oracle9i for windowsoracle9i for...

Oracle9i for Windows

ネットワーク、ディレクトリおよびセキュリティ・ガイド

リリース 1（9.0.1）

2001 年 12 月

部品番号 : J04647-01

Oracle9i for Windows ネットワーク、ディレクトリおよびセキュリティ・ガイド , リリース 1（9.0.1）

部品番号 : J04647-01

原本名：Oracle9i Network, Directory, and Security Guide, Release 1 (9.0.1) for Windows

原本部品番号：A90165-01

原本著者：Herbert Kelly III

原本協力者：Toby Close, David Colello, Mark Kennedy, Chithra Ganesh Ramamurthy, Helen Slattery,Deborah Steiner

Copyright © 1996, 2001, Oracle Corporation. All rights reserved.

Printed in Japan.

制限付権利の説明

プログラム（ソフトウェアおよびドキュメントを含む）の使用、複製または開示は、オラクル社との契約に記された制約条件に従うものとします。著作権、特許権およびその他の知的財産権に関する法律により保護されています。

当プログラムのリバース・エンジニアリング等は禁止されております。

このドキュメントの情報は、予告なしに変更されることがあります。オラクル社は本ドキュメントの無謬性を保証しません。

* オラクル社とは、Oracle Corporation（米国オラクル）または日本オラクル株式会社（日本オラクル）を指します。

危険な用途への使用について

オラクル社製品は、原子力、航空産業、大量輸送、医療あるいはその他の危険が伴うアプリケーションを用途として開発されておりません。オラクル社製品を上述のようなアプリケーションに使用することについての安全確保は、顧客各位の責任と費用により行ってください。万一かかる用途での使用によりクレームや損害が発生いたしましても、日本オラクル株式会社と開発元である Oracle Corporation（米国オラクル）およびその関連会社は一切責任を負いかねます。当プログラムを米国国防総省の米国政府機関に提供する際には、『Restricted Rights』と共に提供してください。この場合次の Notice が適用されます。

Restricted Rights Notice

Programs delivered subject to the DOD FAR Supplement are "commercial computer software" and use, duplication, and disclosure of the Programs, including documentation, shall be subject to the licensing restrictions set forth in the applicable Oracle license agreement. Otherwise, Programs delivered subject to the Federal Acquisition Regulations are "restricted computer software" and use, duplication, and disclosure of the Programs shall be subject to the restrictions in FAR 52.227-19, Commercial Computer Software - Restricted Rights (June, 1987). Oracle Corporation, 500 Oracle Parkway, Redwood City, CA 94065.

このドキュメントに記載されているその他の会社名および製品名は、あくまでその製品および会社を識別する目的にのみ使用されており、それぞれの所有者の商標または登録商標です。

目次目次目次目次

はじめにはじめにはじめにはじめに ............................................................................................................................................................................ v

対象読者 ..................................................................................................................................................................... viこのマニュアルの構成 ............................................................................................................................................. vi関連資料 .................................................................................................................................................................... vii表記規則 .................................................................................................................................................................... vii

Oracle9i のネットワーク、ディレクトリおよびセキュリティの新機能のネットワーク、ディレクトリおよびセキュリティの新機能のネットワーク、ディレクトリおよびセキュリティの新機能のネットワーク、ディレクトリおよびセキュリティの新機能 ........................ xiiiOracle 公開鍵インフラストラクチャ .................................................................................................................. xivActive Directory との統合 .................................................................................................................................... xivOracle Wallet ........................................................................................................................................................... xivWindows 2000 環境での Oracle9i の使用方法 ................................................................................................... xivサポートされていない機能と使用できない機能 ................................................................................................ xv

1 Windows 環境におけるデータベース・ユーザーの認証環境におけるデータベース・ユーザーの認証環境におけるデータベース・ユーザーの認証環境におけるデータベース・ユーザーの認証Windows システム固有の認証の概要システム固有の認証の概要システム固有の認証の概要システム固有の認証の概要 ................................................................................................................ 1-2Windows の認証プロトコルの認証プロトコルの認証プロトコルの認証プロトコル ................................................................................................................................ 1-2ユーザー認証およびロール認可の方式ユーザー認証およびロール認可の方式ユーザー認証およびロール認可の方式ユーザー認証およびロール認可の方式 ............................................................................................................... 1-4

使用する認証および認可の方式 ................................................................................................................... 1-5

Active Directory と Oracle9i の統合 ............................................................................................................ 1-6

インストール中に自動で有効化されるオペレーティング・システム認証インストール中に自動で有効化されるオペレーティング・システム認証インストール中に自動で有効化されるオペレーティング・システム認証インストール中に自動で有効化されるオペレーティング・システム認証 ................................................... 1-8

i

2 外部ユーザーおよびロールの管理外部ユーザーおよびロールの管理外部ユーザーおよびロールの管理外部ユーザーおよびロールの管理外部ユーザーおよびロールの管理方法外部ユーザーおよびロールの管理方法外部ユーザーおよびロールの管理方法外部ユーザーおよびロールの管理方法 ............................................................................................................... 2-2Oracle Administration Assistant for Windows NT の使用方法の使用方法の使用方法の使用方法 ................................................................... 2-2

コンピュータの追加と構成の保存 ............................................................................................................... 2-4

コンピュータ上のすべてのデータベースに関する管理者権限およびオペレータ権限の付与 ........... 2-6

データベースへの接続 ................................................................................................................................... 2-9

データベース認証用パラメータ設定の表示 ............................................................................................. 2-13

無権限データベース・ユーザー（外部ユーザー）の作成 ..................................................................... 2-15

ローカル・データベース・ロールの作成 ................................................................................................. 2-19

外部ロールの作成 ......................................................................................................................................... 2-22

単一データベースに関する管理者権限およびオペレータ権限の付与 ................................................. 2-25

外部ユーザーおよびロールの手動による管理外部ユーザーおよびロールの手動による管理外部ユーザーおよびロールの手動による管理外部ユーザーおよびロールの手動による管理 ................................................................................................. 2-28無権限データベース・ユーザー（外部ユーザー）の作成 ..................................................................... 2-29

複数のデータベースに関する管理者権限およびオペレータ権限の付与 ............................................. 2-34

外部ロールの作成 ......................................................................................................................................... 2-39

3 エンタープライズ・ユーザーおよびロールの管理エンタープライズ・ユーザーおよびロールの管理エンタープライズ・ユーザーおよびロールの管理エンタープライズ・ユーザーおよびロールの管理エンタープライズ・ユーザーの認証エンタープライズ・ユーザーの認証エンタープライズ・ユーザーの認証エンタープライズ・ユーザーの認証 ................................................................................................................... 3-2エンタープライズ・ロールの認可エンタープライズ・ロールの認可エンタープライズ・ロールの認可エンタープライズ・ロールの認可 ....................................................................................................................... 3-3

4 Active Directory でのでのでのでの Oracle9i ディレクトリ・サーバー機能の使用方法ディレクトリ・サーバー機能の使用方法ディレクトリ・サーバー機能の使用方法ディレクトリ・サーバー機能の使用方法LDAP およびおよびおよびおよび Active Directory の概要の概要の概要の概要 .............................................................................................................. 4-2

LDAP およびディレクトリ・サーバー ....................................................................................................... 4-2Oracle Internet Directory .............................................................................................................................. 4-2Active Directory ............................................................................................................................................. 4-2

Oracle9i ディレクトリ・サーバーの機能ディレクトリ・サーバーの機能ディレクトリ・サーバーの機能ディレクトリ・サーバーの機能 .......................................................................................................... 4-3ディレクトリ・ネーミング ........................................................................................................................... 4-3

エンタープライズ・ユーザー・セキュリティ ........................................................................................... 4-3

Active Directory との統合との統合との統合との統合 .................................................................................................................................... 4-5ディレクトリ・サーバーの自動検出 ........................................................................................................... 4-5

Microsoft ツールとの統合 ............................................................................................................................. 4-6

Oracle Net ディレクトリ・ネーミングのユーザー・インタフェースの拡張 ....................................... 4-7

ディレクトリ・オブジェクト型記述の拡張 ............................................................................................... 4-8

Windows ログイン資格証明との統合 ......................................................................................................... 4-8

Active Directory での Oracle ディレクトリ・オブジェクト ................................................................... 4-9

ii

Oracle9i をををを Active Directory で使用するための要件で使用するための要件で使用するための要件で使用するための要件 .................................................................................... 4-10Oracle スキーマ作成要件 ............................................................................................................................ 4-11

Oracle コンテキスト作成要件 .................................................................................................................... 4-12

ディレクトリ・ネーミング要件 ................................................................................................................. 4-13

エンタープライズ・ユーザー・セキュリティ要件 ................................................................................. 4-14

Oracle9i のののの Active Directory 環境へのインストールおよび構成環境へのインストールおよび構成環境へのインストールおよび構成環境へのインストールおよび構成 ................................................................ 4-15インストール作業 ......................................................................................................................................... 4-15

インストール後の構成作業 ......................................................................................................................... 4-15

接続のテスト接続のテスト接続のテスト接続のテスト ......................................................................................................................................................... 4-15クライアント・コンピュータからの接続テスト ..................................................................................... 4-16

Microsoft ツールからの接続テスト ........................................................................................................... 4-16

接続ツールへのアクセス ............................................................................................................................. 4-17

Oracle ディレクトリ・オブジェクトのディレクトリ・オブジェクトのディレクトリ・オブジェクトのディレクトリ・オブジェクトの Access Control List の管理の管理の管理の管理 ........................................................... 4-20セキュリティ・グループへのアクセス ..................................................................................................... 4-21

ユーザーの追加または削除 ......................................................................................................................... 4-23

ユーザー・アクセス権の変更 ..................................................................................................................... 4-24

エンタープライズ・ドメインの作成エンタープライズ・ドメインの作成エンタープライズ・ドメインの作成エンタープライズ・ドメインの作成 ................................................................................................................. 4-25

5 Oracle Wallet のののの Windows レジストリへの格納レジストリへの格納レジストリへの格納レジストリへの格納秘密鍵およびトラスト・ポイントの格納秘密鍵およびトラスト・ポイントの格納秘密鍵およびトラスト・ポイントの格納秘密鍵およびトラスト・ポイントの格納 ........................................................................................................... 5-2ユーザー・プロファイルの格納ユーザー・プロファイルの格納ユーザー・プロファイルの格納ユーザー・プロファイルの格納 ........................................................................................................................... 5-2Oracle Wallet のののの Windows レジストリへの格納レジストリへの格納レジストリへの格納レジストリへの格納 ............................................................................................. 5-2

Oracle Wallet Manager .................................................................................................................................. 5-3

Oracle Enterprise Login Assistant ..................................................................................................................... 5-4Wallet Resource Locator ....................................................................................................................................... 5-5

6 Windows 2000 PKI の統合の統合の統合の統合Oracle 公開鍵インフラストラクチャ公開鍵インフラストラクチャ公開鍵インフラストラクチャ公開鍵インフラストラクチャ .................................................................................................................. 6-2Windows 公開鍵インフラストラクチャ公開鍵インフラストラクチャ公開鍵インフラストラクチャ公開鍵インフラストラクチャ ............................................................................................................ 6-2

Microsoft 証明書ストア ................................................................................................................................. 6-2

Microsoft 証明書サービス ............................................................................................................................. 6-3Wallet Resource Locator ................................................................................................................................ 6-3

iii

A Oracle Net Services の構成の構成の構成の構成Oracle Net Services レジストリ・パラメータおよびサブキーについてレジストリ・パラメータおよびサブキーについてレジストリ・パラメータおよびサブキーについてレジストリ・パラメータおよびサブキーについて ...................................................... A-2

Oracle Net Services サブキー ....................................................................................................................... A-2

リスナー要件リスナー要件リスナー要件リスナー要件 ........................................................................................................................................................... A-2オプションの構成パラメータについてオプションの構成パラメータについてオプションの構成パラメータについてオプションの構成パラメータについて ............................................................................................................... A-3

LOCAL ............................................................................................................................................................. A-3TNS_ADMIN .................................................................................................................................................. A-3USE_SHARED_SOCKET .............................................................................................................................. A-4

詳細ネットワーク構成詳細ネットワーク構成詳細ネットワーク構成詳細ネットワーク構成 ........................................................................................................................................... A-4認証方式の構成 ............................................................................................................................................... A-4

Named Pipes Protocol のセキュリティ構成 .............................................................................................. A-4

用語集用語集用語集用語集

索引索引索引索引

iv

はじめにはじめにはじめにはじめに

このマニュアルでは、Windows オペレーティング・システム環境で Oracle9i のネットワーク、ディレクトリおよびセキュリティ機能を使用する場合の、導入、インストール後の作業、構成および管理に関する情報を主に提供します。

次の項目について説明します。

� 対象読者

� このマニュアルの構成

� 関連資料

� 表記規則

v

対象読者対象読者対象読者対象読者このマニュアルは、Windows オペレーティング・システム環境で Oracle9i のネットワーク、ディレクトリおよびセキュリティの機能を構成または管理するすべてのユーザーを対象としています。

このマニュアルの構成このマニュアルの構成このマニュアルの構成このマニュアルの構成このマニュアルは、次のように構成されています。

第第第第 1 章「章「章「章「Windows 環境におけるデータベース・ユーザーの認証」環境におけるデータベース・ユーザーの認証」環境におけるデータベース・ユーザーの認証」環境におけるデータベース・ユーザーの認証」この章では、Windows オペレーティング・システム環境における Oracle9i データベース・ユーザーの認証について説明します。

第第第第 2 章「外部ユーザーおよびロールの管理」章「外部ユーザーおよびロールの管理」章「外部ユーザーおよびロールの管理」章「外部ユーザーおよびロールの管理」この章では、外部ユーザーおよびロールの管理について説明します。

第第第第 3 章「エンタープライズ・ユーザーおよびロールの管理」章「エンタープライズ・ユーザーおよびロールの管理」章「エンタープライズ・ユーザーおよびロールの管理」章「エンタープライズ・ユーザーおよびロールの管理」この章では、エンタープライズ・ユーザーおよびロールの管理について説明します。

第第第第 4 章「章「章「章「Active Directory でのでのでのでの Oracle9i ディレクトリ・サーバー機能の使用方法」ディレクトリ・サーバー機能の使用方法」ディレクトリ・サーバー機能の使用方法」ディレクトリ・サーバー機能の使用方法」この章では、Active Directory での Oracle9i ディレクトリ・サーバー機能の使用方法について説明します。

第第第第 5 章「章「章「章「Oracle Wallet のののの Windows レジストリへの格納」レジストリへの格納」レジストリへの格納」レジストリへの格納」この章では、Windows レジストリにおける Oracle Wallet の格納および取得について説明します。

第第第第 6 章「章「章「章「Windows 2000 PKI の統合」の統合」の統合」の統合」この章では、Windows オペレーティング・システム環境で統合される、Oracle 公開鍵インフラストラクチャ（PKI）および Windows 2000 公開鍵インフラストラクチャ

（Windows PKI）について説明します。

付録付録付録付録 A「「「「Oracle Net Services の構成」の構成」の構成」の構成」この付録では、Windows での Oracle Net Services の構成について説明します。Oracle Net Services の一般的な構成の概要は、『Oracle9i Net Services 管理者ガイド』を参照してください。

