ライブラリ・バージョン12.1.3.0

第2章 セキュリティ構成
     

第2章 セキュリティ構成

目次

セキュリティ構成の概要
Makebootconfigによるセキュリティの構成
Securityconfigによるセキュリティの構成
セキュリティ構成の作成
セキュリティ構成の追加
セキュリティ構成の削除
トラストストア構成のマージ

この章では、makebootconfigまたはsecurityconfigツールを使用して、ストアのセキュリティ構成を実行する方法を説明します。セキュリティを備えたストアを初めてインストールする場合、次の章「Oracle NoSQL Databaseのセキュア・インストールの実行」にスキップできます。

注意

より単純なユースケース(ラボラトリ環境など)では、コマンドラインでセキュリティの不使用を明示的に選択することで、ストアの基本インストールを実行できます。この場合、ストアはこのマニュアルで説明するすべてのセキュリティ機能を失います。詳細は、「Makebootconfigによるセキュリティの構成」を参照してください。

セキュリティ構成の概要

セキュリティを設定するには、初期セキュリティ構成を作成する必要があります。このために、makebootconfigプロセスの前、後またはその一部として、ただし、初期ノードでSNAを起動する前に、securityconfigを実行できます。各ノードにセキュリティ構成を作成することはできません。かわりに、ストア内のすべてのストレージ・ノードに初期セキュリティ構成を配布する必要があります。ストアで共通セキュリティ構成を共有していない場合、相互に通信できません。

注意

makebootconfigユーティリティには、securityconfigツールの機能が埋め込まれています。

このツールは、標準構成に基づいてセキュリティ・ファイル一式を作成します。同じタスクは手動で実行でき、拡張セキュリティ構成には手動設定が必要となる場合がありますが、このツールを使用することで一貫性のある設定が可能になります。手動設定の詳細は、「SSLキーストアの生成」を参照してください。

注意

非標準構成を使用するために、セキュリティ構成の作成後に変更を加えることも可能です。標準構成を使用することをお薦めします。

これらのセキュリティ・ファイルは、デフォルトで"security"というディレクトリ内に生成されます。セキュア構成では、ストレージ・ノードのブートストラップ構成ファイルにそのディレクトリへの参照が含まれており、このファイルはストレージ・ノードのKVROOTディレクトリ内に置く必要があります。securityディレクトリの内容は次のとおりです。 

security/security.xml
security/store.keys
security/store.trust
security/store.passwd  (CE or EE installations)
security/store.wallet  (EE installations only) 
security/store.wallet/cwallet.sso (EE installations only)
security/client.security
security/client.trust

説明:

  • security.xml

    Oracle NoSQL Databaseサーバーにセキュリティの適用方法を指示する構成ファイル。

  • store.keys

    1つ以上のSSL/TLSキー・ペアが含まれるJavaキーストア・ファイル。このキーストアは、付属するパスワード・ストアに記録されたキーストア・パスワードで保護されます。パスワード・ストアは、Oracle WalletまたはFileStoreのいずれかとなります。このパスワードは、パスワード・ストアでは"keystore"という別名で格納されます。このファイルにアクセスできるのはOracle NoSQL Databaseサーバー・プロセスのみとし、NoSQLクライアントのアクセスは不可です。

  • store.trust

    公開証明書のみが含まれ秘密鍵は含まれないキーストア・ファイルである、Javaトラストストア・ファイル。

  • store.passwd (CEまたはEEインストール)

    Community Edition (CE)インストールのパスワード・ストアとして機能するパスワード・ファイル。これには、サーバー・プロセスにのみ認識される必要がある機密情報が含まれます。パスワード・ファイルは、Oracle NoSQL Databaseサーバーによってのみ読取りおよび書込みが可能となるようにしてください。このファイルはクライアント・マシンにコピーしないでください。

    Enterprise Edition (EE)インストールでは、パスワード・ファイル・オプションよりもOracle Walletの使用をお薦めします。

  • store.wallet (EEインストールのみ)

    Enterprise Edition (EE)インストールのパスワード・ストアとして機能するOracle Walletディレクトリ。これには、サーバー・プロセスにのみ認識される必要がある機密情報が含まれます。ディレクトリおよびその内容は、NoSQL DBサーバーによってのみ読取りおよび書込みが可能となるようにしてください。このファイルはクライアント・マシンにコピーしないでください。

  • cwallet.sso (EEインストールのみ)

    ウォレットのパスワード・ストレージ・ファイル。

  • client.security

    クライアントをKVStoreに接続するための通信トランスポート・プロパティを取得するセキュリティ構成ファイル。

    KVStoreへの接続時、生成されたclient.securityファイルがOracle NoSQL Databaseクライアントにコピーされ、使用される必要があります。

  • client.trust

    クライアントで使用されるトラストストア・ファイルが生成されます。

    KVStoreへの接続時、生成されたclient.trustファイルがOracle NoSQL Databaseクライアントにコピーされ、使用される必要があります。

注意

マルチホスト・ストア環境では、securityディレクトリおよびここに含まれるすべてのファイルを、ストレージ・ノードをホストする各サーバーにコピーする必要があります。

     
第1章 Oracle NoSQL Databaseセキュリティの概要  ホーム  Makebootconfigによるセキュリティの構成