Oracle® Fusion Middleware Oracle Directory Integration Platform管理者ガイド 11g リリース1 (11.1.1) B65032-05 |
|
前 |
次 |
この章では、Oracle Directory Integration Platformのセキュリティにおける最も重要な事項について説明します。内容は次のとおりです。
認証は、Oracleディレクトリ・サーバーが、そのディレクトリに接続するユーザーの正確なアイデンティティを確認するプロセスです。ldapbind
操作によってLDAPセッションが確立されるときに、発生します。
Oracle Directory Integration Platformの各コンポーネントが、ディレクトリへのアクセスを許可される前に適切に認証されることは重要です。
この項の内容は次のとおりです。
Oracleバックエンド・ディレクトリは、Secure Socket Layer(SSL)を使用するように構成する必要があります。
Oracle Unified DirectoryまたはOracle Directory Server Enterprise EditionがOracleバックエンド・ディレクトリである場合、Oracle Directory Integration Platformは最初にインストールされたときには非SSLモードで動作します。一方、Oracle Internet DirectoryがOracleバックエンド・ディレクトリである場合は、SSL接続が必要となります。
Oracle Directory Integration Platformでは、次のSSL実装モードをサポートします。
認証なし(SSLモード1): SSLデータ暗号化を提供しますが、認証にはSSLを使用しません。
注意: Oracleバックエンド・ディレクトリがOracle Internet Directoryである場合、Oracle Directory Integration Platformでは、認証なしのSSLモード(SSLモード1)のみをサポートします。Oracle Unified DirectoryまたはOracle Directory Server Enterprise EditionがOracleバックエンド・ディレクトリである場合、使用できるSSLはSSLサーバー認証(SSLモード2)のみとなります。 |
SSLサーバー認証(SSLモード2): SSLデータ暗号化とクライアントに対するSSL認証の両方が含まれます。Oracle Directory Integration Platformでは、サーバーはディレクトリ・サーバーであり、クライアントはOracle Directory Integration Platformです。
サーバーは、信頼できる認証局(CA)が発行する証明書を送信することにより、クライアントに対して自身のアイデンティティを検証します。このモードでは、公開鍵インフラストラクチャ(PKI)と証明書がJavaキーストア(JKS)に格納される必要があります。
Oracle Directory Integration PlatformでSSLを使用するには、Oracleバックエンド・ディレクトリとOracle Directory Integration Platformの両方を、同じSSLモードで起動する必要があります。たとえば、Oracleバックエンド・ディレクトリがSSLモード1で実行されている場合、Directory Integration Platformは、同じSSLモード1を使用してOracleバックエンド・ディレクトリに接続するように構成されている必要があります。
関連項目: Oracle Internet DirectoryをOracleバックエンド・ディレクトリとして使用している場合は、SSLモードでのOracleディレクトリ・サーバーの起動手順について、『Oracle Fusion Middleware Oracle Internet Directory管理者ガイド』を参照してください。 |
ディレクトリ・サーバーのアイデンティティを設定するには、Oracleバックエンド・ディレクトリとDirectory Integration Serverの両方をSSLサーバー認証モードで起動します。この場合、ディレクトリ・サーバーは自身の証明書をDirectory Integration Serverに提供し、Directory Integration ServerはOracleバックエンド・ディレクトリのクライアントとして機能します。
サード・パーティのディレクトリに接続するときにSSLを使用するようにOracle Directory Integration Platformを構成することもできます。この場合は、「バックエンド・ディレクトリと接続ディレクトリのSSL証明書の管理」で説明されているように、接続ディレクトリ証明書をJavaキーストア(JKS)に保存します。
Oracleバックエンド・ディレクトリでは、統合プロファイルは、識別名(DN)とパスワードを持つユーザーを表します。
プロファイルにアクセスできるユーザーは次のとおりです。
Oracle Directory Integration Platformの管理者。
バックエンド・ディレクトリでは、管理者はcn=dipadmin,cn=dipadmins,cn=directory integration platform,cn=products,cn=oraclecontext
というDNで表されます。
Oracle Directory Integration Platform管理者グループのメンバー。
バックエンド・ディレクトリでは、管理者グループはcn=odisgroup,cn=dipadmins,cn=directory integration platform,cn=products,cn=oraclecontext
というDNで表されます。
Oracle Directory Integration Platformが統合プロファイルに基づいてOracleバックエンド・ディレクトリにデータをインポートする場合、その統合プロファイルとしてディレクトリにプロキシ・バインドします。Oracle Directory Integration Platformは、SSLモードでも非SSLモードでもバインドできます。
認可は、ユーザーが権限を持つ情報のみの読取りまたは更新を行うことを保証するプロセスです。ディレクトリ・セッション内でディレクトリ操作が行われようとすると、ディレクトリ・サーバーは、その操作の実行に必要な権限がユーザーに与えられていることを確認します(ユーザーの識別は、セッションに対応付けられた認可識別子によって行われます)。ユーザーに権限がない場合、ディレクトリ・サーバーはこれらの操作を許可しません。この方法(アクセス制御)によって、ディレクトリ・サーバーは、ディレクトリ・ユーザーによる不正操作からディレクトリ・データを保護します。
Oracle Unified Directoryがバックエンド・ディレクトリとして使用される場合、一部の権限がOracle Directory Integration Platformユーザーに割り当てられます。詳細は、『Oracle Fusion Middleware Oracle Unified Directory管理者ガイド』の「rootユーザーおよび権限サブシステムの理解」を参照してください。
Oracle Internet Directoryがバックエンド・ディレクトリとして使用される場合、アクセスをOracle Internet Directoryデータの必要なサブセットのみに制限するには、Directory Integration Serverとコネクタの両方に対する適切なアクセス・ポリシーをディレクトリに設定します。
次の項では、これらのポリシーについて説明します。
Oracle Directory Integration Platformは、次のようにディレクトリへのバインドをそれ自身として行う場合と、プロファイルのかわりに行う場合があります。
それ自身としてバインドする場合、様々な統合プロファイルに情報をキャッシュできます。これによって、Directory Integration Serverは、様々なコネクタによって実行される同期アクションをスケジュールできます。
Oracle Unified Directoryと接続するときに、Directory Integration Serverがプロファイルのかわりに動作する場合、Directory Integration Serverはプロファイルのプロキシとして動作します(プロファイル資格証明を使用してディレクトリにバインドし、様々な操作を実行します)。Directory Integration Serverは、プロファイルで許可されているディレクトリでそれらの操作のみを実行できます。
Oracle Unified DirectoryまたはOracle Directory Server Enterprise Editionと接続するときに、Directory Integration Serverは、Oracle Directory Integration Platformユーザーを使用してバインドし、プロキシ認可v2制御(RFC 4370)を使用して、プロファイルとして機能するディレクトリ・サーバーに対してアクションを実行します。
Directory Integration Serverに付与されるアクセス権限を設定し管理するために、Oracle Directory Integration Platformはインストール時にodisgroup
と呼ばれるグループ・エントリを作成します。Directory Integration Serverは、登録時にこのグループのメンバーになります。
バックエンド・ディレクトリで、odisgroup
のDNは次のとおりです。
cn=odisgroup,cn=directory admins,cn=directory integration platform,cn=products,cn=oraclecontext
odisgroup
エントリにアクセス制御ポリシーを配置することによって、Directory Integration Serverに付与されるアクセス権限を制御します。デフォルトのポリシーは、プロファイルにアクセスするための様々な権限をDirectory Integration Serverに付与します。たとえば、デフォルトのポリシーは、Directory Integration ServerがOracleバックエンド・ディレクトリと、プロファイルのかわりにプロキシとしてバインドされる接続ディレクトリとの間でユーザー・パスワードを比較できるようにします。また、Directory Integration Serverが、最終正常実行時間や同期ステータスなどのプロファイルのステータス情報を変更できるようにします。
インストール時に、Oracle Directory Integration Platformは、様々なプロファイルに付与されるアクセス権限の制御を可能にするodipgroup
と呼ばれるグループ・エントリを作成します。セキュリティを追加するために、odipigroup
グループおよびodipegroup
グループもインストール時に作成されます。すべてのインポート・プロファイルはodipigroup
グループに割り当てられ、すべてのエクスポート・プロファイルはodipegroup
グループに割り当てられます。権限は、odipgroup
エントリに適切なアクセス・ポリシーを配置することによって制御されます。デフォルトのアクセス・ポリシー(製品とともに自動的にインストールされる)は、所有する統合プロファイルに対する特定の標準アクセス権限をプロファイルに付与します。このような権限の1つとして、orclodipConDirLastAppliedChgTime
という名前のパラメータなどの統合プロファイルのステータス情報を変更する機能があります。また、デフォルトのアクセス・ポリシーは、プロファイルがバックエンド・ディレクトリの変更ログにアクセスできるようにします(これ以外の場合、バックエンド・ディレクトリへのアクセスは制限されます)。
関連項目:
|
Oracle Directory Integration Platformは、SSLを使用して、送信時にデータの変更、削除または再現が行われていないことを保証します。このSSL機能は、暗号方式の保護メッセージ・ダイジェストを、Message-Digest algorithm 5(MD5)またはSecure Hash Algorithm(SHA)を使用する暗号チェックサムを使用して生成し、ネットワークを介して送信する各パケットにそのメッセージ・ダイジェストを組み込みます。
Oracle Directory Integration Platformは、SSLで使用可能な公開鍵暗号を使用して、データが送信中に開示されないことを保証します。公開鍵暗号では、メッセージの送信側が受信側の公開鍵を使用して、メッセージを暗号化します。メッセージが送達されると、受信側は、受信側の秘密鍵を使用して、メッセージを復号化します。
Directory Integration ServerとOracle Internet Directoryの間でデータを安全に交換するには、両方のコンポーネントを同じSSLモードで実行する必要があります。
一般的に使用されているツール(Oracle Enterprise Manager Fusion Middleware Controlを含む)は、すべてSSLモードで実行することによりバックエンド・ディレクトリにデータを安全に送信できます。
Oracle Directory Integration Platformでは、Oracle Fusion Middleware 11gインフラストラクチャの資格証明ストア・フレームワークを使用します。Oracle Directory Integration Platformによってこの資格証明ストア・フレームワークに格納される資格証明および説明を次に示します。
Oracle Directory Integration Platformのユーザー名:
cn=odisrv,cn=Registered Instances,cn=Directory Integration Platform,cn=products,cn=oraclecontext
Oracle Directory Integration Platformのユーザー・パスワード。このパスワードはインストール時に作成されるもので、読取り専用として格納され、ランタイム操作で読み取られます。
JKSパスワード。JKSのパスワードは、Oracleバックエンド・ディレクトリまたはサード・パーティ・ディレクトリへの接続に対して、サーバーのみ(モード2)SSL設定が構成されている場合に使用されます。WebLogic Scripting Tool(WLST)のcreateCred()
コマンドを使用して、キーストアのパスワードを資格証明ストア・フレームワークに書き込むことができます。たとえば、WLSTシェルを呼び出し、connect()
コマンドを使用してOracle WebLogic Admin Serverに接続した後で、次のように入力します。
createCred(map="dip", key="jksKey", user="jksUser", password="welcome1", desc="DIP SSL JKS")
表2-1 createCredコマンド
引数 | 説明 |
---|---|
|
資格証明のマップ名(フォルダ)を指定します。 mapオプションは固定されており、サポートされる値は |
|
資格証明のキー名を指定します。 keyオプションは固定されており、サポートされる値は |
|
資格証明のユーザー名を指定します。
|
|
資格証明のパスワードを指定します。キーストアへのアクセスには |
|
資格証明を説明する文字列を指定します。 |
キーストア・パスワードを新しい値に変更するには、updateCred()
コマンドを実行します。
updateCred(map="dip", key="jksKey", user="jksUser", password="welcome2"
関連項目:
|