OID, OVD und AD. Jürgen Kühn Security Consultant. Bonn, 8.4.2008 Berlin, 17.4.2008

OID, OVD und AD Jürgen Kühn Security Consultant Bonn, 8.4.2008 Berlin, 17.4.2008 Basel Baden Bern Lausanne Zürich Düsseldorf Frankfurt/M. Freiburg i. Br. Hamburg München Stuttgart

Agenda Oracle Internet Directory Directory Naming Zusätzliche Daten im OID Daten sind immer im Spiel. Oracle Virtual Directory OVD und Active Directory OVD, AD und EUS OID, OVD und AD 2

LDAP OID, OVD und AD 3

LDAP Lightweight Directory Access Protocol Vereinfacht das X.500 Directory Access Protocol ldapbind ldapadd ldapmodify ldapsearch Beliebiger Datencontainer im Hintergrund Datenbank Datei Transparent für Client Default Port 389 SSL Port 636 Objektklassen Gruppe von Attributen Attribute in Objektklassen können mandatory (MUST) oder optional (MAY) sein Schema Liste möglicher Objektklassen und Attributen OID, OVD und AD 4

Oracle Internet Directory LDAP v3 Granulare Einstellung von Zugriffsrechten Bis hinunter auf Attributebene Für Gruppen oder Einzelbenutzer 2-Way LDAP Synchronisation Hochverfügbarkeit Ideal mit 2 Servern Replication Service greift aktiv auf anderen Server zu Tipps Zu suchende Attribute müssen indiziert sein Configset0 nicht im Nur-SSL Modus betreiben OID, OVD und AD 5

Schemaerweiterung Einfügen von zusätzlichen Attributen und Objectclasses Eingefügte Objekte werden sogar mittels 2-Way LDAP Replication synchronisiert Kann im OID rückgängig gemacht werden Einfach löschen Kann im Active Directory nicht rückgängig gemacht werden Kann ab Windows Server 2003 deaktiviert werden object definitions can be rendered unusable through the process of deactivation (Quelle: Microsoft) Before you extend the schema, you must take steps to ensure that the extension does not cause problems in the directory (Quelle: Microsoft) Viele Anwendungen legen Daten im LDAP Verzeichnis ab und erweitern dazu das Schema Die guten bringen ein LDIF File mit Zusätzlich eventuell noch einen Wizard oder Assistant Oracle Net Configuration Assistant Passlogix v-go bzw. Oracle Enterprise Single Sign-On Sybase OID, OVD und AD 6

Oracle Internet Directory Jedes Objekt in einem LDAP Verzeichnis benötigt einen eindeutigen Object Identifier (OID) Der OID enthält als Präfix einen Network Management Private Enterprise Code enthält. Das Präfix beginnt mit: iso.org.dod.internet.private.enterprise (1.3.6.1.4.1). Unternehmen können kostenlos eine eigene Nummer unterhalb dieses Präfixes bei der IANA beantragen Eine Liste mit vergebenen Enterprise Numbers gibt es hier: http://www.iana.org/assignments/enterprise-numbers Decimal Organization Contact Email 10552 Passlogix Inc. Manung Han manungh&passlogix.com OID, OVD und AD 7

Agenda Oracle Internet Directory Directory Naming Zusätzliche Daten im OID Daten sind immer im Spiel. Oracle Virtual Directory OVD und Active Directory OVD, AD und EUS OID, OVD und AD 8

Warum tnsnames ersetzen? 500 Server 1200 Clients tnsnames.ora wird durch Helpdesk Tools angepasst bzw. verteilt Das klappt nur für 80% der Clients zuverlässig Die Änderungen stehen frühestens am nächsten Morgen zur Verfügung Viel manuelle Nacharbeit OID rechnet sich alleine für den tnsnames Ersatz OID, OVD und AD 9

Directory Naming Oracle Net Configuration Assistant Configuration of Naming Methods Modifiziert sqlnet.ora Configuration of Directory Usage Modifiziert ldap.ora Oracle Net Manager Open Network Configuration Export Net Service Names Trägt ausgewählte Connect Informationen in OID ein OID, OVD und AD 10

Directory Naming OID, OVD und AD 11

Directory Naming OID, OVD und AD 12

Directory Naming OID, OVD und AD 13

Directory Naming OID, OVD und AD 14

Directory Naming OID, OVD und AD 15

Directory Naming OID, OVD und AD 16

Directory Naming OID, OVD und AD 17

Directory Naming OID, OVD und AD 18

Directory Naming Net Manager Datei\Netzwerkkonfiguration öffnen OID, OVD und AD 19

Directory Naming Befehl\Directory\Net Service Names exportieren OID, OVD und AD 20

Directory Naming OID, OVD und AD 21

Directory Naming OID, OVD und AD 22

Directory Naming OID, OVD und AD 23

Directory Naming OID, OVD und AD 24

Directory Naming OID, OVD und AD 25

Directory Naming OID, OVD und AD 26

Agenda Oracle Internet Directory Directory Naming Zusätzliche Daten im OID Daten sind immer im Spiel. Oracle Virtual Directory OVD und Active Directory OVD, AD und EUS OID, OVD und AD 27

Zusätzliche Daten im OID UbpApps Uralt Betriebs- und ProduktionsApplikationen Verbindungsdaten analog zum Directory Naming Data Source Server User ID Password Verschlüsselt oder als Hash Integrated Security 5 Attribute Alle vom Syntax-Typ Directory String 3 ObjectClasses OID, OVD und AD 28

LDIF File für UbpApps dn: cn=subschemasubentry changetype: modify add: attributetypes attributetypes: ( 2.16.840.1.113894.4.1.1 NAME 'ubpappserver' DESC 'UBP Application Server' EQUALITY caseignorematch SYNTAX '1.3.6.1.4.1.1466.115.121.1.15' ) attributetypes: ( 2.16.840.1.113894.4.1.2 NAME 'ubpappdatasource' DESC 'UBP Application Data Source' EQUALITY caseignorematch SYNTAX '1.3.6.1.4.1.1466.115.121.1.15' ) attributetypes: ( 2.16.840.1.113894.4.1.3 NAME 'ubpappuserid' DESC 'UBP Application User ID' EQUALITY caseignorematch SYNTAX '1.3.6.1.4.1.1466.115.121.1.15' ) attributetypes: ( 2.16.840.1.113894.4.1.4 NAME 'ubpapppassword' DESC 'UBP Application Password' EQUALITY caseignorematch SYNTAX '1.3.6.1.4.1.1466.115.121.1.15' ) attributetypes: ( 2.16.840.1.113894.4.1.5 NAME 'ubpappintegratedsecurity' DESC 'UBP Application Integrated Security Flag' EQUALITY caseignorematch SYNTAX '1.3.6.1.4.1.1466.115.121.1.15' ) OID, OVD und AD 29

LDIF File für UbpApps (Fortsetzung) dn: cn=subschemasubentry changetype: modify add: objectclasses objectclasses: ( 2.16.840.1.113894.4.2.1 NAME 'ubpappservice' DESC 'UBP Application Connect Info' SUP ( top ) STRUCTURAL MUST ( cn ) MAY ( ubpappserver $ ubpappdatasource $ ubpappuserid $ ubpapppassword $ ubpappintegratedsecurity ) ) objectclasses: ( 2.16.840.1.113894.4.3.1 NAME 'ubpappconnect' DESC 'UBP Application Connect Info' SUP ( top ) STRUCTURAL MUST ( cn ) ) objectclasses: ( 2.16.840.1.113894.4.4.1 NAME 'ubpappcontext' DESC 'UBP Application Context' SUP ( top ) STRUCTURAL MUST ( cn ) ) OID, OVD und AD 30

LDIF File für UbpApps (Fortsetzung) dn: cn=ubpappscontext,dc=domainora,dc=com changetype: add cn: UBPAppsContext objectclass: ubpappcontext dn: cn=oraappsconnect,cn=ubpappscontext,dc=domainora,dc=com changetype: add cn: OraAppsConnect objectclass: ubpappconnect dn: cn=mssqlappsconnect,cn=ubpappscontext,dc=domainora,dc=com changetype: add cn: MSSQLAppsConnect objectclass: ubpappconnect oracle@oid1:~> ldapadd -h oid1 -D "cn=orcladmin" -w <passwort> -p 389 -f UbpApps.ldif OID, OVD und AD 31

UbpApps Attribute OID, OVD und AD 32

UbpApps Attribute OID, OVD und AD 33

UbpApps Attribute OID, OVD und AD 34

UbpApps Daten OID, OVD und AD 35

UbpApps Daten OID, OVD und AD 36

Agenda Oracle Internet Directory Directory Naming Zusätzliche Daten im OID Daten sind immer im Spiel. Oracle Virtual Directory OVD und Active Directory OVD, AD und EUS OID, OVD und AD 37

Oracle Virtual Directory Klassische Situation: Verteilter Datenbestand OID, OVD und AD 38

Oracle Virtual Directory Zentralisierte Sicht OID, OVD und AD 39

Oracle Virtual Directory Zentralisierung verteilter Attribute LDAP WEB SERVICES WEB GATEWAY LDAP Protocol LDAP Proxy Referenziert Daten in Directories Keine Synchronisation erforderlich Local Store VDE DIRECTORY ENGINE JOIN VIEW LDAP DB NT Oracle VDE Produktarchitektur Custom Verbindung zu Directories, Datenbanken und Web Services LDAP Adapter für Oracle, Microsoft, Novell, IBM und Sun DB Adapter für Oracle, IBM und Microsoft WebServices Adapter Credential Passthrough pro Adapter konfigurierbar Nie Immer Nur bei Bind DSML (Directory Service Markup Language ) OID, OVD und AD 40

Oracle Virtual Directory Single Service Multiple Views Views möglich - vergleichbar mit DB View Attribut-, Objekt-und DN-Umwandlungen möglich Applikationen mit Anforderung nach Custom LDAP Schema Join View Adapter Eine Sicht auf verteilte Daten User Password aus Directory A, Daten aus Directory B Secure Directory Firewall oder Proxy Für Client Anwendungen, die Zugriff auf geschütztes Repository brauchen Publizieren von bestimmten LDAP Informationen nach extern LDAP Query Filtering und ACLs oder transparenter Proxy Unterstützt LDAPS und HTTPS Verbindungen OID, OVD und AD 41

Agenda Oracle Internet Directory Directory Naming Zusätzliche Daten im OID Daten sind immer im Spiel. Oracle Virtual Directory OVD und Active Directory OVD, AD und EUS OID, OVD und AD 42

OVD und Active Directory OID, OVD und AD 43

DN im Active Directory root dc=tvd dc=tciamfirma Attribute: cn: Jürgen Kühn displayname: Jürgen Kühn samaccountname: juk sn: Kühn telephonenumber: +49 (211) 586664 78 cn=users cn=jürgen Kühn Distinguished Name im Active Directory: cn=jürgen Kühn,cn=Users,dc=tciamfirma,dc=tvd OID, OVD und AD 44

LDAP Browser und Active Directory OID, OVD und AD 45

DN im OID root dc=com Attribute: cn: juk sn: Kuehn dc=domainora cn=users cn=juk Distinguished Name im OID: cn=juk,cn=users,dc=domainora,dc=com OID, OVD und AD 46

LDAP Browser und OID OID, OVD und AD 47

OVD und Active Directory root root dc=tvd dc=com dc=tciamfirma dc=ad cn=users cn=users cn=jürgen Kühn cn=jürgen Kühn Distinguished Name im Active Directory: cn=jürgen Kühn,cn=Users,dc=tciamfirma,dc=tvd Distinguished Name im OVD: cn=jürgen Kühn,cn=Users,dc=ad,dc=com OID, OVD und AD 48

OVD und Active Directory OID, OVD und AD 49

OVD und Active Directory OID, OVD und AD 50

OVD und OID root root dc=com dc=com dc=domainora dc=oid cn=users cn=users cn=juk cn=jürgen Kühn Distinguished Name im OID: cn=juk,cn=users,dc=domainora,dc=com Distinguished Name im OVD: cn=juk,cn=users,dc=oid,dc=com OID, OVD und AD 51

OVD und OID OID, OVD und AD 52

OVD und OID OID, OVD und AD 53

OVD Join Adapter Adapter Suffix wählen Primären Adapter wählen Bind Adapter wählen OID, OVD und AD 54

OVD Join Adapter Join Rules definieren: samaccountname=cn OID, OVD und AD 55

OVD und Active Directory OID, OVD und AD 56

OVD und Active Directory OID, OVD und AD 57

OVD und Active Directory Authentisierung LDAP Bind mit UserID / Password gegen OID Passthrough OVD generiert LDAP Bind gegen AD mit Proxy User Anonymous Bei Verwendung eines Join Adapters können Multivalue Attribute erzeugt werden cn=jürgen Kühn ist Singlevalue in AD cn=juk ist Singlevalue in OID Im Join Adapter tauchen aber beide auf Die Anwendung muss darauf vorbereitet sein Die meisten sind s Viele auf die Schnelle erstellte (Test-)Skripts aber nicht OID, OVD und AD 58

Agenda Oracle Internet Directory Directory Naming Zusätzliche Daten im OID Daten sind immer im Spiel. Oracle Virtual Directory OVD und Active Directory OVD, AD und EUS OID, OVD und AD 59

Enterprise User Security und Oracle Virtual Directory OID, OVD und AD 60

Enterprise User Security und Oracle Virtual Directory Enterprise User Security erfordert OID oder ein mittels Directory Integration Platform (DIP) synchronisiertes LDAP Verzeichnis Anbindung des AD mittels OVD Zentrale Verwaltung im Active Directory Kein OID oder DIP mehr erforderlich Alle erforderlichen Dateien in OVD 10.1.4.2.0 enthalten Auch das OVD Muss hochverfügbar sein Benötigt Server Will lizenziert werden OID, OVD und AD 61

EUS und OVD Theoretische Installation (1) LDAP SSL Listener erstellen SSL Cipher setzen Subschemaentry und Dynamic Groups Plugins hinzufügen Einige LDIF Files editieren Active Directory Schema erweitern Oracle Internet Password Change Notification Plugin auf Domain Controller installieren Reset the password for all Active Directory users Erst dann wird der Password Hash vom Plugin generiert OID, OVD und AD 62

EUS und OVD Theoretische Installation (2) Bei Bedarf (also sehr wahrscheinlich) Kerberos und ASO konfigurieren Drei Local Store Adapter in OVD erstellen OVD Schema erweitern Enterprise User Security Adapter erstellen Enterprise User Security Plugins konfigurieren Access Control Lists aktualisieren Adapter für die Enterprise User Security Administrative Group erstellen Mappings und Plugins des Enterprise User Security Administrative Group Adapter konfigurieren OID, OVD und AD 63

EUS und OVD - Einschränkungen Nicht unterstützt werden zurzeit (Auszug) Administrative Groups (außer OracleContextAdmins) Enterprise Security Manager console to Oracle Internet Directory Delegated Administration Services Password Policy Client Certificate Authentication User Migration Utility (UMU) Multiple Domain Environments JDBC Thin Driver must use OCI driver Combined Active Directory, Sun Java System Directory Server, and Oracle Internet Directory environments OID, OVD und AD 64

Fazit Tnsnames Ablösung durch Directory Services ist sehr einfach und sinnvoll Oracle Internet Directory ist mit wenig Aufwand auch für andere (Nicht-Oracle-) Applikationen nutzbar Oracle Virtual Directory ist sehr flexibel einsetzbar Die Integration von Enterprise User Security, Oracle Virtual Directory und Active Directory ist möglich......sollte aber mal in einem Proof Of Concept angesehen werden OID, OVD und AD 65

Fragen? www.trivadis.com Basel Baden Bern Lausanne Zürich Düsseldorf Frankfurt/M. Freiburg i. Br. Hamburg München Stuttgart

Vielen Dank! www.trivadis.com Basel Baden Bern Lausanne Zürich Düsseldorf Frankfurt/M. Freiburg i. Br. Hamburg München Stuttgart