| Oracle® Databaseプラットフォーム・ガイド 12cリリース1 (12.1) for Microsoft Windows B72962-10 |
|
 前 |
 次 |
この章では、Microsoft Active DirectoryをLDAPディレクトリとして構成し、使用する方法について説明します。
この章の項目は次のとおりです。
この項では、Oracle DatabaseでMicrosoft Active DirectoryがLDAPディレクトリ・サーバーとしてどのように使用されるかについて説明します。
次の項目について説明します。
Active Directoryは、Windowsサーバー・オペレーティング・システムに組み込まれているLDAP準拠のディレクトリ・サーバーです。Active Directoryには、ユーザー、グループ、ポリシーなど、Windowsオペレーティング・システムのすべての情報が格納されます。また、ネットワーク・リソース(データベースなど)に関する情報もActive Directoryに格納され、アプリケーション・ユーザーやネットワーク管理者はその情報を利用することができます。Active Directoryを使用すると、1回のログオンでネットワーク・リソースにアクセスできます。Active Directoryの対象は、1つの小規模コンピュータ・ネットワークのすべてのリソースから、複数の広域ネットワーク(WAN)のすべてのリソースにまでわたります。
Active DirectoryをサポートするOracle機能を使用する際は、ドメイン・コントローラに到達するすべてのTCP/IPホスト名形式を使用して、Active Directoryコンピュータに正常に到達できることを確認します。たとえば、ドメイン・コントローラのホスト名がドメインexample.comのserver1である場合、次のすべての形式を使用してそのコンピュータをpingできます。
server1.example.com
example.com
server1
Active Directoryでは、実行されている操作に応じて、これらのうちの1つ以上の形式で自身に対して照会を発行することがよくあります。どの形式でもActive Directoryコンピュータに到達できない場合は、なんらかのLDAP操作が失敗した可能性があります。
次のOracle Database機能は、Active Directoryとの統合をサポートするか、または特にそれを目的として設計されています。
Oracle Databaseでは、ディレクトリ・サーバーを利用するOracle Net Servicesディレクトリ・ネーミング機能を提供しています。この機能は、Microsoft Active Directoryとともに使用できるように設定されています。ディレクトリ・ネーミングにより、クライアントはLDAP準拠のディレクトリ・サーバー(Active Directoryなど)に一元的に格納された情報を利用して、データベースに接続できます。たとえば、tnsnames.oraファイルにすでに格納されているネット・サービス名はいずれもActive Directoryに格納できます。
Oracle Net Configuration Assistantでは、ディレクトリ・サーバーの自動検出が可能です。Active Directoryをディレクトリ・サーバー・タイプとして選択した場合、Oracle Net Configuration Assistantによりディレクトリ・サーバーの場所が自動検出され、関連するタスクが実行されます。
Active DirectoryのOracle Databaseサービス、ネット・サービス名およびエンタープライズ・ロールのエントリは、次の2つのWindowsツールで表示およびテストできます。
Windowsエクスプローラ
Active Directoryユーザーとコンピュータ
Windowsエクスプローラに、コンピュータ上のファイル、ディレクトリ、ローカル・ドライブおよびネットワーク・ドライブが階層構造として表示されます。そこで、Oracle Databaseサービスおよびネット・サービス名オブジェクトの表示およびテストも可能です。
「Active Directoryユーザーとコンピュータ」は、ドメイン・コントローラとして構成されたWindowsサーバーにインストールされる管理ツールです。このツールを使用すると、Windowsのアカウントおよびグループを追加、変更、削除、編成でき、組織のディレクトリ内のリソースを公開できます。Windowsエクスプローラと同様、Oracle Databaseサービスおよびネット・サービス名オブジェクトの表示およびテストも可能です。さらに、アクセス・コントロールも管理できます。
Windowsエクスプローラおよび「Active Directoryユーザーとコンピュータ」では、Oracle Databaseサービスおよびネット・サービス名オブジェクトのプロパティ・メニューが拡張されています。これらのOracleディレクトリ・オブジェクトを右クリックすると、接続テストに関する次の2つの新しいオプションが表示されます。
テスト
SQL*Plusと接続
