Von der Datenbank zum LDAP-Server schnell und einfach mit Oracle Virtual Directory

Ähnliche Dokumente
LDAP-Server ganz einfach mit Oracle Virtual Directory

Von der Datenbank zum LDAP-Server schnell und einfach mit Oracle Virtual Directory. DOAG Konferenz Nürnberg

Von der Datenbank zum LDAP-Server schnell und einfach mit Oracle Virtual Directory. DOAG Konferenz Nürnberg

LDAP-Server ganz einfach mit Oracle Virtual Directory. DOAG Konferenz Nürnberg

Zentrale Authentifizierungsdienste an der RUB Herbsttreffen zki AK Verzeichnisdienste

WebLogic goes Security

Kerberos Geheimnisse in der Oracle Datenbank Welt

WebLogic goes Security!

Einsatz von Tools. Nadjibullah Rajab Bereichsleiter OPITZ CONSULTING Gummersbach GmbH. Mannheim, Einsatz von Tools Seite 1

Konfiguration von WNA in Oracle Access Manager 11g

Cloud Control, Single Sign On in Active Directory Umfeld

Oracle Enterprise User Security 11g mit Server Chaining

Meine Datenbank läuft auf Vmware Was sagt der Enterprise Manager dazu?

Zentraler Identity Repository Zugriff für Oracle BPM Suite mit Oracle

Single Sign-On kann da Abhilfe schaffen. EIN sicheres Passwort sollte sich jeder merken können.

Identity Propagation in Fusion Middleware

Neues von Grid Control. Ralf Durben Oracle Deutschland B.V. & Co. KG Business Unit Datenbank DBTec

Auch nach so vielen Jahren: Was Sie schon immer über Forms/Reports 11g wissen sollten

Oracle Fusion Middleware Überwachung mit Oracle BAM

Copyright 2014, Oracle and/or its affiliates. All rights reserved.

Titel. System Center Orchestrator 2012 R2 Anleitung zur Installation

Cloning und Laufzeitüberwachung von Oracle Fusion Middleware

quickterm 5.4 Systemvoraussetzungen

i-net HelpDesk Erste Schritte

Copyright 2012, Oracle and/or its affiliates. All rights reserved.

IDM: Identity Connector Framework (ICF) und SAP Connectors

Abb. 1: Schematische Architektur WebLogic-Server

Security im Forms/Reports Umfeld ohne SSO

Workshop c3m-ii. Identitätsmanagement. Dr. Gunnar Dietz. Projekt MIRO, Universität Münster

Komponenten. Abb. 1: Weblogic-Komponenten

Domänencontroller / Active Directory. Was ist eine Domäne?

Hochverfügbarkeit und virtualisierte Umgebungen

Portal for ArcGIS - Eine Einführung

1.1 Datenbankprogramm Oracle für MCIS MDA

DATANAUT 5.x Server-Installation

Zentrale Datenbank-Nutzerverwaltung

PRODATIS CONSULTING AG. Folie 1

Oracle Database Cloud Service

HA und Oracle Forms 12c

Installation nextbau Server

<Insert Picture Here> Oracle Forms 11g. Gert Schüßler Leitender Systemberater Oracle Deutschland GmbH

NCP Secure Enterprise Management (für Windows-Betriebssysteme) Neue Features Version 1.03 bis 2.04

CADEMIA: Einrichtung Ihres Computers unter Linux mit Oracle-Java

Skriptbasierte Administration des WebLogic Servers mittels WLST

Best Practices und Tools für Upgrades aus der Sicht der Applikation

Neues in der Installation von Oracle Forms/Reports

WebLogic Server: Installation Best Practices

Authentifizierung und. Chipkarte und digitaler Signatur am Beispiel des RUBICon-Frameworks

<Insert Picture Here> Grid Control 11g Installation Ralf Durben

Single-Sign-On für Web-Anwendungen. Dr. Günter Unbescheid Database Consult GmbH

Oracle Public Cloud benutzen

CADEMIA: Einrichtung Ihres Computers unter Windows

Anwendungsintegration an Hochschulen am Beispiel Identity Management. Münster, 7. Sept. 2006

Systemvoraussetzungen für ConSol CM Version Architektur Überblick

Systemvoraussetzungen CAS genesisworld

Weblogic Server - Administration für Umsteiger

OEM 12c Cloud Control - mal ohne "Superuser für Alle"

WebLogic Server für Dummies

Wesentliche Ideen und Komponenten der V13 V13 Under the Hood die Technik dahinter

Best of Oracle Weblogic Diagnostic Framework

<Insert Picture Here> RAC Architektur und Installation

Oracle ACFS / CloudFS zuverlässig nutzbar?

Weblogic Server: Administration für Umsteiger

Wegweiser durch die TU Berlin Verzeichnisse (Update)

MEMBRAIN LICENSE SERVER. Version Membrain GmbH

<Insert Picture Here> Kerberos Geheimnisse in der Oracle Datenbank Welt

Upgrade von Java Anwendungen von OracleAS 10g auf FMW 11g

Die Dienstleistung Servermanagement umfasst die Bereitstellung und den Betrieb von Servern an der ETH.

Java WebApps und Services in der Oracle Cloud

Einbindung von Lokalen Bibliothekssystemen in das Identity Management einer Hochschule

Oracle 10g Integration mit Microsoft Active Directory

ConSol* Monitoring-Tools Ein Überblick - Mit Praxisbeispielen zum Einsatz bei Lidl -

RAC News in Oracle 11g Release 2

Der lange Weg vom SSO-Server zu SAML und Identity Federation

Public Cloud im eigenen Rechenzentrum

quickterm Systemvoraussetzungen Dokumentversion 1.0

CADEMIA: Einrichtung Ihres Computers unter Mac OS X

Oracle Enterprise Manager 11g: Grid Control Essentials NEU

Wie setzt Swisscom Solaris 11 ein

Oracle Forms 11g Informationen zum neuen Release

FreeIPA. Eine Einführung. Robert M. Albrecht. Presented by. Fedora Ambassador CC-BY-SA. Freitag, 20. Juli 12

Agenda. IT-Symposium Secure Enterprise Search. Suchen und finden mit Suchmaschinen. Oracle SES Überblick

Checkliste. Installation NCP Secure Enterprise Management

Erfahrungsbericht, Konsolidierung und Administration Real Application Cluster

Ora Education GmbH. Lehrgang: Oracle Application Server 10g R2: Administration I

Data Management mit UNICORE 6

Anforderungen an DWH/BI Services Integration in die (SOA) Prozessarchitektur

Ora Education GmbH. Lehrgang: Oracle Application Server 10g R3: Administration

Oracle Enterprise Manager 10g Grid Control Release 2

DOAG Regionalgruppe NRW

BI Projekt mit Exadata / Golden Gate

FlexFrame for Oracle. Torsten Schlautmann OPITZ CONSULTING Gummersbach GmbH

Transkript:

Von der Datenbank zum LDAP-Server schnell und einfach mit Oracle Virtual Directory Hans-Ulrich Beres Ruhr-Universität Bochum Bochum Suvad Sahovic Oracle Deutschland GmbH Potsdam Schlüsselworte: Oracle Virtual Directory, OVD, Oracle Fusion Middleware, LDAP, Identity Management, Authentifizierung, Autorisierung Einleitung Die Ruhr-Universität Bochum (RUB) betreibt seit über 10 Jahren ein selbstentwickeltes Identitäts- und Zugriffsmanagementsystem RUBiKS (RUB integrierter Kunden-Service), das heute ca. 60.000 Identitäten verwaltet. Über das System wird konfiguriert, auf welche IT-Dienstleistungen und Produkte ein Benutzer Zugriff erhält und welche Bereiche zu schützen sind. Es hält die Passwörter synchron und ermöglicht Single Sign-On. In diesem Vortrag wird erläutert, wie die in einer Oracle-Datenbank gespeicherten Daten mit Oracle Virtual Directory als LDAP-Server verfügbar gemacht wurden. In einer Live-Demo wird die einfache Konfigurierbarkeit und die hohe Performance gezeigt. Identity and Access Managementsystem RUBiKS RUBiKS verwaltet die elektronischen Identitäten in einer Oracle Datenbank 10g. Studierende erhalten bereits bei der Immatrikulation eine Zugangskennung (LoginID), sonstige Angehörige der Universität auf Antrag, Mitarbeiter demnächst sofort bei ihrer Einstellung. Für Kongresse lassen sich termingebundene Accounts generieren, darüber hinaus gibt es temporäre Accounts mit einer konfigurierbaren Lebenszeit von einer Stunde bis zu mehreren Monaten. Derzeit werden rund 150 Online-Dienstleistungen auf Basis eines Rollenkonzepts angeboten. Dazu gehören - email - Internet-Zugang (Studentenwohnheime, HIRN, WLAN, VPN, ISDN, DFN@home, Shibboleth) - elearning-system Blackboard - Prüfungsverwaltungssystem VSPL - Bibliothekskatalog OPAC - Haushaltsinformationssystem - Wikis - Blogs - Unix-Server - Windows-Server - Software-Lizenzen

Die Verwaltung geschieht über Web-Interface, Web-Services und Stored Procedures. Die Systemlandschaft besteht aus folgender Hardware: 3-Knoten RAC mit Fiberchannel-SAN EMC CX3-20 1 Stand-By-Datenbank-Server 3 Oracle Application-Server 2 LDAP-Server 2 Loadbalancer 1 Enterprise-Manager-Server Betriebssystem: RedHat Enterprise Linux 4(64 Bit) Datenbanksoftware: Oracle Database 10g Enterprise Edition (64 Bit) Einige Dienste nutzen das zentrale Active Directory, das regelmäßig mit Hilfe eines perl-scripts aktualisiert wird. Eine zunehmende Anzahl von Diensten nutzt den LDAP-Server. Dieser wurde bis Mitte des Jahres 2010 mit OID, danach mit OVD realisiert. LDAP-Server real Oracle Internet Directory (OID) ist ein LDAPv3-konformer Verzeichnisdienst, der die Daten in einer eigenen Oracle Datenbank ablegt. Diese Daten wurden bisher mit Prozeduren des DBMS_LDAP- Paketes gepflegt. Dieser Zugriff ist relativ langsam, außerdem kam es immer wieder zu Inkonsistenzen zwischen RUBiKS- und LDAP-Daten. LDAP-Server virtuell Oracle Virtual Directory (OVD) ist ein virtueller Verzeichnisdienst, der Identitätsinformationen unterschiedlichster Quellen LDAPv3-konform bereitstellt, ohne dass die Daten in einem gesonderten Repository zwischengespeichert werden, Inkonsistenzen sind dadurch ausgeschlossen. Die Software gibt es seit 2005 in Oracle-Portfolio und aktuell ist die Version 11.1.1.3. Die verschiedenartigen Quellen werden über sogenannte angebunden. LDAP Oracle Virtual Directory Join View DSML/XSLT Web Gateway Service Provider, Listener Data Transformation, Mapping, Routing, Security Local Store LDAP DB Custom Abb. 1: Architektur von Oracle Virtual Directory Die lassen sich durch java-plugins erweitern, z.b. nutzen wir ein bind-plugin, um für die temporären Accounts den Zeitpunkt der Erstnutzung in der RUBiKS-Datenbank zurückzuschreiben.

OVD installiert Als Betriebssystem installierten wir RedHat Enterprise Linux 5 (64 Bit). Eine komplette OVD-Installation besteht aus 2 Teilen: - der WebLogic Server Domain und - der eigentlichen OVD-Instanz Für eine Minimal-Installation kann man beide auf dem gleichen Server installieren. Der WebLogic-Server erfordert als Voraussetzung ein passendes Java, wir installierten JRockit Mission Control 3.1.2 for Java Version 6 (Linux x86-64). Den aktuellen WebLogic-Server 11g Rel 1 gibt es in der Version 10.3.3. Das Identity Management muss man in zwei Schritten installieren: - zuerst die Version 11.1.1.2.0 - dann das Upgrade auf Version 11.1.1.3.0. Bei der Auswahl der zu installierenden Komponenten wählten wir nur das Virtual Directory. Oracle Weblogic Server Domain Oracle Virtual Directory Instance Admin Console Fusion Middleware Control Admin Server ODSM Oracle Virtual Directory Managed Server Abb. 2: Komponenten einer Oracle Virtual Directory - Installation Die Start- und Stop-Skripte bestehen wie die Struktur der Software-Installation aus 3 Teilen: - der Admin-Server mit - der Administrationskonsole für den WebLogic-Server - dem Enterprise-Manager - der Managed-Server mit - dem Directory Service-Manager zur Konfiguration des Virtual Directory - die Instanz des Oracle Virtual Directory

OVD konfiguriert Das standardmäßig vorhandene LDAP-Schema wurde durch eigene Objektklassen und Attribute erweitert. Abb. 3: -Konfiguration mit dem Directory Services Manager Für jeden LDAP-Zweig gibt es einen eigenen Datenbank-, der seine Daten aus passenden Views der RUBiKS-Datenbank bezieht. Für jedes LDAP-Attribut wird dort das Mapping zur entsprechenden Tabellen-Spalte festgelegt. Durch entsprechende Konfiguration ist auch die automatische dynamische Bildung von Unterstrukturen möglich, z.b. - Hosts - organizationalunit1 - uid1 - uid2 - organizationalunit2 - uid3 Durch fein abgestimmte Access-Control-Listen wird der Zugriff auf die einzelnen LDAP-Zweige bzw. LDAP-Attribute geregelt. Niemand hat schreibenden Zugriff, Änderungen der Daten erfolgen grundsätzlich nur in der RUBiKS-Datenbank. Einzige Ausnahme ist die erstmalige Anmeldung mit einem temporären Account, dann wird vom bind-plugin das Freischaltdatum und das entsprechende Löschdatum in die RUBiKS-Datenbank zurückgeschrieben. Selbstverständlich ist mit OVD auch der schreibende LDAP-Zugriff möglich, dadurch würden dann die entsprechend gemappten Quelldaten geändert werden. Ein mehrstufig konfigurierbares Logging erleichterte die Suche nach Konfigurationsproblemen und Optimierungsmöglichkeiten.

OVD optimiert Abb. 4: Leistungsübersicht auf der OVD-Homepage des Enterprise-Managers

Standardmäßig sind die Listener nur für 10 Threads konfiguriert, für optimale Performance empfiehlt Oracle einen Wert von 50. Die Datenbank- belasteten die RUBiKS-Datenbank merklich durch viele select-statements. Deshalb ersetzten wir die Views durch Materialized Views, die im 5-Minuten-Takt aktualisiert werden. Da wir alle Datenbankadapter für Suche ohne Berücksichtigung der Groß-/Kleinschreibung konfiguriert haben, ist es unbedingt erforderlich, für alle Spalten, die in einer solchen Suche vorkommen können, einen entsprechenden function-based Index upper(<spaltenname>) zu erzeugen, um die sonst notwendigen Full-Table-Scans zu vermeiden. In einem weiteren Schritt verlagerten wir diese Materialized Views in eine eigene lokale Datenbank auf jeden LDAP-Server. Dadurch stehen die LDAP-Server sogar bei einem Ausfall der gesamten RUBiKS-Datenbank zur Verfügung. Die LDAP-Vorgänge (bind, search) sind stateless und voneinander unabhängig, eine Skalierung der Leistungsfähigkeit und Ausfallsicherheit erreicht man daher ganz einfach durch Parallelschalten mehrerer gleich konfigurierter LDAP-Server hinter zwei Loadbalancern. Mit Hilfe eines mitgelieferten Skripts kann man die Konfiguration eines Servers auf die anderen Server kopieren. Die beiden vorgeschalteten Loadbalancer regeln mittels Heartbeat, welcher von beiden aktiv ist, Clients merken nichts davon, für sie gibt es nur den LDAP-Server. ldap.ruhr-uni-bochum.de OVD-Server 1 Loadbalancer 1 Client OVD-Server 2 Loadbalancer 2 OVD-Server 3 RUBiKS DB Abb. 5: Lastoptimierte und fehlertolerante OVD-Installation OVD resultiert Oracle Virtual Directory ist eine komfortable Möglichkeit, Daten aus verschiedensten Datenquellen als LDAP-Server bereitzustellen. Wenn das Mapping der LDAP-Attribute zu den Eingabedaten einmal korrekt definiert ist, geschieht alles Weitere völlig automatisch. Änderungen der Quelldaten sind sofort im LDAP sichtbar, weil der OVD-Server keine Daten zwischenspeichert. Änderungen im LDAP werden sofort in die Quelldaten zurückgeschrieben. Nach unseren Erfahrungen hängt die Performance des OVD-Servers allein von der Performance der Daten-Lieferanten ab.

Kontaktadresse: Hans-Ulrich Beres Dipl.-Math. Ruhr-Universität Bochum Universitätsstraße 150 44801 Bochum Telefon: +49 (0) 234-32-24012 Fax: +49 (0) 234-32-04012 E-Mail: Hans-Ulrich.Beres@ruhr-uni-bochum.de Internet: http://www.ruhr-uni-bochum.de Suvad Sahovic Senior Systemberater Oracle Deutschland B.V. & Co. KG Schiffbauergasse 14 14467 Potsdam Telefon: +49 (0) 331-2007-181 Fax: +49 (0) 331-2007-561 E-Mail: suvad.sahovic@oracle.com Internet: http://www.oracle.com

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback