1.379 WALLET_ROOT
WALLET_ROOTにより、プラガブル・データベース(PDB)ごとに1つのサブディレクトリを含む、ディレクトリ・ツリーのルートへのパスを指定します。
| 特性 | 説明 |
|---|---|
|
パラメータ・タイプ |
文字列 |
|
構文 |
|
|
デフォルト値 |
デフォルト値はありません。 |
|
変更可能 |
いいえ |
|
PDBで変更可能 |
いいえ |
|
基本 |
いいえ |
|
Oracle RAC |
複数インスタンスには、同じ値を指定する必要がある。 |
各種ウォレット・ファイルの名前は、関連付けられているコンポーネントに関係なく、常に同じです。各コンポーネントのウォレットは、名前がコンポーネント名に基づいているディレクトリのWALLET_ROOTディレクトリ構造内の各PDB GUIDディレクトリ下に格納されます。たとえば、TDEコンポーネントの場合、サブディレクトリ名はtdeです。
WALLET_ROOTパラメータが設定されていない場合、SQLNET.ENCRYPTION_WALLET_LOCATIONパラメータが(Oracle Database 18cより前のOracle Databaseリリースと同様)使用されますが、WALLET_ROOTパラメータが設定されていないかぎり、分離されたキーストアは使用できません。TDE_CONFIGURATION初期化パラメータは、WALLET_ROOTパラメータも設定されていないかぎり、分離モードで実行されるようにするPDBの構成には使用できません。
ノート:
SQLNET.ENCRYPTION_WALLET_LOCATIONパラメータはOracle Database 18cでは非推奨です。
たとえば、WALLET_ROOT初期化パラメータで指定された場所のディレクトリの内容は、次のようになります(wallet-rootはWALLET_ROOTパラメータで指定したディレクトリです)。
wallet-root/eus/ewallet.p12
wallet-root/tde/ewallet.p12
wallet-root/tde/ewallet_2016120918333644.p12
wallet-root/tde_seps/cwallet.sso
wallet-root/tls/ewallet.p12
wallet-root/xdb_wallet/ewallet.p12
wallet-root/3FD1C95B48205D0FE053C5A0E40AEF8C/tde/ewallet.p12
wallet-root/3FD1C95B48205D0FE053C5A0E40AEF8C/tde/ewallet_2016110918331622.p12
wallet-root/3FD1C95B48205D0FE053C5A0E40AEF8C/tde/ewallet_2016110918332363.p12
wallet-root/3FD1C95B48205D0FE053C5A0E40AEF8C/tde_seps/cwallet.sso
wallet-root/3FD1C95B48205D0FE053C5A0E40AEF8C/tls/cwallet.sso
wallet-root/3FD1C95B48205D0FE053C5A0E40AEF8C/tls/ewallet.p12WALLET_ROOTパラメータが設定されている場合、一部のADMINISTER KEY MANAGEMENTコマンドからパスを省略できます。
WALLET_ROOT値には、環境変数への参照を含めることができます。次の例は、複数のTDE対応データベースが同じORACLE_HOMEにインストールされている場合にWALLET_ROOTを使用する方法を示しています。
WALLET_ROOT=/etc/ORACLE/KEYSTORES/$ORACLE_SIDORACLE_SID環境変数(またはOracle RACのDB_UNIQUE_NAME環境変数)では、同じORACLE_HOMEにインストールされる各データベースに独自のウォレットおよびTDEキーのセットがあることを確認します。これにより、ウォレット・ディレクトリ階層のルートがwallet-root-directory-pathで指定したディレクトリに設定されます。
ノート:
WALLET_ROOTパラメータで指定されているwallet-root-directory-nameの正規化された長さは255文字を超えることはできず、超えた場合は、次のエラー・メッセージ・セットのいずれかが表示されます。
ORA-46693: The WALLET_ROOT location is missing or invalid.
ORA-32021: parameter value longer than 255 characters
ORA-01078: failure in processing system parametersORA-46693: The WALLET_ROOT location is missing or invalid.
ORA-07204: sltln: name translation failed due to lack of output buffer space.
ORA-01078: failure in processing system parameters正規化された長さには、WALLET_ROOTパラメータで指定された拡張環境変数の長さが含まれます。インスタンスを起動するユーザーの環境変数の値は、WALLET_ROOTパラメータの正規化に使用されます。
SHOW PARAMETER WALLET_ROOTコマンドは常に、正規化された値を(すべての環境変数が展開された状態で)示します。
非ASMファイル・システムの場合、TDEコンポーネントのPDB GUID拡張パスは、透過的データ暗号化(TDE)ウォレットがPDBに対して作成される際に、WALLET_ROOTパラメータで指定したディレクトリ下に自動的に作成されます。
WALLET_ROOT下でのディレクトリの自動作成の有効化
次の各セクションで説明されているWALLET_ROOTの特定の構成を使用することで、必要なpdb-guidおよびcomponent nameディレクトリがWALLET_ROOTディレクトリ・パス下に自動的に作成されるようにOracle Databaseを構成できます。WALLET_ROOTの他の設定は可能ですが、ASM OMFレイヤーによる必要なサブディレクトリの自動作成は行われません。
Oracle ASMを使用していないデータベースに対してディレクトリ自動作成を有効にするために必要な設定
Oracle ASMファイルシステムを使用していないデータベースの場合、WALLET_ROOTパラメータを次のように設定する必要があります。
WALLET_ROOT=wallet-root-directory-path
これにより、ウォレット・ディレクトリ階層のルートがwallet-root-directory-pathで指定したディレクトリに設定されます。たとえば:
/etc/ORACLE/KEYSTORES/FINANCE
これが実行されると、Oracle Databaseでは、次の場所にCDB$ROOTのTDEウォレット用のディレクトリが自動的に作成されます。
/etc/ORACLE/KEYSTORES/FINANCE/tde
分離されたPDBのTDEウォレットを保持するためにOracle Databaseによって自動的に作成されるディレクトリにはpdb-guidが含まれます。たとえば:
/etc/ORACLE/KEYSTORES/FINANCE/3FD1C95B48205D0FE053C5A0E40AEF8C/tde
Oracle ASMとOracle Managed Filesを使用するデータベースのディレクトリ自動作成を有効にするために必要な設定
ASMをOMFとともに使用しているデータベースの場合、WALLET_ROOTパラメータはプラス記号で始まり、その後にディスク・グループ名およびDB_UNIQUE_NAME初期化パラメータの値が続いている必要があります。次の例では、DATAはディスク・グループの名前であり、FINRACはDB_UNIQUE_NAME初期化パラメータの値です。
WALLET_ROOT=+DATA/FINRAC
これが実行されると、ADMINISTER KEY MANAGEMENT CREATE KEYSTOREコマンドが実行されたときに、Oracle DatabaseはASMファイルシステム内の次の場所に必要なディレクトリを自動的に作成します。
+DATA/FINRAC/tde
分離されたPDBの場合、PDBのTDEウォレットを保持するためにOracle Databaseによって自動的に作成されるディレクトリにはpdb-guidが含まれます。たとえば:
+DATA/FINRAC/3FD1C95B48205D0FE053C5A0E40AEF8C/tde
RAC対応データベースのディレクトリ自動作成を有効にするために必要な設定
RAC対応データベースの場合、(RACインスタンスごとの個々のTDEウォレットとは対照的に)共有TDEウォレットのみがサポートされます。WALLET_ROOTは、ASMディスク・グループまたはACFSのディレクトリを指すことができます。WALLET_ROOTパラメータが+diskgroup/dbnameを指している場合、/tdeサブディレクトリはADMINISTER KEY MANAGEMENT CREATE KEYSTOREコマンドを発行するときに自動的に作成されます。たとえば、WALLET_ROOTが+DATA/FINANCEに設定されている場合、ディレクトリ+DATA/FINANCE/tdeが自動的に作成されます。これにより、複数のデータベースがインストールされている場合、TDEウォレットは別々に保持されます。
関連項目: