10gリリース3(10.1.3.1.0)
B31834-01
 目次 |
 索引 |
| Oracle Application Server 管理者ガイド 10gリリース3(10.1.3.1.0) B31834-01 |
|
米国標準技術局(NIST)によって承認されている、DESにかわる暗号化アルゴリズム。AES規格は米国連邦情報処理標準の公告197で入手できる。AESアルゴリズムは対称型のブロック暗号で、128、192および256ビットの暗号鍵を使用して、128ビットのデータ・ブロックを処理できる。
「Advanced Encryption Standard」を参照。
「認証局」を参照。
「証明書失効リスト」を参照。
「CRL配布ポイント」を参照。
X.509バージョン3証明書標準で指定されているオプションの拡張機能。証明書の失効情報が格納されているパーティション化されたCRLの場所を示す。通常、この拡張機能の値はURL形式で示される。CRL配布ポイント(CRL DP)によって、1つの認証局ドメインに属する失効情報が複数のCRLに配布可能になる。CRL DPでは、失効情報がより管理しやすい断片に分割されることによって、巨大なCRLが急増する事態を防げるため、パフォーマンスの向上が見込める。たとえば、証明書でCRL DPを指定することによって、証明書の失効情報がダウンロード可能なWebサーバー上のファイルを参照することができる。
「データ暗号化規格」を参照。
非保護チャネルで通信を行う二者間で、当事者だけにしかわからない乱数を取り決める方法。Diffie-Hellman鍵交換アルゴリズムの実行中は、当事者が非保護チャネルで情報を交換しても、攻撃者がネットワーク通信を分析し、当事者の間で取り決めた乱数を計算によって推定するのはほぼ不可能である。Oracle Advanced Securityでは、セッション鍵の生成にDiffie-Hellman鍵交換アルゴリズムが使用されている。
「米国連邦情報処理標準」を参照。
Hypertext Transfer Protocol。メッセージを書式化して送信し、各種コマンドへのレスポンスのためにWebサーバーとブラウザで実行する必要がある処理を決定するためにWebで使用される、基礎となる形式。HTTPはOracle Application Serverとクライアントの間で使用されるプロトコルである。
セキュアなHypertext Transfer Protocol。標準のHTTPアプリケーション・レイヤーのサブレイヤーとしてSecure Sockets Layer(SSL)を使用するプロトコル。ユーザーのページ・リクエストおよびオリジナル・サーバーによって戻されたページを暗号化したり復号化したりする。
リモート・ブラウザからのHTTPリクエストを受信し、要求されたURLをファイル名に変換して、リクエスト元にファイルを返すサーバー。
エンティティに対する公開鍵とその他の公開情報の組合せ。公開情報には、電子メール・アドレスなどのユーザー認証データが含まれる。宣言どおりのエンティティとして証明されているユーザー。
オンライン・エンティティ(デジタル・エンティティ)を作成、管理および使用すること。ID管理には作成(デジタルIDのプロビジョニング)から、メンテナンス(電子リソースへのアクセスに関する企業ポリシーの強制)、終了までの、デジタルIDのライフ・サイクル全般におけるセキュアな管理が関係する。
Oracle Internet Directoryのサブツリーで、Oracleコンテキストに加えて、ユーザーおよびグループ用の追加サブツリーが含まれる。各サブツリーはアクセス制御リストで保護される。
Internet Inter-ORB Protocol。CORBAオブジェクトが相互に通信するために使用するインターネット転送プロトコル。Oracle Application Serverのコンテキストでは、IIOPはJavaおよびEJBベースのアプリケーションで使用される。また、Oracle Application Serverのコンポーネント間でも使用される。
Javaプログラムからリレーショナル・データベースに接続できるようにするために、Sun社によって定義された業界標準のJavaインタフェース。
「Java Database Connectivity(JDBC)」を参照。
分散環境のセキュリティ強化を図るためにマサチューセッツ工科大学のAthenaプロジェクトで開発されたネットワーク認証サービス。Kerberosは共有シークレットに依存し、第三者の安全性を前提とした信頼度の高い第三者認証システムである。Kerberosには、シングル・サインオン機能とデータベース・リンク認証機能(MIT Kerberosのみ)があり、パスワードを集中的に保管できるため、PCのセキュリティを向上できる。
「Lightweight Directory Access Protocol(LDAP)」を参照。
ディレクトリ・サーバーへのアクセスに関する次の情報を含むファイル。
標準的で拡張可能なディレクトリ・アクセス・プロトコル。LDAPクライアントとサーバーが通信に使用する共通言語。業界標準のディレクトリ製品(Oracle Internet Directoryなど)をサポートする設計規則のフレームワーク。
「米国標準技術局」を参照。
証明書に含まれる鍵の目的を定義する。Oracle PKI証明書使用は、X.509バージョン3の標準に定義されている鍵の使用方法に基づく。
LDAP準拠のインターネット・ディレクトリのエントリの1つで、cn=OracleContextとして参照される。このエントリの下には、チェックサム・セキュリティ用のエントリを含む、Oracleソフトウェア関連のあらゆる情報が格納される。
ディレクトリには、1つ以上のOracleコンテキストを設定できる。通常、OracleコンテキストはID管理レルムに配置される。
Personal Computer Memory Card International Association(PCMCIA)標準に準拠する、クレジット・カード・サイズの小さなコンピュータ・デバイス。PCカードとも呼ばれ、メモリーやモデムを追加したり、ハードウェア・セキュリティ・モジュールとして使用される。ハードウェア・セキュリティ・モジュールとして使用されるPCMCIAカードには、公開鍵と秘密鍵のペアの秘密鍵コンポーネントが安全に格納される。暗号化操作を実行できるカードもある。
Privacy-Enhanced Mailプロトコル規格の略。Internet Architecture Boardによって採用されており、インターネット上でのセキュアな電子メール通信が可能になる。PEMプロトコルは、暗号化、認証、メッセージ整合性および鍵管理を保証する。PEMは包括的な規格で、データ暗号化鍵を暗号化する各種の鍵管理アプローチ(対称型メソッドと公開鍵メソッドの両方を含む)との互換性が図られている。PEMの仕様は、Internet Engineering Task Force(IETF)の4つのドキュメント、RFC 1421、1422、1423および1424で規定されている。
RSA Security社のPublic-Key Cryptography Standards(PKCS)仕様。証明書リクエストの構文について規定されている。証明書リクエストは、識別名、公開鍵および一連のオプション属性からなり、証明をリクエストするエンティティによって、一括に署名される。
RSA Security社のPublic-Key Cryptography Standards(PKCS)仕様。暗号化情報を保持して暗号化操作を実行するハードウェア・デバイスに対する、Cryptokiという名前のApplication Program Interface(API)が定義されている。「PCMCIAカード」も参照。
RSA Security社のPublic-Key Cryptography Standards(PKCS)仕様。個人的な認証資格証明を、通常Walletと呼ばれる形式で保管および転送する際の転送構文が規定されている。
「公開鍵インフラストラクチャ」を参照。
ネットワーク接続を保護するためにNetscape社が設計した業界標準のプロトコル。SSLは、公開鍵インフラストラクチャ(PKI)を使用して認証、暗号化およびデータ整合性を提供する。
ネットワークからプライベート・データ通信を不正に傍受または取得するために使用されるデバイス。
「Secure Sockets Layer(SSL)」を参照。
「シングル・サインオン」を参照。
