1. Cloud Controlセキュリティ・ガイド
  2. Enterprise Managerでのデータベース管理のセキュリティ・ベスト・プラクティス
  3. KerberosおよびRADIUS認証
  4. Kerberos Keytab

Kerberos Keytab

データベース・ターゲットの認証にKerberos Keytabを使用するには、ユーザー名およびkeytabファイルを定義するDBKerberosKeytabCredsタイプのEnterprise Managerに名前付き資格証明を作成します。keytabファイルを実装するには、次の2つの方法があります。

OMS/リポジトリへのキータブ・ファイルのコンテンツのアップロード

SSHベースの資格証明の定義とほぼ同じ方法で、keytabファイルのコンテンツをOMSおよびリポジトリに物理的にアップロードできます。名前付き資格証明をDBKerberosKeytabCreds資格証明タイプで定義する場合、Enterprise Managerはこのkeytabを使用してログインし、データベース・ターゲットに接続します。名前付き資格証明の更新によってパスワードがローテーションされたためにkeytabが変更された場合は、Enterprise Managerのkeytabの内容を更新する必要があります。

次の図は、名前付き資格証明の作成時にkeytabファイルを指定する方法を示しています。


図はkeytabファイルの指定方法を示しています

Keytabファイルへのフルパスの指定

OMS (複数のOMS環境の場合は各OMS)からアクセス可能なkeytabファイルへのフルパスを指定することもできます。keytabファイルは、ファイルシステム上の同じ場所(これはNFSがマウントされているkeytabファイルの単一コピーである可能性があります)に存在し、OMSユーザーに少なくとも読取りアクセスを許可する適切なファイル権限で保護されている必要があります。keytabへの変更で更新したファイルを、この場所に保持する必要があります。これは、Enterprise Managerの外部で完全に独立して実行できます。

次の図は、DBKerberosKeytabCreds資格証明タイプのインスタンスを定義する方法を示しています。


図はkeytabファイルへのフルパスを示しています。