Oracleディレクトリ・オブジェクト用のアクセス制御リスト管理の概要
Active Directory内のOracleディレクトリ・オブジェクトに固有のセキュリティ・グループを特定し、セキュリティ・グループのメンバーを追加および削除する方法について説明します。
- セキュリティ・グループの概要
セキュリティ・グループは、OracleコンテキストがActive Directoryに作成される際に自動的に作成されます。 - ネット・サービス・エントリのACLの設定
ディレクトリ・オブジェクトにACLを設定するには、MicrosoftのDsacls.exe
ツールを使用します。 - セキュリティ・グループ・メンバーの追加および削除
「Active Directoryユーザーとコンピュータ」を使用してセキュリティ・グループに対してユーザーの追加および削除を行う方法について説明します。
セキュリティ・グループの概要
セキュリティ・グループは、OracleコンテキストがActive Directoryに作成される際に自動的に作成されます。
アクセスを構成する(およびそれによりOracleコンテキストを作成する)ユーザーは各グループに自動的に追加されます。
- OracleDBCreatorsについて
OracleDBCreators
グループは、Oracle Databaseサーバーを登録するユーザー用のグループです。 - OracleNetAdminsについて
このグループのユーザーが実行できる様々なタスクについて説明します。 - Oracle Net Servicesオブジェクトについて
Oracle Database Client 11g以降のディレクトリ・クライアントは、オプションで、DB名を接続文字列に解決すると同時にディレクトリで認証を行うよう構成できます。
OracleDBCreatorsについて
OracleDBCreators
グループは、Oracle Databaseサーバーを登録するユーザー用のグループです。
ドメイン管理者は、自動的にこのグループのメンバーになります。このグループに属すユーザーは、次のことが実行できます。
-
Oracleコンテキストでの新しいOracle Databaseオブジェクトの作成。
-
自分が作成したOracle Databaseオブジェクトの変更。
-
このグループのメンバーシップの読取り(ただし変更はできません)。
親トピック: セキュリティ・グループの概要
OracleNetAdminsについて
このグループのユーザーが実行できる様々なタスクについて説明します。
OracleNetAdmins
グループに属すユーザーは、次のことが実行できます。
-
Oracle Net Servicesオブジェクトと属性の作成、変更および読取り。
-
このグループのグループ・メンバーシップの読取り。
親トピック: セキュリティ・グループの概要
Oracle Net Servicesオブジェクトについて
Oracle Database Client 11g以降のディレクトリ・クライアントは、オプションで、DB名を接続文字列に解決すると同時にディレクトリで認証を行うよう構成できます。
これにより、ACLを使用してOracle Net Servicesオブジェクトを保護することが可能になります。
ディレクトリ内でのユーザーの識別情報を定義する方法と、そのユーザーまたはそのユーザーの所属グループを一部またはすべてのNet Servicesにアクセスできるようにする方法は多くあります。Oracle Databaseは事前定義済のグループを提供しておらず、このデータへの読取りアクセスの制限を定義するための方法は構成ツールにありません。このため、管理者は使用しているディレクトリ・システムの標準のオブジェクト管理ツールを使用して、必要なグループおよびACLを手動で作成する必要があります。既存の識別情報の構造は、ネット・サービスのACLと考えることもできます。
オブジェクトのアクセス定義は複雑であり、DIT (ディレクトリ情報ツリー)の親ノードから継承されるセキュリティ・プロパティに影響する場合があります。
管理者が、使用しているディレクトリ・システムの関連するツールおよびマニュアルを参照し、Oracle Net Servicesオブジェクトのアクセス管理の構成、またはディレクトリ全体のポリシーやセキュリティ実装との統合を行うことをお薦めします。
注意:
11gよりも前のクライアントは匿名としてのみディレクトリにバインド可能であるため、Net ServicesにACLの保護をかけようとすると、旧バージョンのクライアントが無効になります。アクセス制御を実装できるのは、各オブジェクトに対するアクセスを必要とするすべてのクライアントが11g以上である場合のみです。
親トピック: セキュリティ・グループの概要
ネット・サービス・エントリのACLの設定
ディレクトリ・オブジェクトにACLを設定するには、MicrosoftのDsacls.exe
ツールを使用します。
dsacls.exe
コマンドライン・ツールにより、Active Directoryに含まれるオブジェクトのアクセス制御リスト(ACL)の権限(アクセス制御エントリ)を表示および変更できます。このコマンドライン・ツールは、CD-ROMのサポート・ツールに含まれます。
次に例を示します。
orcl
サービスに対する一般的な匿名読取りを有効化するには、次のコマンドを実行します。
dsacls
"CN=orcl,CN=OracleContext,OU=Example,O=Com" /G "anonymous logon":GR
EXAMPLEドメインのsmith
ユーザーのorcl
サービスに対する一般的な読取りを有効化するには、次のコマンドを実行します。
dsacls
"CN=orcl,CN=OracleContext,OU=Example,O=Com" /G example\smith:GR
orcl
サービスに対する一般的な匿名読取りを無効化するには、次のコマンドを実行します。
dsacls
"CN=orcl,CN=OracleContext,OU=Example,O=Com" /R "anonymous logon"
EXAMPLEドメインのsmith
ユーザーのorcl
サービスに対する一般的な読取りを無効化するには、次のコマンドを実行します。
dsacls
"CN=orcl,CN=OracleContext,OU=Example,O=com" /R example\smith
関連項目:
Dsacls.exe
ツールの詳細は、http://support.microsoft.com/kb/281146
を参照してください。