1. エンタープライズ・ユーザー・セキュリティ管理者ガイド
  2. エンタープライズ・ユーザー・セキュリティとMicrosoft Active Directoryの統合

C エンタープライズ・ユーザー・セキュリティとMicrosoft Active Directoryの統合

エンタープライズ・ユーザーは、Oracle Identity Managementインフラストラクチャの一部であるOracle Internet Directoryも利用できます。所属している組織がActive Directoryなどのサード・パーティのディレクトリを使用してユーザー・エントリを格納および管理している場合は、サード・パーティのディレクトリとOracle Internet Directoryを統合してエンタープライズ・ユーザー・セキュリティを管理できます。

エンタープライズ・ユーザーのKerberos認証では、Microsoft Active Directory上で動作するKerberos Key Distribution Center(KDC)が発行するチケットを利用できます。

この付録では、Kerberos認証を使用したエンタープライズ・ユーザー・セキュリティとMicrosoft Active Directoryの統合手順を示します。次の項が含まれます:

トピック:

C.1 Active DirectoryとOracle Internet Directoryの同期化の設定

Oracleコンポーネントは、Oracle Internet Directoryを利用してセキュリティを一元管理します。組織によっては、Microsoft Active Directoryを使用するMicrosoft Windowsドメインを設定してセキュリティを一元管理している場合があります。エンタープライズ・ユーザー・セキュリティとMicrosoft Active Directoryを併用できるように構成するには、Oracle Internet DirectoryとMicrosoft Active Directory間の同期を設定する必要があります。

2つのディレクトリを同期するには、同期プロファイルを使用します。このプロファイルには、2つのディレクトリの同期に必要な構成情報が含まれています。構成情報には、同期の方向、マッピング・ルールと書式、Microsoft Windowsドメインの接続の詳細などがあります。マッピング・ルールには、一方のディレクトリのドメインと属性を他方のディレクトリにマップするためのドメイン・ルールと属性ルールがあり、オプションで属性の書式設定があります。

関連項目:

Oracle Internet DirectoryとMicrosoft Active Directoryの統合手順は、『Oracle Identity Management統合ガイド』を参照してください。

C.2 Oracleクライアントと相互運用するためのActive Directoryの設定

Windows ドメイン・コントローラで、次のタスクを実行する必要があります。

  1. Microsoft Active DirectoryでOracle Databaseプリンシパルを作成します。

    これにより、Microsoft Active Directoryにデータベースの新しいユーザーが作成されます。

  2. okcreateコマンドライン・ユーティリティを使用して、サービス・プリンシパルkeytabファイルの作成を自動化します。

    Oracle Database 12c リリース2 (12.2)以降では、okcreateユーティリティに、Key Distribution Center (KDC)でのサービス・プリンシパルkeytabの作成を自動化し、設定に必要なすべてのサービスkeytabを作成する機能が用意されています。Active DirectoryをKDCとして使用するには、keytabファイルが必要です。Oracleクライアントでは、SQLNET.KERBEROS5_CONFで指定された場所にkeytabファイルがない場合、汎用のkrb5.confファイルが使用されます。この場合、DNSからレルムとKDC設定が検出されます。このユーティリティはkeytabに関する入力を取得し、keytabを作成し、指定された場所に出力します。取得される入力はサービス名(デフォルトはoracle)と、データベース・サーバーがインストールされるホスト名のリストです。

関連項目:

この手順の詳細は、『Oracle Databaseセキュリティ・ガイド』を参照してください。

C.3 Microsoft Active Directoryと相互運用するためのOracle Databaseの設定

Oracle Databaseがインストールされているホスト・コンピュータで、次のタスクを実行する必要があります。

  • Kerberosパラメータを使用してデータベースのsqlnet.oraファイルを更新します。

関連項目:

この手順の詳細は、『Oracle Databaseセキュリティ・ガイド』を参照してください。

C.4 Microsoft Active Directoryと相互運用するためのOracle Databaseクライアントの設定

Oracle Kerberosクライアントで、次の手順を実行する必要があります。

  1. Kerberosクライアント構成ファイルを作成します。

    クライアントのkerberos構成ファイルはkerberos KDCとしてMicrosoft Active Directoryを参照します。

  2. クライアントのsqlnet.oraファイルにKerberosパラメータを指定します。

    手動でファイルを更新することも、Oracle Net Managerユーティリティを使用することもできます。

関連項目:

この手順の詳細は、『Oracle Databaseセキュリティ・ガイド』を参照してください。

C.5 クライアントの初期チケットの取得

クライアントがデータベースに接続するには、初期チケットをリクエストする必要があります。初期チケットにより、その他のサービス・チケットを要求する権限を持つクライアントとして識別されます。初期チケットは、okinitコマンドを使用してリクエストします。

関連項目:

okinitを使用した初期チケットのリクエストの詳細は、『Oracle Databaseセキュリティ・ガイド』を参照してください。

C.6 Kerberos認証を使用するエンタープライズ・ユーザー・セキュリティの構成

Kerberos認証を使用するエンタープライズ・ユーザー・セキュリティを構成するには、次の手順に従います。

  1. Oracle Internet Directoryにデータベースを登録します。

    データベースの登録には、Database Configuration Assistantを使用できます。

  2. データベースおよびOracle Internet Directoryでエンタープライズ・ユーザー・セキュリティ・オブジェクトを構成します。

    データベースでグローバル・スキーマとグローバル・ロールを作成します。また、エンタープライズ・ドメインでエンタープライズ・ロールを作成します。エンタープライズ・ドメインのユーザー・スキーマ・マッピングを構成して、グローバル・データベース・ロールをエンタープライズ・ロールに追加し、データベースにアクセスするエンタープライズ・ユーザーにエンタープライズ・ロールを付与します。

  3. Kerberos認証を受け入れるようにエンタープライズ・ドメインを構成します。

    Oracle Enterprise Managerを使用して、エンタープライズ・ドメインに対するKerberos認証を有効にします。

  4. Kerberos認証エンタープライズ・ユーザーとして接続します。

    SQL*Plusを起動し、connect /@net_service_nameコマンドを使用してKerberos認証エンタープライズ・ユーザーとして接続します。

関連項目:

この手順の詳細は、「Kerberos認証を使用するエンタープライズ・ユーザー・セキュリティの構成」を参照してください。