ORACLE TECHNOLOGY NETWORK
 
 
   

Oracle Technology Network (OTN) Japan - 掲示板 » データベース(R/O) » Oracle Database 10gの部屋(読取専用)

スレッド: NTドメインからADへ移行後、OS認証接続できない

このスレッドに返信する このスレッドに返信する スレッド一覧へ スレッド一覧へ

Permlink 返信数: 15 - ページ数: 2 [ 1 2 | 次へ ] - 最新投稿 : 2007/04/10 11:21 最新投稿者: 1082465 - スレッド表示形式:
1082465

投稿数: 9
登録日時: 07/04/03


NTドメインからADへ移行後、OS認証接続できない
投稿時刻: 2007/04/04 11:09
  このスレッドに返信します… 返信

oracle:10.1.0.2 EE
OS:Windows Server 2003

NTドメインからADへ移行後、OS認証接続を使用しているADのメンバから
データベースへ接続できなくなりました。

検索してみたところ、以下の投稿がありました。
ORA-12640で接続できません
http://otn.oracle.co.jp/forum/thread.jspa?threadID=27000289&tstart=0

そこで、SQLNET.AUTHENTICATION_SERVICESの値をNTSからNONEに変更したところ、
正常に接続できるようになりました。

データベースに接続できない現象は回避できましたが
なぜ、ADのメンバはNTSでは接続できなくなってしまうのか、疑問が残ります。
というのも、信頼関係を結んでいるNTドメインが他にいるのですが
そのNTドメインのメンバからは、NTSのまま接続できてしまうのです。
(データベースへの接続確認は、sqlplus user/password@sidで実施)

どなたか、この問題が分かる方いらっしゃいましたら、ご教示お願い致します。

ktakamura

投稿数: 379
登録日時: 07/02/08


Re: NTドメインからADへ移行後、OS認証接続できない
投稿時刻: 2007/04/04 15:18   1082465 さんへの返信です。 1082465 さんへの返信です。
  このスレッドに返信します… 返信

> なぜ、ADのメンバはNTSでは接続できなくなってしまうのか、疑問が残ります。

NTドメインとADでは、認証の仕組みが何か違うのではないかと思うのですが、
サポート契約をしているのであれば、KROWNに何か出ているか探してみては如何でしょうか。

Tipo

投稿数: 3,713
登録日時: 00/03/02


Re: NTドメインからADへ移行後、OS認証接続できない
投稿時刻: 2007/04/04 15:57   1082465 さんへの返信です。 1082465 さんへの返信です。
  このスレッドに返信します… 返信

> データベースに接続できない現象は回避できましたが
> なぜ、ADのメンバはNTSでは接続できなくなってしまうのか、疑問が残ります。

Oralce から Active Directory を利用するには次の
マニュアルに記述されている設定が必要なようですね。

Oracle Database プラットフォーム・ガイド
10gリリース2(10.2) for Microsoft Windows(32-Bit)
- 12 Microsoft Active DirectoryとのOracle Databaseの使用
http://otndnld.oracle.co.jp/document/products/oracle10g/102/windows/B25020-02/active_dir.htm#944229

1082465

投稿数: 9
登録日時: 07/04/03


Re: NTドメインからADへ移行後、OS認証接続できない
投稿時刻: 2007/04/05 15:17   Tipo さんへの返信です。 Tipo さんへの返信です。
  このスレッドに返信します… 返信

返信ありがとうございます。

> Oralce から Active Directory を利用するには次の
> マニュアルに記述されている設定が必要なようですね。

申し訳ありません。
せっかく提示していただいたマニュアルでしたが、確認致しましたところ
これは、「Active DirectoryをLDAPディレクトリとして構成し、使用する方法」の
マニュアルでしたので、私の疑問は解決されませんでした。

追加情報として、以下を挙げさせて頂きます。

・DBサーバはADのメンバではあるが、ドメインコントローラではない
・DBはNTドメイン時代に、メンバとして参加しているときに作成されている

以上です。

1082465

投稿数: 9
登録日時: 07/04/03


Re: NTドメインからADへ移行後、OS認証接続できない
投稿時刻: 2007/04/05 15:21   ktakamura さんへの返信です。 ktakamura さんへの返信です。
  このスレッドに返信します… 返信

返信ありがとうございます。

> NTドメインとADでは、認証の仕組みが何か違うのではないかと思うのですが、
> サポート契約をしているのであれば、KROWNに何か出ているか探してみては如何でしょうか。

KROWNも確認しておりますが、探し方が悪いのか、今のところ
疑問の解決に至るようなものを見つけることができません。

もう一度、確認してみます。

ktakamura

投稿数: 379
登録日時: 07/02/08


Re: NTドメインからADへ移行後、OS認証接続できない
投稿時刻: 2007/04/05 15:31   1082465 さんへの返信です。 1082465 さんへの返信です。
  このスレッドに返信します… 返信

> KROWNも確認しておりますが、探し方が悪いのか、今のところ
> 疑問の解決に至るようなものを見つけることができません。

「Active Directory OS認証」とかで探したら何か出てきそうに思いますけどね。

giacomo

投稿数: 201
登録日時: 03/05/10


Re: NTドメインからADへ移行後、OS認証接続できない
投稿時刻: 2007/04/05 15:41   1082465 さんへの返信です。 1082465 さんへの返信です。
  このスレッドに返信します… 返信

そういうときは、さっさとTARを登録(サポートに質問を投げること)しましょう。
[契約顧客のみ]って情報はこの場では扱えません。

利用規約
http://otn.oracle.co.jp/forum/agreement.html

tabizou

投稿数: 451
登録日時: 05/10/14


Re: NTドメインからADへ移行後、OS認証接続できない
投稿時刻: 2007/04/05 16:04   1082465 さんへの返信です。 1082465 さんへの返信です。
  このスレッドに返信します… 返信

> これは、「Active DirectoryをLDAPディレクトリとして構成し、使用する方法」の
> マニュアルでしたので、私の疑問は解決されませんでした。

ADってLDAPの実装のひとつだと思っていたのですが
#標準仕様を独自に変更して・・という批判がkerberosであったはず

Tipo

投稿数: 3,713
登録日時: 00/03/02


Re: NTドメインからADへ移行後、OS認証接続できない
投稿時刻: 2007/04/05 17:26   1082465 さんへの返信です。 1082465 さんへの返信です。
  このスレッドに返信します… 返信

> これは、「Active DirectoryをLDAPディレクトリとして構成し、使用する方法」の
> マニュアルでしたので、私の疑問は解決されませんでした。

NTS は「NTドメイン」で認証されたユーザを
Oracleに接続する方式なので

・ADのメンバはNTSでは接続できない
・NTドメインのメンバからは、NTSのまま接続できる

のようになると思います。
Microsoftの資料に以下のようにありました。

集中連載:SQL Server 2005 と Oracle 10g の真実
http://www.microsoft.com/japan/sql/facts/compare/02.mspx
--------------------------------------------------------------------------------
一方、Oracle の認証では、Oracle ベースの認証と OS 認証をサポートしています。Enterprise Edition では、Advanced Security オプションのライセンスを追加購入
することで、Active Directory などのディレクトリ サービスを活用した認証もサポート
することが可能です。
--------------------------------------------------------------------------------

ushitaki

投稿数: 7,079
登録日時: 98/10/30


Re: NTドメインからADへ移行後、OS認証接続できない
投稿時刻: 2007/04/05 23:12   Tipo さんへの返信です。 Tipo さんへの返信です。
  このスレッドに返信します… 返信

> ・ADのメンバはNTSでは接続できない
> ・NTドメインのメンバからは、NTSのまま接続できる

ひょっとして... ユーザ名とかの違いだったりして...
OTN US ですら、誰も成功した人を見かけないと言う記事もありますが。

以前、ADSI を使って中国の老朋友(*1)と
Active Directory にユーザ登録するプログラムを 作っていた時に
ユーザ名とかいくつかのプロパティで似たものが何種類かあって
色々と苦労した記憶があります。

GUIから AD に登録しているんだったら、関係ない話かも知れないし
GUI上で見えていない項目だったかどうかまでは記憶にはありません。

標準LDAPとADSIのLayerとかProperty とかを詳細に検索し比較すると
何か見つかるかも知れません。

そして、そこから解決策を見出せれば、世界初の人になれるかも知れません。


(*1)
苦労したのは老朋友、わたしは(中国語で)「君は能力がある、問題ない」と言ってただけ。
老朋友を直訳すると「古い親友」とかになるかも知れませんが
日本人感覚だと、世話になったとか親交があった人とか程度の付き合いです。
多くの中国人は受けた恩は忘れず大切にし、「老朋友」と相手を呼ぶのです。
同じ文化を共有したいので、わたくしも彼とか他の多くの中国人技術者を
「老朋友」と呼ぶし、決して忘れません。

tabizou

投稿数: 451
登録日時: 05/10/14


Re: NTドメインからADへ移行後、OS認証接続できない
投稿時刻: 2007/04/06 13:27   ushitaki さんへの返信です。 ushitaki さんへの返信です。
  このスレッドに返信します… 返信

> 標準LDAPとADSIのLayerとかProperty とかを詳細に検索し比較すると
> 何か見つかるかも知れません。

OpenLDAP + Samba <-> AD はよくある構成なので、そっち方面から
何か資料があるかもしれません
#USRMGR<->OpenLDAP までは試したあと放置・・・・
#AD <-> OpenLDAP + Samba でアカウントの同期取って、OpenLDAP
#対象に構築するのもありかなと思います

zeus_jp

投稿数: 36
登録日時: 07/03/11


Re: NTドメインからADへ移行後、OS認証接続できない
投稿時刻: 2007/04/09 21:47   1082465 さんへの返信です。 1082465 さんへの返信です。
  このスレッドに返信します… 返信

NTドメインとADは、認証の仕組みが異なる様な内容の記述が、MSにありました。
・・・申し訳ありません、MSのurlが判らなくなってしまいました。

1082465

投稿数: 9
登録日時: 07/04/03


Re: NTドメインからADへ移行後、OS認証接続できない
投稿時刻: 2007/04/10 10:28   Tipo さんへの返信です。 Tipo さんへの返信です。
  このスレッドに返信します… 返信

返信ありがとうございます。

> NTS は「NTドメイン」で認証されたユーザを
> Oracleに接続する方式なので
>
> ・ADのメンバはNTSでは接続できない
> ・NTドメインのメンバからは、NTSのまま接続できる
>
> のようになると思います。

つまり、
?ADの認証方式ではkerbrosが使用されている。
?でもOracleはAdvanced Securityオプションを追加しない限り、kerbrosに対応できない。
?なので、SQLNET.AUTHENTICATION_SERVICES=NTSでは
 Oracleに接続することができない。
?一方、NTドメインは認証方式がNTLMなので、Oracleがデフォルトで対応しているから問題なく接続できる。

というふうに結論が出たのですが、認識に間違いはないでしょうか?

Tipo

投稿数: 3,713
登録日時: 00/03/02


Re: NTドメインからADへ移行後、OS認証接続できない
投稿時刻: 2007/04/10 10:48   1082465 さんへの返信です。 1082465 さんへの返信です。
  このスレッドに返信します… 返信

> というふうに結論が出たのですが、認識に間違いはないでしょうか?

おそらくその認識で合っています。
Oracleの仕様に関する事項なので Oracle Direct へ
問合せることで正式な回答を得られると思います。

Tipo

投稿数: 3,713
登録日時: 00/03/02


Re: NTドメインからADへ移行後、OS認証接続できない
投稿時刻: 2007/04/10 10:55   zeus_jp さんへの返信です。 zeus_jp さんへの返信です。
  このスレッドに返信します… 返信

> NTドメインとADは、認証の仕組みが異なる様な内容の記述が、MSにありました。
> ・・・申し訳ありません、MSのurlが判らなくなってしまいました。

こちらの資料ですね。
Kerberos 認証と NTLM 認証について比較解説されています。

Active Directory を導入する 11 の魅力
- Active Directory と Windows NT での認証の違い
http://www.microsoft.com/japan/windowsserver2003/technologies/directory/activedirectory/guide/advantages01.mspx






ウェブサイトのご使用条件 | 個人情報保護基本方針/情報保護基本方針