C Kerberos、SSLおよびRADIUS認証パラメータ
sqlnet.ora
ファイルおよびデータベース初期化ファイルには、Kerberos、RADIUSまたはSSL認証パラメータが用意されています。
- Kerberos認証を使用するクライアントとサーバーのパラメータ
Oracle Databaseには、Kerberos認証を使用するためのクライアントとサーバーのパラメータが用意されています。 - Secure Sockets Layerを使用するクライアントとサーバーのパラメータ
Oracleには、Secure Sockets Layer認証を制御するパラメータが用意されています。 - RADIUS認証を使用するクライアントとサーバーのパラメータ
Oracleには、RADIUS認証用のパラメータが用意されています。
親トピック: 付録
Kerberos認証を使用するクライアントとサーバーのパラメータ
Oracle Databaseには、Kerberos認証を使用するためのクライアントとサーバーのパラメータが用意されています。
表C-1に、Kerberosを使用するクライアントとサーバーの構成ファイルに挿入するパラメータを示します。
表C-1 Kerberos認証パラメータ
ファイル名 | 構成パラメータ |
---|---|
|
|
|
|
Secure Sockets Layerを使用するクライアントとサーバーのパラメータ
Oracleには、Secure Sockets Layer認証を制御するパラメータが用意されています。
- Secure Sockets Layerのパラメータの構成方法
Secure Sockets Layer (SSL)のパラメータの構成方法は2つあります。 - クライアントとサーバーのSecure Sockets Layer認証パラメータ
Oracleには、静的と動的の両方のSecure Sockets Layer (SSL)認証パラメータが用意されています。 - Secure Sockets Layerの暗号スイート・パラメータ
Secure Sockets Layer (SSL)に対して暗号スイート・パラメータを構成できます。 - サポートされているSecure Sockets Layer暗号スイート
Oracle Databaseでは、Secure Sockets Layer (SSL)に対して数多くの暗号スイートをサポートしています。 - Secure Sockets Layerバージョン・パラメータ
使用するSSLのバージョンを構成するために、様々なSecure Sockets Layer (SSL)パラメータを設定できます。 - Secure Sockets Layerクライアント認証パラメータ
クライアントに対してSecure Sockets Layer (SSL)の静的および動的パラメータを構成できます。 - Secure Sockets Layer X.509サーバー照合パラメータ
SSL_SERVER_DN_MATCH
およびSSL_SERVER_CERT_DN
パラメータで、クライアントが接続するサーバーの識別情報を検証します。 - Oracleウォレット・ロケーション
セキュリティ資格証明をプロセス領域にロードするためにOracleウォレットにアクセスする必要があるアプリケーションに対して、ウォレット・ロケーション・パラメータを指定する必要があります。
Secure Socket Layerのパラメータの構成方法
Secure Sockets Layer (SSL)のパラメータの構成方法は2つあります。
-
静的:
sqlnet.ora
ファイルに存在するパラメータの名前。SSL_CIPHER_SUITES
やSSL_VERSION
などのパラメータは、listener.ora
ファイルを使用して構成することもできます。 -
動的: Oracle Netアドレスのセキュリティ・サブセクションで使用されるパラメータの名前。
クライアントとサーバーのSecure Sockets Layer認証パラメータ
Oracleには、静的と動的の両方のSecure Sockets Layer (SSL)認証パラメータが用意されています。
表C-2では、サーバーでSSLを構成するための静的パラメータと動的パラメータについて説明します。
表C-2 クライアントとサーバーのSSL認証パラメータ
属性 | 説明 |
---|---|
パラメータ名(静的) |
|
パラメータ名(動的) |
|
パラメータ・タイプ |
文字列 |
パラメータ・クラス |
静的 |
設定できる値 |
使用可能な認証サービスのリストにTCPSを追加します。 |
デフォルト値 |
デフォルト値なし。 |
説明 |
ユーザーが使用する認証サービスを制御します。 ノート: 動的バージョンでは、1つのタイプの設定のみがサポートされます。 |
既存/新規パラメータ |
既存 |
構文(静的) |
|
例(静的) |
|
構文(動的) |
|
例(動的) |
|
Secure Sockets Layerの暗号スイート・パラメータ
Secure Sockets Layer (SSL)に対して暗号スイート・パラメータを構成できます。
表C-3では、暗号スイートを構成するための静的パラメータと動的パラメータについて説明します。
表C-3 Secure Sockets Layerの暗号スイート・パラメータ
属性 | 説明 |
---|---|
パラメータ名(静的) |
|
パラメータ名(動的) |
|
パラメータ・タイプ |
文字列 |
パラメータ・クラス |
静的 |
設定できる値 |
既知のSSL暗号スイート |
デフォルト値 |
デフォルトなし |
説明 |
SSLで使用する暗号化とデータ整合性の組合せを制御します。 |
既存/新規パラメータ |
既存 |
構文(静的) |
|
例(静的) |
|
構文(動的) |
|
例(動的) |
|
サポートされているSecure Sockets Layer暗号スイート
Oracle Databaseでは、Secure Sockets Layer (SSL)に対して数多くの暗号スイートをサポートしています。
暗号スイートを次に示します。
-
SSL_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
-
SSL_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
-
SSL_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
-
SSL_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
-
SSL_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
-
SSL_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
-
SSL_RSA_WITH_AES_128_CBC_SHA256
-
SSL_RSA_WITH_AES_128_GCM_SHA256
-
SSL_RSA_WITH_AES_128_CBC_SHA
-
SSL_RSA_WITH_AES_256_CBC_SHA
-
SSL_RSA_WITH_AES_256_CBC_SHA256
Secure Sockets Layerバージョン・パラメータ
使用するSSLのバージョンを構成するために、様々なSecure Sockets Layer (SSL)パラメータを設定できます。
表C-4では、使用するSSLのバージョンを構成するための静的および動的なSSL_VERSION
パラメータについて説明します。
表C-4 Secure Sockets Layerバージョン・パラメータ
属性 | 説明 |
---|---|
パラメータ名(静的) |
|
パラメータ名(動的) |
|
パラメータ・タイプ |
文字列 |
パラメータ・クラス |
静的 |
設定できる値 |
SSLの有効なバージョン。値は次のとおりです。
あるバージョンまたは別のバージョンを指定する場合は、"or"を使用します。次の値を使用できます。 1.0 or 3.0 | 1.2 or 3.0 | 1.1 or 1.0 | 1.2 or 1.0 | 1.2 or 1.1 | 1.1 or 1.0 or 3.0 | 1.2 or 1.0 or 3.0 | 1.2 or 1.1 or 1.0 | 1.2 or 1.1 or 3.0 |1.2 or 1.1 or 1.0 or 3 |
デフォルト値 |
|
説明 |
SSL接続のバージョンを強制します。 |
既存/新規パラメータ |
新規 |
構文(静的) |
|
例(静的) |
|
構文(動的) |
|
例(動的) |
|
ノート:
ADD_SSLv3_IMPLICITLY
初期化パラメータは、SSL_VERSION
パラメータには影響しません。
Secure Sockets Layerクライアント認証パラメータ
クライアントに対してSecure Sockes Layer (SSL)の静的および動的パラメータを構成できます。
表C-5では、SSL_CLIENT_AUTHENTICATION
パラメータについて説明します。
表C-5 Secure Sockets Layerクライアント認証パラメータ
属性 | 説明 |
---|---|
パラメータ名(静的) |
|
パラメータ名(動的) |
|
パラメータ・タイプ |
ブール |
パラメータ・クラス |
静的 |
設定できる値 |
|
デフォルト値 |
|
説明 |
クライアント(サーバーに加えて)をSSLを使用して認証するかどうかを制御します。 |
既存/新規パラメータ |
新規 |
構文(静的) |
|
例(静的) |
|
構文(動的) |
|
例(動的) |
|
Secure Sockets Layer X.509サーバー照合パラメータ
SSL_SERVER_DN_MATCH
およびSSL_SERVER_CERT_DN
パラメータで、クライアントが接続するサーバーの識別情報を検証します。
- SSL_SERVER_DN_MATCH
SSL_SERVER_DN_MATCH
パラメータでは、サーバーの識別名(DN)がサービスの名前と一致することを強制します。 - SSL_SERVER_CERT_DN
SSL_SERVER_CERT_DNでは、サーバーの識別名(DN)を指定します。
SSL_SERVER_DN_MATCH
SSL_SERVER_DN_MATCH
パラメータでは、サーバーの識別名(DN)がサービスの名前と一致することを強制します。
表C-6では、SSL_SERVER_DN_MATCH
パラメータについて説明します。
表C-6 SSL_SERVER_DN_MATCHパラメータ
属性 | 説明 |
---|---|
パラメータ名 |
|
格納場所 |
|
目的 |
このパラメータを使用して、サーバーの識別名(DN)とそのサービス名の一致を強制します。一致確認を強制する場合は、SSLによって証明書がサーバーからのものであることが保証されます。一致確認を強制しない場合、SSLによるチェックは実行されるものの、一致しているかどうかに関係なく接続は許可されます。 一致を強制しないと、サーバーの識別情報の偽装が可能になります。 |
値 |
|
デフォルト |
Oracle8i以上: FALSE。SSLクライアントは(常に)サーバーDNをチェックします。サービス名と一致していない場合、接続は成功しますが、エラーが |
使用上のノート |
さらに、 |
SSL_SERVER_CERT_DN
SSL_SERVER_CERT_DNでは、サーバーの識別名(DN)を指定します。
表C-7では、SSL_SERVER_CERT_DN
パラメータについて説明します。
表C-7 SSL_SERVER_CERT_DNパラメータ
属性 | 説明 |
---|---|
パラメータ名 |
|
格納場所 |
|
目的 |
このパラメータでは、サーバーの識別名(DN)を指定します。クライアントは、サーバーのDNとそのサービス名が確実に一致するように、この情報を使用して、各サーバーに予定しているDNのリストを取得します。 |
値 |
サーバーの識別名(DN)と等しい値を指定します。 |
デフォルト |
なし |
使用上のノート |
さらに、 |
例 |
|
Oracleウォレット・ロケーション
セキュリティ資格証明をプロセス領域にロードするためにOracleウォレットにアクセスする必要があるアプリケーションに対して、ウォレット・ロケーション・パラメータを指定する必要があります。
表C-8に、ウォレット・ロケーションを指定する必要がある構成ファイルを示します。
-
sqlnet.ora
-
listener.ora
表C-8 ウォレット・ロケーション・パラメータ
静的構成 | 動的構成 |
---|---|
WALLET_LOCATION = (SOURCE= (METHOD=File) (METHOD_DATA= (DIRECTORY=your_wallet_dir) ) ) |
MY_WALLET_DIRECTORY
= your_wallet_dir |
デフォルトのウォレット・ロケーションはORACLE_HOME
ディレクトリです。
RADIUS認証を使用するクライアントとサーバーのパラメータ
Oracleには、RADIUS認証用のパラメータが用意されています。
- sqlnet.oraファイルのパラメータ
sqlnet.ora
ファイルにRADIUS固有のパラメータを含めることができます。 - 最小限のRADIUSパラメータ
少なくとも、SQLNET.AUTHENTICATION_SERVICES
パラメータとSQLNET.RADIUS.AUTHENTICATION
パラメータを使用する必要があります。 - RADIUSの初期化ファイル・パラメータ
RADIUSの場合、OS_AUTHENT_PREFIX
初期化パラメータを設定します。
sqlnet.oraファイルのパラメータ
sqlnet.ora
ファイルにRADIUS固有のパラメータを含めることができます。
- SQLNET.AUTHENTICATION_SERVICES
SQLNET.AUTHENTICATION_SERVICES
パラメータでは、RADIUSアダプタを使用するようにクライアントまたはサーバーを構成します。 - SQLNET.RADIUS_ALTERNATE
SQLNET.RADIUS_ALTERNATE
パラメータでは、プライマリ・サーバーをフォルト・トレランスに使用できない場合に使用する代替RADIUSサーバーの場所を設定します。 - SQLNET.RADIUS_ALTERNATE_PORT
SQLNET.RADIUS_ALTERNATE_PORT
パラメータでは、代替RADIUSサーバーのリスニング・ポートを設定します。 - SQLNET.RADIUS_ALTERNATE_TIMEOUT
SQLNET.RADIUS_ALTERNATE_TIMEOUT
パラメータでは、代替RADIUSサーバーで応答を待機する時間を設定します。 - SQLNET.RADIUS_ALTERNATE_RETRIES
SQLNET.RADIUS_ALTERNATE_RETRIES
パラメータでは、代替RADIUSサーバーでメッセージを再送信する回数を設定します。 - SQLNET.RADIUS_AUTHENTICATION
SQLNET.RADIUS_AUTHENTICATION
パラメータでは、プライマリRADIUSサーバーの場所(ホスト名またはドット区切りの10進形式)を設定します。 - SQLNET.RADIUS_AUTHENTICATION_INTERFACE
SQLNET.RADIUS_AUTHENTICATION_INTERFACE
パラメータでは、RADIUSがチャレンジ・レスポンス(非同期)モードの場合に、GUIを含むJavaクラスの名前を設定します。 - SQLNET.RADIUS_AUTHENTICATION_PORT
SQLNET.RADIUS_AUTHENTICATION_PORT
パラメータでは、プライマリRADIUSサーバーのリスニング・ポートを設定します。 - SQLNET.RADIUS_AUTHENTICATION_TIMEOUT
SQLNET.RADIUS_AUTHENTICATION_TIMEOUT
パラメータでは、応答を待機する時間を設定します。 - SQLNET.RADIUS_AUTHENTICATION_RETRIES
SQLNET.RADIUS_AUTHENTICATION_RETRIES
パラメータでは、認証情報を再送信する回数を設定します。 - SQLNET.RADIUS_CHALLENGE_RESPONSE
SQLNET.RADIUS_CHALLENGE_RESPONSE
パラメータでは、チャレンジ・レスポンス(非同期)モードのオンとオフを切り替えます。 - SQLNET.RADIUS_CHALLENGE_KEYWORD
SQLNET.RADIUS_CHALLENGE_KEYWORD
パラメータでは、RADIUSサーバーからのチャレンジを要求するためのキーワードを設定します。 - SQLNET.RADIUS_CLASSPATH
SQLNET.RADIUS_CLASSPATH
パラメータでは、JavaクラスおよびJDK Javaライブラリのパスを指定します。 - SQLNET.RADIUS_SECRET
SQLNET.RADIUS_SECRET
パラメータでは、RADIUS秘密キーのファイル名と場所を指定します。 - SQLNET.RADIUS_SEND_ACCOUNTING
SQLNET.RADIUS_SEND_ACCOUNTING
パラメータでは、アカウンティングのオンとオフを切り替えます。
SQLNET.AUTHENTICATION_SERVICES
SQLNET.AUTHENTICATION_SERVICES
パラメータでは、RADIUSアダプタを使用するようにクライアントまたはサーバーを構成します。
表C-9では、SQLNET.AUTHENTICATION_SERVICES
パラメータの属性について説明します。
表C-9 SQLNET.AUTHENTICATION_SERVICESパラメータの属性
属性 | 説明 |
---|---|
構文 |
|
デフォルト設定 |
なし |
親トピック: sqlnet.oraファイルのパラメータ
SQLNET.RADIUS_ALTERNATE
SQLNET.RADIUS_ALTERNATE
パラメータでは、プライマリ・サーバーをフォルト・トレランスに使用できない場合に使用する代替RADIUSサーバーの場所を設定します。
表C-10では、SQLNET.RADIUS_ALTERNATE
パラメータの属性について説明します。
表C-10 SQLNET.RADIUS_ALTERNATEパラメータの属性
属性 | 説明 |
---|---|
構文 |
|
デフォルト設定 |
|
親トピック: sqlnet.oraファイルのパラメータ
SQLNET.RADIUS_ALTERNATE_PORT
SQLNET.RADIUS_ALTERNATE_PORT
