Oracle Identity Management 統合ガイド 10g(10.1.4.2) E05894-01 |
|
この章では、Oracle Directory Integration Platformのセキュリティにおける最も重要な事項について説明します。内容は次のとおりです。
認証は、Oracleディレクトリ・サーバーが、そのディレクトリに接続しているユーザーの正確な識別情報を取得するプロセスです。認証は、LDAPセッションがldapbind
操作によって確立されたときに発生します。
Oracle Directory Integration Platformの各コンポーネントが、ディレクトリへのアクセスを許可される前に適切に認証されることは重要です。
この項の内容は次のとおりです。
Oracle Directory Integration Platformは、Secure Sockets Layerを使用するかどうかにかかわらず配置できます。SSLの実装は、次のモードをサポートします。
サーバーは、信頼できる認証局が発行する証明書を送信することにより、クライアントに対する自己識別を行います。このモードには、公開鍵インフラストラクチャ(PKI)と証明書を保持するためのSSLウォレットが必要です。
Oracle Directory Integration PlatformでSSLを使用するには、Oracleディレクトリ・サーバーとOracle Directory Integration Platformの両方をSSLモードで起動する必要があります。
Directory Integration Serverの複数のインスタンスは、様々なホストにインストールして実行することができます。ただし、これを行う場合は、Directory Integration Serverを装う不正なユーザーまたはその不正コピーを使用する不正なユーザーに注意する必要があります。
このようなセキュリティ問題を回避するには、次の点に注意します。
非SSL認証を使用するには、odisrvreg
と呼ばれる登録ツールを使用して、各Directory Integration Serverを登録します。
この登録ツールでは、次のものを作成できます。
odi.properties
ファイルに指定され、$ORACLE_HOME/ldap/odi/confディレクトリに格納されます。
Directory Integration Serverは、ディレクトリにバインドするときにプライベート・ウォレット内の暗号化されたパスワードを使用します。
ディレクトリ・サーバーの識別情報を設定するには、Oracle Internet DirectoryとDirectory Integration Serverの両方をSSLサーバー認証モードで起動します。この場合、ディレクトリ・サーバーは自身の証明書をDirectory Integration Serverに提供し、Directory Integration ServerはOracle Internet Directoryのクライアントとして機能します。
Directory Integration Serverは、非SSLモードと同じメカニズムを使用して認証されます。
サード・パーティのディレクトリに接続するときにSSLを使用するようにOracle Directory Integration Platformを構成することもできます。この場合は、「Oracle Internet Directoryと接続ディレクトリのSSL証明書の管理」で説明されているように、接続ディレクトリ証明書をウォレットに保存します。
Oracle Internet Directoryでは、統合プロファイルは、識別名(DN)とパスワードを持つユーザーを表します。プロファイルにアクセスできるユーザーは次のとおりです。
DIPAdmin
)、識別名Cn=dipadmin,cn=dipadmins,cn=directory integration platform,cn=products,cn=oraclecontext
DIPAdminGroup
)、識別名cn=dipadmingrp,cn=dipadmin,cn=directory integration platform,cn=products,cn=oraclecontext
Directory Integration Serverが統合プロファイルに基づいてOracle Internet Directoryにデータをインポートする場合、その統合プロファイルとしてディレクトリにプロキシ・バインドします。Oracle Directory Integration Platformは、SSLモードでも非SSLモードでもバインドできます。
認可は、ユーザーが権限を持つ情報のみの読取りまたは更新を行うことを保証するプロセスです。ディレクトリ・セッション内でディレクトリ操作が行われようとすると、ディレクトリ・サーバーは、その操作の実行に必要な権限がユーザーに与えられていることを確認します(ユーザーの識別は、セッションに対応付けられた認可識別子によって行われます)。ユーザーに権限がない場合、ディレクトリ・サーバーはこれらの操作を許可しません。この方法(アクセス制御)によって、ディレクトリ・サーバーは、ディレクトリ・ユーザーによる不正操作からディレクトリ・データを保護します。
アクセスをOracle Internet Directoryデータの必要なサブセットのみに制限するには、Directory Integration Serverとコネクタの両方に対する適切なアクセス・ポリシーをディレクトリに設定します。
この項では、このようなポリシーの詳細を説明します。内容は次のとおりです。
Oracle Directory Integration Serverは、次のようにディレクトリへのバインドをそれ自身として行う場合と、プロファイルのかわりに行う場合があります。
Directory Integration Serverに付与されるアクセス権限を設定し管理するために、Oracle Directory Integration Platformはインストール時にodisgroup
と呼ばれるグループ・エントリを作成します。odisgroup
の識別名はcn=odisgroup,cn=odi,cn=oracle internet directory
です。Directory Integration Serverは、登録時にこのグループのメンバーになります。
Directory Integration Serverに付与されるアクセス権限を制御するには、odisgroup
エントリにアクセス制御ポリシーを設定します。デフォルトのポリシーでは、プロファイルにアクセスするための様々な権限がDirectory Integration Serverに付与されます。たとえば、デフォルトのポリシーでは、Directory Integration Serverは、プロファイルのかわりにプロキシとしてバインドするOracle Internet Directoryと接続ディレクトリとの間でユーザー・パスワードを比較できます。デフォルトのポリシーによって、Directory Integration Serverは、最終正常実行時間や同期ステータスなど、プロファイルのステータス情報を変更することもできます。
統合プロファイルを使用してOracle Internet Directoryデータへのアクセスを制御するには、Oracle Internet Directory内に適切なアクセス制御ポリシーを設定します。このポリシーによって、あるプロファイルが同期化または処理したデータを他のプロファイルの干渉から保護できます。また、ある属性の変更を、その属性の同期を所有する統合プロファイルにのみ許可することもできます。
たとえば、Oracle Internet Directoryのインストール時にodipgroup
と呼ばれるグループ・エントリを作成すると、様々なプロファイルに付与したアクセス権限を制御できます。権限は、適切なアクセス・ポリシーをodipgroup
エントリに設定することによって制御されます。各プロファイルはこのグループのメンバーです。メンバーシップは、プロファイルがシステムに登録されるときに設定されます。製品とともに自動的にインストールされたデフォルトのアクセス・ポリシーでは、プロファイルに対して、そのプロファイルが所有する統合プロファイルへの標準的なアクセス権限が付与されます。たとえば、統合プロファイル内のorclodipConDirLastAppliedChgTime
パラメータなどのステータス情報を変更できる権限が付与されます。また、デフォルトのアクセス・ポリシーの場合、プロファイルはOracle Internet Directoryの変更ログにアクセスできます(デフォルトのアクセス・ポリシー以外ではアクセスは制限されます)。
odisgroup
グループ・エントリとそのデフォルトのポリシーは、Oracle Internet Directoryのサーバー・インストール時に作成されます。Oracle Directory Integration Platformのみのインストールの場合は、これらのグループおよびポリシーは作成されません。
Oracle Directory Integration Platformは、SSLを使用して、送信時にデータの変更、削除または再現が行われていないことを保証します。このSSL機能は、暗号方式の保護メッセージ・ダイジェストを、Message-Digest algorithm 5(MD5)またはSecure Hash Algorithm(SHA)を使用する暗号チェックサムを使用して生成し、ネットワークを介して送信する各パケットにそのメッセージ・ダイジェストを組み込みます。
Oracle Directory Integration Platformは、SSLで使用可能な公開鍵暗号を使用して、データが送信中に開示されないことを保証します。公開鍵暗号では、メッセージの送信側が受信側の公開鍵を使用して、メッセージを暗号化します。メッセージが送達されると、受信側は、受信側の秘密鍵を使用して、メッセージを復号化します。
Directory Integration ServerとOracle Internet Directoryの間でデータを安全に交換するには、両方のコンポーネントをSSLモードで実行します。
一般的に使用されているツールは、すべてSSLモードで実行することによりOracle Internet Directoryにデータを安全に送信できます。たとえば、次のツールがあります。
|
Copyright © 1999, 2007 Oracle Corporation. All Rights Reserved. |
|