「テスト」オプションは、最初に入力したユーザー名、パスワードおよびネット・サービス名で実際にOracle Databaseに接続できるかどうかをテストします。SQL*Plusと接続のオプションは、SQL*Plusを起動して、データベース管理やスクリプトの実行などができるようにします。
Active DirectoryのOracleディレクトリ・オブジェクト・タイプの記述が、より理解しやすいように改善されています。たとえば、図14-1の右側のペインの「種類」列から、salesがOracleネット・サービス名であることがわかります。
Oracleのデータベース・ツールおよび構成ツールは、現在ログオンしているWindowsユーザーのログオン資格証明を使用して、ログオン資格証明を再入力しなくてもActive Directoryに接続できます。この機能には、次の利点があります。
OracleクライアントおよびOracleデータベースは、安全にActive Directoryに接続し、ネット・サービス名を取り出すことができます。
Oracle構成ツールは、自動的にActive Directoryに接続してOracle Databaseおよびネット・サービス名オブジェクトを構成できます。使用可能なツールには、Oracle Net Configuration AssistantおよびDatabase Configuration Assistantがあります。
Oracleクライアントでは、インターネットを通じたセキュアなアクセスの実現により、ディレクトリに対する匿名バインドを回避できます。セキュリティの強化により、各サイトでは、ディレクトリ・サーバーのデータベース・サービスのDNに対してアクセス制御(ACL)を設定することでデータベース・サービスへのアクセスを制限できます。この機能拡張により、クライアントでは、LDAPの名前参照に認証バインドを使用できます。クライアントでは、データベース・サービス・オブジェクト(データベース・サービス・エントリのDN)が制限付きのアクセス制御で構成されている場合、そのオブジェクトにアクセスできます。
認証された名前参照を必要とするマシンの構成
認証された名前参照を使用可能にするには、sqlnet.oraに次のエントリを追加します。
names.ldap_authenticate_bind = TRUE
Oracle DatabaseおよびOracle Net Servicesがインストールされ、Active Directoryにアクセスできるように構成されている場合、図14-1に示すように「Active Directoryユーザーとコンピュータ」にはOracleディレクトリ・オブジェクトが表示されます。
図14-1 「Active Directoryユーザーとコンピュータ」でのOracleディレクトリ・オブジェクト
表14-1では、図14-1に表示されているOracleディレクトリ・オブジェクトについて説明します。
表14-1 Oracleディレクトリ・オブジェクト
| オブジェクト | 説明 |
|---|---|
|
|
作成したOracleコンテキストが属するドメインです。このドメイン(管理コンテキストとも呼ばれます)には、ディレクトリ・ネーミングをサポートする様々なOracleエントリが含まれます。Oracle DatabaseがActive Directoryと統合されている間は、Oracle Net Configuration Assistantによりこの情報は自動的に検出されます。 |
|
|
Active Directoryツリー内のトップレベルのOracleエントリです。ここに、Oracle Databaseサービスとネット・サービス名オブジェクトに関する情報が格納されます。Oracleソフトウェアに関するすべての情報は、このフォルダに配置されます。 |
|
|
この例で使用されるOracle Databaseサービス名です。 |
|
|
Oracle製品情報用のフォルダです。 |
|
|
この例で使用されるネット・サービス名オブジェクトです。 |
|
|
Oracleセキュリティ・グループ用のフォルダです。詳細は、「Oracleディレクトリ・オブジェクト用のアクセス制御リスト管理の概要」を参照してください。Oracle Enterprise Security Managerで作成されたエンタープライズ・ユーザーおよびロールもこのフォルダに表示されます。 |
ネット・ディレクトリ・ネーミングをActive Directoryとともに使用するには、サポートされるWindowsオペレーティング・システムおよびOracleのソフトウェア・リリースを所有していること、さらにOracleスキーマ・オブジェクトとOracleコンテキストを作成することが必要です。これらの要件は、次の項目で説明します。
ネット・ディレクトリ・ネーミング機能をActive Directoryとともに使用するには、Oracleスキーマ・オブジェクトを作成する必要があります。スキーマ・オブジェクトとは、Active Directoryに格納されるOracle Net ServicesおよびOracle Databaseエントリとその属性に関する一連のルールです。Active Directoryとともに使用するOracleスキーマ・オブジェクトの作成には、次の制限事項が適用されます。
各フォレストに対して作成できるOracleスキーマ・オブジェクトは1つのみです。
Windowsサーバー・ドメイン・コントローラは、スキーマ更新を許可する操作マスターである必要があります。詳細は、オペレーティング・システムのドキュメントを参照してください。
Oracleスキーマ・オブジェクトを作成するには、次のようにします。
スキーマ管理者グループのメンバーとして、またはスキーマ・マスター・ドメインへスキーマを更新する権限を持っているメンバーとしてログインします。ログインしたクライアント・コンピュータはスキーマ・マスター・ドメインの一部である必要があります。スキーマ・マスター・ドメイン管理者は、デフォルトでスキーマ管理者に属します。
Oracle Net Configuration Assistantを使用してOracleスキーマ・オブジェクトを作成します。データベースのインストールの途中または後で、スキーマ・オブジェクトを作成できます。
24のデフォルト言語すべてを受け入れるようにActive Directoryの表示が構成されていない場合はOracle Net Configuration AssistantがActive Directoryをディレクトリ・サーバーとして構成している際に、Oracleスキーマ・オブジェクトの作成が失敗する可能性があります。Oracle Net Configuration Assistantを実行してディレクトリ・アクセスの構成を完了する前に、次のようにコマンド・プロンプトに入力して、24言語すべての表示指定子が移入されているかを確認してください。
ldifde -p OneLevel -d cn=DisplaySpecifiers,cn=Configuration,domain context -f temp file
このコマンドでは、次のことに注意してください。
domain contextは、このActive Directoryサーバー用のドメイン・コンテキストです。
たとえば、dc=example,dc=comなどです。
temp fileは、出力先となるファイルです。
このコマンドのレポートに出力されたエントリが24個未満の場合でも、Oracle Net Configuration Assistantは使用できます。しかし、レポートは、単に一部の言語の表示指定子が作成されなかったことを示しているのではなく、Oracleスキーマ・オブジェクトの作成が失敗したことを示しています。
検出したエントリが24個未満であるためにOracle Net Configuration Assistantレポートがエラーを示しているときは、表示指定子を手動で作成します。
表示指定子の手動での作成
Oracle Net Configuration Assistantでは、Active DirectoryにOracleスキーマ・オブジェクトが作成される際に、Oracleエントリの表示指定子は作成されません。つまり、Active DirectoryのインタフェースにOracle Databaseエントリを表示することはできません。
Oracleスキーマ・オブジェクトの作成後に、次の手順に従って、Net Configuration AssistantでOracleスキーマ・オブジェクトを作成したときに使用したものと同じWindowsユーザーIDを使用し、これらのエントリをActive Directoryに手動で追加できます。
コマンド・シェルを開きます。
ディレクトリをORACLE_HOME\ldap\schema\adに変更します。
adDisplaySpecifiers_us.sbsをadDisplaySpecifiers_us.ldifにコピーします。
adDisplaySpecifiers_other.sbsをadDisplaySpecifiers_other.ldifにコピーします。
これらの.ldifファイルをそれぞれ編集し、すべての%s_AdDomainDN%を、表示指定子のロード先となる特定のActive DirectoryのドメインDN(dc=example,dc=comなど)で置き換えます。
次のコマンドを実行します。
ldapmodify -h ad hostname -Z -f adDisplaySpecifiers_us.ldif ldapmodify -h ad hostname -Z -f adDisplaySpecifiers_other.ldif
ad hostnameは、表示指定子のロード先となるActive Directoryドメイン・コントローラのホスト名です。
ネット・ディレクトリ・ネーミング機能をActive Directoryとともに使用するには、Oracleコンテキストを作成する必要があります。Oracleコンテキストは、Active Directoryツリー内のトップレベルのOracleエントリです。ここに、Oracle DatabaseサービスとOracleネット・サービス名オブジェクトに関する情報が格納されます。
各Windowsサーバー・ドメイン(管理コンテキスト)に作成できるOracleコンテキストは1つのみです。
Oracle Net Configuration AssistantでOracleコンテキストをActive Directoryに作成するには、ドメインおよびエンタープライズ・オブジェクトを作成する権限が必要です。
Oracle Net Configuration Assistantを使用してOracleコンテキストを作成します。Oracle Databaseのカスタム・インストールの途中または後で、Oracleコンテキストを作成できます。
|
関連項目:
|
Oracle Net Configuration Assistantは、Oracleネットワーク構成の設定および管理に使用できるグラフィカルなウィザード・ベースのツールです。
Oracle Net Configuration Assistantを起動するには、次のようにします。
「スタート」→「すべてのプログラム」をクリックします。
「Oracle - HOMENAME」→「Configuration and Migration Tools」をクリックし、次に「Net Configuration Assistant」をクリックします。
「ディレクトリ使用構成」オプションを選択し、「次へ」をクリックします。
ディレクトリ・タイプとして「Microsoft Active Directory」を選択し、「次へ」をクリックします。
|
注意: 「Microsoft Active Directory」構成オプションは、Oracle Net Configuration AssistantのWindowsバージョンでのみ使用できます。 |
Oracleで使用するディレクトリ・サーバーを構成してOracleスキーマおよびコンテキストを作成またはアップグレードするオプションを選択し、「次へ」をクリックします。
Active Directoryのホスト名を入力し、「次へ」をクリックします。
Oracleスキーマをアップグレードするオプションを選択し、「次へ」をクリックします。
次のページに、ディレクトリ構成に成功したことを示すメッセージが表示されます。
Directory usage configuration complete! The distinguished name of your default Oracle Context is: cn=OracleContext,DC=home,DC=com
「次へ」をクリックし、「終了」をクリックします。
前述のメッセージで、部分的な成功のみが示されることがあります。
The Assistant is unable to create or upgrade the Oracle Schema for the following reason: ConfigException: Oracle Schema creation was successful, but Active Directory Display Specifier creation failed.oracle.net.config.ConfigException; TNS-04420: Problem running LDAPMODIFY
「OK」をクリックし、「終了」をクリックします。
前述のエラーが表示された場合、メッセージを無視し、最初に指定した値を使用してOracle Net Configuration Assistantを再実行してください。
ディレクトリ構成に成功したことを示すメッセージとともにウィザードが完了します。
Directory usage configuration complete! The distinguished name of your default Oracle Context is: cn=OracleContext,DC=home,DC=com
「次へ」をクリックし、「終了」をクリックします。
ディレクトリ・ネーミング方法は、接続識別子をMicrosoft Active Directoryサーバーに含まれる接続記述子にマップします。ディレクトリ・サーバーでは、データベース・サービスおよびネット・サービス名の集中管理が提供され、サービスの追加または再配置が容易になります。
Oracle Enterprise ManagerまたはOracle Net Managerを使用してネット・サービス名を作成します。Microsoft Active Directoryネーミング方法を使用するには、サポートされるWindowsオペレーティング・システムでOracle Database Clientを実行する必要があります。一方、データベース・サービスをオブジェクトとしてActive Directoryに登録するために不可欠なOracle Databaseが存在している必要があります。データベース・サーバーはサポートされているオペレーティング・システムのいずれでも実行することができ、Windowsオペレーティング・システムである必要はありません。
デフォルトでは、ディレクトリ・ネーミング・アダプタは、匿名でアクティブ・ディレクトリに接続します。認証されたネーミング方法には、アクティブ・ディレクトリ・ドメインの一部であるクライアント・コンピュータが必要で、それによりデータベース・サービスまたはネット・サービス名を、そのドメインの中央ディレクトリ・サービスに格納された接続記述子へ解決します。
sqlnet.oraファイル内のNAMES.LDAP_AUTHENTICATE_BIND=trueパラメータにより、認証されたネーミング方法が有効になります。
|
関連項目: Oracle Database Net Services管理者ガイド |
Oracle Net Configuration Assistantを使用すると、クライアント・コンピュータおよびOracle Databaseをディレクトリ・サーバーにアクセスできるように構成できます。ディレクトリ・アクセスの構成をOracle Net Configuration Assistantから選択すると、使用するディレクトリ・サーバー・タイプを指定するように要求されます。Active Directoryをディレクトリ・サーバー・タイプとして選択すると、Oracle Net Configuration Assistantのディレクトリ・サーバーの自動検出機能により、次のことが自動的に行われます。
Active Directoryサーバーの場所の検出
Active Directoryサーバーへのアクセスの構成
Oracleコンテキスト(ドメインとも呼ばれます)の作成
|
注意: Oracle Net Configuration Assistantでは、ldap.oraのDIRECTORY_SERVERSパラメータは構成されません。この場合に、クライアントでネット・ネーミング用のActive Directoryサーバーを自動的に検出します。 |
Active DirectoryサーバーにすでにOracleコンテキストがある場合、次のデフォルト以外のオプションを選択します。
使用するディレクトリ・サーバーを選択し、Oracleを使用するように構成します。(必要に応じて、Oracleスキーマ・オブジェクトとOracleコンテキストを作成またはアップグレードします。)
Oracle Net Configuration Assistantから、Oracleコンテキストが存在しないことが通知されます。これを無視し、そのままOracleコンテキストを作成することを選択します。ディレクトリ・アクセスの構成は、既存のOracleコンテキストを再作成しなくても完了します。
|
注意: Oracle Net Configuration Assistantのディレクトリ・サーバー自動検出機能を使用できるようにするには、使用しているOracle Database ClientおよびOracle Databaseのリリースに関係なく、Windows Serverドメイン内でユーザーが実行している必要があります。Oracle Net Configuration Assistantはディレクトリ・サーバーを自動的に検出しません。そのかわりに、Active Directoryの場所などの追加情報を指定するようにユーザーに要求します。 |
この項では、Active Directoryを介したOracle Databaseサーバーへの接続方法について説明します。
次の項目について説明します。
Oracleネット・ディレクトリ・ネーミングを使用する場合、クライアント・コンピュータでは、Oracleコンテキストに含まれるデータベース・エントリまたはネット・サービス名エントリを指定して、データベースに接続します。たとえば、Active DirectoryのOracleコンテキスト内のデータベース・エントリがorclで、クライアントとデータベースが同じドメインに属する場合、次のように接続文字列を入力し、SQL*Plusを介してデータベースに接続します。
SQL> CONNECT username@orcl Enter password: password
クライアントとデータベースが異なるドメインに属する場合は、次のように入力し、SQL*Plusを介してデータベースに接続します。
SQL> CONNECT username@orcl.domain Enter password: password
domainは、Oracle Databaseサーバーが存在するドメインです。
LDAPネーミング・アダプタには、簡易ネーミングと呼ばれる内部機能があります。この機能では、ldap.ora:DEFAULT_ADMIN_CONTEXTで使用されるネーミング規則に基づいて、DNS形式の名前をx500(LDAP)形式の名前(DN)に変換します。
これは、org形式またはドメイン・コンポーネント(dc)形式を使用したldap.ora:default_admin_contextに依存しています。これにより、次のいずれかの規則を使用してドメイン名をx500 DNに変換するメカニズムが提供されます。
'dc=, dc='
'ou=, o='
'ou=, o=, c='
たとえば、次のようにします。
SQL> CONNECT SMITH@hr.example.com
Enter password: password
default_admin_contextの次の値により、関連するDNが生成されます。
DEFAULT_ADMIN_CONTEXT="o=stdev"
結果となるDNは次のとおりです。
cn=HR,cn=OracleContext,ou=EXAMPLE,o=COM DEFAULT_ADMIN_CONTEXT="dc=oracle, dc=com"
結果となるDNは次のとおりです。
cn=HR,cn=OracleContext,dc=EXAMPLE,dc=COM DEFAULT_ADMIN_CONTEXT="o=oracle,c=us"
結果となるDNは次のとおりです。
cn=HR,cn=OracleContext,o=EXAMPLE,c=COM
|
注意: default_admin_contextの値をそのまま使用することはできません。問合せ先の名前は完全修飾形式で指定するからです。特定のDNコンポーネントの各ドメインを変換するときに、default_admin_contextに基づいて、生成されるDNのスタイル、使用される左辺が決定されます。 |
DNS形式の規則を使用すると、クライアント・コンピュータとOracle Databaseサーバーが異なるドメインに属す場合でも、クライアント・ユーザーは最小限の接続情報を入力して、ディレクトリ・サーバーを介してOracle Databaseサーバーにアクセスできます。X.500の規則に従った名前は、特にクライアントとOracle Databaseサーバーが異なるドメイン(管理コンテキストとも呼ばれます)に属す場合、より長くなります。
|
関連項目:
|
Active DirectoryのOracleディレクトリ・オブジェクトは、次の2つのMicrosoftツールと統合されています。
Windowsエクスプローラ
Active Directoryユーザーとコンピュータ
これらのMicrosoftツール内からOracle Databaseサーバーとの接続性をテストするには、そのサーバーに接続します。つまり、実際に接続することで接続性をテストできます。接続性をテストするには、次のようにします。
Windowsエクスプローラまたは「Active Directoryユーザーとコンピュータ」を起動します。
Windowsエクスプローラを起動するには、次のようにします。
「スタート」メニューから、「すべてのプログラム」、「アクセサリ」、「エクスプローラー」の順に選択します。
「ネットワーク」を開きます。
Directoryを開きます。
「Active Directoryユーザーとコンピュータ」を起動するには、次のようにします。
「スタート」メニューから、「すべてのプログラム」、「管理ツール」、「Active Directoryユーザーとコンピュータ」の順に選択します。
|
注意: Active Directoryを介してOracle Databaseサーバーにアクセスするすべてのクライアントには、Oracleコンテキスト内のすべてのネット・サービス名オブジェクトに対する読取りアクセス権が必要です。名前参照に認証を必要とするようOracle Netを構成しない場合、クライアントは、Active Directoryで匿名で認証ができる必要があります。Windows Serverドメインでは、この場合、匿名アクセスを許可するようにActive Directoryのデフォルト設定を変更する必要があります。このディレクトリで匿名アクセスを許可しない場合、クライアントが認証されるよう構成し、クライアントが必要に応じてネット・サービス・オブジェクトを読み取れるように各オブジェクトにアクセス制御定義を設定する必要があります。 |
|
関連項目: 詳細は、『Oracle Database Net Services管理者ガイド』を参照してください。 |
Oracleコンテキストが存在するドメインを開きます。
Oracleコンテキストを開きます。
データベース・サービスまたはOracleネット・サービス名オブジェクトを右クリックします。
いくつかのオプションとともにメニューが表示されます。この項では、「テスト」オプションおよびSQL*Plusと接続のオプションについてのみ説明します。
実際には接続せずにデータベース接続をテストする場合は、「テスト」を選択します。接続の試行ステータスを説明するステータス・メッセージが表示されます。
実際に接続してデータベース接続をテストする場合は、SQL*Plusと接続を選択します。「Oracle SQL*Plus Logon」ダイアログが表示されます。
ユーザー名とパスワードを入力し、「OK」をクリックします。接続の試行ステータスを説明するステータス・メッセージが表示されます。
この項では、Active Directory内のOracleディレクトリ・オブジェクトに固有のセキュリティ・グループを特定し、セキュリティ・グループのメンバーを追加および削除する方法について説明します。
次の項目について説明します。
セキュリティ・グループは、OracleコンテキストがActive Directoryに作成される際に自動的に作成されます。アクセスを構成する(およびそれによりOracleコンテキストを作成する)ユーザーは各グループに自動的に追加されます。関連するグループのリストを次に示します。
OracleDBCreatorsグループは、Oracle Databaseサーバーを登録するユーザー用のグループです。ドメイン管理者は、自動的にこのグループのメンバーになります。このグループに属すユーザーは、次のことが実行できます。
Oracleコンテキストでの新しいOracle Databaseオブジェクトの作成。
自分が作成したOracle Databaseオブジェクトの変更。
このグループのメンバーシップの読取り(ただし変更はできません)。
OracleNetAdminsグループに属すユーザーは、次のことが実行できます。
Oracle Net Servicesオブジェクトと属性の作成、変更および読取り。
このグループのグループ・メンバーシップの読取り。
Oracle Database Client 11g以降のディレクトリ・クライアントは、オプションで、DB名を接続文字列に解決すると同時にディレクトリで認証を行うよう構成できます。これにより、ACLを使用してOracle Net Servicesオブジェクトを保護することが可能になります。
ディレクトリ内でのユーザーの識別情報を定義する方法と、そのユーザーまたはそのユーザーの所属グループを一部またはすべてのNet Servicesにアクセスできるようにする方法は多くあります。Oracle Databaseでは、このデータに対する読取りアクセス制限を定義するための事前定義済グループは用意されておらず、また構成ツールにもそのようなプロシージャはないため、管理者は、ディレクトリ・システムの標準オブジェクト管理ツールを使用して、必要なグループおよびACLを手動で作成する必要があります。既存の識別情報の構造は、ネット・サービスのACLと考えることもできます。
オブジェクトのアクセス定義は複雑であり、ディレクトリ情報ツリー(DIT)の親ノードから継承されたセキュリティ・プロパティが関連する可能性があるため、管理者は、使用しているディレクトリ・システムの関連ツールおよびドキュメントを参照し、Oracle Net Servicesオブジェクトのアクセス管理を体系化してディレクトリ全体のポリシーおよびセキュリティ実装に統合することをお薦めします。
|
注意: 11gよりも前のクライアントは匿名としてのみディレクトリにバインド可能であるため、Net ServicesにACLの保護をかけようとすると、旧バージョンのクライアントが無効になります。アクセス制御を実装できるのは、各オブジェクトに対するアクセスを必要とするすべてのクライアントが11g以上である場合のみです。 |
ディレクトリ・オブジェクトにACLを設定するには、Dsaclsツールを使用します。
dsacls.exeコマンドラインにより、Active Directoryに含まれるオブジェクトのアクセス制御リスト(ACL)の権限(アクセス制御エントリ)を表示および変更できます。このコマンドライン・ツールは、製品メディアのサポート・ツールに含まれます。
例:
orclサービスに対する一般的な匿名読取りを有効化するには、次のコマンドを実行します。
dsacls "CN=orcl,CN=OracleContext,OU=Example,O=Com" /G "anonymous logon":GR
EXAMPLEドメインのsmithユーザーのorclサービスに対する一般的な読取りを有効化するには、次のコマンドを実行します。
dsacls "CN=orcl,CN=OracleContext,OU=Example,O=Com" /G example\smith:GR
orclサービスに対する一般的な匿名読取りを無効化するには、次のコマンドを実行します。
dsacls "CN=orcl,CN=OracleContext,OU=Example,O=Com" /R "anonymous logon"
EXAMPLEドメインのsmithユーザーのorclサービスに対する一般的な読取りを無効化するには、次のコマンドを実行します。
dsacls "CN=orcl,CN=OracleContext,OU=Example,O=com" /R example\smith
「Active Directoryユーザーとコンピュータ」を使用してセキュリティ・グループに対してユーザーの追加および削除ができます。
|
注意: この項で説明した手順を実行するには「Active Directoryユーザーとコンピュータ」を使用します。Windowsエクスプローラには必要な機能がありません。 |
ユーザーを追加または削除するには、次のようにします。
「スタート」メニューから、「すべてのプログラム」、「管理ツール」、「Active Directoryユーザーとコンピュータ」の順に選択します。
メイン・メニューの「表示」メニューから「拡張機能」を選択します。
この操作で、通常非表示の情報が表示され、編集できます。
Oracleコンテキストが存在するドメイン(管理コンテキスト)を開きます。
「Users」を開きます。
右側のウィンドウ・ペインにセキュリティ・グループが表示されます。
表示または変更するOracleセキュリティ・グループを右クリックします。
いくつかのオプションとともにメニューが表示されます。
「プロパティ」を選択します。
「メンバ」タブを選択します。
選択したグループのプロパティ・ダイアログが表示されます(この例ではOracleDBCreators)。
ユーザーを追加するには、「追加」をクリックします。
「ユーザーの選択」、「コンピュータ」、サービス・アカウント、または「グループ」ダイアログが表示されます。
追加するユーザーまたはグループを選択し、「追加」をクリックします。
選択した項目が、「ユーザーの選択」、「コンピュータ」、サービス・アカウント、または「グループ」ダイアログに表示されます。
ユーザーを削除するには、「メンバ」リストからユーザー名を選択し、「削除」をクリックします。
ユーザーの追加または削除が終了したら、「OK」をクリックします。