パラメータでは、代替RADIUSサーバーのリスニング・ポートを設定します。
表C-11では、SQLNET.RADIUS_ALTERNATE_PORT
パラメータの属性について説明します。
表C-11 SQLNET.RADIUS_ALTERNATE_PORTパラメータの属性
属性 | 説明 |
---|---|
構文 |
|
デフォルト設定 |
|
親トピック: sqlnet.oraファイルのパラメータ
SQLNET.RADIUS_ALTERNATE_TIMEOUT
SQLNET.RADIUS_ALTERNATE_TIMEOUT
パラメータでは、代替RADIUSサーバーで応答を待機する時間を設定します。
表C-12では、SQLNET.RADIUS_ALTERNATE_TIMEOUT
パラメータの属性について説明します。
表C-12 SQLNET.RADIUS_ALTERNATE_TIMEOUTパラメータの属性
属性 | 説明 |
---|---|
構文 |
|
デフォルト設定 |
|
親トピック: sqlnet.oraファイルのパラメータ
SQLNET.RADIUS_ALTERNATE_RETRIES
SQLNET.RADIUS_ALTERNATE_RETRIES
パラメータでは、代替RADIUSサーバーでメッセージを再送信する回数を設定します。
表C-13では、SQLNET.RADIUS_ALTERNATE_RETRIES
パラメータの属性について説明します。
表C-13 SQLNET.RADIUS_ALTERNATE_RETRIESパラメータの属性
属性 | 説明 |
---|---|
構文 |
|
デフォルト設定 |
|
親トピック: sqlnet.oraファイルのパラメータ
SQLNET.RADIUS_AUTHENTICATION
SQLNET.RADIUS_AUTHENTICATION
パラメータでは、プライマリRADIUSサーバーの場所(ホスト名またはドット区切りの10進形式)を設定します。
RADIUSサーバーがOracleサーバーとは異なるコンピュータ上にある場合は、そのコンピュータのホスト名またはIPアドレスを指定する必要があります。
表C-14では、SQLNET.RADIUS_AUTHENTICATION
パラメータの属性について説明します。
表C-14 SQLNET.RADIUS_AUTHENTICATIONパラメータの属性
属性 | 説明 |
---|---|
構文 |
|
デフォルト設定 |
|
親トピック: sqlnet.oraファイルのパラメータ
SQLNET.RADIUS_AUTHENTICATION_INTERFACE
SQLNET.RADIUS_AUTHENTICATION_INTERFACE
パラメータでは、RADIUSがチャレンジ・レスポンス(非同期)モードの場合に、GUIを含むJavaクラスの名前を設定します。
表C-15では、SQLNET.RADIUS_AUTHENTICATION_INTERFACE
パラメータの属性について説明します。
表C-15 SQLNET.RADIUS_AUTHENTICATION_INTERFACEパラメータの属性
属性 | 説明 |
---|---|
構文 |
|
デフォルト設定 |
|
親トピック: sqlnet.oraファイルのパラメータ
SQLNET.RADIUS_AUTHENTICATION_PORT
SQLNET.RADIUS_AUTHENTICATION_PORT
パラメータでは、プライマリRADIUSサーバーのリスニング・ポートを設定します。
表C-16では、SQLNET.RADIUS_AUTHENTICATION_PORT
パラメータの属性について説明します。
表C-16 SQLNET.RADIUS_AUTHENTICATION_PORTパラメータの属性
属性 | 説明 |
---|---|
構文 |
|
デフォルト設定 |
|
親トピック: sqlnet.oraファイルのパラメータ
SQLNET.RADIUS_AUTHENTICATION_TIMEOUT
SQLNET.RADIUS_AUTHENTICATION_TIMEOUT
パラメータでは、応答を待機する時間を設定します。
表C-17では、SQLNET.RADIUS_AUTHENTICATION_TIMEOUT
パラメータの属性について説明します。
表C-17 SQLNET.RADIUS_AUTHENTICATION_TIMEOUTパラメータの属性
属性 | 説明 |
---|---|
構文 |
|
デフォルト設定 |
|
親トピック: sqlnet.oraファイルのパラメータ
SQLNET.RADIUS_AUTHENTICATION_RETRIES
SQLNET.RADIUS_AUTHENTICATION_RETRIES
パラメータでは、認証情報を再送信する回数を設定します。