Walletとは、個々のエンティティに対するセキュリティ資格証明の格納と管理に使用されるデータ構造である。Wallet Resource Locator(WRL)は、Walletの位置を特定するために必要なすべての情報を提供する。
Walletの位置を特定するために必要なすべての情報を提供する。Walletの保存場所であるオペレーティング・システムのディレクトリへのパスである。
アクセスを許可する前にユーザーにパスワードを要求しなくても、Oracle Walletを格納およびアクセスできるようにするために使用される(シングル・サインオンをサポートする)。
Windowsサーバーとそのサーバー上で動作するデータベースに対し、クライアントのシングル・ログイン・アクセスを可能にする認証方式。
「Wallet Resource Locator(WRL)」を参照。
デジタル証明書用の業界標準仕様。
特定のクライアントまたはクライアントのグループに対して、特定データへのアクセス権限を付与または制限するシステムの機能。
管理者が定義するアクセス権に関する一連のディレクティブ。このディレクティブによって、特定のクライアントまたはクライアントのグループ、あるいはその両方に対して、特定データへのアクセス権のレベルを付与する。
データのエンコードとデコードを行って、セキュアなメッセージを生成する操作。
メッセージの内容を、予定された受信者以外の第三者が読むことのできないフォーマットに変換する処理。
暗号化アルゴリズムを使用して暗号化されたテキストで、暗号化処理の出力ストリームのこと。暗号化テキストは、最初に復号化されないかぎり、文面を見ても読取り不能で判読できない。暗号文とも呼ばれる。暗号化テキストは、元となる平文から作成されている。
ネットワークのノード間でメッセージを交換するのに使用される認証、暗号化およびデータ整合性のアルゴリズムのセット。たとえば、SSLハンドシェイク時には、2つのノード間でネゴシエーションして、メッセージを送受信するときに使用する暗号スイートを確認する。
暗号スイートとは、特定のセッションの接続で使用される暗号化保護の種類を表す。
暗号化方式の1つ。先行するすべてのブロックに依存した暗号ブロックの暗号化を行うことにより、ブロック再生攻撃からデータを保護する。この方式は、許可されていない復号化が段階的により困難になるように設計されている。Oracle Advanced Securityでは、外部暗号ブロック連鎖が使用されている。内部暗号ブロック連鎖よりもセキュアで、実質的なパフォーマンスが低下しないためである。
暗号化されたメッセージ・テキスト。
アプリケーション・サーバーのインストール内で構成されたコンポーネントの実行に必要な一連のプロセス。アプリケーション・サーバー・インスタンスは、アプリケーション・サーバー・インストールに1つずつしか存在しない。インストールとインスタンスという用語は同義で使用されることもあるが、インストールはOracleホームにインストールされたファイルのセットであるのに対し、インスタンスはこれらのファイルに関連付けられたプロセスのセットを意味する。
アプリケーションのデプロイの効率化を図るよう設計された包括的なデプロイ・プラットフォーム。すべてのアプリケーションに対する単一のセキュリティ、ディレクトリおよび製品メタデータ・フレームワークを提供する。フレームワークには、Oracle Identity ManagementやOracleAS Metadata Repositoryなどのコンポーネントが含まれる。
ディレクトリ・サービスのコンテキストでは、エントリはディレクトリのビルディング・ブロックを指す。エントリは、ディレクトリ内のオブジェクトに関する情報の集まりである。各エントリは、オブジェクトのある1つの特徴を表す属性のセットで構成される。たとえば、ディレクトリ・エントリが人物を示す場合、エントリには姓、名、電話番号、電子メール・アドレスなどの属性が含まれる。
名前を持った属性のグループ。属性をエントリに割り当てるときは、その属性を保持しているオブジェクト・クラスをそのエントリに割り当てる。同じオブジェクト・クラスに関連付けられているオブジェクトはすべて、そのオブジェクト・クラスの属性を共有する。
第三者によるメッセージの不正傍受などのセキュリティ攻撃。第三者、つまり介在者は、メッセージを復号化して再暗号化し(元のメッセージを変更する場合と変更しない場合がある)、元のメッセージの宛先である受信者に転送する。これらの処理はすべて、正当な送受信者が気付かないうちに行われる。この種のセキュリティ攻撃は、認証が行われていない場合にのみ発生する。
