3 構成ツールと管理ツールの概要

Oracleデータベースに対してエンタープライズ・ユーザー・セキュリティを構成するときの主要な作業は、エンタープライズ・ユーザーとデータベース情報を格納するためのディレクトリ・オブジェクトの作成です。一部の実装では、データベースがネットワーク上の正しいディレクトリ・サーバーの位置を確認できるように、特別なネットワーク構成ファイル(ldap.ora)の作成が必要になる場合もあります。

エンタープライズ・ユーザー・セキュリティの構成と管理タスクのいずれでも、Oracle Enterprise Managerが主要なツールになりますが、この章では使用可能なすべてのツールについて説明します。項目は次のとおりです。

• エンタープライズ・ユーザー・セキュリティのツールの概要

• Database Configuration Assistant

• Oracle Wallet Manager

• Oracle Enterprise Manager

• Oracle Netコンフィギュレーション・アシスタント

• ユーザー移行ユーティリティ

• エンタープライズ・ユーザー・セキュリティ管理者/DBAの責務

3.1 エンタープライズ・ユーザー・セキュリティのツールの概要

エンタープライズ・ユーザーは、識別情報がOracle Internet DirectoryなどのLDAPディレクトリに格納され、一元的に管理されるデータベース・ユーザーです。表3-1に、エンタープライズ・ユーザー・セキュリティの構成および管理タスクと、その実行に使用されるツールの概要を示します。ツール名は、そのツールを説明している項にリンクしています。

表3-1 エンタープライズ・ユーザー・セキュリティのタスクとツールの概要

タスク	ツール
ユーザーの作成およびそのパスワードの管理	Oracle Internet Directoryセルフ・サービス・コンソール
ネットワークを介してディレクトリを使用するためのデータベースのOracleホームの構成	Oracle Netコンフィギュレーション・アシスタント
Oracle Internet Directoryへのデータベースの登録および登録解除	Database Configuration Assistant
エンタープライズ・ユーザー・セキュリティのOracleウォレットの管理	Oracle Wallet Manager
マッピング、ロール、プロキシ権限など、Oracle Internet Directoryでのエンタープライズ・ドメインとデータベースの構成 Oracle Internet Directoryでのエンタープライズ・ユーザー・セキュリティに関連するアイデンティティ管理レルムの属性および管理グループの管理	Oracle Enterprise Manager
Oracle Internet Directoryでのアイデンティティ管理レルムの管理 このツールおよびレルムの詳細は、『Oracle Identity Management委任管理ガイド』を参照してください。	Oracle Internet Directoryセルフ・サービス・コンソール
Oracle Internet Directoryへのデータベース・ユーザーのバルク移行の実行	ユーザー移行ユーティリティ

3.2 Oracle Internet Directoryセルフサービス・コンソール

Oracle Internet Directoryセルフ・サービス・コンソールは、Delegated Administration Servicesに基づいたツールです。このツールは、ディレクトリで管理されるアプリケーション・データへの管理アクセスを可能にするセルフ・サービス・アプリケーションです。Oracle Internet Directoryですぐに使用できる状態になっています。

Delegated Administration ServicesとOracle Internet Directoryセルフ・サービス・コンソール・ツールの詳細は、『Oracle Identity Management委任管理ガイド』を参照してください。

3.3 Oracle Netコンフィギュレーション・アシスタント

Oracle Netコンフィギュレーション・アシスタントは、グラフィカル・ユーザー・インタフェースがあるウィザードベースのツールです。主な用途は、リスナー名やプロトコル・アドレスなどの基本的なOracle Netネットワーク・コンポーネントの構成、およびディレクトリ・サーバーを使用するためのOracleホームの構成です。後者に使用する場合、このツールはエンタープライズ・ユーザー・セキュリティの構成で重要になります。

ドメイン・ネーム・システム(DNS)検出(自動ドメイン名検索)を使用してネットワーク上のOracle Internet Directoryを探す場合、このアシスタントは不要です。DNS検出を使用するよう構成することをお薦めします。

データベースをディレクトリに登録するには、次の2つのタスクのいずれかを実行する必要があります。

• ネットワークにOracle Internet DirectoryのDNS検出を構成します。

  関連項目:

  DNSサーバー検出の詳細は、Oracle Fusion Middleware Oracle Internet Directory管理者ガイドを参照してください。

• ネットワークにDNS検出を構成しない場合は、Oracle Net Configuration Assistantを使用してOracleホーム用のldap.oraファイルを作成します。

データベースは最初にldap.oraファイルを使用してネットワーク上の正しいOracle Internet Directoryサーバーを探します。この構成ファイルには、ディレクトリ・サーバーのホスト名、ポート番号およびアイデンティティ管理レルム情報が含まれています。

データベースの登録が完了すると、データベース・ウォレットに格納されているデータベースDNによってレルムが確認されます。

次の項では、「Oracle Net Configuration Assistantの起動」でOracle Net Configuration Assistantの詳細を説明します。

3.3.1 Oracle Net Configuration Assistantの起動

Oracle Net Configuration Assistantを起動するには、次のようにします。

• (UNIXの場合)$ORACLE_HOME/binから、コマンドラインで次のように入力します。

  netca
  

• (Windowsの場合)「スタート」→「プログラム」→「Oracle - HOME_NAME」→「Configuration and Migration Tools」→「Net Configuration Assistant」の順に選択します。

このツールを起動すると、図3-1に示すような開始ページが表示されます。

このページで「ディレクトリ使用構成」オプションを選択し、「次へ」をクリックしてエンタープライズ・ユーザーを格納するディレクトリ・サーバーを選択します。次に、「終了」をクリックして、Oracleホーム用に適切に構成されたldap.oraファイルを作成します。

図3-1 Oracle Net Configuration Assistantの開始ページ

「図3-1 Oracle Net Configuration Assistantの開始ページ」の説明

関連項目:

• このツールを使用してエンタープライズ・ユーザー・セキュリティ用にOracleホームを構成する方法は、「タスク5: (オプション)ディレクトリを使用するためのOracleホームの構成」を参照してください。

• このツールの詳細なドキュメントは、Oracle Net Configuration Assistantのオンライン・ヘルプおよび『Oracle Database Net Services管理者ガイド』を参照してください。

3.4 Database Configuration Assistant

Database Configuration Assistantは、Oracleデータベースの作成と構成に使用するウィザードベースのツールです。

Database Configuration Assistantを使用して、データベースをディレクトリに登録します。その処理中に、Database Configuration Assistantはデータベースの識別名(DN)と、対応するエントリおよびサブツリーをOracle Internet Directoryに作成します。

次の項では、「Database Configuration Assistantの起動」でDatabase Configuration Assistantの詳細を説明します。

3.4.1 Database Configuration Assistantの起動

Database Configuration Assistantを起動するには、次のようにします。

• (UNIXの場合)$ORACLE_HOME/binから、コマンドラインでdbcaと入力します。

• (Windowsの場合)「スタート」→「プログラム」→「Oracle - HOME_NAME」→「Configuration and Migration Tools」→「Database Configuration Assistant」の順に選択します。

  関連項目:

  • このツールを使用してデータベースを登録する方法は、「データベースをディレクトリに登録するには:」を参照してください。

  • このツールの詳細は、『Oracle Database管理者ガイド』 を参照してください。

3.5 Oracle Wallet Manager

セキュリティ管理者はOracle Wallet Managerを使用しますが、これはウォレットの所有者がOracleウォレット内のセキュリティ資格証明を管理および編集するために使用するアプリケーションです。ウォレットは、秘密キー、証明書およびSSLに必要な信頼できる証明書も含めて、認証および署名された資格証明の格納に使用されるパスワードで保護されたコンテナです。作成するウォレットは、Oracle Database、Oracle Application Server 10gおよびOracle Identity Managementインフラストラクチャによる読取りが可能です。

関連項目:

「Oracle Wallet Managerの使用方法」

この項には次のトピックが含まれます:

• Oracle Wallet Managerの起動

• orapkiコマンドライン・ユーティリティ

3.5.1 Oracle Wallet Managerの起動

Oracle Wallet Managerを起動するには、次のようにします。

• (Windowsの場合)「スタート」→「プログラム」→「Oracle - HOME_NAME」→「Integrated Management Tools」→「Wallet Manager」の順に選択します。

• (UNIXの場合)コマンドラインでowmと入力します。

3.5.2 orapkiコマンドライン・ユーティリティ

orapkiコマンドライン・ユーティリティを使用すると、管理者は、ウォレット、証明書失効リストおよびその他の公開キー・インフラストラクチャ(PKI)の要素をコマンドラインから管理できます。このユーティリティはスクリプト内で使用できるため、多くの日常的なPKIタスクを自動化できます。orapkiコマンドを使用すると、次のタスクを実行できます。

表3-2 orapkiコマンドの概要

対象オブジェクト	orapkiコマンドで実行可能な操作
証明書	作成または表示
証明書失効リスト(CRL)	削除、表示、ハッシュ、一覧表示またはアップロード
ウォレット	作成、表示、追加またはエクスポート

関連項目:

『Oracle Databaseセキュリティ・ガイド』のorapkiユーティリティに関する項

3.6 Oracle Enterprise Manager

エンタープライズ・ユーザー・セキュリティでは、Oracle Internet Directoryに格納されているエンタープライズ・ユーザー、管理グループ、エンタープライズ・ドメイン、エンタープライズ・ロールの管理にOracle Enterprise Managerを採用しています。Oracle Enterprise Managerに付属するWebベースのユーザー・インタフェースを使用して、エンタープライズ・ユーザー・セキュリティを管理できます。

エンタープライズ・ユーザーは、データベース・アクセスについて、Oracle Internet DirectoryなどのLDAP準拠のディレクトリで一元的にプロビジョニングおよび管理されるユーザーです。エンタープライズ・ドメインは、データベース、エンタープライズ・ロール(エンタープライズ・ユーザーに割り当てられているアクセス権限)およびプロキシ権限(エンタープライズ・ユーザーが別のユーザーとしてデータベースに接続できるようにする権限)を格納するディレクトリ構成メンバーです。

関連項目:

エンタープライズ・ユーザー・セキュリティの管理グループ、エンタープライズ・ドメイン、エンタープライズ・ロール、エンタープライズ・ユーザー、共有スキーマおよびユーザー・スキーマ・マッピングの詳細は、「エンタープライズ・ユーザー・セキュリティの概要」を参照してください。

Oracle Enterprise Manager Cloud Controlの「エンタープライズ・ユーザー・セキュリティ」リンクにアクセスするには、次のステップに従います。

1. ブラウザ・ウィンドウにCloud ControlのURLを入力します。次に例を示します。

   https://mydbhost:1158/em
   

2. 管理データベース・ユーザーとしてログインします。

3. 使用するデータベースに移動するには、「ターゲット」メニューから「データベース」を選択します。

4. 表示されたリストで、データベース名をクリックします。データベースのページが表示されます。

5. 「管理」メニューで、「セキュリティ」→「エンタープライズ・ユーザー・セキュリティ」を選択します。「Oracle Internet Directoryログイン」ページが表示されます。

6. 「ユーザー」フィールドに、アイデンティティ管理レルムに対する管理権限を持つディレクトリ・ユーザーの識別名(DN)を入力します。「パスワード」フィールドに、ユーザー・パスワードを入力します。「ログイン」をクリックします。

   「エンタープライズ・ユーザー・セキュリティ」ページが表示されます。

3.7 ユーザー移行ユーティリティ

ユーザー移行ユーティリティは、データベース・ユーザーをエンタープライズ・ユーザーとして格納および管理するOracle Internet Directoryへのデータベース・ユーザーのバルク移行を実行できるようにするコマンドライン・ツールです。このツールは、2つのフェーズでバルク移行を実行します。フェーズ1では、表にデータベース・ユーザー情報が移入されます。フェーズ2では、そのデータベース・ユーザー情報がディレクトリに移行されます。

このツールは、Oracle Databaseクライアントのインストール時に次の場所に自動的にインストールされます。

$ORACLE_HOME/rdbms/bin/umu

このユーティリティの基本構文は次のとおりです。

umu parameter_keyword_1=value1:value2

parameter_keyword_2=value
parameter_keyword_3=value1:value2:value3
...
parameter_keyword_n=value

パラメータが複数の値をとる場合は、コロン(:)で区切ります。

関連項目:

このツールを使用してデータベース・ユーザーをディレクトリに移行するための詳細な手順(使用例を含む)は、「ユーザー移行ユーティリティの使用方法」を参照してください。

3.8 エンタープライズ・ユーザー・セキュリティ管理者/DBAの責務

エンタープライズ・ユーザー・セキュリティ管理者は、エンタープライズ・ユーザーを計画、実装および管理します。表3-3に、エンタープライズ・ユーザー・セキュリティ管理者の主なタスク、タスクの実行に使用するツールおよびタスクの関連項目へのリンクを示します。

表3-3 エンタープライズ・ユーザー・セキュリティ管理者の一般的な構成および管理タスク

タスク	使用するツール	関連項目
Oracle Internet Directoryでのアイデンティティ管理レルムの作成	Oracle Internet Directoryセルフ・サービス・コンソール(Delegated Administration Services)	このタスクを実行する方法はOracle Fusion Middleware Oracle Internet Directory管理者ガイド
Oracle Internet Directoryでのアイデンティティ管理レルムのアップグレード	Oracle Internet Directoryコンフィギュレーション・アシスタント	Oracle Fusion Middleware Oracle Internet Directory管理者ガイドおよびこのツールのオンライン・ヘルプ
ネットワーク上でのOracle Internet Directoryの自動検出を有効にするためのDNSの設定。この構成をお薦めします。	Oracle Internet Directoryコンフィギュレーション・アシスタント	Oracle Fusion Middleware Oracle Internet Directory管理者ガイド(ドメイン・ネーム・システム・サーバー検出)およびこのツールのオンライン・ヘルプ
ディレクトリ・アクセスを可能にするためのldap.oraファイルの作成	Oracle Netコンフィギュレーション・アシスタント	「タスク5: (オプション)ディレクトリを使用するためのOracleホームの構成」
ディレクトリへのデータベースの登録	Database Configuration Assistant	「タスク6: ディレクトリへのデータベースの登録」
エンタープライズ・ユーザー・セキュリティのパスワード認証の構成	Oracle Enterprise Manager	「パスワード認証を使用するエンタープライズ・ユーザー・セキュリティの構成」
エンタープライズ・ユーザー・セキュリティのKerberos認証の構成	Oracle Internet Directoryセルフ・サービス・コンソール(Delegated Administration Services) Oracle Enterprise Manager	「Kerberos認証を使用するエンタープライズ・ユーザー・セキュリティの構成」
エンタープライズ・ユーザー・セキュリティのSSL認証の構成	Oracle Net Manager Oracle Enterprise Manager Oracle Wallet Manager	「SSL認証を使用するエンタープライズ・ユーザー・セキュリティの構成」
ディレクトリでのユーザー・エントリおよびOracle管理グループの作成または変更	Oracle Internet Directoryセルフ・サービス・コンソール(Delegated Administration Services)	「アイデンティティ管理レルムの管理」 「エンタープライズ・ユーザーの管理」
ディレクトリでのエンタープライズ・ロールおよびドメインの作成または変更	Oracle Enterprise Manager	「エンタープライズ・ドメインの管理」 「エンタープライズ・ロールの構成」
ディレクトリ、データベースおよびクライアントのウォレットの作成または変更	Oracle Wallet Manager orapkiコマンドライン・ユーティリティ	「Oracleウォレットの管理」 『Oracle Databaseセキュリティ・ガイド』のorapkiユーティリティの説明
ユーザーのデータベースまたはディレクトリ・パスワードの変更	Oracle Internet Directoryセルフ・サービス・コンソール(Delegated Administration Services)	「エンタープライズ・ユーザー・パスワードの設定」
データベースのディレクトリ・パスワードの変更	Database Configuration Assistant	「データベースのディレクトリ・パスワードを変更するには:」
ローカル・システムでのユーザー・ウォレットの管理、またはデータベースおよびディレクトリのウォレット・パスワードの更新	Oracle Wallet Manager	「Oracleウォレットの管理」
MITのKerberos V5などのKDCがオペレーティング・システムに組み込まれていない場合の初期Kerberosチケットのリクエスト	okinitユーティリティ	『Oracle Databaseセキュリティ・ガイド』のokinitユーティリティを使用して初期Kerberosチケットを取得する方法の説明
多数のローカルまたは外部データベース・ユーザーの、エンタープライズ・ユーザー・セキュリティのディレクトリへの移行	ユーザー移行ユーティリティ	ユーザー移行ユーティリティの使用方法