5 sqlnet.oraファイルのパラメータ

この章では、sqlnet.oraファイルの構成パラメータの完全なリストを提供します。この章の内容は次のとおりです。

• プロファイル構成ファイルの概要

• プロファイル・パラメータ(sqlnet.ora)

• sqlnet.oraファイルのADR診断パラメータ

• sqlnet.oraファイルのADR以外の診断パラメータ

5.1 プロファイル構成ファイルの概要

sqlnet.oraファイルはプロファイル構成ファイルです。これはクライアント・マシンおよびデータベース・サーバー上に存在します。プロファイルは、このファイルを使用して保存および実装されます。データベース・サーバーは、sqlnet.oraファイルのアクセス制御パラメータで構成できます。これらのパラメータは、プロトコルに基づいて、クライアントがアクセスを許可されるかまたは拒否されるかを指定します。

sqlnet.oraファイルでは次を実行できます。

• クライアントのドメインを指定して未修飾名に追加

• ネーミング・メソッドの優先順位

• ロギング機能およびトレース機能の有効化

• 特定のプロセスを通じてのルート接続

• 外部ネーミングのパラメータの構成

• Oracle Advanced Securityの構成

• プロトコル固有パラメータを使用したデータベースへのアクセスの制限

デフォルトで、sqlnet.oraファイルはORACLE_HOME/network/adminディレクトリに配置されます。sqlnet.oraファイルは、環境変数TNS_ADMINで指定されたディレクトリに配置される場合もあります。

ノート:

• sqlnet.oraファイル内の設定は、マルチテナント・コンテナ・データベース環境のすべてのプラガブル・データベース(PDB)に適用されます。

• Oracle Net Servicesでは、sqlnet.oraのIFILEパラメータを、3段階までのネスト・レベルでサポートします。パラメータは、手動でファイルに追加されます。この構文の例を次に示します。

  IFILE=/tmp/listener_em.ora
  IFILE=/tmp/listener_cust1.ora
  IFILE=/tmp/listener_cust2.ora 
  

  詳細は、『Oracle Databaseリファレンス』を参照してください。

• 読取り専用Oracleホーム・モードでは、sqlnet.oraファイルのデフォルトの場所は、ORACLE_BASE_HOME/network/adminです。

• 読取り専用のOracleホーム・モードでは、ORACLE_HOMEの場所にデフォルト設定されるパラメータがORACLE_BASE_HOMEの場所にデフォルト設定されるように変更されます。

5.2 プロファイル・パラメータ(sqlnet.ora)

この項では、次のsqlnet.oraファイルのパラメータをリストして説明します。

• ACCEPT_MD5_CERTS

• ACCEPT_SHA1_CERTS

• ADD_SSLV3_TO_DEFAULT

• BEQUEATH_DETACH

• EXADIRECT_FLOW_CONTROL

• EXADIRECT_RECVPOLL

• DEFAULT_SDU_SIZE

• DISABLE_OOB

• HTTPS_SSL_VERSION

• IPC.KEYPATH

• NAMES.DEFAULT_DOMAIN

• NAMES.DIRECTORY_PATH

• NAMES.LDAP_AUTHENTICATE_BIND

• NAMES.LDAP_CONN_TIMEOUT

• NAMES.LDAP_PERSISTENT_SESSION

• NAMES.NIS.META_MAP

• RECV_BUF_SIZE

• SDP.PF_INET_SDP

• SEC_USER_AUDIT_ACTION_BANNER。

• SEC_USER_UNAUTHORIZED_ACCESS_BANNER。

• SEND_BUF_SIZE

• SQLNET.ALLOW_WEAK_CRYPTO

• SQLNET.ALLOW_WEAK_CRYPTO_CLIENTS

• SQLNET.ALLOWED_LOGON_VERSION_CLIENT

• SQLNET.ALLOWED_LOGON_VERSION_SERVER

• SQLNET.AUTHENTICATION_SERVICES

• SQLNET.CLIENT_REGISTRATION

• SQLNET.COMPRESSION

• SQLNET.COMPRESSION_LEVELS

• SQLNET.COMPRESSION_THRESHOLD

• SQLNET.CRYPTO_CHECKSUM_CLIENT

• SQLNET.CRYPTO_CHECKSUM_SERVER

• SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT

• SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER

• SQLNET.DBFW_PUBLIC_KEY

• SQLNET.DOWN_HOSTS_TIMEOUT

• SQLNET.ENCRYPTION_SERVER

• SQLNET.ENCRYPTION_TYPES_CLIENT

• SQLNET.ENCRYPTION_TYPES_SERVER

• SQLNET.EXPIRE_TIME

• SQLNET.INBOUND_CONNECT_TIMEOUT

• SQLNET.KERBEROS5_CC_NAME

• SQLNET.KERBEROS5_CLOCKSKEW

• SQLNET.KERBEROS5_CONF

• SQLNET.KERBEROS5_CONF_LOCATION

• SQLNET.KERBEROS5_KEYTAB

• SQLNET.KERBEROS5_REALMS

• SQLNET.KERBEROS5_REPLAY_CACHE

• SQLNET.OUTBOUND_CONNECT_TIMEOUT

• SQLNET.RADIUS_ALTERNATE

• SQLNET.RADIUS_ALTERNATE_PORT

• SQLNET.RADIUS_ALTERNATE_RETRIES

• SQLNET.RADIUS_AUTHENTICATION

• SQLNET.RADIUS_AUTHENTICATION_INTERFACE

• SQLNET.RADIUS_AUTHENTICATION_PORT

• SQLNET.RADIUS_AUTHENTICATION_RETRIES

• SQLNET.RADIUS_AUTHENTICATION_TIMEOUT

• SQLNET.RADIUS_CHALLENGE_RESPONSE

• SQLNET.RADIUS_SECRET

• SQLNET.RADIUS_SEND_ACCOUNTING

• SQLNET.RECV_TIMEOUT

• SQLNET.SEND_TIMEOUT

• SQLNET.WALLET_OVERRIDE

• SSL_CERT_REVOCATION

• SSL_CERT_FILE

• SSL_CERT_PATH

• SSL_CIPHER_SUITES

• SSL_EXTENDED_KEY_USAGE

• SSL_SERVER_DN_MATCH

• SSL_VERSION

• TCP.CONNECT_TIMEOUT

• TCP.EXCLUDED_NODES

• TCP.INVITED_NODES

• TCP.NODELAY

• TCP.QUEUESIZE

• TCP.VALIDNODE_CHECKING

• TNSPING.TRACE_DIRECTORY

• TNSPING.TRACE_LEVEL

• USE_CMAN

• USE_DEDICATED_SERVER

• WALLET_LOCATION

5.2.1 ACCEPT_MD5_CERTS

用途

MD5署名付き証明書を受け入れるには、sqlnet.oraに加えて、このパラメータもlistener.oraに設定する必要があります。

デフォルト

FALSE

値

• TRUE MD5署名付き証明書を受け入れる場合

• FALSE MD5署名付き証明書を受け入れない場合

5.2.2 ACCEPT_SHA1_CERTS

用途

SHA1署名付き証明書を受け入れないようにするには、sqlnet.oraに加えて、このパラメータもlistener.oraに設定する必要があります。

デフォルト

TRUE

値

• TRUE SHA1署名付き証明書を受け入れる場合

• FALSE SHA1署名付き証明書を受け入れない場合

5.2.3 ADD_SSLV3_TO_DEFAULT

用途

SSL_VERSIONのデフォルト・リストでサーバーがSSL_VERSION=3.0を受け入れる場合、sqlnet.oraに加え、このパラメータもlistener.oraに設定する必要があります。

デフォルト

FALSE

値

• TRUEに設定され、SSL_VERSIONが指定されていない、または「不明」に設定されている場合、SSL_VERSIONには1.2、1.1、1.0および3.0のバージョンが含まれます。

• FALSEに設定され、SSL_VERSIONが指定されていない、または「不明」に設定されている場合、SSL_VERSIONには1.2、1.1および1.0のバージョンが含まれます。

5.2.4 BEQUEATH_DETACH

用途

LinuxおよびUNIXシステムのシグナル処理をオンまたはオフに切り替えます。

デフォルト

no

値

• yes: シグナル処理をオフに切り替えます。

• no: シグナル処理をオン状態にします。

例

BEQUEATH_DETACH=yes

5.2.5 EXADIRECT_FLOW_CONTROL

用途

Exadirectフロー制御を有効または無効にします。

使用上のノート

このパラメータをオンにすると、Oracle Netが使用可能な受信ウィンドウを送信側にブロードキャストできるようになります。送信側は受信側のブロードキャスト・ウィンドウに基づいて送信を制限します。

デフォルト

off

例

EXADIRECT_FLOW_CONTROL=on

5.2.6 EXADIRECT_RECVPOLL

用途

受信側が受信データをポーリングする時間を指定します。

使用上のノート

パラメータは、固定値またはポーリング値を自動でチューニングするにはAUTOに設定します。

デフォルト

0

例

EXADIRECT_RECVPOLL = 10

EXADIRECT_RECVPOLL = AUTO

5.2.7 DEFAULT_SDU_SIZE

用途

各接続に使用されるセッション・データ・ユニット(SDU)サイズをバイト数で指定します。

使用上のノート

接続全体を通して同じSDUサイズが使用されるように、このパラメータはクライアント側とサーバー側の両方のsqlnet.oraファイルに設定することをお薦めします。各セッションのクライアントとデータベース・サーバーの構成値が一致しない場合、2つの値の低いほうが使用されます。

特定のクライアント接続に対してこのパラメータを上書きするには、クライアントの接続記述子にSDUパラメータを指定します。

関連項目:

SDUの使用方法と構成情報の詳細は、『Oracle Database Net Services管理者ガイド』を参照してください。

デフォルト

8192バイト(8KB)

値

512から2097152バイト

例

DEFAULT_SDU_SIZE=4096

5.2.8 DISABLE_OOB

用途

下層プロトコルから渡された緊急データを使用した、アウト・オブ・バンド・ブレーク・メッセージの送受信をOracle Netで有効または無効にします。

使用上のノート

offに設定した場合、Oracle Netでブレーク・メッセージの送受信が可能になります。onに設定した場合、ブレーク・メッセージの送受信ができなくなります。これは、一度使用可能にすると、このクライアントが使用するすべてのプロトコルに適用されます。

デフォルト

off

例

DISABLE_OOB=on

関連項目:

使用しているプロトコルが緊急データ・リクエストをサポートするかどうかを判断するには、オペレーティング・システム固有のドキュメントを参照してください。TCP/IPは、この機能をサポートするプロトコルの一例です。

5.2.9 HTTPS_SSL_VERSION

用途

XDB HTTPS接続で個別に使用されるSecure Sockets Layer (SSL)バージョンを制御します。

使用上のノート

特にSSL_VERSIONパラメータは、HTTPSで使用されるSSLバージョンを制御しなくなりました。このパラメータは、有効な任意のSSL_VERSIONの値に設定できます。

デフォルト

1.1または1.2で、TLSv1.1またはTLSv1.2を意味します。

値

有効な任意のSSL_VERSIONの値

5.2.10 IPC.KEYPATH

用途

UNIXドメイン・ソケット用の内部ファイルが作成される宛先ディレクトリを指定します。

使用上のノート

このパラメータは、UNIXドメイン・ソケットのOracle Netの使用にのみ適用され、クラスタウェアなどのデータベース内の他のUNIXドメイン・ソケットの使用には適用されません。 keypathを使用する場合、クライアント側およびリスナー側の両方で、バージョン18以上の同じ値を使用してください。

デフォルト

ディレクトリ・パスは、Oracle Linux、Oracle Solarisの場合は/var/tmp/.oracle、他のUNIX変数の場合/tmp/.oracleです。

例

ipc.keypath=/home/oracleuser。

5.2.11 NAMES.DEFAULT_DOMAIN

用途

クライアントが最も頻繁に名前解決リクエストを参照するドメインを設定します。

使用上のノート

このパラメータが設定されると、デフォルトのドメイン名が未修飾のネット・サービス名またはサービス名に自動的に追加されます。

たとえば、デフォルト・ドメインがus.example.comに設定されている場合、接続文字列CONNECT scott@salesは、sales.us.example.comとして検索されます。接続文字列にCONNECT scott@sales.us.example.comなどのドメイン拡張が含まれている場合、そのドメインは接続文字列に追加されません。

デフォルト

なし

例

NAMES.DEFAULT_DOMAIN=example.com

5.2.12 NAMES.DIRECTORY_PATH

用途

クライアントの名前解決参照に使用するネーミング・メソッドの順序を指定します。

デフォルト

NAMES.DIRECTORY_PATH=(tnsnames, ldap, ezconnect)

値

次の表は、ネーミング・メソッドのNAMES.DIRECTORY_PATH値を示しています。

ネーミング・メソッドの値	説明
tnsnames(ローカル・ネーミング・メソッド)	クライアント上のtnsnames.oraファイルによりネットワーク・サービス名を解決する場合に設定します。
ldap(ディレクトリ・ネーミング・メソッド)	データベース・サービス名、ネット・サービス名またはネットワーク・サービス別名をディレクトリ・サーバーにより解決する場合に設定します。
ezconnectまたはhostname (簡易接続ネーミング・メソッド)	ホスト名、オプションのポートおよびサービス名で構成されるTCP/IP接続識別子をクライアントで使用できるようにする場合に選択します。
nis (外部ネーミング・メソッド)	既存のNetwork Information Service (NIS)でサービス情報を解決する場合に設定します。

例

NAMES.DIRECTORY_PATH=(tnsnames)

5.2.13 NAMES.LDAP_AUTHENTICATE_BIND

用途

接続文字列内の名前を解決するためにLDAPディレクトリに接続したときに、LDAPネーミング・アダプタで、指定したウォレットを使用して認証を試行するかどうかを指定します。

使用上のノート

パラメータ値はブールです。

このパラメータをTRUEに設定した場合、LDAP接続はウォレットを使用して認証されます。このウォレットの位置はWALLET_LOCATION パラメータで指定されている必要があります。

パラメータをFALSEに設定した場合、LDAP接続は匿名バインドを使用して確立されます。

デフォルト

false

例

NAMES.LDAP_AUTHENTICATE_BIND=true

5.2.14 NAMES.LDAP_CONN_TIMEOUT

用途

LDAPサーバーへの非ブロック接続のタイムアウトの秒数を指定します。

使用上のノート

パラメータ値-1は無限のタイムアウトです。

デフォルト

15秒

値

値は秒単位です。範囲は、-1からご使用の環境で許容される秒数までです。上限値はありません。

例

names.ldap_conn_timeout = -1

5.2.15 NAMES.LDAP_PERSISTENT_SESSION

用途

名前参照の完了後もLDAPネーミング・アダプタによりLDAPサーバーのセッションをオープンのままにするかどうかを指定します。

使用上のノート

パラメータ値はブールです。

パラメータがTRUEに設定されている場合、LDAPサーバーへの接続は、名前検索後もオープンのままです。接続は、プロセスの継続期間中、事実上オープンのままになります。接続が失われた場合は、必要に応じて再確立されます。

パラメータをFALSEに設定した場合、LDAP接続は名前参照の完了後ただちに終了します。以降参照のたびに接続がオープンされ、参照を実行してからクローズされます。このオプションを使用することで、LDAPサーバーに多数のクライアントが一度に接続することを防ぐことができます。

デフォルト

false

例

NAMES.LDAP_PERSISTENT_SESSION=true

5.2.16 NAMES.NIS.META_MAP

用途

ネットワーク・インフォメーション・サービス(NIS)属性をNISマップ名にマップするために使用するmapファイルを指定します。

デフォルト

sqlnet.maps

例

NAMES.NIS.META_MAP=sqlnet.maps

5.2.17 RECV_BUF_SIZE

用途

セッションの受信操作に使用するバッファ領域の制限を指定します。

使用上のノート

特定のクライアント接続に対してこのパラメータを上書きするには、クライアントの接続記述子にRECV_BUF_SIZEパラメータを指定します。

このパラメータは、TCP/IP、SSL付きTCP/IP、SDPの各プロトコルでサポートされます。

ノート:

オペレーティング・システムによっては、他のプロトコルもこのパラメータをサポートしている場合があります。このパラメータをサポートしている他のプロトコルの詳細は、オペレーティング・システムのマニュアルを参照してください。

関連項目:

このパラメータの構成方法の詳細は、『Oracle Database Net Services管理者ガイド』を参照してください。

デフォルト

このパラメータのデフォルト値は、オペレーティング・システムによって異なります。Linux 2.6オペレーティング・システムのデフォルト値は87380バイトです。

例

RECV_BUF_SIZE=11784

5.2.18 SDP.PF_INET_SDP

用途

システム上のSDPプロトコルのプロトコル・ファミリ定数またはアドレス・ファミリ定数を指定します。

デフォルト

27

値

任意の正の整数

例

SDP.PF_INET_SDP=30

5.2.19 SEC_USER_AUDIT_ACTION_BANNER。

用途

可能なユーザー・アクション監査についてユーザーに警告するバナー・コンテンツを含むテキスト・ファイルを指定します。

使用上のノート

テキスト・ファイルの完全パスをサーバーのsqlnet.oraファイルで指定する必要があります。Oracle Call Interface(OCI)アプリケーションでは、OCI機能を使用してこのバナーを取得し、ユーザーに表示できるようにします。

デフォルト

なし

値

データベース所有者が読取り権限を持つファイルの名前

例

SEC_USER_AUDIT_ACTION_BANNER=/opt/oracle/admin/data/auditwarning.txt

5.2.20 SEC_USER_UNAUTHORIZED_ACCESS_BANNER。

用途

データベースへの不正アクセスについてユーザーに警告するバナー・コンテンツを含むテキスト・ファイルを指定します。

使用上のノート

テキスト・ファイルの完全パスをサーバーのsqlnet.oraファイルで指定する必要があります。OCIアプリケーションでは、OCI機能を使用してこのバナーを取得し、ユーザーに表示できるようにします。

デフォルト

なし

値

データベース所有者が読取り権限を持つファイルの名前

例

SEC_USER_UNAUTHORIZED_ACCESS_BANNER=/opt/oracle/admin/data/unauthwarning.txt

5.2.21 SEND_BUF_SIZE

用途

セッションの送信操作に使用するバッファ領域の制限を指定します。

使用上のノート

特定のクライアント接続に対してこのパラメータを上書きするには、クライアントの接続記述子にSEND_BUF_SIZEパラメータを指定します。

このパラメータは、TCP/IP、SSL付きTCP/IP、SDPの各プロトコルでサポートされます。

ノート:

オペレーティング・システムによっては、他のプロトコルもこのパラメータをサポートしている場合があります。このパラメータをサポートしている他のプロトコルの詳細は、オペレーティング・システムのマニュアルを参照してください。

関連項目:

このパラメータの構成方法の詳細は、『Oracle Database Net Services管理者ガイド』を参照してください。

デフォルト

このパラメータのデフォルト値は、オペレーティング・システムによって異なります。Linux 2.6オペレーティング・システムのデフォルト値は16KBです。

例

SEND_BUF_SIZE=11784

5.2.22 SQLNET.ALLOW_WEAK_CRYPTO

指定されている暗号化アルゴリズムおよび暗号チェックサム・アルゴリズムを確認することで、sqlnet.ora互換性パラメータSQLNET.ALLOW_WEAK_CRYPTOを使用してクライアント側のネットワーク接続を構成します。

用途

クライアントおよびサーバーで有効になっている暗号化アルゴリズムおよび暗号チェックサム・アルゴリズムを確認することで、クライアント側のネットワーク接続を構成します。これにより、接続で互換性の問題が発生せず、サポートされている強力なアルゴリズムが構成で使用されるようになります。

使用上のノート

• DES、DES40、3DES112、3DES168、RC4_40、RC4_56、RC4_128、RC4_256およびMD5アルゴリズムは、このリリースでは非推奨です。

  この非推奨化に伴い、ネットワーク暗号化および整合性の構成を確認して、非推奨になった脆弱なアルゴリズムのいずれかを使用するように指定されているかどうかを確認することをお薦めします。

  より強力なアルゴリズムを使用するようにOracle Database環境を移行するには、My Oracle Supportノート2118136.2で説明されているパッチをダウンロードしてインストールします。

• このパラメータをTRUEに設定すると、下位互換性のために、非推奨アルゴリズムを指定できます。この構成では、パッチ適用済のクライアントがパッチ未適用のサーバーに接続できますが、そのような接続は安全性が低くなります。

• このパラメータをFALSEに設定した場合は、クライアントとサーバーがすべてのパッチが適用された環境で通信できるように、サポートされているアルゴリズムのみを指定できます。サーバーは、すべてのKerberosおよびJDBCシン・クライアントに対してキー・フォールドインを強制します。この構成では、強力なネイティブ・ネットワーク暗号化および整合性の機能の使用によって、クライアントとサーバーとの接続が強化されます。

  この設定を使用した場合、ネイティブのネットワーク暗号化またはチェックサムが有効になっているときに、パッチ適用済のサーバーまたはクライアントがパッチ未適用の古いクライアントまたはサーバーと通信しようとすると、接続が失敗し、エラー・メッセージが表示されます。

値

• TRUE
• FALSE

デフォルト値

TRUE

推奨値

FALSE

ノート:

このパラメータをFALSEに設定する前に、サーバーおよびクライアントのsqlnet.oraファイルにリストされているすべての非推奨アルゴリズムを削除する必要があります。

例

SQLNET.ALLOW_WEAK_CRYPTO = FALSE

5.2.23 SQLNET.ALLOW_WEAK_CRYPTO_CLIENTS

指定されている暗号化アルゴリズムおよび暗号チェックサム・アルゴリズムを確認することで、sqlnet.ora互換性パラメータSQLNET.ALLOW_WEAK_CRYPTO_CLIENTSを使用してサーバー側のネットワーク接続を構成します。

用途

クライアントおよびサーバーで有効になっている暗号化アルゴリズムおよび暗号チェックサム・アルゴリズムを確認することで、サーバー側のネットワーク接続を構成します。これにより、接続で互換性の問題が発生せず、サポートされている強力なアルゴリズムが構成で使用されるようになります。

使用上のノート

• DES、DES40、3DES112、3DES168、RC4_40、RC4_56、RC4_128、RC4_256およびMD5アルゴリズムは、このリリースでは非推奨です。

  この非推奨化に伴い、ネットワーク暗号化および整合性の構成を確認して、非推奨になった脆弱なアルゴリズムのいずれかを使用するように指定されているかどうかを確認することをお薦めします。

  より強力なアルゴリズムを使用するようにOracle Database環境を移行するには、My Oracle Supportノート2118136.2で説明されているパッチをダウンロードしてインストールします。

• このパラメータをTRUEに設定すると、下位互換性のために、非推奨アルゴリズムを指定できます。この構成では、パッチ適用済のサーバーがパッチ未適用のクライアントに接続できますが、そのような接続は安全性が低くなります。

• このパラメータをFALSEに設定した場合は、クライアントとサーバーがすべてのパッチが適用された環境で通信できるように、サポートされているアルゴリズムのみを指定できます。サーバーは、すべてのKerberosおよびJDBCシン・クライアントに対してキー・フォールドインを強制します。この構成では、強力なネイティブ・ネットワーク暗号化および整合性の機能の使用によって、クライアントとサーバーとの接続が強化されます。

  この設定を使用した場合、ネイティブのネットワーク暗号化またはチェックサムが有効になっているときに、パッチ適用済のサーバーまたはクライアントがパッチ未適用の古いクライアントまたはサーバーと通信しようとすると、接続が失敗し、エラー・メッセージが表示されます。

値

• TRUE
• FALSE

デフォルト値

TRUE

推奨値

FALSE

ノート:

このパラメータをFALSEに設定する前に、サーバーおよびクライアントのsqlnet.oraファイルにリストされているすべての非推奨アルゴリズムを削除する必要があります。

例

SQLNET.ALLOW_WEAK_CRYPTO_CLIENTS = FALSE

5.2.24 SQLNET.ALLOWED_LOGON_VERSION_CLIENT

用途

Oracle Databaseインスタンスへの接続時に、サーバーがクライアントの役割を果している場合(データベース・リンクでの接続など)に、クライアントに認められる最低限の認証プロトコルを設定します。

使用上のノート

パラメータ名のVERSIONは、Oracle Databaseのリリースではなく、認証プロトコルのバージョンを指します。

バージョンがこのパラメータで定義された値以上でない場合、認証は「ORA-28040: 一致する認証プロトコルがありません」エラーが発生して失敗します。

関連項目:

『Oracle Databaseセキュリティ・ガイド』

値

• 12a: Oracle Database 12cリリース1 (12.1.0.2)以降(最も強力な保護)

  ノート:

  この設定を使用すると、クライアントでは、最適化を解除したパスワード・バージョンを使用した認証のみが可能です。たとえば、12Cパスワード・バージョンはその例です。

• 12: クリティカル・パッチ・アップデートCPUOct2012以降のOracle Database 11g認証プロトコル(より強力な保護)

  ノート:

  この設定を使用すると、クライアントでは、ソルトを使用するパスワード・ハッシュ値を使用した認証のみが可能です。たとえば、11Gまたは12Cのパスワード・バージョンはその例です。

• 11 (Oracle Database 11gの認証プロトコル)

• 10(Oracle Database 10gの認証プロトコル)

• 8(Oracle8iの認証プロトコル)

デフォルト

11

例

Oracle Database 12cデータベースが、Oracle Database 10gデータベースへのデータベース・リンクのホストである場合、SQLNET.ALLOWED_LOGON_VERSION_CLIENTパラメータは、次のように、そのデータベース・リンク接続が進む順に設定する必要があります。

SQLNET.ALLOWED_LOGON_VERSION_CLIENT=10

関連項目:

Oracle Databaseリファレンス

5.2.25 SQLNET.ALLOWED_LOGON_VERSION_SERVER

用途

Oracle Databaseインスタンスへの接続時に認められる最低限の認証プロトコルを設定します。

使用上のノート

パラメータ名のVERSIONは、Oracle Databaseのリリースではなく、認証プロトコルのバージョンを指します。

表1のSQLNET.ALLOWED_LOGON_VERSION_SERVERパラメータの値と一致する行に対応する「クライアントに必要な機能」列の機能がクライアントにない場合は、ORA-28040:一致する認証プロトコルがありませんというエラーまたはORA-03134: このバージョンのサーバーへの接続は、サポートされていません。というエラーで認証に失敗します。

関連項目:

『Oracle Databaseセキュリティ・ガイド』

8を設定すると、すべてのパスワード・バージョンが認められ、DBA_USERS.PASSWORD_VERSIONS値10G、11Gおよび12Cのどの組合せも可能です。

12aに設定すると、12Cパスワード・バージョンのみ使用できます。

高い値を設定すればするほど、認証のためにクライアントで理解する必要のあるプロトコルに関しては、互換性が低くなります。任意の特定アカウントを認証するために必要なパスワードのバージョンという点では、サーバーも制限が厳しくなります。クライアントが特定のアカウントに認証されるかどうかは、そのSQLNET.ALLOWED_LOGON_VERSION_SERVERパラメータのサーバー設定、および指定したアカウント用のパスワード・バージョンの両方によって決まります。パスワード・バージョンのリストはDBA_USERS.PASSWORD_VERSIONSにあります。

値を12または12aに設定することには、次のような意味があることに注意してください。

• パスワードの大文字/小文字を区別しない場合は、10Gパスワード・バージョンを使用する必要があるため、SEC_CASE_SENSITIVE_LOGON Oracleインスタンス初期化パラメータにFALSEの値は使用できません。SEC_CASE_SENSITIVE_LOGON Oracleインスタンス初期化パラメータがFALSEに設定されている場合、排他モードによって10Gパスワード・バージョンの使用が除外されるため、ユーザー・アカウントとセキュア・ロールが使用できなくなります。SEC_CASE_SENSITIVE_LOGON Oracleインスタンス初期化パラメータでは、パスワードの大文字/小文字の区別を有効化または無効化します。ただし、このリリースでは排他モードがデフォルトで有効になっているため、パスワードの大文字/小文字の区別の無効化はサポートされません。

  ノート:

  • SQLNET.ALLOWED_LOGON_VERSION_SERVERパラメータを12に設定して、パスワードが大文字と小文字を区別して扱われるようにするために、Oracleインスタンス初期化パラメータSEC_CASE_SENSITIVE_LOGONの使用は非推奨です。

  • パスワードの大文字/小文字の区別の無効化は、排他モードではサポートされません(SQLNET.ALLOWED_LOGON_VERSION_SERVERが12または12aに設定されている場合)。

• Oracle Database 10gより前のOCIクライアントの各リリースでは、パスワードベース認証を使用してOracle Databaseに対して認証することができません。

• クライアントがOracle Database 10gを使用している場合、クライアントに「ORA-03134: このバージョンのサーバーへの接続は、サポートされていません。」というエラー・メッセージが表示されます。接続を認めるには、SQLNET.ALLOWED_LOGON_VERSION_SERVER値を8に設定します。アカウントのDBA_USERS.PASSWORD_VERSIONS値に10Gの値が含まれていることを確認します。そのアカウントのパスワードは、再設定が必要になる可能性があります。

値を12aに設定することには、次のような意味があることに注意してください。

• Oracle Databaseリリース12.2で導入された新しい12Cパスワード・バージョンを活用するため、ユーザー・パスワードには期限が設定されており、ユーザーによるパスワード変更を促し、パスワードを変更し、新しい12Cパスワード・バージョンがそのアカウントに生成されるようにします。このリリースでは、新しいパスワードはデフォルトで大文字/小文字を区別して扱われます。アカウント・パスワードが変更されると、大文字/小文字が区別されない以前の10Gパスワード・バージョンが自動的に削除され、新しい12Cパスワード・バージョンが生成されます。

• アカウント・パスワードが変更されると、大/小文字が区別されない10Gパスワード・バージョンおよび11Gパスワード・バージョンが自動的に削除されます。

• JDBCシン・クライアント・サポート:

  Oracle Databaseリリース12.1.0.2以降、sqlnet.oraパラメータSQLNET.ALLOWED_LOGON_VERSION_SERVERを12aに設定し、新しいアカウントを作成、または既存のアカウントのパスワードを変更すると、新しい12Cパスワード・バージョンのみが生成されます。12Cパスワード・バージョンは、PBKDF2 (パスワードベースのキー導出関数2)アルゴリズムを使用して最適化を解除したSHA-2 (Secure Hash Algorithm) SHA-512のソルト付き暗号化ハッシュに基づいています。ALLOWED_LOGON_VERSION_SERVERを12aに設定してデータベース・サーバーが稼働している場合は、排他モードで稼働しています。このモードでJDBCクライアントを使用してログインするには、JREバージョンがバージョン8以上である必要があります。JDBCクライアントがJREバージョン8以上で稼働中の場合は、O7L_MR機能フラグのみが有効になります。

  ノート:

  DBA_USERSカタログ・ビューのPASSWORD_VERSIONS列をチェックして、指定のアカウントのパスワード・バージョンのリストを確認します。

  sqlnet.oraパラメータSQLNET.ALLOWED_LOGON_VERSION_SERVERを12に設定した場合、サーバーは排他モードで稼働し、11Gおよび12Cパスワード・バージョン(それぞれSHA-1およびPBKDF2 SHA-2ベースのパスワードのハッシュ)のみが生成され、使用できるようになります。このような場合、CPUOct2012パッチが完全に適用されたJDBCクライアントは、これらのJDBCクライアントからO5L_NPクライアント機能が提供されるために接続が可能です。

  以前のJDBCクライアントには、ステルス・パスワード・クラッキングの脆弱性CVE-2012-3132に対するフィックスを含むCPUOct2012がないため、O5L_NPクライアント機能は提供されません。このため、すべてのJDBCクライアントに必ずパッチを正しく適用してください。

サーバーによる認証を行うには、クライアントで認証プロトコルの特定の機能がサポートされている必要があります。指定された認証機能がクライアントでサポートされていない場合は、「ORA-28040: 一致する認証プロトコルがありません」というエラー・メッセージが表示され、サーバーへの接続が拒否されます。

次に、すべてのクライアント機能のリストを示します。すべての機能が備わっていないクライアントもあります。より新しいクライアントには古いクライアントの機能がすべて備わっていますが、クライアントが古いほど、備わっている機能は新しいクライアントより少ない傾向があります。

• O7L_MR: 12Cのパスワード・バージョンを使用して、Oracle Database 10gの認証プロトコルを実行する機能。JDBCクライアントの場合は、JREバージョン8以上で稼働中の場合にのみO7L_MR機能が提供されます。

• O5L_NP: 11Gのパスワード・バージョンを使用し、クリティカル・パッチ更新CPUOct2012用に暗号化されたセッション・キーを生成して、Oracle Database 10gの認証プロトコルを実行する機能。

• O5L: 10Gのパスワード・バージョンを使用して、Oracle Database 10gの認証プロトコルを実行する機能。

• O4L: 10Gのパスワード・バージョンを使用して、Oracle9i Databaseの認証プロトコルを実行する機能。

• O3L: 10Gのパスワード・バージョンを使用して、Oracle8i Databaseの認証プロトコルを実行する機能。

上のリストの上部に示されている機能ほど新しく、リストの下部に示されている機能よりも安全です。より新しいクライアントには古いクライアントの機能がすべて備わっています。

次の表では、次について説明します。

• SQLNET.ALLOWED_LOGON_VERSION_SERVERパラメータで許可される設定

• アカウントの作成時またはパスワードの変更時に生成されるパスワード・バージョンに与える影響

• サーバーにこの設定がある場合にクライアントが認証するために必要な機能フラグ

• 設定が排他モードと見なされるかどうか

表5-1 SQLNET.ALLOWED_LOGON_VERSION_SERVERの設定

ALLOWED_LOGON_VERSION_SERVERパラメータの値	生成されるパスワード・バージョン	クライアントに必要な機能	クライアントに対する意味	サーバーを排他モードで実行しているか
12a	12C	O7L_MR	Oracle Database 12cリリース1 (12.1.0.2以上)のクライアントのみがサーバーに接続できます。	はい。これは10Gおよび11Gパスワード・バージョンの両方の使用が除外されているためです。
12	11G、12C	O5L_NP	Oracle Database 11gリリース2 (11.2.0.3以上)のクライアントがサーバーに接続できます。 古いクライアントでO5L_NP機能を使用するには、クリティカル・パッチ・アップデートCPUOct2012以上が必要です。 クリティカル・パッチ・アップデートCPUOct2012以上が適用されている古いクライアントのみがサーバーに接続できます。	はい。これは 10Gパスワード・バージョンの使用が除外されているためです。
11	10G、11G、12C	O5L	Oracle Database 10g以上を使用しているクライアントがサーバーに接続できます。 クリティカル・パッチ更新CPUOct2012以上のパッチが適用されていない、Oracle Databaseリリース11.2.0.3未満のリリースを使用しているクライアントは、10Gのパスワード・バージョンを使用する必要があります。	いいえ
10	10G、11G、12C	O5L	前の行と同じ意味です。	いいえ
9	10G、11G、12C	O4L	前の行と同じ意味です。	いいえ
8	10G、11G、12C	O3L	前の行と同じ意味です。	いいえ

値

• 12a: Oracle Database 12cリリース12.1.0.2以上の認証プロトコル(最も強力な保護)

• 12: Oracle Database 12c リリース12.1の認証プロトコル(デフォルトおよび推奨値)

• 11(Oracle Database 11gの認証プロトコル)

• 10(Oracle Database 10gの認証プロトコル)

• 9: Oracle9i Databaseの認証プロトコルの場合

• 8: Oracle8i Databaseの認証プロトコルの場合

ノート:

• Oracle Database 12cリリース2 (12.2)以上では、デフォルト値は12です。

• 以前のリリースでは、クリティカル・パッチ・アップデートCPUOct2012以上を適用した後に値12を使用できます。

デフォルト

12

例

SQLNET.ALLOWED_LOGON_VERSION_SERVER=12

5.2.26 SQLNET.AUTHENTICATION_SERVICES

用途

1つ以上の認証サービスを使用可能にします。認証がインストールされている場合は、このパラメータをnoneまたはリストされている認証方式の1つに設定することをお薦めします。

使用上のノート

SQLNET.AUTHENTICATION_SERVICES値allを使用すると、サーバーは次のそれぞれの方法を使用して認証を試行します。リストの上位の方法が成功しなかった場合、サーバーはリストの下位の方法を試行します。

• ネットワーク層上のサービス、KerberosまたはRADIUSなどの、データベース外部のサービスに基づく認証。

• 管理オペレーティング・システム・グループ内のオペレーティング・システム・ユーザーのメンバーシップに基づく認証。グループ名はプラットフォーム固有です。この認証は、管理接続のみに適用可能です。

• データベースによって実行される認証。

• ディレクトリ・サーバー内に保管された資格証明に基づく認証。

オペレーティング・システム認証では、SQL*Plusを使用した接続時にAS SYSDBA句を使用するなど、管理接続の試行時に任意のユーザー名およびパスワードを使用してデータベースにアクセスできます。接続例を次に示します。

sqlplus ignored_username/ignored_password AS SYSDBA

先行するコマンドを発行したオペレーティング・システム・ユーザーがすでに適切な管理オペレーティング・システム・グループのメンバーである場合、接続は成功します。これは、グループ・メンバーシップが最初に確認されることで、ユーザー名およびパスワードがサーバーによって無視されるためです。

関連項目:

認証方法の詳細は、『Oracle Databaseセキュリティ・ガイド』を参照してください。

デフォルト

all

ノート:

Database Configuration Assistant(DBCA)とともにデータベースをインストールすると、このパラメータがsqlnet.oraファイルでntsに設定されます。

値

Oracle Net Servicesで使用可能な認証方式:

• none: Microsoft Windowsオペレーティング・システム固有の認証を含め、認証方式を使用しません。SQLNET.AUTHENTICATION_SERVICESをnoneに設定しているときは、有効なユーザー名とパスワードを使用するとデータベースにアクセスできます。

• all: すべての認証方式を採用します。

• beq: Microsoft Windows以外のオペレーティング・システムに対する固有のオペレーティング・システム認証を採用します

• kerberos5: Kerberos認証を採用します

• nts: Microsoft Windowsオペレーティング・システム固有の認証を採用します

• radius: リモート認証ダイアルイン・ユーザー・サービス(RADIUS)認証を採用します

• tcps: SSL認証を採用します

例

SQLNET.AUTHENTICATION_SERVICES=(kerberos5)

関連項目:

『Oracle Databaseセキュリティ・ガイド』

5.2.27 SQLNET.CLIENT_REGISTRATION

用途

クライアント・コンピュータに一意の識別子を設定します。

使用上のノート

この識別子は、接続リクエストとともにリスナーに渡され、監査証跡に組み込まれます。識別子は、128文字までの長さの英数文字列にできます。

デフォルト

なし

例

SQLNET.CLIENT_REGISTRATION=1432

5.2.28 SQLNET.COMPRESSION

用途

データ圧縮を有効または無効にします。サーバー、クライアントの両方ともこのパラメータをONに設定している場合、接続に圧縮が使用されます。

ノート:

SQLNET.COMPRESSIONパラメータは、Oracle Data GuardストリーミングREDOとSecureFilesラージ・オブジェクト(LOB)を除く、すべてのデータベース接続に適用されます。

デフォルト

off

値

• on: データ圧縮を有効にします。

• off: データ圧縮を無効にします。

例

SQLNET.COMPRESSION=on

5.2.29 SQLNET.COMPRESSION_ACCELERATION

用途

プラットフォームで使用可能な場合に、このパラメータを使用して、ハードウェア・アクセラレータを使用した圧縮の使用を指定します。

使用上のノート

このパラメータはOracle Connection Managerの別名の説明に指定できます。

デフォルト

on

値

• on

• off

• 0

• 1

例5-1

compression_acceleration = on

5.2.30 SQLNET.COMPRESSION_LEVELS

用途

圧縮レベルを指定します。

使用上のノート

圧縮レベルは、両端でどのレベルを使用するかを確認し、1つのレベルを選択するためのネゴシエーション時に使用されます。

データベース常駐接続プーリング(DRCP)の場合、圧縮レベルlowのみがサポートされます。

デフォルト

low

値

• low: 低CPU使用率と低圧縮率を使用します。

• high: 高CPU使用率および高圧縮率を使用します。

例

SQLNET.COMPRESSION_LEVELS=(high)

5.2.31 SQLNET.COMPRESSION_THRESHOLD

用途

圧縮が必要なデータの最小サイズをバイト数で指定します。

使用上のノート

送信されるデータのサイズがこの値より小さい場合、圧縮は行われません。

デフォルト

1024バイト

例

SQLNET.COMPRESSION_THRESHOLD=1024

5.2.32 SQLNET.CRYPTO_CHECKSUM_CLIENT

用途

クライアントのチェックサム動作を指定します。

関連項目:

『Oracle Databaseセキュリティ・ガイド』

デフォルト

accepted

値

• accepted: 相手側にセキュリティ・サービスが必要な場合または相手側からリクエストされた場合は、セキュリティ・サービスを使用可能にします。

• rejected: 相手側からセキュリティ・サービスを要求されても、セキュリティ・サービスを使用禁止にします。

• requested: 相手側がセキュリティ・サービスを許可している場合は、セキュリティ・サービスを使用可能にします。

• required: 相手側がセキュリティ・サービスに対応できない場合は、セキュリティ・サービスを使用可能にし、接続を禁止します。

例

SQLNET.CRYPTO_CHECKSUM_CLIENT=accepted

5.2.33 SQLNET.CRYPTO_CHECKSUM_SERVER

用途

データベース・サーバーのチェックサム動作を指定します。

デフォルト

accepted

値

• accepted: 相手側にセキュリティ・サービスが必要な場合または相手側からリクエストされた場合は、セキュリティ・サービスを使用可能にします。

• rejected: 相手側からセキュリティ・サービスを要求されても、セキュリティ・サービスを使用禁止にします。

• requested: 相手側がセキュリティ・サービスを許可している場合は、セキュリティ・サービスを使用可能にします。

• required: 相手側がセキュリティ・サービスに対応できない場合は、セキュリティ・サービスを使用可能にし、接続を禁止します。

例

SQLNET.CRYPTO_CHECKSUM_SERVER=accepted

関連項目:

『Oracle Databaseセキュリティ・ガイド』

5.2.34 SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT

用途

クライアントが使用する暗号チェックサム・アルゴリズムのリストを指定します。

デフォルト

使用可能なすべてのアルゴリズム

値

• MD5: RSA Data SecurityのMD5アルゴリズム。

  MD5アルゴリズムは、このリリースでは非推奨です。より強力なアルゴリズムを使用するようにOracle Database環境を移行するには、My Oracle Supportノート2118136.2で説明されているパッチをダウンロードしてインストールします。

• SHA1: Secure Hashアルゴリズム。

• SHA256: ハッシュ・アルゴリズムで256ビットを使用するSHA-2。

• SHA384: ハッシュ・アルゴリズムで384ビットを使用するSHA-2。

• SHA512: ハッシュ・アルゴリズムで512ビットを使用するSHA-2。

例

SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT=(SHA256, MD5)

関連項目:

『Oracle Databaseセキュリティ・ガイド』

5.2.35 SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER

用途

データベース・サーバーが使用する暗号チェックサム・アルゴリズムのリストを指定します。

デフォルト

使用可能なすべてのアルゴリズム

値

• MD5: RSA Data SecurityのMD5アルゴリズム。

  MD5アルゴリズムは、このリリースでは非推奨です。より強力なアルゴリズムを使用するようにOracle Database環境を移行するには、My Oracle Supportノート2118136.2で説明されているパッチをダウンロードしてインストールします。

• SHA1: Secure Hashアルゴリズム。

• SHA256: ハッシュ・アルゴリズムで256ビットを使用するSHA-2。

• SHA384: ハッシュ・アルゴリズムで384ビットを使用するSHA-2。

• SHA512: ハッシュ・アルゴリズムで512ビットを使用するSHA-2。

例

SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER=(SHA256, MD5)

関連項目:

『Oracle Databaseセキュリティ・ガイド』

5.2.36 SQLNET.DBFW_PUBLIC_KEY

用途

Oracle Database Firewall公開キーが格納されているファイルを指定することにより、アドバンスト・セキュリティ・オプション(ASO)にOracle Database Firewall公開キーを提供します。

デフォルト

なし

値

公開キーを持つオペレーティング・システム・ファイルのフルパス名。

例

SQLNET.DBFW_PUBLIC_KEY="/path_to_file/dbfw_public_key_file.txt"

関連項目:

"SQLNET.ENCRYPTION_TYPES_SERVER"

5.2.37 SQLNET.DOWN_HOSTS_TIMEOUT

用途

サーバー・ホストのdown状態に関する情報がクライアント・プロセス・キャッシュ内に保持される時間を秒単位で指定します。

使用上のノート

クライアントは接続の試行時にサーバー・ホストのdown状態を検出します。接続の試行が失敗すると、サーバー・ホストのdown状態に関する情報がクライアント・プロセス・キャッシュに追加されます。同じクライアント・プロセスによって次に接続が試行されると、downホストはアドレス・リストの最後に移動されるため、そのホストの優先度が下がります。SQLNET.DOWN_HOSTS_TIMEOUTパラメータで指定された時間が過ぎると、ホストがプロセス・キャッシュからパージされ、そのアドレス・リスト内の優先度が復元されます。

デフォルト

600秒(10分)

値

任意の正の整数

例

SQLNET.DOWN_HOSTS_TIMEOUT=60

5.2.38 SQLNET.ENCRYPTION_CLIENT

用途

クライアントの暗号化をオンにします。

デフォルト

accepted

値

• accepted: 相手側にセキュリティ・サービスが必要な場合または相手側からリクエストされた場合は、セキュリティ・サービスを使用可能にします。

• rejected: 相手側からセキュリティ・サービスを要求されても、セキュリティ・サービスを使用禁止にします。

• requested: 相手側がセキュリティ・サービスを許可している場合は、セキュリティ・サービスを使用可能にします。

• required: 相手側がセキュリティ・サービスに対応できない場合は、セキュリティ・サービスを使用可能にし、接続を禁止します。

例

SQLNET.ENCRYPTION_CLIENT=accepted

関連項目:

『Oracle Databaseセキュリティ・ガイド』

5.2.39 SQLNET.ENCRYPTION_SERVER

用途

データベース・サーバーの暗号化をオンにします。

デフォルト

accepted

値

• accepted: 相手側にセキュリティ・サービスが必要な場合または相手側からリクエストされた場合は、セキュリティ・サービスを使用可能にします。

• rejected: 相手側からセキュリティ・サービスを要求されても、セキュリティ・サービスを使用禁止にします。

• requested: 相手側がセキュリティ・サービスを許可している場合は、セキュリティ・サービスを使用可能にします。

• required: 相手側がセキュリティ・サービスに対応できない場合は、セキュリティ・サービスを使用可能にし、接続を禁止します。

例

SQLNET.ENCRYPTION_SERVER=accepted

関連項目:

『Oracle Databaseセキュリティ・ガイド』

5.2.40 SQLNET.ENCRYPTION_TYPES_CLIENT

用途

クライアントが使用する暗号化アルゴリズムのリストを指定します。

デフォルト

使用可能なすべてのアルゴリズム。

値

次の1つ以上を指定します。

• 3des112: 2キー(112ビット)オプション付きTriple-DES

• 3des168: 3キー(168ビット)オプション付きTriple-DES

• aes128: AES (128ビット・キー・サイズ)

• aes192: AES (192ビット・キー・サイズ)

• aes256: AES (256ビット・キー・サイズ)

• des: 標準DES (56ビット・キー・サイズ)

• des40: DES (40ビット・キー・サイズ)

• rc4_40: RSA RC4 (40ビット・キー・サイズ)

• rc4_56: RSA RC4 (56ビット・キー・サイズ)

• rc4_128: RSA RC4 (128ビット・キー・サイズ)

• rc4_256: RSA RC4 (256ビット・キー・サイズ)

DES、DES40、3DES112、3DES168、RC4_40、RC4_56、RC4_128およびRC4_256アルゴリズムは、このリリースでは非推奨です。

より強力なアルゴリズムを使用するようにOracle Database環境を移行するには、My Oracle Supportノート2118136.2で説明されているパッチをダウンロードしてインストールします。

例

SQLNET.ENCRYPTION_TYPES_CLIENT=(rc4_56)

関連項目:

『Oracle Databaseセキュリティ・ガイド』

5.2.41 SQLNET.ENCRYPTION_TYPES_SERVER

用途

データベース・サーバーが使用する暗号化アルゴリズムのリストを指定します。

デフォルト

使用可能なすべてのアルゴリズム。

値

次の1つ以上を指定します。

• 3des112: 2キー(112ビット)オプション付きTriple-DES

• 3des168: 3キー(168ビット)オプション付きTriple-DES

• aes128: AES (128ビット・キー・サイズ)

• aes192: AES (192ビット・キー・サイズ)

• aes256: AES (256ビット・キー・サイズ)

• des: 標準DES (56ビット・キー・サイズ)

• des40: DES40 (40ビット・キー・サイズ)

• rc4_40: RSA RC4 (40ビット・キー・サイズ)

• rc4_56: RSA RC4 (56ビット・キー・サイズ)

• rc4_128: RSA RC4 (128ビット・キー・サイズ)

• rc4_256: RSA RC4 (256ビット・キー・サイズ)

DES、DES40、3DES112、3DES168、RC4_40、RC4_56、RC4_128およびRC4_256アルゴリズムは、このリリースでは非推奨です。

より強力なアルゴリズムを使用するようにOracle Database環境を移行するには、My Oracle Supportノート2118136.2で説明されているパッチをダウンロードしてインストールします。

例

SQLNET.ENCRYPTION_TYPES_SERVER=(rc4_56, des, ...)

関連項目:

『Oracle Databaseセキュリティ・ガイド』

5.2.42 SQLNET.EXPIRE_TIME

用途

クライアント/サーバー接続がアクティブであることを確認するための確認を送信する間隔(分単位)を指定します。

使用上のノート

0より大きい値を設定すると、クライアントが異常終了したときに接続が無期限に開かれたままにならないようにします。システムでTCPのキープアライブ設定のチューニングがサポートされている場合、Oracle Net Servicesでは自動的に強化された検出モデルを使用して、TCPのキープアライブ設定のパラメータをチューニングします。

終了済接続や使用されなくなった接続を検出したプローブは、エラーを返し、それによってサーバー・プロセスが終了します。

このパラメータは、主にデータベース・サーバー向けです。データベース・サーバーでは、通常、同時に複数の接続を処理します。

終了した接続を検出するこの機能の制限は、次のとおりです。

• この機能はBequeathed接続では機能しません。

• プローブ・パケットはわずかながら通信量が増加するため、ネットワーク・パフォーマンスが低下する可能性があります。

• 使用しているオペレーティング・システムによっては、接続プローブ・イベントを他の発生イベントと区別するために、サーバーで追加の処理を行う必要がある場合があります。これも、ネットワーク・パフォーマンスの低下につながる可能性があります。

デフォルト

0

最小値

0

推奨値

10

例

SQLNET.EXPIRE_TIME=10

5.2.43 SQLNET.INBOUND_CONNECT_TIMEOUT

用途

クライアントがデータベース・サーバーに接続して必要な認証情報を提供する時間をms、secまたはminで指定します。

使用上のノート

クライアントが指定した時間内での接続の確立と認証の完了に失敗した場合、データベース・サーバーは接続を終了します。また、データベース・サーバーがクライアントのIPアドレスおよびエラー・メッセージ「ORA-12170: TNS: 接続タイムアウトが発生しました。」をsqlnet.logファイルにロギングします。クライアントは、「ORA-12547: TNS: 接続を失いました。」または「ORA-12637: パケット受信に失敗しました。」エラー・メッセージのいずれかを受信します。

標準的な使用方法の場合、このパラメータはデフォルト値が適切です。ただし、明示的に異なる値を設定する必要がある場合、オラクル社では、このパラメータをlistener.oraファイルのINBOUND_CONNECT_TIMEOUT_listener_nameパラメータと組み合せて設定することをお薦めします。これらのパラメータに値を指定する場合、次の推奨事項に注意してください。

• 両方のパラメータの初期値を低く設定してください。

• INBOUND_CONNECT_TIMEOUT_listener_nameパラメータの値を、SQLNET.INBOUND_CONNECT_TIMEOUTパラメータよりも低い値に設定してください。

値とユニットの間のスペースあり、なしにかかわらず、様々なタイムアウトを受け入れます。単位が指定されない場合、デフォルトの単位はsecです。たとえば、INBOUND_CONNECT_TIMEOUT_listener_nameパラメータを2秒に設定し、SQLNET.INBOUND_CONNECT_TIMEOUTパラメータを3秒に設定します。特定の環境におけるシステムあるいはネットワークの通常の遅延により、クライアントが指定の時間内に接続を完了できない場合は、必要なだけ時間を増やします。

デフォルト

60秒

例

SQLNET.INBOUND_CONNECT_TIMEOUT=3ms

関連項目:

• INBOUND_CONNECT_TIMEOUT_listener_nameの詳細は、「制御パラメータ」を参照してください

• これらのパラメータの構成方法の詳細は、『Oracle Database Net Services管理者ガイド』を参照してください。

5.2.44 SQLNET.FALLBACK_AUTHENTICATION

用途

Kerberos認証が失敗した場合に、パスワード・ベースの認証を試みるかどうか指定します。これは、直接リンクの接続およびデータベース・リンク接続にあてはまります。

デフォルト

FALSE

例

SQLNET.FALLBACK_AUTHENTICATION=TRUE

関連項目:

『Oracle Databaseセキュリティ・ガイド』

5.2.45 SQLNET.KERBEROS5_CC_NAME

用途

Kerberos資格証明キャッシュ・ファイルへの完全パス名を指定します。

使用上のノート

MSLSAオプションは、Microsoft Windows上にあり、Microsoft KDCを実行中のファイルを指定します。

OS_MEMORYオプションは、オペレーティング・システム管理対象のメモリー資格証明が資格証明キャッシュ・ファイル用に使用されることを指定します。このオプションは、そのような機能を持つすべてのオペレーティング・システム用にサポートされています。

デフォルト

LinuxおよびUNIXオペレーティング・システムでは、/usr/tmp/krbcache

Microsoft Windowsオペレーティング・システムでは、c:\tmp\krbcache

例

SQLNET.KERBEROS5_CC_NAME=/usr/tmp/krbcache

SQLNET.KERBEROS5_CC_NAME=MSLSA

SQLNET.KERBEROS5_CC_NAME=OS_MEMORY

関連項目:

『Oracle Databaseセキュリティ・ガイド』

5.2.46 SQLNET.KERBEROS5_CLOCKSKEW

用途

Kerberos資格証明を期限切れとみなすまでの秒数を指定します。

デフォルト

300

例

SQLNET.KERBEROS5_CLOCKSKEW=1200

関連項目:

『Oracle Databaseセキュリティ・ガイド』

5.2.47 SQLNET.KERBEROS5_CONF

用途

Kerberos構成ファイルへの完全パス名を指定します。このファイルには、デフォルトのKey Distribution Center (KDC)のレルムが含まれており、レルムをKDCホストにマッピングします。

使用上のノート

KDCではユーザー・プリンシパルのリストが保持され、ユーザーの初期チケットについてはkinitプログラムを介して接続されます。

AUTO_DISCOVERオプションにより、KDCおよびレルムの自動検出が可能になります。これはKerberosクライアントのデフォルト構成です。指定するレルムが複数ある場合、AUTO_DISCOVERオプションを使用するかわりに、構成ファイルを作成することをお薦めします。このオプションは、そのような機能を持つすべてのオペレーティング・システム用にサポートされています。

デフォルト

LinuxおよびUNIXオペレーティング・システムでは、/krb5/krb.conf

Microsoft Windowsオペレーティング・システムでは、c:\krb5\krb.conf

値

• krb.confファイルへのディレクトリ・パス

• AUTO_DISCOVER

例

SQLNET.KERBEROS5_CONF=/krb5/krb.conf

関連項目:

『Oracle Databaseセキュリティ・ガイド』

5.2.48 SQLNET.KERBEROS5_CONF_LOCATION

用途

Kerberos構成ファイルのディレクトリを指定します。このパラメータで、ファイルが、クライアントではなく、システムによって作成されることも指定します。

使用上のノート

構成ファイルでは、DNS参照を使用して、デフォルトのKDCのレルムを取得し、レルムをKDCのホストにマップします。このオプションは、そのような機能を持つすべてのオペレーティング・システム用にサポートされています。

デフォルト

LinuxおよびUNIXオペレーティング・システムでは、/krb5

Microsoft Windowsオペレーティング・システムでは、c:\krb5

例

SQLNET.KERBEROS5_CONF_LOCATION=/krb5

5.2.49 SQLNET.KERBEROS5_KEYTAB

用途

Kerberosプリンシパル/シークレット・キー・マッピング・ファイルへの完全パス名を指定します。このファイルは、キーを抽出して着信認証情報を復号化するために使用されます。

デフォルト

LinuxおよびUNIXオペレーティング・システムでは、/etc/v5srvtab

Microsoft Windowsオペレーティング・システムでは、c:\krb5\v5srvtab

例

SQLNET.KERBEROS5_KEYTAB=/etc/v5srvtab

関連項目:

『Oracle Databaseセキュリティ・ガイド』

5.2.50 SQLNET.KERBEROS5_REALMS

用途

Kerberosレルム変換ファイルへの完全パス名を指定します。このファイルは、ホスト名またはドメイン名からレルムへのマッピングを提供します。

デフォルト

LinuxおよびUNIXオペレーティング・システムでは、/krb5/krb.realms

Microsoft Windowsオペレーティング・システムでは、c:\krb5\krb.realms

例

SQLNET.KERBEROS5_REALMS=/krb5/krb.realms

関連項目:

『Oracle Databaseセキュリティ・ガイド』

5.2.51 SQLNET.KERBEROS5_REPLAY_CACHE

用途

リプレイ・キャッシュが、サーバーのオペレーティング・システム管理対象メモリーに格納され、ファイルベースのリプレイ・キャッシュが使用されないことを指定します。

使用上のノート

OS_MEMORYオプションは、リプレイ・キャッシュがサーバーのオペレーティング・システム管理対象メモリーに格納され、ファイルベースのリプレイ・キャッシュが使用されないことを指定します。

例

SQLNET_KERBEROS5_REPLAY_CACHE=OS_MEMORY

5.2.52 SQLNET.OUTBOUND_CONNECT_TIMEOUT

用途

クライアントがデータベース・インスタンスへのOracle Net接続を確立する時間をms、secまたはminで指定します。

使用上のノート

Oracle Net接続が指定した時間内で確立しなかった場合、接続の試行は終了します。クライアントは「ORA-12170: TNS: 接続タイムアウトが発生しました。」エラーを受信します。

発信接続のタイムアウト間隔は、TCP接続の確立に要する時間の制限を指定する、TCP接続のタイムアウト間隔のスーパーセットです。また、発信接続のタイムアウト間隔には、リクエストされたサービスを提供するOracleインスタンスへの接続に要する時間も含まれます。値とユニットの間のスペースあり、なしにかかわらず、様々なタイムアウトを受け入れます。

このパラメータが指定されていない場合、データベース・サーバーへのクライアント接続リクエストは、データベース・サーバーのホスト・システムが到達不能のとき、デフォルトのTCP接続タイムアウト期間(60 seconds)ブロックする可能性があります。単位が指定されない場合、デフォルトの単位はsecです。

発信接続タイムアウト間隔は、TCP、SSL付きTCPおよびIPCトランスポート接続にのみ適用できます。

このパラメータは、アドレス記述内のCONNECT_TIMEOUTパラメータによって上書きされます。

デフォルト

なし

例

SQLNET.OUTBOUND_CONNECT_TIMEOUT=10 ms

5.2.53 SQLNET.RADIUS_ALTERNATE

用途

プライマリ・サーバーが使用できない場合の代替RADIUSサーバーを指定します。

使用上のノート

値は、IPアドレスまたはサーバーのホスト名のいずれかです。

デフォルト

なし

例

SQLNET.RADIUS_ALTERNATE=radius2

関連項目:

『Oracle Databaseセキュリティ・ガイド』

5.2.54 SQLNET.RADIUS_ALTERNATE_PORT

用途

代替RADIUSサーバーのリスニング・ポートを指定します。

デフォルト

1645

例

SQLNET.RADIUS_ALTERNATE_PORT=1667

関連項目:

『Oracle Databaseセキュリティ・ガイド』

5.2.55 SQLNET.RADIUS_ALTERNATE_RETRIES

用途

データベース・サーバーがメッセージを代替RADIUSサーバーに再送する回数を指定します。

デフォルト

3

例

SQLNET.RADIUS_ALTERNATE_RETRIES=4

関連項目:

『Oracle Databaseセキュリティ・ガイド』

5.2.56 SQLNET.RADIUS_AUTHENTICATION

用途

プライマリRADIUSサーバーの位置をそのサーバーのホスト名またはIPアドレスで指定します。

デフォルト

Local host

例

SQLNET.RADIUS_AUTHENETICATION=officeacct

関連項目:

『Oracle Databaseセキュリティ・ガイド』

5.2.57 SQLNET.RADIUS_AUTHENTICATION_INTERFACE

用途

ユーザーとの対話に使用するユーザー・インタフェースが含まれているクラスを指定します。

デフォルト

DefaultRadiusInterface

例

SQLNET.RADIUS_AUTHENTICATION_INTERFACE=DefaultRadiusInterface

関連項目:

『Oracle Databaseセキュリティ・ガイド』

5.2.58 SQLNET.RADIUS_AUTHENTICATION_PORT

用途

プライマリRADIUSサーバーのリスニング・ポートを指定します。

デフォルト

1645

例

SQLNET.RADIUS_AUTHENTICATION_PORT=1667

関連項目:

『Oracle Databaseセキュリティ・ガイド』

5.2.59 SQLNET.RADIUS_AUTHENTICATION_RETRIES

用途

データベース・サーバーがメッセージをプライマリRADIUSサーバーに再送する回数を指定します。

デフォルト

3

例

SQLNET.RADIUS_AUTHENTICATION_RETRIES=4

関連項目:

『Oracle Databaseセキュリティ・ガイド』

5.2.60 SQLNET.RADIUS_AUTHENTICATION_TIMEOUT

用途

データベース・サーバーがプライマリRADIUSサーバーからの応答を待機する秒数を指定します。

デフォルト

5

例

SQLNET.RADIUS_AUTHENTICATION_TIMEOUT=10

関連項目:

『Oracle Databaseセキュリティ・ガイド』

5.2.61 SQLNET.RADIUS_CHALLENGE_RESPONSE

用途

チャレンジ・レスポンスのオンとオフを切り替えます。

デフォルト

off

値

on | off

例

SQLNET.RADIUS_CHALLENGE_RESPONSE=on

関連項目:

『Oracle Databaseセキュリティ・ガイド』

5.2.62 SQLNET.RADIUS_SECRET

用途:

RADIUSシークレット・キーの位置を指定します。

デフォルト

ORACLE_HOME/network/security/radius.keyファイル。

例

SQLNET.RADIUS_SECRET=oracle/bin/admin/radiuskey

関連項目:

『Oracle Databaseセキュリティ・ガイド』

5.2.63 SQLNET.RADIUS_SEND_ACCOUNTING

用途

アカウント機能をonまたはoffに切り替えます。使用可能に設定された場合、パケットは、1を加えたリスニング・ポートでアクティブなRADIUSサーバーに送信されます。

使用上のノート

デフォルト・ポートは1646です。

デフォルト

off

値

on | off

例

SQLNET.RADIUS_SEND_ACCOUNTING=on

関連項目:

『Oracle Databaseセキュリティ・ガイド』

5.2.64 SQLNET.RECV_TIMEOUT

用途

接続が確立した後でデータベース・サーバーがクライアント・データを待機する時間をms、secまたはminで指定します。値とユニットの間のスペースあり、なしにかかわらず、様々なタイムアウトを受け入れます。クライアントは、時間間隔内にデータを送信する必要があります。

使用上のノート

クライアントが稀にシャットダウンしたり、異常終了する環境では、このパラメータを設定することをお薦めします。指定した時間内にクライアントがデータを何も送信しない場合、データベース・サーバーでは、「ORA-12535:ORA-12535: TNS: 操作はタイムアウトしました。」および「ORA-12609: TNS: 受信タイムアウトが発生しました」というメッセージがsqlnet.logファイルにロギングされます。このパラメータを使用しない場合、データベース・サーバーは、ダウンしているか、または障害が発生している可能性のあるクライアントから、データを待ち続けることがあります。

また、このパラメータをクライアント側に設定すると、接続が確立した後にクライアントがデータベース・サーバーからの応答データを待機する時間をms、secまたはminで指定できます。このパラメータをクライアントに設定しない場合、クライアントは、リクエストで飽和状態になっているデータベース・サーバーからの応答を長時間待機し続けます。値を設定する場合、最初は低い値を設定し、システムやネットワーク容量に応じて調整するようにしてください。必要に応じて、SQLNET.SEND_TIMEOUT パラメータとともに使用します。単位が指定されない場合、デフォルトの単位はsecです。

デフォルト

なし

例

SQLNET.RECV_TIMEOUT=10ms

または

SQLNET.RECV_TIMEOUT=10 ms

関連項目:

これらのパラメータの構成方法の詳細は、『Oracle Database Net Services管理者ガイド』を参照してください。

5.2.65 SQLNET.SEND_TIMEOUT

用途

接続が確立した後でデータベース・サーバーがクライアントに対する送信操作を完了するまでの時間をms、secまたはminで指定します。

使用上のノート

クライアントが稀に停止したり、異常終了する環境では、このパラメータを設定することをお薦めします。

指定した時間内に送信操作を完了できない場合、データベース・サーバーでは、「ORA-12535TNS: 操作はタイムアウトしました。」および「ORA-12608: TNS: 送信タイムアウトが発生しました」というメッセージがsqlnet.logファイルにロギングされます。このパラメータを指定しない場合、データベース・サーバーはコンピュータの停止またはビジー状態が原因でデータを受信できないクライアントに対し、応答を送信し続けることがあります。

また、このパラメータをクライアント側に設定すると、接続が確立した後にクライアントがデータベース・サーバーに対する送信操作を完了するまでの時間をms、secまたはminで指定できます。値とユニットの間のスペースあり、なしにかかわらず、様々なタイムアウトを受け入れます。単位が指定されない場合、デフォルトの単位はsecです。このパラメータを指定しない場合、クライアントは、リクエストですでに飽和状態になっているデータベース・サーバーに対してリクエストを送信し続ける可能性があります。値を設定する場合、最初は低い値を設定し、システムやネットワーク容量に応じて調整するようにしてください。必要に応じて、SQLNET.RECV_TIMEOUT パラメータとともに使用します。

デフォルト

なし

例

SQLNET.SEND_TIMEOUT=3 ms

関連項目:

このパラメータの構成方法の詳細は、『Oracle Database Net Services管理者ガイド』を参照してください。

5.2.66 SQLNET.USE_HTTPS_PROXY

用途

フォワードHTTPプロキシ・トンネリング・クライアント接続を有効にします。

使用上のノート

onにすると、クライアントがHTTP CONNECTメソッドを使用して、フォワードHTTPプロキシ上にセキュアな接続をトンネリングできます。これにより、クライアント側のファイアウォールにアウトバウンド・ポートをオープンする必要がなくなるため、パブリック・クラウド・データベースにアクセスしやすくなります。 

このパラメータはサーバー側のOracle Connection Managerに適用可能です。

デフォルト

off

例

SQLNET.USE_HTTPS_PROXY=on

5.2.67 SQLNET.WALLET_OVERRIDE

OracleMetaLinkノート340559.1.

用途

クライアントがデータベースにログインするために、格納されているウォレットにあるパスワード資格証明を、厳密な認証資格証明より優先させるかどうかを決定します。

使用上のノート

認証にウォレットを使用する場合、ユーザー名およびパスワードのデータベース資格証明がOracleウォレットに安全に格納されます。ウォレットの自動ログイン機能がオンになるため、データベースからウォレットを開くのにパスワードは必要ありません。ウォレットから資格証明を取得して、データベースにアクセスします。

ウォレットの使用方法により、データベースに接続する際にパスワード資格証明に依存する大規模なデプロイメントを簡素化できます。この機能が構成されている場合、アプリケーション・コード、バッチ・ジョブおよびスクリプトにユーザー名およびパスワードを埋め込む必要がありません。このようなパスワードが危険にさらされることがなくなるため、リスクが軽減します。また、ユーザー名またはパスワードが変更されるたびにアプリケーション・コードを変更する必要がなくなるため、パスワード管理ポリシーの適用が容易になります。

ユーザーはユーザー名およびパスワードを明示的に指定するかわりに、connect /@database_nameコマンドを使用して接続します。これにより、スクリプトのメンテナンスが簡単になり、アプリケーションのパスワード管理の安全性が確保されます。

中間層アプリケーションにより、インストール時にOracle Applicationsウォレットが作成され、アプリケーションに固有なIDが格納されます。パスワードは、ハードコードではなく、ランダムに生成できます。Oracleアプリケーションがデータベースにアクセスすると、SQLNET.AUTHENTICATION_SERVICESとWALLET_LOCATIONに、適切な値が設定されます。新しいウォレット・ベースのパスワード認証コードでは、Oracle Applicationsウォレットのパスワード資格証明を使用してデータベースにログインします。

値

true | false

例

SQLNET.WALLET_OVERRIDE=true

関連項目:

ウォレットを使用するには、クライアントでウォレットを構成する必要があります。クライアントの構成の詳細は、『Oracle Databaseセキュリティ・ガイド』を参照してください。

5.2.68 SSL_CERT_REVOCATION

用途

証明書の失効確認を構成します。

関連項目:

『Oracle Databaseセキュリティ・ガイド』

デフォルト

none

値

• noneにすると、証明書失効ステータスのチェックが無効になります。これはデフォルト値です。

  ノート:

  SSL_CERT_REVOCATIONパラメータをnoneに設定した場合は証明書ベースの認証において重要なコンポーネントが削除されるため、そのように設定しないことをお薦めします。証明書失効ステータスのチェックを行わないと、盗まれた証明書が認証に使用されるのを防ぐことができません。none値を設定するのは、制御を緩和して認証用の証明書の使用を保護する場合のみです(ネットワーク・アクセス制御リストや、信頼できるクライアントのみにデータベース接続を限定するOracle Database Vaultポリシーなど)。

• requested: 証明書失効リスト(Certificate Revocation List: CRL)が使用可能な場合に、証明書の取消しを行います。証明書が取り消された場合は、SSL接続を拒否してください。証明書の失効状態を判断できる適切なCRLが見つからず証明書が取り消されない場合は、SSL接続を受け入れてください。

• required: 証明書が使用可能な場合は証明書の取消しを行います。証明書が取り消され、適切なCRLが見つからない場合はSSL接続を拒否してください。証明書の失効状態を判断できる適切なCRLが見つからず証明書が取り消されない場合は、SSL接続を受け入れてください。

例

SSL_CERT_REVOCATION=required

5.2.69 SSL_CRL_FILE

用途

クライアント認証用のCRLを格納できるファイルの名前を指定します。

使用上のノート

このファイルには、PEMで暗号化されたCRLファイルが優先順に格納されています。このファイルは、SSL_CERT_PATH パラメータの代替または補助用に使用できます。このパラメータは、SSL_CERT_REVOCATION がrequestedまたはrequiredに設定されている場合のみ有効です。

デフォルト

なし

例

SSL_CRL_FILE=

5.2.70 SSL_CRL_PATH

用途

CAのCRLの宛先ディレクトリを指定します。

使用上のノート

このディレクトリに含まれるファイルは、Oracle Wallet Managerで作成されたハッシュ・シンボリック・リンクです。

このパラメータは、SSL_CERT_REVOCATION がrequestedまたはrequiredに設定されている場合のみ有効です。

デフォルト

なし

例

SSL_CRL_PATH=

5.2.71 SSL_CIPHER_SUITES

用途

Secure Sockets Layer(SSL)で使用される暗号化とデータの整合性の組合せを制御します。Advanced Encryption Standard(AES)を使用する暗号スイートは、Transport Layer Security(TLS 1.0)でのみ使用できます。

デフォルト

なし

値

暗号化はBug 19139199に基づいて更新されています。

• SSL_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

• SSL_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

• SSL_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

• SSL_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

• SSL_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384

• SSL_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

• SSL_RSA_WITH_AES_128_CBC_SHA256

• SSL_RSA_WITH_AES_128_GCM_SHA256

• SSL_RSA_WITH_AES_128_CBC_SHA

• SSL_RSA_WITH_AES_256_CBC_SHA

• SSL_RSA_WITH_AES_256_CBC_SHA256

• SSL_RSA_WITH_AES_256_GCM_SHA384

• SSL_RSA_WITH_RC4_128_MD5

• SSL_RSA_WITH_RC4_128_SHA

• SSL_RSA_WITH_3DES_EDE_CBC_SHA

• SSL_DH_anon_WITH_3DES_EDE_CBC_SHA

• SSL_DH_anon_WITH_RC4_128_MD5

ノート:

SSL_DH_anon_WITH_3DES_EDE_CBC_SHAおよびSSL_DH_anon_WITH_RC4_128_MD5は通信者の認証を提供しないため、介在者攻撃に対して無防備になる可能性があることに注意してください。機密データを保護する場合は、これらの暗号スイートを使用しないことをお薦めします。ただし、これらは、通信者が匿名を維持する場合や、相互認証によって発生するオーバーヘッドを望まない場合に有効です。

例

SSL_CIPHER_SUITES=(ssl_rsa_with_aes_128_cbc_sha256)

関連項目:

暗号スイート値の詳細は、『Oracle Databaseセキュリティ・ガイド』を参照してください。

5.2.72 SSL_EXTENDED_KEY_USAGE

用途

証明書のキーの用途を指定します。

使用上のノート

このパラメータを指定すると、一致する拡張キーを持つ証明書が使用されます。

値

client authentication

例

SSL_EXTENDED_KEY_USAGE="client authentication"

5.2.73 SSL_SERVER_DN_MATCH

用途

データベース・サーバーの識別名(DN)がそのサービス名と一致していることを規定します。

使用上のノート

認証一致を規定している場合は、SSLによって証明書がサーバーからのものであることが保証されます。認証一致を規定していない場合、SSLによるチェックは行われますが、一致しているかどうかに関係なく接続は許可されます。一致を規定しないと、サーバーの存在が不明になる場合があります。

サーバーDNの一致を使用可能にするには、sqlnet.oraファイルに加えて、tnsnames.oraのパラメータSSL_SERVER_CERT_DNも構成してください。

デフォルト

no

値

• yes | on | true: 一致を規定します。DNがサービス名と一致している場合、接続は成功します。DNがサービス名と一致していない場合、接続は失敗します。

• no | off | false: 一致を規定しません。DNがサービス名と一致していない場合、接続は成功しますが、エラーがsqlnet.logファイルに記録されます。

例

SSL_SERVER_DN_MATCH=yes

関連項目:

『Oracle Databaseセキュリティ・ガイド』

5.2.74 SSL_VERSION

用途

接続に使用できるSSLまたはTLSバージョンを制限します。

使用上のノート

クライアントとデータベース・サーバーは、互換性のあるバージョンを使用する必要があります。このパラメータは、下位互換性が絶対に必要な場合にのみ使用します。現在のデフォルトでは、複数のセキュリティ・コンプライアンスの要件に必要なバージョンである、TLSバージョン1.2を使用しています。

SSL_VERSIONをundeterminedに設定するとデフォルトで3.0が使用されます。

デフォルト

1.2

値

ノート:

sqlnet.ora parameter ADD_SSLV3_TO_DEFAULTはこのパラメータには影響を与えません。

undetermined | 3.0 | 1.0| 1.1 | 1.2

あるバージョンまたは別のバージョンを指定する場合は、"or"を使用します。次の値を使用できます。

1.0 or 3.0 | 1.2 or 3.0 | 1.1 or 1.0 | 1.2 or 1.0 | 1.2 or 1.1 | 1.1 or 1.0 or 3.0 |
1.2 or 1.0 or 3.0 | 1.2 or 1.1 or 1.0 | 1.2 or 1.1 or 3.0 |1.2 or 1.1 or 1.0 or 3.0

例

SSL_VERSION=1.2

残りのバージョン番号は、TLSv1.0、TLSv1.1およびTLSv1.2などのTLSバージョンに対応します。

関連項目:

『Oracle Databaseセキュリティ・ガイド』

5.2.75 TCP.CONNECT_TIMEOUT

用途

クライアントがデータベース・サーバーへのTCP接続(TNS接続アドレスのPROTOCOL=tcp)を確立する時間をms、secまたはminで指定します。

使用上のノート

データベース・ホストへのTCP接続が指定した時間内で確立しなかった場合、接続の試行は終了します。クライアントは「ORA-12170: TNS: 接続タイムアウトが発生しました。」エラーを受信します。

ホスト名に解決される各IPアドレスにタイムアウトが適用されます。値とユニットの間のスペースあり、なしにかかわらず、様々なタイムアウトを受け入れます。たとえば、ホスト名がIPv6およびIPv4アドレスに解決される場合、そしてホストにネットワークを介して到達できない場合、IPアドレスが2つあるため、接続リクエストは2倍の時間でタイムアウトになります。デフォルトのタイムアウトの設定は60なので、この場合、120 secondsでタイムアウトになります。単位が指定されない場合、デフォルトの単位はsecです。

デフォルト

60

例

TCP.CONNECT_TIMEOUT=10 ms

5.2.76 TCP.EXCLUDED_NODES

用途

データベースへのアクセスを許可しないクライアントを指定します。

使用上のノート

このパラメータは、TCP.VALIDNODE_CHECKINGパラメータがyesに設定されている場合にのみ有効です。

このパラメータは、IPv4アドレスにワイルドカードを使用でき、IPv4およびIPv6アドレスにはCIDR表記を使用できます。

構文

TCP.EXCLUDED_NODES=(hostname | ip_address, hostname | ip_address, ...)

例

TCP.EXCLUDED_NODES=(finance.us.example.com, mktg.us.example.com, 192.0.2.25,
 172.30.*, 2001:DB8:200C:417A/32)

5.2.77 TCP.INVITED_NODES

用途

データベースへのアクセスを許可するクライアントを指定します。両方のリストが存在する場合は、このリストがTCP.EXCLUDED_NODESパラメータよりも優先されます。

構文

TCP.INVITED_NODES=(hostname | ip_address, hostname | ip_address, ...)

使用上のノート

• このパラメータは、TCP.VALIDNODE_CHECKINGパラメータがyesに設定されている場合にのみ有効です。

• このパラメータは、IPv4アドレスにワイルドカードを使用でき、IPv4およびIPv6アドレスにはCIDR表記を使用できます。

例

TCP.INVITED_NODES=(sales.us.example.com, hr.us.example.com, 192.0.*,
 2001:DB8:200C:433B/32)

5.2.78 TCP.NODELAY

用途

TCP/IPプロトコル・スタック内でバッファ・フラッシングの遅延を回避します。

デフォルト

yes

値

yes | no

例

TCP.NODELAY=yes

5.2.79 TCP.QUEUESIZE

用途

TCPリスニング・ソケットで保留中の接続用キューの最大長を構成します。

デフォルト

システム定義された最大値。Linuxに定義された最大値は128です。

値

システム定義された最大値までの任意の整数値。

例

TCP.QUEUESIZE=100

5.2.80 TCP.VALIDNODE_CHECKING

用途

着信接続を確認して、有効なノードを有効または無効にします。

使用上のノート

このパラメータがyesに設定されていると、着信接続がTCP.INVITED_NODESまたはTCP.EXCLUDED_NODESパラメータで指定されているリストに適合しているノードから発信されている場合にのみ、着信接続が許可されます。

TCP.INVITED_NODESおよびTCP.EXCLUDED_NODESパラメータは、TCP.VALIDNODE_CHECKINGパラメータがyesに設定されている場合にのみ有効です。

このパラメータおよびそれに依存するパラメータである、TCP.INVITED_NODESおよびTCP.EXCLUDED_NODESは、リスナーのsqlnet.oraファイルに設定する必要があります。これは、Oracle Grid Infrastructureホームからリスナーが実行されるOracle RAC環境において重要です。データベース・ホームにパラメータを設定してもOracle RAC環境には影響しません。そのような環境では、すべてのSingle Client Access Name (SCAN)、仮想IP (VIP)、ローカルIPのアドレスをTCP.INVITED_NODESリストに含める必要があります。

VLAN環境では、Oracle Grid Infrastructureホームにあるsqlnet.oraファイルに、すべてのVLANのすべてのアドレスを含める必要があります。VLANはネットワークの分離を実行し、INVITED_NODESはVLAN内のデータベースへのアクセスを許可または制限します。

同じVLAN内の複数のデータベースに異なるINVITED_NODEリストが必要な場合は、個別のリスナーが必要になります。

デフォルト

no

値

yes | no

例

TCP.VALIDNODE_CHECKING=yes

5.2.81 TNSPING.TRACE_DIRECTORY

用途

TNSPINGユーティリティのトレース・ファイル(tnsping.trc)の宛先ディレクトリを指定します。

デフォルト

ORACLE_HOME/network/traceディレクトリ

例

TNSPING.TRACE_DIRECTORY=/oracle/traces

5.2.82 TNSPING.TRACE_LEVEL

用途

TNSPINGユーティリティのトレースをオン(指定されたレベルで)またはオフに切り替えます。

デフォルト

off

値

• off: トレースを出力しません。

• user: ユーザー用のトレース情報を出力します。

• admin: 管理用のトレース情報を出力します。

• support: Oracleサポート・サービス用のトレース情報を出力します。

例

TNSPING.TRACE_LEVEL=admin

5.2.83 USE_CMAN

用途

クライアントのOracle Connection Managerへの経路指定に使用します。

使用上のノート

trueに設定すると、クライアントはOracle Connection Managerのプロトコル・アドレスに経路指定されます。

falseに設定した場合、クライアントはアドレス・リストの1つを無作為に選択し、選択したADDRESS_LISTに障害がある場合、もう一方のアドレス・リストにフェイルオーバーします。USE_CMAN=trueの場合、クライアントは、常に最初のアドレス・リストを使用します。

Oracle Connection Managerのアドレスが使用可能でない場合、接続は使用可能なリスナー・アドレスを介して経路指定されます。

デフォルト

false

値

true | false

例

USE_CMAN=true

5.2.84 USE_DEDICATED_SERVER

用途

クライアントが使用する接続記述子のCONNECT_DATAセクションに(SERVER=dedicated)を追加します。

使用上のノート

tnsnames.oraファイルにあるSERVERパラメータの現在の値を上書きします。

onに設定すると、USE_DEDICATED_SERVERパラメータによって(SERVER=dedicated)が接続記述子の接続データに自動的に追加されます。この方法によって、このクライアントからの接続では、共有サーバーが構成されている場合でも、専用サーバー・プロセスが使用されます。

デフォルト

off

値

• on: (SERVER=dedicated)が追加されます。

• off: リクエストを既存のサーバー・プロセスに送ります。

例

USE_DEDICATED_SERVER=on

関連項目:

構成情報の詳細は、『Oracle Database Net Services管理者ガイド』を参照してください。

5.2.85 WALLET_LOCATION

用途

ウォレットの位置を指定します。ウォレットは、SSLによって処理される証明書、キーおよびトラストポイントです。

使用上のノート

Microsoft Certificate Store(MCS)はウォレットを使用しないため、MCSのキー/値ペアにはMETHOD_DATAパラメータがありません。かわりに、Oracle PKI(公開キー・インフラストラクチャ)アプリケーションは、証明書、トラストポイントおよび秘密キーをユーザーのプロファイルから直接取得します。

OracleウォレットがMicrosoft Windowsレジストリに格納されており、そのウォレットのキー(KEY)がSALESAPPの場合、暗号化されたウォレットの格納場所は、HKEY_CURRENT_USER\SOFTWARE\ORACLE\WALLETS\SALESAPP\EWALLET.P12です。復号化されたウォレットの格納場所は、HKEY_CURRENT_USER\SOFTWARE\ORACLE\WALLETS\SALESAPP\CWALLET.SSOです。

構文

構文は、次のとおり、ウォレットによって異なります。

• ファイル・システムでのOracleウォレット:

  WALLET_LOCATION=
    (SOURCE=
      (METHOD=file)
      (METHOD_DATA=
         (DIRECTORY=directory)
         [(PKCS11=TRUE/FALSE)]))
  

• Microsoft証明ストア

  WALLET_LOCATION=
    (SOURCE=
       (METHOD=mcs))
  

• Microsoft Windowsレジストリ内のOracleウォレット:

  WALLET_LOCATION=
     (SOURCE=
        (METHOD=reg)
        (METHOD_DATA=
           (KEY=registry_key)))
  

• Entrustウォレット:

  WALLET_LOCATION=
     (SOURCE=
        (METHOD=entr)
        (METHOD_DATA=
           (PROFILE=file.epf)
           (INIFILE=file.ini)))

追加のパラメータ

WALLET_LOCATIONは、次のパラメータをサポートします。

• SOURCE: ウォレットの格納タイプと格納場所

• METHOD: 格納タイプ

• METHOD_DATA: 格納場所

• DIRECTORY: ファイル・システムでのOracleウォレットの位置

• KEY: ウォレット・タイプとMicrosoft Windowsレジストリ内の位置

• PROFILE: Entrustプロファイル・ファイル(.epf)

• INIFILE: Entrust初期化ファイル(.ini)

デフォルト

なし

値

true | false

例

ファイル・システムでのOracleウォレット:

WALLET_LOCATION=  
  (SOURCE=
      (METHOD=file)
      (METHOD_DATA=  
         (DIRECTORY=/etc/oracle/wallets/databases)))

Microsoft証明ストア

WALLET_LOCATION=
   (SOURCE=
     (METHOD=mcs))
   

Microsoft Windowsレジストリ内のOracleウォレット:

WALLET_LOCATION=
   (SOURCE=
     (METHOD=REG)
     (METHOD_DATA=
        (KEY=SALESAPP)))

Entrustウォレット:

WALLET_LOCATION=
   (SOURCE=
     (METHOD=entr)
     (METHOD_DATA=
       (PROFILE=/etc/oracle/wallets/test.epf)
       (INIFILE=/etc/oracle/wallets/test.ini)))

関連項目:

『Oracle Databaseエンタープライズ・ユーザー・セキュリティ管理者ガイド』

5.3 sqlnet.oraファイルのADR診断パラメータ

Oracle Database 11gより、Oracle Databaseには、問題の回避、検出、診断および解決のため詳細な障害診断可能インフラストラクチャが組み込まれています。対象となる問題は、データベース・コードの不具合、メタデータの破損およびカスタマ・データの破損が原因で発生したエラーなどのクリティカル・エラーです。

クリティカル・エラーが発生すると、そのエラーにはインシデント番号が割り当てられ、トレースやダンプなどのエラーの診断データが即座に取得され、インシデント番号でタグ付けされます。データは、自動診断リポジトリ(ADR)(データベースの外にあるファイルベースのリポジトリ)に格納されます。

この項では、ADRが有効な場合に使用されるパラメータについて説明します。ADRが有効な場合、sqlnet.oraファイルにリストされているADR以外のパラメータは無視されます。「sqlnet.oraファイルのADR以外の診断パラメータ」 「sqlnet.oraファイルのADR以外の診断パラメータ」では、ADRが無効な場合に使用されるパラメータについて説明します。ADRはデフォルトで有効になります。

ADRが有効な場合(DIAG_ADR_ENABLEDがonに設定されている場合)、次のsqlnet.oraパラメータが使用されます。

• ADR_BASE

• DIAG_ADR_ENABLED

• TRACE_LEVEL_CLIENT

• TRACE_LEVEL_SERVER

• TRACE_TIMESTAMP_CLIENT

• TRACE_TIMESTAMP_SERVER

5.3.1 ADR_BASE

sqlnet.oraファイル内の診断パラメータであり、ADRファイルのベースの場所を指定します。

用途

ADRが有効な場合に、トレース中およびロギング中のインシデントが格納されるベース・ディレクトリを指定します。

使用上のノート

このパラメータは、クライアントにのみ適用されます。サーバー側では、ADRベースの場所は、init.oraファイルのDIAGNOSTIC_DEST初期化パラメータによって定義されます。Oracle DatabaseリファレンスのDIAGNOSTIC_DESTを参照してください。

