「SQL*Plus」タグアーカイブ

Oracle, データベース, ブログ

ORA-12638:資格証明の取出しに失敗しました。が起きる時の対処方法

コメントする

Oracle接続時に発生するエラー 「ORA-12638:資格証明の取出しに失敗しました。」 は、
クライアント側の認証設定が原因で SQL*Plus やアプリケーション接続ができなくなるケースに多く見られます。
特に Windows環境で Oracle Client を利用している場合や、VPN経由の接続 で発生しやすいトラブルです。

本記事では、このエラーの原因と対処方法をわかりやすく整理します。

🔍 エラー内容

英語メッセージとしては以下です。

📌 原因の概要

主な原因として以下が考えられます。

原因具体例
sqlnet.ora の認証設定が適合していないSQLNET.AUTHENTICATION_SERVICES = (NTS) が原因
OS での NTS 認証(Windowsログオン)が利用できない状態ドメイン外、VPN経由、ローカルアカウント使用
Oracle Client と Server の認証方式の不一致NTS / TCPS / Kerberos
Oracle のネットワーク設定が壊れているインストール不完全、dllロード失敗
パスワードファイルやWalletが関連するケース外部認証・Wallet参照失敗

🛠️ 対処方法

sqlnet.ora を編集し NTS を無効化する

最も一般的な解決手段です。

例:変更前


例:変更後

▼ 設定ファイルの場所(Oracle Client側)

設定変更後、接続をやり直します。

② VPN接続やネットワーク制限を確認する

以下に該当する場合、NTS認証が失敗することがあります。

  • 会社ドメイン外からVPNで接続している

  • 別セグメントのネットワークへ接続している

  • OSユーザーがローカルアカウント

VPN中だけ発生する場合は、ほぼ①の設定変更で解決します。

③ Oracle Client を再インストール / 別バージョンでテスト

インストール破損やバージョン相性で発生することもあるため、次の対処が有効です。

  • Instant Client に変更

  • 同一バージョンでもクリーン再インストール

  • 32bit / 64bit mismatch の解消

④ Wallet / TCPS を利用する環境の場合

Wallet使用環境であれば、以下も確認します。

  • Walletパス設定の誤り

  • ファイルアクセス権限

  • Listenerが TCPS 対応で起動しているか

🧪 チェックリストまとめ

チェック項目対応
sqlnet.ora の認証設定確認(NTS) → (NONE) へ変更
VPN/ネットワーク制限VPN環境でのみ発生していないか
Oracle Client 再インストールInstant Clientで接続確認
Wallet使用時パスと権限

📦 再発防止のポイント

  • sqlnet.ora をプロジェクト共有設定として管理する

  • VPN利用者は (NONE) 設定を基本にする

  • クライアントとサーバのバージョン整合性を確保

  • 企業ネットワーク設定変更後は接続検証を行う

まとめ

ORA-12638 は多くの場合、認証方式(NTS)の不一致が原因です。
まずは sqlnet.ora の設定変更で改善するケースがほとんどです。

特に以下の変更が最も効果的です:

VPN経由環境や Windows クライアントで発生するトラブルとして覚えておくと便利です。

 関連記事

  • SQL:WHERE句内で「(+)」を指定する意味
  • Oracle:ユーザー作成時に「ORA-65096」エラーが出た場合の原因と対応方法
  • Oracle:接続時に「ORA-01109:データベースがオープンされていません。」エラーが出た場合の原因と対応方法
  • Oracle:DESCRIBEコマンドでテーブル(表)構造を確認する方法
  • SQL:システム日付と誕生日を元に年齢、誕生日までの月数、日数を表示する方法
    • Oracle, データベース, トラブル対応, ブログ

    Oracle「ORA-28001: パスワードの有効期限が切れています」対応手順

    コメントする

    Oracle Database を利用していると、ログイン時に
    「ORA-28001: パスワードの有効期限が切れています」
    というエラーに遭遇することがあります。

    これは、データベースのセキュリティ機能として「パスワード有効期限」が設定されており、期限を過ぎたユーザがログインできなくなるために発生します。

    この場合のエラーの原因と具体的な対応手順を解説します。

    エラーの原因

    Oracle データベースでは、ユーザごとに割り当てられた プロファイル(Profile) により、パスワード有効期限が管理されています。

    典型的な原因は以下の通りです。

    • デフォルトの DEFAULT プロファイルで PASSWORD_LIFE_TIME が 180日 などに設定されている

    • 長期間パスワードを変更しておらず、期限切れとなった

    • 運用上、期限管理を無効化していなかった

    対応手順

    1. SQL*Plus などからログインを試みる

    期限切れの場合、通常のユーザではログインできません。
    DBA 権限を持つユーザ(例: sys as sysdba)でログインする必要があります。

    2. パスワードをリセットする

    対象ユーザのパスワードを変更します。


    例:

    これでユーザは再びログインできるようになります。

    3. パスワード有効期限を確認する

    どのプロファイルが割り当てられているかを確認します。

    次に、そのプロファイルの設定を確認します。


    4. パスワード期限を延長・無効化する(必要に応じて)

    運用上パスワード期限を無期限にしたい場合は、以下のように設定します。


    特定のユーザ専用プロファイルを作成し、そのみに適用する運用もおすすめです。

    注意点

    • セキュリティポリシー上、期限を無期限にするのは推奨されない場合があります。

    • 運用規定に従い、定期的に強度の高いパスワードへ更新しましょう。

    • 本番環境では、DBA以外のアカウントで誤って変更しないよう注意が必要です。

    まとめ

    「ORA-28001: パスワードの有効期限が切れています」は、パスワードの期限切れによるエラーです。

    • DBA権限でログイン

    • パスワード変更

    • プロファイル確認と調整

    この流れで対応すれば、迅速に復旧できます。運用に合わせてパスワード有効期限の設定を見直すことも重要です。

     関連記事

  • Oracle:ユーザー作成時に「ORA-65096」エラーが出た場合の原因と対応方法
  • Oracle:接続時に「ORA-01109:データベースがオープンされていません。」エラーが出た場合の原因と対応方法
  • Oracle:ORA-12514エラーの原因と対処法をわかりやすく解説!
  • Oracle「ORA-01017:ユーザー名/パスワードが無効です。ログオンは拒否されました。ユーザー名を入力してください。」が出た場合の原因と対応方法
  • Oracle DBでORA-12170「接続タイムアウト」が出る場合の調査方法
    • Oracle, データベース, トラブル対応, ブログ

    Oracle「ORA-01017:ユーザー名/パスワードが無効です。ログオンは拒否されました。ユーザー名を入力してください。」が出た場合の原因と対応方法

    コメントする

    Oracle Databaseを利用していると、多くの人が一度は遭遇するエラーが 「ORA-01017: invalid username/password; logon denied」 です。
    SQL*PlusやSQL Developerでのログイン、あるいはアプリケーションの起動時に表示され、作業がストップしてしまう厄介なエラーです。

    本記事では、このエラーの 原因と解決方法を体系的に整理 し、実際の現場で役立つ対応手順を紹介します。

    ORA-01017エラーとは?

    このエラーは、Oracleが「入力されたユーザー名またはパスワードが正しくないため、ログオンを拒否した」と判断した際に表示されます。

    主に以下のようなシーンで発生します。

    • SQL*Plus で手動ログインするとき

    • SQL Developer などのGUIツールから接続するとき

    • Java/JDBCやPHP などのアプリケーションがDB接続を試みるとき

    • バッチ処理シェルスクリプト による自動接続

    単純にパスワードを打ち間違えただけでも発生しますが、実際の現場ではもっと複雑な原因が潜んでいることもあります。

    ORA-01017が発生する主な原因

    1. ユーザー名やパスワードの誤り

    • スペルミス(大文字・小文字の違いも区別される)

    • コピペ時の不可視文字(空白や改行が含まれている)

    • ユーザー作成時に "USERNAME" のように ダブルクォーテーション付き で作成しており、大文字小文字が厳密に一致していない

    2. アカウントがロックされている/パスワード期限切れ

    Oracleではセキュリティのため、一定回数の失敗でアカウントがロックされたり、パスワードに有効期限が設定されている場合があります。

    3. 認証方式の違い

    • Oracle 12c以降では、古い認証方式(DESなど)が無効化されている

    • 古いクライアント/JDBCドライバで接続すると認証エラーになる

    4. 接続先の設定ミス

    • tnsnames.ora の設定が間違っている

    • service_nameSID が異なる環境を参照している

    • テスト環境と本番環境を取り違えている

    5. 外部認証の影響

    • OS認証(/ as sysdba)を利用しているが権限が不足している

    • パスワードファイル(orapwd)が正しく作成されていない

    ORA-01017エラーの解決方法

    1. ユーザー名・パスワードを正確に確認する

    まずは基本中の基本。

    • コピー&ペーストではなく手入力 で試す

    • 大文字小文字を区別することを意識する

    • ユーザー作成時に "USERNAME" のように指定していないか確認

    2. アカウントの状態を確認する

    管理者ユーザーで以下を実行します。

    SELECT username, account_status, expiry_date
FROM dba_users
WHERE username = '対象ユーザー';

    • LOCKEDALTER USER ユーザー名 ACCOUNT UNLOCK;

    • EXPIREDALTER USER ユーザー名 IDENTIFIED BY 新パスワード;

    3. 認証方式を見直す

    ユーザーごとのパスワードバージョンを確認:

    SELECT username, password_versions FROM dba_users;

    • 10G のみ → 古い方式。新しいクライアントで接続不可の可能性あり

    • 11G12C が含まれているか確認

    • JDBCドライバやOCIクライアントを 最新化 する

    4. 接続文字列を確認する

    誤接続が多いポイントです。

    sqlplus user/password@//hostname:1521/service_name

    • hostnameservice_name が正しいか

    • ローカルの tnsnames.ora が古い情報を持っていないか

    5. 外部認証を確認する

    • OSユーザーに必要な権限があるか

    • SYSDBA接続が可能な状態か

    • パスワードファイルが壊れていれば orapwd コマンドで再作成

    現場でのチェックリスト

    1. 入力の大文字・小文字を再確認する

    2. コピペではなく手入力で試す

    3. DBA_USERS を確認してアカウント状態を把握

    4. クライアントやJDBCドライバを最新化

    5. 接続先(サービス名/ホスト名)が正しいか見直す

    6. OS認証やパスワードファイルに問題がないか確認

    まとめ

    「ORA-01017」は、単純に「パスワード間違い」と片付けがちですが、実際には アカウントロック、認証方式、接続先設定の誤り など複数の要因が絡むことがあります。

    対処の基本ステップは以下の通りです。

    • 入力の確認 → アカウント状態の確認 → 認証方式・接続設定の見直し

    これを押さえておけば、大半のケースで迅速に問題を解決できます。

     関連記事

  • Oracleユーザー作成時にORA-00959エラー発生!指定された表領域が存在しない場合の対処法
  • Oracle DBでORA-12170「接続タイムアウト」が出る場合の調査方法
  • Oracle「ORA-28001: パスワードの有効期限が切れています」対応手順
  • Oracle「ORA-01652: 一時セグメントを拡張できません」対処手順
  • 🧩 Oracle「ORA-01000: 最大オープン・カーソル数を超えました」対処手順
    • Oracle, データベース, ブログ

    Oracle:管理者ユーザー「SYS」と「SYSTEM」のデフォルトパスワード

    コメントする

    Oracle 初期パスワードとは?

    Oracle 初期パスワードを確認したい/変更したい場合、多くのバージョンで仕様が異なるため注意が必要です。この記事では Oracle の初期アカウント(SYS・SYSTEM)について、パスワードの扱いと安全な運用方法を解説します。

    SYSユーザーのデフォルトパスワード:change_on_install

    • sysユーザーでのログイン例です。

    SYSTEMユーザーのデフォルトパスワード:manager

    • systemユーザーのログイン例です。

    Oracle:管理者ユーザー「SYS」と「SYSTEM」のデフォルトパスワード

    ユーザー初期パスワード例備考
    SYSchange_on_installデータディクショナリを管理する最上位アカウント
    SYSTEMmanager一般的な管理作業に使用可能な補助アカウント

    セキュリティ上の注意点

    変更必須

    デフォルトのままでは外部からの攻撃に悪用されやすいため、必ずパスワード変更を行うこと。

    ALTER USER sys IDENTIFIED BY "新しい強固なパスワード";
ALTER USER system IDENTIFIED BY "新しい強固なパスワード";

    最近の Oracle バージョンでの違い

    • 11g 以降:インストール時にユーザーが必ずパスワードを指定。

    • 12c 以降:パスワードポリシーが強化され、英数字・記号混在の複雑なものを要求。

    • 19c/21c:初期アカウントはロック状態になっている場合も多い。

    補足:運用時の留意点と実践アドバイス

    本稿でご紹介したように、デフォルトユーザー「SYS」「SYSTEM」の初期パスワードが設定されたまま運用を開始することは、非常に高いセキュリティリスクを伴います。特にネットワークに接続された環境やクラウド/仮想化されたデータベースでは、外部からの侵入・横展開の入口になり得ます。

    そこで、実運用にあたっては以下の点もあわせてご検討ください:

    1. パスワード変更/ロックダウンの徹底
      ・前述の SQL コマンド(ALTER USER … IDENTIFIED BY …)で直ちに適用するだけでなく、変更したパスワードは社内ポリシーに基づき「使い捨て・非共有」設計としてください。
      ・可能であれば、管理者ユーザーを使用せずに特権を限定した別ユーザーを作成し、SYS/SYSTEM アカウントは緊急対応用にのみ残すと良いでしょう。

    2. アクセス制御・監査ログの有効化
      ・データベースに対するアクセスを IP・ネットワーク・時間帯別に制限することで、万一パスワードが流出しても被害を抑制できます。
      ・また、誰がいつどのユーザーでログイン/DDL/DMLを実行したかを追えるように監査ログを有効化することも推奨されます。

    3. バージョン・ポリシーの理解
      ・本記事でも触れられている通り、Oracle Database のバージョンによって初期アカウントの仕様(パスワード必須・アカウントロック等)が異なります。例えば 11g 以降、12c/19c ではより強固なパスワードポリシーと自動ロック機能が導入されています。 Write Remember
      ・そのため、運用している環境のバージョンを把握し、初期設定のまま稼働していないか定期的に確認することが重要です。

    4. 定期的なレビューと脆弱性対策
      ・初期アカウントだけでなく、標準サンプルスキーマやテスト用ユーザーも残していないかチェックしてください。攻撃者は「資料通りに」残された穴を狙う傾向があります。
      ・さらに、データベース自体だけでなく OS/ミドルウェア/接続前段のネットワーク構成も含めた総合的なセキュリティレビューを年1〜2回実施することを推奨します。

    5. 万一のインシデント対応準備
      ・万が一、アカウントの不正使用やパスワード流出が疑われた場合の初動手順をあらかじめ策定しておくと、被害の拡大を防ぐことができます。
      ・例えば、アカウントの即時ロック/パスワード強制リセット/ログの取得・分析/改ざんの有無確認などを、運用マニュアルに定義しておくと安心です。

    最後に、本稿の内容をただ「変更・実施すれば終わり」とせず、定期的な「運用の振り返り」と「改善サイクル」の一部として組み込むことが、真に安全なデータベース運用の鍵になります。ぜひ、日常運用の中で今回の注意点を意識し、安心・安全な環境構築に役立ててください。

     関連記事

  • SQL:WHERE句内で「(+)」を指定する意味
  • Oracle:ユーザー作成時に「ORA-65096」エラーが出た場合の原因と対応方法
  • Oracle:接続時に「ORA-01109:データベースがオープンされていません。」エラーが出た場合の原因と対応方法
  • Oracle:DESCRIBEコマンドでテーブル(表)構造を確認する方法
  • SQL:システム日付と誕生日を元に年齢、誕生日までの月数、日数を表示する方法