16 厳密認証の管理ツール
ネイティブ・ネットワーク暗号化および公開キー・インフラストラクチャ資格証明には、厳密認証の一連の管理ツールを使用できます。
- 構成ツールと管理ツールについて
構成ツールと管理ツールで、Oracle Net Servicesの暗号化、整合性(チェックサム)および厳密認証方式を管理します。 - ネイティブ・ネットワーク暗号化ツールと厳密認証構成ツール
Oracle Net Servicesで、標準の暗号化アルゴリズムを使用してデータを暗号化し、Kerberos、RADIUS、SSLなどの厳密認証方式を構成できます。 - 公開キー・インフラストラクチャ資格証明管理ツール
公開キー・インフラストラクチャ(PKI)によって提供されるセキュリティは、PKI資格証明をどの程度効果的に格納、管理および検証しているかに依存します。 - 厳密認証管理者の義務
セキュリティ管理者のほとんどのタスクでは、Oracleデータベースとの間の接続を保護する必要があります。
親トピック: 厳密認証の管理
16.1 構成ツールと管理ツールについて
構成ツールと管理ツールで、Oracle Net Servicesの暗号化、整合性(チェックサム)および厳密認証方式を管理します。
厳密認証方式の構成には、KerberosやRADIUSなどのサード・パーティ・ソフトウェアを含めることができ、Secure Sockets Layer (SSL)でデジタル証明書を使用するための公開キー・インフラストラクチャの構成や管理が必要になることがあります。
親トピック: 厳密認証の管理ツール
16.2 ネイティブ・ネットワーク暗号化ツールと厳密認証構成ツール
Oracle Net Servicesで、標準の暗号化アルゴリズムを使用してデータを暗号化し、Kerberos、RADIUS、SSLなどの厳密認証方式を構成できます。
- Oracle Net Managerについて
Oracle Net Managerで、Oracle Net Servicesをローカル・クライアントやサーバー・ホスト上のOracleホーム向けに構成します。 - Kerberosアダプタ・コマンドライン・ユーティリティ
Kerberosアダプタは、Kerberos資格証明を取得、キャッシュ、表示および削除するコマンドライン・ユーティリティを提供します。
親トピック: 厳密認証の管理ツール
16.2.1 Oracle Net Managerについて
Oracle Net Managerで、Oracle Net Servicesをローカル・クライアントやサーバー・ホスト上のOracleホーム向けに構成します。
グラフィカル・ユーザー・インタフェース・ツールであるOracle Net Managerを使用して、ネーミング、リスナー、一般的なネットワーク設定などのOracle Net Servicesを構成できますが、Oracle Netプロトコルを使用する次の機能を構成することもできます。
-
厳密認証(Kerberos、RADIUSおよびSecure Sockets Layer)
-
ネイティブ・ネットワーク暗号化(RC4、DES、3DESおよびAES)
-
データ整合性のためのチェックサム(MD5、SHA-1、SHA-2)
ノート:
このリリースでは、DES、3DES112、3DES168、MD5およびRC4アルゴリズムは非推奨です。より強力なアルゴリズムを使用するようにOracle Database環境を移行するには、My Oracle Supportノート2118136.2で説明されているパッチをダウンロードしてインストールします。
親トピック: ネイティブ・ネットワーク暗号化ツールと厳密認証構成ツール
16.2.2 Kerberosアダプタ・コマンドライン・ユーティリティ
Kerberosアダプタは、Kerberos資格証明を取得、キャッシュ、表示および削除するコマンドライン・ユーティリティを提供します。
次の表では、これらのユーティリティについて簡単に説明しています。
表16-1 Kerberosアダプタ・コマンドライン・ユーティリティ
ユーティリティ名 | 説明 |
---|---|
|
Key Distribution Center (KDC) からKerberosチケットを取得し、それをユーザーの資格証明キャッシュに格納します。 |
|
指定された資格証明キャッシュ内のKerberosチケットのリストを表示します。 |
|
指定された資格証明キャッシュからKerberos資格証明を削除します。 |
|
KDCまたはサービス・エンドポイントから、キー表の作成を自動化します。 |
ノート:
Cybersafeアダプタは、このリリースからサポートされなくなりました。かわりに、OracleのKerberosアダプタを使用する必要があります。Kerberosアダプタを使用する場合は、Cybersafe KDC (Trust Broker)によるKerberos認証が引き続きサポートされます。
関連トピック
親トピック: ネイティブ・ネットワーク暗号化ツールと厳密認証構成ツール
16.3 公開キー・インフラストラクチャ資格証明管理ツール
公開キー・インフラストラクチャ(PKI)によって提供されるセキュリティは、PKI資格証明をどの程度効果的に格納、管理および検証しているかに依存します。
- Oracle Wallet Managerについて
ウォレットの所有者とセキュリティ管理者はOracle Wallet Managerを使用して、Oracleウォレット内のセキュリティ資格証明を管理および編集します。 - orapkiユーティリティについて
orapki
ユーティリティで、証明書失効リスト(CRL)の管理、Oracleウォレットの作成と管理、および署名付き証明書の作成を行います。
親トピック: 厳密認証の管理ツール
16.3.1 Oracle Wallet Managerについて
ウォレットの所有者とセキュリティ管理者はOracle Wallet Managerを使用して、Oracleウォレット内のセキュリティ資格証明を管理および編集します。
ウォレットはパスワードで保護されたコンテナで、認証情報や、SSLに必要な秘密キー、証明書および信頼できる証明書を含む署名証明書が格納されます。Oracle Wallet Managerを使用して次のタスクを実行できます。
-
公開キーと秘密キーのペアの生成
-
ユーザー資格証明書の格納および管理
-
証明書リクエストの生成
-
ウォレットのLDAPディレクトリへのアップロードおよびLDAPディレクトリからのダウンロード
-
ハードウェア・セキュリティ・モジュールの資格証明書を格納するウォレットの作成
ノート:
Oracle Databaseの以前のリリースでは、Oracle Wallet Managerを使用して、透過的データ暗号化のウォレットを構成できます。このリリースでは、かわりにADMINISTER KEY MANAGEMENT SQL
文を使用できます。詳細は、『Oracle Database Advanced Securityガイド』を参照してください。
親トピック: 公開キー・インフラストラクチャ資格証明管理ツール
16.3.2 orapkiユーティリティについて
orapki
ユーティリティで、証明書失効リスト(CRL)の管理、Oracleウォレットの作成と管理、および署名付き証明書の作成を行います。
このコマンドライン・ユーティリティの基本構文は次のとおりです。
orapki module command -option_1 argument ... -option_n argument
たとえば、次のコマンドを実行すると、machine1.us.example.com
にインストールされ、ポート389を使用するOracle Internet DirectoryのインスタンスのCRLサブツリーにあるすべてのCRLがリストされます。
orapki crl list -ldap machine1.us.example.com:389
ノート:
透過的データ暗号化を構成するorapki
の使用は非推奨です。かわりに、ADMINISTER KEY MANAGEMENT
SQL文を使用します。
関連項目:
-
orapki
を使用してディレクトリ内のCRLを管理する方法の詳細は、証明書失効リストの管理を参照してください -
使用可能なすべての
orapki
コマンドのリファレンス情報は、orapkiユーティリティを使用したPKI要素の管理を参照してください -
ADMINISTER KEY MANAGEMENT
SQL文の使用方法の詳細は、『Oracle Database Advanced Securityガイド』を参照してください。
親トピック: 公開キー・インフラストラクチャ資格証明管理ツール
16.4 厳密認証管理者の義務
セキュリティ管理者のほとんどのタスクでは、Oracleデータベースとの間の接続を保護する必要があります。
次の表に、厳密認証、タスクの実行に使用するツール、およびタスクのドキュメントの場所へのリンクに対して責任を負うセキュリティ管理者の主要なタスクを示します。
表16-2 セキュリティ管理者/DBAの一般的な構成および管理タスク
タスク | 使用するツール | 関連項目 |
---|---|---|
データベース・サーバーとクライアント間の暗号化されたOracle Net接続を構成します。 |
Oracle Net Manager |
|
データベース・サーバーとクライアント間のOracle Net接続のチェックサムを構成します。 |
Oracle Net Manager |
|
RADIUS認証を受け入れるようにデータベース・クライアントを構成します。 |
Oracle Net Manager |
|
RADIUS認証を受け入れるようにデータベースを構成します。 |
Oracle Net Manager |
|
RADIUSユーザーを作成し、データベース・セッションへのアクセス権を付与します。 |
SQL*Plus |
|
データベース・クライアントとサーバーにKerberos認証を構成します。 |
Oracle Net Manager |
|
Kerberosデータベース・ユーザーを作成します。 |
|
|
資格証明キャッシュ内のKerberos資格証明を管理します。 |
|
|
データベース・クライアントまたはサーバーのウォレットを作成します。 |
Oracle Wallet Manager |
|
認証局(CA)にSSL認証用のユーザー証明書をリクエストします。 |
Oracle Wallet Manager |
|
ユーザー証明書とそれに関連する信頼できる証明書(CA証明書)をウォレットにインポートします。 |
Oracle Wallet Manager |
|
データベース・クライアントのSSL接続を構成します。 |
Oracle Net Manager |
|
データベース・サーバーのSSL接続を構成します。 |
Oracle Net Manager |
|
証明書失効リスト(CRL)を使用した証明書の検証を有効化します。 |
Oracle Net Manager |
親トピック: 厳密認証の管理ツール