1. Cloud Controlセキュリティ・ガイド
  2. Enterprise Managerでのデータベース管理のセキュリティ・ベスト・プラクティス
  3. KerberosおよびRADIUS認証
  4. 優先資格証明としてのKerberos/RADIUSベースの名前付き資格証明の設定

優先資格証明としてのKerberos/RADIUSベースの名前付き資格証明の設定

Enterprise Manager Cloud Control 13cリリース5更新9 (13.5.0.9)以降、Oracleデータベース、RACデータベースおよびPDBターゲット・タイプ用に2つの資格証明セットが作成されています。

資格証明セットは次のとおりです。

  • 通常データベース資格証明(拡張)
  • SYSDBAのデータベース資格証明(拡張)

タイプがKerberos/Kerberos KeytabまたはRADIUSの事前定義済の名前付き資格証明をこれらの資格証明セットに関連付けることができます。

ノート:

ロールSYSDGを使用して名前付き資格証明を定義する場合、SYSDBAロールを持つユーザーとしてデータベース・ターゲットにアクセスするかわりに、SYSDGベースのユーザー資格証明を使用していると想定されるため、これらの名前付き資格証明をSYSDBAデータベース資格証明(拡張)の資格証明セットに関連付けることができます。

データベース・ターゲットでKerberos/RADIUS資格証明タイプを優先資格証明として設定するには、3つの方法があります。

Enterprise Managerコンソールからの名前付き資格証明の設定

Enterprise Managerコンソールから直接、データベースおよび関連ターゲットでRADIUS/Kerberos資格証明タイプを優先資格証明として設定できます。「優先資格証明」ページにアクセスするには、「設定」メニューから、「セキュリティ」を選択し、「優先資格証明」を選択します。


図は、Kerberosユーザーの優先資格証明ページを示しています。

ノート:

RADIUSまたはKERBEROSタイプの名前付き資格証明は、前述の「優先資格証明」ページで選択して優先資格証明として設定する前に、すでに作成および保存されている必要があります。RADIUSまたはKerberosタイプの新しい資格証明を作成してから、同じステップでこのページを使用して優先資格証明として保存することはできません。

ワンタイム・データベース・ログイン・オプションを使用した優先資格証明としてのKerberos/RADIUS資格証明の定義および設定

次のOMSプロパティを設定して、新しいRADIUS/Kerberos資格証明タイプを使用したワンタイム・データベース・ログインを有効にできます。

emctl set property -name oracle.sysman.db.enable_radius_auth -value true
emctl set property -name oracle.sysman.db.enable_kerberos_auth   -value true
emctl set property -name oracle.sysman.db.multiCredTypeLogin -value true

図は、ワンタイム・ログインのデータベース・ログイン・ページを示しています。

前述の優先資格証明がデータベースまたは関連ターゲット(あるいはその両方)に設定されると、これらの拡張資格証明タイプをサポートする基礎となるジョブ(ExecuteSQLやSQLScriptなど)に使用できます。

Enterprise Managerコンソールからターゲットへのログインは、通常のデータベース(ユーザー名/パスワード)の優先資格証明セットの使用に似ています。たとえば、通常データベース資格証明(拡張)が特定のデータベース・ターゲットの優先資格証明として設定されている場合(通常データベース資格証明が設定されていない場合)、このデータベース・ターゲット(通常のロールを持つユーザーとしてデータベース・ログインが必要)のEnterprise Managerコンソール・ページに移動すると、設定されている優先資格証明で表されるこのKerberos/RADIUSユーザーとしてデータベース・ターゲットへの自動ログインが行われます。

emcliを使用した優先資格証明としてのKerberos/RADIUS資格証明の設定

emcliを使用して、Kerberos/RADIUSベースの名前付き資格証明をデータベースまたは関連ターゲットの優先資格証明として関連付けることができます。次の例に示すようにemcliコマンドを使用します。

データベース・ターゲットemdb020DBでSYSDBA Kerberosベースの名前付き資格証明を優先資格証明として設定するには: 

emcli set_preferred_credential -set_name="DBCredsSYSDBAASO" -target_name="emdb020DB" -target_type="oracle_database" -credential_name="NC_EMDB020D_KEYTAB_SYSDBA"

データベース・ターゲットden01csgDB通常データベース資格証明(拡張)タイプの優先資格証明として通常のRADIUSベースの名前付き資格証明を設定するには: 

emcli set_preferred_credential -set_name="DBCredsNormalASO" -target_name="den01csgDB" -target_type="oracle_database" -credential_name="NC_DEN01CSG_ASO"

データベース・ログイン間でのKerberos/RADIUSサブジェクトおよびロールの伝播

Kerberos/RADIUSユーザーとしてデータベース・ターゲットにログインし、Enterprise ManagerコンソールのUIページに移動して、特定のロールによるデータベース・ログインを必要とする別のデータベース・ターゲットにアクセスすると、Enterprise Managerは元のKerberosユーザーおよびロールを使用して自動的にログインします(そのユーザーが2番目のデータベースで有効なユーザーである場合)。

ただし、適切なロールを持つ2番目のデータベースに優先資格証明が定義されている場合は、キャッシュされたKerberos資格証明ではなく、その優先資格証明がDBログインに使用されます。

例:

DataGuard管理ページには、SYSDBAユーザーとしてデータベースへのログインが必要です。SYSDBAのデータベース資格証明(拡張)の下にデータベース・ターゲットに対して定義されたKerberos/RADIUS優先資格証明セットがあり、SYSDBAデータベース資格証明が定義されていない場合は、データベース・ターゲットでのDataGuard管理ページに初めてアクセスすると、SYSDBAのデータベース資格証明(拡張)の資格証明セットの優先資格証明として定義されたKerberos/RADIUS資格証明を使用して自動ログインが実行されます。

両方のSYSDBAデータベース資格証明およびSYSDBAデータベース資格証明(拡張)が同じターゲットに定義されている場合、通常のSYSDBAデータベース資格証明セットが優先されます。