Kerberosなどの第三者の認証サービスによって、ユーザーIDを確認すること。
データの暗号化時に、指定したアルゴリズムによって指定した平文から生成される暗号文を決定する値。また、データの復号化時に、暗号文を正しく復号化するために必要な値。暗号文は、正しい鍵が提供された場合にのみ正しく復号化される。
対称型暗号化アルゴリズムでは、同一データの暗号化と復号化の両方に同じ鍵が使用される。非対称型暗号化アルゴリズム(公開鍵暗号化アルゴリズムまたは公開鍵暗号方式とも呼ばれる)では、同一データの暗号化と復号化に異なる鍵が使用される。
公開鍵とそれに対応する秘密鍵のペア。「公開鍵と秘密鍵のペア」を参照。
アクティブなascontrolアプリケーションのデプロイに使用されるOC4Jインスタンス。
暗号化の機能の1つ。機密保護では、メッセージの予定された受信者のみがメッセージを参照(暗号文を復号化)できることが保証される。
サービス、データ、他のアプリケーションやコンピュータ(サーバー)の処理などを要求するユーザー、ソフトウェア・アプリケーション(ブラウザなど)またはコンピュータである。クライアントはサービスに依存する。
複数の接続されたOracle Application Serverインスタンス、およびこれらのアプリケーション・サーバー内のOC4Jインスタンスにデプロイされたアプリケーション。
暗号化されていない平文。
多数のサーバーとストレージを1つの巨大なコンピュータとして動作するように調整するコンピューティング・アーキテクチャ。Oracle Grid Computingは、企業のあらゆるコンピューティング・ニーズに対応できる、柔軟性に優れたオンデマンド・コンピューティング・リソースを実現する。Oracle 10gグリッド・コンピューティング・インフラストラクチャ上で動作するアプリケーションは、フェイルオーバー、ソフトウェア・プロビジョニングおよび管理において、共通のインフラストラクチャ・サービスを利用できる。Oracle Grid Computingでは、リソースに対する需要が分析され、それに応じた供給の調整が行われる。
同じクラスタ・トポロジに属するOC4Jインスタンスの集合。グループ内で実行されているすべてのOC4Jインスタンスに対する構成操作の同時実行が可能。
公開鍵暗号化における一般に公開される鍵。主に暗号化に使用されるが、署名の確認にも使用できる。「公開鍵と秘密鍵のペア」を参照。
メッセージの送信側が受信側の公開鍵でメッセージを暗号化する処理。配信されたメッセージは、受信側の秘密鍵で復号化される。
公開鍵暗号化の原理を利用する情報セキュリティ・テクノロジ。公開鍵暗号化では、共有されている公開鍵と秘密鍵のペアを使用して情報の暗号化と復号化を行う。パブリック・ネットワークでのセキュアでプライベートな通信を可能にする。
暗号化と復号化に使用される2つの数字のセット。1つは秘密鍵、もう1つは公開鍵と呼ばれる。公開鍵は通常広く使用可能であるのに対して、秘密鍵はその各所有者によって保有される。2つの数字は関連付けられているが、公開鍵から秘密鍵を算出することは一般的にほぼ不可能である。公開鍵と秘密鍵は、非対称型暗号化アルゴリズム(公開鍵暗号化アルゴリズムまたは公開鍵暗号方式とも呼ばれる)でのみ使用される。鍵のペアの公開鍵または秘密鍵のどちらかで暗号化されたデータは、鍵のペアの関連する鍵で復号化できる。ただし、公開鍵で暗号化されたデータを同じ公開鍵では復号化できず、秘密鍵で暗号化されたデータを同じ秘密鍵では復号化できない。
1. Oracle Application Serverで、分散およびオブジェクト指向のアプリケーションに対して、スケーラブル、堅牢、セキュアおよび拡張可能なプラットフォームを提供するミドルウェア・サービスとツールのコレクション。Oracle Application Serverにより、JavaとJ2EE、Webサービス、XML、SQLおよびPL/SQLの単一統合プラットフォームが実現される。2. Oracle Database Serverで、利用可能なインタフェースを任意の数だけ使用して、クライアントのためにデータ管理作業を実行するための専用リレーショナル・データベース・サーバー。
1. クライアントが使用するネットワーク・リソースで、Oracle Application ServerやOracleデータベース・サーバーなどがある。2. Windowsレジストリにインストールされ、Windowsで管理される実行可能プロセス。作成されて起動されたサービスは、ユーザーがコンピュータにログインしていなくても実行できる。
クライアントの観点から見たデータベースで、データベースの論理的な表現。データベースは複数のサービスで構成可能で、このサービスも複数のデータベース・インスタンスとして実装可能である。サービス名とは、グローバル・データベース名を表す文字列である。つまり、インストール時またはデータベース作成時に入力する、データベース名とドメイン名で構成されている。
Oracle Database、Oracle Application ServerやOracle Identity Managementインフラストラクチャのアクセスで使用するユーザー名、パスワードまたは証明書。
LDAPベースのディレクトリ・エントリの一意の名前。識別名は、親エントリの個々の名前がすべて、下からルートに向かって順に結合された形で構成されている。
Oracleインスタンスの一意な名前。Oracleデータベースを切り替える場合は、該当するSIDを指定する必要がある。SIDはtnsnames.oraファイル内の接続記述子のCONNECT DATA部分とlistener.oraファイル内のネットワーク・リスナーの定義に含まれている。
アクセス時に資格証明を提示することなく、サービスに対するPKIまたはパスワード・ベースのアクセスを実現するOracle Wallet Managerの機能。この自動ログイン・アクセスは、そのWalletの自動ログイン機能が無効になるまで、有効である。ファイル・システム権限では、Walletの自動ログインに必要なセキュリティが提供される。Walletへの自動ログインが有効な場合でも、そのWalletを作成したオペレーティング・システムのユーザーのみが使用できる。これらはシングル・サインオン機能を持つため、SSO Walletと呼ばれることもある。
公開鍵に対してIDを安全にバインドするITU X.509バージョン3の標準データ構造。
エンティティの公開鍵に信頼できる機関、つまり認証局が署名するとき、証明書が作成される。証明書によって、エンティティの情報が正しいこと、および公開鍵が実際にそのエンティティに属していることが保証される。
証明書には、エンティティの名前、IDおよび公開鍵が記載されている。また、シリアル番号、有効期限、ならびにその証明書に関連する権利、使用および権限についての情報が記載されていることもある。最後に、発行元である認証局に関する情報が記載されている。
失効した証明書のリストを含む署名付きデータ構造。証明書失効リスト(CRL)の信頼性と整合性は、添付されたデジタル署名によって保証される。通常、CRLの署名者は、発行済の証明書に署名したエンティティと同じである。
リクエストは、証明書リクエスト情報、署名アルゴリズムの識別子、および証明書リクエスト情報のデジタル署名の3つの部分で構成される。証明書リクエスト情報は、リクエスト対象の識別名、公開鍵および一連のオプション属性からなる。属性では、リクエスト対象のIDに関する追加情報(郵便宛先など)や、その対象エンティティが後に証明書の失効化をリクエストする際のチャレンジ・パスワードなどが指定される。「PKCS #10」を参照。
エンド・ユーザーまたはサブスクライバの証明書とその認証局の証明書を含む、順序付けられた証明書のリスト。
ユーザーが一度認証を受けると、その後の他のデータベースやアプリケーションへの接続時には厳密な認証が透過的に発生する機能のこと。シングル・サインオンにより、ユーザーは1回の接続時に入力した1つのパスワードで、複数のアカウントおよびアプリケーションにアクセスできるようになる。単一パスワードによる単一認証を指す。
信頼できる証明書は、一定の信頼度を有すると認定された第三者のIDであり、ルート鍵証明書とも呼ばれる。信頼できる証明書は、エンティティが本人であるというIDの確認が行われるときに使用される。通常は、信頼する認証局のことを信頼できる証明書という。複数レベルの信頼できる証明書がある場合、証明連鎖における下位レベルの信頼できる証明書は、それより上のレベルの証明書をすべて再検証する必要はない。
「認証局」を参照。
1. データベース・スキーマ: 表、ビュー、クラスタ、プロシージャ、パッケージ、属性、オブジェクト・クラスなどのオブジェクトの集合に名前を付けたもの。それらのオブジェクトに対応する一致ルールは、特定のユーザーに関連付けられている。2. LDAPディレクトリ・スキーマ: 属性、オブジェクト・クラスおよびそれらに対応する一致ルールの集合。
ユーザー名やパスワードなどの情報を格納するため、また認証交換に関連する計算を実行するためのICが組み込まれた(クレジット・カードに似た)プラスティック製のカード。スマート・カードはクライアントまたはサーバーにあるハードウェア・デバイスで読み取る。
スマート・カードは、ワンタイム・パスワードとして使用できる乱数を生成できる。この場合、スマート・カードはサーバー上のサービスと同期化されているので、サーバーはスマート・カードによって生成されるパスワードと同じパスワードを要求する。
セキュリティ・スキームの1つで、サーバーが提供するファイルへのアクセス権を、IPアドレスまたはDNSドメインの一部のグループ内のクライアント・マシンに制限する。
受信メッセージの内容が、送信時の元のメッセージの内容から変更されていないことを保証すること。
少なくとも二者間(通常はクライアントとサーバー)で共有され、単一の通信セッション継続中のデータ暗号化に使用される鍵。セッション鍵は通常、ネットワーク通信を暗号化するのに使用される。クライアントとサーバーは、セッションの開始時に使用するセッション鍵を取り決めることができる。セッション継続中は、関係者間の全ネットワーク通信の暗号化にその鍵が使用される。クライアントとサーバーが新しいセッションで再び通信する場合は、新しいセッション鍵を取り決める。
ネットワーク接続の宛先を指定するために特別に書式化された記述。接続記述子には、宛先サービスとネットワーク・ルート情報が含まれる。宛先サービスは、Oracleデータベースのサービス名を使用して示される。ネットワーク・ルートでは、最低でもリスナーの位置がネットワーク・アドレスを使用して示される。「接続識別子」を参照。
接続記述子または接続記述子にマッピングされた名前。接続識別子は、ネット・サービス名、データベース・サービス名またはネット・サービス別名である。ユーザーは、次に示すように、ユーザー名およびパスワードとともに、接続を希望するサービスの接続文字列内にある接続識別子を渡すことにより、接続リクエストを開始する。
CONNECT username/password@connect_identifier
特定のデータベース・インスタンスに接続するためにユーザーがサービスに渡す情報。情報には、ユーザー名、パスワードおよびネット・サービス名を含めることができる。次に例を示す。
CONNECTusername/password@net_service_name
LDAPディレクトリにおいて、エントリの性質を説明する断片的な情報項目。1つのエントリは一連の属性から構成され、それぞれがオブジェクト・クラスに所属する。さらに、各属性にはタイプと値があり、タイプは属性の情報の種類を説明するものであり、値には実際のデータが格納されている。
単一のユーザー証明書とその関連する秘密鍵が含まれるPKCS #12形式のWallet。公開鍵は証明書に埋め込まれている。
3層アーキテクチャでは、中間層はアプリケーション・ロジック・レイヤーである。中間層では、クライアントに計算力とリソースが提供される。Oracle Application Serverでは、中間層はOracle HTTP Server、OC4J、OPMNなどのコンポーネントで構成されている。
米国のデータ暗号化規格。
データベースに関する情報を提供する一連の読取り専用の表。
「ネット・サービス名」を参照。
中央ディレクトリ・サーバーに格納されているデータベース・サービス、ネット・サービス名またはネット・サービス別名を接続記述子に変換するネーミング・メソッド。
ディレクトリ・サーバー内で重要なサブツリー。通常、ディレクトリ・ネーミング・コンテキストは、組織サブツリーの最上部となっている。一部のディレクトリでは、固定のコンテキストのみが可能である。また、別のディレクトリでは、ディレクトリ管理者による構成の対象をゼロから多数までとすることができる。
デジタル署名は、公開鍵アルゴリズムを使用して、送信側の秘密鍵で送信側のメッセージに署名すると作成される。デジタル署名によって、文書が信頼できるものであること、別のエンティティによって偽造されていないこと、変更されていないこと、送信者によって否認されないことが保証される。
ユーザーが容易に認証サービスを利用できるように、数種類のメカニズムを提供するデバイス。一部のトークン・カードは、認証サービスと同期化されているワンタイム・パスワードを提供する。サーバーは認証サービスと連絡を取ることによって、トークン・カードが提供するパスワードをいつでも検証できる。チャレンジ/レスポンスに基づいて機能するトークン・カードもある。この場合は、サーバーがチャレンジ(番号)を提供し、ユーザーがその番号をトークン・カードに入力する。そして、トークン・カードは別の番号(チャレンジから暗号的に導出される番号)を提供し、それをユーザーがサーバーに渡す。
ドメイン・ネーム・システムのネームスペース内の任意のツリーまたはサブツリー。ホスト名が共通の接尾辞、つまりドメイン名を共有しているコンピュータのグループを指す。
コンピュータやネットワーク・サービスのネーミング・システムであり、ドメインを階層的に編成している。DNSは、ユーザー・フレンドリな名前でコンピュータの位置を識別するためにTCP/IPネットワークで使用される。DNSは、ユーザー・フレンドリな名前をコンピュータが理解できるIPアドレスに変換する。
メッセージを送信したりリクエストを行うためのセキュリティ制約の評価。認可では特定の基準を使用して、リクエストを許可する必要があるかどうかを決定する。この基準が認証および制限である。
ユーザー、デバイスまたはコンピュータ・システム内のその他のエンティティのIDが正当なものであるかを確認するプロセス。多くの場合、システム内のリソースへのアクセス権を付与する際に、このプロセスを事前に行う必要がある。認証済メッセージの受信者には、そのメッセージの発信元(送信者)がわかる。認証は、第三者が送信者のふりをする可能性を排除する目的で行われる。
ユーザー、データベース、管理者、クライアント、サーバーなどが本人(本物)であることを証明する、信頼できる第三者。ユーザーを認証するときには、認証局はまずそのユーザーが証明書失効リスト(CRL)に記載されていないかを確認する。次に、ユーザーのIDが正当なものであるかを確認してから証明書を与え、認証局の秘密鍵を付けて署名する。認証局には、自局で発行する独自の証明書と公開鍵がある。サーバーおよびクライアントはこの証明書と公開鍵を使用して、認証局が作成した署名が正当なものであるかを確認する。認証局は、証明書サービスを提供する外部の企業であったり、社内のMIS部門のような内部組織である場合もある。
分散環境におけるユーザー、クライアントおよびサーバーのIDを確認するセキュリティ方式。ネットワーク認証方式を利用すると、ユーザーはシングル・サインオンの恩恵を受けることもできる。次の認証方式がOracle Application Serverでサポートされる。
ディレクトリ・サーバー内のディレクトリ・ネーミング・オブジェクトの代替名。ディレクトリ・サーバーには、任意の定義済ネット・サービス名またはデータベース・サービスのネット・サービス別名が格納される。ネット・サービス別名のエントリは、接続記述子情報を持たない。かわりに、ネット・サービス別名は、元となるオブジェクトの位置のみを参照する。クライアントがディレクトリ内にあるネット・サービス別名のルックアップをリクエストすると、そのエントリがネット・サービス別名であることが認識され、その別名が参照している実際のエントリであるかのようにルックアップが実行される。
データベース・サーバーを識別する目的でクライアントが使用する名前。ネット・サービス名は、ポート番号とプロトコルにマッピングされる。接続文字列またはデータベース別名とも呼ばれる。
分散環境における認証方法の1つ。サーバーに対するクライアントの認証、サーバー間の認証、およびクライアントとサーバーの両方に対するユーザーの認証を行う。ネットワーク認証サービスは、ユーザーやユーザーがアクセスする様々なサーバー上のサービスに関する情報に加えて、ネットワーク上のクライアントとサービスに関する情報を格納するリポジトリである。認証サーバーは物理的に別々のマシンである場合や、システム内の別のサーバー上に共存する場合がある。単一の障害ポイントを避け、可用性を確保するために、レプリケートが行われる認証サービスもある。
サーバー上にあるリスナー。1つ以上のプロトコルで、1つ以上のデータベースに対する接続リクエストをリスニングする。「リスナー」を参照。
SSL接続セッションは、特定のクライアントとサーバーとの間で確立される。ピアのIDは、セッションの開始時に確定される。ピアはX.509 証明連鎖によって識別される。
メッセージの発信元、配信、送信または転送に関する明白な証明。
公開鍵暗号化における秘密鍵。主に復号化に使用されるが、デジタル署名とともに暗号化にも使用される。「公開鍵と秘密鍵のペア」を参照。
暗号化されていないメッセージ・テキスト。
コンポーネントに障害が発生したときに、類似するアクティブな代替コンポーネントを利用して、コンピューティング・システムを再構成する機能。
暗号化されたメッセージの内容(暗号文)を、元の読取り可能なフォーマット(平文)に戻す変換処理。
情報を判読不能な形式にスクランブルすること。スクランブルに使用したアルゴリズムが不明の場合は、スクランブル解除が非常に困難になる。
ファイアウォールなどの中間層がある環境で一般的に採用されている処理。エンド・ユーザーは中間層で認証され、次に中間層がユーザーにかわって、つまりプロキシとしてディレクトリで認証される。中間層はディレクトリにプロキシ・ユーザーとしてログインする。プロキシ・ユーザーはIDを切り替えることができるため、ディレクトリにログインした後は、エンド・ユーザーのIDに切り替える。プロキシ・ユーザーは、元のエンド・ユーザーに適用されている認可を使用して、エンド・ユーザーのかわりに操作を実行できる。
LDAP準拠ディレクトリにおけるサブツリー検索のルート。
米国商務省に属する政府機関。コンピュータ・システムや通信システムにおける暗号化ベースのセキュリティ・システムの設計、取得および実装に関連するセキュリティ標準の開発を担当する。この標準は、政府業務の遂行に必要な情報処理を連邦政府にかわって行う連邦政府機関、連邦政府機関の契約機関またはその他の組織によって運営されているシステムに適用される。
暗号化モジュールのセキュリティ要件を定義する米国連邦政府の標準規格。コンピュータ・システムや通信システム内の非機密情報を保護するセキュリティ・システムで使用される。米国標準技術局によって公開されている。
テキストを1桁の文字列として表したもの。メッセージを1つの数字文字列に変換するアルゴリズムである、一方向ハッシュ関数という計算式を使用して作成される。一方向というのは、数字文字列から元のメッセージを生成するのがほぼ不可能であることを意味する。計算済のメッセージ・ダイジェストは、メッセージが改ざんされていないことを確認するため、公開鍵を使用して復号化されたメッセージ・ダイジェストと比較される。
LDAPディレクトリ内のユーザーが配置されているノード。
サーバー上に常駐するプロセス。クライアントの着信接続リクエストをリスニングし、サーバーへの通信量を管理する。リスナーとは、着信リクエストを処理し、ディスパッチャにルーティングするHTTPサーバーのことである。
クライアントがサーバーとのネットワーク・セッションをリクエストするたびに、リスナーは実際のリクエストを受信する。クライアントの情報がリスナーの情報と一致すると、リスナーはサーバーへの接続を認める。
管理OC4Jインスタンス以外のOC4Jインスタンス。
ローカル・コンピュータ以外のネットワーク上にあるコンピュータ。
「信頼できる証明書」を参照。
コンピュータの構成情報を格納するWindowsのリポジトリ。
1. ID管理レルムの短縮名。2. Kerberosオブジェクト。1つの鍵配布センター/チケット認可サービス(KDC/TGS)の下で稼動するクライアントとサーバーのセット。名前が同じでも異なるレルムにあるサービスは一意である。
Oracle Internet DirectoryのID管理レルムの一部であるOracleコンテキスト。
|
 Copyright © 2002, 2006, Oracle. All Rights Reserved. |
|