Oracle Secure External Password Store

Ähnliche Dokumente
Einleitung. Enterprise Benutzer

Kerberos Geheimnisse in der Oracle Datenbank Welt

Oracle Audit Vault. Sven Vetter Principal Consultant, Partner DOAG, Stuttgart, Jan. 2008

KeePass :15-10:45 Uhr. Birgit Gersbeck-Schierholz, IT-Sicherheit, RRZN

Verschlüsseln als Überlebensstrategie

Architektur / Komponenten ASO SSL. sqlnet.ora sqlnet.ora

Einrichtung einer Projektzeitenmanager Datenbank auf einem Firebird Datenbankserver. Mit Hilfe des Programmes pzmadmin v1.6.x

Mac OS X Consoliero Teil 14: Webmail Agent unter Mac OS X Server 10.2

Kerberos - Single Sign On ganz einfach

Schlüsselworte Data Guard, Standby Datenbank, RMAN, Backup, Restore, Recovery

Passwortwechsel mit Windows

Lehrveranstaltung Grundlagen von Datenbanken

Oracle Database Backup Service - DR mit der Cloud

SSL-Test und Orapki is your friend

MGE Datenanbindung in GeoMedia

Archive / Backup System für OpenVMS

Gut zu wissen... Lorenz Keller Server Technologies Competence Center Nord

Typo 3 installieren. Schritt 1: Download von Typo3

Das Trainingsmanagent ab Version 2.6

Oracle 10g Einführung

Hier folgt eine kurze Aufstellung über die verwendete Architekur. Die Angaben sind ohne Gewähr für Vollständigkeit oder vollständige Richtigkeit.

2. Einrichtung der Verbindung zum Novell-NetStorage-Server

Konfiguration des Access Points Zyxel ZyAir G Mbps

How to Public key authentication with freesshd

Remotely Anywhere Verwendung von Zertifikaten Schritt für Schritt Anleitung zur Implementation von Zertifikaten in Remotely Anywhere

Pervasive.SQL ODBC Treiber. ab ABACUS er-Version Installationsanleitung

Diplomarbeit Webmaster. CONTENTMANAGEMENT Installationsanleitung. Version 1.0

Neue Security Features mit Oracle 11g

Cloud Control, Single Sign On in Active Directory Umfeld

Sind Cloud Apps der nächste Hype?

ZIPSPLITMAIL. HowTo. Jürgen A.Lamers Version 0.3a

SSH-Zugang zu Datenbanken beim DIMDI

Oracle Database Security: Wie viel darf es denn sein?

Jan Schreiber, Pablo Stapff Loopback.ORG GmbH, Hamburg

<Insert Picture Here> Kerberos Geheimnisse in der Oracle Datenbank Welt

Wir benötigen: PHP >=5.x mit den Erweiterungen curl, dom, gd, hash, iconv, mycrypt, pcre, pdo, pdo_mysql und simplexml 1/2h Zeit

TimeMachine. Installation und Konfiguration. Version 1.4. Stand Dokument: install.odt. Berger EDV Service Tulbeckstr.

Passwort-Management. Leitfaden zum Passwort-Management HMS 9700

O-ORA Oracle Security Bootcamp

Single Sign-On Step 1

Konfiguration von Outlook im MAPI-Modus End User (Beispiel mit Outlook XP/2003)

07/2014 André Fritsche

Ora Education GmbH. Lehrgang: Oracle Application Server 10g R2: Administration I

Wie sicher ist die Datenbank vorm Administrator?

Persönliche Erfahrungen mit dem neuen NetWorker 7.2 Client für NetWare

Safexpert Oracle Datenbank Konnektor. Stand: IBF-Automatisierungs-und Sicherheitstechnik GmbH A-6682 Vils Bahnhofstraße 8

New Features Oracle Forms 11g Nichts Neu für Forms?

Configuration Manager Hardware Inventory Erweiterungen trueit TechEvent

HOWTO TrueCrypt mit Chipkarte

bla bla Guard Benutzeranleitung

Mobile Security: Sicherer Applikationszugriff für eine mobile Welt. Oracle Mobile and Social Access Management. Heike Jürgensen.

Konfiguration Outlook 2003 (Outlook 2007) im MAPI-Modus End User

Ora Education GmbH. Lehrgang: Oracle Application Server 10g R3: Administration

Wie richte ich mein Webhosting auf dem Admin Panel ein?

1.5. Passwort-geschützte Seiten

Beehive, Oracles neue Kommunikationslösung Patrick Joss. Consultant. 12. Juni 2009

Konfigurationsbeispiel USG & ZyWALL

Absicherung von Oracle Administrations- bzw. Entwicklerarbeitsplätzen. Alexander Kornbrust 03-Mar Red-Database-Security GmbH

Das Kerberos-Protokoll

NEWSLETTER. FileDirector Version 2.5 Novelties. Filing system designer. Filing system in WinClient

Monitoring-Workshop 2014 in Berlin. Oracle-Monitoring im Praxis-Betrieb. Michael Wuttke

Knottenwäldchen Software

Inhaltsverzeichnis. Open-Xchange Authentication & Sessionhandling

Tutorial: Systemportierung per Datenbank-Sicherung. version: 0.1 Author: Anja Beuth

Achung! User müssen unter Linux schon erstellt sein!

Isabel Arnold CICS Technical Sales Germany z/os Explorer IBM Corporation

Oracle GridControl: SLA- und Performance-Management Vetter Sven. Senior Consultant. Mai 2006

DoIT! ExchangeSync. DoIT! ExchangeSync Version 1.0. S eite 1 von 7

Andy s Hybrides Netzwerk

BlackBerry Mobile Fusion Universal Device Service. Thomas Dingfelder, Senior Technical Account Manager ubitexx a Subsidiary of Research In Motion

Hinweise zu A-Plan 2009 SQL

Einrichten der Windows Authentication im Active Directory auf Windows 2000 Server und MS SQL Server 2005 Express für opus i

Spezifikationen und Voraussetzung

WIE MELDEN SIE SICH AN SAP AN? SAP NETWEAVER SINGLE SIGN-ON SAP SECURITY UND SICHERES SINGLE SIGN-ON MARKUS NÜSSELER-POLKE

Benutzerhandbuch für Hosted Exchange

Benutzen Sie bitte den Front-USB-Slot für Ihre Sticks. Warten Sie ca. 15 Sekunden. Doppelklicken Sie das Icon 'USB- Stick aktivieren'.

Um asynchrone Aufrufe zwischen Browser und Web Anwendung zu ermöglichen, die Ajax Hilfsmittel DWR ist gebraucht.

Betriebssystem Windows - SSH Secure Shell Client

Cameraserver mini. commissioning. Ihre Vision ist unsere Aufgabe

NetVoip Installationsanleitung für D-Planet VIP 156

Microsoft Azure Fundamentals MOC 10979

ECC FILE TRANSFER SERVICE USER-GUIDE. Datum Leipzig. Ort. Document Release 004

Die Idee der Recovery Area: Sie enthält bei Beschädiging der Database Area alles, was für ein erfolgreiches Recovery gebraucht wird

p^db=`oj===pìééçêíáåñçêã~íáçå=

Oracle Multitenant Verwaltung von Pluggable Databases Handling und Besonderheiten

a.sign Client Lotus Notes Konfiguration

PostgreSQL auf Debian System

ALL1681 Wireless g Powerline Router Quick Installation Guide

DER ORACLE CONNECTION MANAGER (CMAN) ALS FIREWALL FÜR DAS ROUTING VON DATENBANK VERBINDUNGEN

Installationsanleitung für die netzbasierte Variante Bis Version 3.5. KnoWau, Allgemeine Bedienhinweise Seite 1

Titelbild1 ANSYS. Customer Portal LogIn

SWISSVAULT StorageCenter Console Version 5 Kurzanleitung für SWISSVAULT Combo Partner

Umstieg von VPN Client auf AnyConnect und SSOApplet auf SAPConnect für Kunden ohne CNA. Dokumentation der Installation und Konfiguration

Einfache Nutzung von D-Grid Zertifikaten

Beschreibung Mobile Office

Mobile Device Management (MDM) Part2

Ihr Benutzerhandbuch F-SECURE PSB AND SERVER SECURITY

Transkript:

Oracle Secure External Password Store Sven Vetter Trivadis AG Bern Schlüsselworte: Passwort, Wallet, Single SignOn, PKCS#12, PKCS#11, Zertifikat, Autologin Einleitung Sie müssen sich viele Passwörter für die Anmeldung an verschiedenen Oracle-Datenbanken merken? Eine "grosse" Single SignOn-Lösung haben Sie aber noch nicht eingeführt? Dann könnte dieses Feature für Sie hilfreich sein! Konzept: Alle Ihre Passwörter werden in einem Wallet abgelegt Sie benötigen nur dessen Master-Passwort für den Zugriff auf Ihre Datenbanken Wallet Management Für diverse Oracle Features (nicht nur für Secure External Password Store wird ein Wallet gebraucht: Verschlüsselung von sensitiven Daten in Datenfiles Verschlüsselung von Backups und Exports SSL-Verbindung (Verschlüsselung, Integritätsprüfung und Autorisierung Ein Wallet entspricht dem PKCS#12-Standard. Im Wallet können sowohl Zertifikate als auch (seit Oracle 10.2 Passwörter gespeichert werden. Mit folgenden Tools können Wallets bearbeitet werden: Oracle Wallet Manager orapki (siehe Anhang F orapki Utility im Oracle Database Advanced Security Administrator's Guide mkstore z.b. Wallet erzeugen (neues Wallet-Passwort wird abgefragt mkstore -wrl $ORACLE_BASE/admin/$ORACLE_SID/wallet -create

Durch mkstore ist per Default "Auto Login" eingeschaltet, dies hat aber einige Konsequenzen: Es wird eine zweite Datei (cwallet.sso erzeugt, durch welche bestimmte (Lese- Operationen ohne Passwortabfrage möglich sind Das normalerweise verschlüsselte Wallet kann von der Datenbank abgefragt werden Änderungen benötigen noch das Passwort Das Wallet kann einschliesslich sso-datei auf einen anderen Rechner kopiert werden - und ist auch dort geöffnet (seit Oracle 10g - und kann z.b. für Entschlüsselungen gebraucht werden! Ein offenes Wallet wird von manchen Tools gebraucht, um ohne Benutzereingriff zu arbeiten: Backup-Verschlüsselung Datenverschlüsselung in Datenfiles Oracle Secure Password Store SSL Deswegen: Autologin ist manchmal notwendig, dann aber das Wallet gut schützen (am besten auf einem externen Device, z.b. einem USB-Stick mit Passwortverschlüsselung! Natürlich kann auch ein Wallet ohne Autologin erzeugt werden (besser gesagt, das SSO-File wieder gelöscht werden: mkstore -wrl $ORACLE_BASE/admin/$ORACLE_SID/wallet \ -create -deletesso Alternativ zu Auto Login kann das Wallet auch direkt in der Datenbank geöffnet werden: ALTER SYSTEM SET WALLET OPEN IDENTIFIED BY {password}; Und natürlich auch wieder geschlossen werden: ALTER SYSTEM SET WALLET CLOSE; Dies funktioniert aber nicht für Oracle Secure Password Store, da dabei das Wallet auf der Client-Seite ist! Und den Enterprise Login Assistent gibt es leider nicht mehr Installation und Konfiguration Auf dem Client muss in SQLNET.ORA der Speicherplatz des Wallets eingetragen sein: WALLET_LOCATION = (SOURCE = (METHOD = FILE (METHOD_DATA = (DIRECTORY = p:\oracle\wallets

Ausserdem muss eventuelle SSL Authentication (welche ja auch über das Wallet gesteuert wird ausgeschaltet sein: SQLNET.WALLET_OVERRIDE = TRUE Jetzt können die Passwörter eingetragen werden (im Beispiel wird für den connect_string "DB1" der User "scott" mit Passwort "tiger" definiert: mkstore -wrl p:\oracle\wallets -createcredential DB1 \ scott tiger Die Anmeldung an der DB erfolgt durch: connect /@DB1 Das bedeutet: Pro Connect_string kann nur ein Username/Passwort abgespeichert werden Brauche ich mehrere Benutzer innerhalb einer DB, muss ich mehrere Connect_strings in TNSNAMES.ORA (ONAMES, OID, definieren Mit mkstore können folgende Operationen auf die Username/Passwort-Kombinationen durchgeführt werden Weitere Usernamen/Passwort-Kombinationen erzeugen: -createcredential Löschen einer Kombination: -deletecredential Anzeigen aller Kombinationen: -listcredential mkstore -wrl p:\oracle\wallet listcredential Enter password: List credential (index: connect_string username 2: DB1.svv.bern.trivadis.com system 1: DB1 scott 4: DB920 appl1 3: DB1_DBA system Die Passwörter innerhalb der Datenbank und innerhalb des Wallets werden nicht synchronisiert. Deshalb muss mit mkstore auch das Passwort (oder eventuell auch der Usernamen geändert werden: mkstore -wrl p:\oracle\wallets -modifycredential \ DB1 scott new_pwd Enter password: Modify credential Modify 1

Innerhalb einer Oracle-Session kann nicht festgestellt werden, ob konventionell per Usernamen/Passwort oder per Wallet angemeldet wird: SELECT sys_context('userenv','authentication_method' method FROM dual; METHOD ------------------------------- PASSWORD Das Feature wird auf Client-Seite durch OracleNet ausgeführt: Geht dadurch gegen alle unterstütze Oracle-Datenbank-Versionen Geht mit jedem Client, der auf OracleNet 10.2 basiert Ablage des Wallets Das Wallet kann auch in der Windows Registry abgelegt werden. Dadurch ist eine Verteilung einfacher (es müssen keine Files an die richtige Stelle kopiert und geschützt werden. Vorgehen (mit Oracle Wallet Manager Wallet in Registry laden: "Wallet (File öffnen "Auto Login einschalten" "Use Windows Registry" einschalten Save Location auswählen (es können mehrere Wallets gespeichert werden, standardmässig DEFAULT Die Daten werden gespeichert unter: HKEY_CURRENT_USER\Software\Oracle\WALLETS\<location> Dadurch werden die Informationen bei Roaming Profiles mitgenommen!

SQLNET.ORA muss dafür wie folgt angepasst werden: WALLET_LOCATION = (SOURCE = (METHOD = REG (METHOD_DATA = (KEY = DEFAULT Method legt fest, dass das Wallet aus der Registry gelesen wird, Key legt die Location innerhalb der Registry fest. Leider kann das Passwort in der Registry nicht geändert werden (siehe Metalink Doc ID 4701381. Dies wurde als Enhancement Request anerkannt. Zitat: "Very desirable feature... Easier Administration of wallets stored in registry. Otherwise each time a change is required, we will have to save the wallet from registry to file, make a change and save the wallet back into the registry" Seit Oracle 10g unterstützt Oracle Hardware Security Module nach Public-Key Cryptography Standards (PKCS #11. Zertifiziert sind im Moment aber nur Module von ncipher Corporation. Laut Metalink sollten auch Module von Chrysalis und Eracom funktionieren. Die Geräte dieser Hersteller haben aber alle Koffergrösse und Autopreise und sind deshalb für die Speicherung meiner Passwörter nur bedingt geeignet. Ob und wann Passwörter darauf gespeichert werden können, ist sowieso noch unklar (Zitat aus einem Service Request: "We will check what the plans are for support of PCKS#11 and secure external password store. I do not believe we have any support for this combination in the current release." Toolunterstützung Getestet und funktioniert: SQL Navigator (Version 5.0.0: Username leer lassen, als Passwort "/" eingeben TOAD (Version 8.6.0: Username leer lassen, als Passwort "/" eingeben, im Login-Fenster wird "EXTERNAL" angezeigt RMAN SQLPLUS

Getestet und funktioniert (noch nicht Developer Suite 10.1.2 (nutzt eigene Network-Libraries 10.1 o Designer o Forms, Reports o JDeveloper SQL-Developer (checkt, ob Username und Passwort ausgefüllt Oracle Enterprise Manager (checkt, ob Username und Passwort ausgefüllt TORA Risiken Schon erwähnt: Das Wallet kann zusammen mit dem Autologin-File gestohlen werden. Dadurch können alle Ihre Accounts benutzt werden! Ausserdem: Wenn das Wallet-Passwort bekannt ist, kann das Passwort im Klartext aus dem Wallet extrahiert werden!!! Dies darf aber nie der Fall sein! C:\>mkstore -wrl p:\oracle\wallets \ -viewentry oracle.security.client.password1 Enter password: oracle.security.client.password1 = tiger Fazit Oracle Secure External Password Store ist eine Erleichterung, um sich z.b. in einer grossen Entwicklungsumgebung nicht alle Passwörter merken zu müssen. Als weiteres Anwendungsgebiet sehe ich die Möglichkeit, in Programmen (über das Netzwerk kein Passwort hart codieren zu müssen (z.b. RMAN, Exports,..., aber auch Applikationsserver. Durch Ablage in der Registry ist eine einfache Verteilung bei Windows Clients möglich. Leider ist eine Änderung des Passwortes in der Registry (noch nicht möglich. Ausserdem unterstützen diverse Tools dieses Feature (noch nicht. Die erwähnten Risiken sollten unbedingt beachtet werden.

Kontaktadresse: Sven Vetter Trivadis AG Papiermühlestrasse 73 CH-3014 Bern Telefon: +41-31-928 09 60 Fax: +41-31-928 09 64 E-Mail Sven.Vetter@trivadis.com Internet: http://www.trivadis.com

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback