』の「orapkiユーティリティ」を参照してください。 |
エンタープライズ・ユーザー・セキュリティでは、Oracle Enterprise Managerを使用して、Oracle Internet Directoryに格納されたエンタープライズ・ユーザー、管理グループ、エンタープライズ・ドメイン、およびエンタープライズ・ロールを管理します。Oracle Enterprise Manager Database ControlまたはOracle Enterprise Manager Grid Controlに付属するWebベースのユーザー・インタフェースを使用して、エンタープライズ・ユーザー・セキュリティを管理できます。
エンタープライズ・ユーザーは、データベース・アクセスについて、Oracle Internet DirectoryなどのLDAP準拠のディレクトリで一元的にプロビジョニングおよび管理されるユーザーです。エンタープライズ・ドメインは、データベース、エンタープライズ・ロール(エンタープライズ・ユーザーに割り当てられているアクセス権限)およびプロキシ権限(エンタープライズ・ユーザーが別のユーザーとしてデータベースに接続できるようにする権限)を格納するディレクトリ構成メンバーです。
|
関連項目: エンタープライズ・ユーザー・セキュリティの管理グループ、エンタープライズ・ドメイン、エンタープライズ・ロール、エンタープライズ・ユーザー、共有スキーマおよびユーザー・スキーマ・マッピングの詳細は、第1章「エンタープライズ・ユーザー・セキュリティの概要」を参照してください。 |
Oracle Enterprise Manager Database ControlまたはGrid Controlの「エンタープライズ・ユーザー・セキュリティ」リンクにアクセスするには、次の手順に従います。
ブラウザ・ウィンドウにDatabase ControlまたはGrid ControlのURLを入力します。次に例を示します。
https://mydbhost:1158/em
管理データベース・ユーザーとしてログインします。
「サーバー」タブをクリックします。「セキュリティ」セクションで「エンタープライズ・ユーザー・セキュリティ」をクリックします。
|
注意: Enterprise Manager Grid Controlを使用している場合、ターゲット・データベースの「サーバー」タブにアクセスするには、そのデータベースのページに移動する必要があります。 |
「Oracle Internet Directoryログイン」ページが表示されます。
「ユーザー」フィールドに、アイデンティティ管理レルムに対する管理権限を持つディレクトリ・ユーザーの識別名(DN)を入力します。「パスワード」フィールドに、ユーザー・パスワードを入力します。「ログイン」をクリックします。
「エンタープライズ・ユーザー・セキュリティ」ページが表示されます。
ユーザー移行ユーティリティは、データベース・ユーザーをOracle Internet Directoryに一括して移行し、エンタープライズ・ユーザーとして格納および管理できるようにするコマンドライン・ツールです。このツールは、バルク移行を2つのフェーズに分けて実行します。フェーズ1で、データベース・ユーザー情報を表に移入します。フェーズ2で、ディレクトリにデータベース・ユーザー情報が移行されます。
このツールは、Oracle Databaseクライアントのインストール時に次の場所に自動的にインストールされます。
$ORACLE_HOME/rdbms/bin/umu
このユーティリティの基本構文は次のとおりです。
umu parameter_keyword_1=value1:value2
parameter_keyword_2=value parameter_keyword_3=value1:value2:value3 ... parameter_keyword_n=value
パラメータが複数の値をとる場合は、コロン(:)で区切ります。
エンタープライズ・ユーザー・セキュリティ管理者は、エンタープライズ・ユーザーを計画、実装および管理します。表3-3に、エンタープライズ・ユーザー・セキュリティ管理者の主なタスク、タスクの実行に使用するツールおよびタスクの関連項目へのリンクを示します。
表3-3 エンタープライズ・ユーザー・セキュリティ管理者の一般的な構成および管理タスク
| タスク | 使用するツール | 関連項目 |
|---|---|---|
|
Oracle Internet Directoryでのアイデンティティ管理レルムの作成 |
Oracle Internet Directoryセルフ・サービス・コンソール(Delegated Administration Services) |
このタスクを実行する方法は『Oracle Internet Directory管理者ガイド』 |
|
Oracle Internet Directoryでのアイデンティティ管理レルムのアップグレード |
Oracle Internet Directoryコンフィギュレーション・アシスタント |
『Oracle Internet Directory管理者ガイド』およびこのツールのオンライン・ヘルプ |
|
ネットワーク上でのOracle Internet Directoryの自動検出を有効にするためのDNSの設定。この構成をお薦めします。 |
Oracle Internet Directoryコンフィギュレーション・アシスタント |
『Oracle Internet Directory管理者ガイド』(ドメイン・ネーム・システム・サーバー検出)およびこのツールのオンライン・ヘルプ |
|
ディレクトリ・アクセスを可能にするための |
Oracle Netコンフィギュレーション・アシスタント |
「タスク5: (オプション)ディレクトリを使用するためのOracleホームの構成」 |
|
ディレクトリへのデータベースの登録 |
Database Configuration Assistant |
|
|
エンタープライズ・ユーザー・セキュリティのパスワード認証の構成 |
Oracle Enterprise Manager |
「パスワード認証を使用するエンタープライズ・ユーザー・セキュリティの構成」 |
|
エンタープライズ・ユーザー・セキュリティのKerberos認証の構成 |
|
「Kerberos認証を使用するエンタープライズ・ユーザー・セキュリティの構成」 |
|
エンタープライズ・ユーザー・セキュリティのSSL認証の構成 |
|
「SSL認証を使用するエンタープライズ・ユーザー・セキュリティの構成」 |
|
ディレクトリでのユーザー・エントリおよびOracle管理グループの作成または変更 |
Oracle Internet Directoryセルフ・サービス・コンソール(Delegated Administration Services) |
|
|
ディレクトリでのエンタープライズ・ロールおよびドメインの作成または変更 |
Oracle Enterprise Manager |
|
|
ディレクトリ、データベースおよびクライアントのウォレットの作成または変更 |
|
『Oracle Databaseセキュリティ・ガイド』
|
|
ユーザーのデータベースまたはディレクトリ・パスワードの変更 |
Oracle Internet Directoryセルフ・サービス・コンソール(Delegated Administration Services) |
|
|
データベースのディレクトリ・パスワードの変更 |
Database Configuration Assistant |
|
|
ローカル・システムでのユーザー・ウォレットの管理、またはデータベースおよびディレクトリのウォレット・パスワードの更新 |
Oracle Wallet Manager |
『Oracle Database Advanced Security管理者ガイド』 |
|
MITのKerberos V5などのKDCがオペレーティング・システムに組み込まれていない場合の初期Kerberosチケットのリクエスト |
|
|
|
多数のローカルまたは外部データベース・ユーザーの、エンタープライズ・ユーザー・セキュリティのディレクトリへの移行 |
ユーザー移行ユーティリティ |
|
