Autonomous DatabaseでのKerberos認証の構成
Oracle Autonomous Databaseユーザーを認証するようにKerberosを構成する方法について説明します。
- Kerberos認証について
Kerberosネットワーク認証プロトコルを使用してデータベース・ユーザーを認証するようにOracle Autonomous Databaseを構成できます。Kerberosは、強力なネットワーク認証プロトコルです。秘密キー暗号化を使用して、ユーザーからサーバーへの認証を提供することで強力な認証を有効にします。 - Kerberos認証システムのコンポーネント
Kerberos認証システムの概要を示します。 - Autonomous DatabaseでのKerberos認証の有効化
Autonomous DatabaseインスタンスでKerberos認証を有効にするステップを示します。 - Autonomous Database
Autonomous DatabaseインスタンスのKerberos認証を無効にするステップを示します。 - Autonomous DatabaseでのKerberos認証に関するノート
Autonomous DatabaseでのKerberos認証の使用に関するノートを提供します。
親トピック: ユーザーの管理
Kerberos認証について
Kerberosネットワーク認証プロトコルを使用してデータベース・ユーザーを認証するようにOracle Autonomous Databaseを構成できます。Kerberosは、強力なネットワーク認証プロトコルです。秘密キー暗号化を使用して、ユーザーからサーバーへの認証を提供することで強力な認証を有効にします。
-
Oracle Autonomous DatabaseはKerberosをサポートしており、Oracleユーザーにシングル・サインオンおよび集中化された認証の利点を提供します。Kerberosは、共有秘密を使用するサード・パーティの認証システムです。Kerberosは、サード・パーティがセキュアであることを保障し、シングル・サインオン機能、集中化されたパスワード・ストレージ、データベース・リンク認証、拡張されたPCセキュリティを提供します。Kerberosは、Kerberos認証サーバーを使用して認証を行います。
-
Kerberosシステムは、チケットの概念を中心に動作します。チケットは、ユーザーやサービスを特定する一連の電子情報です。チケットは、ユーザーとユーザーのネットワーク・アクセス権を識別します。
-
Kerberosベースの認証では、チケットのリクエストをキー配布センター(KDC)に透過的に送信します。キー配布センターによって認証され、データベースにアクセスするためのチケットが付与されます。
Kerberos認証システムのコンポーネント
Kerberos 認証システムの概要について説明します。
-
レルムは認証管理ドメインを確立します。各レルムには、その特定の管理ドメインのユーザーおよびサービスを含む独自のKerberosデータベースがあります。
-
チケットは、キー配布センター(KDC)によって発行されます。クライアントは、IDの信頼性を実証するためにデータベース・サーバーにチケットを提示します。各チケットには有効期限と更新時間があります。
-
keytabには、1つ以上のプリンシパルの長期キーが格納されます。keytabファイルは、ツール
kadmin.local
(MITキー配布センターの場合)またはktpass
(Active Directoryキー配布センターの場合)を呼び出すことによって生成されます。 -
プリンシパルは、キー配布センター・データベースのエントリです。各ユーザー、ホスト、またはサービスにプリンシパルが与えられます。プリンシパルは、キー配布センターがチケットを割り当てることができる一意のIDです。
-
Autonomous DatabaseでのKerberosサポートでは、サービス・プリンシパルの名前を構成する様々なコンポーネントに次の値が使用されます:
サービス・プリンシパルのコンポーネント | Autonomous Databaseの値 |
---|---|
kinstance |
この値は、
|
kservice |
Autonomous Databaseでは、
Autonomous DatabaseインスタンスでKerberosを有効にした後、次の問合せを使用してKerberosサービス名を表示します:
|
REALM |
KDCでサポートされている任意のレルム。REALM は常に大文字にする必要があります。
|
Autonomous DatabaseでKerberos認証を有効にするには、Kerberos構成ファイル(krb.conf
)およびサービス・キー表ファイル(v5srvtab
)を準備しておく必要があります。これらのファイルとその取得ステップの詳細は、Kerberos認証の構成を参照してください。
Autonomous DatabaseでのKerberos認証の有効化
Autonomous DatabaseインスタンスでKerberos認証を有効にするステップを示します。
DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION
を実行するには、ADMINユーザーでログインしているか、DBMS_CLOUD_ADMIN
に対するEXECUTE
権限を持っている必要があります。
DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION
を使用してKerberos認証を有効にするには:
Autonomous DatabaseでKerberos認証を有効にするには、Kerberos構成ファイルkrb.conf
およびサービス・キー表ファイルv5srvtab
を取得する必要があります。これらのファイルとその取得に必要なステップの詳細は、Kerberos認証の構成を参照してください。
オブジェクト・ストレージの詳細は、Oracle Cloud Infrastructure Object Storageへの移動とバケットの作成を参照してください。
詳細は、ENABLE_EXTERNAL_AUTHENTICATIONプロシージャを参照してください。
Autonomous DatabaseでのKerberos認証に関するノート
Autonomous DatabaseのKerberos認証の使用に関するノートを提供します。
-
Autonomous DatabaseでKerberos認証を有効にしても、依然としてデータベースに対してパスワードベースのデータベース認証を使用できます。
- 次のツールでは、Kerberos認証はサポートされていません:
-
Oracle Database API for MongoDB
-
Oracle REST Data Services
-
Oracle Machine Learning
-
APEX
-
Oracle Graph Studio
-
Oracle Databaseアクション
-
-
Kerberos認証を有効にしてADMINユーザーを認証できます。Oracle Cloud Infrastructure Consoleの「パスワードのリセット」機能を使用して、ADMINユーザーのパスワードをリセットし、破損したキータブ・ファイルによってADMINユーザーの認証が失敗した場合にアクセスを取り戻すことができます。
-
Autonomous Databaseの最大クロック・スキューのデフォルト値は、300秒(5分)です。デフォルトのクロック・スキー値は変更できません。