24 RADIUS認証の構成

RADIUSは、リモート認証およびアクセスを実現するために広く使用されているクライアント/サーバー・セキュリティ・プロトコルです。

• RADIUS認証の構成について
  Oracle Databaseでは、ユーザー認証にRADIUS標準がサポートされています。
• RADIUSの構成要素
  RADIUSには、構成設定を管理できる一連の認証の構成要素があります。
• RADIUS認証モード
  RADIUSサーバーは、FIDOやテキスト・メッセージ認証コードなどのテクノロジを使用してユーザーを認証できます。また、Oracle Databaseでは、同期およびチャレンジ・レスポンス(async)認証モードがサポートされています。
• RADIUSパラメータ
  Oracleには、RADIUS固有のパラメータのセットが用意されています。
• RADIUS認証、認可およびアカウンティングの有効化
  RADIUS認証、認可およびアカウンティングは、コマンドラインから有効にできます。RADIUS認証は、Oracle Database 19.28で導入された最新の構成またはレガシー構成を使用して構成できます。
• RADIUSを使用したデータベースへのログイン
  RADIUSを使用してデータベースにログインするには、同期認証モードまたはチャレンジ・レスポンス・モードのいずれかを使用します。

24.1 RADIUS認証の構成について

Oracle Databaseでは、ユーザー認証にRADIUS標準がサポートされています。

RADIUSは、Oracleデータベースへのアクセスに使用される場合、マルチファクタ認証(MFA)によく使用されます。特定のMFAテクノロジ(スマート・カードやバイオメトリック・カードなど)は、RADIUSサーバーによって決まります。データベース・サーバーおよびクライアントは、MFAの非同期および同期の課題に対応しています。

Internet Engineering Task Force (IETF) RFC #2138 Remote Authentication Dial In User Service (RADIUS),およびRFC #2139 RADIUS Accountingの規格に準拠するRADIUSサーバーは、すべて使用できます。

Oracle Database 19.28以降では、Requests for Comments (RFC) 6613および6614のガイドラインと、最新の標準によるRADIUSセキュリティの更新をサポートするためにRADIUS APIが導入されました。

エンド・ユーザーから見ると、認証手続き全体は透過的です。ユーザーがOracleデータベース・サーバーにアクセスしようとすると、RADIUSクライアントとして機能するOracleデータベース・サーバーはRADIUSサーバーに通知します。RADIUSサーバーは次の処理を行います。

• ユーザーのセキュリティ情報を検索します。

• 適切な認証サーバー(複数可)とOracleデータベース・サーバーの間で認証および認可情報の受渡しを行います。

• Oracleデータベース・サーバーへのユーザー・アクセスを許可します。

• ユーザーがいつ、どのくらいの頻度で、どのくらいの時間、Oracleデータベース・サーバーに接続していたかなどのセッション情報をログに記録します。

  ノート:

  Oracle Databaseでは、データベース・リンクを介したRADIUS認証はサポートされません。

  RADIUSを使用するようにOracle Databaseを構成するには、sqlnet.oraファイルのパラメータを変更します。sqlnet.oraでの設定は、すべてのプラガブル・データベース(PDB)に適用されます。

図24-1に、Oracle Database-RADIUS環境を示します。

図24-1 Oracle環境でのRADIUS

「図24-1 Oracle環境でのRADIUS」の説明

Oracle DatabaseサーバーはRADIUSクライアントとして機能し、OracleクライアントとRADIUSサーバーの間で情報の受渡しを行います。同様に、RADIUSサーバーはOracleデータベース・サーバーと適切な認証サーバーの間で情報の受渡しを行います。

RADIUSサーバーのベンダーが認証サーバーのベンダーでもある場合も多くあります。この場合、RADIUSサーバーで認証を処理できます。

24.2 RADIUSの構成要素

RADIUSには、構成設定を管理できる一連の認証の構成要素があります。

表24-1に、認証の構成要素を示します。

表24-1 RADIUS認証の構成要素

構成要素	格納される情報
Oracleクライアント	RADIUSによる通信のための構成設定
Oracleデータベース・サーバー/RADIUSクライアント	OracleクライアントとRADIUSサーバーの間で情報の受渡しを行うための構成設定 秘密キー・ファイル
RADIUSサーバー	すべてのユーザーの認証および認可情報 各クライアントの名前またはIPアドレス 各クライアントの共有シークレット
認証サーバー(複数可)	パス・コードやPINなどのユーザー認証情報(使用中の認証方式によって異なる) ノート: RADIUSサーバーは認証サーバーになることもできます。

24.3 RADIUS認証モード

RADIUSサーバーは、FIDOやテキスト・メッセージ認証コードなどのテクノロジを使用してユーザーを認証できます。また、Oracle Databaseでは、同期およびチャレンジ・レスポンス(async)認証モードがサポートされています。

• 同期認証モード
  同期モードでは、ユーザーはパスワードと第2ファクタの両方をパスワード・フィールドに同時に入力します。この方法は、GUIチャレンジ・ウィンドウを開くことができないときにコマンドライン・インタフェースを使用する場合に適しています。
• チャレンジ・レスポンス(非同期)認証モード
  システムで非同期モードが使用されている場合、ユーザーは、SQL*Plus CONNECT文字列でユーザー名とパスワードを入力する必要はありません。

24.3.1 同期認証モード

同期モードでは、ユーザーはパスワードと第2ファクタの両方をパスワード・フィールドに同時に入力します。この方法は、GUIチャレンジ・ウィンドウを開くことができないときにコマンドライン・インタフェースを使用する場合に適しています。

• 同期認証モードの順序
  同期認証モードは6ステップの順序です。
• 例: トークンによる同期認証
  トークン認証では、各ユーザーにトークン・カードあり、60秒ごとに変わる動的番号が表示されます。

24.3.1.1 同期認証モードの順序

同期認証モードは6ステップの順序です。

図24-2に、同期認証が行われる順序を示します。

図24-2 同期認証の順序

「図24-2 同期認証のシーケンス」の説明

次のステップは、同期認証の順序を示しています。

1. ユーザーが、接続文字列、パス・コードまたはその他の値を入力してログインします。クライアント・システムは、このデータをOracleデータベース・サーバーに渡します。パス・コードは、多くの場合、パスワードの後にトークンまたはテキストの数字が続きます。両方の資格証明ファクタが同時に送信されます。

2. RADIUSクライアントとして機能するOracleデータベース・サーバーは、OracleクライアントからのデータをRADIUSサーバーに渡します。

3. RADIUSサーバーは、データを適切な認証サーバーに渡します。

4. 認証サーバーは、アクセス受入れまたはアクセス拒否メッセージをRADIUSサーバーに返します。

5. RADIUSサーバーは、このレスポンスをOracleデータベース・サーバー/RADIUSクライアントに渡します。

6. Oracleデータベース・サーバー/RADIUSクライアントは、レスポンスをOracleクライアントに返します。

24.3.1.2 例: トークンによる同期認証

トークン認証では、各ユーザーにトークン・カードあり、60秒ごとに変わる動的番号が表示されます。

Oracleデータベース・サーバー/RADIUSクライアントにアクセスするために、ユーザーは個人識別番号(PIN)とユーザーのトークンに現在表示されている動的番号の両方が含まれる有効なパス・コードを入力します。Oracleデータベース・サーバーは、Oracleクライアントからのこの認証情報をRADIUSサーバー(この場合は、検証のための認証サーバー)に渡します。これでユーザーは認証され、適切な表やアプリケーションにアクセスできます。

24.3.2 チャレンジ・レスポンス(非同期)認証モード

システムで非同期モードが使用されている場合、ユーザーは、SQL*Plus CONNECT文字列でユーザー名とパスワードを入力する必要はありません。

• チャレンジ・レスポンス(非同期)認証モードの順序
  チャレンジ・レスポンス(非同期)認証モードは12ステップの順序です。
• 例: スマートカードによる非同期認証
  スマートカード認証では、ユーザーは、スマートカードを読み取るスマートカード・リーダーにスマートカードを挿入することによってログインします。
• 例: トークンによる非同期認証
  非同期認証で使用されるトークン・タイプの1つとして、キーパッドとディスプレイがあります。

24.3.2.1 チャレンジ・レスポンス(非同期)認証モードの順序

チャレンジ・レスポンス(非同期)認証モードは12ステップの順序です。

ノート:

チャレンジ・レスポンス(非同期)認証モードは、Microsoft Windowsプラットフォーム上のOCI-Cクライアント・データベース・クライアントではサポートされていません。これには、OCI-Cクライアントを使用するすべてのシック・クライアントが含まれます。

図24-3に、チャレンジ・レスポンス(非同期)認証が行われる順序を示します。RADIUSサーバーが認証サーバーである場合、ステップ3、4、5およびステップ9、10、11は1つに結合されます。

図24-3 非同期認証の順序

「図24-3 非同期認証の順序」の説明

次のステップは、非同期認証の順序を示しています。

1. ユーザーが、Oracleデータベース・サーバーへの接続を開始します。クライアント・システムは、データをOracleデータベース・サーバーに渡します。

2. RADIUSクライアントとして機能するOracleデータベース・サーバーは、OracleクライアントからのデータをRADIUSサーバーに渡します。

3. RADIUSサーバーは、適切な認証サーバーにデータを渡すか、独自のローカル・データベースでユーザーを認証します。

4. 認証サーバーは、ランダム番号などのチャレンジをRADIUSサーバーに送信します。

5. RADIUSサーバーは、チャレンジをOracleデータベース・サーバー/RADIUSクライアントに渡します。

6. Oracleデータベース・サーバー/RADIUSクライアントは、それをOracleクライアントに渡します。グラフィカル・ユーザー・インタフェースで、ユーザーにチャレンジが表示されます。Oracleには、チャレンジの表示に使用するために変更できるJAVA GUIコードの例が用意されています。$ORACLE_HOME/network/jlibディレクトリのnetradius.jarおよびnetradius8.jarファイルを参照してください。(netradius8.jarファイルが最新です。)

7. ユーザーは、チャレンジに対するレスポンスを入力します。レスポンスを作成するために、ユーザーは、たとえば、受け取ったチャレンジをトークン・カードに入力できます。トークン・カードによって、グラフィカル・ユーザー・インタフェースに入力する動的なパスワードが提供されます。Oracleクライアントは、ユーザーのレスポンスをOracleデータベース・サーバー/RADIUSクライアントに渡します。

8. Oracleデータベース・サーバー/RADIUSクライアントは、ユーザーのレスポンスをRADIUSサーバーに送信します。

9. RADIUSサーバーは、検証のためにユーザーのレスポンスを適切な認証サーバーに渡します。

10. 認証サーバーは、アクセス受入れまたはアクセス拒否メッセージをRADIUSサーバーに返します。

11. RADIUSサーバーは、レスポンスをOracleデータベース・サーバー/RADIUSクライアントに渡します。

12. Oracleデータベース・サーバー/RADIUSクライアントは、レスポンスをOracleクライアントに渡します。

24.3.2.2 例: スマートカードによる非同期認証

スマートカード認証では、ユーザーは、スマートカードを読み取るスマートカード・リーダーにスマートカードを挿入することによってログインします。

スマートカードは、情報を格納するための集積回路が埋め込まれた、クレジット・カードのようなプラスチック・カードです。

Oracleクライアントは、Oracleデータベース・サーバー/RADIUSクライアントおよびRADIUSサーバーを経由して、スマートカードに含まれるログイン情報を認証サーバーに送信します。認証サーバーは、RADIUSサーバーおよびOracleデータベース・サーバーを経由してOracleクライアントにチャレンジを戻し、認証情報をユーザーに要求します。この情報は、PINやスマートカードに含まれている他の認証情報などです。

Oracleクライアントは、Oracleデータベース・サーバーおよびRADIUSサーバーを経由して、ユーザーのレスポンスを認証サーバーに送信します。ユーザーが有効な番号を入力した場合、認証サーバーはRADIUSサーバーおよびOracleデータベース・サーバーを経由して、受入れパケットをOracleクライアントに戻します。これでユーザーは認証され、適切な表やアプリケーションへのアクセスが認可されます。ユーザーが誤った情報を入力した場合、認証サーバーはユーザーのアクセスを拒否するメッセージを戻します。

24.3.2.3 例: トークンによる非同期認証

非同期認証で使用されるトークン・タイプの1つとして、キーパッドとディスプレイがあります。

ユーザーがパスワードを入力してOracleデータベース・サーバーにアクセスしようとすると、情報はOracleデータベース・サーバー/RADIUSクライアントおよびRADIUSサーバーを経由して、適切な認証サーバーに渡されます。認証サーバーは、RADIUSサーバーおよびOracleデータベース・サーバーを経由して、クライアントにチャレンジを戻します。ユーザーがそのチャレンジをトークンに入力すると、ユーザーがレスポンスで送信する番号がトークンに表示されます。

次に、Oracleクライアントは、Oracleデータベース・サーバーおよびRADIUSサーバーを経由して、ユーザーのレスポンスを認証サーバーに送信します。ユーザーが有効な番号を入力した場合、認証サーバーはRADIUSサーバーおよびOracleデータベース・サーバーを経由して、受入れパケットをOracleクライアントに戻します。これでユーザーは認証され、適切な表やアプリケーションへのアクセスが認可されます。ユーザーが誤ったレスポンスを入力した場合、認証サーバーはユーザーのアクセスを拒否するメッセージを戻します。

24.4 RADIUSのパラメータ

Oracleには、RADIUS固有のパラメータのセットが用意されています。

• クライアントおよびサーバーのRADIUSパラメータ
  Oracle Databaseには、RADIUS認証を使用するための、クライアントおよびサーバーのパラメータが用意されています。
• 最小限のRADIUSパラメータ
  少なくとも、SQLNET.AUTHENTICATION_SERVICESパラメータとSQLNET.RADIUS.AUTHENTICATIONパラメータを使用する必要があります。
• RADIUSの初期化ファイル・パラメータ
  RADIUSの場合、OS_AUTHENT_PREFIX初期化パラメータを設定します。

24.4.1 クライアントとサーバーのRADIUSパラメータ

Oracle Databaseには、RADIUS認証を使用するためのクライアントとサーバーのパラメータが用意されています。

次の表に、RADIUSを使用するクライアントとサーバーの構成ファイルに挿入するパラメータを示します。

表24-2 RADIUS認証パラメータ

パラメータ	説明
SQLNET.AUTHENTICATION_SERVICES	1つ以上の認証サービスを使用可能にします
SQLNET.RADIUS_ALTERNATE	プライマリ・サーバーが使用できない場合に、代替RADIUSサーバーを指定します
SQLNET.RADIUS_ALTERNATE_PORT	代替RADIUSサーバーのリスニング・ポートを指定します
SQLNET.RADIUS_ALTERNATE_RETRIES	データベースが代替RADIUSサーバーにメッセージを再送信する回数を指定します
SQLNET.RADIUS_ALTERNATE_TIMEOUT	代替RADIUSサーバーが応答を待機する時間を設定します
SQLNET.RADIUS_AUTHENTICATION	プライマリRADIUSサーバーの場所を、ホスト名またはIPアドレスで指定します
SQLNET.RADIUS_AUTHENTICATION_INTERFACE	ユーザーの対話操作のためのユーザー・インタフェースが含まれるクラスを指定します
SQLNET.RADIUS_AUTHENTICATION_PORT	プライマリRADIUSサーバーのリスニング・ポートを指定します
SQLNET.RADIUS_AUTHENTICATION_RETRIES	データベースがプライマリRADIUSサーバーにメッセージを再送する回数を指定します
SQLNET.RADIUS_AUTHENTICATION_TIMEOUT	データベースがプライマリRADIUSサーバーからの応答を待機する時間を指定します
SQLNET.RADIUS_CHALLENGE_KEYWORD	RADIUSサーバーからのチャレンジを要求するためのキーワードを設定します
SQLNET.RADIUS_CHALLENGE_RESPONSE	チャレンジ・レスポンスの有効化または無効化
SQLNET.RADIUS_CLASSPATH	JavaクラスとJDK Javaライブラリのパスを設定します
SQLNET.RADIUS_SECRET	RADIUSシークレット・キーの場所を指定します
SQLNET.RADIUS_SEND_ACCOUNTING	アカウントの有効化と無効化

24.4.2 最小限のRADIUSパラメータ

少なくとも、SQLNET.AUTHENTICATION_SERVICESパラメータとSQLNET.RADIUS.AUTHENTICATIONパラメータを使用する必要があります。

次の設定を使用します。

sqlnet.authentication_services = (radius)
sqlnet.radius.authentication   = IP-address-of-RADIUS-server

24.4.3 RADIUSの初期化ファイル・パラメータ

RADIUSの場合、OS_AUTHENT_PREFIX初期化パラメータを設定します。

たとえば:

OS_AUTHENT_PREFIX=""

24.5 RADIUS認証、認可およびアカウンティングの有効化

RADIUS認証、認可およびアカウンティングは、コマンドラインから有効にできます。RADIUS認証は、Oracle Database 19.28で導入された最新の構成またはレガシー構成を使用して構成できます。

Oracle Database 23aiでは、RFC 6613およびRFC 6614に基づいて更新されたRADIUS APIが導入されており、これがOracle Database 19.28にバックポートされています。新しいRADIUS APIをできるだけ早く使用するために移行の計画を開始することをお薦めします。新しいAPIはデフォルトで利用可能です。古いRADIUS APIに関連付けられた、次のパラメータも非推奨です: SQLNET.RADIUS_ALTERNATE、SQLNET.RADIUS_ALTERNATE_PORT、SQLNET.RADIUS_AUTHENTICATION、SQLNET.RADIUS_AUTHENTICATION_PORT。より新しいRADIUS APIを使用するようにデフォルトを変更する方法の詳細は、RADIUS APIのドキュメントを参照してください。

最新の構成: この構成は、デフォルトで利用できます。この構成方法を使用することをお薦めします。

レガシー構成: この構成はデフォルトで有効になっていますが、RFC (Request For Comments) 2138に基づくAPIは、Oracle Database 23ai以降では非推奨になっています。

非推奨のレガシー構成を使用するには、sqlnet.oraファイルにSQLNET.RADIUS_ALLOW_WEAK_CLIENTS=TRUEおよびSQLNET.RADIUS_ALLOW_WEAK_PROTOCOL=TRUEパラメータを追加します。

• 最新の構成
  最新の構成を使用してRADIUS認証を構成する方法について説明します。この構成方法を使用することをお薦めします。
• レガシー構成
  レガシー構成を使用してRADIUS認証を構成する方法について説明します。RFC (Request For Comments) 2138に基づくAPIは、Oracle Database 23ai以降では非推奨になっています。

24.5.1 最新の構成

最新の構成を使用してRADIUS認証を構成する方法について説明します。この構成方法を使用することをお薦めします。

• ステップ1: RADIUS認証の構成
  RADIUS認証を構成するには、Oracleクライアントで最初に認証を構成してからサーバーで構成する必要があります。その後、追加のRADIUS機能を構成できます。
• ステップ2: ユーザーの作成とアクセス権の付与
  RADIUS認証の完了後、RADIUS構成を担当するOracle Databaseユーザーを作成する必要があります。
• ステップ3: 外部RADIUS認可の構成(オプション)
  Oracleデータベースに接続する必要があるRADIUSユーザーに対して、Oracleサーバー、OracleクライアントおよびRADIUSサーバーを構成する必要があります。
• ステップ4: RADIUSアカウンティングの構成
  RADIUSアカウンティングは、Oracleデータベース・サーバーへのアクセスに関する情報をログに記録し、RADIUSアカウンティング・サーバー上のファイルに格納します。
• ステップ5: RADIUSクライアント名のRADIUSサーバー・データベースへの追加
  選択するRADIUSサーバーは、RADIUS標準に準拠している必要があります。
• ステップ6: RADIUSとともに使用する認証サーバーの構成
  RADIUSクライアント名をRADIUSサーバー・データベースに追加した後、RADIUSを使用するように認証サーバーを構成できます。
• ステップ7: 認証サーバーとともに使用するRADIUSサーバーの構成
  RADIUSで使用するように認証サーバーを構成した後、その認証サーバーを使用するようにRADIUSサーバーを構成できます。
• ステップ8: マッピング・ロールの構成
  RADIUSサーバーでベンダー・タイプ属性がサポートされている場合は、ロールをRADIUSサーバーに格納して管理できます。

24.5.1.1 ステップ1: RADIUS認証の構成

RADIUS認証を構成するには、Oracleクライアントで最初に認証を構成してからサーバーで構成する必要があります。その後、追加のRADIUS機能を構成できます。

• ステップ1A: OracleクライアントでのRADIUSの構成
  sqlnet.oraを使用して、OracleクライアントでRADIUSを構成できます。
• ステップ1B: Oracleデータベース・サーバーでのRADIUSの構成
  RADIUSキーを保持するファイルを作成して、Oracleデータベース・サーバー上にこのファイルを格納する必要があります。次に、sqlnet.oraファイルで適切なパラメータを構成する必要があります。
• ステップ1C: その他のRADIUS機能の構成
  デフォルト設定を変更し、チャレンジ・レスポンス・モードを構成して、代替RADIUSサーバーのパラメータを設定できます。

24.5.1.1.1 ステップ1A: OracleクライアントでのRADIUSの構成

sqlnet.oraを使用して、OracleクライアントでRADIUSを構成できます。

1. RADIUSを使用するOracle Databaseクライアントにログインします。
2. sqlnet.oraファイルでSQLNET.AUTHENTICATION_SERVICESパラメータを次のように変更します。

   SQLNET.AUTHENTICATION_SERVICES=(radius)

24.5.1.1.2 ステップ1B: Oracleデータベース・サーバーでのRADIUSの構成

RADIUSキーを保持するファイルを作成して、Oracleデータベース・サーバー上にこのファイルを格納する必要があります。次に、sqlnet.oraファイルで適切なパラメータを構成する必要があります。

• ステップ1B(1): Oracleデータベース・サーバーでのRADIUS秘密キー・ファイルの作成
  最初に、RADIUS秘密キー・ファイルを作成する必要があります。
• ステップ1B(2): サーバー(sqlnet.oraファイル)でのRADIUSパラメータの構成
  RADIUS秘密キー・ファイルの作成後、sqlnet.oraファイルで適切なパラメータを構成します。
• ステップ1B(3): Oracleデータベース・サーバー初期化パラメータの設定
  sqlnet.oraファイルの構成後、init.ora初期化ファイルを構成する必要があります。

24.5.1.1.2.1 ステップ1B(1): Oracleデータベース・サーバーでのRADIUS秘密キー・ファイルの作成

最初に、RADIUS秘密キー・ファイルを作成する必要があります。

1. RADIUSサーバーからRADIUS秘密キーを取得します。
   RADIUSクライアントごとに、RADIUSサーバーの管理者が共有秘密キーを作成します。長さは16文字以下である必要があります。
2. Oracleデータベース・サーバーで、次のディレクトリを作成します。

   • (UNIX) $ORACLE_HOME/network/security

   • (Windows) ORACLE_BASE\ORACLE_HOME\network\security

3. RADIUSサーバーからコピーした共有シークレットを格納するために、ファイルradius.keyを作成します。この手順の前半で作成したディレクトリにファイルを配置します。
4. 共有秘密キーをコピーし、このキーのみを、Oracleデータベース・サーバーに作成したradius.keyファイルに貼り付けます。
5. セキュリティのために、radius.keyのファイル権限を読取り専用に変更し、Oracle所有者のみがアクセスできるようにします。
   Oracleは、ファイル・システムに依存してこのファイルを秘密にします。

   関連項目:

   秘密キーの取得の詳細は、RADIUSサーバーの管理ドキュメントを参照してください。

24.5.1.1.2.2 ステップ1B(2): サーバー(sqlnet.oraファイル)でのRADIUSパラメータの構成

RADIUS秘密キー・ファイルの作成後、sqlnet.oraファイルで適切なパラメータを構成します。

ノート:

• Oracle Database 23ai以降、レガシーRADIUS APIを使用してデータベースに対して認証するユーザーには、管理権限が付与されなくなりました。

  以前のリリースでは、RADIUS APIで認証するユーザーには、SYSDBAやSYSBACKUPなどの管理権限を付与できました。Oracle Database 23aiのOracleでは、最新の標準を使用する新しいRADIUS APIが導入されています。ユーザーに管理権限を付与するには、必ず、データベースへのデータベース接続で新しいRADIUS APIを使用し、Oracle Database 23aiクライアントを使用してOracle Database 23aiサーバーに接続します。

• Oracle Database 23aiでは、RFC 6613およびRFC 6614に基づいて更新されたRADIUS APIが導入されており、これがOracle Database 19.28にバックポートされています。新しいRADIUS APIをできるだけ早く使用するために移行の計画を開始することをお薦めします。新しいAPIはデフォルトで利用可能です。古いRADIUS APIに関連付けられた、次のパラメータも非推奨です: SQLNET.RADIUS_ALTERNATE、SQLNET.RADIUS_ALTERNATE_PORT、SQLNET.RADIUS_AUTHENTICATION、SQLNET.RADIUS_AUTHENTICATION_PORT。より新しいRADIUS APIを使用するようにデフォルトを変更する方法の詳細は、RADIUS APIのドキュメントを参照してください。

1. RADIUSを使用するOracle Databaseサーバーにログインします。
2. sqlnet.oraファイルで次のパラメータを変更します。

   SQLNET.AUTHENTICATION_SERVICES=radius
   SQLNET.RADIUS_TRANSPORT_PROTOCOL=[tls|udp]
   SQLNET.RADIUS_AUTHENTICATION_TLS_HOST=RADIUS_host_name
   SQLNET.RADIUS_AUTHENTICATION_TLS_PORT=Oracle_Database_server_port

   詳細は、次のとおりです。

   • SQLNET.AUTHENTICATION_SERVICESは、認証サービスをRADIUS用に設定します。
   • SQLNET.RADIUS_TRANSPORT_PROTOCOLは、RADIUSサーバーが使用するプロトコルとして、Transport Layer Security (TLS)またはUser Datagram Protocol (UDP)のいずれかを設定します。この値を省略すると、TLSが使用されます。UDPを使用する必要がある場合は、SQLNET.RADIUS_ALLOW_WEAK_CLIENTSおよびSQLNET.RADIUS_ALLOW_WEAK_PROTOCOLパラメータを設定する必要があります。次のことに注意してください。
     • データベース・クライアントが古いプロトコルを使用してサーバーに接続するには、SQLNET.RADIUS_ALLOW_WEAK_CLIENTSパラメータを設定します。
     • Oracle Database 23ai以降サーバーが古いプロトコルを使用してRADIUSサーバーに接続するには、SQLNET.RADIUS_ALLOW_WEAK_PROTOCOLパラメータを設定します。
   • SQLNET.RADIUS_AUTHENTICATION_TLS_HOSTは、RADIUSサーバーのホスト名を設定します。この値は必須です。
   • SQLNET.RADIUS_AUTHENTICATION_TLS_PORTは、Oracle Databaseサーバーのポートを設定します。デフォルトのポートは2083です。サーバーで別のポートを使用する場合は、その値をここで指定します。

   以前の非推奨のRADIUS APIパラメータを使用する必要がある場合は、SQLNET.RADIUS_ALLOW_WEAK_CLIENTSおよびSQLNET.RADIUS_ALLOW_WEAK_PROTOCOLパラメータをTRUEに設定します。非推奨となったパラメータは、次のとおりです。

   • SQLNET.RADIUS_ALTERNATE
   • SQLNET.RADIUS_AUTHENTICATION=RADIUS_SERVER_[host_name|IP_address]
   • SQLNET.RADIUS_ALTERNATE_PORT
   • SQLNET.RADIUS_AUTHENTICATION_PORT

   詳細は、次のとおりです。

   • SQLNET.RADIUS_ALTERNATEは、プライマリ・サーバーが使用できない場合に代替RADIUSサーバーを指定します。
   • SQLNET.RADIUS_AUTHENTICATIONは、RADIUSサーバーのホスト名またはIPアドレスを指定します。IP_addressは、インターネット・プロトコル・バージョン4 (IPv4)またはインターネット・プロトコル・バージョン6 (IPv6)のアドレスです。RADIUSアダプタでは、IPv4ベースとIPv6ベースの両方のサーバーがサポートされています。
   • SQLNET.RADIUS_ALTERNATE_PORTは、代替RADIUSサーバーのリスニング・ポートを指定します。
   • SQLNET.RADIUS_AUTHENTICATIONは、プライマリRADIUSサーバーの場所をホスト名またはIPアドレスで指定します。
   • SQLNET.RADIUS_AUTHENTICATION_PORTは、プライマリRADIUSサーバーのリスニング・ポートを指定します。

この手順では、Oracle Databaseサーバーとクライアント間のTransport Layer Security (TLS)接続を構成しません。追加の構成が必要です。

24.5.1.1.2.3 ステップ1B(3): Oracleデータベース・サーバー初期化パラメータの設定

sqlnet.oraファイルの構成後、init.ora初期化ファイルを構成する必要があります。

1. 次の設定をinit.oraファイルに追加します。

   OS_AUTHENT_PREFIX=""
   

   デフォルトでは、init.oraファイルは、LinuxおよびUNIXシステムの場合はORACLE_HOME/dbsディレクトリ(または同じデータ・ファイルの場所)、Windowsの場合はORACLE_HOME\databaseディレクトリにあります。

2. データベースを再起動します。

   たとえば:

   SQL> SHUTDOWN
   SQL> STARTUP

24.5.1.1.3 ステップ1C: その他のRADIUS機能の構成

デフォルト設定を変更し、チャレンジ・レスポンス・モードを構成して、代替RADIUSサーバーのパラメータを設定できます。

• ステップ1C(1): デフォルト設定の変更
  sqlnet.oraファイルを編集して、デフォルトのRADIUS設定を変更できます。
• ステップ1C(2): チャレンジ・レスポンス・モードの構成
  チャレンジ・レスポンス・モードを構成するには、トークン・カードから取得する動的パスワードなどの情報を指定する必要があります。
• ステップ1C(3): 代替RADIUSサーバーのパラメータの設定
  代替RADIUSサーバーを使用する場合、追加パラメータを設定する必要があります。

24.5.1.1.3.1 ステップ1C(1): デフォルト設定の変更

sqlnet.oraファイルを編集して、デフォルトのRADIUS設定を変更できます。

1. RADIUSを使用するOracle Databaseサーバーにログインします。
2. 次のsqlnet.oraパラメータを変更します。

   SQLNET.RADIUS_AUTHENTICATION_PORT=(port)
   SQLNET.RADIUS_AUTHENTICATION_TIMEOUT=(number_of_seconds_to_wait_for_response)
   SQLNET.RADIUS_AUTHENTICATION_RETRIES=(number_of_times_to re-send_to_radius_server)
   SQLNET.RADIUS_SECRET=(path/.radius.key)

   詳細は、次のとおりです。

   • SQLNET.RADIUS_AUTHENTICATION_PORTは、プライマリRADIUSサーバーのリスニング・ポートを指定します。デフォルトは1645です。
   • SQLNET.RADIUS_AUTHENTICATION_TIMEOUTは、データベースがプライマリRADIUSサーバーからのレスポンスを待機する時間(秒)を指定します。デフォルトは5です。
   • SQLNET.RADIUS_AUTHENTICATION_RETRIESは、データベースがプライマリRADIUSサーバーにメッセージを再送する回数を指定します。デフォルトは3です。
   • SQLNET.RADIUS_SECRETは、RADIUS秘密キーが含まれるファイルの場所を指定します。これは、RADIUSクライアントとサーバー間の共有シークレットです。デフォルトはradsecで、ORACLE_HOME/network/security/radius.keyを指します。別のRADIUS秘密キー・ファイルを設定する場合は、必ずクライアントおよびデータベース・サーバーでSQLNET.RADIUS_SECRETを設定します。RADIUSサーバーがプロトコルとしてTLSを使用している場合は、このパラメータを省略できます。ユーザー・データグラム・プロトコル(UDP)を使用するRADIUS実装では、デフォルトのパラメータ値を使用できません。radsecのデフォルト値を使用できるのは、TLS over TCPでRADIUSを使用している場合のみです。

24.5.1.1.3.2 ステップ1C(2): チャレンジ・レスポンス・モードの構成

チャレンジ・レスポンス・モードを構成するには、トークン・カードから取得する動的パスワードなどの情報を指定する必要があります。

RADIUSアダプタでは、このインタフェースはJavaベースであり、最適なプラットフォーム独立性を提供します。認証デバイスのサード・パーティ・ベンダーは、独自のデバイスに合せてこのグラフィカル・ユーザー・インタフェースをカスタマイズする必要があることに注意します。たとえば、スマートカード・ベンダーはJavaインタフェースをカスタマイズして、Oracleクライアントがスマートカードから動的パスワードなどのデータを読み取るようにします。スマートカードは、チャレンジを受け取ると、PINなどの追加情報をユーザーに要求することで応答します。

1. RADIUSを使用するOracle Databaseサーバーにログインします。
2. JDK 1.1.7またはJRE 1.1.7を使用する場合は、JAVA_HOME環境変数を、Oracleクライアントが実行されるシステム上のJREまたはJDKの場所に設定します。

   • UNIXでは、プロンプトで次のコマンドを入力します。

     % setenv JAVA_HOME /usr/local/packages/jre1.1.7B
     

   • Windowsでは、「スタート」→「設定」→「コントロール パネル」→「システム」→「環境」の順に選択し、JAVA_HOME変数を次のように設定します。

     c:\java\jre1.1.7B
     

   このステップは、他のJDK/JREバージョンでは必要ありません。

3. 次のsqlnet.oraパラメータを変更します。

   SQLNET.RADIUS_CHALLENGE_RESPONSE=([on | off])
   SQLNET.RADIUS_CHALLENGE_KEYWORD=(keyword)
   SQLNET.RADIUS_AUTHENTICATION_INTERFACE=(default_RADIUS_interface)

   詳細は、次のとおりです。

   • SQLNET.RADIUS_CHALLENGE_RESPONSEは、チャレンジ・レスポンスを有効または無効にします。有効にするには、onと入力します。無効にするには、offと入力します。デフォルトはoffです。
   • SQLNET.RADIUS_CHALLENGE_KEYWORDを使用すると、チャレンジ・キーワードを設定できます。デフォルトはkeywordです。キーワード機能は、全部ではなく一部のRADIUSサーバーでサポートされています。この機能は、RADIUSサーバーでサポートされている場合にのみ使用できます。

     キーワードを設定することで、ユーザーはパスワードを使用しなくても識別情報を証明できます。ユーザーがパスワードを入力しない場合、ここで設定するキーワードがRADIUSサーバーに渡され、RADIUSサーバーは運転免許証の番号や生年月日などを要求するチャレンジで応答します。ユーザーがパスワードを入力する場合、RADIUSサーバーの構成に応じて、RADIUSサーバーはチャレンジで応答する場合と応答しない場合があります。

   • SQLNET.RADIUS_AUTHENTICATION_INTERFACEは、ユーザーとやり取りするためのユーザー・インタフェースが含まれるクラスを指定します。.文字の文字/で区切られたパッケージ名が含まれるインタフェースの名前を入力します。

     デフォルトのRADIUSインタフェース以外を使用する場合は、sqlnet.oraファイルを編集してSQLNET.RADIUS_CLASSPATH=(location)を入力する必要もあります(locationは、jarファイルの完全なパス名です)。これは、デフォルトでは$ORACLE_HOME/network/jlib/netradius.jar: $ORACLE_HOME/JRE/lib/vt.jarです。

24.5.1.1.3.3 ステップ1C(3): 代替RADIUSサーバーのパラメータの設定

代替RADIUSサーバーを使用する場合、追加パラメータを設定する必要があります。

• sqlnet.oraファイルで次のパラメータを設定します。

  SQLNET.RADIUS_ALTERNATE=(hostname_or_IP_address_of_alternate_RADIUS_server)
  SQLNET.RADIUS_ALTERNATE_PORT=(1812)
  SQLNET.RADIUS_ALTERNATE_TIMEOUT=(number_of_seconds_to_wait_for_response)
  SQLNET.RADIUS_ALTERNATE_RETRIES=(number_of_times_to re-send_to_RADIUS_server)
  SQLNET.RADIUS_ALTERNATE_TLS_HOST=(TLS_host)
  SQLNET.RADIUS_ALTERNATE_TLS_PORT=(TLS_port)

  ノート:

  Oracle Database 23ai以降、SQLNET.RADIUS_ALTERNATEおよびSQLNET.RADIUS_ALTERNATE_PORTパラメータは非推奨です。

24.5.1.2 ステップ2: ユーザーの作成とアクセス権の付与

RADIUS認証の完了後、RADIUS構成を担当するOracle Databaseユーザーを作成する必要があります。

1. CDBルートまたはRADIUSが実装されているPDBに接続します。
   たとえば:

   CONNECT system@pdb_name;
   Enter password: password

2. CDBルートに接続している場合は共通ユーザーとしてユーザーを作成し、PDBに接続している場合はローカル・ユーザーとしてユーザーを作成します。

   CREATE USER username IDENTIFIED EXTERNALLY;
   GRANT CREATE SESSION TO USER user_name;

3. ユーザーusernameをRADIUSサーバーのusersファイルに入力します。

関連項目:

RADIUSサーバーの管理ドキュメント

24.5.1.3 ステップ3: 外部RADIUS認可の構成(オプション)

Oracleデータベースに接続する必要があるRADIUSユーザーに対して、Oracleサーバー、OracleクライアントおよびRADIUSサーバーを構成する必要があります。

• ステップ3A: Oracle Server (RADIUSクライアント)の構成
  init.oraファイルを編集して、RADIUSクライアントにOracleサーバーを構成できます。
• ステップ3B: Oracleクライアント(ユーザーがログインする場所)の構成
  次に、ユーザーがログインするOracleクライアントを構成する必要があります。
• ステップ3C: RADIUSサーバーの構成
  RADIUSサーバーを構成するには、RADIUSサーバーの属性構成ファイルを変更する必要があります。

24.5.1.3.1 ステップ3A: Oracle Server (RADIUSクライアント)の構成

init.oraファイルを編集して、RADIUSクライアントにOracleサーバーを構成できます。

これを行うには、init.oraファイルを変更して、データベースを再起動し、RADIUSチャレンジ・レスポンス・モードを設定する必要があります。

1. サーバーのRADIUSチャレンジ・レスポンス・モードをONに設定していない場合は設定します。
2. 外部で識別されるユーザーおよびロールを追加します。

24.5.1.3.2 ステップ3B: Oracleクライアント(ユーザーがログインする場所)の構成

次に、ユーザーがログインするOracleクライアントを構成する必要があります。

• クライアントのRADIUSチャレンジ・レスポンス・モードをONに設定していない場合は設定します。

24.5.1.3.3 ステップ3C: RADIUSサーバーの構成

RADIUSサーバーを構成するには、RADIUSサーバーの属性構成ファイルを変更する必要があります。

1. 次の属性をRADIUSサーバー属性構成ファイルに追加します。

   属性名	コード	型
   VENDOR_SPECIFIC	26	整数
   ORACLE_ROLE	1	文字列

2. SMIネットワーク管理プライベート・エンタープライズ・コード111が含まれているRADIUSサーバー属性構成ファイルで、OracleのベンダーIDを割り当てます。
   たとえば、RADIUSサーバー属性構成ファイルに次のように入力します。

   VALUE     VENDOR_SPECIFIC     ORACLE     111

3. 次の構文を使用して、ORACLE_ROLE属性を外部RADIUS認可を使用するユーザーのユーザー・プロファイルに追加します。

   ORA_databaseSID_rolename

   詳細は、次のとおりです。

   • ORAは、このロールをOracle用に使用することを指定します。

   • databaseSIDは、データベースのinit.oraファイル内で構成されているOracleシステム識別子です。

     デフォルトでは、init.oraファイルは、LinuxおよびUNIXシステムの場合はORACLE_HOME/dbsディレクトリ(または同じデータ・ファイルの場所)、Windowsの場合はORACLE_HOME\databaseディレクトリにあります。

   • rolenameは、SYS接頭辞を削除した後にデータ・ディクショナリで定義されるロールの名前です。

   OracleロールにマップされるRADIUSグループが、ORACLE_ROLEの構文に準拠していることを確認します。

   たとえば:

   USERNAME     USERPASSWD="user_password",
                SERVICE_TYPE=login_user,
                VENDOR_SPECIFIC=ORACLE,
                ORACLE_ROLE=ORA_oradb_dba

   関連項目:

   サーバーの構成の詳細は、RADIUSサーバーの管理ドキュメントを参照してください。

24.5.1.4 ステップ4: RADIUSアカウンティングの構成

RADIUSアカウンティングは、Oracleデータベース・サーバーへのアクセスに関する情報をログに記録し、RADIUSアカウンティング・サーバー上のファイルに格納します。

この機能は、RADIUSサーバーと認証サーバーの両方でサポートされている場合にのみ使用します。

• ステップ4A: Oracleデータベース・サーバーでのRADIUSアカウンティングの設定
  sqlnet.oraを使用して、サーバーでRADIUSアカウンティングを有効にできます。
• ステップ4B: RADIUSアカウンティング・サーバーの構成
  RADIUSアカウンティング・サーバーは、RADIUS認証サーバーと同じホストまたは別のホストにあります。

24.5.1.4.1 ステップ4A: Oracleデータベース・サーバーでのRADIUSアカウンティングの設定

sqlnet.oraを使用して、サーバーでRADIUSアカウンティングを有効にできます。

1. RADIUSを使用するOracle Databaseサーバーにログインします。
2. sqlnet.oraファイルでSQLNET.RADIUS_SEND_ACCOUNTINGパラメータを次のように変更します。

   SQLNET.RADIUS_SEND_ACCOUNTING=on

   アカウンティングを有効にすると、リスニング・ポート番号に1を加えた値でアクティブなRADIUSサーバーにパケットが送信されます。

24.5.1.4.2 Step 4B: RADIUSアカウンティング・サーバーの構成

RADIUSアカウンティング・サーバーは、RADIUS認証サーバーと同じホストまたは別のホストにあります。

• RADIUSアカウンティングの構成の詳細は、RADIUSサーバーの管理ドキュメントを参照してください。

24.5.1.5 ステップ5: RADIUSクライアント名のRADIUSサーバー・データベースへの追加

選択するRADIUSサーバーは、RADIUS標準に準拠している必要があります。

Internet Engineering Task Force (IETF) RFC #2138 Remote Authentication Dial In User Service (RADIUS)およびRFC #2139 RADIUS Accountingの規格に準拠するRADIUSサーバーは、すべて使用できます。RADIUSサーバーには様々なものがあるため、固有の相互運用性要件について、使用するRADIUSサーバーのドキュメントで確認してください。

1. /etc/raddb/clientsにあるclientsファイルを開きます。
   次のテキストと表が表示されます。

   @ (#) clients 1.1 2/21/96 Copyright 1991 Livingston Enterprises Inc
   This file contains a list of clients which are allowed to make authentication requests and 
   their encryption key. The first field is a valid hostname. The second field (separated by 
   blanks or tabs) is the encryption key.
   Client Name                     Key
   

2. CLIENT NAME列に、Oracleデータベース・サーバーが実行されているホストのホスト名またはIPアドレスを入力します。
   KEY列に、共有シークレットを入力します。CLIENT NAME列に入力する値は、クライアントの名前かIPアドレスかにかかわらず、RADIUSサーバーによって異なります。
3. clientsファイルを保存して閉じます。

関連項目:

RADIUSサーバーの管理ドキュメント

24.5.1.6 ステップ6: RADIUSとともに使用する認証サーバーの構成

RADIUSクライアント名をRADIUSサーバー・データベースに追加した後、RADIUSを使用するように認証サーバーを構成できます。

• 認証サーバーの構成の詳細は、認証サーバーのドキュメントを参照してください。

24.5.1.7 ステップ7: 認証サーバーとともに使用するRADIUSサーバーの構成

RADIUSで使用するように認証サーバーを構成した後、その認証サーバーを使用するようにRADIUSサーバーを構成できます。

• 認証サーバーとともに使用するRADIUSサーバーの構成の詳細は、RADIUSサーバーのドキュメントを参照してください。

24.5.1.8 ステップ8: マッピング・ロールの構成

RADIUSサーバーでベンダー・タイプ属性がサポートされている場合は、ロールをRADIUSサーバーに格納して管理できます。

RADIUSを使用したCONNECT要求があると、Oracleデータベース・サーバーはロールをダウンロードします。この機能を使用するには、Oracleデータベース・サーバーとRADIUSサーバーの両方でロールを構成する必要があります。

1. テキスト・エディタを使用して、Oracleデータベース・サーバーの初期化パラメータ・ファイルでOS_ROLESパラメータを設定します。
   デフォルトでは、init.oraファイルは、LinuxおよびUNIXシステムの場合はORACLE_HOME/dbsディレクトリ(または同じデータ・ファイルの場所)、Windowsの場合はORACLE_HOME\databaseディレクトリにあります。
2. Oracleデータベース・サーバーを停止して再起動します。
   たとえば:

   SHUTDOWN
   STARTUP
   

3. RADIUSサーバーがOracleデータベース・サーバー上で管理する各ロールを、値IDENTIFIED EXTERNALLYを使用して作成します。
   RADIUSサーバーでロールを構成するには、次の構文を使用します。

   ORA_DatabaseName.DatabaseDomainName_RoleName
   

   詳細は、次のとおりです。

   • DatabaseNameは、ロールが作成されているOracleデータベース・サーバーの名前です。これは、DB_NAME初期化パラメータの値と同じです。

   • DatabaseDomainNameは、Oracleデータベース・サーバーが属するドメインの名前です。この値は、DB_DOMAIN初期化パラメータの値と同じです。

   • RoleNameは、Oracleデータベース・サーバーで作成されたロールの名前です。

   たとえば:

   ORA_USERDB.US.EXAMPLE.COM_MANAGER
   

4. RADIUSチャレンジ・レスポンス・モードを構成します。

24.5.2 レガシー構成

レガシー構成を使用してRADIUS認証を構成する方法について説明します。RFC (Request For Comments) 2138に基づくAPIは、Oracle Database 23ai以降では非推奨になっています。

非推奨のレガシー構成を使用するには、sqlnet.oraファイルにSQLNET.RADIUS_ALLOW_WEAK_CLIENTS=TRUEおよびSQLNET.RADIUS_ALLOW_WEAK_PROTOCOL=TRUEパラメータを追加します。

• ステップ1: RADIUS認証の構成
  RADIUS認証を構成するには、Oracleクライアントで最初に認証を構成してからサーバーで構成する必要があります。その後、追加のRADIUS機能を構成できます。
• ステップ2: ユーザーの作成とアクセス権の付与
  RADIUS認証の完了後、RADIUS構成を担当するOracle Databaseユーザーを作成する必要があります。
• ステップ3: 外部RADIUS認可の構成(オプション)
  Oracleデータベースに接続する必要があるRADIUSユーザーに対して、Oracleサーバー、OracleクライアントおよびRADIUSサーバーを構成する必要があります。
• ステップ4: RADIUSアカウンティングの構成
  RADIUSアカウンティングは、Oracleデータベース・サーバーへのアクセスに関する情報をログに記録し、RADIUSアカウンティング・サーバー上のファイルに格納します。
• ステップ5: RADIUSクライアント名のRADIUSサーバー・データベースへの追加
  選択するRADIUSサーバーは、RADIUS標準に準拠している必要があります。
• ステップ6: RADIUSとともに使用する認証サーバーの構成
  RADIUSクライアント名をRADIUSサーバー・データベースに追加した後、RADIUSを使用するように認証サーバーを構成できます。
• ステップ7: 認証サーバーとともに使用するRADIUSサーバーの構成
  RADIUSで使用するように認証サーバーを構成した後、その認証サーバーを使用するようにRADIUSサーバーを構成できます。
• ステップ8: マッピング・ロールの構成
  RADIUSサーバーでベンダー・タイプ属性がサポートされている場合は、ロールをRADIUSサーバーに格納して管理できます。

24.5.2.1 ステップ1: RADIUS認証の構成

RADIUS認証を構成するには、Oracleクライアントで最初に認証を構成してからサーバーで構成する必要があります。その後、追加のRADIUS機能を構成できます。

ノート:

特に示されていないかぎり、これらの構成タスクを実行するには、Oracle Net Managerを使用するか、任意のテキスト・エディタを使用してsqlnet.oraファイルを変更します。マルチテナント環境では、sqlnet.oraファイルの設定はすべてのプラガブル・データベース(PDB)に適用されることに注意してください。

• ステップ1A: OracleクライアントでのRADIUSの構成
  Oracle Net Managerを使用して、OracleクライアントでRADIUSを構成できます。
• ステップ1B: Oracleデータベース・サーバーでのRADIUSの構成
  RADIUSキーを保持するファイルを作成して、Oracleデータベース・サーバー上にこのファイルを格納する必要があります。次に、sqlnet.oraファイルで適切なパラメータを構成する必要があります。
• ステップ1C: その他のRADIUS機能の構成
  デフォルト設定を変更し、チャレンジ・レスポンス・モードを構成して、代替RADIUSサーバーのパラメータを設定できます。

24.5.2.1.1 ステップ1A: OracleクライアントでのRADIUSの構成

Oracle Net Managerを使用して、OracleクライアントでRADIUSを構成できます。

1. Oracle Net Managerを起動します。

   • (UNIX) $ORACLE_HOME/binから、コマンドラインで次のコマンドを入力します。

     netmgr
     

   • (Windows)「スタート」→「プログラム」→「Oracle - HOME_NAME」→「Configuration and Migration Tools」→「Net Manager」を選択します。

2. 「Oracle Netの構成」を展開し、「ローカル」から「プロファイル」を選択します。

3. 「ネーミング」リストから、「ネットワーク・セキュリティ」を選択します。

   ネットワーク・セキュリティのタブ付きウィンドウが表示されます。

4. 「認証」タブを選択します。(デフォルトで選択されています。)

   
   図radu0001.gifの説明

5. 「使用可能なメソッド」リストから、RADIUSを選択します。

6. 右矢印(>)を選択して、RADIUSを「選択メソッド」リストに移動します。

   使用するその他のメソッドを同じ方法で移動します。

7. 「選択メソッド」リストでメソッドを選択し、「上へ」または「下へ」をクリックしてリスト内での位置を指定して、選択したメソッドを使用に必要な順序に並べます。

   たとえば、RADIUSをリストの最も上に置いて、使用される最初のサービスにします。

8. 「ファイル」メニューから、「ネットワーク構成の保存」を選択します。

   sqlnet.oraファイルが次のエントリで更新されます。

   SQLNET.AUTHENTICATION_SERVICES=(RADIUS)

24.5.2.1.2 ステップ1B: Oracleデータベース・サーバーでのRADIUSの構成

RADIUSキーを保持するファイルを作成して、Oracleデータベース・サーバー上にこのファイルを格納する必要があります。次に、sqlnet.oraファイルで適切なパラメータを構成する必要があります。

• ステップ1B(1): Oracleデータベース・サーバーでのRADIUS秘密キー・ファイルの作成
  最初に、RADIUS秘密キー・ファイルを作成する必要があります。
• ステップ1B(2): サーバー(sqlnet.oraファイル)でのRADIUSパラメータの構成
  RADIUS秘密キー・ファイルの作成後、sqlnet.oraファイルで適切なパラメータを構成します。
• ステップ1B(3): Oracleデータベース・サーバー初期化パラメータの設定
  sqlnet.oraファイルの構成後、init.ora初期化ファイルを構成する必要があります。

24.5.2.1.2.1 ステップ1B(1): Oracleデータベース・サーバーでのRADIUS秘密キー・ファイルの作成

最初に、RADIUS秘密キー・ファイルを作成する必要があります。

1. RADIUSサーバーからRADIUS秘密キーを取得します。

   RADIUSクライアントごとに、RADIUSサーバーの管理者が共有秘密キーを作成します。長さは16文字以下である必要があります。

2. Oracleデータベース・サーバーで、次のディレクトリを作成します。

   • (UNIX) $ORACLE_HOME/network/security

   • (Windows) ORACLE_BASE\ORACLE_HOME\network\security

3. RADIUSサーバーからコピーした共有シークレットを格納するために、ファイルradius.keyを作成します。このファイルをステップ2で作成したディレクトリに配置します。

4. 共有秘密キーをコピーし、このキーのみを、Oracleデータベース・サーバーに作成したradius.keyファイルに貼り付けます。

5. セキュリティのために、radius.keyのファイル権限を読取り専用に変更し、Oracle所有者のみがアクセスできるようにします。

   Oracleは、ファイル・システムに依存してこのファイルを秘密にします。

   関連項目:

   秘密キーの取得の詳細は、RADIUSサーバーの管理ドキュメントを参照してください。

24.5.2.1.2.2 ステップ1B(2): サーバー(sqlnet.oraファイル)でのRADIUSパラメータの構成

RADIUS秘密キー・ファイルの作成後、sqlnet.oraファイルで適切なパラメータを構成します。

1. Oracle Net Managerを起動します。

   • (UNIX) $ORACLE_HOME/binから、コマンドラインで次のコマンドを入力します。

     netmgr
     

   • (Windows)「スタート」→「プログラム」→「Oracle - HOME_NAME」→「Configuration and Migration Tools」→「Net Manager」を選択します。

2. 「Oracle Netの構成」を展開し、「ローカル」から「プロファイル」を選択します。

3. 「ネーミング」リストから、「ネットワーク・セキュリティ」を選択します。

   ネットワーク・セキュリティのタブ付きウィンドウが表示されます。

4. 「認証」タブを選択します。

5. 「使用可能なメソッド」リストから、RADIUSを選択します。

6. 右矢印(>)を選択して、RADIUSを「選択メソッド」リストに移動します。

7. 選択したメソッドを使用に必要な順序に並べるには、「選択メソッド」リストでメソッドを選択し、「上へ」または「下へ」を選択してリスト内での位置を指定します。

   たとえば、RADIUSを使用される最初のサービスにする場合は、リストの最も上に置きます。

8. 「その他のパラメータ」タブを選択します。

9. 「認証サービス」リストから、RADIUSを選択します。

10. 「ホスト名」フィールドで、デフォルトのプライマリRADIUSサーバーとしてlocalhostを受け入れるか、または別のホスト名を入力します。

    
    図radu0002.gifの説明

11. 「シークレット・ファイル」フィールドのデフォルト値が有効であることを確認します。

12. 「ファイル」メニューから、「ネットワーク構成の保存」を選択します。

    sqlnet.oraファイルは次のエントリで更新されます。

    SQLNET.AUTHENTICATION_SERVICES=RADIUS
    SQLNET.RADIUS_AUTHENTICATION=RADIUS_server_{hostname|IP_address}

    ノート:

    IP_addressは、インターネット・プロトコル・バージョン4 (IPv4)またはインターネット・プロトコル・バージョン6 (IPv6)のアドレスです。RADIUSアダプタでは、IPv4ベースとIPv6ベースの両方のサーバーがサポートされています。

24.5.2.1.2.3 ステップ1B(3): Oracleデータベース・サーバー初期化パラメータの設定

sqlnet.oraファイルの構成後、init.ora初期化ファイルを構成する必要があります。

1. 次の設定をinit.oraファイルに追加します。

   OS_AUTHENT_PREFIX=""
   

   デフォルトでは、init.oraファイルは、LinuxおよびUNIXシステムの場合はORACLE_HOME/dbsディレクトリ(または同じデータ・ファイルの場所)、Windowsの場合はORACLE_HOME\databaseディレクトリにあります。

2. データベースを再起動します。

   たとえば:

   SQL> SHUTDOWN
   SQL> STARTUP

関連項目:

初期化パラメータの設定の詳細は、『Oracle Databaseリファレンス』を参照してください。

24.5.2.1.3 ステップ1C: その他のRADIUS機能の構成

デフォルト設定を変更し、チャレンジ・レスポンス・モードを構成して、代替RADIUSサーバーのパラメータを設定できます。

• ステップ1C(1): デフォルト設定の変更
  Oracle Net Managerを使用して、デフォルトのRADIUS設定を変更できます。
• ステップ1C(2): チャレンジ・レスポンス・モードの構成
  チャレンジ・レスポンス・モードを構成するには、トークン・カードから取得する動的パスワードなどの情報を指定する必要があります。
• ステップ1C(3): 代替RADIUSサーバーのパラメータの設定
  代替RADIUSサーバーを使用する場合、追加パラメータを設定する必要があります。

24.5.2.1.3.1 ステップ1C(1): デフォルト設定の変更

Oracle Net Managerを使用して、デフォルトのRADIUS設定を変更できます。

1. Oracle Net Managerを起動します。

   • (UNIX) $ORACLE_HOME/binから、コマンドラインで次のコマンドを入力します。

     netmgr
     

   • (Windows)「スタート」→「プログラム」→「Oracle - HOME_NAME」→「Configuration and Migration Tools」→「Net Manager」を選択します。

2. 「Oracle Netの構成」を展開し、「ローカル」から「プロファイル」を選択します。

3. 「ネーミング」リストから、「ネットワーク・セキュリティ」を選択します。

   ネットワーク・セキュリティのタブ付きウィンドウが表示されます。

4. 「その他のパラメータ」タブをクリックします。

5. 「認証サービス」リストから、RADIUSを選択します。

6. 次のフィールドについてデフォルト設定を変更します。

   • ポート番号: プライマリRADIUSサーバーのリスニング・ポートを指定します。デフォルト値は1645です。

   • タイムアウト(秒): Oracleデータベース・サーバーがプライマリRADIUSサーバーからの応答を待機する時間を指定します。デフォルトは15秒です。

   • 再試行回数: Oracleデータベース・サーバーがプライマリRADIUSサーバーにメッセージを再送する回数を指定します。デフォルトは3回の再試行です。RADIUSアカウンティングの構成の詳細は、「ステップ4: RADIUSアカウンティングの構成」を参照してください。

   • シークレット・ファイル: Oracleデータベース・サーバー上の秘密キーの場所を指定します。このフィールドは、秘密キー自体ではなく、秘密キー・ファイルの場所を指定します。秘密キーの指定の詳細は、「ステップ1B(1): Oracleデータベース・サーバーでのRADIUS秘密キー・ファイルの作成」を参照してください。

7. 「ファイル」メニューから、「ネットワーク構成の保存」を選択します。

   sqlnet.oraファイルは次のエントリで更新されます。

   SQLNET.RADIUS_AUTHENTICATION_PORT=(PORT)
   SQLNET.RADIUS_AUTHENTICATION_TIMEOUT=(NUMBER OF SECONDS TO WAIT FOR response)
   SQLNET.RADIUS_AUTHENTICATION_RETRIES=(NUMBER OF TIMES TO RE-SEND TO RADIUS server)
   SQLNET.RADIUS_SECRET=(path/radius.key)

24.5.2.1.3.2 ステップ1C(2): チャレンジ・レスポンス・モードの構成

チャレンジ・レスポンス・モードを構成するには、トークン・カードから取得する動的パスワードなどの情報を指定する必要があります。

RADIUSアダプタでは、このインタフェースはJavaベースであり、最適なプラットフォーム独立性を提供します。

ノート:

認証デバイスのサード・パーティ・ベンダーは、その独自のデバイスに合せてこのグラフィカル・ユーザー・インタフェースをカスタマイズする必要があります。たとえば、スマートカード・ベンダーはJavaインタフェースをカスタマイズして、Oracleクライアントがスマートカードから動的パスワードなどのデータを読み取るようにします。スマートカードは、チャレンジを受け取ると、PINなどの追加情報をユーザーに要求することで応答します。

チャレンジ・レスポンス・モードを構成するには:

1. JDK 1.1.7またはJRE 1.1.7を使用する場合は、JAVA_HOME環境変数を、Oracleクライアントが実行されるシステム上のJREまたはJDKの場所に設定します。

   • UNIXでは、プロンプトで次のコマンドを入力します。

     % setenv JAVA_HOME /usr/local/packages/jre1.1.7B
     

   • Windowsでは、「スタート」→「設定」→「コントロール パネル」→「システム」→「環境」の順に選択し、JAVA_HOME変数を次のように設定します。

     c:\java\jre1.1.7B
     

   このステップは、他のJDK/JREバージョンでは必要ありません。

2. Oracle Net Managerを起動します。

   • (UNIX) $ORACLE_HOME/binから、コマンドラインで次のコマンドを入力します。

     netmgr
     

   • (Windows)「スタート」→「プログラム」→「Oracle - HOME_NAME」→「Configuration and Migration Tools」→「Net Manager」を選択します。

3. 「Oracle Netの構成」を展開し、「ローカル」から「プロファイル」を選択します。

4. 「ネーミング」リストから、「ネットワーク・セキュリティ」を選択します。

   ネットワーク・セキュリティのタブ付きウィンドウが表示されます。

5. 「認証サービス」リストから、RADIUSを選択します。

6. 「チャレンジ・レスポンス」フィールドで、ONと入力してチャレンジ・レスポンスを有効にします。

7. 「デフォルト・キーワード」フィールドで、チャレンジのデフォルト値を受け入れるか、RADIUSサーバーからチャレンジを要求するためのキーワードを入力します。

   キーワード機能は、Oracleから提供されており、一部のRADIUSサーバーでサポートされています(すべてではありません)。この機能は、RADIUSサーバーでサポートされている場合にのみ使用できます。

   キーワードを設定することで、ユーザーはパスワードを使用しなくても識別情報を証明できます。ユーザーがパスワードを入力しない場合、ここで設定するキーワードがRADIUSサーバーに渡され、RADIUSサーバーは運転免許証の番号や生年月日などを要求するチャレンジで応答します。ユーザーがパスワードを入力する場合、RADIUSサーバーの構成に応じて、RADIUSサーバーはチャレンジで応答する場合と応答しない場合があります。

8. 「インタフェース・クラス名」フィールドで、デフォルト値DefaultRadiusInterfaceを受け入れるか、チャレンジ・レスポンス対話を処理するために作成したクラスの名前を入力します。

   デフォルトのRADIUSインタフェース以外を使用する場合は、sqlnet.oraファイルを編集してSQLNET.RADIUS_CLASSPATH=(location)を入力する必要もあります(locationは、jarファイルの完全なパス名です)。これは、デフォルトでは$ORACLE_HOME/network/jlib/netradius.jar: $ORACLE_HOME/JRE/lib/vt.jarです。

9. 「ファイル」メニューから、「ネットワーク構成の保存」を選択します。

   sqlnet.oraファイルは次のエントリで更新されます。

   SQLNET.RADIUS_CHALLENGE_RESPONSE=([ON | OFF])
   SQLNET.RADIUS_CHALLENGE_KEYWORD=(KEYWORD)
   SQLNET.RADIUS_AUTHENTICATION_INTERFACE=(name of interface including the package name delimited by "/" for ".")

関連項目:

チャレンジ・レスポンス・ユーザー・インタフェースをカスタマイズする方法の詳細は、「RADIUSを使用した認証デバイスの統合」を参照してください

24.5.2.1.3.3 ステップ1C(3): 代替RADIUSサーバーのパラメータの設定

代替RADIUSサーバーを使用する場合、追加パラメータを設定する必要があります。

• sqlnet.oraファイルで次のパラメータを設定します。

  SQLNET.RADIUS_ALTERNATE=(hostname or ip address of alternate radius server)
  SQLNET.RADIUS_ALTERNATE_PORT=(1812)
  SQLNET.RADIUS_ALTERNATE_TIMEOUT=(number of seconds to wait for response)
  SQLNET.RADIUS_ALTERNATE_RETRIES=(number of times to re-send to radius server)

24.5.2.2 ステップ2: ユーザーの作成とアクセス権の付与

RADIUS認証の完了後、RADIUS構成を担当するOracle Databaseユーザーを作成する必要があります。

1. CDBルートまたはRADIUSが実装されているPDBに接続します。
   たとえば:

   CONNECT system@pdb_name;
   Enter password: password

2. CDBルートに接続している場合は共通ユーザーとしてユーザーを作成し、PDBに接続している場合はローカル・ユーザーとしてユーザーを作成します。

   CREATE USER username IDENTIFIED EXTERNALLY;
   GRANT CREATE SESSION TO USER user_name;

3. ユーザーusernameをRADIUSサーバーのusersファイルに入力します。

関連項目:

RADIUSサーバーの管理ドキュメント

24.5.2.3 ステップ3: 外部RADIUS認可の構成(オプション)

Oracleデータベースに接続する必要があるRADIUSユーザーに対して、Oracleサーバー、OracleクライアントおよびRADIUSサーバーを構成する必要があります。

• ステップ3A: Oracle Server (RADIUSクライアント)の構成
  init.oraファイルを編集して、RADIUSクライアントにOracleサーバーを構成できます。
• ステップ3B: Oracleクライアント(ユーザーがログインする場所)の構成
  次に、ユーザーがログインするOracleクライアントを構成する必要があります。
• ステップ3C: RADIUSサーバーの構成
  RADIUSサーバーを構成するには、RADIUSサーバーの属性構成ファイルを変更する必要があります。

24.5.2.3.1 ステップ3A: Oracle Server (RADIUSクライアント)の構成

init.oraファイルを編集して、RADIUSクライアントにOracleサーバーを構成できます。

これを行うには、init.oraファイルを変更して、データベースを再起動し、RADIUSチャレンジ・レスポンス・モードを設定する必要があります。

1. OS_ROLESパラメータをinit.oraファイルに追加し、このパラメータを次のようにTRUEに設定します。

   OS_ROLES=TRUE
   

   デフォルトでは、init.oraファイルは、LinuxおよびUNIXシステムの場合はORACLE_HOME/dbsディレクトリ(または同じデータ・ファイルの場所)、Windowsの場合はORACLE_HOME\databaseディレクトリにあります。

2. init.oraファイルに対する変更がシステムに反映されるように、データベースを再起動します。

   たとえば:

   SQL> SHUTDOWN 
   SQL> STARTUP
   

3. ステップ1C(2): チャレンジ・レスポンス・モードの構成に記載されているステップに従って、サーバーのRADIUSチャレンジ・レスポンス・モードをONに設定していない場合は設定します。

4. 外部で識別されるユーザーおよびロールを追加します。

24.5.2.3.2 ステップ3B: Oracleクライアント(ユーザーがログインする場所)の構成

次に、ユーザーがログインするOracleクライアントを構成する必要があります。

• ステップ1C(2): チャレンジ・レスポンス・モードの構成に記載されているステップに従って、クライアントのRADIUSチャレンジ・レスポンス・モードをONに設定していない場合は設定します。

24.5.2.3.3 ステップ3C: RADIUSサーバーの構成

RADIUSサーバーを構成するには、RADIUSサーバーの属性構成ファイルを変更する必要があります。

1. 次の属性をRADIUSサーバー属性構成ファイルに追加します。

   属性名	コード	型
   VENDOR_SPECIFIC	26	整数
   ORACLE_ROLE	1	文字列

2. SMIネットワーク管理プライベート・エンタープライズ・コード111が含まれているRADIUSサーバー属性構成ファイルで、OracleのベンダーIDを割り当てます。

   たとえば、RADIUSサーバー属性構成ファイルに次のように入力します。

   VALUE VENDOR_SPECIFIC ORACLE 111

3. 次の構文を使用して、ORACLE_ROLE属性を外部RADIUS認可を使用するユーザーのユーザー・プロファイルに追加します。

   ORA_databaseSID_rolename[_[A]|[D]]

   詳細は、次のとおりです。

   • ORAは、このロールをOracle用に使用することを指定します。

   • databaseSIDは、データベースのinit.oraファイル内で構成されているOracleシステム識別子です。

     デフォルトでは、init.oraファイルは、LinuxおよびUNIXシステムの場合はORACLE_HOME/dbsディレクトリ(または同じデータ・ファイルの場所)、Windowsの場合はORACLE_HOME\databaseディレクトリにあります。

   • rolenameは、データ・ディクショナリで定義されているロール名です。

   • Aは、ユーザーがこのロールの管理者の権限を持つことを示すオプションの文字です。

   • Dは、このロールをデフォルトで有効にすることを示すオプションの文字です。

   OracleロールにマップされるRADIUSグループが、ORACLE_ROLEの構文に準拠していることを確認します。

   たとえば:

   USERNAME     USERPASSWD="user_password",
                SERVICE_TYPE=login_user,
                VENDOR_SPECIFIC=ORACLE,
                ORACLE_ROLE=ORA_ora920_sysdba

   関連項目:

   サーバーの構成の詳細は、RADIUSサーバーの管理ドキュメントを参照してください。

24.5.2.4 ステップ4: RADIUSアカウンティングの構成

RADIUSアカウンティングは、Oracleデータベース・サーバーへのアクセスに関する情報をログに記録し、RADIUSアカウンティング・サーバー上のファイルに格納します。

この機能は、RADIUSサーバーと認証サーバーの両方でサポートされている場合にのみ使用します。

• ステップ4A: Oracleデータベース・サーバーでのRADIUSアカウンティングの設定
  RADIUSアカウンティングをサーバーで設定するには、Oracle Net Managerを使用します。
• ステップ4B: RADIUSアカウンティング・サーバーの構成
  RADIUSアカウンティング・サーバーは、RADIUS認証サーバーと同じホストまたは別のホストにあります。

24.5.2.4.1 ステップ4A: Oracleデータベース・サーバーでのRADIUSアカウンティングの設定

RADIUSアカウンティングをサーバーで設定するには、Oracle Net Managerを使用します。

1. Oracle Net Managerを起動します。

   • (UNIX) $ORACLE_HOME/binから、コマンドラインで次のコマンドを入力します。

     netmgr
     

   • (Windows)「スタート」→「プログラム」→「Oracle - HOME_NAME」→「Configuration and Migration Tools」→「Net Manager」を選択します。

2. 「Oracle Netの構成」を展開し、「ローカル」から「プロファイル」を選択します。

3. 「ネーミング」リストから、「ネットワーク・セキュリティ」を選択します。

   ネットワーク・セキュリティのタブ付きウィンドウが表示されます。

4. 「その他のパラメータ」タブを選択します。

5. 「認証サービス」リストから、RADIUSを選択します。

6. 「アカウンティングの送信」フィールドで、アカウンティングを有効にするにはONと入力し、無効にするにはOFFと入力します。

7. 「ファイル」メニューから、「ネットワーク構成の保存」を選択します。

   sqlnet.oraファイルが次のエントリで更新されます。

   SQLNET.RADIUS_SEND_ACCOUNTING= ON

24.5.2.4.2 Step 4B: RADIUSアカウンティング・サーバーの構成

RADIUSアカウンティング・サーバーは、RADIUS認証サーバーと同じホストまたは別のホストにあります。

• RADIUSアカウンティングの構成の詳細は、RADIUSサーバーの管理ドキュメントを参照してください。

24.5.2.5 ステップ5: RADIUSクライアント名のRADIUSサーバー・データベースへの追加

選択するRADIUSサーバーは、RADIUS標準に準拠している必要があります。

Internet Engineering Task Force (IETF) RFC #2138 Remote Authentication Dial In User Service (RADIUS)およびRFC #2139 RADIUS Accountingの規格に準拠するRADIUSサーバーは、すべて使用できます。RADIUSサーバーには様々なものがあるため、固有の相互運用性要件について、使用するRADIUSサーバーのドキュメントで確認してください。

1. /etc/raddb/clientsにあるclientsファイルを開きます。
   次のテキストと表が表示されます。

   @ (#) clients 1.1 2/21/96 Copyright 1991 Livingston Enterprises Inc
   This file contains a list of clients which are allowed to make authentication requests and 
   their encryption key. The first field is a valid hostname. The second field (separated by 
   blanks or tabs) is the encryption key.
   Client Name                     Key
   

2. CLIENT NAME列に、Oracleデータベース・サーバーが実行されているホストのホスト名またはIPアドレスを入力します。
   KEY列に、共有シークレットを入力します。CLIENT NAME列に入力する値は、クライアントの名前かIPアドレスかにかかわらず、RADIUSサーバーによって異なります。
3. clientsファイルを保存して閉じます。

関連項目:

RADIUSサーバーの管理ドキュメント

24.5.2.6 ステップ6: RADIUSとともに使用する認証サーバーの構成

RADIUSクライアント名をRADIUSサーバー・データベースに追加した後、RADIUSを使用するように認証サーバーを構成できます。

• 認証サーバーの構成の詳細は、認証サーバーのドキュメントを参照してください。

24.5.2.7 ステップ7: 認証サーバーとともに使用するRADIUSサーバーの構成

RADIUSで使用するように認証サーバーを構成した後、その認証サーバーを使用するようにRADIUSサーバーを構成できます。

• 認証サーバーとともに使用するRADIUSサーバーの構成の詳細は、RADIUSサーバーのドキュメントを参照してください。

24.5.2.8 ステップ8: マッピング・ロールの構成

RADIUSサーバーでベンダー・タイプ属性がサポートされている場合は、ロールをRADIUSサーバーに格納して管理できます。

RADIUSを使用したCONNECT要求があると、Oracleデータベース・サーバーはロールをダウンロードします。この機能を使用するには、Oracleデータベース・サーバーとRADIUSサーバーの両方でロールを構成する必要があります。

1. テキスト・エディタを使用して、Oracleデータベース・サーバーの初期化パラメータ・ファイルでOS_ROLESパラメータを設定します。
   デフォルトでは、init.oraファイルは、LinuxおよびUNIXシステムの場合はORACLE_HOME/dbsディレクトリ(または同じデータ・ファイルの場所)、Windowsの場合はORACLE_HOME\databaseディレクトリにあります。
2. Oracleデータベース・サーバーを停止して再起動します。
   たとえば:

   SHUTDOWN
   STARTUP
   

3. RADIUSサーバーがOracleデータベース・サーバー上で管理する各ロールを、値IDENTIFIED EXTERNALLYを使用して作成します。
   RADIUSサーバーでロールを構成するには、次の構文を使用します。

   ORA_DatabaseName.DatabaseDomainName_RoleName
   

   詳細は、次のとおりです。

   • DatabaseNameは、ロールが作成されているOracleデータベース・サーバーの名前です。これは、DB_NAME初期化パラメータの値と同じです。

   • DatabaseDomainNameは、Oracleデータベース・サーバーが属するドメインの名前です。この値は、DB_DOMAIN初期化パラメータの値と同じです。

   • RoleNameは、Oracleデータベース・サーバーで作成されたロールの名前です。

   たとえば:

   ORA_USERDB.US.EXAMPLE.COM_MANAGER
   

4. RADIUSチャレンジ・レスポンス・モードを構成します。

24.6 RADIUSを使用したデータベースへのログイン

RADIUSを使用してデータベースにログインするには、同期認証モードまたはチャレンジ・レスポンス・モードのいずれかを使用します。

• SQL*Plusを起動して、次のいずれかの方法でデータベースにログインします。

  • 同期認証モードを使用する場合は、最初にチャレンジ・レスポンス・モードがONになっていないことを確認して、次のコマンドを入力します。

    CONNECT username@database_alias
    Enter password: password
    

  • チャレンジ・レスポンス・モードを使用する場合は、チャレンジ・レスポンス・モードがONに設定されていることを確認して、次のコマンドを入力します。

    CONNECT /@database_alias
    

  チャレンジ・レスポンス・モードは、ログインのすべてのケースについて構成できます。