Enterprise User Security mit Active Directory



Ähnliche Dokumente
LDAP Konfiguration nach einem Update auf Version 6.3 Version 1.2 Stand: 23. Januar 2012 Copyright MATESO GmbH

Lehrer: Einschreibemethoden

Konfiguration von Igel ThinClients fu r den Zugriff via Netscaler Gateway auf eine Storefront/ XenDesktop 7 Umgebung

Synchronisations- Assistent

ID VisitControl. Dokumentation Administration Equitania Software GmbH cmc Gruppe Seite 1

Outlook. sysplus.ch outlook - mail-grundlagen Seite 1/8. Mail-Grundlagen. Posteingang

Externe Authentifizierung. Externe Authentifizierung IACBOX.COM. Version Deutsch

Er musste so eingerichtet werden, dass das D-Laufwerk auf das E-Laufwerk gespiegelt

Anleitung über den Umgang mit Schildern

Windows Server 2012 RC2 konfigurieren

Windows Vista Security

teamsync Kurzanleitung

WinVetpro im Betriebsmodus Laptop

DIRECTINFO 5.7 SICHERHEITSKONZEPTE FÜR BENUTZER, INFORMATIONEN UND FUNKTIONEN

Anleitung Redmine. Inhalt. Seite 1 von 11. Anleitung Redmine

Rechenzentrum der Ruhr-Universität Bochum. Integration von egroupware an der RUB in Outlook 2010 mit Funambol

MSXFORUM - Exchange Server 2003 > SMTP Konfiguration von Exchange 2003

Matrix42. Use Case - Sicherung und Rücksicherung persönlicher Einstellungen über Personal Backup. Version September

Bkvadmin2000 Peter Kirischitz

Benachrichtigungsmöglichkeiten in SMC 2.6

IMAP Backup. Das Programm zum Sichern, Synchronisieren, Rücksichern und ansehen von gesicherten Mails. Hersteller: malu-soft

Kaiser edv-konzept, Inhaltsverzeichnis

Konfiguration VLAN's. Konfiguration VLAN's IACBOX.COM. Version Deutsch

Windows 2000 mit Arktur als primärem Domänencontroller (PDC)

Stammdatenanlage über den Einrichtungsassistenten

Elexis-BlueEvidence-Connector

Übung - Konfigurieren einer Windows 7-Firewall

Mobilgeräteverwaltung

Daten-Synchronisation zwischen dem ZDV-Webmailer und Outlook ( ) Zentrum für Datenverarbeitung der Universität Tübingen

GEVITAS Farben-Reaktionstest

3 Installation von Exchange

GITS Steckbriefe Tutorial

Speicher in der Cloud

iphone- und ipad-praxis: Kalender optimal synchronisieren

Ist Excel das richtige Tool für FMEA? Steve Murphy, Marc Schaeffers

CAS genesisworld.exchange connect Abgleich von Adressen und Terminen

Hilfedatei der Oden$-Börse Stand Juni 2014

Einrichtung einer eduroam Verbindung unter dem Betriebssystem Android

Ein neues Outlook Konto können Sie im Control Panel über den Eintrag Mail erstellen.

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

Fachbericht zum Thema: Anforderungen an ein Datenbanksystem

Kurzanleitung RACE APP

1. Aktionen-Palette durch "Fenster /Aktionen ALT+F9" öffnen. 2. Anlegen eines neuen Set über "Neues Set..." (über das kleine Dreieck zu erreichen)

Universal Gleismauer Set von SB4 mit Tauschtextur u. integrierten Gleismauerabschlüssen!

Lineargleichungssysteme: Additions-/ Subtraktionsverfahren

MORE Profile. Pass- und Lizenzverwaltungssystem. Stand: MORE Projects GmbH

inviu routes Installation und Erstellung einer ENAiKOON id

Mit dem Tool Stundenverwaltung von Hanno Kniebel erhalten Sie die Möglichkeit zur effizienten Verwaltung von Montagezeiten Ihrer Mitarbeiter.

Anleitung. paedml Novell. In Vibe und Filr nach Migration auf paedml Novell 4.1 deaktivierte Benutzeraccounts reparieren. Stand

Eigenen WSUS Server mit dem UNI WSUS Server Synchronisieren

Alltag mit dem Android Smartphone

Gruppenrichtlinien und Softwareverteilung

CodeSaver. Vorwort. Seite 1 von 6

ADDISON Aktenlösung Automatischer Rewe-Import. Technische Beschreibung

SCHNELLEINSTIEG FÜR HOSTED EXCHANGE BASIC / PREMIUM

1 Die Active Directory

Monatstreff für Menschen ab 50 Temporäre Dateien / Browserverlauf löschen / Cookies

B12-TOUCH VERSION 3.5

1. EINLEITUNG 2. GLOBALE GRUPPEN Globale Gruppen anlegen

Erfahrungen mit Hartz IV- Empfängern

Anleitung zum Herunterladen von DIN-Vorschriften außerhalb des internen Hochschulnetzes

A. Ersetzung einer veralteten Govello-ID ( Absenderadresse )

GEORG.NET Anbindung an Ihr ACTIVE-DIRECTORY

Dieser Text beschreibt die Neuerungen von DaNiS und die Vorgehensweise beim DaNiS-Update.

Benutzerkonto unter Windows 2000

Warenwirtschaft Handbuch - Administration

Erweiterungen Webportal

Um dies zu tun, öffnen Sie in den Systemeinstellungen das Kontrollfeld "Sharing". Auf dem Bildschirm sollte folgendes Fenster erscheinen:

Wie räume ich mein Profil unter Windows 7 auf?

STRATO Mail Einrichtung Mozilla Thunderbird

Anbindung des eibport an das Internet

Tutorial Einrichtung eines lokalen MySQL-Servers für den Offline-Betrieb unter LiveView

ecaros2 - Accountmanager

Internationales Altkatholisches Laienforum

Dokumentation. Black- und Whitelists. Absenderadressen auf eine Blacklist oder eine Whitelist setzen. Zugriff per Webbrowser

Anleitung zur Mailumstellung Entourage

Stundenerfassung Version 1.8 Anleitung Arbeiten mit Replikaten

Nutzung des Retain-Archivs

Anlegen eines SendAs/RecieveAs Benutzer unter Exchange 2003, 2007 und 2010

WLAN Konfiguration. Michael Bukreus Seite 1

s aus -Programm sichern Wählen Sie auf der "Startseite" die Option " s archivieren" und dann die entsprechende Anwendung aus.

Informations- und Kommunikationsinstitut der Landeshauptstadt Saarbrücken. Upload- / Download-Arbeitsbereich

Tutorial e Mail Einrichtung

Anbindung des Onyx Editors an das Lernmanagementsystem OLAT Anwendungsdokumentation

Step by Step VPN unter Windows Server von Christian Bartl

1.3. Installation und Konfiguration von Filr Desktop

Arbeitsabläufe FinanzProfiT Version 4.25

1. Adressen für den Serienversand (Briefe Katalogdruck Werbung/Anfrage ) auswählen. Die Auswahl kann gespeichert werden.

Massenversand Dorfstrasse 143 CH Kilchberg Telefon 01 / Telefax 01 / info@hp-engineering.com

desk.modul : ABX-Lokalisierung

Handbuch ECDL 2003 Professional Modul 3: Kommunikation Stellvertreter hinzufügen und zusätzliche Optionen einstellen

Handbuch für Nutzer von Zertifikaten der Zertifizierungsstellen (CAs) des Bayerischen Behördennetzes (BYBN) zur Sicherung von s Teil C6:

ISA Server 2004 Erstellen einer Webverkettung (Proxy-Chain) - Von Marc Grote

Nutzer-Synchronisation mittels WebWeaver Desktop. Handreichung

Clientkonfiguration für Hosted Exchange 2010

Tutorial -

Whitepaper. Produkt: combit Relationship Manager. combit Relationship Manager und Terminalserver. combit GmbH Untere Laube Konstanz

Einführungskurs MOODLE Themen:

Lizenzierung von SharePoint Server 2013

Transkript:

Enterprise User Security mit Active Directory Jürgen Kühn Trivadis GmbH Düsseldorf Schlüsselworte: Enterprise User Security, Active Directory, Directory Integration and Provisioning, Active Directory Passwort Filter, Referentielle Integrität, Compliance, Rollenmodell, personenbezogene Accounts Einleitung Unternehmen sind zunehmend gehalten, auch für Datenbankadministratoren personalisierte Accounts zu nutzen, damit den einschlägigen gesetzlichen Vorgaben - allen voran der Sarbanes Oxley Act und seine in der EU gültige Variante EuroSox - genüge getan wird und administrative Tätigkeiten nachvollziehbar und prüfbar einer einzelnen Person zugeordnet werden können. Die heute gängige Praxis in Unternehmen ist die von Wirtschaftsprüfern bemängelte Nutzung eines einzigen DBA Accounts für mehrere Mitarbeiter. Die Enterprise User Security ermöglicht die Verwaltung der Datenbank durch mehrere DBAs bei gleichzeitiger Verwendung individueller Accounts. Oracle Enterprise User Security vereinfacht darüber hinaus das Benutzer- und Rollenmanagement für Datenbanken erheblich. Die entsprechenden Informationen werden zentral in einem LDAP Verzeichnis abgelegt und gepflegt. Mit einer optionalen Authentisierung gegen ein externes Verzeichnis wie Active Directory oder Sun Java System Directory Server muss sich der Benutzer oder DBA keine zusätzlichen Passworte für seine Datenbanken merken. Hand aufs Herz - Wer kennt sie nicht, die kleinen und großen Datenbankinstallationen in kleinen und großen Unternehmen, in denen alle Datenbankadministratoren sich einen Datenbankaccount teilen und damit sowohl alle täglich anfallenden als auch außerplanmäßigen Aufgaben ausführen. Gründe hierfür sind schnell gefunden. In kleinen Unternehmen mit wenigen Administratoren ist der Nutzen personenbezogener Accounts nicht sofort ersichtlich. In großen Konzernen dagegen scheut man oft den Aufwand, der mit der Verwaltung sehr vieler DBA Accounts in unter Umständen tausenden Datenbanken verbunden ist. Auch muss man sich über Stellvertreterregelungen und Rollenmodelle keine Gedanken machen, wenn die Datenbankadministration ohnehin nur mit genau einem DBA Account erledigt wird.

In Zeiten von erhöhten Anforderungen an Datensicherheit, Datenschutz und ganz allgemein Compliance, ist die Nutzung von sogenannten Shared Accounts nicht mehr akzeptabel, auch nicht oder gerade nicht für Datenbankadministratoren. Oracle Enterprise User Security Oracle bietet mit der Enterprise User Security eine einfache und elegante Möglichkeit, Accounts von Datenbankadministratoren und -benutzern zentral in einem LDAP Verzeichnis zu verwalten. Neben den eigentlichen Accounts können auch die Rollen eines Benutzers im LDAP Verzeichnis abgebildet und verwaltet werden. Aufgrund der nahtlosen Integration mit Oracle Datenbanken und verschiedener technischer Gegebenheiten wird als LDAP Verzeichnis in aller Regel das Oracle Internet Directory eingesetzt. Da nahezu alle Verwaltungstätigkeiten für alle Enterprise User sowie deren zugeordnete Rollen zentral im Oracle Internet Directory erfolgen, ergibt sich eine enorme Vereinfachung bei Erstellung, Pflege und Löschung von Datenbankbenutzern und -rollen. Enterprise User Security unterstützt eine starke Authentisierung der Benutzer mittels Kerberos oder SSL. Global Users Global Users im Sinne der Enterprise User Security sind Benutzer, die trotz der Benutzerverwaltung im Oracle Internet Directory zusätzlich in jeder Datenbank mit ihrem Distinguished Name angelegt werden müssen und somit ein eigenes Schema besitzen. Damit ist immer noch ein gewisser Aufwand bei der Anlage und Pflege neuer Datenbankbenutzer erforderlich. Dieser Aufwand lässt sich durch Enterprise User vermeiden. Enterprise Users In vielen Fällen ist es nicht erforderlich, dass Administratoren oder Benutzer ein eigenes Schema besitzen. Vielmehr reicht der Zugriff auf ein gemeinsam von allen Benutzern verwendetes Schema in den meisten Fällen völlig aus. Dann werden Benutzer als so genannte Enterprise User angelegt. Enterprise User werden nur im Oracle Internet Directory, nicht aber in der Datenbank angelegt. In der Datenbank muss lediglich ein sogenanntes Shared Schema als Stellvertreter- Benutzer angelegt werden. Im Oracle Internet Directory werden dann individuelle Benutzer, Gruppen von Benutzern oder aber alle Benutzer unterhalb eines LDAP Knotens einem oder mehreren Shared Schemata zugeordnet.

Enterprise User Security stellt sicher, dass die von einem globalen Benutzer ausgeführten Tätigkeiten in der Datenbank eindeutig dem angemeldeten Benutzer zugeordnet werden können. Enterprise User, Global User und normale Benutzer lassen sich beliebig gemischt in einer Enterprise User Security Umgebung einsetzen. Rollen Enterprise User Security lässt ein detailliertes und komplexes Rollenmodell zu, erfordert dies aber nicht. Vielmehr besteht die Möglichkeit, in der Datenbank definierte Rollen 1:1 im Oracle Internet Directory abzubilden. Enterprise User Security nutzt eine dreistufige Rollenhierarchie. Die unterste Ebene bilden dabei die klassischen in der Datenbank angelegten oder vordefinierten Rollen und Privilegien. Nutzbar von der Enterprise User Security sind jedoch nur globale Rollen, die zu diesem Zweck in der Datenbank angelegt werden müssen und die zweite Hierarchieebene bilden. Einer globalen Rolle können sowohl Rollen als auch Privilegien zugeordnet werden, jedoch keine anderen globalen Rollen. Die dritte Ebene bilden die Enterprise Rollen, die im Oracle Internet Directory definiert werden. Eine Enterprise Rolle kann eine oder mehrere globale Rollen aus einer oder mehreren Datenbanken enthalten. Last but not least können nun eine oder mehrere Enterprise Rollen einzelnen Enterprise Usern oder Gruppen von Benutzern zugewiesen werden. Es ist unschwer zu erkennen, dass das beschriebene Prinzip der Rollenbildung sehr komplexe Rollenmodelle unterstützt, die trotz der Verwaltung im Oracle Internet Directory leicht unübersichtlich werden können. Dass es auch einfach geht, zeigt das Beispiel in Abbildung 1 für die Rolle DBA, die als 1:1 Beziehung in eine Enterprise Rolle RoleEnterpriseDba transferiert wird.

Abb. 1: Enterprise User Security Rollen Authentisierung der Benutzer Wenn sich ein Enterprise User an der Datenbank anmeldet, erkennt die Datenbank, dass der Benutzer nicht lokal existiert und stellt eine Verbindung zum Oracle Internet Directory her, um zunächst die Anmeldedaten des Benutzers zu prüfen. Nach erfolgreicher Prüfung liest die Datenbank alle dem Benutzer zugewiesenen Rollen und Schemata aus und stellt die Zuordnung des Benutzers zu einem Schema sowie den Datenbankrollen her. Weil die Datenbank die Authentisierungsdaten aus dem Oracle Internet Direcotry liest, wird eine SSL Verschlüsselung der Kommunikation zwischen Datenbankserver und Oracle Internet Directory Server empfohlen. Zusätzlich zur Authentisierung mit Passwort kann Enterprise User Security mit SSL und Kerberos genutzt werden. Dazu ist jedoch eine Oracle Advanced Security Option erforderlich. Anbindung von Active Directory Die Nutzung des Oracle Internet Directory zur zentralen Verwaltung von Enterprise Usern hat eine deutliche Reduzierung des Aufwandes zur Verwaltung von Datenbankbenutzern zur

Folge. Allerdings ist gerade in Unternehmen mit Active Directory dieses in der Regel das führende System zur Authentisierung aller Mitarbeiter. Das zusätzliche Anlegen und Löschen von Datenbankbenutzern im Oracle Internet Directory bedeutet zusätzlichen Aufwand, der nach Möglichkeit vermieden werden soll. Hier kommt Oracle Directory Integration and Provisioning ins Spiel, mit dessen Hilfe Benutzer- und Gruppeninformationen zwischen Oracle Internet Directory und Active Directory synchronisiert werden können. Mit Hilfe des Active Directory Passwort Filters können auch Passwortänderungen in Active Directory an Oracle Internet Directory transferiert werden. Directory Integration and Provisioning Mittels Oracle Directory Integration and Provisioning können Benutzer- und Gruppeninformationen zwischen Oracle Internet Directory und Active Directory synchronisiert werden. Ein Directory Integration Service, der in der Regel auf dem Oracle Internet Directory Server installiert ist, verbindet sich in regelmäßigen Abständen sowohl mit dem Oracle Internet Directory als auch mit dem Active Directory, das in diesem Fall einfach als LDAP Verzeichnis genutzt wird. Der Service prüft alle Benutzer- und Gruppeneinträge unterhalb von spezifizierten Knoten in beiden Verzeichnissen und speichert neue Einträge in Active Directory zum Oracle Internet Directory. Einträge, die im Active Directory gelöscht wurden, werden auch im Oracle Internet Directory gelöscht. Die Einträge des Active Directory werden nicht einfach in das Oracle Internet Directory kopiert, sondern es erfolgt eine Anpassung der LDAP Attribute an die Erfordernisse von Oracle Internet Directory. So wird der Directory Integration Service in der Regel so konfiguriert, dass das Active Directory Attribut samaccountname in das Oracle Internet Directory Attribut uid kopiert wird. Active Directory Passwort Filter Um die Passworte der Benutzer zwischen Active Directory und Oracle Internet Directory zu synchronisieren, muss der von Oracle bereit gestellte Active Directory Passwort Filter auf allen Domain Controllern installiert werden, weil es keine Möglichkeit gibt, Passworte aus Active Directory auszulesen. Der Passwort Filter bindet sich an die Local Security Authority des Windows Servers, erkennt Passwortänderungen der Benutzer und transferiert neue Passworte zum Oracle Internet Directory. Aus Sicherheitsgründen erfordert der Passwortfilter eine SSL Verbindung zwischen Active Directory Server und Oracle Internet Directory Server.

Falls ein Passwort nicht unmittelbar zum Oracle Internet Directory Server kopiert werden kann, wird es verschlüsselt auf dem Active Directory Server zwischengespeichert. Der Passwortfilter versucht dann mehrmals nach konfigurierbaren Zeitintervallen, das Passwort zum Oracle Internet Directory zu transferieren. Gelöschte Benutzer in Active Directory In der Standardkonfiguration von Active Directory sind gelöschte Objekte nicht sichtbar. Damit der Directory Integration Service gelöschte Active Directory Benutzer oder Gruppen auch im Oracle Internet Directory löschen kann, müssen dem zum Lesen des Active Directory genutzten Benutzers entsprechende Rechte für den Container Deleted Objects gewährt werden. Referentielle Integrität In der Regel werden bei der Konfiguration der Enterprise User Security im Oracle Internet Directory gespeicherte Datenbankbenutzer auch Gruppen im Oracle Internet Directory zugeordnet. Wenn nun ein Benutzer gelöscht wird, verbleibt sein Distinguished Name in der Gruppe, was inkonsistent und langfristig unübersichtlich ist. Deshalb sollte für Oracle Internet Directory die referentielle Integrität konfiguriert und aktiviert werden. Kernpunkt ist dabei ein regelmäßig auszuführendes Skript, das die entsprechende Bereinigung der Gruppeneinträge vornimmt. Das Skript arbeitet nicht mit LDAP Kommandos, sondern greift direkt auf die als Repository dienende Datenbank zu. Um Inkonsistenzen zu vermeiden ist es deshalb unbedingt erforderlich, dass, falls der Entry Cache des Oracle Internet Directory aktiviert ist, dieser vor dem Ausführen des Skripts deaktiviert und nach Ausführung des Skripts wieder aktiviert wird. Empfehlung zur Vorgehensweise Ein geplanter Rollout der Enterprise User Security mit Anbindung an Active Directory sollte in folgenden Schritten erfolgen: 1. Ein einfaches und geradliniges Rollenmodell definieren 2. Enterprise User Security für wenige Datenbankadministratoren und einige Datenbanken konfigurieren 3. Die Synchronisation mit Active Directory konfigurieren 4. Enterprise User Security für alle Datenbankadministratoren konfigurieren 5. Enterprise User Security für Datenbankbenutzer konfigurieren Fazit Oracle Enterprise User Security mit oder ohne Active Directory Anbindung ist ein probates Mittel zur Reduzierung des Verwaltungsaufwandes für Datenbankbenutzer. Darüber hinaus ist sie ein Baustein zur Umsetzung von Compliance Anforderungen.

Kontaktadresse: Jürgen Kühn Trivadis GmbH Werdener Str. 4-6 D-40227 Düsseldorf Telefon: +49(0)211-58666470 Fax: +49(0)211-58666471 E-Mail Juergen.Kuehn@Trivadis.com Internet: www.trivadis.com

2026 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback