目次 ATMIのセキュリティの紹介 セキュリティとは セキュリティ・プラグイン ATMIセキュリティ機能 オペレーティング・システム(OS)のセキュリティ 認証 認証プラグインのアーキテクチャ 委任された信用認証の理解 セッションの確立 認可トークンおよび監査トークンの取得 クライアント・トークンとサーバー・トークンの交換 カスタマイズされた認証の実装 認可 認可プラグインのアーキテクチャ 認可プラグインのしくみ デフォルトの認可 カスタマイズした認可 カスタマイズした認可の実装 監査 監査プラグインのアーキテクチャ 監査プラグインのしくみ デフォルトの監査 カスタマイズした監査 カスタマイズした監査の実装 リンク・レベルの暗号化 LLEのしくみ 暗号化キー・サイズのネゴシエーション min-max値の決定 共通のキー・サイズの検索 LLEの旧バージョンとの互換性 Oracle Tuxedoリリース6.5との相互運用性 Oracle Tuxedoリリース6.5より前のバージョンとの相互運用性 初期化時のWSLおよびWSHの接続タイムアウト SSL暗号化 SSLプロトコルのしくみ SSLプロトコルを使用するための要件 TLSバージョンのネゴシエーションおよび構成 暗号化キー・サイズのネゴシエーション min-max値の決定 共通のキー・サイズの検索 SSLの旧バージョンとの互換性 初期化時のWSLおよびWSHの接続タイムアウト サポートされている暗号スイート SSLインストール 公開鍵によるセキュリティ機能 PKCS-7への準拠 サポートされている公開鍵のアルゴリズム 公開鍵のアルゴリズム デジタル署名のアルゴリズム 対称鍵のアルゴリズム メッセージ・ダイジェスト・アルゴリズム メッセージ・ベースのデジタル署名 デジタル証明書 認証局 証明書のリポジトリ 公開鍵インフラストラクチャ メッセージ・ベースの暗号化 公開鍵の実装 公開鍵の初期化 鍵の管理 証明書のルックアップ 証明書の解析 証明書の検証 証明資料のマッピング カスタマイズした公開鍵の実装 デフォルトの公開鍵の実装 デフォルトの認証と認可 クライアントの名前付け ユーザー/クライアント名 アプリケーション・キー ユーザー、グループ、およびACLのファイル 省略可能なACLと必須のACL セキュリティの相互運用性 7.1より前のリリースのソフトウェアとの相互運用性 リンク・レベルの暗号化の相互運用性 SSL暗号化の相互運用性 公開鍵によるセキュリティ機能の相互運用性 セキュリティ機能の互換性 デフォルトまたはカスタマイズした認証と認可の組合せ デフォルトまたはカスタマイズした認証と監査の組合せ 公開鍵によるセキュリティ機能の互換性の問題 データ依存型ルーティングとの互換性および相互運用性 スレッドとの互換性および相互運用性 イベント・ブローカとの互換性および相互運用性 /Qとの互換性および相互運用性 トランザクションとの互換性および相互運用性 ドメイン・ゲートウェイとの互換性および相互運用性 ほかのベンダーのゲートウェイとの互換性および相互運用性 サービス拒否(DoS)の防御 接続数の制限 接続制限数の設定 UBBCONFIGファイル メッセージ メッセージ正常性チェック メッセージ認証コード(MAC)の使用 パフォーマンスの影響 メッセージ認証コード(MAC)の設定 DMCONFIGファイル構成 MIB構成 パスワード・ペア保護 セキュリティの管理 セキュリティの管理とは セキュリティ管理のタスク Oracle Tuxedoレジストリの設定 Oracle Tuxedoレジストリの目的 プラグインの登録 セキュリティ用のATMIアプリケーションの構成 構成ファイルの編集 TM_MIBの変更 管理環境の設定 オペレーティング・システム(OS)のセキュリティ管理 OSのセキュリティで推奨されている事項について 認証の管理 プリンシパル名の指定 システム・プロセスが資格証明を取得する方法 システム・プロセスで資格証明が必要な理由 プリンシパル名を指定するUBBCONFIGのエントリ例 相互運用性のポリシーの指定 古いクライアントのIDの確認 WSH側で古いクライアントのIDを確認する ドメイン・ゲートウェイ側で古いクライアントのIDを確認する サーバー側で古いクライアントのIDを確認する CLOPT -tオプションの動作のまとめ 相互運用性を指定するUBBCONFIGのエントリ例 ドメイン間のリンクの確立 リンクを確立するためのDMCONFIGのエントリ例 ACLポリシーの設定 リモート・ドメイン・ゲートウェイの偽装化 ACLポリシーを指定するDMCONFIGのエントリ例 資格証明ポリシーの設定 認可の管理 リンク・レベルの暗号化の管理 LLEのmin値とmax値の理解 ワークステーション・クライアントのリンクにLLEを構成する方法 ブリッジ間のリンクにLLEを構成する方法 tlistenのリンクにLLEを構成する方法 ドメイン・ゲートウェイのリンクにLLEを構成する方法 SSL暗号化の管理 SSLのmin値とmax値の理解 ワークステーション・クライアントのリンクにSSLを構成する方法 ブリッジ間のリンクにSSLを構成する方法 tlistenのリンクにSSLを構成する方法 ドメイン・ゲートウェイのリンクにSSLを構成する方法 SSLプロトコル用の開発プロセス Oracle Walletの作成 orapkiを使用したOracle Walletの作成 opensslを使用したOracle Walletの作成 実行時のOracle Walletの作成 TUXCREATEWALLET環境変数の使用 SSL接続の問題のデバッグ NZトレース機能の有効化 接続確立のログ・メッセージ Oracle Walletの内容の表示 NZエラー・コード情報の取得 公開鍵セキュリティの管理 公開鍵セキュリティで推奨されている事項について 公開鍵と秘密鍵の組合せの割当て デジタル署名ポリシーの設定 デジタル署名のタイムスタンプに設定された将来の日付を制限する デジタル署名のタイムスタンプに設定された過去の日付を制限する 受信メッセージに対する署名ポリシーの適用 イベント・ブローカの署名ポリシーの適用 /Qの署名ポリシーの適用 リモート・クライアントの署名ポリシーの適用 暗号化ポリシーの設定 受信メッセージに対する暗号化ポリシーの適用 イベント・ブローカの暗号化ポリシーの適用 /Qの暗号化ポリシーの適用 リモート・クライアントの暗号化ポリシーの適用 プラグインによる復号化キーの初期化 障害のレポートと監査 デジタル署名のエラー処理 暗号化のエラー処理 デフォルトの認証と認可の管理 セキュリティ・レベルの指定 構成ファイルを編集してセキュリティを指定する TM_MIBを変更してセキュリティを指定する 認証サーバーの構成 アプリケーション・パスワードによるセキュリティを有効にする方法 ユーザー・レベルの認証によるセキュリティを有効にする方法 UBBCONFIGファイルの設定 ユーザー・ファイルとグループ・ファイルの設定 システムのセキュリティ・データ・ファイルをOracle Tuxedoのユーザー・ファイルとグループ・ファイルに変換する ユーザーおよびグループを追加、変更、または削除する アクセス制御リストによるセキュリティの有効化 省略可能なACLセキュリティを有効にする方法 UBBCONFIGファイルの設定 ACLファイルの設定 必須のACLセキュリティを有効にする方法 UBBCONFIGファイルの設定 ACLファイルの設定 一般的なLDAPベース・セキュリティを有効にする方法 UBBCONFIGファイルの設定 XAUTHSVRサーバー構成ファイルの設定 LDAPリポジトリの設定 認可キャッシュの設定 OESのセキュリティ・サービスを有効にする方法 Kerberos認証プラグインの使用 Kerberosプラグイン Kerberosがサポートされるプラットフォーム Kerberosプラグインの機能 Kerberosプラグインの事前構成 Kerberosプラグインの構成 Kerberosプラグインの構成 デフォルト・プラグインを回復する KAUTHSVRの構成 Tuxedoネイティブ・クライアントの構成 制限 関連項目 Cert-C PKI暗号化プラグインの使用 Cert-C PKI暗号化プラグイン Cert-C PKI暗号化プラグインの事前構成 Cert-C PKI暗号化プラグインの構成 証明書ルックアップの構成 鍵管理の構成 decPassword privateKeyDir 証明書解析の構成 証明書検証の構成 caCertificateFile crlFile レジストリ・コマンド・ファイルの例 制限 関連項目 セキュリティのプログラミング セキュリティのプログラミングとは セキュリティを備えたATMIアプリケーションのプログラミング プログラミング環境の設定 ATMIアプリケーションにクライアント・プログラムを参加させるためのセキュリティ・コードの記述方法 セキュリティ・データの取得 ATMIアプリケーションへの参加 クライアントのセキュリティ・データの転送 ATMIアプリケーションに参加する前のサービス・リクエストの呼出し データの整合性と機密性を保護するためのセキュリティ・コードの記述方法 公開鍵によるセキュリティのATMIインタフェース 公開鍵のセキュリティで推奨されている事項について 署名付きメッセージの送信と受信 署名付きメッセージを送信するためのコードの作成 ステップ1:デジタル署名用のキー・ハンドルをオープンする ステップ2 (オプション):キー・ハンドルの情報を取得する ステップ3 (オプション):キー・ハンドルの情報を変更する ステップ4:バッファを割り当ててメッセージを指定する ステップ5:デジタル署名を添付するバッファにマークを付ける ステップ6:メッセージを送信する ステップ7:署名者のキー・ハンドルをクローズする デジタル署名の生成方法 署名付きメッセージの受信方法 デジタル署名を検証する 入力バッファの署名を検証および送信する 出力バッファの署名を置換する 暗号化されたメッセージの送信と受信 暗号化されたメッセージを送信するためのコードの作成 ステップ1:暗号化用のキー・ハンドルをオープンする ステップ2 (オプション):キー・ハンドルの情報を取得する ステップ3 (オプション):キー・ハンドルの情報を変更する ステップ4:バッファを割り当ててメッセージを指定する ステップ5:暗号化するバッファにマークを付ける ステップ6:メッセージを送信する ステップ7:暗号化キー・ハンドルをクローズする メッセージ・バッファの暗号化方法 暗号化されたメッセージを受信するためのコードの記述 ステップ1:復号化用のキー・ハンドルをオープンする ステップ2 (オプション):キー・ハンドルの情報を取得する ステップ3 (オプション):キー・ハンドルの情報を変更する ステップ4:復号化キー・ハンドルをクローズする メッセージ・バッファの復号化方法 デジタル署名および暗号化情報の調査 発信元プロセスがtpenvelopeを呼び出したときの動作 受信側のプロセスがtpenvelopeを呼び出したときの動作 コンポジット署名ステータスの理解 tpenvelopeのサンプル・コード 型付きメッセージ・バッファの外部化 外部化された表現の作成方法 外部化された表現の変換方法 tpexportおよびtpimportのサンプル・コード シングル・ポイント・セキュリティ管理の実装 シングル・ポイント・セキュリティ管理とは シングル・ポイント・セキュリティ管理のタスク LAUTHSVRの認証サーバーとしての設定 LAUTHSVRコマンド行インタフェース LAUTHSVR構成ファイルの設定 LAUTHSVR構成ファイルの構文要件 LAUTHSVR構成ファイルのキーワード LAUTHSVR構成ファイルのサンプル LAUTHSVRを使用したUBBCONFIGのサンプル 複数のネットワーク・アドレスの使用による可用性の向上 複数ネットワーク・アドレスのLAUTHSVR構成の例 データベース検索順序の構成 tpmigldapによるユーザー情報のWebLogic Serverへの移行 tpusrファイルの新しいパスワードの割当て tpmigldapコマンド行オプション 新しいTuxedoユーザー情報の追加 新しいユーザー情報のtpusrまたはtpgrpへの追加 WebLogic管理コンソールによる新しいユーザー情報の追加 GAUTHSVRの認証サーバーとしての設定 GAUTHSVRコマンド行インタフェース GAUTHSVR構成ファイルの設定 GAUTHSVR構成ファイルの構文要件 GAUTHSVR構成ファイルのキーワード GAUTHSVR構成ファイルのサンプル GAUTHSVRを使用したUBBCONFIGのサンプル tpmigldifを使用したユーザー・インタフェースの移行 tpmigldifコマンド行オプションを使用する tpusrおよびtpgrpファイル形式 移行テンプレートを作成する サポートされるLDAPサーバーのサンプル・テンプレート OAUTHSVRの認証サーバーとしての設定 OAUTHSVR構成ファイルの設定 OAUTHSVR構成ファイルの構文要件 OAUTHSVR構成ファイルのキーワード OAMアクセス・クライアント構成(OAM_CONFIG_DIR) 例 /Tドメイン・サポート Oracle SALTサポート WTCサポート Oracle JCAサポート Oracle Platform Security Services (OPSS)との監査の統合 概要 コンポーネントおよびデプロイメント 監査フロー 構成 Oracle TuxedoレジストリへのOPSS監査プラグインの登録 Oracle TuxedoレジストリへのOPSS監査プラグインの登録 Oracle TuxedoレジストリからのOPSS監査プラグインの登録解除 Oracle Tuxedo監査フレームワークの構成 Oracle Tuxedo OPSS監査モジュールの構成 Oracle Tuxedo Javaサーバー(TMJAVASVR)の構成 Oracle Tuxedo OPSS監査モジュールの構成 OPSS構成ファイルの構成 jps-config.xml java.policy component_events.xml (静的)およびaudit-store.xml (動的) system-jazn-data.xml OPSS監査バスストップの構成 管理 監査ポリシーの変更
Copyright ©1994, 2017,Oracle and/or its affiliates. All rights reserved