| Oracle® Fusion Middleware Oracle Internet Directory管理者ガイド 11g リリース1(11.1.1) B55919-05 |
|
 前 |
 次 |
データ・プライバシは、データの送信時と受信後の両方で重要な問題です。伝送中、データはSSLによって保護されます。この章では、Oracle Internet Directoryがデータを受信した後にどのように保護するかについて説明します。
この章の項目は次のとおりです。
第28.4項「Oracle Database Vaultの構成によるOracle Internet Directoryデータの保護」
第28.5項「Database VaultとOracle Internet Directoryの使用方法のベスト・プラクティス」
Oracle Databaseの透過的データ暗号化(TDE)は、Oracle Enterprise User Securityの1コンポーネントであり、ディスクへの書込み時のデータ暗号化と認可ユーザーによる読取り時の復号化を透過的に行います。TDEは、ストレージ・メディアまたはデータ・ファイルが盗まれた場合に、メディア上に格納されたデータの保護に役立ちます。アプリケーションの変更は不要であり、ストレージ・メディア上のデータの暗号化はユーザーには透過的に行われます。
Oracle Database 11g Advanced Securityの透過的データ暗号化では、データベースの表領域の暗号化を新たにサポートしています。暗号化された表領域内に作成されたオブジェクトはすべて自動的に暗号化されます。暗号化された表領域内のデータはすべて、暗号化された形式でディスク上に格納されます。データ・ブロックは、Oracle Databaseによるアクセス時に透過的に復号化されます。表領域の暗号化によって、列の暗号化の外部キー制限が解消され、暗号化されたデータの索引レンジ・スキャンが可能になります。
Oracle Internet Directoryで使用するOracle Databaseの表領域の暗号化を有効化または無効化する手順は、次のとおりです。
Oracle Internet Directoryインスタンスで使用するOracle Databaseのコールド・バックアップを作成します。
データベースのOracleホームにJava VMパッケージとXML Developer's Kitパッケージがインストールされていることを確認します。
指定のパッケージがインストールされているかどうかを確認するには、次のSQL*Plusを実行します。
SELECT comp_id, status FROM dba_registry;
次のPL/SQLプロシージャを実行します。
sys.dbms_metadata_util.load_stylesheets
SYSTEM権限のあるユーザーとしてSQL*Plusにログインし、次のコマンドを実行します。
GRANT CREATE ANY DIRECTORY TO ods;
Oracle Data Pumpユーティリティのディレクトリ・オブジェクト、ダンプ・ファイルに使用するログ・ディレクトリ・オブジェクトおよびログ・ファイルを作成します。ODSユーザーとしてSQL*Plusにログインし、次のコマンドを実行します。
CREATE OR REPLACE DIRECTORY directory_object_name as directory_path; CREATE OR REPLACE DIRECTORY log_directory_object_name as log_directory_path;
directory_pathとlog_directory_pathをファイル・システムに作成します。
データベース・ウォレットの場所をデータベースのOracleホームのsqlnet.ora内に設定します。
表領域の暗号化専用に個別のウォレットを使用することをお薦めします。
表領域の暗号化用に個別のデータベース・ウォレットを使用するには、sqlnet.oraにパラメータENCRYPTION_WALLET_LOCATIONを設定します。次に例を示します。
ENCRYPTION_WALLET_LOCATION=(SOURCE=(METHOD=FILE)(METHOD_DATA=(DIRECTORY=/install/db11g/dbs)))
すべてのOracleコンポーネントで同じデータベース・ウォレットを共有して使用するには、sqlnet.oraにパラメータWALLET_LOCATIONを設定します。次に例を示します。
WALLET_LOCATION= (SOURCE=(METHOD=FILE)(METHOD_DATA=(DIRECTORY=/install/db11g/dbs)))
Oracle DatabaseのOracleホームを使用しているすべてのOracle Internet Directoryインスタンスを停止します。
Oracle DatabaseのOracleホームで表領域の暗号化を初めて有効化する場合は、ALTER SYSTEM権限のあるユーザーとしてSQL*Plusにログインし、次のコマンドを実行します。
ALTER SYSTEM SET ENCRYPTION KEY IDENTIFIED BY yourwalletpassword;
Oracle Databaseを停止して再起動するたびに、ALTER SYSTEM権限のあるユーザーとしてSQL*Plusにログインし、次のコマンドを実行します。
ALTER SYSTEM SET ENCRYPTION WALLET OPEN IDENTIFIED BY yourwalletpassword;
Oracle Internet Directoryを起動する前と、手順12に示すPerlスクリプトを実行する前に、このコマンドを必ず実行してください。
環境変数ORACLE_HOMEをOracle Databaseのホームに設定します。
環境変数NLS_LANGをOracle Databaseサーバーのキャラクタ・セットに設定します。
