管理者、オペレータ、ユーザーおよびロールを手動で構成して、オペレーティング・システムに認証させます。
手動による構成では、Oracle Databaseのコマンドライン・ツールを使用して、レジストリを編集し、「Active Directoryユーザーとコンピュータ」でローカル・グループを作成します。
次のものはすべて、Oracle Databaseにパスワードなしでアクセスできるように手動で構成することができます。
外部オペレーティング・システム・ユーザー
Windowsデータベース管理者(SYSDBA
権限を持つ)
Windowsデータベース・オペレータ(SYSOPER
権限を持つ)
また、ローカルおよび外部データベース・ロールを手動で作成し、Windowsドメイン・ユーザーおよびグローバル・グループに付与できます。
この項の内容は、次のとおりです。
外部オペレーティング・システム・ユーザーの手動による作成について
Windowsを使用して外部オペレーティング・システム・ユーザー(データベース管理者以外)を認証し、パスワードなしでデータベースにアクセスできるようにする方法を説明します。Windowsを使用して外部オペレーティング・システム・ユーザーを認証する場合、データベースのユーザー名へのアクセス制限は、オペレーティング・システムにのみ依存します。
複数のデータベースに対する管理者権限、オペレータ権限およびタスク固有の権限の手動による付与の概要
Windowsにより、データベース管理者(SYSDBA
)権限、データベース・オペレータ(SYSOPER
)権限、およびASMのデータベース管理者(SYSASM
)権限、および新しいタスク固有でORA_DBA/SYSDBA
システム権限よりも低い権限を、データベース管理者に対して付与する方法を説明します。
Oracle Databaseのインストール中、ORA_INSTALL、ORA_DBA、ORA_OPER、ORA_HOMENAME_DBA、ORA_HOMENAME_OPER、ORA_HOMENAME_SYSDG、ORA_HOMENAME_SYSBACKUP、ORA_HOMENAME_SYSKM、ORA_ASMADMIN、ORA_ASMDBA
およびORA_ASMOPER
ユーザー・グループは必要な権限で自動的に作成されます。
WindowsでOracle Databaseロール(外部ロールとも呼ばれます)をユーザーに直接付与する方法を説明します。Windowsを使用してユーザーを認証する場合、Windowsローカル・グループによりこれらのユーザーに外部ロールを付与できます。
ローカル・ユーザーまたは外部ユーザーは、User Migration Utilityを使用してエンタープライズ・ユーザーに移行できます。データベース・ユーザー・モデルからエンタープライズ・ユーザー・モデルに移行することで、企業の環境における管理、セキュリティおよびユーザビリティの問題への解決策が提供されます。エンタープライズ・ユーザー・モデルでは、すべてのユーザー情報がLDAPディレクトリ・サービスに移動されるため、次のような利点があります。
注意:
管理者、オペレータ、ユーザーおよびロールを手動で構成して、オペレーティング・システムに認証させる場合は、十分に注意する必要があります。
SYSDBA
)権限、データベース・オペレータ(SYSOPER
)権限、およびASMのデータベース管理者(SYSASM
)権限、および新しいタスク固有でORA_DBA
/SYSDBA
システム権限よりも低い権限を、データベース管理者に対して付与する方法を説明します。 親トピック: Windowsでの外部ユーザーおよびロールの管理
Windowsを使用して外部オペレーティング・システム・ユーザー(データベース管理者以外)を認証し、パスワードなしでデータベースにアクセスできるようにする方法を説明します。
Windowsを使用して外部オペレーティング・システム・ユーザーを認証する場合、データベースのユーザー名へのアクセス制限は、オペレーティング・システムにのみ依存します。
Windowsローカル・ユーザーをOracleホームのOracleホーム・ユーザーとして使用する場合、Windowsローカル・ユーザーの外部ユーザー認証は同じコンピュータからのみサポートされます。同じコンピュータまたは異なるコンピュータからのWindowsドメイン・ユーザーの外部ユーザー認証をサポートするには、Windowsドメイン・ユーザーまたはWindows組込みユーザーをOracleホーム・ユーザーとして使用することをお薦めします。
次の手順では、2つのWindowsユーザー名が認証されます。
ローカル・ユーザーjones
ドメインsales
のドメイン・ユーザーjones
ローカル・ユーザーjones
は、別のコンピュータ上に存在している可能性があるOracle Databaseサーバーにアクセスするために、そのローカルWindowsクライアント・コンピュータにログインします。別のコンピュータ上の別のデータベースやリソースにアクセスする場合には、アクセスするたびにローカル・ユーザーのユーザー名とパスワードが必要になります。
ドメインsales
のドメイン・ユーザーjones
は、多数の他のWindowsコンピュータおよびリソースを含み、そのうちの1つにOracle Databaseサーバーがあるsales
ドメインにログオンします。ドメイン・ユーザーは、ドメインのすべてのリソースに1つのユーザー名およびパスワードでアクセスできます。
親トピック: 外部ユーザーおよびロールの手動による管理の概要
外部ユーザー認証タスクを実行するには、この手順を使用します。
Oracle Databaseサーバーで次のように外部ユーザー認証タスクを実行します。
Windowsにより、データベース管理者(SYSDBA
)権限、データベース・オペレータ(SYSOPER
)権限、およびASMのデータベース管理者(SYSASM
)権限、および新しいタスク固有でORA_DBA
/SYSDBA
システム権限よりも低い権限を、データベース管理者に対して付与する方法を説明します。
これらの権限では、管理者はクライアント・コンピュータから次のコマンドを発行し、Oracle Databaseへパスワードを入力せずに接続することができます。
SQL> CONNECT / AS SYSOPER SQL> CONNECT / AS SYSDBA SQL> CONNECT / AS SYSASM SQL> CONNECT / AS SYSBACKUP SQL> CONNECT / AS SYSDG SQL> CONNECT / AS SYSKM
この機能を使用できるようにするには、管理者のWindowsローカル・ユーザー名またはドメイン・ユーザー名が、「SYSDBA、SYSOPER、SYSASM、SYSDG、SYSBACKUPおよびSYSKM権限を持つWindowsローカル・グループ」に示されたWindowsローカル・グループのいずれかに属している必要があります。
表11-1 SYSDBA、SYSOPER、SYSASM、SYSDG、SYSBACKUPおよびSYSKM権限を持つWindowsローカル・グループ
ローカル・グループ | システム権限 |
---|---|
|
コンピュータ上のすべてのデータベースに対する |
|
コンピュータ上のすべてのデータベースに対する |
|
単一データベースに対する |
|
単一データベースに対する |
|
指定したOracleホームのすべてのデータベース・インスタンスに対する |
|
指定したOracleホームから実行するすべてのデータベース・インスタンスを開始および停止するための |
|
特定のOracleホームから実行するすべてのデータベース・インスタンスに対する |
|
特定のOracleホームから実行するすべてのデータベース・インスタンスに対する |
|
特定のOracleホームから実行するすべてのデータベース・インスタンスに対する |
|
コンピュータのすべてのASMインスタンスに対する |
|
コンピュータのすべてのASMインスタンスに対する |
|
コンピュータのすべてのASMインスタンスに対する |
注意
上記の表に示したすべてのグループはインストール中に自動的に作成され、Oracleホーム・ユーザーは自動的にORA_
HOMENAME
_DBA
グループに追加されます。詳細は、「インストール時に使用可能になるオペレーティング・システムの認証の概要」を参照してください。
関連項目:
『Oracle Database管理者ガイド』
Oracle Automatic Storage Management管理者ガイド
データベース管理者がSYSOPER
、SYSDBA
、SYSASM
、SYSDG
、SYSKM
またはSYSBACKUP
としてパスワードなしで接続できるように手動で設定する手順には次の2つがあり、タスクが実行されるコンピュータにより異なります。
親トピック: 外部ユーザーおよびロールの手動による管理の概要
新しいユーザーとユーザー・グループを管理する方法について説明します。
Oracle Databaseのインストール中、ORA_INSTALL
、ORA_DBA
、ORA_OPER
、ORA_
HOMENAME
_DBA
、ORA_
HOMENAME
_OPER
、ORA_
HOMENAME
_SYSDG
、ORA_
HOMENAME
_SYSBACKUP
、ORA_
HOMENAME
_SYSKM
、ORA_ASMADMIN
、ORA_ASMDBA
およびORA_ASMOPER
ユーザー・グループは必要な権限で自動的に作成されます。
関連項目:
『Oracle Databaseインストレーション・ガイド
Oracle Grid Infrastructureインストレーションおよびアップグレード・ガイドfor Microsoft Windows x64 (64ビット)
親トピック: 外部ユーザーおよびロールの手動による管理の概要
WindowsでOracle Databaseロール(外部ロールとも呼ばれます)をユーザーに直接付与する方法を説明します。
Windowsを使用してユーザーを認証する場合、Windowsローカル・グループによりこれらのユーザーに外部ロールを付与できます。
ユーザーが接続すると、これらのロールに対するすべての権限がアクティブになります。外部ロールを使用する場合、すべてのロールはオペレーティング・システムを介して付与および管理されます。外部ロールとOracle Databaseロールの両方を同時に使用することはできません。
次に例を示します。外部ロールを使用できるように設定し、ドメイン・ユーザー名sales\jones
(sales
はドメイン名、jones
はドメイン・ユーザー名)でWindowsドメインにログオンします。次に、Oracle DatabaseにOracle Databaseユーザーsmith
として接続します。この場合に付与されるロールは、sales\jones
に付与されるロールであり、smithに付与されるロールではありません
。
外部ロールを手動で作成する手順には次の2つがあり、認証タスクが実行されるコンピュータにより異なります。
親トピック: 外部ユーザーおよびロールの手動による管理の概要
Oracle Databaseサーバーで外部ロール認証タスクを実行する方法について説明します。
関連項目:
ユーザーおよびグループの管理方法は、オペレーティング・システムのドキュメントを参照してください。
親トピック: 外部ロールの手動による作成の概要
ローカル・ユーザーまたは外部ユーザーは、User Migration Utilityを使用してエンタープライズ・ユーザーに移行できます。
データベース・ユーザー・モデルからエンタープライズ・ユーザー・モデルに移行することで、企業の環境における管理、セキュリティおよびユーザビリティの問題への解決策が提供されます。エンタープライズ・ユーザー・モデルでは、すべてのユーザー情報がLDAPディレクトリ・サービスに移動されるため、次のような利点があります。
ユーザー情報の一元的な格納および管理
ユーザー認証の一元管理
セキュリティの強化
User Migration Utilityはコマンドライン・ツールです。次のような形式の構文です。
C:\ umu parameters
User Migration Utilityパラメータのリストを取得するには、次のように入力します。
C:\ umu help=yes
関連項目:
『Oracle Databaseエンタープライズ・ユーザー・セキュリティ管理者ガイド』の「ユーザー移行ユーティリティの使用」に関する項
親トピック: 外部ユーザーおよびロールの手動による管理の概要