8.2.4 ウォレットを使用するためのLDAPネーミング・アダプタの構成
クライアントLDAPネーミング・アダプタは、LDAPディレクトリへの接続中にLDAPバインドを認証し、接続文字列名を解決します。認証中にOracleウォレットを使用するようにアダプタを構成できます。
- LDAPサーバー証明書を取得し、Oracleウォレットを作成して、証明書およびLDAPユーザー資格証明をウォレット・トラストストアに格納します。
openssl s_client
を使用して、LDAPディレクトリ・サーバーからLDAPサーバー証明書を取得します。openssl s_client -connect LDAP server host:port -showcerts -outform PEM
-connect LDAP server host:port
オプションは、接続のLDAPディレクトリ・サーバーのホスト名およびポートを指定します。-showcerts
オプションは、サーバーによって送信されたLDAPサーバーの証明書リストを表示します。-outform PEM
オプションは、サーバー証明書をファイル・システム・ディレクトリ(/tmp/ldapservercert.txt
など)にPEM
形式で抽出します。- 空のOracleウォレットを作成します。
orapki wallet create -wallet wallet_directory
-wallet wallet_directory
オプションは、ウォレットを作成するファイル・システム・ディレクトリの場所を指定します。 - LDAPサーバー証明書をウォレットに追加します。
orapki wallet add -wallet wallet_directory -trusted_cert -cert
-cert
オプションは、LDAPサーバー証明書を格納したファイル・システム・ディレクトリの場所(/tmp/ldapservercert.txt
など)を指定します。 - LDAPユーザー名のDNを使用して、ウォレットにエントリを作成します。
mkstore -wrl wallet_directory -createEntry oracle.ldap.client.dn dn_of_ldap_username
たとえば:
mkstore -wrl /app/wallet -createEntry oracle.ldap.client.dn cn=userinldap,dc=example,dc=com
Microsoft Active Directoryの場合、
userPrincipalName
またはダウンレベルのログオン名(sAMAccountName
)属性を指定することもできます。 - LDAPパスワードを使用して、ウォレットにエントリを作成します。
mkstore -wrl wallet_directory -createEntry oracle.ldap.client.password ldap_password
- ウォレットの自動ログインを有効にします。
orapki wallet create -wallet wallet_directory -auto_login
ノート:
mkstore
ウォレット管理コマンドライン・ツールは、Oracle Database 23aiでは非推奨であり、将来のリリースで削除される可能性があります。ウォレットの管理には、
orapki
コマンドライン・ツールの使用をお薦めします。-
自動ログイン・ウォレットは、ファイル・システム権限によって保護されます。オペレーティング・システム・ユーティリティを使用して、クライアントに対してのみ読取りおよび書込み権限を付与することでウォレット・ディレクトリを保護します。
- Oracle Database 23aiでは、新しい自動ログイン・ウォレット・バージョン(7)が導入されました。Oracleローカル自動ログイン・ウォレットのバージョン6は非推奨です。
ローカル自動ログイン・ウォレットは、
orapki
で変更することで更新できます。
WALLET_LOCATION
パラメータを使用して、sqlnet.ora
ファイルにウォレット・ディレクトリを指定します。WALLET_LOCATION= (SOURCE= (METHOD=file) (METHOD_DATA= (DIRECTORY=wallet_directory)))
たとえば:
WALLET_LOCATION= (SOURCE= (METHOD=FILE) (METHOD_DATA= (DIRECTORY=/app/wallet/)))
このパラメータの構成の詳細は、WALLET_LOCATIONを参照してください。
ノート:
パラメータWALLET_LOCATION
は、Oracle DatabaseサーバーのOracle Database 23aiでの使用は非推奨です。Oracle Databaseクライアントおよびリスナーでの使用は非推奨ではありません。Oracle Databaseサーバーの場合は、
WALLET_LOCATION
を使用するかわりに、WALLET_ROOT
システム・パラメータの使用をお薦めします。sqlnet.ora
ファイルでLDAP接続の認証設定を構成します。-
NAMES.LDAP_AUTHENTICATE_BIND=TRUE
を設定して、(WALLET_LOCATION
で定義された)ウォレット・ディレクトリを使用してLDAP接続が認証されるように指定します。 -
NAMES.LDAP_AUTHENTICATE_BIND_METHOD=LDAPS_SIMPLE_AUTH
を設定して、LDAPS (LDAP over TLS接続)で簡易認証方式を使用します。
これらの設定の構成の詳細は、NAMES.LDAP_AUTHENTICATE_BINDおよびNAMES.LDAP_AUTHENTICATE_BIND_METHODを参照してください。
-
- Oracle Net Managerを使用して、LDAPサーバーに1つ以上のディレクトリ・エントリを追加します。
- SQL*Plusまたはその他のデータベース・クライアントを使用して、名前解決を確認します。
関連トピック
親トピック: ディレクトリ・ネーミング・メソッドの構成