コンピュータ上のperl5の場所と一致するようPerlスクリプトORACLE_HOME/ldap/datasecurity/oidtbltde.pl内のperl5実行可能ファイルのパスを編集します。
Perl用のデータベース非依存インタフェース・モジュール(DBI)とPerl用のOracle DBDドライバがインストールされていない場合は、この2つをインストールします。
Perlスクリプトoidtbltde.plを実行し、Oracle Internet DirectoryのTDEを有効化または無効化します。
Oracle Internet Directoryでは、LDAPプロトコル層でアクセス制御を適用します。ただし、DBAなどの特権ユーザーは通常、基礎となるデータベース内のOracle Internet DirectoryデータにSQL*Plusでアクセスできます。
Oracle Database Vaultを使用すると、特権ユーザーによるOracle Internet Directoryデータへの不正アクセスを防止できます。このためには、Oracle Database Vaultをインストールして有効化し、Oracle Internet Directoryで使用するODSデータベース・スキーマを含むDatabase Vaultレルムを設定し、ODSデータベース・アカウントのみにデータ・アクセスを許可するポリシーを設定する必要があります。
|
関連項目:
|
Oracle Database Vaultは、Oracle Internet Directory用に構成する前にインストールおよび登録する必要があります。Database Vaultは、Oracle Databaseインストールの一部としてインストールします。
Oracle Database VaultがOracle Database 11gにインストールされているかどうか不明な場合は、次のように入力します。
SELECT * FROM V$OPTION WHERE PARAMETER = 'Oracle Database Vault';
入力は、SQL*Plusプロンプトで行います。この問合せにOracle Database Vaultと返された場合、Oracle Database Vaultはインストールおよび登録されています。この問合せは大/小文字が区別されることに注意してください。
Oracle Database VaultがOracle Database 11gに登録されていない場合、次の手順を実行します。
『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』の説明に従って、Oracle Internet Directoryをインストールします。
『Oracle Database Vault管理者ガイド』の説明に従って、Oracle Database Vaultを登録します。
Oracle Databaseのバージョンが11.1.0.7である場合は、バグ7244497のパッチをダウンロードしてインストールします。これは、より新しいバージョンのOracle Databaseでは必要ありません。
Oracle Databaseのバージョンが11.1.0.7である場合は、バグ7291157のパッチをダウンロードしてインストールします。これは、より新しいバージョンのOracle Databaseでは必要ありません。
Oracle Database VaultがOracle Databaseに登録されている場合、次の手順を実行します。
Oracle Database Vaultが有効化されている場合は、無効化します。『Oracle Database Vault管理者ガイド』のOracle Database Vaultの無効化および有効化に関する付録を参照してください。
『Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド』の説明に従って、Oracle Internet Directoryをインストールします。
『Oracle Database Vault管理者ガイド』の説明に従って、Database Vaultを有効化します。
Oracle Database 11.1.0.7を使用している場合は、バグ7244497のパッチをダウンロードしてインストールします。
Oracle Database 11.1.0.7を使用している場合は、バグ7291157のパッチをダウンロードしてインストールします。
Oracle Internet Directoryには、必要なDatabase Vaultポリシーを適用するためのスクリプトが用意されています。これらのスクリプトは、$ORACLE_HOME/ldap/datasecurityの下にあるOracle Internet Directoryのインストール・ディレクトリに含まれています。
Database VaultポリシーをOracle Internet Directoryデータベースに適用するには、Oracle Internet Directory用のデフォルトのDatabase Vaultレルムを次のように作成する必要があります。
dbv_oid_rule.sqlをテキスト・エディタで開き、Check ods connectionsルールとCheck ods connections 2ルール内のダミーIPアドレスを次のアドレスに置き換えます。
Oracle Internet Directoryが実行されているコンピュータのIPアドレス
データベースにDatabase Vault所有者として接続し、dbv_create_oid_policies.sqlを実行します。
dbv_create_oid_policies.sql内のポリシーにより、Oracle Internet DirectoryデータベースへのSQL*Plusアクセスが完全に禁止されます。一部のタスクでは、ODSユーザーとしてSQL*Plusでデータベースにアクセスする必要があります。この場合、Oracle Internet DirectoryデータベースへのSQL*Plusアクセスを特定のホストからのみ許可します。
Oracle Internet Directoryデータベースへの接続を許可する手順は、次のとおりです。
dbv_oid_rule_sqlplus.sqlをテキスト・エディタで開きます。Check ods connections 3ルール内のダミーIPアドレスを、Oracle Internet DirectoryデータベースへのSQL*Plusアクセスを許可するホストのIPアドレスに置き換えます。
データベースにDatabase Vault所有者として接続し、dbv_oid_rule_sqlplus.sqlを実行します。
ある時点でOracle Internet DirectoryデータベースへのSQL*Plusアクセスを完全にブロックする場合は、Database Vault所有者としてデータベースに接続し、dbv_oid_delete_rule_sqlplus.sqlを実行します。
データ・ディクショナリ・ビューの使用方法は、『Oracle Database Vault管理者ガイド』の「Oracle Database Vaultオブジェクト」を参照してください。この項では、Oracle Internet Directory関連の情報を報告するいくつかのビューについて説明します。
Oracle Internet Directoryで使用するDatabase Vaultレルムの名前はOID Realmです。このレルムの存在は、DBA_DV_REALMデータ・ディクショナリ・ビューに問合せを実行すると確認できます。
Oracle Internet Directory用に定義されているDatabase Vaultルールは、Check ods connections、Check ods connections 2、Check odssm connectionsおよびAllow other connectionsです。dbv_oid_rule_sqlplus.sqlを実行すると、ルールCheck ods connection 3も定義されます。これらのルールは、OID App Accessという名前のルール・セットに追加されます。既存のルールの名前を確認するには、DBA_DV_RULE_SET_RULEビューに問合せを実行します。
CONNECTコマンド・ルールにより、このルール・セットが起動されます。これは、DBA_DV_COMMAND_RULEビューに問合せを実行すると確認できます。このCONNECTルールでは、インストールされている既存のOracle Database VaultでOracle Internet Directoryスクリプトを実行する際、既存のCONNECTコマンド・ルールが上書きされません。
前述の項でインストールしたOID用のDatabase Vaultポリシーを削除するには、データベースにDatabase Vault所有者として接続している間にdbv_delete_oid_policies.sqlを実行します。
Oracle Database Vaultの使用時は、次の管理タスクに特別な注意が必要です。
製品のアップグレードおよびパッチ・セットのインストール: Oracle Internet DirectoryまたはOracle Databaseをアップグレードする前、またはパッチ・セットをインストールする前に、Oracle Database Vaultを無効化します。アップグレードまたはインストールの完了後、Oracle Database Vaultを再度有効化します。
データのバルク・ロード: Oracle Database Vaultが有効化されている場合、SQL*Loaderのダイレクト・パス・モードは使用できなくなり、bulkloadツールのパフォーマンスが低下します。100KBを超えるデータ、または100万を超えるエントリをロードする場合は、bulkloadを使用する前にOracle Database Vaultを無効化します。操作の完了後、Oracle Database Vaultを再度有効化します。
マルチマスターDRGの変更: Oracle Databaseアドバンスト・レプリケーション・ベースのマルチマスター・ディレクトリ・レプリケーション・グループ内のノードを追加または削除する前に、そのノードでOracle Database Vaultを無効化します。操作の完了後、Oracle Database Vaultを再度有効化します。
Oracle Internet Directoryは、機密の属性を暗号化形式で格納します。機密の属性の例としては、orclpasswordattribute、orclrevpwd、プラグイン属性orclpluginsecuredflexfieldおよびサーバー・チェーン属性orclOIDSCExtPasswordがあります。
機密の属性のリストは、DSA構成エントリ内の属性orclencryptedattributesに格納されています。このリストを表28-1に示します。
表28-1 orclencryptedattributesに格納されている機密の属性
| 機密の属性 | 属性の使用方法 |
|---|---|
|
|
プラグインに渡される機密の属性。第45章を参照してください。 |
|
|
プラグイン接続用のサーバー管理パスワード。 第45章を参照してください。 |
|
|
プラグインのsslwalletパスワード。第38章を参照してください。 |
|
|
可逆暗号化形式のユーザー・パスワード。第31章を参照してください。 |
|
|
関連するuserpasswordと同期されない可逆暗号化パスワード。第31章を参照してください。 |
|
|
Oracle Directory Integration Platform: イベント伝播用のアプリケーションとの接続に使用される情報。 |
|
|
Oracle Directory Integration Platform: ディレクトリに接続するためにサード・パーティ・ディレクトリによって使用されます。 |
|
|
Oracle Directory Integration Platform: ディレクトリへのバインドに同期プロファイルで使用するパスワード。 |
最後の3エントリの詳細は、『Oracle Fusion Middleware Oracle Identity Managementリファレンス』の「属性リファレンス」の章を参照してください。
orcldataprivacymode属性は、データの受信時にこれらの属性を暗号化するかどうかを制御します。orcldataprivacymodeが有効な場合、機密の属性は暗号化されます。プライバシ・モードが無効の場合、機密のデータはクリアテキストで返されます。
|
注意: このリストは変更しないでください。機密の属性を追加しないようにしてください。 |
11g リリース1(11.1.1.4.0)より前は、Oracle Internet Directoryは機密の属性の格納に3DES暗号化アルゴリズムを使用していました。11g リリース1(11.1.1.4.0)以上では、Oracle Internet DirectoryはAES-256を使用しています。
以前のリリースの顧客は、システムにパッチを適用している場合、3DESアルゴリズムで暗号化された格納値をすでに持っている可能性があります。このような場合は、次の規則が適用されます。
復号化するときに、Oracle Internet Directoryは適切なアルゴリズム(3DESまたはAES-256)を使用して値を復号化します。
暗号化するときに、Oracle Internet Directoryは常にAES-256を使用して暗号化します。
これにより、時間の経過とともに、暗号化されたすべての値が確実にAES-256に変換されます。
プライバシ・モードはデフォルトでは無効です。つまり、orcldataprivacymodeの値は0です。セキュリティ保護を提供するには、DSA構成エントリでorcldataprivacymodeの値を0から1に変更することで、プライバシ・モードを有効にする必要があります。
orcldataprivacymodeの値を決定するには、次の検索を実行します。
$ORACLE_HOME/bin/ldapsearch -h host -p port -D cn=orcladmin -q \
-b "cn=dsaconfig,cn=configsets,cn=oracle internet directory" -s base \
"objectclass=*" orcldataprivacymode
プライバシ・モードを有効にするには、次のエントリが含まれるLDIFファイルを使用します。
dn: cn=dsaconfig,cn=configsets,cn=oracle internet directory changetype: modify replace: orcldataprivacymode orcldataprivacymode: 1
LDIFファイルを次のようなコマンドラインによりロードします。
$ORACLE_HOME/bin/ldapmodify -h host -p port -D cn=orcladmin -q -v \ -f LDIF_file_name
暗号化とは異なり、ハッシングは一方向操作です。ハッシュ値から元の値を導出することはできません。Oracle Internet Directoryは、機密の属性に加えて、ハッシュ属性もサポートしています。ハッシュ属性のリストは、DSA構成エントリの複数値属性であるorclhashedattributesに含まれています。ハッシングは、ルートDSE属性orclcryptoschemeで設定されている暗号スキームを使用して実行されます。
LDAP操作およびbulkloadは、表28-2で説明している変換を自動的に実行します。ハッシュ属性を指定してbulkmodifyコマンドを使用することはできません。
表28-2 orclhashedattributesの属性に対するLDAP操作とバルク操作
| 操作 | 着信属性値がすでにハッシュされている場合 | 着信属性値がハッシュされていない場合 |
|---|---|---|
|
|
値をそのまま使用します。 |
操作を実行する前に、 |
|
|
値をそのまま使用します。 |
追加操作または置換操作の場合は、操作を実行する前に、 削除操作の場合、操作を実行する前に、属性がディレクトリに格納されたときに使用されていた暗号スキームを使用して着信値をハッシュします。 |
|
|
着信値を、ディレクトリに格納されている値と比較します。 |
属性がディレクトリに格納されたときに使用された暗号スキームを使用して着信値をハッシュし、それを格納値と比較します。 |
|
|
値をそのまま使用します。 |
操作を実行する前に、 |
|
|
|
|
|
注意:
|
Oracle Enterprise Manager Fusion Middleware Controlまたはコマンドラインを使用して、orclhashedattributesの属性のリストを管理できます。
Oracle Enterprise Manager Fusion Middleware Controlの「共有プロパティ」ページを使用して、ハッシュ属性を構成できます。
「Oracle Internet Directory」メニューから「管理」を選択し、「共有プロパティ」を選択します。
コマンドラインを使用してハッシュ属性を構成するには、その属性名をDSA構成エントリの複数値属性orclhashedattributeに追加します。
たとえば、次のLDIFファイルでは、3つの属性がorclhashedattributesに追加されます。
dn: cn=dsaconfig,cn=configsets,cn=oracle internet directory changetype:modify add: orclhashedattributes orclhashedattributes: attributeName1 orclhashedattributes: attributeName2 orclhashedattributes: attributeName3
LDIFファイルを次のようなコマンドラインによりロードします。
$ORACLE_HOME/bin/ldapmodify -h host -p port -D cn=orcladmin -q -v \ -f LDIF_file_name
