C エンタープライズ・ユーザー・セキュリティとMicrosoft Active Directoryの統合

この付録では、Kerberos認証を使用したエンタープライズ・ユーザー・セキュリティとMicrosoft Active Directoryの統合ステップを示します。次の項が含まれます:

• Microsoft Active Directoryとの直接統合について

• Active DirectoryとOracle Internet Directory間の同期の設定

• Oracleクライアントと相互運用するためのActive Directoryの設定

• Microsoft Active Directoryと相互運用するためのOracle Databaseの設定

• Microsoft Active Directoryと相互運用するためのOracle Databaseクライアントの設定

• クライアントの初期チケットの取得

• Kerberos認証を使用するエンタープライズ・ユーザー・セキュリティの構成

C.1 Microsoft Active Directoryとの直接統合について

Oracle Databaseリリース18c、バージョン18.1以降では、新しい一元管理ユーザー機能の使用によるMicrosoft Active Directory (MSAD)との直接統合をサポートしています。

Oracle Databaseリリース18c、バージョン18.1から、Oracle DatabaseではMicrosoft Active Directoryにより直接ユーザーを認証および認可するための一元管理ユーザーが導入されました。一元管理ユーザーにより、データベースにアクセスするユーザーを一元的に管理して組織のセキュリティ体制を強化できます。エンタープライズ・ユーザー(Microsoft Active Directoryのユーザー)を排他的にデータベース・アカウントにマップしたり、(Microsoft Active Directoryグループ内の)多数のエンタープライズ・ユーザーをデータベース内の共有アカウントにマップできます。Microsoft Active Directoryグループをデータベース・グローバル・ロールにマップすることもでき、これにより自分のログイン・アカウント(排他または共有)に付与されているものに加えてさらに権限およびロールをユーザーに付与できます。一元管理ユーザーにより、ユーザーをパスワード、KerberosおよびPKI証明書を使用して認証できます。

信頼できるデータベース・リンクなど、より複雑なエンタープライズ・ユーザー・セキュリティ機能を必要としない新しいディレクトリ・サービス・プロジェクトを組織で開始する場合、Microsoft Active Directoryによる一元管理ユーザーにより、現在のMicrosoft Active Directoryサービスを使用してユーザー管理およびデータベース・アクセス認可を一元化できます。新しいディレクトリ・サービスのプロジェクトの場合、これにより複雑さが軽減されるだけでなく、メンテナンスおよび開発の面での運用コストの削減につながることから、ディレクトリ・サービスの実装における適切なオプションになる可能性があります。

エンタープライズ・ユーザーは、Oracle Identity Managementインフラストラクチャの一部であるOracle Internet Directoryも利用できます。所属している組織が、Microsoft Active Directoryなどのサード・パーティのディレクトリを使用してユーザー・エントリを格納および管理している場合は、サード・パーティのディレクトリとOracle Internet Directoryを統合して、エンタープライズ・ユーザー・セキュリティを管理できます。信頼できるデータベース・リンクなど、より複雑なエンタープライズ・ユーザー・セキュリティ機能が組織において必要な場合は、これが望ましいオプションとなる可能性があります。

関連項目:

Microsoft Active Directoryによる一元管理ユーザーの詳細は、『Oracle Databaseセキュリティ・ガイド』を参照してください。

C.2 Active DirectoryとOracle Internet Directoryの同期化の設定

Oracleコンポーネントは、Oracle Internet Directoryを利用してセキュリティを一元管理します。組織によっては、Microsoft Active Directoryを使用するMicrosoft Windowsドメインを設定してセキュリティを一元管理している場合があります。エンタープライズ・ユーザー・セキュリティとMicrosoft Active Directoryを併用できるように構成するには、Oracle Internet DirectoryとMicrosoft Active Directory間の同期を設定する必要があります。

2つのディレクトリを同期するには、同期プロファイルを使用します。このプロファイルには、2つのディレクトリの同期に必要な構成情報が含まれています。構成情報には、同期の方向、マッピング・ルールと書式、Microsoft Windowsドメインの接続の詳細などがあります。マッピング・ルールには、一方のディレクトリのドメインと属性を他方のディレクトリにマップするためのドメイン・ルールと属性ルールがあり、オプションで属性の書式設定があります。

関連項目:

Oracle Internet DirectoryとMicrosoft Active Directoryの統合ステップは、『Oracle Identity Management統合ガイド』を参照してください。

C.3 Oracleクライアントと相互運用するためのActive Directoryの設定

Windows ドメイン・コントローラで、次のタスクを実行する必要があります。

1. Microsoft Active DirectoryでOracle Databaseプリンシパルを作成します。

   これにより、Microsoft Active Directoryにデータベースの新しいユーザーが作成されます。

2. okcreateコマンドライン・ユーティリティを使用して、サービス・プリンシパルkeytabファイルの作成を自動化します。

   Oracle Database 12c リリース2 (12.2)以降では、okcreateユーティリティに、Key Distribution Center (KDC)でのサービス・プリンシパルkeytabの作成を自動化し、設定に必要なすべてのサービスkeytabを作成する機能が用意されています。Active DirectoryをKDCとして使用するには、keytabファイルが必要です。Oracleクライアントでは、SQLNET.KERBEROS5_CONFで指定された場所にkeytabファイルがない場合、汎用のkrb5.confファイルが使用されます。この場合、DNSからレルムとKDC設定が検出されます。このユーティリティはkeytabに関する入力を取得し、keytabを作成し、指定された場所に出力します。取得される入力はサービス名(デフォルトはoracle)と、データベース・サーバーがインストールされるホスト名のリストです。

関連項目:

このステップの詳細は、『Oracle Databaseセキュリティ・ガイド』を参照してください。

C.4 Microsoft Active Directoryと相互運用するためのOracle Databaseの設定

Oracle Databaseがインストールされているホスト・コンピュータで、次のタスクを実行する必要があります。

• Kerberosパラメータを使用してデータベースのsqlnet.oraファイルを更新します。

関連項目:

このステップの詳細は、『Oracle Databaseセキュリティ・ガイド』を参照してください。

C.5 Microsoft Active Directoryと相互運用するためのOracle Databaseクライアントの設定

Oracle Kerberosクライアントで、次のステップを実行する必要があります。

1. Kerberosクライアント構成ファイルを作成します。

   クライアントのkerberos構成ファイルはkerberos KDCとしてMicrosoft Active Directoryを参照します。

2. クライアントのsqlnet.oraファイルにKerberosパラメータを指定します。

   手動でファイルを更新することも、Oracle Net Managerユーティリティを使用することもできます。

関連項目:

このステップの詳細は、『Oracle Databaseセキュリティ・ガイド』を参照してください。

C.6 クライアントの初期チケットの取得

クライアントがデータベースに接続するには、初期チケットをリクエストする必要があります。初期チケットにより、その他のサービス・チケットを要求する権限を持つクライアントとして識別されます。初期チケットは、okinitコマンドを使用してリクエストします。

関連項目:

okinitを使用した初期チケットのリクエストの詳細は、『Oracle Databaseセキュリティ・ガイド』を参照してください。

C.7 Kerberos認証を使用するエンタープライズ・ユーザー・セキュリティの構成

Kerberos認証を使用するエンタープライズ・ユーザー・セキュリティを構成するには、次のステップに従います。

1. Oracle Internet Directoryにデータベースを登録します。

   データベースの登録には、Database Configuration Assistantを使用できます。

2. データベースおよびOracle Internet Directoryでエンタープライズ・ユーザー・セキュリティ・オブジェクトを構成します。

   データベースでグローバル・スキーマとグローバル・ロールを作成します。また、エンタープライズ・ドメインでエンタープライズ・ロールを作成します。エンタープライズ・ドメインのユーザー・スキーマ・マッピングを構成して、グローバル・データベース・ロールをエンタープライズ・ロールに追加し、データベースにアクセスするエンタープライズ・ユーザーにエンタープライズ・ロールを付与します。

3. Kerberos認証を受け入れるようにエンタープライズ・ドメインを構成します。

   Oracle Enterprise Managerを使用して、エンタープライズ・ドメインに対するKerberos認証を有効にします。

4. Kerberos認証エンタープライズ・ユーザーとして接続します。

   SQL*Plusを起動し、connect /@net_service_nameコマンドを使用してKerberos認証エンタープライズ・ユーザーとして接続します。

関連項目:

このステップの詳細は、「Kerberos認証を使用するエンタープライズ・ユーザー・セキュリティの構成」を参照してください。