20 Kerberos認証の構成

Classic Architectureの場合、Kerberos認証はDBLOGINコマンドを使用して構成されます。

GGSCI> DBLOGIN USERID /@NET_SERVICE_NAME

USERIDおよびパスワードなしの有効なDBLOGINコマンドは、次のように指定できます。

GGSCI> DBLOGIN USERID /@cdb1_pdb1

Oracle GoldenGate側では、異なる外部認証ユーザーでDBLOGINコマンドを発行する場合、デフォルトのKerberosキャッシュの場所の使用方法がSQLNET.ORAファイルに指定されます。これは、データベース・ログインの外部認証ユーザーとみなされます。

たとえば、クライアント側のSQLNET.ORAファイルで指定されているKerberosキャッシュの場所を確認します。

SQLNET.KERBEROS5_CONF = /ade/b/3910426782/oracle/work/krb/krb.conf
SQLNET.KERBEROS5_KEYTAB = /ade/b/3910426782/oracle/work/krb/v5srvtab
SQLNET.KERBEROS5_CC_NAME = /ade/b/3910426782/oracle/work/krb/krb.cc

この例では、krb.ccは、このOracle GoldenGateデプロイメントで使用されるKerberosキャッシュです。oklistユーティリティを使用してkrb.ccキャッシュ・ファイルを開くと、デフォルトのプリンシパルが外部認証ユーザーoratst@US.ORACLE.COMとして使用されていることがわかります。

OS>[ demo_vw2 ] [demo@test02swv krb]$ oklist krb.cc

Kerberos Utilities for Linux: Version 21.1.0.0.0 - Production on 27-JUN-2020 23:59:13

Copyright (c) 1996, 2021 Oracle.  All rights reserved.

Configuration file : /ade/b/3910426782/oracle/work/krb/krb.conf.
Ticket cache: FILE:krb.cc
Default principal: oratst@US.ORACLE.COM

Valid starting     Expires            Service principal
06/27/20 12:12:34  06/28/20 12:12:34  krbtst/US.ORACLE.COM@US.ORACLE.COM
06/27/20 12:12:34  06/28/20 12:12:34  oratst/demo2swv.us.oracle.com@US.ORACLE.COM

詳細は、ALTER CREDENTIALSTORE、DBLOGINおよびMININGDBLOGINコマンドを参照してください。USERID | NOUSERID、USERIDALIASパラメータも参照してください。