Oracle Authentifizierung über Active Directory

Transkript

2 Gesunde finanzielle Basis Marktführung Jahresumsatz 695 Millionen US-Dollar an Umsatz in Millionen US-Dollar Barguthaben (Stand Q4 2009) Betriebsgewinn von mehr als 22% in 2009 mehr als Kunden weltweit (darunter 87 Prozent der Fortune 500) 2

3 Smart Systems Management 3

4 Windows Management Vereinfachen, Automatisieren, Sichern und Erweitern von Windows-Infrastrukturen 4

5 Application Management Komplexe Umgebungen Bereitstellen, Verwalten und Kontrollieren Java.NET Schlüssel-Lösung: Foglight SAP SharePoint Custom Tools Oracle Fusion (Oracle E-Business, PeopleSoft, Siebel) End-to-End-Monitoring der gesamten Umgebung 5

6 Datenbank Management Die Produktivität von DBAs und Entwicklern verbessern, die Datenbank-Performance erhöhen 6

7 Virtualization Management Fortlaufende Verwaltungs-Aufgaben vereinfachen und IT-Kosten für die gesamte virtuelle Umgebung reduzieren vom Desktop über den Server bis hin zum Storage. 7

8 Übersicht OS Level User Management Datenbank Level User Management Kerberos SSO mit ASO und AD 8

10 OS Level User Management Ausgangssituation Resultierende Sicherheitslücken Lösung: Active Directory -Integration mit Quest Authentication Services Live Demo 10

11 OS Level User Management Ausgangssituation i Standard Konten und Gruppen ( oracle, oinstall, dba,...) User sind lokal im System angelegt Oracle Passwort bekannt Login direkt über ORACLE oder Personalisiert und SU - ORACLE Login: oracle/password DBA 11

12 OS Level User Management Ausgangssituation i Standard Konten und Gruppen ( oracle, oinstall, dba,...) User sind lokal im System angelegt. Oracle Passwort bekannt Login direkt über ORACLE oder Personalisiert und SU - ORACLE Login: oracle/password User 1-n 12

13 OS Level User Management Herausforderungen User Management im Unix (Anlegen, Löschen, Sperren) Passwort Management für das Oracle Konto Personalisierter Zugriff auf Unix Systeme Trennung des Systemzugriffs nach Test, Entwicklung und Produktion Allgemeine Anforderungen Vorhandene Infrastruktur nutzen Vorhandene Prozesse nutzen 13

14 OS Level User Management Lösungsvorschlag Das Microsoft Active Directory als Benutzerverzeichnis für Unix einsetzen. Einführen einer einheitlichen Authentifizierung Systemzugriffe über Active Directory Gruppen steuern Verwalten der Oracle Accounts und dgruppen im AD Eindeutiger Login für Windows und Active Directory Verwenden von Gruppenrichtlinien zur Systemkonfiguration Einführung von SUDO zur Zugriffssteuerung Verwenden von Active Directory Gruppen zur Rechteverwaltung 14

15 OS Level User Management Quest Authentication i Services Native Unix Integration in das Active Directory für User, Gruppen und Computer Verwendung der Microsoft R2 Schemas (RFC2307 Standard) Sichere Anmeldung über Kerberos Vollständiger NIS Ersatz Bereitstellen von Unix Spezifischen Gruppenrichtlinien Umfangreicher Plattform Support Linux (RedHat, Suse, Debian), Solaris, AIX, HP-UX, True64, Apple,... 15

16 OS Level User Management Quest Authentication i Services Native AD Integration Computer Konto im AD 16

17 OS Level User Management Quest Authentication i Services Native AD Integration Computer Konto im AD Migration der Unix Konten 17

18 OS Level User Management Quest Authentication i Services Native AD Integration Computer Konto im AD Migration der Unix Konten Systemeinstellungen per Gruppenrichtlinien 18

19 OS Level User Management Quest Authentication i Services Native AD Integration Computer Konto im AD Migration der Unix Konten Systemeinstellungen per Gruppenrichtlinien User Authentisierung über AD Kerberos User und Gruppen werden über LDAP gelesen und in einem Cache gehalten. 19

20 OS Level User Management Anwendung: Benutzer meldet sich mit AD Account am Windows an Über SSH kann sich der Benutzer mit seinem AD Account am Unix anmelden Über SUDO können Administrations-Aufgaben wahrgenommen werden 20

23 Datenbank Level User Management Ausgangssituation i User Management über ein IDM System Passwort Synchronisation mit dem Active Directory Beispiel Quest Active Role Server 23

24 Datenbank Level User Management Ausgangssituation Oracle Standard Edition Datenbank User in der Datenbank angelegt SQL> SELECT * FROM dba_users; Passwort in der Datenbank SQL> CREATE USER myuser IDENTIFIED BY mypass; Zusätzlicher Benutzer im Active Directory 24

25 Datenbank Level User Management Herausforderung User Management im Oracle ( anlegen, ändern, löschen) Passwort Management für Oracle Konten (DBA s, Entwickler, Power User,...) Verwendung einheitlicher Benutzernamen Allgemeine Anforderungen Vorhandene Infrastruktur nutzen Vorhandene Prozesse nutzen Nachvollziehbarkeit beim Datenbank Management (Compliance) 25

26 Datenbank Level User Management Lösungsvorschlag User Management über ein Identity Management (IDM) System z.b. Quest Active Role Server Passwort Synchronisation mit dem Active Directory z.b. Quest Quick Connect 26

27 Datenbank Level User Management Active Role Server als IDM User Management im AD über Web Schnittstellen Verwendung von Regeln zum Erstellen, Ändern und Löschen von Benutzern Verwalten ate von Rollen für Benutzer und Gruppen Aufbau von Workflows Delegation von Rechten im AD 27

28 Datenbank Level User Management Quest Quick Connect zur Synchronisation Synchronisation von AD Benutzern mit anderen Systemen Synchronisation von AD Passworten mit anderen Systemen e Anwendung von Regeln während der Synchronisation 28

31 Kerberos SSO mit ASO und AD Kerberos Ausgangssituation Konfiguration SSO Einsatzmöglichkeiten 31

32 Kerberos SSO mit ASO und AD *) Kerberos Übersicht 1. Erstellen eines Service 2. Berechtigungen auf den Host des Service exportieren 3. Speichern der Berechtigungen (Kerberos Schlüssel) in einer keytab Datei *) SSO = Single Sign On ASO = Oracle Advanced Security Option 32

33 Kerberos SSO mit ASO und AD Kerberos Übersicht 1. Anmeldung am PC mit Username und Passwort 2. Anmeldung über den Key Distribution Center (KDC) überprüfen 3. Der KDC sucht den User und überprüft ü die Berechtigung ec g 4. Ein Kerberos Ticket Granting Ticket (TGT) wird erstellt 5. Der PC speichert das TGT für weitere Authentifizierungen 33

34 Kerberos SSO mit ASO und AD Kerberos Übersicht 1. Verbindung zu einem Service aufbauen 2. Anmeldung erfordert Kerberos 3. Ticket Request erstellen 4. DC sucht Service und 5. Erstellt ein Ticket 6. Ticket wird lokal gespeichert 7. Anmelden am Service 8. Überprüfung der Anmeldung 34

35 Kerberos SSO mit ASO und AD Ausgangsituation Oracle Enterprise Datenbank mit Advanced Security Option (ASO) User in der Datenbank angelegt SQL> SELECT * FROM dba_users; Passwort in der Datenbank SQL> CREATE USER myuser IDENTIFIED EXTERNALLY; Zusätzlich werden Benutzer im Active Directory verwaltet 35

36 Kerberos SSO mit ASO und AD Herausforderung User Management im Oracle ( anlegen, ändern, löschen) Passwort Management für Oracle Konten (DBA s, Entwickler, Power User,...) Verwendung einheitlicher Benutzernamen Einführen von SSO und Datenverschlüsselung im Netzwerk Allgemeine Anforderungen Vorhandene Infrastruktur nutzen Vorhandene Prozesse nutzen Nachvollziehbarkeit beim Datenbank Management (Compliance) 36

37 Kerberos SSO mit ASO und AD Lösungsvorschlag User Management über das ein Identity Management (IDM) System z.b. Quest Active Role Server Passwörter durch die Kerberos Funktionen von ASO ersetzen Verwenden der Active Directory Anmeldung auf Oracle Datenbanken Passwort Management in das Active Directory verlagern SSO für alle gängigen Client Anwendungen ( Toad, Excel, SQL*Plus,...) 37

38 Kerberos SSO mit ASO und AD Konfiguration Einbinden des Unix Systems mit Quest Authentication Services in das Active Directory Erstellen eines Service Accounts für Oracle # vastool -u Administrator join \ -c OU=Computers,OU=Unix,OU=Equipment,DC=ch,dc=quest,dc=lab \ ch.quest.lab # vastool -u Administrator i service create \ -c OU=Computers,OU=Unix,OU=Equipment,DC=ch,dc=quest,dc=lab \ oracle/ # /opt/quest/bin/vastool -u Administrator setattrs -s oracle/ \ useraccountcontrol

39 Kerberos SSO mit ASO und AD Konfiguration Anpassen der Unix Konfigurationsdateien /etc/krb5.conf, /etc/krb.realmsrealms # ln s /etc/opt/quest/vas/vas.conf /etc/krb5.conf # vastool u host/ info toconf /etc/krb5.conf # vi rkb.realms.quest.lab.ch.quest.lab.de.quest.lab CH.QUEST.LAB CH.QUEST.LAB DE.QUEST.LAB :wq # 39

40 Kerberos SSO mit ASO und AD Konfiguration Anpassen der $ORACLE_HOME/network/admin/sqlnet.ora Datei # vi sqlnet.ora # COMMON PARAMETERS NAMES.DIRECTORY_PATH= (TNSNAMES, EZCONNECT) SQLNET.AUTHENTICATION_KERBEROS5_SERVICE SERVICE = oracle SQLNET.AUTHENTICATION_SERVICES = (BEQ, KERBEROS5) SQLNET.KERBEROS5_CONF = /etc/krb5.conf SQLNET.KERBEROS5_CONF_MIT = TRUE SQLNET.CRYPTO_SEED = heylookatmyrandomtext SQLNET.KERBEROS5_REALMS = /etc/krb.realms # SERVER PARAMETERS SQLNET.ENCRYPTION_TYPES_SERVER = (DES) SQLNET.CRYPTO_ CHECKSUM_ TYPES_ SERVER = (MD5) SQLNET.KERBEROS5_KEYTAB = /etc/opt/quest/vas/oracle.keytab # CLIENT PARAMETERS SQLNET.ENCRYPTION_TYPES_CLIENT = (DES) SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT CHECKSUM TYPES CLIENT = (MD5) 40

41 Kerberos SSO mit ASO und AD Konfiguration Anpassen der Client Konfiguration Kopieren der /etc/krb* Dateien nach c:\windows\ system32\ drivers\etc Erstellen einer $ORACLE_HOME\ network\admin\ sqlnet.ora Datei 41

43 Zusammenfassung Quest Authentication Services Integration von Unix Systemen in das AD Zentrales Management von Unix Benutzerkonten t und Gruppen Basis für AD gestütztes Oracle SSO Quest Active Role Server AD Management für Regeln, Rechte und Workflows Werkzeug zur Provisionierung von Benutzern und Gruppen Quest Quick Connect Synchronisation von Usern und Gruppen zu nicht Microsoft Systemen Synchronisation von Kennwörtern 43

44 Fragen & Antworten 44