1. セキュリティ・ガイド
  2. セキュリティ構成
  3. セキュリティ構成の概要

セキュリティ構成の概要

セキュリティを設定するには、初期セキュリティ構成を作成する必要があります。これを行うには、makebootconfigプロセスの前、後またはその一部として、初期ノードでSNAを起動する前に、securityconfigを実行します。各ノードにセキュリティ構成を作成することはできません。かわりに、ストア内のすべてのストレージ・ノードに初期セキュリティ構成を配布する必要があります。ストアで共通セキュリティ構成を共有していない場合、相互に通信できません。

注意:

makebootconfigユーティリティには、securityconfigツールの機能が埋め込まれています。

このsecurityconfigツールは、標準構成に基づいて一連のセキュリティ・ファイルを作成します。同じタスクは手動で実行でき、拡張セキュリティ構成には手動設定が必要となる場合がありますが、このツールを使用することで一貫性のある設定が可能になります。手動設定の詳細は、「SSLキーストアの生成」を参照してください。

注意:

非標準構成を使用するために、セキュリティ構成の作成後に変更を加えることも可能です。標準構成を使用することをお薦めします。

これらのセキュリティ・ファイルは、デフォルトで"security"というディレクトリ内に生成されます。セキュア構成では、ストレージ・ノードのブートストラップ構成ファイルにそのディレクトリへの参照が含まれており、このファイルはストレージ・ノードのKVROOTディレクトリ内に置く必要があります。securityディレクトリの内容は次のとおりです。 

security/security.xml
security/store.keys
security/store.trust
security/store.passwd  (CE or EE installations)
security/store.wallet  (EE installations only)
security/store.wallet/cwallet.sso (EE installations only)
security/client.security
security/client.trust

説明:

  • security.xml

    Oracle NoSQL Databaseサーバーにセキュリティの適用方法を指示する構成ファイル。

  • store.keys

    1つ以上のSSL/TLSキー・ペアが含まれるJavaキーストア・ファイル。このキーストアは、付属するパスワード・ストアに記録されたキーストア・パスワードで保護されます。パスワード・ストアは、Oracle WalletまたはFileStoreのいずれかとなります。このパスワードは、パスワード・ストアでは"keystore"という別名で格納されます。このファイルには、Oracle NoSQL Databaseサーバー・プロセスからのみアクセスでき、Oracle NoSQL Databaseクライアントからはアクセスできません。

  • store.trust

    公開証明書のみが含まれ秘密鍵は含まれないキーストア・ファイルである、Javaトラストストア・ファイル。

  • store.passwd (CEまたはEEインストール)

    Community Edition (CE)インストールのパスワード・ストアとして機能するパスワード・ファイル。これには、サーバー・プロセスにのみ認識される必要がある機密情報が含まれます。パスワード・ファイルは、Oracle NoSQL Databaseサーバーによってのみ読取りおよび書込みが可能となるようにしてください。このファイルはクライアント・マシンにコピーしないでください。

    Enterprise Edition (EE)インストールでは、パスワード・ファイル・オプションよりもOracle Walletの使用をお薦めします。

  • store.wallet (EEインストールのみ)

    Enterprise Edition (EE)インストールのパスワード・ストアとして機能するOracle Walletディレクトリ。これには、サーバー・プロセスにのみ認識される必要がある機密情報が含まれます。ディレクトリおよびそのコンテンツは、Oracle NoSQL Databaseサーバーによってのみ読取りおよび書込みが可能となるようにしてください。このファイルはクライアント・マシンにコピーしないでください。

  • cwallet.sso (EEインストールのみ)

    ウォレットのパスワード・ストレージ・ファイル。

  • client.security

    クライアントをKVStoreに接続するための通信トランスポート・プロパティを取得するセキュリティ構成ファイル。

    KVStoreへの接続時、生成されたclient.securityファイルがOracle NoSQL Databaseクライアントにコピーされ、使用される必要があります。

  • client.trust

    クライアントで使用されるトラストストア・ファイルが生成されます。

    KVStoreへの接続時、生成されたclient.trustファイルがOracle NoSQL Databaseクライアントにコピーされ、使用される必要があります。

注意:

マルチホスト・ストア環境では、securityディレクトリおよびここに含まれるすべてのファイルを、ストレージ・ノードをホストする各サーバーにコピーする必要があります。