プライマリ・コンテンツに移動
Oracle® Databaseセキュリティ・ガイド
12c リリース1 (12.1)
B71285-10
目次へ移動
目次
索引へ移動
索引

前
次

16 厳密認証の管理ツール

ネットワーク暗号化および公開鍵インフラストラクチャ資格証明には、厳密認証の一連の管理ツールを使用できます。

内容は次のとおりです。

構成ツールと管理ツールについて

構成ツールと管理ツールで、Oracle Net Servicesの暗号化、整合性(チェックサム)および厳密認証方式を管理します。

厳密認証方式の構成には、KerberosやRADIUSなどのサード・パーティ・ソフトウェアを含めることができ、Secure Sockets Layer (SSL)でデジタル証明書を使用するための公開鍵インフラストラクチャの構成や管理が必要になることがあります。

ネットワーク暗号化ツールと厳密認証構成ツール

Oracle Net Servicesは、標準の暗号化アルゴリズムを使用してデータを暗号化し、Kerberos、RADIUS、SSLなどの厳密認証方式に対応するように構成できます。

内容は次のとおりです。

バージョン情報

Oracle Net Managerで、Oracle Net Servicesをローカル・クライアントやサーバー・ホスト上のOracleホーム向けに構成します。

グラフィカル・ユーザー・インタフェース・ツールであるOracle Net Managerを使用して、ネーミング、リスナー、一般的なネットワーク設定などのOracle Net Servicesを構成できますが、Oracle Netプロトコルを使用する次の機能を構成することもできます。

  • 厳密認証(Kerberos、RADIUSおよびSecure Sockets Layer)

  • ネットワーク暗号化(RC4、DES、Triple-DESおよびAES)

  • データ整合性のためのチェックサム(MD5、SHA-1、SHA-2)

Kerberosアダプタ・コマンドライン・ユーティリティ

Kerberosアダプタは、Kerberos資格証明を取得、キャッシュ、表示および削除するコマンドライン・ユーティリティを提供します。

次の表では、これらのユーティリティについて簡単に説明しています。

表16-1 Kerberosアダプタ・コマンドライン・ユーティリティ

ユーティリティ名 説明

okinit

Key Distribution Center (KDC) からKerberosチケットを取得し、それをユーザーの資格証明キャッシュに格納します。

oklist

指定された資格証明キャッシュ内のKerberosチケットのリストを表示します。

okdstry

指定された資格証明キャッシュからKerberos資格証明を削除します。

関連項目:

これらのユーティリティ、構文および使用可能なオプションの詳細は、Kerberos認証アダプタのユーティリティを参照してください

注意:

Cybersafeアダプタは、このリリースからサポートされなくなりました。かわりに、OracleのKerberosアダプタを使用する必要があります。Kerberosアダプタを使用する場合は、Cybersafe KDC (Trust Broker)によるKerberos認証が引き続きサポートされます。

公開鍵インフラストラクチャ資格証明管理ツール

公開鍵インフラストラクチャ(PKI)によって提供されるセキュリティは、PKI資格証明をどの程度効果的に格納、管理および検証しているかに依存します。

内容は次のとおりです。

Oracle Wallet Managerについて

ウォレットの所有者とセキュリティ管理者はOracle Wallet Managerを使用して、Oracleウォレット内のセキュリティ資格証明を管理および編集します。

ウォレットはパスワードで保護されたコンテナで、認証情報や、SSLに必要な秘密鍵、証明書および信頼できる証明書を含む署名証明書が格納されます。Oracle Wallet Managerを使用して次のタスクを実行できます。

  • 公開鍵と秘密鍵のペアの生成

  • ユーザー資格証明書の格納および管理

  • 証明書リクエストの生成

  • 資格証明の格納および管理(ルート鍵証明書および証明連鎖)

  • ウォレットのLDAPディレクトリへのアップロードおよびLDAPディレクトリからのダウンロード

  • ハードウェア・セキュリティ・モジュールの資格証明書を格納するウォレットの作成

注意:

Oracle Databaseの以前のリリースでは、Oracle Wallet Managerを使用して、透過的データ暗号化のウォレットを構成できます。このリリースでは、かわりにADMINISTER KEY MANAGEMENT SQL文を使用できます。詳細は、『Oracle Database Advanced Securityガイド』を参照してください。

orapkiユーティリティについて

orapkiユーティリティで、証明書失効リスト(CRL)の管理、Oracleウォレットの作成と管理、および署名付き証明書の作成を行います。

このコマンドライン・ユーティリティの基本構文は次のとおりです。

orapki module command -option_1 argument ... -option_n argument

たとえば、次のコマンドを実行すると、machine1.us.example.comにインストールされ、ポート389を使用するOracle Internet DirectoryのインスタンスのCRLサブツリーにあるすべてのCRLがリストされます。

orapki crl list -ldap machine1.us.example.com:389

注意:

透過的データ暗号化を構成するorapkiの使用は非推奨です。かわりに、ADMINISTER KEY MANAGEMENT SQL文を使用します。

関連項目:

厳密認証管理者の義務

セキュリティ管理者のタスクには、Oracleデータベースとの間の接続の保護が含まれます。

次の表に、厳密認証、タスクの実行に使用するツール、およびタスクのドキュメントの場所へのリンクに対して責任を負うセキュリティ管理者の主要なタスクを示します。

表16-2 セキュリティ管理者/DBAの一般的な構成および管理タスク

タスク 使用するツール 関連項目

データベース・サーバーとクライアント間の暗号化されたOracle Net接続を構成します。

Oracle Net Manager

クライアントとサーバーでの暗号化の構成

データベース・サーバーとクライアント間のOracle Net接続のチェックサムを構成します。

Oracle Net Manager

クライアントとサーバーでの整合性の構成

RADIUS認証を受け入れるようにデータベース・クライアントを構成します。

Oracle Net Manager

手順1A: OracleクライアントでのRADIUSの構成

RADIUS認証を受け入れるようにデータベースを構成します。

Oracle Net Manager

手順1B: Oracleデータベース・サーバーでのRADIUSの構成

RADIUSユーザーを作成し、データベース・セッションへのアクセス権を付与します。

SQL*Plus

手順2: ユーザーの作成とアクセス権の付与

データベース・クライアントとサーバーにKerberos認証を構成します。

Oracle Net Manager

手順6: Kerberos認証の構成

Kerberosデータベース・ユーザーを作成します。

  • kadmin.local

  • Oracle Net Manager

資格証明キャッシュ内のKerberos資格証明を管理します。

  • okinit

  • oklist

  • okdstry

  • okcreate

データベース・クライアントまたはサーバーのウォレットを作成します。

Oracle Wallet Manager

Oracle Databaseエンタープライズ・ユーザー・セキュリティ管理者ガイド

認証局(CA)にSSL認証用のユーザー証明書をリクエストします。

Oracle Wallet Manager

  • 証明書リクエストを追加するには、『Oracle Databaseエンタープライズ・ユーザー・セキュリティ管理者ガイド』を参照してください。

  • Oracleウォレットにユーザー証明書をインポートするには、『Oracle Databaseエンタープライズ・ユーザー・セキュリティ管理者ガイド』を参照してください。

ユーザー証明書とそれに関連する信頼できる証明書(CA証明書)をウォレットにインポートします。

Oracle Wallet Manager

  • 信頼できる証明書をインポートするには、『Oracle Databaseエンタープライズ・ユーザー・セキュリティ管理者ガイド』を参照してください

  • Oracleウォレットにユーザー証明書をインポートするには、『Oracle Databaseエンタープライズ・ユーザー・セキュリティ管理者ガイド』を参照してください。

データベース・クライアントのSSL接続を構成します。

Oracle Net Manager

手順2: クライアントでのSecure Sockets Layerの構成

データベース・サーバーのSSL接続を構成します。

Oracle Net Manager

手順1: サーバーでのSecure Sockets Layerの構成

証明書失効リスト(CRL)を使用した証明書の検証を有効化します。

Oracle Net Manager

証明書失効リストによる証明書検証の構成