Oracle® Fusion Middleware Oracle Directory Integration Platform管理者ガイド 11g リリース1(11.1.1) B65032-03 |
|
前 |
次 |
この章では、Oracle Directory Integration Platformのセキュリティにおける最も重要な事項について説明します。内容は次のとおりです。
認証は、Oracleディレクトリ・サーバーが、そのディレクトリに接続するユーザーの正確なアイデンティティを確認するプロセスです。ldapbind
操作によってLDAPセッションが確立されるときに、発生します。
Oracle Directory Integration Platformの各コンポーネントが、ディレクトリへのアクセスを許可される前に適切に認証されることは重要です。
この項の内容は次のとおりです。
Oracleバックエンド・ディレクトリは、Secure Socket Layer(SSL)を使用するように構成する必要があります。
Oracle Unified DirectoryまたはOracle Directory Server Enterprise EditionがOracleバックエンド・ディレクトリである場合、Oracle Directory Integration Platformは最初にインストールされたときには非SSLモードで動作します。一方、Oracle Internet DirectoryがOracleバックエンド・ディレクトリである場合は、SSL接続が必要となります。
Oracle Directory Integration Platformでは、次のSSL実装モードをサポートします。
認証なし(SSLモード1): SSLデータ暗号化を提供しますが、認証にはSSLを使用しません。
注意: Oracleバックエンド・ディレクトリがOracle Internet Directoryである場合、Oracle Directory Integration Platformでは、認証なしのSSLモード(SSLモード1)のみをサポートします。Oracle Unified DirectoryまたはOracle Directory Server Enterprise EditionがOracleバックエンド・ディレクトリである場合、使用できるSSLはSSLサーバー認証(SSLモード2)のみとなります。 |
SSLサーバー認証(SSLモード2): SSLデータ暗号化とクライアントに対するSSL認証の両方が含まれます。Oracle Directory Integration Platformでは、サーバーはディレクトリ・サーバーであり、クライアントはOracle Directory Integration Platformです。
サーバーは、信頼できる認証局(CA)が発行する証明書を送信することにより、クライアントに対して自身のアイデンティティを検証します。このモードでは、公開鍵インフラストラクチャ(PKI)と証明書がJavaキーストア(JKS)に格納される必要があります。
Oracle Directory Integration PlatformでSSLを使用するには、Oracleバックエンド・ディレクトリとOracle Directory Integration Platformの両方を、同じSSLモードで起動する必要があります。たとえば、Oracleバックエンド・ディレクトリがSSLモード1で実行されている場合、Directory Integration Platformは、同じSSLモード1を使用してOracleバックエンド・ディレクトリに接続するように構成されている必要があります。
関連項目: Oracle Internet DirectoryをOracleバックエンド・ディレクトリとして使用している場合は、SSLモードでのOracleディレクトリ・サーバーの起動手順について、『Oracle Fusion Middleware Oracle Internet Directory管理者ガイド』を参照してください。 |
ディレクトリ・サーバーのアイデンティティを設定するには、Oracleバックエンド・ディレクトリとDirectory Integration Serverの両方をSSLサーバー認証モードで起動します。この場合、ディレクトリ・サーバーは自身の証明書をDirectory Integration Serverに提供し、Directory Integration ServerはOracleバックエンド・ディレクトリのクライアントとして機能します。
サード・パーティのディレクトリに接続するときにSSLを使用するようにOracle Directory Integration Platformを構成することもできます。この場合は、「バックエンド・ディレクトリと接続ディレクトリのSSL証明書の管理」で説明されているように、接続ディレクトリ証明書をJavaキーストア(JKS)に保存します。
Oracleバックエンド・ディレクトリでは、統合プロファイルは、識別名(DN)とパスワードを持つユーザーを表します。
プロファイルにアクセスできるユーザーは次のとおりです。
Oracleディレクトリ統合プラットフォームの管理者。
Oracle Internet Directoryでは、管理者はcn=dipadmin,cn=dipadmins,cn=directory integration platform,cn=products,cn=oraclecontext
というDNで表されます。
Oracle Unified DirectoryおよびOracle Directory Server Enterprise Editionでは、管理者はcn=dipadmin,cn=dipadmins,cn=directory integration platform,<suffix>
というDNで表されます。
Oracle Directory Integration Platform管理者グループのメンバー。
Oracle Internet Directoryでは、管理者グループはcn=odisgroup,cn=DIPadmins,cn=Directory Integration Platform,cn=Products,cn=OracleContext
というDNで表されます。
Oracle Unified DirectoryおよびOracle Directory Server Enterprise Editionでは、管理者はcn=odisgroup,cn=DIPadmins,cn=Directory Integration Platform,<suffix>
というDNで表されます。
Oracle Directory Integration Platformが統合プロファイルに基づいてOracleバックエンド・ディレクトリにデータをインポートする場合、その統合プロファイルとしてディレクトリにプロキシ・バインドします。Oracle Directory Integration Platformは、SSLモードでも非SSLモードでもバインドできます。
認可は、ユーザーが権限を持つ情報のみの読取りまたは更新を行うことを保証するプロセスです。ディレクトリ・セッション内でディレクトリ操作が行われようとすると、ディレクトリ・サーバーは、その操作の実行に必要な権限がユーザーに与えられていることを確認します(ユーザーの識別は、セッションに対応付けられた認可識別子によって行われます)。ユーザーに権限がない場合、ディレクトリ・サーバーはこれらの操作を許可しません。この方法(アクセス制御)によって、ディレクトリ・サーバーは、ディレクトリ・ユーザーによる不正操作からディレクトリ・データを保護します。
アクセスをOracle Internet Directoryデータの必要なサブセットのみに制限するには、Directory Integration Serverとコネクタの両方に対する適切なアクセス・ポリシーをディレクトリに設定します。
この項では、これらのポリシーを詳しく説明します。内容は次のとおりです。
Oracle Directory Integration Platformは、次のようにディレクトリへのバインドをそれ自身として行う場合と、プロファイルのかわりに行う場合があります。
それ自身としてバインドする場合、様々な統合プロファイルに情報をキャッシュできます。これによって、Directory Integration Serverは、様々なコネクタによって実行される同期アクションをスケジュールできます。
Directory Integration Serverがプロファイルのかわりに動作する場合、Directory Integration Serverはプロファイルのプロキシとして動作します(プロファイル資格証明を使用してディレクトリにバインドし、様々な操作を実行します)。Directory Integration Serverは、プロファイルで許可されているディレクトリでそれらの操作のみを実行できます。
Directory Integration Serverに付与されるアクセス権限を設定し管理するために、Oracle Directory Integration Platformはインストール時にodisgroup
と呼ばれるグループ・エントリを作成します。Directory Integration Serverは、登録時にこのグループのメンバーになります。
Oracle Internet Directoryでのodisgroup
のDNは次のとおりです。
cn=odisgroup,cn=directory admins,cn=directory integration plataform,cn=products,cn=oraclecontext
Oracle Unified DirectoryおよびOracle Directory Server Enterprise Editionでの、odisgroup
のDNは次のとおりです。
cn=odisgroup,cn=directory admins,cn=directory integration plataform,<suffix>
odisgroup
エントリにアクセス制御ポリシーを配置することによって、Directory Integration Serverに付与されるアクセス権限を制御します。デフォルトのポリシーは、プロファイルにアクセスするための様々な権限をDirectory Integration Serverに付与します。たとえば、デフォルトのポリシーは、Directory Integration ServerがOracleバックエンド・ディレクトリと、プロファイルのかわりにプロキシとしてバインドされる接続ディレクトリとの間でユーザー・パスワードを比較できるようにします。また、Directory Integration Serverが、最終正常実行時間や同期ステータスなどのプロファイルのステータス情報を変更できるようにします。
インストール時に、Oracle Directory Integration Platformは、様々なプロファイルに付与されるアクセス権限の制御を可能にするodipgroup
と呼ばれるグループ・エントリを作成します。セキュリティを追加するために、odipigroup
グループおよびodipegroup
グループもインストール時に作成されます。すべてのインポート・プロファイルはodipigroup
グループに割り当てられ、すべてのエクスポート・プロファイルはodipegroup
グループに割り当てられます。権限は、odipgroup
エントリに適切なアクセス・ポリシーを配置することによって制御されます。デフォルトのアクセス・ポリシー(製品とともに自動的にインストールされる)は、所有する統合プロファイルに対する特定の標準アクセス権限をプロファイルに付与します。このような権限の1つとして、orclodipConDirLastAppliedChgTime
という名前のパラメータなどの統合プロファイルのステータス情報を変更する機能があります。また、デフォルトのアクセス・ポリシーは、プロファイルがOracle Internet Directoryの変更ログにアクセスできるようにします(これ以外の場合、Oracle Internet Directoryへのアクセスは制限されます)。
関連項目: グループ・エントリのアクセス制御ポリシーの設定方法は、『Oracle Fusion Middleware Oracle Internet Directory管理者ガイド』のアクセス制御の章のセキュリティ・グループに関する項を参照してください。 |
Oracle Directory Integration Platformは、SSLを使用して、送信時にデータの変更、削除または再現が行われていないことを保証します。このSSL機能は、暗号方式の保護メッセージ・ダイジェストを、Message-Digest algorithm 5(MD5)またはSecure Hash Algorithm(SHA)を使用する暗号チェックサムを使用して生成し、ネットワークを介して送信する各パケットにそのメッセージ・ダイジェストを組み込みます。
Oracle Directory Integration Platformは、SSLで使用可能な公開鍵暗号を使用して、データが送信中に開示されないことを保証します。公開鍵暗号では、メッセージの送信側が受信側の公開鍵を使用して、メッセージを暗号化します。メッセージが送達されると、受信側は、受信側の秘密鍵を使用して、メッセージを復号化します。
Directory Integration ServerとOracle Internet Directoryの間でデータを安全に交換するには、両方のコンポーネントを同じSSLモードで実行する必要があります。
一般的に使用されているツール(Oracle Enterprise Manager Fusion Middleware Controlを含む)は、すべてSSLモードで実行することによりOracle Internet Directoryにデータを安全に送信できます。
Oracle Directory Integration Platformでは、Oracle Application Server 11gインフラストラクチャの資格証明ストア・フレームワークが使用されます。Oracle Directory Integration Platformによってこの資格証明ストア・フレームワークに格納される資格証明および説明を次に示します。
Oracle Directory Integration Platformのユーザー・パスワード。このパスワードはインストール時に作成されるもので、読取り専用として格納され、ランタイム操作で読み取られます。
JKSパスワード。JKSのパスワードは、Oracleバックエンド・ディレクトリまたはサード・パーティ・ディレクトリへの接続に対して、サーバーのみ(モード2)SSL設定が構成されている場合に使用されます。WebLogic Scripting Tool(WLST)のcreateCred()
コマンドを使用して、キーストアのパスワードを資格証明ストア・フレームワークに書き込むことができます。たとえば、WLSTシェルを呼び出し、connect()
コマンドを使用してOracle WebLogic Admin Serverに接続した後で、次のように入力します。
createCred(map="dip", key="jksKey", type="PC", user="userName", password="password")
マップおよびキーのオプションは固定です。サポートされている値はmap="dip"
およびkey="jksKey
"のみです。
キーストア・パスワードを新しい値に変更するには、updateCred()
コマンドを使用します。
関連項目:
|