24 厳密認証の管理ツール
ネイティブ・ネットワーク暗号化および公開キー・インフラストラクチャ資格証明には、厳密認証の一連の管理ツールを使用できます。
- 構成ツールと管理ツールについて
構成ツールと管理ツールで、Oracle Net Servicesの暗号化、整合性(チェックサム)および厳密認証方式を管理します。 - ネイティブ・ネットワーク暗号化ツールと厳密認証構成ツール
Oracle Net Servicesで、標準の暗号化アルゴリズムを使用してデータを暗号化し、Kerberos、RADIUS、SSLなどの厳密認証方式を構成できます。 - 公開キー・インフラストラクチャ資格証明管理用のorapkiユーティリティ
orapkiユーティリティで、証明書失効リスト(CRL)の管理、Oracleウォレットの作成と管理、および署名付き証明書の作成を行います。 - 厳密認証管理者の義務
セキュリティ管理者のほとんどのタスクでは、Oracleデータベースとの間の接続を保護する必要があります。
親トピック: 厳密認証の管理
24.1 構成ツールと管理ツールについて
構成ツールと管理ツールで、Oracle Net Servicesの暗号化、整合性(チェックサム)および厳密認証方式を管理します。
厳密認証方式の構成には、KerberosやRADIUSなどのサード・パーティ・ソフトウェアを含めることができ、Transport Layer Security (TLS)でデジタル証明書を使用するための公開キー・インフラストラクチャの構成や管理が必要になることがあります。
親トピック: 厳密認証の管理ツール
24.2 ネイティブ・ネットワーク暗号化ツールと厳密認証構成ツール
Oracle Net Servicesで、標準の暗号化アルゴリズムを使用してデータを暗号化し、Kerberos、RADIUS、SSLなどの厳密認証方式を構成できます。
- Oracle Net Managerについて
Oracle Net Managerで、Oracle Net Servicesをローカル・クライアントやサーバー・ホスト上のOracleホーム向けに構成します。 - Kerberosアダプタ・コマンドライン・ユーティリティ
Kerberosアダプタは、Kerberos資格証明を取得、キャッシュ、表示および削除するコマンドライン・ユーティリティを提供します。
親トピック: 厳密認証の管理ツール
24.2.1 Oracle Net Managerについて
Oracle Net Managerで、Oracle Net Servicesをローカル・クライアントやサーバー・ホスト上のOracleホーム向けに構成します。
グラフィカル・ユーザー・インタフェース・ツールであるOracle Net Managerを使用して、ネーミング、リスナー、一般的なネットワーク設定などのOracle Net Servicesを構成できますが、Oracle Netプロトコルを使用する次の機能を構成することもできます。
-
厳密認証(Kerberos、RADIUSおよびTransport Layer Security)
-
ネイティブ・ネットワーク暗号化(RC4、DES、3DESおよびAES)
-
データ整合性のためのチェックサム(MD5、SHA-1、SHA-2)
ノート:
このリリースでは、DES、3DES112、3DES168、MD5およびRC4アルゴリズムは非推奨です。より強力なアルゴリズムを使用するようにOracle Database環境を移行するには、My Oracle Supportノート2118136.2で説明されているパッチをダウンロードしてインストールします。
親トピック: ネイティブ・ネットワーク暗号化ツールと厳密認証構成ツール
24.2.2 Kerberosアダプタ・コマンドライン・ユーティリティ
Kerberosアダプタは、Kerberos資格証明を取得、キャッシュ、表示および削除するコマンドライン・ユーティリティを提供します。
次の表では、これらのユーティリティについて簡単に説明しています。
表24-1 Kerberosアダプタ・コマンドライン・ユーティリティ
| ユーティリティ名 | 説明 |
|---|---|
|
|
Key Distribution Center (KDC) からKerberosチケットを取得し、それをユーザーの資格証明キャッシュに格納します。 |
|
|
指定された資格証明キャッシュ内のKerberosチケットのリストを表示します。 |
|
|
指定された資格証明キャッシュからKerberos資格証明を削除します。 |
|
|
KDCまたはサービス・エンドポイントから、キー表の作成を自動化します。 |
ノート:
Cybersafeアダプタは、このリリースからサポートされなくなりました。かわりに、OracleのKerberosアダプタを使用する必要があります。Kerberosアダプタを使用する場合は、Cybersafe KDC (Trust Broker)によるKerberos認証が引き続きサポートされます。
関連トピック
親トピック: ネイティブ・ネットワーク暗号化ツールと厳密認証構成ツール
24.3 公開キー・インフラストラクチャ資格証明管理用のorapkiユーティリティ
orapkiユーティリティで、証明書失効リスト(CRL)の管理、Oracleウォレットの作成と管理、および署名付き証明書の作成を行います。
このコマンドライン・ユーティリティの基本構文は次のとおりです。
orapki module command -option_1 argument ... -option_n argument
たとえば、次のコマンドを実行すると、machine1.us.example.comにインストールされ、ポート389を使用するOracle Internet Directoryのインスタンスの証明書失効リスト(CRL)サブツリーにあるすべてのCRLがリストされます。
orapki crl list -ldap machine1.us.example.com:389
ノート:
透過的データ暗号化を構成するorapkiの使用は非推奨です。かわりに、ADMINISTER KEY MANAGEMENT SQL文を使用します。
親トピック: 厳密認証の管理ツール
24.4 厳密認証管理者の義務
セキュリティ管理者のほとんどのタスクでは、Oracleデータベースとの間の接続を保護する必要があります。
次の表に、厳密認証、タスクの実行に使用するツール、およびタスクのドキュメントの場所へのリンクに対して責任を負うセキュリティ管理者の主要なタスクを示します。
表24-2 セキュリティ管理者/DBAの一般的な構成および管理タスク
| タスク | 使用するツール | 関連項目 |
|---|---|---|
|
データベース・サーバーとクライアント間の暗号化されたOracle Net接続を構成します。 |
|
|
|
データベース・サーバーとクライアント間のOracle Net接続のチェックサムを構成します。 |
|
|
|
RADIUS認証を受け入れるようにデータベース・クライアントを構成します。 |
|
|
|
RADIUS認証を受け入れるようにデータベースを構成します。 |
|
|
|
RADIUSユーザーを作成し、データベース・セッションへのアクセス権を付与します。 |
SQL*Plus |
|
|
データベース・クライアントとサーバーにKerberos認証を構成します。 |
|
|
|
Kerberosデータベース・ユーザーを作成します。 |
|
|
|
資格証明キャッシュ内のKerberos資格証明を管理します。 |
|
|
|
データベース・クライアントまたはサーバーのウォレットを作成します。 |
|
|
|
認証局(CA)にSSL認証用のユーザー証明書をリクエストします。 |
|
|
|
ユーザー証明書とそれに関連する信頼できる証明書(CA証明書)をウォレットにインポートします。 |
|
|
|
データベース・クライアントのSSL接続を構成します。 |
|
|
|
データベース・サーバーのSSL接続を構成します。 |
|
|
|
証明書失効リスト(CRL)を使用した証明書の検証を有効化します。 |
|
親トピック: 厳密認証の管理ツール