- PR -

OracleのWindowsNT認証について

1
投稿者投稿内容
ア太郎
常連さん
会議室デビュー日: 2004/02/03
投稿数: 22
投稿日時: 2004-12-01 01:22
環境:Oracle9i

WebサーバとDBサーバの筐体が分かれているWebアプリで、
aspからoo4oでDBアクセスしています。

WebサーバからDBサーバへのアクセスの接続は、
このDB参照のみ(ファイルアクセス等はない)のはずで、
DB参照は正常に行われているのにも関わらず、
DBサーバのイベントログ(セキュリティー)にWebサーバの
iuserによる「失敗の監査(ログイン失敗)」が大量に出ていました。

sqlnet.oraの中で、認証方式にnts(Windows NT のシステム固有の認証)を
指定していたことが原因でした。
認証に失敗しているのにDB参照ができる理由は何でしょう?
この設定はなぜデフォルトでついているのでしょう?(必要無い気がします)

また、ntsをnoneに変更したところ「失敗の監査」は出なくなった変わりに、
「Anonymous」ユーザでの「ログオン成功」と「ログオフ」が出力されるようになりました。
これは何が認証されているのでしょうか?
いーた
大ベテラン
会議室デビュー日: 2004/07/12
投稿数: 154
お住まい・勤務地: 東京
投稿日時: 2004-12-01 10:10
>認証に失敗しているのにDB参照ができる理由は何でしょう?
Webアプリ側でIDとパスワード、サービス名を指定してDBサーバにコネクト処理をしているからだと思います。

>この設定はなぜデフォルトでついているのでしょう?
8iか9iからデフォルトになったようです。
シングルサインオンが実現できるので不要な機能だとは思いません。
Oracle9i NT/2000のネイティブ認証も一度参照してみてはいかがでしょうか。
ア太郎
常連さん
会議室デビュー日: 2004/02/03
投稿数: 22
投稿日時: 2004-12-07 04:39
レスありがとうございます。返答が遅くなりすみません。

>>認証に失敗しているのにDB参照ができる理由は何でしょう?
>Webアプリ側でIDとパスワード、サービス名を指定して
>DBサーバにコネクト処理をしているからだと思います。

私の感覚としては、それぞれの認証のAND条件のような気がするのですが、
OR条件(*)になるということですね。

(*)
 ID・パスワード・サービス名での認証か
 nts(Windows NT のシステム固有の認証)での認証の
 どちらかをクリアすれば接続できる。

>>この設定はなぜデフォルトでついているのでしょう?
>8iか9iからデフォルトになったようです。
>シングルサインオンが実現できるので不要な機能だとは思いません。

シングルサインオンの機能があるのはいいことだと思うのですが、
デフォルトでは必要無いのではないかと思います。
(これも個人的な感覚ですが、、、)

知らないのがいけないんでしょうが、
世の開発者の中にも、私のようにシングルサインオンの機能(nts)が
デフォルトで付いていることを知らずに、今回のような事象が
発生していることに気がつかない人は多いような気がします。

勉強するしかないですね。

>また、ntsをnoneに変更したところ「失敗の監査」は出なくなった変わりに、
>「Anonymous」ユーザでの「ログオン成功」と「ログオフ」が出力されるようになりました。
>これは何が認証されているのでしょうか?

こちらの件は分かりませんでしょうか?
Jitta
ぬし
会議室デビュー日: 2002/07/05
投稿数: 6267
お住まい・勤務地: 兵庫県・海手
投稿日時: 2004-12-07 18:47
 何といっても、「匿名」なので、なんにも認証していないでしょうね。強いていえば、「匿名で接続することが許可されている」ことを確認しているくらいでは?
1

スキルアップ/キャリアアップ(JOB@IT)