OID, OVD und AD Jürgen Kühn Security Consultant Bonn, 8.4.2008 Berlin, 17.4.2008 Basel Baden Bern Lausanne Zürich Düsseldorf Frankfurt/M. Freiburg i. Br. Hamburg München Stuttgart
Agenda Oracle Internet Directory Directory Naming Zusätzliche Daten im OID Daten sind immer im Spiel. Oracle Virtual Directory OVD und Active Directory OVD, AD und EUS OID, OVD und AD 2
LDAP OID, OVD und AD 3
LDAP Lightweight Directory Access Protocol Vereinfacht das X.500 Directory Access Protocol ldapbind ldapadd ldapmodify ldapsearch Beliebiger Datencontainer im Hintergrund Datenbank Datei Transparent für Client Default Port 389 SSL Port 636 Objektklassen Gruppe von Attributen Attribute in Objektklassen können mandatory (MUST) oder optional (MAY) sein Schema Liste möglicher Objektklassen und Attributen OID, OVD und AD 4
Oracle Internet Directory LDAP v3 Granulare Einstellung von Zugriffsrechten Bis hinunter auf Attributebene Für Gruppen oder Einzelbenutzer 2-Way LDAP Synchronisation Hochverfügbarkeit Ideal mit 2 Servern Replication Service greift aktiv auf anderen Server zu Tipps Zu suchende Attribute müssen indiziert sein Configset0 nicht im Nur-SSL Modus betreiben OID, OVD und AD 5
Schemaerweiterung Einfügen von zusätzlichen Attributen und Objectclasses Eingefügte Objekte werden sogar mittels 2-Way LDAP Replication synchronisiert Kann im OID rückgängig gemacht werden Einfach löschen Kann im Active Directory nicht rückgängig gemacht werden Kann ab Windows Server 2003 deaktiviert werden object definitions can be rendered unusable through the process of deactivation (Quelle: Microsoft) Before you extend the schema, you must take steps to ensure that the extension does not cause problems in the directory (Quelle: Microsoft) Viele Anwendungen legen Daten im LDAP Verzeichnis ab und erweitern dazu das Schema Die guten bringen ein LDIF File mit Zusätzlich eventuell noch einen Wizard oder Assistant Oracle Net Configuration Assistant Passlogix v-go bzw. Oracle Enterprise Single Sign-On Sybase OID, OVD und AD 6
Oracle Internet Directory Jedes Objekt in einem LDAP Verzeichnis benötigt einen eindeutigen Object Identifier (OID) Der OID enthält als Präfix einen Network Management Private Enterprise Code enthält. Das Präfix beginnt mit: iso.org.dod.internet.private.enterprise (1.3.6.1.4.1). Unternehmen können kostenlos eine eigene Nummer unterhalb dieses Präfixes bei der IANA beantragen Eine Liste mit vergebenen Enterprise Numbers gibt es hier: http://www.iana.org/assignments/enterprise-numbers Decimal Organization Contact Email 10552 Passlogix Inc. Manung Han manungh&passlogix.com OID, OVD und AD 7
Agenda Oracle Internet Directory Directory Naming Zusätzliche Daten im OID Daten sind immer im Spiel. Oracle Virtual Directory OVD und Active Directory OVD, AD und EUS OID, OVD und AD 8
Warum tnsnames ersetzen? 500 Server 1200 Clients tnsnames.ora wird durch Helpdesk Tools angepasst bzw. verteilt Das klappt nur für 80% der Clients zuverlässig Die Änderungen stehen frühestens am nächsten Morgen zur Verfügung Viel manuelle Nacharbeit OID rechnet sich alleine für den tnsnames Ersatz OID, OVD und AD 9
Directory Naming Oracle Net Configuration Assistant Configuration of Naming Methods Modifiziert sqlnet.ora Configuration of Directory Usage Modifiziert ldap.ora Oracle Net Manager Open Network Configuration Export Net Service Names Trägt ausgewählte Connect Informationen in OID ein OID, OVD und AD 10
Directory Naming OID, OVD und AD 11
Directory Naming OID, OVD und AD 12
Directory Naming OID, OVD und AD 13
Directory Naming OID, OVD und AD 14
Directory Naming OID, OVD und AD 15
Directory Naming OID, OVD und AD 16
Directory Naming OID, OVD und AD 17
Directory Naming OID, OVD und AD 18
Directory Naming Net Manager Datei\Netzwerkkonfiguration öffnen OID, OVD und AD 19
Directory Naming Befehl\Directory\Net Service Names exportieren OID, OVD und AD 20
Directory Naming OID, OVD und AD 21
Directory Naming OID, OVD und AD 22
Directory Naming OID, OVD und AD 23
Directory Naming OID, OVD und AD 24
Directory Naming OID, OVD und AD 25
Directory Naming OID, OVD und AD 26
Agenda Oracle Internet Directory Directory Naming Zusätzliche Daten im OID Daten sind immer im Spiel. Oracle Virtual Directory OVD und Active Directory OVD, AD und EUS OID, OVD und AD 27
Zusätzliche Daten im OID UbpApps Uralt Betriebs- und ProduktionsApplikationen Verbindungsdaten analog zum Directory Naming Data Source Server User ID Password Verschlüsselt oder als Hash Integrated Security 5 Attribute Alle vom Syntax-Typ Directory String 3 ObjectClasses OID, OVD und AD 28
LDIF File für UbpApps dn: cn=subschemasubentry changetype: modify add: attributetypes attributetypes: ( 2.16.840.1.113894.4.1.1 NAME 'ubpappserver' DESC 'UBP Application Server' EQUALITY caseignorematch SYNTAX '1.3.6.1.4.1.1466.115.121.1.15' ) attributetypes: ( 2.16.840.1.113894.4.1.2 NAME 'ubpappdatasource' DESC 'UBP Application Data Source' EQUALITY caseignorematch SYNTAX '1.3.6.1.4.1.1466.115.121.1.15' ) attributetypes: ( 2.16.840.1.113894.4.1.3 NAME 'ubpappuserid' DESC 'UBP Application User ID' EQUALITY caseignorematch SYNTAX '1.3.6.1.4.1.1466.115.121.1.15' ) attributetypes: ( 2.16.840.1.113894.4.1.4 NAME 'ubpapppassword' DESC 'UBP Application Password' EQUALITY caseignorematch SYNTAX '1.3.6.1.4.1.1466.115.121.1.15' ) attributetypes: ( 2.16.840.1.113894.4.1.5 NAME 'ubpappintegratedsecurity' DESC 'UBP Application Integrated Security Flag' EQUALITY caseignorematch SYNTAX '1.3.6.1.4.1.1466.115.121.1.15' ) OID, OVD und AD 29
LDIF File für UbpApps (Fortsetzung) dn: cn=subschemasubentry changetype: modify add: objectclasses objectclasses: ( 2.16.840.1.113894.4.2.1 NAME 'ubpappservice' DESC 'UBP Application Connect Info' SUP ( top ) STRUCTURAL MUST ( cn ) MAY ( ubpappserver $ ubpappdatasource $ ubpappuserid $ ubpapppassword $ ubpappintegratedsecurity ) ) objectclasses: ( 2.16.840.1.113894.4.3.1 NAME 'ubpappconnect' DESC 'UBP Application Connect Info' SUP ( top ) STRUCTURAL MUST ( cn ) ) objectclasses: ( 2.16.840.1.113894.4.4.1 NAME 'ubpappcontext' DESC 'UBP Application Context' SUP ( top ) STRUCTURAL MUST ( cn ) ) OID, OVD und AD 30
LDIF File für UbpApps (Fortsetzung) dn: cn=ubpappscontext,dc=domainora,dc=com changetype: add cn: UBPAppsContext objectclass: ubpappcontext dn: cn=oraappsconnect,cn=ubpappscontext,dc=domainora,dc=com changetype: add cn: OraAppsConnect objectclass: ubpappconnect dn: cn=mssqlappsconnect,cn=ubpappscontext,dc=domainora,dc=com changetype: add cn: MSSQLAppsConnect objectclass: ubpappconnect oracle@oid1:~> ldapadd -h oid1 -D "cn=orcladmin" -w <passwort> -p 389 -f UbpApps.ldif OID, OVD und AD 31
UbpApps Attribute OID, OVD und AD 32
UbpApps Attribute OID, OVD und AD 33
UbpApps Attribute OID, OVD und AD 34
UbpApps Daten OID, OVD und AD 35
UbpApps Daten OID, OVD und AD 36
Agenda Oracle Internet Directory Directory Naming Zusätzliche Daten im OID Daten sind immer im Spiel. Oracle Virtual Directory OVD und Active Directory OVD, AD und EUS OID, OVD und AD 37
Oracle Virtual Directory Klassische Situation: Verteilter Datenbestand OID, OVD und AD 38
Oracle Virtual Directory Zentralisierte Sicht OID, OVD und AD 39
Oracle Virtual Directory Zentralisierung verteilter Attribute LDAP WEB SERVICES WEB GATEWAY LDAP Protocol LDAP Proxy Referenziert Daten in Directories Keine Synchronisation erforderlich Local Store VDE DIRECTORY ENGINE JOIN VIEW LDAP DB NT Oracle VDE Produktarchitektur Custom Verbindung zu Directories, Datenbanken und Web Services LDAP Adapter für Oracle, Microsoft, Novell, IBM und Sun DB Adapter für Oracle, IBM und Microsoft WebServices Adapter Credential Passthrough pro Adapter konfigurierbar Nie Immer Nur bei Bind DSML (Directory Service Markup Language ) OID, OVD und AD 40
Oracle Virtual Directory Single Service Multiple Views Views möglich - vergleichbar mit DB View Attribut-, Objekt-und DN-Umwandlungen möglich Applikationen mit Anforderung nach Custom LDAP Schema Join View Adapter Eine Sicht auf verteilte Daten User Password aus Directory A, Daten aus Directory B Secure Directory Firewall oder Proxy Für Client Anwendungen, die Zugriff auf geschütztes Repository brauchen Publizieren von bestimmten LDAP Informationen nach extern LDAP Query Filtering und ACLs oder transparenter Proxy Unterstützt LDAPS und HTTPS Verbindungen OID, OVD und AD 41
Agenda Oracle Internet Directory Directory Naming Zusätzliche Daten im OID Daten sind immer im Spiel. Oracle Virtual Directory OVD und Active Directory OVD, AD und EUS OID, OVD und AD 42
OVD und Active Directory OID, OVD und AD 43
DN im Active Directory root dc=tvd dc=tciamfirma Attribute: cn: Jürgen Kühn displayname: Jürgen Kühn samaccountname: juk sn: Kühn telephonenumber: +49 (211) 586664 78 cn=users cn=jürgen Kühn Distinguished Name im Active Directory: cn=jürgen Kühn,cn=Users,dc=tciamfirma,dc=tvd OID, OVD und AD 44
LDAP Browser und Active Directory OID, OVD und AD 45
DN im OID root dc=com Attribute: cn: juk sn: Kuehn dc=domainora cn=users cn=juk Distinguished Name im OID: cn=juk,cn=users,dc=domainora,dc=com OID, OVD und AD 46
LDAP Browser und OID OID, OVD und AD 47
OVD und Active Directory root root dc=tvd dc=com dc=tciamfirma dc=ad cn=users cn=users cn=jürgen Kühn cn=jürgen Kühn Distinguished Name im Active Directory: cn=jürgen Kühn,cn=Users,dc=tciamfirma,dc=tvd Distinguished Name im OVD: cn=jürgen Kühn,cn=Users,dc=ad,dc=com OID, OVD und AD 48
OVD und Active Directory OID, OVD und AD 49
OVD und Active Directory OID, OVD und AD 50
OVD und OID root root dc=com dc=com dc=domainora dc=oid cn=users cn=users cn=juk cn=jürgen Kühn Distinguished Name im OID: cn=juk,cn=users,dc=domainora,dc=com Distinguished Name im OVD: cn=juk,cn=users,dc=oid,dc=com OID, OVD und AD 51
OVD und OID OID, OVD und AD 52
OVD und OID OID, OVD und AD 53
OVD Join Adapter Adapter Suffix wählen Primären Adapter wählen Bind Adapter wählen OID, OVD und AD 54
OVD Join Adapter Join Rules definieren: samaccountname=cn OID, OVD und AD 55
OVD und Active Directory OID, OVD und AD 56
OVD und Active Directory OID, OVD und AD 57
OVD und Active Directory Authentisierung LDAP Bind mit UserID / Password gegen OID Passthrough OVD generiert LDAP Bind gegen AD mit Proxy User Anonymous Bei Verwendung eines Join Adapters können Multivalue Attribute erzeugt werden cn=jürgen Kühn ist Singlevalue in AD cn=juk ist Singlevalue in OID Im Join Adapter tauchen aber beide auf Die Anwendung muss darauf vorbereitet sein Die meisten sind s Viele auf die Schnelle erstellte (Test-)Skripts aber nicht OID, OVD und AD 58
Agenda Oracle Internet Directory Directory Naming Zusätzliche Daten im OID Daten sind immer im Spiel. Oracle Virtual Directory OVD und Active Directory OVD, AD und EUS OID, OVD und AD 59
Enterprise User Security und Oracle Virtual Directory OID, OVD und AD 60
Enterprise User Security und Oracle Virtual Directory Enterprise User Security erfordert OID oder ein mittels Directory Integration Platform (DIP) synchronisiertes LDAP Verzeichnis Anbindung des AD mittels OVD Zentrale Verwaltung im Active Directory Kein OID oder DIP mehr erforderlich Alle erforderlichen Dateien in OVD 10.1.4.2.0 enthalten Auch das OVD Muss hochverfügbar sein Benötigt Server Will lizenziert werden OID, OVD und AD 61
EUS und OVD Theoretische Installation (1) LDAP SSL Listener erstellen SSL Cipher setzen Subschemaentry und Dynamic Groups Plugins hinzufügen Einige LDIF Files editieren Active Directory Schema erweitern Oracle Internet Password Change Notification Plugin auf Domain Controller installieren Reset the password for all Active Directory users Erst dann wird der Password Hash vom Plugin generiert OID, OVD und AD 62
EUS und OVD Theoretische Installation (2) Bei Bedarf (also sehr wahrscheinlich) Kerberos und ASO konfigurieren Drei Local Store Adapter in OVD erstellen OVD Schema erweitern Enterprise User Security Adapter erstellen Enterprise User Security Plugins konfigurieren Access Control Lists aktualisieren Adapter für die Enterprise User Security Administrative Group erstellen Mappings und Plugins des Enterprise User Security Administrative Group Adapter konfigurieren OID, OVD und AD 63
EUS und OVD - Einschränkungen Nicht unterstützt werden zurzeit (Auszug) Administrative Groups (außer OracleContextAdmins) Enterprise Security Manager console to Oracle Internet Directory Delegated Administration Services Password Policy Client Certificate Authentication User Migration Utility (UMU) Multiple Domain Environments JDBC Thin Driver must use OCI driver Combined Active Directory, Sun Java System Directory Server, and Oracle Internet Directory environments OID, OVD und AD 64
Fazit Tnsnames Ablösung durch Directory Services ist sehr einfach und sinnvoll Oracle Internet Directory ist mit wenig Aufwand auch für andere (Nicht-Oracle-) Applikationen nutzbar Oracle Virtual Directory ist sehr flexibel einsetzbar Die Integration von Enterprise User Security, Oracle Virtual Directory und Active Directory ist möglich......sollte aber mal in einem Proof Of Concept angesehen werden OID, OVD und AD 65
Fragen? www.trivadis.com Basel Baden Bern Lausanne Zürich Düsseldorf Frankfurt/M. Freiburg i. Br. Hamburg München Stuttgart
Vielen Dank! www.trivadis.com Basel Baden Bern Lausanne Zürich Düsseldorf Frankfurt/M. Freiburg i. Br. Hamburg München Stuttgart