表C-18では、SQLNET.RADIUS_AUTHENTICATION_RETRIES
パラメータの属性について説明します。
表C-18 SQLNET.RADIUS_AUTHENTICATION_RETRIESパラメータの属性
属性 | 説明 |
---|---|
構文 |
|
デフォルト設定 |
|
親トピック: sqlnet.oraファイルのパラメータ
SQLNET.RADIUS_CHALLENGE_RESPONSE
SQLNET.RADIUS_CHALLENGE_RESPONSE
パラメータでは、チャレンジ・レスポンス(非同期)モードのオンとオフを切り替えます。
表C-19では、SQLNET.RADIUS_CHALLENGE_RESPONSE
パラメータの属性について説明します。
表C-19 SQLNET.RADIUS_CHALLENGE_RESPONSEパラメータの属性
属性 | 説明 |
---|---|
構文 |
|
デフォルト設定 |
|
親トピック: sqlnet.oraファイルのパラメータ
SQLNET.RADIUS_CHALLENGE_KEYWORD
SQLNET.RADIUS_CHALLENGE_KEYWORD
パラメータでは、RADIUSサーバーからのチャレンジを要求するためのキーワードを設定します。
ユーザーはクライアントでパスワードを入力しません。
表C-20では、SQLNET.RADIUS_CHALLENGE_KEYWORD
パラメータの属性について説明します。
表C-20 SQLNET.RADIUS_CHALLENGE_KEYWORDパラメータの属性
属性 | 説明 |
---|---|
構文 |
|
デフォルト設定 |
|
親トピック: sqlnet.oraファイルのパラメータ
SQLNET.RADIUS_CLASSPATH
SQLNET.RADIUS_CLASSPATH
パラメータでは、JavaクラスおよびJDK Javaライブラリのパスを指定します。
チャレンジ・レスポンス認証モードを使用する場合、最初にパスワード、続いて追加情報(トークン・カードから取得する動的パスワードなど)を要求するJavaベースのグラフィカル・インタフェースがユーザーに表示されます。
sqlnet.ora
ファイルにSQLNET.RADIUS_CLASSPATH
パラメータを追加して、そのグラフィカル・インタフェースのJavaクラスを設定し、JDK Javaライブラリへのパスを設定します。
表C-21では、SQLNET.RADIUS_CLASSPATH
パラメータの属性について説明します。
表C-21 SQLNET.RADIUS_CLASSPATHパラメータの属性
属性 | 説明 |
---|---|
構文 |
|
デフォルト設定 |
|
親トピック: sqlnet.oraファイルのパラメータ
SQLNET.RADIUS_SECRET
SQLNET.RADIUS_SECRET
パラメータでは、RADIUS秘密キーのファイル名と場所を指定します。
表C-22では、SQLNET.RADIUS_SECRET
パラメータの属性について説明します。
表C-22 SQLNET.RADIUS_SECRETパラメータの属性
属性 | 説明 |
---|---|
構文 |
|
デフォルト設定 |
|
親トピック: sqlnet.oraファイルのパラメータ
SQLNET.RADIUS_SEND_ACCOUNTING
SQLNET.RADIUS_SEND_ACCOUNTING
パラメータでは、アカウンティングのオンとオフを切り替えます。
アカウンティングを有効にした場合、パケットは、1を加えたリスニング・ポートでアクティブなRADIUSサーバーに送信されます。デフォルトでは、パケットはポート1646に送信されます。この機能は、RADIUSサーバーでアカウンティングがサポートされ、ユーザーがシステムにログオンする回数を追跡する場合にのみオンにする必要があります。
表C-23では、SQLNET.RADIUS_SEND_ACCOUNTING
パラメータの属性について説明します。
表C-23 SQLNET.RADIUS_SEND_ACCOUNTINGパラメータの属性
属性 | 説明 |
---|---|
構文 |
|
デフォルト設定 |
|
親トピック: sqlnet.oraファイルのパラメータ
最小限のRADIUSパラメータ
少なくとも、SQLNET.AUTHENTICATION_SERVICES
パラメータとSQLNET.RADIUS.AUTHENTICATION
パラメータを使用する必要があります。
次の設定を使用します。
sqlnet.authentication_services = (radius) sqlnet.radius.authentication = IP-address-of-RADIUS-server