ネットワーク暗号化および公開鍵インフラストラクチャ資格証明には、厳密認証の一連の管理ツールを使用できます。
内容は次のとおりです。
構成ツールと管理ツールで、Oracle Net Servicesの暗号化、整合性(チェックサム)および厳密認証方式を管理します。
厳密認証方式の構成には、KerberosやRADIUSなどのサード・パーティ・ソフトウェアを含めることができ、Secure Sockets Layer (SSL)でデジタル証明書を使用するための公開鍵インフラストラクチャの構成や管理が必要になることがあります。
Oracle Net Servicesは、標準の暗号化アルゴリズムを使用してデータを暗号化し、Kerberos、RADIUS、SSLなどの厳密認証方式に対応するように構成できます。
内容は次のとおりです。
Oracle Net Managerで、Oracle Net Servicesをローカル・クライアントやサーバー・ホスト上のOracleホーム向けに構成します。
グラフィカル・ユーザー・インタフェース・ツールであるOracle Net Managerを使用して、ネーミング、リスナー、一般的なネットワーク設定などのOracle Net Servicesを構成できますが、Oracle Netプロトコルを使用する次の機能を構成することもできます。
厳密認証(Kerberos、RADIUSおよびSecure Sockets Layer)
ネットワーク暗号化(RC4、DES、Triple-DESおよびAES)
データ整合性のためのチェックサム(MD5、SHA-1、SHA-2)
Kerberosアダプタは、Kerberos資格証明を取得、キャッシュ、表示および削除するコマンドライン・ユーティリティを提供します。
次の表では、これらのユーティリティについて簡単に説明しています。
表16-1 Kerberosアダプタ・コマンドライン・ユーティリティ
ユーティリティ名 | 説明 |
---|---|
|
Key Distribution Center (KDC) からKerberosチケットを取得し、それをユーザーの資格証明キャッシュに格納します。 |
|
指定された資格証明キャッシュ内のKerberosチケットのリストを表示します。 |
|
指定された資格証明キャッシュからKerberos資格証明を削除します。 |
関連項目:
これらのユーティリティ、構文および使用可能なオプションの詳細は、Kerberos認証アダプタのユーティリティを参照してください
注意:
Cybersafeアダプタは、このリリースからサポートされなくなりました。かわりに、OracleのKerberosアダプタを使用する必要があります。Kerberosアダプタを使用する場合は、Cybersafe KDC (Trust Broker)によるKerberos認証が引き続きサポートされます。
公開鍵インフラストラクチャ(PKI)によって提供されるセキュリティは、PKI資格証明をどの程度効果的に格納、管理および検証しているかに依存します。
内容は次のとおりです。
ウォレットの所有者とセキュリティ管理者はOracle Wallet Managerを使用して、Oracleウォレット内のセキュリティ資格証明を管理および編集します。
ウォレットはパスワードで保護されたコンテナで、認証情報や、SSLに必要な秘密鍵、証明書および信頼できる証明書を含む署名証明書が格納されます。Oracle Wallet Managerを使用して次のタスクを実行できます。
公開鍵と秘密鍵のペアの生成
ユーザー資格証明書の格納および管理
証明書リクエストの生成
ウォレットのLDAPディレクトリへのアップロードおよびLDAPディレクトリからのダウンロード
ハードウェア・セキュリティ・モジュールの資格証明書を格納するウォレットの作成
注意:
Oracle Databaseの以前のリリースでは、Oracle Wallet Managerを使用して、透過的データ暗号化のウォレットを構成できます。このリリースでは、かわりにADMINISTER KEY MANAGEMENT SQL
文を使用できます。詳細は、『Oracle Database Advanced Securityガイド』を参照してください。
orapki
ユーティリティで、証明書失効リスト(CRL)の管理、Oracleウォレットの作成と管理、および署名付き証明書の作成を行います。
このコマンドライン・ユーティリティの基本構文は次のとおりです。
orapki module command -option_1 argument ... -option_n argument
たとえば、次のコマンドを実行すると、machine1.us.example.com
にインストールされ、ポート389を使用するOracle Internet DirectoryのインスタンスのCRLサブツリーにあるすべてのCRLがリストされます。
orapki crl list -ldap machine1.us.example.com:389
注意:
透過的データ暗号化を構成するorapki
の使用は非推奨です。かわりに、ADMINISTER KEY MANAGEMENT
SQL文を使用します。
関連項目:
orapki
を使用してディレクトリ内のCRLを管理する方法の詳細は、証明書失効リストの管理を参照してください
使用可能なすべてのorapki
コマンドのリファレンス情報は、orapkiユーティリティを使用したPKI要素の管理を参照してください
ADMINISTER KEY MANAGEMENT
SQL文の使用の詳細は、『Oracle Database Advanced Securityガイド』を参照してください
セキュリティ管理者のタスクには、Oracleデータベースとの間の接続の保護が含まれます。
次の表に、厳密認証、タスクの実行に使用するツール、およびタスクのドキュメントの場所へのリンクに対して責任を負うセキュリティ管理者の主要なタスクを示します。
表16-2 セキュリティ管理者/DBAの一般的な構成および管理タスク
タスク | 使用するツール | 関連項目 |
---|---|---|
データベース・サーバーとクライアント間の暗号化されたOracle Net接続を構成します。 |
Oracle Net Manager |
|
データベース・サーバーとクライアント間のOracle Net接続のチェックサムを構成します。 |
Oracle Net Manager |
|
RADIUS認証を受け入れるようにデータベース・クライアントを構成します。 |
Oracle Net Manager |
|
RADIUS認証を受け入れるようにデータベースを構成します。 |
Oracle Net Manager |
|
RADIUSユーザーを作成し、データベース・セッションへのアクセス権を付与します。 |
SQL*Plus |
|
データベース・クライアントとサーバーにKerberos認証を構成します。 |
Oracle Net Manager |
|
Kerberosデータベース・ユーザーを作成します。 |
|
|
資格証明キャッシュ内のKerberos資格証明を管理します。 |
|
|
データベース・クライアントまたはサーバーのウォレットを作成します。 |
Oracle Wallet Manager |
Oracle Databaseエンタープライズ・ユーザー・セキュリティ管理者ガイド |
認証局(CA)にSSL認証用のユーザー証明書をリクエストします。 |
Oracle Wallet Manager |
|
ユーザー証明書とそれに関連する信頼できる証明書(CA証明書)をウォレットにインポートします。 |
Oracle Wallet Manager |
|
データベース・クライアントのSSL接続を構成します。 |
Oracle Net Manager |
|
データベース・サーバーのSSL接続を構成します。 |
Oracle Net Manager |
|
証明書失効リスト(CRL)を使用した証明書の検証を有効化します。 |
Oracle Net Manager |