Kerberosを使用したAutonomous AI Databaseユーザーの認証

Kerberosネットワーク認証プロトコルを使用してデータベース・ユーザーを認証するように、専用Exadataインフラストラクチャ上のAutonomous AI Databaseを構成できます。Kerberosは、強力なネットワーク認証プロトコルです。秘密キー暗号化を使用して、ユーザーからサーバーへの認証を提供することで強力な認証を有効にします。

Autonomous AI Database on Dedicated Exadata InfrastructureでKerberosをサポートしているので、Oracleユーザーにシングル・サインオンおよび集中化された認証の利点を提供します。Kerberosは、共有秘密を使用するサード・パーティの認証システムです。Kerberosは、サード・パーティがセキュアであることを保障し、シングル・サインオン機能、集中化されたパスワード・ストレージ、データベース・リンク認証、拡張されたPCセキュリティを提供します。Kerberosは、Kerberos認証サーバーを使用して認証を行います。
Kerberosシステムは、チケットの概念を中心に動作します。チケットは、ユーザーやサービスを特定する一連の電子情報です。チケットは、ユーザーとユーザーのネットワーク・アクセス権を識別します。
Kerberosベースの認証では、チケットのリクエストをキー配布センター(KDC)に透過的に送信します。キー配布センターによって認証され、データベースにアクセスするためのチケットが付与されます。

Kerberos認証システムのコンポーネント

Kerberos 認証システムの概要について説明します。

レルムは認証管理ドメインを確立します。各レルムには、その特定の管理ドメインのユーザーおよびサービスを含む独自のKerberosデータベースがあります。
チケットは、キー配布センター(KDC)によって発行されます。クライアントは、IDの信頼性を実証するためにデータベース・サーバーにチケットを提示します。各チケットには有効期限と更新時間があります。
keytabには、1つ以上のプリンシパルの長期キーが格納されます。keytabファイルは、ツールkadmin.local (MITキー配布センターの場合)またはktpass (Active Directoryキー配布センターの場合)を呼び出すことによって生成されます。
プリンシパルは、キー配布センター・データベースのエントリです。各ユーザー、ホスト、またはサービスにプリンシパルが与えられます。プリンシパルは、キー配布センターがチケットを割り当てることができる一意のIDです。
Autonomous AI DatabaseでのKerberosのサポートでは、サービス・プリンシパルの名前を構成する様々なコンポーネントに次の値が使用されます:

サービス主体のコンポーネント Autonomous AI Databaseの価値

サービス主体のコンポーネント	Autonomous AI Databaseの価値
`kinstance`	この値は、`V$PDBS`の`CLOUD_IDENTITY`列にある属性`PUBLIC_DOMAIN_NAME`から取得できます。この値は、プライベート・エンドポイント上のデータベースの完全修飾ドメイン名(FQDN)とは異なります。次の問合せを使用して、`kinstance`を取得します。 `sql SELECT json_value(cloud_identity, '$.PUBLIC_DOMAIN_NAME') "KINSTANCE" FROM v$pdbs;` ノート: これは、TNS接続文字列で見つかった`host`パラメータの値になります。
`kservice`	Autonomous AI Databaseでは、`kservice`値に2つのオプションがあります: データベースGUIDの使用: `DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION`でKerberosサービス名を指定しない場合、使用されるデフォルトのサービス名はAutonomous AI DatabaseインスタンスのGUIDです。この場合、キータブ・ファイルを作成するときに、GUIDをサービス名の値として使用します。デフォルトの場合、KeytabファイルはGUID (インスタンス固有)のサービス名を使用するため、デフォルトのサービス名を使用する場合は、Autonomous AI Databaseインスタンスごとに異なるKeytabファイルを生成する必要があります。 `GUID`を取得するには、次のコマンドを使用します(大/小文字は区別されます)。 `sql SELECT GUID FROM v$pdbs;` カスタム名の使用: 複数のAutonomous AI Databaseインスタンスで同じキータブ・ファイルを使用する場合は、サービス名を設定します。カスタム名を使用する場合、Autonomous AI Databaseインスタンスごとに異なるKeytabファイルを作成してアップロードする必要はありません。カスタム名を使用する場合は、`DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION`で`params` `kerberos_service_name`パラメータを指定する必要があります。サービス名にGUIDを使用する場合は、このパラメータを指定する必要はありません。 Autonomous AI DatabaseインスタンスでKerberosを有効にした後、次の問合せを使用してKerberosサービス名を表示します: `sql SELECT SYS_CONTEXT('USERENV', 'KERBEROS_SERVICE_NAME') FROM DUAL;`
`REALM`	KDCでサポートされている任意のレルム。`REALM`は常に大文字にする必要があります。

kinstance

この値は、V$PDBSのCLOUD_IDENTITY列にある属性PUBLIC_DOMAIN_NAMEから取得できます。この値は、プライベート・エンドポイント上のデータベースの完全修飾ドメイン名(FQDN)とは異なります。

次の問合せを使用して、kinstanceを取得します。

sql SELECT json_value(cloud_identity, '$.PUBLIC_DOMAIN_NAME') "KINSTANCE" FROM v$pdbs;

ノート: これは、TNS接続文字列で見つかったhostパラメータの値になります。

kservice

Autonomous AI Databaseでは、kservice値に2つのオプションがあります:

データベースGUIDの使用: DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATIONでKerberosサービス名を指定しない場合、使用されるデフォルトのサービス名はAutonomous AI DatabaseインスタンスのGUIDです。この場合、キータブ・ファイルを作成するときに、GUIDをサービス名の値として使用します。
デフォルトの場合、KeytabファイルはGUID (インスタンス固有)のサービス名を使用するため、デフォルトのサービス名を使用する場合は、Autonomous AI Databaseインスタンスごとに異なるKeytabファイルを生成する必要があります。
GUIDを取得するには、次のコマンドを使用します(大/小文字は区別されます)。
```
sql SELECT GUID FROM v$pdbs;
```
カスタム名の使用: 複数のAutonomous AI Databaseインスタンスで同じキータブ・ファイルを使用する場合は、サービス名を設定します。カスタム名を使用する場合、Autonomous AI Databaseインスタンスごとに異なるKeytabファイルを作成してアップロードする必要はありません。カスタム名を使用する場合は、DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATIONでparams kerberos_service_nameパラメータを指定する必要があります。サービス名にGUIDを使用する場合は、このパラメータを指定する必要はありません。

Autonomous AI DatabaseインスタンスでKerberosを有効にした後、次の問合せを使用してKerberosサービス名を表示します:

sql SELECT SYS_CONTEXT('USERENV', 'KERBEROS_SERVICE_NAME') FROM DUAL;

REALM KDCでサポートされている任意のレルム。REALMは常に大文字にする必要があります。

Autonomous AI DatabaseでKerberos認証を有効にするには、Kerberos構成ファイル(krb.conf)およびサービス・キー表ファイル(v5srvtab)を準備しておく必要があります。これらのファイルおよびそれらを取得するステップの詳細は、Kerberos認証の構成に関する項を参照してください。

Autonomous AI DatabaseでのKerberos認証に関するノート

Autonomous AI Database on Dedicated Exadata InfrastructureでKerberos認証を続行する前に、次のノートを確認してください:

Autonomous AI DatabaseでKerberos認証を有効にしても、依然としてデータベースにパスワードベースのデータベース認証を使用できます。
Autonomous AI Databaseには、いつでも1つの外部認証方法のみを使用できます。つまり、Oracle Cloud Infrastructure (IAM)、Centrally Managed User with Active Directory (CMU-AD)、Azure ADまたはKerberos認証スキームをいつでも有効にできます。

ノート:唯一の例外は、CMU-AD上でKerberos認証を構成して、Microsoft Active DirectoryユーザーにCMU-AD Kerberos認証を提供できることです。

Kerberos認証は、次のツールではサポートされていません:
- Oracle Database API for MongoDB
- Oracle REST Data Services
- Oracle Machine Learning
- APEX
- Oracle Graph Studio
- Oracle Database Actions
Kerberos認証を有効にしてADMINユーザーを認証できます。Oracle Cloud Infrastructure (OCI)コンソールの「パスワードのリセット」機能を使用して、ADMINユーザーのパスワードをリセットし、破損したキータブ・ファイルによってADMINユーザーの認証が失敗した場合にアクセスを回復できます。
Kerberos認証は、Autonomous AI Databaseバージョン19.27以上のTCPプロトコルでサポートされています。
Kerberos認証は、Autonomous Data Guardを使用するDB_LINKおよびデータベースではサポートされていません。

Autonomous AI DatabaseでのKerberos認証の有効化

専用Exadataインフラストラクチャ上のAutonomous AI DatabaseでKerberos認証を有効にするには、次のステップに従います:

Autonomous AI Databaseに対して一度に有効にできる外部認証スキームは1つのみであるため、DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATIONプロシージャを実行して、データベースに対してすでに有効になっている外部認証スキームをすべて無効にします。

プロシージャを実行するには、ADMINユーザーとしてログインしているか、DBMS_CLOUD_ADMINに対するEXECUTE権限を持っている必要があります。
```
BEGIN
    DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATION;
END;
/
```
Kerberos構成ファイルkrb.confとサービス・キー表ファイルv5srvtabを取得します。これらのファイルおよびファイルを取得するために必要なステップの詳細は、『Oracle Database 19cセキュリティ・ガイド』のKerberos認証の構成に関する項または『Oracle Database 26aiセキュリティ・ガイド』を参照してください。
Kerberos構成ファイルkrb.confおよびv5srvtabをオブジェクト・ストア内のバケットにコピーします。

ノート: Oracleでは、Kerberos構成ファイルをオブジェクト・ストアのプライベート・バケットに格納することをお薦めします。

Oracle Cloud Infrastructure Object Storeを使用している場合は、オブジェクト・ストレージへのデータの配置を参照して、ファイルのアップロードの詳細を確認してください。
Autonomous AI Databaseの外部認証としてKerberosを有効にするには、DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATIONプロシージャを実行し、params JSON引数を使用して場所URIを渡します。構成ファイルkrb.confおよびv5srvtabは、location_uriパラメータで指定されたオブジェクト・ストレージの場所に配置する必要があります。

たとえば:
```
BEGIN
    DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION(
        type     => 'KERBEROS',
        params   => JSON_OBJECT('location_uri' value 'https://objectstorage.us-phoenix-1.oraclecloud.com/n/namespace-string/b/bucketname/o',
                               'credential_name' value 'my_credential_name')
    );
END;
/
```
ノート: Microsoft Active DirectoryユーザーにCMU-AD Kerberos認証を提供するには、前述の例でtypeをCMUに設定することで、CMU-AD上でKerberos認証を有効にできます。

この例では、namespace-stringはOracle Cloud Infrastructureオブジェクト・ストレージ・ネームスペースで、bucketnameはバケット名です。詳細は、オブジェクト・ストレージ・ネームスペースの理解を参照してください。

このステップで使用するcredential_nameは、オブジェクト・ストアの資格証明です。

location_uriが事前認証済URLの場合は、credential_nameを指定する必要はありません。

これにより、データベースにKERBEROS_DIRという名前のディレクトリ・オブジェクトが作成され、資格証明を使用してオブジェクト・ストアの場所からディレクトリ・オブジェクトにKerberos構成ファイルがダウンロードされます。

kerberos_service_nameパラメータを使用して、Kerberosサービス名を指定できます。たとえば:
```
BEGIN
  DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION(
    type     =>'KERBEROS',
    params   => JSON_OBJECT(
    'location_uri'          value 'https://objectstorage.us-phoenix-1.oraclecloud.com/n/namespace-string/b/bucketname/o',
    'credential_name'       value 'my_credential_name'
    'kerberos_service_name' value 'oracle' ));
END;
/
```
Kerberos認証を有効にした後、オブジェクト・ストアから構成krb.confおよびv5srvtabを削除します。ローカル・オブジェクト・ストア・メソッドを使用してこれらのファイルを削除するか、DBMS_CLOUD.DELETE_OBJECTを使用してオブジェクト・ストアからファイルを削除できます。

オブジェクト・ストレージの詳細は、Oracle Cloud Infrastructure Object Storageへの移動とバケットの作成を参照してください。

詳細は、ENABLE_EXTERNAL_AUTHENTICATIONプロシージャを参照してください。

Autonomous AI DatabaseでのKerberos認証の無効化

データベースで他の外部認証スキームを有効にする前に、DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATIONプロシージャを実行するKerberos認証を無効にする必要があります。

このプロシージャを実行するには、ADMINユーザーとしてログインしているか、DBMS_CLOUD_ADMINに対するEXECUTE権限を持っている必要があります。

BEGIN
    DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATION;
END;
/

詳細は、DISABLE_EXTERNAL_AUTHENTICATIONプロシージャを参照してください。

ノート: Microsoft Active DirectoryユーザーにCMU-AD Kerberos認証を提供するには、Kerberos認証を無効化せずにCMU-AD認証を引き続き構成する必要があります。