用語集用語集用語集用語集

vi

関連資料関連資料関連資料関連資料詳細は、次のマニュアルを参照してください。

� 『Oracle9i Database for Windows インストレーション・ガイド』

� 『Oracle9i Database for Windows リリース・ノート』

� 『Oracle9i Database for Windows 管理者ガイド』

� 『Oracle Advanced Security 管理者ガイド』

� 『Oracle Internet Directory 管理者ガイド』

� 『Oracle Enterprise Manager 管理者ガイド』

� 『Oracle9i Net Services 管理者ガイド』

� 『Oracle9i データベース新機能』

� 『Oracle9i データベース・リファレンス』

� 『Oracle9i データベース・エラー・メッセージ』

リリース・ノート、インストール・ドキュメント、ホワイト・ペーパー、またはその他の関連資料を無償でダウンロードするには、OTN-J（Oracle Technology Network Japan）にアクセスしてください。OTN-J を利用する前に、オンライン登録が必要です。次の URL で登録できます。

http://otn.oracle.co.jp/membership/

OTN-J のユーザー名およびパスワードをすでにお持ちの場合は、次の OTN-J の Web サイトのドキュメント・セクションに直接アクセスできます。

http://otn.oracle.co.jp/document/

表記規則表記規則表記規則表記規則ここでは、このマニュアルの本文およびサンプル・コードで使用される表記規則について説明します。表記規則は次の 3 種類です。

� 本文の表記規則

� サンプル・コードの表記規則

� Windows オペレーティング・システムの表記規則

vii

本文の表記規則本文の表記規則本文の表記規則本文の表記規則本文中では、特定の用語をより速く識別できるように、様々な表記規則を使用しています。次の表は、本文中で使用される表記規則とその使用例を説明したものです。

規則規則規則規則意味意味意味意味例例例例

太字太字太字太字太字は、本文中で定義されている用語、または用語集で説明されている用語、あるいはその両方を示します。

ub4、sword または OCINumber などの C のデータ型が有効です。

この句を指定する場合、索引構成表索引構成表索引構成表索引構成表を作成します。

イタリックイタリック（斜体字）のフォントは、構文の句またはプレースホルダを示します。

parallel_clause を指定できます。

Uold_release.SQLを実行します。old_release は、アップグレード前にインストールしたリリースを表します。

大文字（固定幅フォント）

大文字固定幅フォントは、システムによって指定される要素を示します。これらの要素には、パラメータ、権限、データ型、Recovery Manager のキーワード、SQL のキーワード、SQL*Plus またはユーティリティのコマンド、パッケージ、メソッドの他に、システムで表示される列名、データベースのオブジェクトおよび構造、ユーザー名およびロールがあります。

この句は NUMBER列に対してのみ指定できます。

BACKUPコマンドを使用して、データベースをバックアップできます。

USER_TABLESデータ・ディクショナリ・ビューの TABLE_NAME列を問い合せます。

ROLLBACK_SEGMENTSパラメータを指定します。

DBMS_STATS.GENERATE_STATSプロシージャを使用します。

小文字（固定幅フォント）

小文字固定幅フォントは、実行可能ファイルおよびユーザー指定のサンプル要素を示します。これらの要素には、コンピュータ名およびデータベース名、ネット・サービス名、および接続識別子の他に、ユーザー指定のデータベースのオブジェクトおよび構造、列名、パッケージおよびクラス、ユーザー名およびロール、プログラム・ユニット、およびパラメータ値があります。

sqlplusを入力して、SQL*Plus を開きます。

department_id、department_nameおよびlocation_id列は、hr.departments表にあります。

QUERY_REWRITE_ENABLED初期化パラメータをtrueに設定します。

oeユーザーとして接続します。

viii

サンプル・コードの表記規則サンプル・コードの表記規則サンプル・コードの表記規則サンプル・コードの表記規則サンプル・コードは、SQL、PL/SQL、SQL*Plus またはその他のコマンドライン文を示します。これらは固定幅フォントで示され、次の例のように、通常の本文とは区別されています。

SELECT username FROM dba_users WHERE username = 'MIGRATE';

次の表は、サンプル・コードで使用される表記規則とそれらの使用例を説明したものです。


[ ] 大カッコは、1 つ以上のオプション項目を囲みます。大カッコは入力しないでください。

DECIMAL (digits [ , precision ])

{ } 中カッコは複数の項目を囲み、そのうちの 1つを選択します。中カッコは入力しないでください。

{ENABLE | DISABLE}

| 垂直バーは、大カッコまたは中カッコ内にある複数のオプションの選択を表します。オプションの 1 つを入力します。垂直バーは入力しないでください。

{ENABLE | DISABLE}

[COMPRESS | NOCOMPRESS]

... 水平の省略記号は、次のいずれかを表します。

� 例に直接関係のないコードの一部を省略

� コードの一部の繰り返しが可能

CREATE TABLE ...AS subquery;

SELECT col1, col2, ..., coln FROMemployees;

.

.

.

垂直の省略記号は、例に直接関係のないコードの数行を省略したことを表します。

その他の表記規則大カッコ、中カッコ、垂直バーおよび省略記号以外の記号は、次のように入力します。

acctbal NUMBER(11,2);

acct CONSTANT NUMBER(4) := 3;

イタリックイタリックのテキストは変数を示し、そこに特定の値を指定します。

CONNECT SYSTEM/system_password

大文字大文字は、システムによって指定される要素を示します。ユーザーが定義する語句と区別するために、大文字で示しています。語句が大カッコ内に表示されない場合は、記述どおりの順序とスペルで入力します。ただし、これらの語句には大文字と小文字の区別がないため、小文字で入力できます。

SELECT last_name, employee_id FROM employees;

SELECT * FROM USER_TABLES;

DROP TABLE hr.employees;

ix

Windows オペレーティング・システムの表記規則オペレーティング・システムの表記規則オペレーティング・システムの表記規則オペレーティング・システムの表記規則次の表は、Windows オペレーティング・システムの表記規則とその使用例を説明したものです。

小文字小文字は、ユーザーが指定するプログラム要素を示します。たとえば、小文字は表、列またはファイルの名前を示します。

SELECT last_name, employee_id FROM employees;

sqlplus hr/hr


「スタート」→を選択

プログラムの起動方法。たとえば、Oracle Database Configuration Assistant を起動するには、タスクバーの「スタート」ボタンをクリックし、「プログラム」→「Oracle - HOME_NAME」→「Configuration and Migration Tools」→「Database Configuration Assistant」を選択します。

「スタート」→「プログラム」→「Oracle - HOME_NAME」→「Configuration and Migration Tools」→「Database Configuration Assistant」を選択します。

ファイルおよびディレクトリ名

ファイルおよびディレクトリ名には、大文字と小文字の区別はありません。特殊文字である、:、"、/、|、および - は使用できません。特殊文字の ¥ は要素区切りとして扱われます。¥ が引用符に囲まれていても同様です。ファイル名が ¥¥ で始まっている場合、Windows では汎用命名規則が使用されているとみなされます。

c:¥winnt"¥"system32は、C:¥WINNT¥SYSTEM32と同じです。

C:¥> 現行のハード・ディスク・ドライブのWindows コマンド・プロンプトを示します。コマンド・プロンプトでのエスケープ文字は、^ です。プロンプトは、現在作業中のサブディレクトリを示しています。このマニュアルでは、コマンド・プロンプトと呼びます。

C:¥oracle¥oradata>

円記号（¥）は、Windows のコマンド・プロンプトで二重引用符（"）を使用する場合に、エスケープ文字として必要とされる場合があります。カッコおよび一重引用符（'）は、エスケープ文字を必要としません。エスケープ文字および特殊文字の詳細は、Windows オペレーティング・システムのドキュメントを参照してください。

C:¥>exp scott/tiger TABLES=emp QUERY=¥"WHERE job='SALESMAN' and sal

HOME_NAME Oracle ホーム名を示します。

ホーム名は、英数字 16 文字までです。ホーム名で使用できる特殊文字は、アンダースコアのみです。

C:¥> net start OracleHOME_NAMETNSListener

ORACLE_HOMEおよびORACLE_BASE

リリース 8.0 以下のリリースでは、Oracleコンポーネントをインストールすると、サブディレクトリはすべて、ORACLE_HOMEディレクトリ（デフォルトでは次のとおり）に置かれました。

� Windows NT の場合は C:¥orant

� Windows 95 の場合は C:¥orawin95

� Windows 98 の場合は C:¥orawin98

あるいは、Oracle ホームと呼ばれるディレクトリの下に置かれました。

今回のリリースは、Optimal Flexible Architecture（OFA）に準拠しているため、すべてのサブディレクトリが最上位のORACLE_HOMEディレクトリの下にあるわけではありません。ORACLE_BASEという最上位ディレクトリがあり、デフォルトはC:¥oracleです。コンピュータに Oracle9i リリース 1（9.0.1）をインストールし、他のOracle ソフトウェアをインストールしない場合、最初の Oracle ホーム・ディレクトリのデフォルト設定は、C:¥oracle¥ora90です。Oracle ホーム・ディレクトリは、ORACLE_BASEの直下に置かれます。

このマニュアルでは、ディレクトリ・パスの例は、すべて OFA 表記規則に従っています。

OFA 準拠の追加情報、および OFA に準拠していないディレクトリでの Oracle 製品のインストールに関する情報は、『Oracle9i Database for Windows スタート・ガイド』を参照してください。

%ORACLE_HOME%¥rdbms¥adminディレクトリに移動します。


xi

Oracle9i のネットワーク、ディレクトリのネットワーク、ディレクトリのネットワーク、ディレクトリのネットワーク、ディレクトリおよびセキュリティの新機能およびセキュリティの新機能およびセキュリティの新機能およびセキュリティの新機能

この章では、Windows オペレーティング・システム環境での Oracle9i のネットワーク、ディレクトリおよびセキュリティの新機能を説明します。

� Oracle 公開鍵インフラストラクチャ

� Active Directory との統合

� Oracle Wallet

� Windows 2000 環境での Oracle9i の使用方法

� サポートされていない機能と使用できない機能

xiii

Oracle 公開鍵インフラストラクチャ公開鍵インフラストラクチャ公開鍵インフラストラクチャ公開鍵インフラストラクチャOracle 公開鍵インフラストラクチャ（PKI）は、Oracle Enterprise Security Manager、Lightweight Directory Access Protocol（LDAP）対応の Oracle Enterprise Manager、Oracleの Secure Sockets Layer（SSL）認証および Oracle9i データベースで使用されます。

公開鍵インフラストラクチャは、公開鍵暗号を使用した情報セキュリティ・テクノロジです。公開鍵暗号では、共有（公開）鍵および秘密鍵のペアを使用して、情報の暗号化および復号化を行います。秘密鍵で暗号化されたデータは、公開鍵で復号化され、公開鍵で暗号化されたデータは、秘密鍵で復号化されます。公開鍵暗号は、PKI の基礎となります。

Oracle Advanced Security の使用により、PKI テクノロジを利用する Oracle9i に包括的な一連のツールが提供されます。

Active Directory との統合との統合との統合との統合Active Directory により、シングル・ログインで複数のネットワーク・リソースにアクセスできます。Active Directory は、Windows 2000 に含まれる LDAP 準拠のディレクトリ・サーバーです。Active Directory には、ユーザー、グループおよびポリシーを含む Windows 2000 のすべての情報が一元的に格納されます。

Oracle WalletOracle9i の Oracle Wallet は、Windows のレジストリに格納でき、そこから取得できます。Oracle Wallet には、秘密鍵およびトラスト・ポイントが格納され、認証および暗号化を行う公開鍵アプリケーションで使用されるデジタル証明が保持されます。Oracle Wallet は、Oracle Wallet Manager ツールを使用して作成および管理します。Oracle 公開鍵アプリケーションでは、認証認証認証認証および暗号化暗号化暗号化暗号化のために、復号化された Oracle Wallet を使用します。

Windows 2000 環境での環境での環境での環境での Oracle9i の使用方法の使用方法の使用方法の使用方法Windows 2000 と Windows NT 4.0 では、Oracle9i の使用方法に違いがあります。

関連資料関連資料関連資料関連資料 : 『Oracle9i Database for Windows スタート・ガイド』

xiv

サポートされていない機能と使用できない機能サポートされていない機能と使用できない機能サポートされていない機能と使用できない機能サポートされていない機能と使用できない機能

CONNECT INTERNALCONNECT INTERNALおよび CONNECT INTERNAL/PASSWORDは、Oracle9i ではサポートされません。かわりに次のように使用します。

CONNECT/ AS SYSDBACONNECT username/password AS SYSDBA

Oracle Net Services（（（（Net8）でサポートされていない機能）でサポートされていない機能）でサポートされていない機能）でサポートされていない機能Oracle Net Services（以前の Net8）の次の機能は、Oracle9i ではサポートされません。

� NDS 外部ネーミングおよび NDS 認証

� protocol.oraファイル

� SPX プロトコル

� Identix および SecurID 認証方式

� Net8 OPEN

� TRCROUTE

� リスナー制御ユーティリティでの SPAWNコマンド

xv

Windows 環境におけるデータベース・ユーザ

1

Windows 環境におけるデータベース・環境におけるデータベース・環境におけるデータベース・環境におけるデータベース・

ユーザーの認証ユーザーの認証ユーザーの認証ユーザーの認証

この章では、Windows オペレーティング・システム環境における Oracle9i データベース・ユーザーの認証について説明します。


� Windows システム固有の認証の概要

� Windows の認証プロトコル

� ユーザー認証およびロール認可の方式

� インストール中に自動で有効化されるオペレーティング・システム認証

ーの認証 1-1

Windows システム固有の認証の概要

Windows システム固有の認証の概要システム固有の認証の概要システム固有の認証の概要システム固有の認証の概要Oracle9i データベースでは、データベース・ユーザーの認証に Windows のユーザー・ログイン資格証明を使用できます。これには次の利点があります。

� ユーザーはユーザー名またはパスワードを入力することなく、複数の Oracle9i データベースに接続できます。

� Oracle9i データベースのユーザー認証およびロール認可の情報を Windows NT またはWindows 2000 で一元管理することにより、ユーザー・パスワードまたはロールの情報を Oracle9i に格納して管理する必要がなくなります。

（Oracle Net Services とともに自動的にインストールされる）Windows システム固有の認証アダプタにより、Windows NT または Windows 2000 を介してデータベース・ユーザー認証を行うことができます。これにより、クライアント・コンピュータは Windows NT またはWindows 2000 サーバー上の Oracle9i データベースに安全に接続できます。その後、サーバーではユーザーによるデータベース・アクションの実行が許可されます。

Windows の認証プロトコルの認証プロトコルの認証プロトコルの認証プロトコルWindows システム固有の認証アダプタおよび Windows の認証プロトコルにより、Oracle9i データベースへのアクセスが可能になります。

� Windows 2000 のデフォルトの認証プロトコルは、Kerberos です。

� Windows NT 4.0 のデフォルトのプロトコルは、NT LAN Manager（NTLM）です。

ユーザーが Windows 2000 環境のコンピュータから、Windows 2000 ドメイン・ユーザーとしてログオンする場合、Kerberos が NTS アダプタにより使用される認証機構になります。

その他のすべてのユーザー（ローカル・ユーザー、Windows NT 4.0 ドメイン・ユーザー、Windows 95 および Windows 98 のユーザー）の場合、NTLM が NTS アダプタにより使用される認証機構になります。

スタンドアロンの Windows 2000 または Windows NT 4.0 環境のコンピュータで認証が NTSに設定されている場合は、Windows サービスの NTLM Security Support Provider が起動していることを確認します。このサービスが、スタンドアロンの Windows 2000 またはWindows NT 4.0 環境のコンピュータで起動していない場合、NTS 認証に障害が発生します。この問題は、Windows 2000 または Windows NT 4.0 をスタンドアロン・モードで稼働している場合にのみ発生します。

