Oracle 10g Integration mit Microsoft Active Directory



Ähnliche Dokumente
Oracle 10g Database für Windows und.net

Prüfung Verwalten und Warten einer Microsoft Windows Server Umgebung

Handy-Synchronisation Inhalt

Domänencontroller / Active Directory. Was ist eine Domäne?

Kerberos Authentifizierung

Konfiguration von WNA in Oracle Access Manager 11g

Office 365 User Integration

Nils Kaczenski MVP Directory Services WITcom Hannover

quickterm 5.4 Systemvoraussetzungen

Active Directory Integration Mac OS X. René Meusel Betriebssystemadministration

Office 365 User Integration

Wesentliche Ideen und Komponenten der V13 V13 Under the Hood die Technik dahinter

OEM 12c Cloud Control - mal ohne "Superuser für Alle"

bizhub Evolution SECURITY CUBE bizhub Evolution Installationsanleitung Version: 1.0

Titel. System Center Orchestrator 2012 R2 Anleitung zur Installation

Identity & Access Management in Extranet Portal Projekten

Windows Server 2016 Essentials Basis-Server für kleine Unternehmen

SQL Server Installation und Inbetriebnahme. Udo Sum

SharePoint Online Connector

Version: September 2005 Autor: Mirko Landmann. Installation von ADAM über C3000 Setup Routine

1 Kennwortablaufrichtlinie

AMACOS. Installationshandbuch. Client und Server. Solunex AG Niederholzstrasse 17 CH-8951 Fahrweid. Tel.: +41 (0)

Safexpert Oracle Datenbank Konnektor

WebLogic goes Security!

FreeIPA. Eine Einführung. Robert M. Albrecht. Presented by. Fedora Ambassador CC-BY-SA. Freitag, 20. Juli 12

Präsentation von Markus Häfele

Data Management mit UNICORE 6

Best Practices - WatchGuard AuthPoint - Active Directory / LDAP Integration

Oracle Weblogic Administration Grundlagen

LDAP-Server ganz einfach mit Oracle Virtual Directory. DOAG Konferenz Nürnberg

Weblogic Server - Administration für Umsteiger

Active Directory Domain Services 2012 R2 - Grundinstallation

IT-Symposium. 2E04 Synchronisation Active Directory und AD/AM. Heino Ruddat

Unterrichtseinheit 10

STARFACE MS Outlook Connector

Zentrale Datenbank-Nutzerverwaltung

2 Verwalten der Active

1.1 Datenbankprogramm Oracle für MCIS MDA

Installation und Konfiguration

UNIX Verzeichniszugriff auf Windows Server 2003

EXPOSÉ Software für Immobilienprofis!

Enterprise User Security mit Active Directory

OID, OVD und AD. Jürgen Kühn Security Consultant. Bonn, Berlin,

Exchange Migration. Heino Ruddat Senior Solution Architect Invenate GmbH. Agenda

quickterm Systemvoraussetzungen Dokumentversion 1.0

Das dynamische Microsoft Duo System Center 2012 & Windows Server 2012 Referentin: Maria Wastlschmid

Leinfelden-Echterdingen, Stephan Freymuth. Oracle Internet Directory

SQL Server 2014 Installationsanleitung

WildFly Application Server Administration

Cloud Control, Single Sign On in Active Directory Umfeld

DATANAUT 5.x Server-Installation

Von der Datenbank zum LDAP-Server schnell und einfach mit Oracle Virtual Directory. DOAG Konferenz Nürnberg

Bestellsoftware ASSA ABLOY Matrix II

Teil I. Allgemeine System-Administration. Windows Server 2016 Neues, Lizenzierung und Download... 23

Benutzung von tragbaren Computern

Diese Anleitung erläutert die Einrichtung des Active Directory Modus im DNS-343.

Active Directory. Aufbau Funktion - Objekte

Daten-Synchronisation zwischen dem ZDV-Webmailer und Outlook ( ) Zentrum für Datenverarbeitung der Universität Tübingen

SOFTWARE GARDEN. Kontrollierter Wildwuchs bei lokalen Adminrechten. www. .biz

Intrexx Hochverfügbarkeit

Upgrading Your Skills to MCSA: Windows Server 2016 MOC 20743

BusinessPlanner Installationsanleitung

Installationsanleitung bei einer Mehrplatzinstallation

Bei der Mehrplatzinstallation sind die Installation des Datenbankservers (DBMS) und des HBP Clients komplett unabhängig voneinander zu sehen.

Installation und Konfiguration von Windows Servern

Anleitung zur Fleet & Servicemanagement Evatic Schnittstelle

Kerberos Geheimnisse in der Oracle Datenbank Welt

Topal Payroll braucht mindestens SQL Server (Express) Version 2014

SharePoint Oracle Integration mit dem Oracle SharePoint Provider

Datenbank auf neuen Server kopieren

Technische Voraussetzungen

LDAP Konfiguration nach einem Update auf Version 6.3 Version 1.2 Stand: 23. Januar 2012 Copyright MATESO GmbH

Workshop c3m-ii. Identitätsmanagement. Dr. Gunnar Dietz. Projekt MIRO, Universität Münster

WebLogic goes Security

- Installation. Ein Windows-Benutzer für den Service Postgres wird angelegt. Sie werden nach einem Passwort gefragt. Geben Sie eines ein.

Anleitung für Volksbank Office Banking Mehrplatz- bzw. Netzwerkinstallation

CARM-Server Zugriffsrechte für Modulkategorien

IDM: Identity Connector Framework (ICF) und SAP Connectors

Enterprise Application Integration Erfahrungen aus der Praxis

Installation und Konfiguration

Upgrading Your Supporting Skills to Windows Server 2016

Selbstverwaltung von Subversion Repositories

ZPN Zentrale Projektgruppe Netze am Ministerium für Kultus, Jugend und Sport Baden-Württemberg

TRIAS-AMOS Handbuch Band 3 Benutzerverwaltung Seite: 1

Enterprise User Security und Single Sign On mit Oracle Discoverer und Oracle Reports

i-net HelpDesk Erste Schritte

Copyright 2012, Oracle and/or its affiliates. All rights reserved.

Datenbank Administration mit personalisierten Accounts

Kostenoptimierte Cloud-Administration mit Solaris Container Technologie

Windows-XP-Workshop Teil 5: Windows.Net Server - Directory und Systemmanagement

Automatische Registrierung von Drivve Image auf einem Xerox-Gerät

Andre Faustmann, Michael Greulich, Andre Siegling, Torsten Urban. SAP BusinessObjects. Systemadministration. Galileo Press.

Transkript:

Donnerstag, 11. November 2004 15h00, Mozartsaal Oracle 10g Integration mit Microsoft Active Directory Claus Jandausch ORACLE Deutschland GmbH Oracle Hauptverwaltung München Schlüsselworte: Active Directory, Oracle 10g, Oracle 10g Application Server, Oracle Internet Directory, OID, Integration, Synchronisation, Network Configuration Assistant, LDAP, Oracle Schema, Oracle Context, HTML DB, Active Directory Connector, Active Directory Password Plugin, Net Naming, Netzwerke, Konsolidierung Zusammenfassung Mit Ablösung des aus Windows NT bekannten Domänenkonzepts, bietet der Windows 2000 Server mit Active Directory einen voll intergrierten Netzwerkverzeichnisdienst. Das Active Directory speichert alle Windows 2000/2003 Informationen inklusive Benutzern, Gruppen, Berechtigungen. Zusätzlich werden hier die Informationen über Netzwerkressourcen (Computer, Drucker, etc.) gehalten und diese wiederum den Anwendungsbenutzern und Administratoren zugänglich gemacht. Auch eine Oracle-Datenbank kann in Active Directory als Ressource registriert und das gesamte Oracle Net Naming in konsolidierter Form via Active Directory administriert werden. Dieser Konsolidierungsgedanke lässt sich mit der Synchronisation des Active Directory mit dem Oracle Internet Directory auf Applikationen weiterführen. Selbst die Oracle HTML DB ermöglicht die Authentifizierung über Active Directory mit dem Windows-Account und erfordert damit keine separate Benutzerverwaltung. Einleitung Beide Unternehmen Oracle und Microsoft haben als zwei der bedeutendsten Innovationsmotoren unsere gesamte IT-Landschaft bis heute nachhaltig geprägt. Vor dem Gedanken an eine Integration beider Welten, muss das Grundverständnis ihrer wichtigsten Evolutionsschritte stehen.

KONFERENZ Eines der wichtigsten Alleinstellungsmerkmale der gesamten Oracle-Architektur ist die universelle Datenhaltung. Mit dem Beginn als relationale Datenbank, hat Oracle dieser Philosophie folgend inzwischen den Status eines integrierten Datenhaltungs- und Informations-Managementsystem für alle Arten von Daten und Informationen im Unternehmen erreicht. Die Evolution der Microsoft Anwendungs- und Entwicklungsumgebung hat auf dem heimischen PC begonnen. Heutzutage finden wir Windows auch überall in den meisten Unternehmen. Die Gesamtarchitektur zeichnet sich vor allem durch eine enge Verzahnung mehrerer Komponenten auf unterschiedlichen Ebenen und einer funktionsübergreifenden Integration aus. Im Umgang mit Daten und Informationen hat die Historie der Microsoft Anwendungs- und Entwicklungsumgebung zu einer Philosophie des universellen Datenzugriffs (UDA) geführt. Abb. 1: Grundlegende Unterschiede zwischen Oracle und Microsoft Was den Umgang mit Daten und Informationen jeglicher Art betrifft, stellen die Oracle- und Microsoft-Architektur zwei vollkommen unterschiedliche Welten dar. Man muss sich also vor dem Gedanken an eine Integration die Frage stellen, ob dieser Weg im Ansatz überhaupt sinnvoll sein kann? Tatsächlich ist aber genau dieser Unterschied eines der wichtigsten Argumente für diese Kombination. Aufgrund der explosionsartig zunehmenden Menge und Vielfalt unserer Daten und Informationen, stösst die Philosophie des universellen Datenzugriffs heute an ihre natürlichen Grenzen. Das Zusammenführen eines integrierten Datenhaltungs- und Informations-Managementsystems (Oracle) mit einer ebenso integrierten Anwendungs- und Entwicklungsumgebung (Microsoft), ermöglicht den Aufbau einer umfassenden und zukunftsorientierten Gesamtarchitektur.

Abb. 2: Mehrwert durch Integration Einen konkreten Integrationspunkt, stellt das Zusammenführen des Oracle Technologie-Stacks mit dem Microsoft Active Directory dar. 1. Active Directory und Oracle Net Naming Der Einsatz des Active Directory bringt eine Konsolidierung aller Informationen über verfügbare Ressourcen in einem Netzwerk mit sich. Ohne eine weitere Integration der Oracle-Datenbank mit Active Directory würden derartige Informationen zu bereitstehenden Oracle-Ressourcen (Datenbanken) im Netzwerk auf den Clients (TNSNAMES.ORA) gehalten. Ein Single-Point-of- Administration im Active Directory wird in dieser Form also nicht erreicht und der Wunsch nach einer Integration von Oracle mit dem Active Directory ist die folgerichtige Konsequenz. Oracle unterstüzt diese in zweierlei Hinsicht: Registrieren der Datenbank als Ressource im Active Directory Zentrale Verwaltung aller Net Service Einträge im Oracle Context Diese Integration erfolgt initial mit dem Oracle Network Configuration Assistant (NetCA), die Registrierung der Datenbank und Verwaltung der Net Service-Einträge mit dem Oracle DBCA ( Configuration Assistant), bzw. dem Oracle Network Manager.

KONFERENZ Abb. 3: Namensauflösung über Active Directory 1.1 Erzeugen des Oracle Schema und Context im Active Directory Um die Voraussetzungen für diese Möglichkeiten zu schaffen, muss eine Schema-Erweiterung im Active Directory vorgenommen werden. Im Anschluss kann der Oracle-Context zur Speicherung von Net Service-Einträgen erzeugt werden. Abb. 4: Angaben im Oracle Network Configuration Assistant Wichtig ist hier die einwandfrei funktionierende Auflösung des Distinguished Name über den DNS-Server. Während dies in einem produktiven System selbstverständlich der Fall ist, kann es auf einem Testsystem dadurch zu Problemen kommen. Ein "Ping" muss also für alle Teile des Distinguished Names erfolgreich sein. Im Falle von "cj01.claus-domain.de" wären das also "cj01", "clausdomain.de", "cj01.claus-domain.de". Nach den Erfolgsmeldungen zum gelungenen Erzeugen des Oracle-Schemas und Context, sind die Voraussetzungen zur Registrierung der Datenbank im Active Directory und zentralen Verwaltung der Net Service-Einträge gegeben.

Abb. 5: Meldungen des NetCA zu einer erfolgreichen Integration mit Active Directory 1.2 Client-Konfigurationsdateien Die Oracle Konfigurationsdatei TNSNAMES.ORA ist mit der Integration in Active Directory erfolgreich eliminiert worden. Ganz ohne Konfigurationsdateien auf den Clients geht es allerdings auch nicht. Es handelt sich dabei aber nur um die grundsätzliche Information, dass LDAP zur Namensauflösung verwendet wird und wo sich der Oracle-Context befindet. Der einzige Unterschied zwischen einem Oracle9i- und Oracle 10g-Client ist die zusätzliche Angabe des LDAP-Ports. Der Standard-Port des LDAP-Servers ist immer 389. Abb. 6: Notwendige Konfigurationsdateien auf Client-Seite 1.3 Eintragen von Net Service Namen Falls bereits eine TNSNAMES.ORA mit mehreren Net Service Einträgen vorhanden ist, kann diese mit dem Oracle Net Manager Wizard-gesteuert in das Active Directory exportiert werden. Im fogenden Beispiel wurden die zugehörigen Einträge für die Oracle 10g Real Application Clusters exportiert. Alternativ kann mit einem Klick auf das grüne "+"-Zeichen ein neuer Eintrag manuell hinzugefügt werden. Diese Funktion steht ebenso wie das Löschen oder Modifizieren bestehender Einträge nur Personen mit entsprechenden Rechten zur Verfügung. Diese müssen explizit in die von Oracle angelegte Net Admin Gruppe unter den "Active Directory Users and Computers" aufgenommen werden. Ein gewöhnlicher Benutzer hat reine Leserechte auf den Oracle Context.

KONFERENZ Abb. 7: Verwalten von Net Service-Einträgen mit dem Oracle Network Manager 1.4 Single-Domain-Konzept Für ein kleineres Netzwerk mit einem einzigen Domain Controller ist das Default-Verhalten des Oracle NetCA durchaus passend. In diesem Fall wird der Oracle-Context im Domain NC (Naming Context) des Active Directory angelegt, während sich die Schema-Erweiterungen im Configuration Container befinden. Abb. 8: Das Oracle-Schema und der Oracle-Context im Active Directory Der Oracle-Context ist dadurch auch unter dem Windows Snap-In "Active Directory Users and Computers" sichtbar. Würde er sich (wie das Oracle-Schema) im Configuration Container befinden, wäre dies nicht der Fall. 1.5 Multiple Domain Konzept In einem Netzwerk mit mehr als einem Domain Controller kann das Erzeugen des Oracle-Context im Domain NC allerdings ungünstig sein, da er damit als Container für Net Service Einträge den anderen Domänen nicht zur Verfügung steht.

Abb. 9: Ein Oracle-Context im Domain NC steht nicht allen Domänen zur Verfügung Entweder wird also für jede Domäne ein eigener Oracle-Context erzeugt was möglich ist, aber dem Grundgedanken (zentrales Management) widersprechen würde oder es wird ebenfalls der Configuration Container verwendet. Abb. 10: Der Oracle-Context steht im Configuration Container allen Domänen zur Verfügung Da hiermit auch für den Oracle-Context die Replikationsmechanismen des Active Directory wirksam werden, ist wieder ein Single-Point-of-Administration erreicht.

KONFERENZ Abb. 11: Replikation des Oracle Schema und Context im Configuration Container 1.6 Maximale Kontrolle für Active Directory-Administratoren Eine Schema-Erweiterung ist keine triviale Angelegenheit und hat direkte Auswirkungen auf das Active Directory. Schema-Objekte können auch nicht wieder gelöscht, sondern nur deaktiviert werden. Aus diesem Grund ist neben der Wizard-gesteuerten Integration die Möglichkeit zum Skript-gesteuerten Erzeugen der Oracle-Einträge mit maximaler Kontrolle und dem Erzeugen von Log- Files gewünscht. In seiner grundsätzlichen Funktion macht der Oracle NetCA auch nichts anderes, als die notwendigen LDIF-Dateien zu verarbeiten. Diese befinden sich im Oracle Home-Verzeichnis. Abb. 12: Funktionsweise des Oracle Networking Configuration Assistant 2. Active Directory und Oracle Internet Directory Bis zu diesem Punkt führt die Integration von Oracle mit Active Directory zwar zu einer Senkung der administrativen Last, für die Anwender ist aber noch kein direkter Mehrwert erkennbar. Durch die Synchronisation des Active Directory und Oracle Internet Directory wird der begonnene Konsolidierungsgedanke weitergeführt.

Abb. 12: Synchronisation des Active Directory mit dem Oracle Internet Directory Mit der Installation des Oracle 10g Application Servers stehen bereits verschiedene Profile zur Synchronisation mit dem Active Directory zur Verfügung. Das Aktivieren dieser Profile erfolgt durch die Konfiguration der entsprechenden Mapping-Files, um die Struktur des Active Directory auf das Oracle Internet Directory abzubilden. In einer Standardumgebung ist die Abbildung der User- Realm ausreichend. Abb. 13: Konfiguration der Mapping-Files Mit der Integration von Oracle mit dem Active Directory wurde eine Konsolidierung des administrativen Overheads erreicht. Duch die Synchonisation des Active Directory mit dem Oracle Internet Directory, kann man nun die Anwender von der Last mehrerer Accounts und Passwörter befreien. Ein neuer Benutzer wird nur einmal im Active Directory angelegt und automatisch mit dem Oracle Internet Directory synchronisiert.

KONFERENZ Abb. 14: Ein neuer Benutzer muss nur im Active Directory neu angelegt werden. 3. Active Directory und HTML DB Die Oracle-Unterstützung der Windows-Umgebung ist durchgängig und konsequent, vor allem dann, wenn es sich um Vorteile oder eine Erleichterung für Anwender und Administratoren handelt. Auch die Oracle HTML DB kann folgerichtig eine vorhandene Windows-Umgebung mit Active Directory nutzen. Dies ist sogar besonders einfach möglich. Abb. 15: Stellen beide Ansätze einen unvereinbaren Gegensatz dar? Nach diesen Einstellungen können die Benutzer sofort ihren Windows- Account verwenden, um sich bei einer HTML DB-Anwendung anzumelden. Eine separate Benutzerverwaltung ist nicht erforderlich, was Administratoren wie Anwender gleichermassen entlastet und auch der Sicherheit zugute kommt.

Kontaktadresse: Claus Jandausch ORACLE Deutschland GmbH Riesstraße 25 D-80992 München Telefon: +49(0)89-14301520 Fax: +49(0)89-14301572 E-Mail: claus.jandausch@oracle.com Internet: www.oracle.de

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback