DOAG 2010 Kerberos für die Datenbank. Dr. Günter Unbescheid Database Consult GmbH Jachenau

Transkript

1 DOAG 2010 Kerberos für die Datenbank Dr. Günter Unbescheid Database Consult GmbH Jachenau

2 Database Consult GmbH Gegründet 1996 Kompetenzen im Umfeld von ORACLE-basierten Systemen Tätigkeitsbereiche Tuning, Installation, Konfiguration Security, Identity Management Expertisen/Gutachten Support, Troubleshooting, DBA-Aufgaben Datenmodellierung und design Datenbankdesign, Systemanalysen Programmierung: SQL,PL/SQL,Java, JSP, ADF, BC4J Workshops Folie 2 von 36

3 Agenda Einführung Kerberos Konfiguration Kerberos Datenbank Kerberos - Datenbank LDAP-Dienst Ausblick: Erweiterte Möglichkeiten der LDAP Einbindung Folie 3 von 36

4 Einführung Kerberos Folie 4 von 36 4

5 Kerberos -- Anmeldung als sqlplus SQL> show user USER is -- Alternativ: Anmeldung als sqlplus SQL> show user USER is "SHAREUSER" SELECT global_name, user, sys_context('userenv','external_name') external_user FROM global_name; GLOBAL_NAME USER EXTERNAL_USER TARGETDB.DBC.DE SHAREUSER cn=guenter,cn=users,dc=dbc,dc=de Folie 5 von 36

6 Kerberos Verteilter Autentifizierungsdienst SSO Prinzip Basis symmetrische Kryptografie Kerberos 5 Netzwerkdienst als trusted third party Von Microsoft genutzt als Standardprotokoll für die Authentifizierung Ideale Benutzerbasis in Windowsnetzwerken Tools zur Nutzung unter Unix & CO. Anmeldung als /@zieldb Verbunden mit gleichnamigem "externen" DB-User Folie 6 von 36

7 Kerberos Ablauf Resource Benutzer > Authentication Request > Anforderung Service Ticket (Ressource,TGT,Authent.) < Ticket mit Auth. an Service > Service bestätigt Weitere Kommunikation KDC Ticket Granting Server (TGS) Authentication Server (AS) > *AS < Response mit TGT, Sitzungsschlüssel > *TGS < Ticket, Sitzungsschlüssel verschlüsselt oder nicht Tickets sind immer nur vom Target lesbar Folie 7 von 36

8 Kerberos okinit testuser sqlplus Oracle-User: (entsprechend Principal Name) Folie 8 von 36

9 Kerberos (Unix Umfeld) okinit testuser Kerberos Utilities for Solaris: Version Production on 03-MAY :57:49 Copyright (c) 1996, 2004 Oracle. All rights reserved. Password for oklist Kerberos Utilities for Solaris: Version Production on 03-MAY :59:46 Copyright (c) 1996, 2004 Oracle. All rights reserved. Ticket cache: /opt/oracle/1020client/network/krb5/krbcache Default principal: Valid Starting Expires Principal 03-May :58:04 04-May :57:49 sqlplus Folie 9 von 36

10 Kerberos Konfiguration Folie 10 von 36 10

11 Kerberos-Konfiguration (kurz) Lizenz: Advanced Security Option Anlegen Principal User, anhängen Service Principal Name (AD) Konfigurationsdateien sqlnet.ora und krb5.conf (Client/Server) unter Windows: krb5.ini Keyfile auf den/die DB-Server kopieren enthält Credentials Datenbank-User mit entsprechendem Principal Name ktpass -princ -mapuser testserver01 -pass password123 DesOnly -crypto des-cbc-crc -ptype KRB5_NT_PRINCIPAL kvno 1 out C:\Users\keytab.testserver CREATE USER "TESTUSER@DBC.DE" IDENTIFIED EXTERNALLY; Folie 11 von 36

12 Konfiguration Lizenz: Advanced Security Option Extra der Enterprise Edition Client Type Administrotor/Custom JDBC [thick, thin (>= 11gR1)] Unix: Kommando adapters Network Manager (netmgr) unter Profil der Bereich Oracle Advanced Security opatch lsinventory detail oh <oracle home>... Oracle Advanced Security ########### a d a p t e r s ######### Installed Oracle Net transport protocols are:... Installed Oracle Net naming methods are: Installed Oracle Advanced Security options are: Folie 12 von 36

13 Konfiguration Kerberos Principal <Name> für die Zuordnung des symmetrischen Schlüssels Format: <hostname> als "user account", use DES encryption aktivieren Service Principal Name ## AD Konsole [General tab] First name: testserver01 Display name: testserver01 Password: <beliebiges Kennwort> [Account tab:] User logon name: User logon name (pre-windows 2000): DBC\testserver01 ########################################## ktpass -princ -mapuser testserver01 -pass password123 -DesOnly -crypto des-cbc-crc -ptype KRB5_NT_PRINCIPAL kvno 1 out C:\Users\keytab.testserver01 Folie 13 von 36

14 Konfiguration -- Kontrolle setspn -L testserver01 Registered ServicePrincipalNames for CN=testserver01,CN=Users,DC=dbc,DC=de: oracle/testserver01 ### Kopieren auf den betreffenden DB-Server ### Kontrolle oklist -k t /<pfad>/<keyfile> Kerberos Utilities for Solaris: Version Production on 30-APR :42:37 Copyright (c) 1996, 2004 Oracle. All rights reserved. Service Key Table: /u01/app/oracle/product/1020/network/krb5/keytab.testserver01 Ver Timestamp Principal 1 01-Jan :00:00 oracle/testserver01@dbc.de Folie 14 von 36

15 Konfiguration CLIENTSEITE sqlnet.ora (Windows System) NAMES.DIRECTORY_PATH= (TNSNAMES) SQLNET.AUTHENTICATION_SERVICES = (kerberos5) # Erreichbarkeit KDC SQLNET.KERBEROS5_CONF = c:\windows\krb5.ini # Credential Cache (TPT usw.) SQLNET.KERBEROS5_CC_NAME = OSMSFT:// # SQLNET.KERBEROS5_CC_NAME = /opt/oracle/1020client/network/krb5/krbcache SQLNET.KERBEROS5_CONF_MIT = true SQLNET.AUTHENTICATION_KERBEROS5_SERVICE = oracle SERVERSEITE sqlnet.ora NAMES.DIRECTORY_PATH= (TNSNAMES) SQLNET.AUTHENTICATION_SERVICES = (kerberos5) SQLNET.KERBEROS5_CONF = /u01/oracle/1020client/network/krb5/krb5.conf SQLNET.KERBEROS5_CC_NAME = /opt/oracle/1020client/network/krb5/krbcache SQLNET.KERBEROS5_CONF_MIT = true SQLNET.AUTHENTICATION_KERBEROS5_SERVICE = oracle SQLNET.KERBEROS5_KEYTAB = /u01/oracle/product/krb5/keytab.testserver01 Folie 15 von 36

16 Konfiguration Serviceticket-Anforderung über Host-Klausel des tnsnames-eintrages hostname auf Zielserver ergänzt durch Eigeneintrag von /etc/hosts ergänzt durch Kerberos5 Servicename SERVERSEITE sqlnet.ora (krb5.ini/krb5.conf) mit Zeitversatz [libdefaults] default_realm = DBC.DE clockskew = 3000 [realms] DBC.DE = { kdc = adnet.dbc.de } [domain_realm].dbc.de = DBC.DE dbc.de = DBC.DE ##### /etc/hosts <dbserver IP> testserver01.dbc.de testserver01 Folie 16 von 36

17 Konfiguration ########## AD Enduser ####################### Username/DN CN=testuser,CN=Users,DC=dbc,DC=de Logon Name msds-principalname DBC\testuser userprincipalname ########## DB ######################## CREATE USER IDENTIFIED EXTERNALLY; GRANT connect, resource TO ########## Client-Seite ############### okinit testuser Kerberos Utilities for Solaris: Version Production on 03-MAY :57:49 Copyright (c) 1996, 2004 Oracle. All rights reserved. Password for testuser@dbc.de: Folie 17 von 36

18 Konfiguration # Server: Tracing Logging nur im Bedarfsfall TRACE_LEVEL_SERVER = SUPPORT TRACE_FILE_SERVER = NETserver.ora TRACE_DIRECTORY_SERVER = /u01/app/oracle/product/1020/network/network/trace TRACE_TIMESTAMP_SERVER = TRUE # Client: Tracing Logging nur im Bedarfsfall TRACE_LEVEL_CLIENT=16 TRACE_DIRECTORY_CLIENT=/u01/oracle/1020client/network/network/trace TRACE_UNIQUE_CLIENT=on TRACE_FILE_CLIENT=kerb_client # Okinit: Tracing TRACE_LEVEL_OKINIT=16 TRACE_DIRECTORY_OKINIT=/u01/oracle/1020client/network/network/trace TRACE_FILE_OKINIT=kerb_okinit Folie 18 von 36

19 Kerberos Kerberos authentifiziert. Authorisierung erfolgt separat. Weitere Konfigurationsmöglichkeiten: Kombination mit Enterprise Usern: Kerberos User mapped auf shared schema Umleitung auf proxy user Tool/API Unterstützung, u.a. SQL Developer (über OCI/thick driver) JDBC thin und thick Folie 19 von 36

20 Kerberos - Datenbank LDAP-Dienst Folie 20 von 36 20

21 Authentifizierungsvarianten Folie 21 von 36

22 Komponenten Produkte/Lizenzen DB: Enterprise Edition DB: ASO für Authenfitizierungen ausser Password OID/OVD Bestandteil von Identity Management von OFM (11g) Verzeichnisdienst Oracle Internet Directory (OID) + Repository Active Directory (AD) alternativ/zusätzlich ggf. Oracle Virtual Directory als Frontend zur Integration Weblogic Server Admin Oberflächen OID/OVD Folie 22 von 36

23 Enterprise User/Roles LDAP-Verzeichnisdienst Benutzer (enterprise user), Rollen (enterprise roles) registrierte Datenbanken, Mappings Authentifizierung über PW, Zertifikat, Kerberos Datenbank(en) Globale Benutzer, Globale Rollen Verbindung zum Verzeichnisdienst (ldap.ora) Motivation Zentralisierung der Benutzerverwaltung Reduktion der lokalen DB-Administration Folie 23 von 36

24 Enterprise Benutzer Folie 24 von 36

25 EUS Modell 1 OID für Benutzer und Metadaten Authentifizierung per Kerberos Ticket über die Datenbank Mapping auf Principal Name eines Enterprise Users Zuordnung auf shared schema + Global Role der Ziel-Datenbank Folie 25 von 36

26 Procedere RDBMS-Software lt. Zertifizierungsmatrix installieren Repository Datenbank anlegen UTF8 Zeichens. Weblogic Software installieren (java jar) OFM IDM Software installieren (OUI) Patch Sets für WLS + IDM Konfiguration von WLS/IDM WLS Domäne mit Admin Server + Managed Server ldap.ora, Registrierung DBs, Shared Schemas, Roles Enterprise User + Roles einrichten Global Users und Roles in den Zielsystemen Folie 26 von 36

27 Procedere Verbindung Datenbank OID/LDAP über ldap.ora Erstellen manuell oder per Net Configuration Assistant Auswahl von DIRECTORY USAGE CONFIGURATION Admin Kontext verweist auf Metadaten -- ldap.ora DIRECTORY_SERVERS= (oidserver:6051:6055) DEFAULT_ADMIN_CONTEXT = "dc=dbc,dc=de" DIRECTORY_SERVER_TYPE = OID Folie 27 von 36

28 Procedere Registrierung der Datenbank über Database Configuration Assistant (dbca) silent Mode mit Response Datei ist möglich Dadurch: Eintrag im OID unter Admin Kontext, Wallet-Aufbau Einrichten/prüfen init.ora -- Response-Datei (Ausschnitt) -- Aufruf: dbca -silent -responsefile dbcaldap.rsp PERATION_TYPE = "configuredatabase" [CONFIGUREDATABASE] SOURCEDB = "orcl" REGISTERWITHDIRSERVICE= TRUE DIRSERVICEUSERNAME= "name" DIRSERVICEPASSWORD= "password" WALLETPASSWORD= "password" DIRECTORY_SERVERS= (oidserver:6051:6055) DEFAULT_ADMIN_CONTEXT = "dc=dbc,dc=de" DIRECTORY_SERVER_TYPE = OID Folie 28 von 36

29 Procedere -- Prüfung des Wallet in $ORACLE_HOME/admin/<SID>/wallet mkstore -wrl. -viewentry ORACLE.SECURITY.DN mkstore -wrl. -viewentry ORACLE.SECURITY.PASSWORD -- init.ora ldap_directory_access = PASSWORD rdbms_server_dn = 'cn=t1,cn=oraclecontext,dc=dbc,dc=de -- Verbindungskontrolle zum Verzeichnisdienst mit PW aus dem Wallet ldapbind -h <ldaphost> -p <non-ssl-port> \ -D "cn=t1,cn=oraclecontext,dc=fra,dc=bb,dc=de" -w "DB pwd" ldapbind -h <ldaphost> -p <non-ssl-port> \ -W "file:/opt/oracle/1020/admin/t1/wallet" -P "wallet pwd" -- Datenbank CREATE USER jedermann PROFILE "DEFAULT" IDENTIFIED GLOBALLY AS ''; GRANT CREATE SESSION TO jedermann; CREATE ROLE r_global1 IDENTIFIED GLOBALLY; GRANT <provilege> TO r_global1; -- kein grant an User möglich Folie 29 von 36

30 Enterprise User Werkzeuge: EM Database Control und Grid Control eusm Command line Tool (ab 11g [ID ] ) Enterprise Security Manager (esm) (grafisch 10g) Folie 30 von 36

31 Enterprise Roles Folie 31 von 36

32 Erweiterte Möglichkeiten Folie 32 von 36 32

33 Architekturvarianten Problematik User-Daten Redundanz vermeiden Userstamm in AD ggf. weitere Sourcen: Verzeichnisse, Tabellen etc. Lösungsvarianten OID Directory Integration Plattform (kopieren) OID Server Chaining (verlinken) OVD integriert/verlinkt diverse Verzeichnisse/DBs Trennung von Metadaten und Userdaten Schemaerweiterung für EUS notwendig Password-Problematik ggf. Passwordfilter (für AD) Folie 33 von 36

34 OVD Nutzung Folie 34 von 36

35 (Hoch)Verfügbarkeit Folie 35 von 36

36 Danke für s Zuhören Folie 36 von 36