注意注意注意注意 : この章では、Windows NT 4.0 および Windows 2000 環境におけるWindows システム固有の認証方式の使用方法を説明します。SSL プロトコルおよび Oracle Internet Directory の詳細は、『Oracle Advanced Security 管理者ガイド』および『Oracle Internet Directory 管理者ガイド』を参照してください。

1-2　Oracle9i for Windows ネットワーク、ディレクトリおよびセキュリティ・ガイド

Windows の認証プロトコル

クライアント・コンピュータは、Oracle9i データベースに接続を試みるときに、認証プロトコルを指定する必要はありません。使用されるプロトコルは、Oracle9i データベースによりユーザーに対して完全に透過的に判断されます。唯一の Oracle 要件は、クライアントおよびデータベース・サーバーの両方で、%ORACLE_HOME%¥network¥admin¥sqlnet.oraファイル内の SQLNET.AUTHENTICATION_SERVICESパラメータに ntsが含まれていることです（インストール後には、これが両方のデフォルト設定になります）。Oracle8 リリース8.0 では、手動でこの値を設定する必要があります。

通常、Oracle9i データベースのネットワークには、クライアント・コンピュータおよびデータベース・サーバーが含まれます。このネットワーク上の複数のコンピュータでは、別々のドメイン内で異なる Windows オぺレーティング・システムにより、異なるリリースのOracle ソフトウェアが実行されている場合があります。たとえば、Windows 95 環境にインストールされたリリース 8.0.5 の Oracle クライアントが稼働しており、このクライアントから Windows 2000 ドメイン内で稼働する Windows NT 4.0 環境のコンピュータの Oracle9i データベースに接続している可能性があります。このようにリリースの異なる組合せが使用されている場合、その認証プロトコルも異なる可能性があります。

Kerberos をデフォルトの認証プロトコルとして有効化するために必要な Oracle ソフトウェアおよび Windows オペレーティング・システムのリリースを、表 1-1 にリストします。

ネットワーク上で使用される Windows オペレーティング・システムおよび Oracle ソフトウェアのリリースのこれ以外の組合せでは、使用される認証プロトコルはすべて NTLM です。

表表表表 1-1 Kerberos 認証プロトコルを有効化するソフトウェア要件認証プロトコルを有効化するソフトウェア要件認証プロトコルを有効化するソフトウェア要件認証プロトコルを有効化するソフトウェア要件

対象対象対象対象必要な必要な必要な必要な Windows ソフトウェアソフトウェアソフトウェアソフトウェア必要な必要な必要な必要な Oracle ソフトウェアソフトウェアソフトウェアソフトウェア

クライアント・コンピュータ

� Windows NT 4.0

� Windows 2000

� Oracle8i Client 以上

データベース・コンピュータ

� Windows NT 4.0

� Windows 2000

� Oracle8i データベース以上

ドメイン � Windows 2000 � なし

関連資料関連資料関連資料関連資料 : 各認証プロトコルの詳細は、Microsoft Windows のドキュメントを参照してください。

Windows 環境におけるデータベース・ユーザーの認証 1-3

ユーザー認証およびロール認可の方式

ユーザー認証およびロール認可の方式ユーザー認証およびロール認可の方式ユーザー認証およびロール認可の方式ユーザー認証およびロール認可の方式この項では、Windows NT 4.0 または Windows 2000 ドメインにおいて、ユーザー・ログイン資格証明が認証される方式、およびデータベース・ロールが認可される方式を説明します。ユーザー認証およびロール認可を表 1-2 で定義します。

Oracle では、Windows NT 4.0 ドメインにおけるユーザー認証およびロール認可がサポートされています。表 1-3 では、これらの基本的な機能を説明します。

Oracle8i リリース 8.1.6 以上では、エンタープライズ・ユーザーの認証およびエンタープライズ・ロールの認可をサポートするよう機能が拡張されています。また、Windows 2000 ドメイン内、および Oracle Internet Directory と統合された Active Directory 内で Windows システム固有の認証をサポートするよう機能が拡張されています。これらの拡張機能は次の場合にのみ使用可能です。

� Oracle8i リリース 8.1.6 以上を構成して、Active Directory とともに使用する場合

� Oracle8i Cliant リリース 8.1.6 以上および Oracle8i データベース以上を、Windows 2000ドメインで実行する場合

表表表表 1-2 ユーザー認証およびロール認可の定義ユーザー認証およびロール認可の定義ユーザー認証およびロール認可の定義ユーザー認証およびロール認可の定義

機能機能機能機能説明説明説明説明詳細情報の参照先詳細情報の参照先詳細情報の参照先詳細情報の参照先

ユーザー認証データベースが、ユーザーの Windows ログイン資格証明を使用してユーザーを認証するプロセス

『Oracle9i データベース管理者ガイド』

ロール認可認可認可認可割り当てられた一連のロールを認証済のユーザーに対して付与するプロセス

『Oracle9i データベース管理者ガイド』

表表表表 1-3 ユーザー認証およびロール認可の基本的な機能ユーザー認証およびロール認可の基本的な機能ユーザー認証およびロール認可の基本的な機能ユーザー認証およびロール認可の基本的な機能

機能機能機能機能説明説明説明説明

外部ユーザーの認証

各ユーザーは、Windows ログイン資格証明を使用してデータベースにより認証され、追加の資格証明を要求されることなく Oracle データベースにアクセスできます。

外部ロール外部ロール外部ロール外部ロールの認可

ロールは、Windows NT のローカル・グループを使用して認可されます。一度外部ロールを作成すると、データベース・ユーザーに対してそのロールを付与したり、取り消したりできます。init.oraのパラメータ OS_ROLESは、デフォルトでは falseに設定されています。外部ロールを認可するには、OS_ROLESを trueに設定する必要があります。



エンタープライズ・ユーザー認証（またはグローバル・ユーザー認証）は、Oracle9i データベースが稼働する Windows 2000 ドメインのコンピュータの OSAUTH_X509_NAMEレジストリ・パラメータを trueに設定することで有効化できます。Windows 2000 ドメインでこのパラメータが false（デフォルト）に設定されていると、Oracle9i データベースでは、ユーザーが外部ユーザーとして認証されます（3-2 ページの「エンタープライズ・ユーザーの認証」を参照してください）。Windows NT 4.0 ドメインでこのパラメータを trueに設定しても意味がなく、エンタープライズ・ユーザーは使用できません。

使用する認証および認可の方式使用する認証および認可の方式使用する認証および認可の方式使用する認証および認可の方式表 1-4 では、Oracle9i データベース環境に基づいた、ユーザー認証およびロール認可の方式を説明します。

関連項目関連項目関連項目関連項目 : OSAUTH_X509_NAMEレジストリ・パラメータの使用方法の詳細は、3-2 ページの「エンタープライズ・ユーザーの認証」を参照してください。

表表表表 1-4 ユーザー認証およびロール認可の方式ユーザー認証およびロール認可の方式ユーザー認証およびロール認可の方式ユーザー認証およびロール認可の方式

使用する方式使用する方式使用する方式使用する方式データベース環境データベース環境データベース環境データベース環境

エンタープライズ・ユーザーおよびロール

複数のデータベースに多数のユーザーが接続する場合。

エンタープライズ・ユーザーは、複数のデータベース間で同じ識別情報を共有します。エンタープライズ・ユーザーは、ディレクトリ・サーバーを使用する必要があります。

エンタープライズ・ロールは、ロールに割り当てられたエンタープライズ・ユーザーが地理的に多数の場所に分散しており、複数のデータベースにアクセスする必要がある場合に使用します。各エンタープライズ・ロールは、ディレクトリ内の複数のエンタープライズ・ユーザーに割り当てることができます。エンタープライズ・ロールを使用しない場合は、各データベース・ユーザーに手動でデータベース・ロールを割り当てる必要があります。エンタープライズ・ロールは、ディレクトリ・サーバーを使用する必要があります。

外部ユーザーおよびロール

限定された数のデータベースに少数のユーザーが接続する場合。外部ユーザーは個別に各データベースで作成する必要があり、ディレクトリ・サーバーを使用する必要はありません。

外部ロールも個別に各データベースで作成する必要があり、ディレクトリ・サーバーを使用する必要はありません。外部ロールは、システムのローカル・グループ内のユーザーのグループ・メンバーシップを使用して認可されます。



Active Directory とととと Oracle9i の統合の統合の統合の統合この統合により、ユーザー認証およびロール認可を使用できます。これらの拡張機能は、Windows 2000 ドメインで実行する場合にのみ使用可能になります。Active Directory とOracle コンポーネントを統合するには、次の作業を実行します。

� タスク 1:　コンポーネントのインストールおよび構成

� タスク 2:　OSAUTH_X509_NAMEレジストリ・パラメータの設定

� タスク 3:　Oracle Enterprise Security Manager の起動および使用方法

タスクタスクタスクタスク 1:　コンポーネントのインストールおよび構成　コンポーネントのインストールおよび構成　コンポーネントのインストールおよび構成　コンポーネントのインストールおよび構成インストール前および構成の問題の詳細は、第 4 章「Active Directory での Oracle9i ディレクトリ・サーバー機能の使用方法」および『Oracle9i Database for Windows インストレーション・ガイド』を参照してください。

タスクタスクタスクタスク 2:　　　　OSAUTH_X509_NAME レジストリ・パラメータの設定レジストリ・パラメータの設定レジストリ・パラメータの設定レジストリ・パラメータの設定OSAUTH_X509_NAMEレジストリ・パラメータを設定し、クライアント・ユーザーが X.509準拠のエンタープライズ・ユーザーとして Oracle9i データベースにアクセスできるようにします。このパラメータは、エンタープライズ・ユーザーおよびロールを使用する場合にのみ必要です。

OSAUTH_X509_NAMEレジストリ・パラメータを設定する手順は次のとおりです。

1. Oracle9i データベースがインストールされているコンピュータに移動します。

2. 「スタート」→「ファイル名を指定して実行」を選択します。

3. 「名前」フィールドに regedt32と入力し、「OK」を選択します。

「レジストリエディタ」ウィンドウが表示されます。

4. ¥HKEY_LOCAL_MACHINE¥SOFTWARE¥ORACLE¥HOMEIDに移動します。

パラメータの設定場所パラメータの設定場所パラメータの設定場所パラメータの設定場所説明説明説明説明

Windows 2000 ドメインで稼働する Oracle9i データベース・コンピュータ

このパラメータを trueに設定すると、Active Directory を介して Oracle9i データベースに接続する場合に、クライアント・ユーザー名が X509 準拠のエンタープライズ・ユーザー名として識別されます。ユーザーのロール認可は、Active Directoryを使用して行われます。

このパラメータを false（デフォルト）に設定すると、クライアント・ユーザーは外部ユーザーとして識別され、ユーザーのロール認可は Oracle9i データベースのデータ・ディクショナリを使用して行われます。



IDは編集する Oracle ホームの番号です。

5. レジストリ値 OSAUTH_X509_NAMEがある場合は、OSAUTH_X509_NAMEをダブルクリックします。

「文字列エディタ」ダイアログ・ボックスが表示されます。

該当するレジストリ値がない場合は、REG_EXPAND_SZという種類のレジストリ値として、OSAUTH_X509_NAMEを追加します。

6. [Enter] を押します。

7. 「文字列」フィールドの値を trueに設定します。

8. 「OK」を選択します。

9. 「レジストリ」メニューから「レジストリエディタの終了」を選択します。

レジストリエディタが終了します。

タスクタスクタスクタスク 3:　　　　Oracle Enterprise Security Manager の起動および使用方法の起動および使用方法の起動および使用方法の起動および使用方法Oracle Enterprise Security Manager を使用して、エンタープライズ・ユーザー、ロールおよびドメインを作成および管理します。また、エンタープライズ・ユーザーおよびグループをエンタープライズ・ロールに割り当てます。

Oracle Enterprise Security Manager は、Oracle Enterprise Manager の統合アプリケーションに含まれます。次の手順では、Windows 2000 ドメインで Oracle Enterprise Security Manager を使用する場合の Windows 固有の機能を説明します。

Oracle Enterprise Security Manager を使用する手順は次のとおりです。

1. 「スタート」→「プログラム」→「Oracle - HOME NAME」→「Integrated Management Tools」→「Enterprise Security Manager」を選択します。

2. このツールの使用方法は、オンライン・ヘルプおよび『Oracle Advanced Security 管理者ガイド』を参照してください。

3. Active Directory を使用するには、次の注意事項を確認します。

� Oracle Enterprise Security Manager を使用する管理者は、セキュリティ・グループOracleDBSecurityAdmin のメンバーに属している必要があります。デフォルトでは、Oracle コンテキストを作成した（つまり、Oracle9i データベースを構成して、ディレクトリ・サーバーを使用できるようにした）管理者は、このセキュリティ・グループのメンバーです。Oracle Enterprise Security Manager のすべての機能を使用できるよう認可されるのは、このセキュリティ・グループのメンバーのみです。別のユーザーを手動で追加する場合の詳細は、4-20 ページの「Oracle ディレクトリ・オブジェクトの Access Control List の管理」を参照してください。

関連資料関連資料関連資料関連資料 : Oracle Enterprise Security Manager の使用方法の詳細は、『Oracle Advanced Security 管理者ガイド』を参照してください。


インストール中に自動で有効化されるオペレーティング・システム認証

� 使用する環境に適した認証プロトコルを選択するダイアログ・ボックスを表示させる場合、「ファイル」メイン・メニューから「Change Directory Connection」を選択します。

インストール中に自動で有効化されるオペレーティング・インストール中に自動で有効化されるオペレーティング・インストール中に自動で有効化されるオペレーティング・インストール中に自動で有効化されるオペレーティング・システム認証システム認証システム認証システム認証

Oracle9i データベースをインストールすると、インストールを実行した Windows ユーザー名が自動的に ORA_DBAという Windows NT ローカル・グループに追加されます。ORA_DBAローカル・グループの特徴は、次のとおりです。

� Oracle9i データベースがインストールされると、自動的に作成されます。

� 特別な Windows NT ローカル・グループであり、そのメンバーは自動的に SYSDBA権限を付与されます。

これにより、次のことが実行できます。

� 次のようなコマンドを発行することにより、パスワードなしで任意のローカルのOracle9i データベースに接続できます。

CONNECT / AS SYSDBA

� 次のようなコマンドを発行することにより、パスワードなしでリモートの Oracle9i データベースに接続できます。

CONNECT /@net_service_name AS SYSDBA

net_service_nameは、接続先の Oracle9i データベースのネット・サービス名です。

� ローカル・データベースの起動および停止など、ローカルまたはリモートのデータベース管理手順を実行できます。

� 管理者権限を持っている場合、別の Windows NT ユーザーを ORA_DBAに追加して、そのユーザーに SYSDBA権限を付与できます。

選択選択選択選択環境環境環境環境

NT システム固有の認証

Active Directory のある Windows 2000 ドメイン内のWindows NT 4.0 または Windows 2000 環境のコンピュータで、Oracle9i データベースを実行する場合。

Oracle Enterprise Security Manager が Windows 2000 ドメイン内で稼働している場合は、自動的に Windows システム固有の認証を使用します。

簡易認証他に使用可能な選択がない場合。簡易認証は Oracle Internet Directory または Active Directory で使用できますが、安全性は低下します。


外部ユーザーおよびロールの管

2

外部ユーザーおよびロールの管理外部ユーザーおよびロールの管理外部ユーザーおよびロールの管理外部ユーザーおよびロールの管理

この章では、外部ユーザーおよびロールの管理について説明します。


� 外部ユーザーおよびロールの管理方法

� Oracle Administration Assistant for Windows NT の使用方法

� 外部ユーザーおよびロールの手動による管理

理 2-1

外部ユーザーおよびロールの管理方法

外部ユーザーおよびロールの管理方法外部ユーザーおよびロールの管理方法外部ユーザーおよびロールの管理方法外部ユーザーおよびロールの管理方法外部ユーザーおよびロールを管理するには、次の 2 つの方法があります。

� Oracle Administration Assistant for Windows NT の使用方法

� 外部ユーザーおよびロールの手動による管理

Oracle Administration Assistant for Windows NT の使用方法の使用方法の使用方法の使用方法Oracle Administration Assistant for Windows NT は、Microsoft 管理コンソールから実行するツールです。このツールを使用することで、Oracle データベース・ユーザーおよびロールを次のように構成して、Windows オペレーティング・システムに認証させることができます。

� 通常の Windows NT ドメイン・ユーザーおよびグローバル・グループを外部ユーザーとして構成し、Oracle データベースにパスワードなしでアクセスさせることができます。

� Windows NT の（SYSDBA権限を持つ）データベース管理者を構成し、Oracle データベースにパスワードなしでアクセスさせることができます。

� Windows NT の（SYSOPER権限を持つ）データベース・オペレータを構成し、Oracleデータベースにパスワードなしでアクセスさせることができます。

� ローカルおよび外部データベース・ロールを作成し、Windows NT ドメイン・ユーザーおよびグローバル・グループに付与できます。

Oracle Administration Assistant for Windows NT を使用すると、次の作業を手動で実行する必要がなくなります。

� データベースのシステム識別子（SID）およびロールに一致する Windows NT ローカル・グループの作成

� これらのローカル・グループへの Windows NT ドメイン・ユーザーの割当て

� SQL*Plus における、CREATE USER username IDENTIFIED EXTERNALLY構文でのユーザー認証

注意注意注意注意 : この 2 つの方法は、いずれも Windows 2000 ドメイン内で外部ユーザーおよびロールを管理する場合には使用できますが、エンタープライズ・ユーザーおよびロールを管理する場合には使用できません。エンタープライズ・ユーザーおよびロールの管理に使用できるツールの詳細は、3-1 ページの

「エンタープライズ・ユーザーおよびロールの管理」を参照してください。


Oracle Administration Assistant for Windows NT の使用方法

この項では、Oracle Administration Assistant for Windows NT を使用した、次の作業の実行方法について説明します。

� コンピュータの追加と構成の保存

� コンピュータ上のすべてのデータベースに関する管理者権限およびオペレータ権限の付与

� データベースへの接続

� データベース認証用パラメータ設定の表示

� 無権限データベース・ユーザー（外部ユーザー）の作成

� ローカル・データベース・ロールの作成

� 外部ロールの作成

� 単一データベースに関する管理者権限およびオペレータ権限の付与

注意注意注意注意 : Oracle Administration Assistant for Windows NT は、Microsoft 管理コンソールから実行できますが、このコンソールは Windows 2000 に組み込まれています。Windows NT 4.0 を使用する場合は、次のいずれかの作業を実行する必要があります。

� Microsoft 管理コンソールを含む、Microsoft Windows NT 4.0 Option Pack をインストールします。

� 次のMicrosoft のWebサイトからMicrosoft管理コンソールをダウンロードします。

http://www.microsoft.com

外部ユーザーおよびロールの管理 2-3


コンピュータの追加と構成の保存コンピュータの追加と構成の保存コンピュータの追加と構成の保存コンピュータの追加と構成の保存Oracle Administration Assistant for Windows NT を最初に使用すると、ナビゲーション・ツリーにそのローカル・コンピュータが追加されます。その後で、他のコンピュータを追加できます。

Microsoft 管理コンソールのツリーにコンピュータを追加する手順は、次のとおりです。

1. 「スタート」→「プログラム」→「Oracle - HOME_NAME」→「Configuration and Migration Tools」→「Administration Assistant for Windows NT」を選択します。

Microsoft 管理コンソールが起動します。

2. 「Oracle Managed Objects」をダブルクリックします。

「コンピュータ」アイコンが表示されます。

3. 「コンピュータ」を右クリックします。

注意注意注意注意 : Oracle Administration Assistant for Windows NT を使用してリモート・コンピュータを管理する場合は、そのコンピュータに対して管理者権限を持っている必要があります。Oracle Administration Assistant for Windows NT がデータベース内に作成するユーザーの名前には、常に接頭辞としてドメイン名が付けられます。したがって、Oracle7 リリース 7.x 以上のデータベースをリモートで管理する場合は、リモート・コンピュータのレジストリ・キー ¥HKEY_LOCAL_MACHINE¥SOFTWARE¥ORACLE¥HOMEIDのOSAUTH_PREFIX_DOMAINの値を trueに設定する必要があります。Windows 2000 環境のコンピュータが Domain Name System（DNS）のドメイン名で識別されない場合は、次のエラー・メッセージが表示されます。

Calling query w32RegQueries1.7.0.17.0 RegGetValueKey = HKEY_LOCAL_MACHINESubKey = SYSTEM¥CurrentControlSet¥Services¥Tcpip¥ParametersValue = DomainQuery Exception: GetValueKeyNotFoundExceptionQuery Exception Class: class oracle.sysman.oii.oiil.OiilQueryException...

DNS 名を割り当てる手順は次のとおりです。

1. 「コントロールパネル」→「システム」→「ネットワーク ID」の「プロパティ」→「詳細」→「このコンピュータのプライマリ DNS サフィックス」を選択します。

2. ドメイン名を入力します（たとえば、US.ORACLE.COMなど）。



4. 「新規作成」→「NT コンピュータ」を選択します。

「コンピュータ追加」ダイアログ・ボックスが表示されます。

5. Oracle データベースがインストールされているコンピュータのドメイン名およびホスト名を指定します。


7. 「コンピュータ」をダブルクリックし、追加したコンピュータを表示します。

8. 追加したコンピュータをダブルクリックします。データベース管理者およびオペレータを認証するためのノードがいくつか表示されます。

9. 「コンソール」メイン・メニューの「上書き保存」をクリックして、コンソール・ファイルに構成を保存します。

これにより、コンピュータ上のすべてのインスタンスに対するデータベース管理者およびオペレータを認証できます。

10. 詳細は、2-6 ページの「コンピュータ上のすべてのデータベースに関する管理者権限およびオペレータ権限の付与」を参照してください。

ノードノードノードノード機能機能機能機能

OS データベース管理者 - コンピュータコンピュータ上のすべてのデータベース・インスタンスに対する、オペレーティング・システムにより認証済の（SYSDBA権限を持つ）データベース管理者を作成できます。

OS データベース・オペレータ - コンピュータ

コンピュータ上のすべてのデータベース・インスタンスに対する、オペレーティング・システムにより認証済の（SYSOPER権限を持つ）データベース・オペレータを作成できます。



コンピュータ上のすべてのデータベースに関する管理者権限およびコンピュータ上のすべてのデータベースに関する管理者権限およびコンピュータ上のすべてのデータベースに関する管理者権限およびコンピュータ上のすべてのデータベースに関する管理者権限およびオペレータ権限の付与オペレータ権限の付与オペレータ権限の付与オペレータ権限の付与

コンピュータ上のすべてのデータベースに関するデータベース管理者（SYSDBA）権限およびデータベース・オペレータ（SYSOPER）権限を、データベース管理者に対して付与できます。

コンピュータ上のすべてのデータベースに関する権限を付与する手順は、次のとおりです。

1. 「スタート」→「プログラム」→「Oracle - HOME_NAME」→「Configuration and Migration Tools」→「Administration Assistant for Windows NT」を選択します。

Oracle Administration Assistant for Windows NT が起動します。

2. 適切な項目を次から選択します。

付与する権限付与する権限付与する権限付与する権限手順手順手順手順

データベース管理者（SYSDBA）権限

1. 「OS データベース管理者 - コンピュータ」を右クリックします。

2. 2-7 ページの「コンピュータ上のすべてのデータベースに関する管理者権限の付与」を参照してください。

データベース・オペレータ（SYSOPER）権限

1. 「OS データベース・オペレータ - コンピュータ」を右クリックします。

2. 2-8 ページの「コンピュータ上のすべてのデータベースに関するオペレータ権限の付与」を参照してください。



コンピュータ上のすべてのデータベースに関する管理者権限の付与コンピュータ上のすべてのデータベースに関する管理者権限の付与コンピュータ上のすべてのデータベースに関する管理者権限の付与コンピュータ上のすべてのデータベースに関する管理者権限の付与コンピュータ上のすべてのデータベースに関する管理者（SYSDBA）権限を付与する手順は、次のとおりです。

1. 「追加 / 削除」を選択します。

「OS データベース管理者 - コンピュータ : hostname」ダイアログ・ボックスが表示されます。

2. 「ドメイン」ドロップダウン・リスト・ボックスから、SYSDBA権限を付与するユーザーのドメインを選択します。

3. ユーザーを選択します。

4. 「追加」を選択します。

ユーザーが「OS データベース管理者 - コンピュータ」ウィンドウに表示されます。




コンピュータ上のすべてのデータベースに関するオペレータ権限の付与コンピュータ上のすべてのデータベースに関するオペレータ権限の付与コンピュータ上のすべてのデータベースに関するオペレータ権限の付与コンピュータ上のすべてのデータベースに関するオペレータ権限の付与コンピュータ上のすべてのデータベースに関するオペレータ（SYSOPER）権限を付与する手順は、次のとおりです。

1. 「追加 / 削除」を選択します。

「OS データベース・オペレータ - コンピュータ : hostname」ダイアログ・ボックスが表示されます。

2. 「ドメイン」ドロップダウン・リスト・ボックスから、SYSOPER権限を付与するユーザーのドメインを選択します。

3. ユーザーを選択します。

4. 「追加」を選択します。

ユーザーが「OS データベース・オペレータ - コンピュータ」ウィンドウに表示されます。




データベースへの接続データベースへの接続データベースへの接続データベースへの接続データベースに接続すると、次のような追加の認証作業を実行できます。

� データベース認証用パラメータ設定の表示

� 無権限データベース・ユーザー（外部ユーザー）の作成

� ローカル・データベース・ロールの作成

� 外部ロールの作成

� 単一データベースに関する管理者権限およびオペレータ権限の付与

データベースに接続する手順は次のとおりです。

1. Microsoft 管理コンソールのスコープ・ペイン内のアクセスするデータベース・インスタンス（たとえば ORCLなど）を右クリックします。



Oracle データベースへの接続時に SSL を有効化するには、Oracle サービスおよびリスナー・サービスを開始するときに、Windows NT の「サービス」ダイアログ・ボックスにあるデフォルトのユーザー・アカウントを使用しないでください。これらのサービスは、Oracle Wallet Manager で作成された Wallet と同じユーザー・アカウントで開始します。Oracle サービスおよびリスナー・サービスがデフォルトのユーザー・アカウントで開始されると、SSL は有効にならず、リスナーは起動しません。SSL のサポートは、Oracle Advanced Security の機能の 1 つです。また、Oracle Wallet Manager も Oracle Advanced Security の機能の 1 つです。

2. 「データベースに接続」を選択します。

Oracle データベースに接続すると、インスタンスの下に次のような Windows NT のノードが表示されます。これらのノードが表示されない場合は、そのインスタンスをダブルクリックしてください。

関連資料関連資料関連資料関連資料 : SSL サポートの詳細は、『Oracle Advanced Security 管理者ガイド』を参照してください。

ノードノードノードノード機能機能機能機能詳細情報の参照先詳細情報の参照先詳細情報の参照先詳細情報の参照先

外部 OSユーザー

Windows NT ユーザーを認証し、パスワードを入力せずに外部ユーザーとしてOracle データベースにアクセスできます。外部ユーザーは、通常のデータベース・ユーザー（データベース管理者以外）であり、このユーザーに対しては標準のデータベース・ロール（CONNECTおよびRESOURCEなど）を割り当てますが、SYSDBA（データベース管理者）権限または SYSOPER（データベース・オペレータ）権限は割り当てません。

2-15 ページの「無権限データベース・ユーザー（外部ユーザー）の作成」を参照してください。

ローカル・ロール

ロールを作成し、そのロールをデータベースで管理できます。一度ローカル・ロールを作成すると、データベース・ユーザーに対してそのロールを付与したり、取り消したりできます。

2-19 ページの「ローカル・データベース・ロールの作成」を参照してください。

外部 OS ロール外部ロールを作成し、そのロールをWindows オペレーティング・システムで管理できます。一度外部ロールを作成すると、データベース・ユーザーに対してそのロールを付与したり、取り消したりできます。

2-22 ページの「外部ロールの作成」を参照してください。

OS データベース管理者

コンピュータ上の特定のインスタンス関する SYSDBA権限を持つ Windows NTユーザーを認証できます。

2-25 ページの「単一データベースに関する管理者権限およびオペレータ権限の付与」を参照してください。



接続に関する問題のトラブルシューティング接続に関する問題のトラブルシューティング接続に関する問題のトラブルシューティング接続に関する問題のトラブルシューティングローカル・コンピュータに接続する場合、Oracle Administration Assistant for Windows NTは、最初に Bequeath ネットワーク・プロトコルを使用して、SYSDBAとしてデータベースに接続を試みます。リモート・コンピュータに接続する場合、Oracle Administration Assistant for Windows NT は TCP/IP ネットワーク・プロトコル（ポート番号 1521 または非推奨の 1526）で Windows システム固有の認証を使用して、SYSDBAとしてデータベースに接続を試みます。正常に接続できない場合、表 2-1 にあるダイアログ・ボックスが表示され、データベースに接続するための情報を入力するよう要求されます。

OS データベース・オペレータ

コンピュータ上の特定のインスタンスに関する SYSOPER権限を持つ Windows NT ユーザーを認証できます。

2-25 ページの「単一データベースに関する管理者権限およびオペレータ権限の付与」を参照してください。

表表表表 2-1 データベース接続に関する問題の解決データベース接続に関する問題の解決データベース接続に関する問題の解決データベース接続に関する問題の解決

表示されるダイアログ・ボックス表示されるダイアログ・ボックス表示されるダイアログ・ボックス表示されるダイアログ・ボックス原因原因原因原因

Oracle データベースへの接続を試みるときに使用した Windows NTドメイン・ユーザーが、SYSDBA権限を持つ認証済のユーザーとして認識されていません。

Oracle ユーザー名およびパスワードを入力して、データベースにアクセスします。

このダイアログ・ボックスを再度表示しないようにするには、ドメイン・ユーザーを Windows NT オペレーティング・システムにより認証済のデータベース管理者として構成します。

ノードノードノードノード機能機能機能機能詳細情報の参照先詳細情報の参照先詳細情報の参照先詳細情報の参照先



リモートの Oracle データベースヘの接続に TCP/IP ネットワーク・プロトコルを使用していないか、または Oracle データベースが稼働していません。TCP/IP 以外のプロトコル（たとえば Named Pipesなど）を使用すると、リモート接続を試みるたびにこのダイアログ・ボックスが表示されます。

このダイアログ・ボックスを再度表示しないようにするには、TCP/IP プロトコルに変�

oracle9i for windowsoracle9i for...

Documents