ストア・デプロイメントのタイプによって、パスワードを外部に格納できる2つの方法があります。Enterprise Edition (EE)デプロイメントでは、Oracle Walletが使用されます。Community Edition (CE)デプロイメントでは、単純な読取り保護されたクリアテキストのパスワード・ファイルが使用されます。
最も基本的な操作モードでは、外部パスワードはサーバーがキーストア・パスワードを追跡するためにのみ使用されます。データベース内にセキュアに格納されたユーザー・パスワードは、クライアント認証時にも指定できます。
パスワード・ストアがログイン・ファイルのコンポーネントとして使用される場合、いずれのパスワード・ストア・タイプに使用される別名も、パスワードが適用されるユーザー名である必要があります。たとえば、root
というユーザーの場合、パスワードは別名root
の下に格納される必要があります。
パスワード・ストアがサーバーの一部として使用される場合、別名keystore
が使用されます。ユーザー・パスワード・ストアは、KVROOTの下にあるsecurity
ディレクトリ内のファイルとは完全に別のファイルである必要があります。
次のコマンドは、securityconfig
ツール内でOracle Walletストアを操作する機能を提供します。これらのコマンドはEEでのみ使用できます。securityconfig
ツールの詳細は、「Securityconfigによるセキュリティの構成」を参照してください。
新規自動ログイン・ウォレットを作成するには、wallet create
コマンドを実行します。
wallet create -dir <wallet directory>
自動ログイン・ウォレットには、パスワードが不明瞭化された状態で格納されます。ウォレットへのアクセスは、権限のないユーザーによるOSレベルのログインを使用した読取りに対して保護されています。
名前(別名)と関連付けられた機密(パスワード)を操作するには、wallet secret
コマンドを実行します。
wallet secret -dir <wallet directory> {-set | -delete} -alias <alias>
-setオプションが指定されている場合、ユーザーは指定した別名に対する新規パスワードの入力、および新しい機密の検証が求められます。
-deleteオプションが指定されている場合、機密がストアから削除されます。
Oracle Walletを使用しており、Oracle NoSQL Databaseをデプロイしている場合、特別な考慮が必要です。詳細は、「セキュア・アプリケーションのデプロイ・ガイドライン」を参照してください。