デフォルト

ORACLE_BASEまたはORACLE_HOME/log (ORACLE_BASEが定義されていない場合)

値

書込み権限を持つディレクトリへの任意の有効なディレクトリ・パス

例

ADR_BASE=/oracle/network/trace

5.3.2 DIAG_ADR_ENABLED

用途

ADRトレースが有効かどうかを指定します。

使用上のノート

DIAG_ADR_ENABLEDパラメータがOFFに設定されている場合は、ADR以外のファイル・トレースが使用されます。

デフォルト

on

値

on | off

例

DIAG_ADR_ENABLED=on

5.3.3 TRACE_LEVEL_CLIENT

用途

クライアントのトレースをオン(指定されたレベルで)またはオフに切り替えます。

使用上のノート

このパラメータは、ADR以外のトレースを使用している場合にも適用できます。

デフォルト

offまたは0

値

• offまたは0: トレースを出力しません。

• userまたは4: ユーザー用のトレース情報を出力します。

• adminまたは10: 管理用のトレース情報を出力します。

• supportまたは16: Oracleサポート・サービス用のトレース情報を出力します。

例

TRACE_LEVEL_CLIENT=user

5.3.4 TRACE_LEVEL_SERVER

用途

サーバーのトレースをオン(指定されたレベルで)またはオフに切り替えます。

使用上のノート

このパラメータは、ADR以外のトレースを使用している場合にも適用できます。

デフォルト

offまたは0

値

• offまたは0: トレースを出力しません。

• userまたは4: ユーザー用のトレース情報を出力します。

• adminまたは10: 管理用のトレース情報を出力します。

• supportまたは16: Oracleサポート・サービス用のトレース情報を出力します。

例

TRACE_LEVEL_SERVER=admin

5.3.5 TRACE_TIMESTAMP_CLIENT

用途

dd-mmm-yyyy hh:mm:ss:mil形式のタイムスタンプをクライアント・トレース・ファイル内の各トレース・イベントに追加します。このトレース・ファイルのデフォルトの名前はsqlnet.trcです。

使用上のノート

このパラメータは、ADR以外のトレースを使用している場合にも適用できます。

デフォルト

on

値

onまたはtrue | offまたはfalse

例

TRACE_TIMESTAMP_CLIENT=true

5.3.6 TRACE_TIMESTAMP_SERVER

用途

dd-mmm-yyyy hh:mm:ss:mil形式のタイムスタンプをデータベース・サーバー・トレース・ファイル内の各トレース・イベントに追加します。このトレース・ファイルのデフォルトの名前はsvr_pid.trcです。

使用上のノート

このパラメータは、ADR以外のトレースを使用している場合にも適用できます。

デフォルト

on

値

onまたはtrue | offまたはfalse

例

TRACE_TIMESTAMP_SERVER=true

5.4 sqlnet.oraファイルのADR以外の診断パラメータ

この項では、ADRが無効な場合に使用されるsqlnet.oraパラメータについて説明します。

ノート:

DIAG_ADR_ENABLEDのデフォルト値はonです。したがって、ADR以外のトレースを使用するためには、DIAG_ADR_ENABLEDパラメータを明示的にoffに設定する必要があります。

• LOG_DIRECTORY_CLIENT

• LOG_DIRECTORY_SERVER

• LOG_FILE_CLIENT

• LOG_FILE_SERVER

• TRACE_DIRECTORY_CLIENT

• TRACE_DIRECTORY_SERVER

• TRACE_FILE_CLIENT

• TRACE_FILE_SERVER

• TRACE_FILELEN_CLIENT

• TRACE_FILELEN_SERVER

• TRACE_FILENO_CLIENT

• TRACE_FILENO_SERVER

• TRACE_UNIQUE_CLIENT

5.4.1 LOG_DIRECTORY_CLIENT

用途

クライアントのログ・ファイルの宛先ディレクトリを指定します。

使用上のノート

このパラメータは、ADRが有効でない場合に使用します。

デフォルト

ORACLE_HOME/network/log

値

任意の有効ディレクトリ・パス

例

LOG_DIRECTORY_CLIENT=/oracle/network/log

5.4.2 LOG_DIRECTORY_SERVER

用途

データベース・サーバーのログ・ファイルの宛先ディレクトリを指定します。

使用上のノート

このパラメータは、ADRが有効でない場合に使用します。

デフォルト

ORACLE_HOME/network/trace

値

書込み権限を持つディレクトリへの任意の有効なディレクトリ・パス

例

LOG_DIRECTORY_SERVER=/oracle/network/trace

5.4.3 LOG_FILE_CLIENT

用途

クライアントのログ・ファイル名を指定します。

使用上のノート

このパラメータは、ADRが有効でない場合に使用します。

デフォルト

ORACLE_HOME/network/log/sqlnet.log

値

デフォルト値は変更できません。

5.4.4 LOG_FILE_SERVER

用途

データベース・サーバーのログ・ファイル名を指定します。

使用上のノート

このパラメータは、ADRが有効でない場合に使用します。

デフォルト

sqlnet.log

値

書込み権限を持つディレクトリへの任意の有効なディレクトリ・パス

例

LOG_FILE_SERVER=svr.log

5.4.5 TRACE_DIRECTORY_CLIENT

用途

クライアントのトレース・ファイルの宛先ディレクトリを指定します。

使用上のノート

このパラメータは、ADRが有効でない場合に使用します。

デフォルト

ORACLE_HOME/network/trace

値

書込み権限を持つディレクトリへの任意の有効なディレクトリ・パス

例

TRACE_DIRECTORY_CLIENT=/oracle/traces

5.4.6 TRACE_DIRECTORY_SERVER

用途

データベース・サーバーのトレース・ファイルの宛先ディレクトリを指定します。このパラメータは、ADRが有効でない場合に使用します。

デフォルト

 ORACLE_HOME/network/trace

値

書込み権限を持つディレクトリへの任意の有効なディレクトリ・パス

例

TRACE_DIRECTORY_SERVER=/oracle/traces

5.4.7 TRACE_FILE_CLIENT

用途

クライアントのトレース・ファイル名を指定します。

使用上のノート

このパラメータは、ADRが有効でない場合に使用します。

デフォルト

ORACLE_HOME/network/trace/cli.trc

値

任意の有効ファイル名

例

TRACE_FILE_CLIENT=clientsqlnet.trc

5.4.8 TRACE_FILE_SERVER

用途

データベース・サーバー・トレース出力の出力先ディレクトリを指定します。

使用上のノート

このパラメータは、ADRが有効でない場合に使用します。

デフォルト

ORACLE_HOME/network/trace/svr_pid.trc

値

任意の有効ファイル名プロセス識別子(pid)が名前に自動的に付加されます。

例

TRACE_FILE_SERVER=svrsqlnet.trc

5.4.9 TRACE_FILEAGE_CLIENT

用途

クライアント・トレース・ファイルの最大経過期間を分数で指定します。

使用上のノート

保持期間制限に達すると、トレース情報は次のファイルに書き込まれます。ファイルの数は、TRACE_FILENO_CLIENTパラメータで指定します。このパラメータは、ADRが有効でない場合に使用します。

デフォルト

無制限

これはパラメータを0に設定するのと同じです。

例5-2

TRACE_FILEAGE_CLIENT=60

5.4.10 TRACE_FILEAGE_SERVER

用途

データベース・サーバー・トレース・ファイルの最大経過期間を分数で指定します。

使用上のノート

保持期間制限に達すると、トレース情報は次のファイルに書き込まれます。ファイルの数は、TRACE_FILENO_SERVERパラメータで指定します。このパラメータは、ADRが有効でない場合に使用します。

デフォルト

無制限

これはパラメータを0に設定するのと同じです。

例5-3

TRACE_FILEAGE_SERVER=60

5.4.11 TRACE_FILELEN_CLIENT

用途

クライアントのトレース・ファイルのサイズをキロバイト(KB)で指定します。

使用上のノート

このサイズに達すると、トレース情報は次のファイルに書き込まれます。ファイルの数は、TRACE_FILENO_CLIENTパラメータで指定します。このパラメータは、ADRが有効でない場合に使用します。

例

TRACE_FILELEN_CLIENT=100

5.4.12 TRACE_FILELEN_SERVER

用途

データベース・サーバーのトレース・ファイルのサイズをキロバイト(KB)で指定します。

使用上のノート

このサイズに達すると、トレース情報は次のファイルに書き込まれます。ファイルの数は、TRACE_FILENO_SERVERパラメータで指定します。このパラメータは、ADRが有効でない場合に使用します。

例

TRACE_FILELEN_SERVER=100

5.4.13 TRACE_FILENO_CLIENT

用途

クライアント・トレースのためのトレース・ファイルの数を指定します。

使用上のノート

このパラメータがTRACE_FILELEN_CLIENTパラメータとともに設定されている場合、トレース・ファイルは循環方式で使用されます。最初のファイルが満杯になると、2番目のファイルを使用します(その後、同様に続きます)。最後のファイルが満杯になると、最初のファイルが再利用されます(その後、同様に続きます)。

このパラメータがTRACE_FILEAGE_CLIENTパラメータとともに設定されている場合、トレース・ファイルは経過期間に基づいて循環使用されます。最初のファイルが経過期間制限に達するまで使用されてから、2番目のファイルが使用され、その後、同様に続きます。最後のファイルの保持期間制限に達すると、最初のファイルが再利用され、以降、同様に繰り返されます。

このパラメータがTRACE_FILELEN_CLIENTとTRACE_FILEAGE_CLIENTの両方のパラメータとともに設定されている場合、サイズ制限または経過期間制限のいずれかに達したときにトレース・ファイルが循環使用されます。

トレース・ファイル名は、順序番号によって識別されます。たとえば、デフォルトのトレース・ファイルsqlnet.trcが使用されている場合に、このパラメータを3に設定すると、トレース・ファイル名はsqlnet1.trc、sqlnet2.trcおよびsqlnet3.trcとなります。

また、トレース・ファイル内のトレース・イベントの前には、そのファイルの順序番号が付きます。このパラメータは、ADRが有効でない場合に使用します。

デフォルト

なし

例

TRACE_FILENO_CLIENT=3

5.4.14 TRACE_FILENO_SERVER

用途

データベース・サーバー・トレースのためのトレース・ファイルの数を指定します。

使用上のノート

このパラメータがTRACE_FILELEN_SERVERパラメータとともに設定されている場合、トレース・ファイルは循環方式で使用されます。最初のファイルが満杯になると、2番目のファイルを使用します(その後、同様に続きます)。最後のファイルが満杯になると、最初のファイルが再利用されます(その後、同様に続きます)。

このパラメータがTRACE_FILEAGE_SERVERパラメータとともに設定されている場合、トレース・ファイルはトレース・ファイルの経過期間に基づいて循環使用されます。最初のファイルが経過期間制限に達するまで使用されてから、2番目のファイルが使用され、その後、同様に続きます。最後のファイルの保持期間制限に達すると、最初のファイルが再利用され、以降、同様に繰り返されます。

このパラメータがTRACE_FILELEN_SERVERとTRACE_FILEAGE_SERVERの両方のパラメータとともに設定されている場合、サイズ制限または経過期間制限のいずれかに達したときにトレース・ファイルが循環使用されます。

トレース・ファイル名は、順序番号によって識別されます。たとえば、デフォルトのトレース・ファイルsvr_pid.trcを使用し、このパラメータを3に設定すると、トレース・ファイル名はsvr1_pid.trc、svr2_pid.trcおよびsvr3_pid.trcになります。

また、トレース・ファイル内のトレース・イベントの前には、そのファイルの順序番号が付きます。このパラメータは、ADRが有効でない場合に使用します。

デフォルト

なし

例

TRACE_FILENO_SERVER=3

5.4.15 TRACE_UNIQUE_CLIENT

用途

各クライアント・トレース・セッションに対して一意のトレース・ファイルを作成するかどうかを指定します。

使用上のノート

値をonに設定すると、プロセス識別子が各トレース・ファイルの名前に追加され、複数のファイルの共存が可能になります。たとえば、デフォルトのトレース・ファイル名sqlnet.trcを使用すると、トレース・ファイルsqlnetpid.trcが作成されます。値をoffに設定すると、新規クライアント・トレース・セッションからのデータによって、既存のファイルが上書きされます。このパラメータは、ADRが有効でない場合に使用します。

デフォルト

on

値

onまたはoff

例

TRACE_UNIQUE_CLIENT=on