SlideShare ist ein Scribd-Unternehmen logo
Oracle Centrally Managed User 18c/19c
28. Mai 2019, 16:00 bis 16:45 Uhr
Speaker
Stefan Oehrli
Senior Platform Architect
stefan.oehrli@trivadis.com
@stefanoehrli
Fabian Karsch
Senior Marketing Specialist
fabian.karsch@trivadis.com
Trivadis triCast Format
Dienstags um 16:00 Uhr
Aktuelle IT-Themen, Trivadis Sichtweise
Vortrag, Fragen & Antworten
Kurze Umfragen
WebCast wird aufgezeichnet
Möglichkeit für Fragen mittels Fragen-Menü
• 16 Trivadis Niederlassungen mit
über 600 Mitarbeitenden.
• Über 200 Service Level Agreements.
• Mehr als 4'000 Trainingsteilnehmer.
• Forschungs- und Entwicklungs-budget: CHF
5.0 Mio. / EUR 4.0 Mio.
• Finanziell unabhängig und
nachhaltig profitabel.
• Erfahrung aus mehr als 1'900 Projekten pro
Jahr bei über 800 Kunden.
KOPENHAGEN
MÜNCHEN
LAUSANNE
BERN
ZÜRICH
BRUGG
GENF
HAMBURG
DÜSSELDORF
FRANKFURT
STUTTGART
FREIBURG
BASEL
WIEN
Mitüber 600 IT- und Fachexperten bei Dirvor Ort
www.oradba.ch@stefanoehrli
Oracle Centrally Managed Users 18/19c
Varianten zur zentraler Benutzerverwaltung von Oracle Datenbanken
Stefan Oehrli
Stefan Oehrli
Plattform Architekt, Trainer und Partner bei Trivadis
• Seit 1997 in verschiedenen IT-Bereichen tätig
• Seit 2008 bei der Trivadis AG
• Mehr als 20 Jahre Erfahrung im Umgang
Fokus: Daten schützen und Datenbanken sicher betreiben
• Security Assessments und Reviews
• Datenbank Sicherheitskonzepte und deren Umsetzung
• Oracle Backup & Recovery Konzepte und Troubleshooting
• Oracle Enterprise User Security, Advanced Security, Database Vault, …
• Oracle Directory Services
Co-Autor des Buches Der Oracle DBA (Hanser, 2016/07)
@stefanoehrli www.oradba.ch
Agenda
28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c7
• Übersicht Authentifizierung und Autorisierung
• Variante zur zentralen Benutzerverwaltung von Oracle Datenbanken
• Integration von Oracle Datenbanken 18c mit Active Directory
• CMU Konfiguration Live Demo
• Troubleshooting
• Abgrenzung Oracle EUS / CMU
• Überblick Trivadis LAB
• Fazit
Übersicht Authentifizierung
und Autorisierung
28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c8
Authentifizierung
28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c9
• Überprüfung der Identität einer Person, die auf Daten, Ressourcen oder Anwendungen zugreifen
möchte.
• Person kann dabei ein Benutzer, ein Gerät oder eine Einheit sein.
• Die Validierung dieser Identität schafft eine Vertrauensbeziehung für weitere Interaktionen.
Autorisierung
28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c10
• Im weitesten Sinne eine Zustimmung oder Erlaubnis respektive die Einräumung von Rechten
gegenüber einer Person.
• Die Zuweisung von Privilegien an Benutzer bzw. Benutzergruppen.
• Oracle kann Berechtigungen auf unterschiedlichen Ebenen erteilen.
Authentifizierungsmethoden
28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c11
• Datenbank Authentifizierung
• Authentifizierung an der Datenbank mit Benutzername / Passworte
• Datenbank prüft Password Hashes
• je nach Version unterschiedliche Hashes und Protokoll Versionen.
• Datenbank Administratoren Authentifizierung
• Authentifizierung SYSDBA, SYSOPER, SYSBACKUP, SYSRAC, SYSDG, SYSKM und SYSASM
• Basiert auf OS Gruppen (lokal) oder Passwortdatei (remote)
• Erlaubt administrative Tätigkeiten sowie die Authentifizierung bei gestoppter Datenbank
• Betriebssystem Authentifizierung
• Authentifizierung anhand des Betriebssystem Benutzers
• Abgabe der Verantwortung an das Betriebssystem
Authentifizierungsmethoden
28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c12
• Netzwerk / Starke Authentifizierung
• Nutzung eines Netzwerkservices zu Authentifizierung von Benutzern
• Kerberos Authentifizierung
• RADIUS Authentifizierung
• SSL respektive Zertifikatsbasierte Authentifizierung
• Verzeichnis basierte Authentifizierung
• Verwaltung der Benutzer und Rollen / Gruppen in einem externen Verzeichnisdienst
• Zwingend mit einem Oracle Directory
• Oracle Enterprise User Security (EUS)
• Oracle Centrally Managed User 18c (CMU)
• Kombination mit Password-, Kerberos- oder SSL Authentifizierung
Spezielle Authentifizierungsmethoden
28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c13
• Proxy Authentifizierung
• Authentifizierung mit alternativen Anmeldeinformationen
• Benutzer X verbindet als Benutzer Y authentifiziert sich aber mit X
• NO Authentifizierung
• mit Oracle 18c eingeführt
• Schema only Accounts
• Keine Authentifizierung und somit kein Logon möglich
• Für Applikationsschemas
• Claim basierte Authentifizierung wie SAML, OAuth, etc. sowie Two-Factor Authentifizierung sind mit
Oracle Datenbanken direkt nicht möglich.
Variante zur zentralen
Benutzerverwaltung von
Oracle Datenbanken
28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c14
Herausforderung Benutzerverwaltung
28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c15
• Wer greift wo auf welche Daten / Datenbank zu?
• Authentifizierung und Autorisierung
• Produktions-, Test und Entwicklungsumgebungen
• Wie werden die Berechtigungen verwaltet?
• Individuell / dezentral durch Administratoren
• Was passiert bei Mutationen (Funktionswechsel, Kündigungen etc.)
• Besteht ein Rollen Konzept?
• Wird es auch umgesetzt?
• Redundanzen
• Integration mit
Oracle Feature
Maximum Data Security Architekture
28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c16
EUS mit Standalone Verzeichnis
28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c17
EUS mit DIP Integration
28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c18
EUS mit Proxy Integration
28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c19
Integration mit CMU
28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c20
Integration von Oracle
Datenbanken 18c mit AD
28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c21
Integration von MS Active Directory
28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c22
• Neues Security Feature von Oracle Database Relase 18c
• Centrally Managed User CMU…
• …benötigt kein zusätzliches Oracle Verzeichnis
• …ermöglicht die Verwaltung der Benutzer im direkt im MS Active Directory
• …benötig keine zusätzliche Lizenz aber
• …wird nur von Oracle Enterprise oder Express Edition unterstützt 
• …wird nicht in Oracle Standard Edition unterstützt 
• Unterstützt gängige Authentifizierungsmethoden
• Password- , Kerberos- und PKI / SSL Authentifizierung
• Erfordert einen Passwortfilter und eine AD-Schema-Erweiterung für die Password Authentifizierung
• Erfordert ein AD-Service Account
• Perfekt für kleine und mittlere Unternehmen
Centrally Managed User mit MS AD
28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c23
• AD Benutzern, die über gemeinsames Schema auf die DB zugreifen
• Alle Benutzer verwenden das gleiche DB Schema
• Exklusive Zuordnung von AD Benutzern zu einem privaten Schema
• Benutzer hat eigenes DB Schema mit direkten Berechtigungen
• Benutzer kann eigene Datenbankobjekte erstellen und verwalten
• Zuweisen einer AD Gruppe zu einer globalen Rolle
• Vergabe zusätzlicher Rechte aufgrund der AD-Gruppenmitgliedschaft
• Administrative globale Benutzer mit Administratorrechten
• SYSDBA, SYSOPER, SYSDG, SYSKM oder SYSRAC
• Kann nicht über globale Rollen gewährt werden
• Kombination von CMU, Net Name Services und Directory Services ist möglich
CMU Konfiguration
Live Demo
28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c24
Live Demo
28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c25
• MS Active Directory Konfiguration
• SQLNet Konfiguration
• Datenbank Konfiguration
• Authentifizierung und Autorisierung
MS Active Directory Konfiguration
28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c26
• Die Datenbank benötigt Zugriff auf MS Active Directory
• Leserechte für die Suchen von User / Gruppen
• Schreibrechte für das Aktualisieren von Login Informationen
• Anlegen eines Oracle Service Account
• MS Active Directory Domain Architektur gibt vor, wo der Oracle Service Account anzulegen ist
• Bei komplexen AD Domains im Root Verzeichnis
• Oracle Service Account muss alle Gruppen/Benutzer “sehen”
• Service Account in der Windows Active Directory Root Domain, wenn
• …die AD-Benutzer sich in verschiedenen Domänen befinden
• …Active Directory mehrere Windows-Domänen hat, welche von CMU unterstütz werden sollen
Oracle Service Account
28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c27
• Ein Oracle Service Account für mehrere CMU Datenbanken
• Nicht jede Datenbank mit CMU benötigt
zwingend einen individuellen Account
Passwort Authentifizierung
28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c28
• MS Active Directory Anpassung für Passwort Authentifizierung nötig
• Standardmässig funktioniert die Datenbank- respektive Passwort Authentifizierung mit MS
Active Directory nicht.
• Erweiterung des MS Active Directory Schema
• Ergänzt das Schema mit dem Attribut orclCommonAttribute
• Ermöglicht die Oracle Database Passwort Authentifizierung
• Die AD Gruppen ORA_VFR_MD5, ORA_VFR_11G und ORA_VFR_12C werden erstellt
• Werden vom Passwort Filter benötigt um die Hashes zu generieren
• Achtung Backup vor der Schema Anpassung erstellen
• AD Schemaerweiterung kann sonst nicht rückgängig gemacht werden
• Beispiel Ausgabe von opwdintg.exe
Administrator@AD:C:u00apporaclework [CL18300] opwdintg.exe
Do you want to extend AD schema? [Yes/No]:yes
Schema master is ad.trivadislabs.com
==========================================================================
Extending AD schema with orclCommonAttribute for user object in AD domain:
DC=trivadislabs,DC=com
==========================================================================
Schema extension for this domain will be permanent. Continue?[Yes/No]:yes
Connecting to "ad.trivadislabs.com"
Logging in as current user using SSPI
Importing directory from file "etadschm.ldf"
Loading entries.....
4 entries modified successfully.
The command has completed successfully
.
Done. Press Enter to continue...
InstallationPassword Filter
28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c29
Abschluss InstallationPasswort Filter
28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c30
• Entsprechende Gruppen / Benutzer müssen angepasst werden
• Zuweisung der neuen Gruppen
• ORA_VFR_MD5 wird für Oracle Datenbank WebDAV Clients benutzt
• ORA_VFR_11G ermöglicht die Nutzung des Oracle 11g Passwort Verifiers
• ORA_VFR_12C ermöglicht die Nutzung des Oracle 12c Password Verifiers
• Anpassen der Passwörter bzw. Passwort Reset nötig
• orclCommonAttribute wird erst gesetzt wenn Passwort neu gesetzt
• Prüfen ob das Attribut orclCommonAttribute gesetzt wird
SQLNet Konfiguration
28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c31
• Die SQLNet Konfiguration für CMU in dsi.ora oder ldap.ora
• Enthält Informationen zum Active Directory Server, Ports und Admin Kontext
• Oracle sucht die Datei dsi.ora in folgender Reihenfolge
• In der WALLET_LOCATION falls diese in sqlnet.ora angegeben
• In der Standard WALLET_LOCATION falls nicht in sqlnet.ora konfiguriert
• Im Anschluss werden die Verzeichnisse analog für ldap.ora durchsucht
• $LDAP_ADMIN Umgebungsvariable
• $ORACLE_HOME/ldap/admin Verzeichnis
• $TNS_ADMIN Umgebungsvariable
• $ORACLE_HOME/network/admin Verzeichnis
• Falls dsi.ora sowie ldap.ora definiert sind, hat dsi.ora Vorrang
• Kombination mit bestehender Namensauflösung möglich
• dsi.ora für Centrally Managed Users
• ldap.ora für die Namensauflösung mit Oracle Names, OID oder OUD
• Individuelle Konfiguration von dsi.ora bei Multitenant Datenbanken
• Generell für die CDBs und alle PDBs
• Nur für die CDB
• Für jede PDB individuell
• Beispiel dsi.ora
DSI_DIRECTORY_SERVERS = (ad.trivadislabs.com:389:636)
DSI_DEFAULT_ADMIN_CONTEXT = "dc=trivadislabs,dc=com"
DSI_DIRECTORY_SERVER_TYPE = AD
SQLNet Konfiguration
28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c32
• Den Oracle Service Account Name hinzufügen
• Root Zertifikat vom Active Directory Server auf den DB Server kopieren
• Ein Wallet für die Anmeldeinformationen vom AD Server erstellen
mkdir $ORACLE_BASE/admin/$ORACLE_SID/wallet
orapki wallet create -wallet $ORACLE_BASE/admin/$ORACLE_SID/wallet -
auto_login
mkstore -wrl $ORACLE_BASE/admin/$ORACLE_SID/wallet -createEntry
ORACLE.SECURITY.USERNAME oracle
Setup OracleWallet
28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c33
• Den distinguished Name DN Oracle Service Account Name hinzufügen
mkstore -wrl $ORACLE_BASE/admin/$ORACLE_SID/wallet -createEntry
ORACLE.SECURITY.DN CN=oracle,CN=Users,DC=trivadislabs,DC=com
• MS Active Directory Server Root Zertifikat erfassen
• Passwort für den Oracle Service Account hinzufügen
mkstore -wrl $ORACLE_BASE/admin/$ORACLE_SID/wallet -createEntry
ORACLE.SECURITY.PASSWORD LAB01schulung
orapki wallet add -wallet $ORACLE_BASE/admin/$ORACLE_SID/wallet -cert
$TNS_ADMIN/ad_root_ca.cer -trusted_cert
Setup OracleWallet
28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c34
• Inhalt vom Wallet mit mkstore oder orapki verifizieren
orapki wallet display -wallet $ORACLE_BASE/admin/$ORACLE_SID/wallet
• Alternativ kann dazu auch der dbca im CLI oder GUI Mode verwendet werden
• Der dbca benötigt aber unbedingt ein ldap.ora, dsi.ora kennt er nicht 
• MOS Note 2462012.1 beschreibt die CMU Konfiguration
ALTER SYSTEM SET LDAP_DIRECTORY_ACCESS = 'PASSWORD';
ALTER SYSTEM SET LDAP_DIRECTORY_SYSAUTH = YES SCOPE=SPFILE;
Datenbank Konfiguration
28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c35
• Für den Zugriff auf den Active Directory Server müssen noch Datenbank Parameter gesetzt
werden
• Manuelles setzen der Parameter
• Bestehende Benutzer anpassen und auf CMU umstellen
• Zuordnen eines AD Benutzers zu einem globalen DB Benutzer
• Entspricht einem global private Schema in EUS
• Jeder Benutzer hat sein eigenes Datenbank Schema
CREATE USER blofeld IDENTIFIED GLOBALLY AS 'CN=Ernst
Blofeld,OU=Research,OU=People,DC=trivadislabs,DC=com';
GRANT create session TO blofeld;
GRANT SELECT ON v_$session TO blofeld;
ALTER USER blofeld IDENTIFIED GLOBALLY AS 'CN=Ernst
Blofeld,OU=Research,OU=People,DC=trivadislabs,DC=com';
Authentifizierung und Autorisierung
28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c36
• Zuordnung einer AD Gruppe zu einer globalen Rolle
• Zuordnen einer AD Gruppe zu einem shared globalen DB Benutzer
• Entspricht einem global shared Schema in EUS
• Die AD Benutzer „teilen“ sich das Datenbank Schema
CREATE USER tvd_global_users IDENTIFIED GLOBALLY AS 'CN=Trivadis LAB
Users,OU=Groups,DC=trivadislabs,DC=com’;
GRANT create session TO tvd_global_users ;
GRANT SELECT ON v_$session TO tvd_global_users ;
CREATE ROLE management IDENTIFIED GLOBALLY AS
'CN=Trivadis LAB Management,OU=Groups,DC=trivadislabs,DC=com';
Authentifizierung und Autorisierung
28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c37
• Alle Mitglieder der Gruppe Trivadis LAB Management erhalten die Rolle management
• … oder mit DOMAINBenutzer
• Verbinden mit dem User Principal Name (UPN) …
SQL> connect "blofeld@TRIVADISLABS.COM"@TDB184A
Enter password:
Connected.
SQL> connect "TRIVADISLABSblofeld"@TDB184A
Enter password:
Connected.
Verbindung zur Datenbank
28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c38
• Wird etwas viel mit „“, @ und  insbesondere in Kombination mit EZCONNECT und Passwörtern
• Geht in der Zwischenzeit mit regulärem Connect String
• Zudem ist die Objekt Klasse beim Mapping entscheidend
• ObjectClass group vs. ObjectClass Organization
SQL> connect "rider@TRIVADISLABS.COM"/LAB01schulung@TDB180S
ERROR:
ORA-28306: The directory user has 2 groups mapped to different database
global
users.
Connected.
SQL> show user;
USER is "TVD_GLOBAL_USERS"
Komplexe Gruppen / Rollen
28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c39
• Wer in welcher Gruppe / Rolle ist, ist entscheidend für das Mapping
• Doppelte Gruppenzugehörigkeit führt zu Problemen
• Abhängigkeit von der AD Struktur / Gruppen / Rollenkonzept
• Format 12.2 erzwingt Benutzerprofile für das SYS Passwort
• Passwortlänge, Case Sensitiv und Sonderzeichen
• Festlegen ob Passwort, Extern oder Globale Authentifizierung
oracle@db:~/ [TDB184A] orapwd describe file=$cdh/dbs/orapwTDB184A
Password file Description : format=12.2
Administrative Benutzer
28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c40
• CMU unterstützt administrative Benutzer wie SYSDBA, SYSOPER etc.
• Konfigurieren von administrativen Benutzern mit…
• Shared Global Schema, Zuweisung via Gruppe  einfaches Management
• Private global Schema, 1:1 Zuweisung zu einem DB Benutzer
• Voraussetzung Passwort Datei orapwd muss im Format 12.2 sein
• Default, wenn ein neue Passwort Datei unter 18c erstellt wird
• Ansonsten neu erstellen oder migrieren
• Alle Benutzer der Gruppe Trivadis LAB DB Admins können sich als SYSDBA anmelden
• Arbeiten als SYSDBA mit zentraler Benutzerverwaltung möglich
• Verbindung als SYSDBA aufbauen
CREATE USER tvd_global_dba IDENTIFIED GLOBALLY AS 'CN=Trivadis LAB DB
Admins,OU=Groups,DC=trivadislabs,DC=com';
GRANT SYSDBA TO tvd_global_dba;
connect "fleming@TRIVADISLABS.COM"@TDB184A AS SYSDBA
AdministrativeBenutzermit SharedGlobal Schema
28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c41
• Im AD muss eine entsprechende Gruppe vorhanden sein
• Erstellen eines Shared Global Schema
• Im AD muss ein entsprechender Benutzer vorhanden sein
• Erstellen eines Private Global Schema
• Verbindung als SYSDBA aufbauen
CREATE USER bond IDENTIFIED GLOBALLY AS 'CN=James
Bond,OU=Operations,OU=People,DC=trivadislabs,DC=com';
GRANT SYSDBA TO bond;
connect "bond@TRIVADISLABS.COM"@TDB184A AS SYSDBA
AdministrativeBenutzermit PrivateGlobal Schema
28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c42
• Im Vergleich zu Global Shared Schema müssen hier die Benutzer in den Datenbanken
individuell gewartet werden => Mehraufwand
• Grundsätzlich wie bei bestehenden Benutzern mit SHOW USER oder SESSION_ROLES.
• Detaillierte Informationen im Session Kontext USERENV
• Abfragen mit der Funktion SYS_CONTEXT
• CURRENT_SCHEMA, CURRENT_USER, SESSION_USER, AUTHENTICATION_METHOD,
AUTHENTICATED_IDENTITY, ENTERPRISE_IDENTITY, IDENTIFICATION_TYPE,
LDAP_SERVER_TYPE
SHOW USER;
SELECT ROLE FROM SESSION_ROLES ORDER BY ROLE;
SELECT SYS_CONTEXT('USERENV', 'LDAP_SERVER_TYPE') FROM DUAL;
SYS_CONTEXT('USERENV','LDAP_SERVER_TYPE')
---------------------------------------------------------------
AD
Informationen zu CMU Benutzer
28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c43
Active Directory Konto-Richtlinien
28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c44
• Integration der Active Directory Sicherheitsrichtlinien für Benutzer
• Oracle Database erzwingt die AD Richtlinien beim Einloggen
• Service Account für CMU benötigt entsprechende Rechte auf dem AD
• Account Properties zu lesen
• Gewisse Properties wie lockout time zu schreiben
• Oracle verhindert das Einloggen für AD Benutzer mit Kontostatus
• Passwort abgelaufen
• Passwort muss geändert werden
• Konto gesperrt
• Konto deaktiviert
Troubleshooting
28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c45
• MOS Note 2470608.1 Tracing CMU connection issues
• Hier hilft neben der Kontrolle der Anmeldeinformationen nur ein Trace
• War das Passwort wirklich richtig?
• MOS Note 352389.1 Finding the source of failed login attempts
SQL> connect "TRIVADISLABSblofeld"@TDB184A
Enter password:
ERROR:
ORA-01017: invalid username/password; logon denied
Warning: You are no longer connected to ORACLE.
ALTER SYSTEM SET EVENTS='trace[gdsi] disk low';
Troubleshooting mit CMU
28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c46
• Kontrolle der Trace files und suchen nach kzlg z.B grep -i kzlg *.trc
• Troubleshooting ist wie bei Kerberos und EUS schwierig
• ORA-01017 in allen möglichen und unmöglichen Situationen
• Alternativ die üblichen Trace Methoden für EUS, Kerberos etc.
• MOS Note 783502.1 EUS Authentication Fails With ORA-28030
• MOS Note 2470608.1 Tracing CMU connection issues
• MOS Note 416946.1 Tips on Using WireShark (Ethereal) to Analyse Network Packet
Trace Files
ALTER SYSTEM SET EVENTS '28033 trace name context forever, level 9’;
ALTER SYSTEM SET EVENTS '28033 trace name context off';
ALTER SYSTEM SET EVENTS '1017 trace name errorstack level 10';
Troubleshooting mit CMU
28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c47
Troubleshooting mit CMU
28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c48
• Es gibt auch Fehler, die sind „offensichtlicher“
• Manchmal aber auch nicht
• Allenfalls stimmen aber andere Punkte nicht z.B.
• UPN ist falsch oder passt nicht zur DB => User@REALM
• ORA-28276: Invalid ORACLE password attribute
• Das Attribut orclCommonAttribute wurde nicht korrekt gesetzt
• Prüfen, ob und was in orclCommonAttribute gesetzt ist
• ORA-28030: Server encountered problems accessing LDAP directory
• Prüfen der LDAP Anmeldeinformationen
• ORA-28043: invalid bind credentials for DB-OID connection
• Prüfen der LDAP Anmeldeinformationen
• Bei den Fehlern ORA-28030 und ORA-28043 kann es aber auch einfach ein Bug wie der Bug
28880433 sein
• Kontrolle was im Wallet ist
• -list zeigt alle Einträge
• -viewEntry zeigt den entsprechenden Wert an
• Ausführen eines LDAP bind oder LDAP Search
• Hier am Beispiel mit LDAP Search nach sAMAccountName=blo*
mkstore -wrl $ORACLE_BASE/admin/$ORACLE_SID/wallet –list
mkstore -wrl $ORACLE_BASE/admin/$ORACLE_SID/wallet -viewEntry
ORACLE.SECURITY.DN
ldapsearch -h ad.trivadislabs.com -p 389 -D
"CN=oracle18c,CN=Users,DC=trivadislabs,DC=com" -w LAB01schulung -U 2 -W
"file:/u00/app/oracle/admin/TDB184A/wallet" -P LAB01schulung -b
"OU=People,DC=trivadislabs,DC=com" -s sub "(sAMAccountName=blo*)" dn
orclCommonAttribute
Kontrolle der Anmelde Informationen
28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c49
Abgrenzung Oracle EUS / CMU
28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c50
Abgrenzung Oracle EUS / CMU
28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c51
Oracle Enterprise User Security
- Benötig eine zusätzliches Directory
• Erhöhter Aufwand bezüglich
Administration, Integration, Betrieb, …
• Zusätzliche Lizenz (ODSP)
+ Unabhängigkeit im Bezug auf Basis
Verzeichnisstruktur, Schema, Authentifizierung
+ Namensauflösung
+ Unterstützung unterschiedlicher Verzeichnisse
+ Umfangreiche Enterprise Features
• Enterprise Rollen / User / Gruppen
• Proxy und Admin User
Oracle Centrally Managed Users
- Keine Namensauflösung
- Nur mit MS Active Directory
• Abhängigkeit MS AD Struktur
- Passwort Filter / Schema Erweiterung für
Password Authentifizierung
- Eingeschränkte Features
• Kein Proxy User, Enterprise Rollen, etc.
+ Keine zusätzliche Lizenzkosten
+ Keine zusätzliches Directory
+ Simple und einfach für einfachere
Umgebungen
Überblick Trivadis LAB
28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c52
Trivadis LAB
28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c53
• Virtualbox basierte Test und Engineering Umgebung
• Infrastruktur as Code mit Vagrant
• Vagrant Scripts verfügbar im GitHub Repository https://github.com/oehrlis/trivadislabs.com
• Benötigt Vagrant, Virtualbox sowie die verschiedenen Images, Software etc
• HashiCorp Vagrant https://www.vagrantup.com
• Oracle VM Virtualbox https://www.virtualbox.org/wiki/Downloads
• Verschiedene VM für unterschiedliche Anwendungsfälle
• win2016ad.trivadislabs.com Windows 2016 Active Directory
• ol7db18.trivadislabs.com Oracle DB Server mit 18c (TDB180C und TDB180S)
• ol7db19.trivadislabs.com Oracle DB Server mit 19c (TDB190C und TDB190S)
• ol7oud12.trivadislabs.com Oracle Unified Directory Server 12c
Trivadis LAB Demo Umgebung
28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c54
Trivadis LAB Company
28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c55
• Fiktives Unternehmen Trivadis Lab mit Benutzer, Abteilungen, etc.
• Der Active Directory Server ist gleichzeitig auch DNS Server
• MS Active Directory Domain ist TRIVADISLABS
• Alle Benutzer haben die gleichen Passwörter
• Username ist jeweils der Nachname
• Entsprechende Oracle Software in die ../software Verzeichnisse kopieren
• Initiales Starten und Provisionieren der VM (win2016ad, ol7db18, ol7db19 ol7oud12
• Git Repository clonen
git clone https://github.com/oehrlis/trivadislabs.com.git
cd win2016ad
vagrant up
Vagrant in a Nutshell
28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c56
• Zugriff via vagrant ssh / rdp
vagrant ssh
sudo su – oracle
vagrant rdp
Fazit
28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c57
Herausforderungen mit CMU
28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c58
• Centrally Managed Users ist ein „junges“ DB Security Feature
• Diverse Kinderkrankheiten sind vorhanden, siehe MOS Note 2462012.1
• Relativ gute Chancen, selber ein Issue zu finden 
• Bug und Patches abhängig vom Release
• Wird noch nicht häufig eingesetzt
• Verfügbares Know-How und Erfahrung in der Community ist bescheiden
• Centrally Managed Users für Oracle Enterprise und Express Edition
• Weiterhin keine Lösung für Oracle Standard Edition
• Braucht es hier etwas?
• Nutzung unterschiedlicher Authentifizierungsmethoden möglich und kombinierbar
• Password Authentifizierung perfekt für die Integration in bestehende Anwendungen
• Mit Kerberos oder SSL Authentifizierung SSO möglich, keine Anpassungen AD
Herausforderungen mit CMU
28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c59
• Herausforderungen bei..
• komplexen Active Directory Strukturen mit
mehreren Forest / Domain
• komplexen Gruppen / Rollen Strukturen
• Auch für Centrally Managed Users braucht es zwingend…
• … ein Sicherheitskonzept für Datenbanken
• … ein Benutzer und Rollen Konzept
• … personenbezogene Benutzer
• … entsprechender Support von den Anwendungen
Quicklinks
28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c60
• https://url.oradba.ch/triCast
Fragen?
Stefan Oehrli
Senior Platform Architect
stefan.oehrli@trivadis.com
Fabian Karsch
Senior Marketing Specialist
fabian.karsch@trivadis.com
Fragen und Antworten…
Stefan Oehrli
Solution Manager / Trivadis Partner
Tel.: +41 58 459 55 55
stefan.oehrli@trivadis.com
@stefanoehrli www.oradba.ch
Trivadis triCast Oracle Centrally Managed Users 18/19c

Weitere ähnliche Inhalte

Was ist angesagt?

Oracle Backup & Recovery für Einsteiger
Oracle Backup & Recovery für EinsteigerOracle Backup & Recovery für Einsteiger
Oracle Backup & Recovery für Einsteiger
Markus Flechtner
 
Oracle Database Backup Service Martin Berger
Oracle Database Backup Service Martin BergerOracle Database Backup Service Martin Berger
Oracle Database Backup Service Martin Berger
Désirée Pfister
 
Überblick Oracle Datenbank Hochverfügbarkeit
Überblick Oracle Datenbank HochverfügbarkeitÜberblick Oracle Datenbank Hochverfügbarkeit
Überblick Oracle Datenbank Hochverfügbarkeit
Ileana Somesan
 
Oracle Database Backup Service
Oracle Database Backup ServiceOracle Database Backup Service
Oracle Database Backup Service
Trivadis
 
Überblick zu Oracle Database 12c Release 2
Überblick zu Oracle Database 12c Release 2Überblick zu Oracle Database 12c Release 2
Überblick zu Oracle Database 12c Release 2
Ulrike Schwinn
 
Oracle Database 12c In-Memory Option
Oracle Database 12c In-Memory Option Oracle Database 12c In-Memory Option
Oracle Database 12c In-Memory Option
Ileana Somesan
 
20160310_ModernApplicationDevelopment_NoSQL_KPatenge
20160310_ModernApplicationDevelopment_NoSQL_KPatenge20160310_ModernApplicationDevelopment_NoSQL_KPatenge
20160310_ModernApplicationDevelopment_NoSQL_KPatenge
Karin Patenge
 
Oracle und Hochverfügbarkeit – Verschiedene Ansätze im Vergleich
Oracle und Hochverfügbarkeit – Verschiedene Ansätze im VergleichOracle und Hochverfügbarkeit – Verschiedene Ansätze im Vergleich
Oracle und Hochverfügbarkeit – Verschiedene Ansätze im Vergleich
Dierk Lenz
 
Oracle Database In-Memory Advisor (Deutsch)
Oracle Database In-Memory Advisor (Deutsch)Oracle Database In-Memory Advisor (Deutsch)
Oracle Database In-Memory Advisor (Deutsch)
Ileana Somesan
 
Oracle Data Guard: Mit oder ohne Broker?
Oracle Data Guard: Mit oder ohne Broker?Oracle Data Guard: Mit oder ohne Broker?
Oracle Data Guard: Mit oder ohne Broker?
Dierk Lenz
 
Oracle Core für Einsteiger: Datenbank I/O
Oracle Core für Einsteiger: Datenbank I/OOracle Core für Einsteiger: Datenbank I/O
Oracle Core für Einsteiger: Datenbank I/O
Martin Klier
 
Oracle Datenbank Architektur - nicht nur für Einsteiger
Oracle Datenbank Architektur - nicht nur für EinsteigerOracle Datenbank Architektur - nicht nur für Einsteiger
Oracle Datenbank Architektur - nicht nur für Einsteiger
Martin Klier
 
Oracle on Azure
Oracle on AzureOracle on Azure
Oracle on Azure
Trivadis
 
Oracle GoldenGate: Synchronisation zwischen Oracle und MySQL Datenbanken, Nov...
Oracle GoldenGate: Synchronisation zwischen Oracle und MySQL Datenbanken, Nov...Oracle GoldenGate: Synchronisation zwischen Oracle und MySQL Datenbanken, Nov...
Oracle GoldenGate: Synchronisation zwischen Oracle und MySQL Datenbanken, Nov...
Ileana Somesan
 

Was ist angesagt? (14)

Oracle Backup & Recovery für Einsteiger
Oracle Backup & Recovery für EinsteigerOracle Backup & Recovery für Einsteiger
Oracle Backup & Recovery für Einsteiger
 
Oracle Database Backup Service Martin Berger
Oracle Database Backup Service Martin BergerOracle Database Backup Service Martin Berger
Oracle Database Backup Service Martin Berger
 
Überblick Oracle Datenbank Hochverfügbarkeit
Überblick Oracle Datenbank HochverfügbarkeitÜberblick Oracle Datenbank Hochverfügbarkeit
Überblick Oracle Datenbank Hochverfügbarkeit
 
Oracle Database Backup Service
Oracle Database Backup ServiceOracle Database Backup Service
Oracle Database Backup Service
 
Überblick zu Oracle Database 12c Release 2
Überblick zu Oracle Database 12c Release 2Überblick zu Oracle Database 12c Release 2
Überblick zu Oracle Database 12c Release 2
 
Oracle Database 12c In-Memory Option
Oracle Database 12c In-Memory Option Oracle Database 12c In-Memory Option
Oracle Database 12c In-Memory Option
 
20160310_ModernApplicationDevelopment_NoSQL_KPatenge
20160310_ModernApplicationDevelopment_NoSQL_KPatenge20160310_ModernApplicationDevelopment_NoSQL_KPatenge
20160310_ModernApplicationDevelopment_NoSQL_KPatenge
 
Oracle und Hochverfügbarkeit – Verschiedene Ansätze im Vergleich
Oracle und Hochverfügbarkeit – Verschiedene Ansätze im VergleichOracle und Hochverfügbarkeit – Verschiedene Ansätze im Vergleich
Oracle und Hochverfügbarkeit – Verschiedene Ansätze im Vergleich
 
Oracle Database In-Memory Advisor (Deutsch)
Oracle Database In-Memory Advisor (Deutsch)Oracle Database In-Memory Advisor (Deutsch)
Oracle Database In-Memory Advisor (Deutsch)
 
Oracle Data Guard: Mit oder ohne Broker?
Oracle Data Guard: Mit oder ohne Broker?Oracle Data Guard: Mit oder ohne Broker?
Oracle Data Guard: Mit oder ohne Broker?
 
Oracle Core für Einsteiger: Datenbank I/O
Oracle Core für Einsteiger: Datenbank I/OOracle Core für Einsteiger: Datenbank I/O
Oracle Core für Einsteiger: Datenbank I/O
 
Oracle Datenbank Architektur - nicht nur für Einsteiger
Oracle Datenbank Architektur - nicht nur für EinsteigerOracle Datenbank Architektur - nicht nur für Einsteiger
Oracle Datenbank Architektur - nicht nur für Einsteiger
 
Oracle on Azure
Oracle on AzureOracle on Azure
Oracle on Azure
 
Oracle GoldenGate: Synchronisation zwischen Oracle und MySQL Datenbanken, Nov...
Oracle GoldenGate: Synchronisation zwischen Oracle und MySQL Datenbanken, Nov...Oracle GoldenGate: Synchronisation zwischen Oracle und MySQL Datenbanken, Nov...
Oracle GoldenGate: Synchronisation zwischen Oracle und MySQL Datenbanken, Nov...
 

Ähnlich wie Trivadis triCast Oracle Centrally Managed Users 18/19c

Wolfgang Mader (Huemer Data Center)
Wolfgang Mader (Huemer Data Center)Wolfgang Mader (Huemer Data Center)
Wolfgang Mader (Huemer Data Center)
Agenda Europe 2035
 
Uwe Ricken – IT-Tage 2015 – Workshop: MS SQL Server Optimierung
Uwe Ricken – IT-Tage 2015 – Workshop: MS SQL Server OptimierungUwe Ricken – IT-Tage 2015 – Workshop: MS SQL Server Optimierung
Uwe Ricken – IT-Tage 2015 – Workshop: MS SQL Server Optimierung
Informatik Aktuell
 
Daccord - Access Governance einfach, flexibel und praxisnah
Daccord - Access Governance einfach, flexibel und praxisnahDaccord - Access Governance einfach, flexibel und praxisnah
Daccord - Access Governance einfach, flexibel und praxisnah
GWAVA
 
Enterprise user security manuskript zum vortrag doag 2014
Enterprise user security   manuskript zum vortrag doag 2014Enterprise user security   manuskript zum vortrag doag 2014
Enterprise user security manuskript zum vortrag doag 2014
Marcel Pils
 
Domino 12(.0.2) Lessons learned - DNUG Stammtisch Hamburg
Domino 12(.0.2) Lessons learned - DNUG Stammtisch HamburgDomino 12(.0.2) Lessons learned - DNUG Stammtisch Hamburg
Domino 12(.0.2) Lessons learned - DNUG Stammtisch Hamburg
DNUG e.V.
 
Wozu Portlets – reichen HTML5 und Rest nicht aus für moderne Portale?
Wozu Portlets – reichen HTML5 und Rest nicht aus für moderne Portale?Wozu Portlets – reichen HTML5 und Rest nicht aus für moderne Portale?
Wozu Portlets – reichen HTML5 und Rest nicht aus für moderne Portale?
adesso AG
 
SharePoint Community Mittelland: Fit für Office 365
SharePoint Community Mittelland: Fit für Office 365SharePoint Community Mittelland: Fit für Office 365
SharePoint Community Mittelland: Fit für Office 365
David Schneider
 
HCL Domino 14 - Leap 1.1.2 - DNUG Stammtisch Wien
HCL Domino 14 - Leap 1.1.2 - DNUG Stammtisch Wien HCL Domino 14 - Leap 1.1.2 - DNUG Stammtisch Wien
HCL Domino 14 - Leap 1.1.2 - DNUG Stammtisch Wien
DNUG e.V.
 
20181120_DOAG_OracleNoSQLDB_KPatenge
20181120_DOAG_OracleNoSQLDB_KPatenge20181120_DOAG_OracleNoSQLDB_KPatenge
20181120_DOAG_OracleNoSQLDB_KPatenge
Karin Patenge
 
Überblick: 18c und Autonomous Data Warehouse Cloud (ADWC)
Überblick: 18c und Autonomous Data Warehouse Cloud (ADWC)Überblick: 18c und Autonomous Data Warehouse Cloud (ADWC)
Überblick: 18c und Autonomous Data Warehouse Cloud (ADWC)
Ulrike Schwinn
 
DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...
DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...
DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...
Carsten Muetzlitz
 
DOAG 2014 - Enterprise User Security Von der Business Rolle bis in die Datenbank
DOAG 2014 - Enterprise User Security Von der Business Rolle bis in die DatenbankDOAG 2014 - Enterprise User Security Von der Business Rolle bis in die Datenbank
DOAG 2014 - Enterprise User Security Von der Business Rolle bis in die Datenbank
Marcel Pils
 
DOAG 2015 enterprise_securitymitlda_pundpki-pub
DOAG 2015 enterprise_securitymitlda_pundpki-pubDOAG 2015 enterprise_securitymitlda_pundpki-pub
DOAG 2015 enterprise_securitymitlda_pundpki-pub
Loopback.ORG
 
Qualitätsstandards in der Datenbankentwicklung.pdf
Qualitätsstandards in der Datenbankentwicklung.pdfQualitätsstandards in der Datenbankentwicklung.pdf
Qualitätsstandards in der Datenbankentwicklung.pdf
Oliver Lemm
 
Oracle Database 12c Release 2
Oracle Database 12c Release 2 Oracle Database 12c Release 2
Oracle Database 12c Release 2
oraclebudb
 
ShareConf 2014: 10 Gründe warum der SharePoint langsam ist
ShareConf 2014: 10 Gründe warum der SharePoint langsam istShareConf 2014: 10 Gründe warum der SharePoint langsam ist
ShareConf 2014: 10 Gründe warum der SharePoint langsam ist
David Schneider
 
DACHNUG50 Die Domino REST API - Konzepte und Hintergruende.pdf
DACHNUG50 Die Domino REST API - Konzepte und Hintergruende.pdfDACHNUG50 Die Domino REST API - Konzepte und Hintergruende.pdf
DACHNUG50 Die Domino REST API - Konzepte und Hintergruende.pdf
DNUG e.V.
 
Jug nbg containerplattform dcos
Jug nbg containerplattform dcosJug nbg containerplattform dcos
Jug nbg containerplattform dcos
Ralf Ernst
 
Public Cloud Erfahrungsbericht SBB
Public Cloud Erfahrungsbericht SBBPublic Cloud Erfahrungsbericht SBB
Public Cloud Erfahrungsbericht SBB
BATbern
 
SharePoint Community Mittelland - GARAIO : Work Management mit SharePoint 2013
SharePoint Community Mittelland - GARAIO : Work Management mit SharePoint 2013SharePoint Community Mittelland - GARAIO : Work Management mit SharePoint 2013
SharePoint Community Mittelland - GARAIO : Work Management mit SharePoint 2013
Patrick Maeschli
 

Ähnlich wie Trivadis triCast Oracle Centrally Managed Users 18/19c (20)

Wolfgang Mader (Huemer Data Center)
Wolfgang Mader (Huemer Data Center)Wolfgang Mader (Huemer Data Center)
Wolfgang Mader (Huemer Data Center)
 
Uwe Ricken – IT-Tage 2015 – Workshop: MS SQL Server Optimierung
Uwe Ricken – IT-Tage 2015 – Workshop: MS SQL Server OptimierungUwe Ricken – IT-Tage 2015 – Workshop: MS SQL Server Optimierung
Uwe Ricken – IT-Tage 2015 – Workshop: MS SQL Server Optimierung
 
Daccord - Access Governance einfach, flexibel und praxisnah
Daccord - Access Governance einfach, flexibel und praxisnahDaccord - Access Governance einfach, flexibel und praxisnah
Daccord - Access Governance einfach, flexibel und praxisnah
 
Enterprise user security manuskript zum vortrag doag 2014
Enterprise user security   manuskript zum vortrag doag 2014Enterprise user security   manuskript zum vortrag doag 2014
Enterprise user security manuskript zum vortrag doag 2014
 
Domino 12(.0.2) Lessons learned - DNUG Stammtisch Hamburg
Domino 12(.0.2) Lessons learned - DNUG Stammtisch HamburgDomino 12(.0.2) Lessons learned - DNUG Stammtisch Hamburg
Domino 12(.0.2) Lessons learned - DNUG Stammtisch Hamburg
 
Wozu Portlets – reichen HTML5 und Rest nicht aus für moderne Portale?
Wozu Portlets – reichen HTML5 und Rest nicht aus für moderne Portale?Wozu Portlets – reichen HTML5 und Rest nicht aus für moderne Portale?
Wozu Portlets – reichen HTML5 und Rest nicht aus für moderne Portale?
 
SharePoint Community Mittelland: Fit für Office 365
SharePoint Community Mittelland: Fit für Office 365SharePoint Community Mittelland: Fit für Office 365
SharePoint Community Mittelland: Fit für Office 365
 
HCL Domino 14 - Leap 1.1.2 - DNUG Stammtisch Wien
HCL Domino 14 - Leap 1.1.2 - DNUG Stammtisch Wien HCL Domino 14 - Leap 1.1.2 - DNUG Stammtisch Wien
HCL Domino 14 - Leap 1.1.2 - DNUG Stammtisch Wien
 
20181120_DOAG_OracleNoSQLDB_KPatenge
20181120_DOAG_OracleNoSQLDB_KPatenge20181120_DOAG_OracleNoSQLDB_KPatenge
20181120_DOAG_OracleNoSQLDB_KPatenge
 
Überblick: 18c und Autonomous Data Warehouse Cloud (ADWC)
Überblick: 18c und Autonomous Data Warehouse Cloud (ADWC)Überblick: 18c und Autonomous Data Warehouse Cloud (ADWC)
Überblick: 18c und Autonomous Data Warehouse Cloud (ADWC)
 
DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...
DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...
DOAG SIG Security Vortrag 2013: Wann haben Sie das letzte Mal Ihre Datenbank ...
 
DOAG 2014 - Enterprise User Security Von der Business Rolle bis in die Datenbank
DOAG 2014 - Enterprise User Security Von der Business Rolle bis in die DatenbankDOAG 2014 - Enterprise User Security Von der Business Rolle bis in die Datenbank
DOAG 2014 - Enterprise User Security Von der Business Rolle bis in die Datenbank
 
DOAG 2015 enterprise_securitymitlda_pundpki-pub
DOAG 2015 enterprise_securitymitlda_pundpki-pubDOAG 2015 enterprise_securitymitlda_pundpki-pub
DOAG 2015 enterprise_securitymitlda_pundpki-pub
 
Qualitätsstandards in der Datenbankentwicklung.pdf
Qualitätsstandards in der Datenbankentwicklung.pdfQualitätsstandards in der Datenbankentwicklung.pdf
Qualitätsstandards in der Datenbankentwicklung.pdf
 
Oracle Database 12c Release 2
Oracle Database 12c Release 2 Oracle Database 12c Release 2
Oracle Database 12c Release 2
 
ShareConf 2014: 10 Gründe warum der SharePoint langsam ist
ShareConf 2014: 10 Gründe warum der SharePoint langsam istShareConf 2014: 10 Gründe warum der SharePoint langsam ist
ShareConf 2014: 10 Gründe warum der SharePoint langsam ist
 
DACHNUG50 Die Domino REST API - Konzepte und Hintergruende.pdf
DACHNUG50 Die Domino REST API - Konzepte und Hintergruende.pdfDACHNUG50 Die Domino REST API - Konzepte und Hintergruende.pdf
DACHNUG50 Die Domino REST API - Konzepte und Hintergruende.pdf
 
Jug nbg containerplattform dcos
Jug nbg containerplattform dcosJug nbg containerplattform dcos
Jug nbg containerplattform dcos
 
Public Cloud Erfahrungsbericht SBB
Public Cloud Erfahrungsbericht SBBPublic Cloud Erfahrungsbericht SBB
Public Cloud Erfahrungsbericht SBB
 
SharePoint Community Mittelland - GARAIO : Work Management mit SharePoint 2013
SharePoint Community Mittelland - GARAIO : Work Management mit SharePoint 2013SharePoint Community Mittelland - GARAIO : Work Management mit SharePoint 2013
SharePoint Community Mittelland - GARAIO : Work Management mit SharePoint 2013
 

Mehr von Stefan Oehrli

OracleBeer_Terraform_soe.pdf
OracleBeer_Terraform_soe.pdfOracleBeer_Terraform_soe.pdf
OracleBeer_Terraform_soe.pdf
Stefan Oehrli
 
DOAG Oracle Database Vault
DOAG Oracle Database VaultDOAG Oracle Database Vault
DOAG Oracle Database Vault
Stefan Oehrli
 
AUSOUG Oracle Password Security
AUSOUG Oracle Password SecurityAUSOUG Oracle Password Security
AUSOUG Oracle Password Security
Stefan Oehrli
 
IaC MeetUp Active Directory Setup for Oracle Security LAB
IaC MeetUp Active Directory Setup for Oracle Security LABIaC MeetUp Active Directory Setup for Oracle Security LAB
IaC MeetUp Active Directory Setup for Oracle Security LAB
Stefan Oehrli
 
SOUG Day Oracle 21c New Security Features
SOUG Day Oracle 21c New Security FeaturesSOUG Day Oracle 21c New Security Features
SOUG Day Oracle 21c New Security Features
Stefan Oehrli
 
Security Best Practice: Oracle passwords, but secure!
Security Best Practice: Oracle passwords, but secure!Security Best Practice: Oracle passwords, but secure!
Security Best Practice: Oracle passwords, but secure!
Stefan Oehrli
 
SOUG PDB Security, Isolation and DB Nest 20c
SOUG PDB Security, Isolation and DB Nest 20cSOUG PDB Security, Isolation and DB Nest 20c
SOUG PDB Security, Isolation and DB Nest 20c
Stefan Oehrli
 
Security Best Practice: Oracle passwords, but secure!
Security Best Practice: Oracle passwords, but secure!Security Best Practice: Oracle passwords, but secure!
Security Best Practice: Oracle passwords, but secure!
Stefan Oehrli
 
Oracle Cloud deployment with Terraform
Oracle Cloud deployment with TerraformOracle Cloud deployment with Terraform
Oracle Cloud deployment with Terraform
Stefan Oehrli
 
DOAG Oracle Unified Audit in Multitenant Environments
DOAG Oracle Unified Audit in Multitenant EnvironmentsDOAG Oracle Unified Audit in Multitenant Environments
DOAG Oracle Unified Audit in Multitenant Environments
Stefan Oehrli
 
SOUG Oracle Unified Audit for Multitenant Databases
SOUG Oracle Unified Audit for Multitenant DatabasesSOUG Oracle Unified Audit for Multitenant Databases
SOUG Oracle Unified Audit for Multitenant Databases
Stefan Oehrli
 
UKOUG Techfest 2019 Central user Administration of Oracle Databases
UKOUG Techfest 2019 Central user Administration of Oracle DatabasesUKOUG Techfest 2019 Central user Administration of Oracle Databases
UKOUG Techfest 2019 Central user Administration of Oracle Databases
Stefan Oehrli
 
UKOUG TechFest PDB Isolation and Security
UKOUG TechFest PDB Isolation and SecurityUKOUG TechFest PDB Isolation and Security
UKOUG TechFest PDB Isolation and Security
Stefan Oehrli
 
Oracle and Docker
Oracle and DockerOracle and Docker
Oracle and Docker
Stefan Oehrli
 

Mehr von Stefan Oehrli (14)

OracleBeer_Terraform_soe.pdf
OracleBeer_Terraform_soe.pdfOracleBeer_Terraform_soe.pdf
OracleBeer_Terraform_soe.pdf
 
DOAG Oracle Database Vault
DOAG Oracle Database VaultDOAG Oracle Database Vault
DOAG Oracle Database Vault
 
AUSOUG Oracle Password Security
AUSOUG Oracle Password SecurityAUSOUG Oracle Password Security
AUSOUG Oracle Password Security
 
IaC MeetUp Active Directory Setup for Oracle Security LAB
IaC MeetUp Active Directory Setup for Oracle Security LABIaC MeetUp Active Directory Setup for Oracle Security LAB
IaC MeetUp Active Directory Setup for Oracle Security LAB
 
SOUG Day Oracle 21c New Security Features
SOUG Day Oracle 21c New Security FeaturesSOUG Day Oracle 21c New Security Features
SOUG Day Oracle 21c New Security Features
 
Security Best Practice: Oracle passwords, but secure!
Security Best Practice: Oracle passwords, but secure!Security Best Practice: Oracle passwords, but secure!
Security Best Practice: Oracle passwords, but secure!
 
SOUG PDB Security, Isolation and DB Nest 20c
SOUG PDB Security, Isolation and DB Nest 20cSOUG PDB Security, Isolation and DB Nest 20c
SOUG PDB Security, Isolation and DB Nest 20c
 
Security Best Practice: Oracle passwords, but secure!
Security Best Practice: Oracle passwords, but secure!Security Best Practice: Oracle passwords, but secure!
Security Best Practice: Oracle passwords, but secure!
 
Oracle Cloud deployment with Terraform
Oracle Cloud deployment with TerraformOracle Cloud deployment with Terraform
Oracle Cloud deployment with Terraform
 
DOAG Oracle Unified Audit in Multitenant Environments
DOAG Oracle Unified Audit in Multitenant EnvironmentsDOAG Oracle Unified Audit in Multitenant Environments
DOAG Oracle Unified Audit in Multitenant Environments
 
SOUG Oracle Unified Audit for Multitenant Databases
SOUG Oracle Unified Audit for Multitenant DatabasesSOUG Oracle Unified Audit for Multitenant Databases
SOUG Oracle Unified Audit for Multitenant Databases
 
UKOUG Techfest 2019 Central user Administration of Oracle Databases
UKOUG Techfest 2019 Central user Administration of Oracle DatabasesUKOUG Techfest 2019 Central user Administration of Oracle Databases
UKOUG Techfest 2019 Central user Administration of Oracle Databases
 
UKOUG TechFest PDB Isolation and Security
UKOUG TechFest PDB Isolation and SecurityUKOUG TechFest PDB Isolation and Security
UKOUG TechFest PDB Isolation and Security
 
Oracle and Docker
Oracle and DockerOracle and Docker
Oracle and Docker
 

Trivadis triCast Oracle Centrally Managed Users 18/19c

  • 1. Oracle Centrally Managed User 18c/19c 28. Mai 2019, 16:00 bis 16:45 Uhr
  • 2. Speaker Stefan Oehrli Senior Platform Architect stefan.oehrli@trivadis.com @stefanoehrli Fabian Karsch Senior Marketing Specialist fabian.karsch@trivadis.com
  • 3. Trivadis triCast Format Dienstags um 16:00 Uhr Aktuelle IT-Themen, Trivadis Sichtweise Vortrag, Fragen & Antworten Kurze Umfragen WebCast wird aufgezeichnet Möglichkeit für Fragen mittels Fragen-Menü
  • 4. • 16 Trivadis Niederlassungen mit über 600 Mitarbeitenden. • Über 200 Service Level Agreements. • Mehr als 4'000 Trainingsteilnehmer. • Forschungs- und Entwicklungs-budget: CHF 5.0 Mio. / EUR 4.0 Mio. • Finanziell unabhängig und nachhaltig profitabel. • Erfahrung aus mehr als 1'900 Projekten pro Jahr bei über 800 Kunden. KOPENHAGEN MÜNCHEN LAUSANNE BERN ZÜRICH BRUGG GENF HAMBURG DÜSSELDORF FRANKFURT STUTTGART FREIBURG BASEL WIEN Mitüber 600 IT- und Fachexperten bei Dirvor Ort
  • 5. www.oradba.ch@stefanoehrli Oracle Centrally Managed Users 18/19c Varianten zur zentraler Benutzerverwaltung von Oracle Datenbanken Stefan Oehrli
  • 6. Stefan Oehrli Plattform Architekt, Trainer und Partner bei Trivadis • Seit 1997 in verschiedenen IT-Bereichen tätig • Seit 2008 bei der Trivadis AG • Mehr als 20 Jahre Erfahrung im Umgang Fokus: Daten schützen und Datenbanken sicher betreiben • Security Assessments und Reviews • Datenbank Sicherheitskonzepte und deren Umsetzung • Oracle Backup & Recovery Konzepte und Troubleshooting • Oracle Enterprise User Security, Advanced Security, Database Vault, … • Oracle Directory Services Co-Autor des Buches Der Oracle DBA (Hanser, 2016/07) @stefanoehrli www.oradba.ch
  • 7. Agenda 28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c7 • Übersicht Authentifizierung und Autorisierung • Variante zur zentralen Benutzerverwaltung von Oracle Datenbanken • Integration von Oracle Datenbanken 18c mit Active Directory • CMU Konfiguration Live Demo • Troubleshooting • Abgrenzung Oracle EUS / CMU • Überblick Trivadis LAB • Fazit
  • 8. Übersicht Authentifizierung und Autorisierung 28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c8
  • 9. Authentifizierung 28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c9 • Überprüfung der Identität einer Person, die auf Daten, Ressourcen oder Anwendungen zugreifen möchte. • Person kann dabei ein Benutzer, ein Gerät oder eine Einheit sein. • Die Validierung dieser Identität schafft eine Vertrauensbeziehung für weitere Interaktionen.
  • 10. Autorisierung 28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c10 • Im weitesten Sinne eine Zustimmung oder Erlaubnis respektive die Einräumung von Rechten gegenüber einer Person. • Die Zuweisung von Privilegien an Benutzer bzw. Benutzergruppen. • Oracle kann Berechtigungen auf unterschiedlichen Ebenen erteilen.
  • 11. Authentifizierungsmethoden 28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c11 • Datenbank Authentifizierung • Authentifizierung an der Datenbank mit Benutzername / Passworte • Datenbank prüft Password Hashes • je nach Version unterschiedliche Hashes und Protokoll Versionen. • Datenbank Administratoren Authentifizierung • Authentifizierung SYSDBA, SYSOPER, SYSBACKUP, SYSRAC, SYSDG, SYSKM und SYSASM • Basiert auf OS Gruppen (lokal) oder Passwortdatei (remote) • Erlaubt administrative Tätigkeiten sowie die Authentifizierung bei gestoppter Datenbank • Betriebssystem Authentifizierung • Authentifizierung anhand des Betriebssystem Benutzers • Abgabe der Verantwortung an das Betriebssystem
  • 12. Authentifizierungsmethoden 28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c12 • Netzwerk / Starke Authentifizierung • Nutzung eines Netzwerkservices zu Authentifizierung von Benutzern • Kerberos Authentifizierung • RADIUS Authentifizierung • SSL respektive Zertifikatsbasierte Authentifizierung • Verzeichnis basierte Authentifizierung • Verwaltung der Benutzer und Rollen / Gruppen in einem externen Verzeichnisdienst • Zwingend mit einem Oracle Directory • Oracle Enterprise User Security (EUS) • Oracle Centrally Managed User 18c (CMU) • Kombination mit Password-, Kerberos- oder SSL Authentifizierung
  • 13. Spezielle Authentifizierungsmethoden 28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c13 • Proxy Authentifizierung • Authentifizierung mit alternativen Anmeldeinformationen • Benutzer X verbindet als Benutzer Y authentifiziert sich aber mit X • NO Authentifizierung • mit Oracle 18c eingeführt • Schema only Accounts • Keine Authentifizierung und somit kein Logon möglich • Für Applikationsschemas • Claim basierte Authentifizierung wie SAML, OAuth, etc. sowie Two-Factor Authentifizierung sind mit Oracle Datenbanken direkt nicht möglich.
  • 14. Variante zur zentralen Benutzerverwaltung von Oracle Datenbanken 28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c14
  • 15. Herausforderung Benutzerverwaltung 28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c15 • Wer greift wo auf welche Daten / Datenbank zu? • Authentifizierung und Autorisierung • Produktions-, Test und Entwicklungsumgebungen • Wie werden die Berechtigungen verwaltet? • Individuell / dezentral durch Administratoren • Was passiert bei Mutationen (Funktionswechsel, Kündigungen etc.) • Besteht ein Rollen Konzept? • Wird es auch umgesetzt? • Redundanzen • Integration mit Oracle Feature
  • 16. Maximum Data Security Architekture 28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c16
  • 17. EUS mit Standalone Verzeichnis 28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c17
  • 18. EUS mit DIP Integration 28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c18
  • 19. EUS mit Proxy Integration 28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c19
  • 20. Integration mit CMU 28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c20
  • 21. Integration von Oracle Datenbanken 18c mit AD 28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c21
  • 22. Integration von MS Active Directory 28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c22 • Neues Security Feature von Oracle Database Relase 18c • Centrally Managed User CMU… • …benötigt kein zusätzliches Oracle Verzeichnis • …ermöglicht die Verwaltung der Benutzer im direkt im MS Active Directory • …benötig keine zusätzliche Lizenz aber • …wird nur von Oracle Enterprise oder Express Edition unterstützt  • …wird nicht in Oracle Standard Edition unterstützt  • Unterstützt gängige Authentifizierungsmethoden • Password- , Kerberos- und PKI / SSL Authentifizierung • Erfordert einen Passwortfilter und eine AD-Schema-Erweiterung für die Password Authentifizierung • Erfordert ein AD-Service Account • Perfekt für kleine und mittlere Unternehmen
  • 23. Centrally Managed User mit MS AD 28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c23 • AD Benutzern, die über gemeinsames Schema auf die DB zugreifen • Alle Benutzer verwenden das gleiche DB Schema • Exklusive Zuordnung von AD Benutzern zu einem privaten Schema • Benutzer hat eigenes DB Schema mit direkten Berechtigungen • Benutzer kann eigene Datenbankobjekte erstellen und verwalten • Zuweisen einer AD Gruppe zu einer globalen Rolle • Vergabe zusätzlicher Rechte aufgrund der AD-Gruppenmitgliedschaft • Administrative globale Benutzer mit Administratorrechten • SYSDBA, SYSOPER, SYSDG, SYSKM oder SYSRAC • Kann nicht über globale Rollen gewährt werden • Kombination von CMU, Net Name Services und Directory Services ist möglich
  • 24. CMU Konfiguration Live Demo 28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c24
  • 25. Live Demo 28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c25 • MS Active Directory Konfiguration • SQLNet Konfiguration • Datenbank Konfiguration • Authentifizierung und Autorisierung
  • 26. MS Active Directory Konfiguration 28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c26 • Die Datenbank benötigt Zugriff auf MS Active Directory • Leserechte für die Suchen von User / Gruppen • Schreibrechte für das Aktualisieren von Login Informationen • Anlegen eines Oracle Service Account • MS Active Directory Domain Architektur gibt vor, wo der Oracle Service Account anzulegen ist • Bei komplexen AD Domains im Root Verzeichnis • Oracle Service Account muss alle Gruppen/Benutzer “sehen” • Service Account in der Windows Active Directory Root Domain, wenn • …die AD-Benutzer sich in verschiedenen Domänen befinden • …Active Directory mehrere Windows-Domänen hat, welche von CMU unterstütz werden sollen
  • 27. Oracle Service Account 28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c27 • Ein Oracle Service Account für mehrere CMU Datenbanken • Nicht jede Datenbank mit CMU benötigt zwingend einen individuellen Account
  • 28. Passwort Authentifizierung 28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c28 • MS Active Directory Anpassung für Passwort Authentifizierung nötig • Standardmässig funktioniert die Datenbank- respektive Passwort Authentifizierung mit MS Active Directory nicht. • Erweiterung des MS Active Directory Schema • Ergänzt das Schema mit dem Attribut orclCommonAttribute • Ermöglicht die Oracle Database Passwort Authentifizierung • Die AD Gruppen ORA_VFR_MD5, ORA_VFR_11G und ORA_VFR_12C werden erstellt • Werden vom Passwort Filter benötigt um die Hashes zu generieren • Achtung Backup vor der Schema Anpassung erstellen • AD Schemaerweiterung kann sonst nicht rückgängig gemacht werden
  • 29. • Beispiel Ausgabe von opwdintg.exe Administrator@AD:C:u00apporaclework [CL18300] opwdintg.exe Do you want to extend AD schema? [Yes/No]:yes Schema master is ad.trivadislabs.com ========================================================================== Extending AD schema with orclCommonAttribute for user object in AD domain: DC=trivadislabs,DC=com ========================================================================== Schema extension for this domain will be permanent. Continue?[Yes/No]:yes Connecting to "ad.trivadislabs.com" Logging in as current user using SSPI Importing directory from file "etadschm.ldf" Loading entries..... 4 entries modified successfully. The command has completed successfully . Done. Press Enter to continue... InstallationPassword Filter 28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c29
  • 30. Abschluss InstallationPasswort Filter 28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c30 • Entsprechende Gruppen / Benutzer müssen angepasst werden • Zuweisung der neuen Gruppen • ORA_VFR_MD5 wird für Oracle Datenbank WebDAV Clients benutzt • ORA_VFR_11G ermöglicht die Nutzung des Oracle 11g Passwort Verifiers • ORA_VFR_12C ermöglicht die Nutzung des Oracle 12c Password Verifiers • Anpassen der Passwörter bzw. Passwort Reset nötig • orclCommonAttribute wird erst gesetzt wenn Passwort neu gesetzt • Prüfen ob das Attribut orclCommonAttribute gesetzt wird
  • 31. SQLNet Konfiguration 28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c31 • Die SQLNet Konfiguration für CMU in dsi.ora oder ldap.ora • Enthält Informationen zum Active Directory Server, Ports und Admin Kontext • Oracle sucht die Datei dsi.ora in folgender Reihenfolge • In der WALLET_LOCATION falls diese in sqlnet.ora angegeben • In der Standard WALLET_LOCATION falls nicht in sqlnet.ora konfiguriert • Im Anschluss werden die Verzeichnisse analog für ldap.ora durchsucht • $LDAP_ADMIN Umgebungsvariable • $ORACLE_HOME/ldap/admin Verzeichnis • $TNS_ADMIN Umgebungsvariable • $ORACLE_HOME/network/admin Verzeichnis • Falls dsi.ora sowie ldap.ora definiert sind, hat dsi.ora Vorrang
  • 32. • Kombination mit bestehender Namensauflösung möglich • dsi.ora für Centrally Managed Users • ldap.ora für die Namensauflösung mit Oracle Names, OID oder OUD • Individuelle Konfiguration von dsi.ora bei Multitenant Datenbanken • Generell für die CDBs und alle PDBs • Nur für die CDB • Für jede PDB individuell • Beispiel dsi.ora DSI_DIRECTORY_SERVERS = (ad.trivadislabs.com:389:636) DSI_DEFAULT_ADMIN_CONTEXT = "dc=trivadislabs,dc=com" DSI_DIRECTORY_SERVER_TYPE = AD SQLNet Konfiguration 28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c32
  • 33. • Den Oracle Service Account Name hinzufügen • Root Zertifikat vom Active Directory Server auf den DB Server kopieren • Ein Wallet für die Anmeldeinformationen vom AD Server erstellen mkdir $ORACLE_BASE/admin/$ORACLE_SID/wallet orapki wallet create -wallet $ORACLE_BASE/admin/$ORACLE_SID/wallet - auto_login mkstore -wrl $ORACLE_BASE/admin/$ORACLE_SID/wallet -createEntry ORACLE.SECURITY.USERNAME oracle Setup OracleWallet 28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c33 • Den distinguished Name DN Oracle Service Account Name hinzufügen mkstore -wrl $ORACLE_BASE/admin/$ORACLE_SID/wallet -createEntry ORACLE.SECURITY.DN CN=oracle,CN=Users,DC=trivadislabs,DC=com
  • 34. • MS Active Directory Server Root Zertifikat erfassen • Passwort für den Oracle Service Account hinzufügen mkstore -wrl $ORACLE_BASE/admin/$ORACLE_SID/wallet -createEntry ORACLE.SECURITY.PASSWORD LAB01schulung orapki wallet add -wallet $ORACLE_BASE/admin/$ORACLE_SID/wallet -cert $TNS_ADMIN/ad_root_ca.cer -trusted_cert Setup OracleWallet 28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c34 • Inhalt vom Wallet mit mkstore oder orapki verifizieren orapki wallet display -wallet $ORACLE_BASE/admin/$ORACLE_SID/wallet
  • 35. • Alternativ kann dazu auch der dbca im CLI oder GUI Mode verwendet werden • Der dbca benötigt aber unbedingt ein ldap.ora, dsi.ora kennt er nicht  • MOS Note 2462012.1 beschreibt die CMU Konfiguration ALTER SYSTEM SET LDAP_DIRECTORY_ACCESS = 'PASSWORD'; ALTER SYSTEM SET LDAP_DIRECTORY_SYSAUTH = YES SCOPE=SPFILE; Datenbank Konfiguration 28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c35 • Für den Zugriff auf den Active Directory Server müssen noch Datenbank Parameter gesetzt werden • Manuelles setzen der Parameter
  • 36. • Bestehende Benutzer anpassen und auf CMU umstellen • Zuordnen eines AD Benutzers zu einem globalen DB Benutzer • Entspricht einem global private Schema in EUS • Jeder Benutzer hat sein eigenes Datenbank Schema CREATE USER blofeld IDENTIFIED GLOBALLY AS 'CN=Ernst Blofeld,OU=Research,OU=People,DC=trivadislabs,DC=com'; GRANT create session TO blofeld; GRANT SELECT ON v_$session TO blofeld; ALTER USER blofeld IDENTIFIED GLOBALLY AS 'CN=Ernst Blofeld,OU=Research,OU=People,DC=trivadislabs,DC=com'; Authentifizierung und Autorisierung 28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c36
  • 37. • Zuordnung einer AD Gruppe zu einer globalen Rolle • Zuordnen einer AD Gruppe zu einem shared globalen DB Benutzer • Entspricht einem global shared Schema in EUS • Die AD Benutzer „teilen“ sich das Datenbank Schema CREATE USER tvd_global_users IDENTIFIED GLOBALLY AS 'CN=Trivadis LAB Users,OU=Groups,DC=trivadislabs,DC=com’; GRANT create session TO tvd_global_users ; GRANT SELECT ON v_$session TO tvd_global_users ; CREATE ROLE management IDENTIFIED GLOBALLY AS 'CN=Trivadis LAB Management,OU=Groups,DC=trivadislabs,DC=com'; Authentifizierung und Autorisierung 28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c37 • Alle Mitglieder der Gruppe Trivadis LAB Management erhalten die Rolle management
  • 38. • … oder mit DOMAINBenutzer • Verbinden mit dem User Principal Name (UPN) … SQL> connect "blofeld@TRIVADISLABS.COM"@TDB184A Enter password: Connected. SQL> connect "TRIVADISLABSblofeld"@TDB184A Enter password: Connected. Verbindung zur Datenbank 28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c38 • Wird etwas viel mit „“, @ und insbesondere in Kombination mit EZCONNECT und Passwörtern • Geht in der Zwischenzeit mit regulärem Connect String
  • 39. • Zudem ist die Objekt Klasse beim Mapping entscheidend • ObjectClass group vs. ObjectClass Organization SQL> connect "rider@TRIVADISLABS.COM"/LAB01schulung@TDB180S ERROR: ORA-28306: The directory user has 2 groups mapped to different database global users. Connected. SQL> show user; USER is "TVD_GLOBAL_USERS" Komplexe Gruppen / Rollen 28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c39 • Wer in welcher Gruppe / Rolle ist, ist entscheidend für das Mapping • Doppelte Gruppenzugehörigkeit führt zu Problemen • Abhängigkeit von der AD Struktur / Gruppen / Rollenkonzept
  • 40. • Format 12.2 erzwingt Benutzerprofile für das SYS Passwort • Passwortlänge, Case Sensitiv und Sonderzeichen • Festlegen ob Passwort, Extern oder Globale Authentifizierung oracle@db:~/ [TDB184A] orapwd describe file=$cdh/dbs/orapwTDB184A Password file Description : format=12.2 Administrative Benutzer 28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c40 • CMU unterstützt administrative Benutzer wie SYSDBA, SYSOPER etc. • Konfigurieren von administrativen Benutzern mit… • Shared Global Schema, Zuweisung via Gruppe  einfaches Management • Private global Schema, 1:1 Zuweisung zu einem DB Benutzer • Voraussetzung Passwort Datei orapwd muss im Format 12.2 sein • Default, wenn ein neue Passwort Datei unter 18c erstellt wird • Ansonsten neu erstellen oder migrieren
  • 41. • Alle Benutzer der Gruppe Trivadis LAB DB Admins können sich als SYSDBA anmelden • Arbeiten als SYSDBA mit zentraler Benutzerverwaltung möglich • Verbindung als SYSDBA aufbauen CREATE USER tvd_global_dba IDENTIFIED GLOBALLY AS 'CN=Trivadis LAB DB Admins,OU=Groups,DC=trivadislabs,DC=com'; GRANT SYSDBA TO tvd_global_dba; connect "fleming@TRIVADISLABS.COM"@TDB184A AS SYSDBA AdministrativeBenutzermit SharedGlobal Schema 28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c41 • Im AD muss eine entsprechende Gruppe vorhanden sein • Erstellen eines Shared Global Schema
  • 42. • Im AD muss ein entsprechender Benutzer vorhanden sein • Erstellen eines Private Global Schema • Verbindung als SYSDBA aufbauen CREATE USER bond IDENTIFIED GLOBALLY AS 'CN=James Bond,OU=Operations,OU=People,DC=trivadislabs,DC=com'; GRANT SYSDBA TO bond; connect "bond@TRIVADISLABS.COM"@TDB184A AS SYSDBA AdministrativeBenutzermit PrivateGlobal Schema 28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c42 • Im Vergleich zu Global Shared Schema müssen hier die Benutzer in den Datenbanken individuell gewartet werden => Mehraufwand
  • 43. • Grundsätzlich wie bei bestehenden Benutzern mit SHOW USER oder SESSION_ROLES. • Detaillierte Informationen im Session Kontext USERENV • Abfragen mit der Funktion SYS_CONTEXT • CURRENT_SCHEMA, CURRENT_USER, SESSION_USER, AUTHENTICATION_METHOD, AUTHENTICATED_IDENTITY, ENTERPRISE_IDENTITY, IDENTIFICATION_TYPE, LDAP_SERVER_TYPE SHOW USER; SELECT ROLE FROM SESSION_ROLES ORDER BY ROLE; SELECT SYS_CONTEXT('USERENV', 'LDAP_SERVER_TYPE') FROM DUAL; SYS_CONTEXT('USERENV','LDAP_SERVER_TYPE') --------------------------------------------------------------- AD Informationen zu CMU Benutzer 28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c43
  • 44. Active Directory Konto-Richtlinien 28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c44 • Integration der Active Directory Sicherheitsrichtlinien für Benutzer • Oracle Database erzwingt die AD Richtlinien beim Einloggen • Service Account für CMU benötigt entsprechende Rechte auf dem AD • Account Properties zu lesen • Gewisse Properties wie lockout time zu schreiben • Oracle verhindert das Einloggen für AD Benutzer mit Kontostatus • Passwort abgelaufen • Passwort muss geändert werden • Konto gesperrt • Konto deaktiviert
  • 45. Troubleshooting 28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c45
  • 46. • MOS Note 2470608.1 Tracing CMU connection issues • Hier hilft neben der Kontrolle der Anmeldeinformationen nur ein Trace • War das Passwort wirklich richtig? • MOS Note 352389.1 Finding the source of failed login attempts SQL> connect "TRIVADISLABSblofeld"@TDB184A Enter password: ERROR: ORA-01017: invalid username/password; logon denied Warning: You are no longer connected to ORACLE. ALTER SYSTEM SET EVENTS='trace[gdsi] disk low'; Troubleshooting mit CMU 28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c46 • Kontrolle der Trace files und suchen nach kzlg z.B grep -i kzlg *.trc
  • 47. • Troubleshooting ist wie bei Kerberos und EUS schwierig • ORA-01017 in allen möglichen und unmöglichen Situationen • Alternativ die üblichen Trace Methoden für EUS, Kerberos etc. • MOS Note 783502.1 EUS Authentication Fails With ORA-28030 • MOS Note 2470608.1 Tracing CMU connection issues • MOS Note 416946.1 Tips on Using WireShark (Ethereal) to Analyse Network Packet Trace Files ALTER SYSTEM SET EVENTS '28033 trace name context forever, level 9’; ALTER SYSTEM SET EVENTS '28033 trace name context off'; ALTER SYSTEM SET EVENTS '1017 trace name errorstack level 10'; Troubleshooting mit CMU 28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c47
  • 48. Troubleshooting mit CMU 28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c48 • Es gibt auch Fehler, die sind „offensichtlicher“ • Manchmal aber auch nicht • Allenfalls stimmen aber andere Punkte nicht z.B. • UPN ist falsch oder passt nicht zur DB => User@REALM • ORA-28276: Invalid ORACLE password attribute • Das Attribut orclCommonAttribute wurde nicht korrekt gesetzt • Prüfen, ob und was in orclCommonAttribute gesetzt ist • ORA-28030: Server encountered problems accessing LDAP directory • Prüfen der LDAP Anmeldeinformationen • ORA-28043: invalid bind credentials for DB-OID connection • Prüfen der LDAP Anmeldeinformationen • Bei den Fehlern ORA-28030 und ORA-28043 kann es aber auch einfach ein Bug wie der Bug 28880433 sein
  • 49. • Kontrolle was im Wallet ist • -list zeigt alle Einträge • -viewEntry zeigt den entsprechenden Wert an • Ausführen eines LDAP bind oder LDAP Search • Hier am Beispiel mit LDAP Search nach sAMAccountName=blo* mkstore -wrl $ORACLE_BASE/admin/$ORACLE_SID/wallet –list mkstore -wrl $ORACLE_BASE/admin/$ORACLE_SID/wallet -viewEntry ORACLE.SECURITY.DN ldapsearch -h ad.trivadislabs.com -p 389 -D "CN=oracle18c,CN=Users,DC=trivadislabs,DC=com" -w LAB01schulung -U 2 -W "file:/u00/app/oracle/admin/TDB184A/wallet" -P LAB01schulung -b "OU=People,DC=trivadislabs,DC=com" -s sub "(sAMAccountName=blo*)" dn orclCommonAttribute Kontrolle der Anmelde Informationen 28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c49
  • 50. Abgrenzung Oracle EUS / CMU 28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c50
  • 51. Abgrenzung Oracle EUS / CMU 28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c51 Oracle Enterprise User Security - Benötig eine zusätzliches Directory • Erhöhter Aufwand bezüglich Administration, Integration, Betrieb, … • Zusätzliche Lizenz (ODSP) + Unabhängigkeit im Bezug auf Basis Verzeichnisstruktur, Schema, Authentifizierung + Namensauflösung + Unterstützung unterschiedlicher Verzeichnisse + Umfangreiche Enterprise Features • Enterprise Rollen / User / Gruppen • Proxy und Admin User Oracle Centrally Managed Users - Keine Namensauflösung - Nur mit MS Active Directory • Abhängigkeit MS AD Struktur - Passwort Filter / Schema Erweiterung für Password Authentifizierung - Eingeschränkte Features • Kein Proxy User, Enterprise Rollen, etc. + Keine zusätzliche Lizenzkosten + Keine zusätzliches Directory + Simple und einfach für einfachere Umgebungen
  • 52. Überblick Trivadis LAB 28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c52
  • 53. Trivadis LAB 28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c53 • Virtualbox basierte Test und Engineering Umgebung • Infrastruktur as Code mit Vagrant • Vagrant Scripts verfügbar im GitHub Repository https://github.com/oehrlis/trivadislabs.com • Benötigt Vagrant, Virtualbox sowie die verschiedenen Images, Software etc • HashiCorp Vagrant https://www.vagrantup.com • Oracle VM Virtualbox https://www.virtualbox.org/wiki/Downloads • Verschiedene VM für unterschiedliche Anwendungsfälle • win2016ad.trivadislabs.com Windows 2016 Active Directory • ol7db18.trivadislabs.com Oracle DB Server mit 18c (TDB180C und TDB180S) • ol7db19.trivadislabs.com Oracle DB Server mit 19c (TDB190C und TDB190S) • ol7oud12.trivadislabs.com Oracle Unified Directory Server 12c
  • 54. Trivadis LAB Demo Umgebung 28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c54
  • 55. Trivadis LAB Company 28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c55 • Fiktives Unternehmen Trivadis Lab mit Benutzer, Abteilungen, etc. • Der Active Directory Server ist gleichzeitig auch DNS Server • MS Active Directory Domain ist TRIVADISLABS • Alle Benutzer haben die gleichen Passwörter • Username ist jeweils der Nachname
  • 56. • Entsprechende Oracle Software in die ../software Verzeichnisse kopieren • Initiales Starten und Provisionieren der VM (win2016ad, ol7db18, ol7db19 ol7oud12 • Git Repository clonen git clone https://github.com/oehrlis/trivadislabs.com.git cd win2016ad vagrant up Vagrant in a Nutshell 28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c56 • Zugriff via vagrant ssh / rdp vagrant ssh sudo su – oracle vagrant rdp
  • 57. Fazit 28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c57
  • 58. Herausforderungen mit CMU 28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c58 • Centrally Managed Users ist ein „junges“ DB Security Feature • Diverse Kinderkrankheiten sind vorhanden, siehe MOS Note 2462012.1 • Relativ gute Chancen, selber ein Issue zu finden  • Bug und Patches abhängig vom Release • Wird noch nicht häufig eingesetzt • Verfügbares Know-How und Erfahrung in der Community ist bescheiden • Centrally Managed Users für Oracle Enterprise und Express Edition • Weiterhin keine Lösung für Oracle Standard Edition • Braucht es hier etwas? • Nutzung unterschiedlicher Authentifizierungsmethoden möglich und kombinierbar • Password Authentifizierung perfekt für die Integration in bestehende Anwendungen • Mit Kerberos oder SSL Authentifizierung SSO möglich, keine Anpassungen AD
  • 59. Herausforderungen mit CMU 28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c59 • Herausforderungen bei.. • komplexen Active Directory Strukturen mit mehreren Forest / Domain • komplexen Gruppen / Rollen Strukturen • Auch für Centrally Managed Users braucht es zwingend… • … ein Sicherheitskonzept für Datenbanken • … ein Benutzer und Rollen Konzept • … personenbezogene Benutzer • … entsprechender Support von den Anwendungen
  • 60. Quicklinks 28.05.19 TriCast - Oracle Centrally Managed Users 18c / 19c60 • https://url.oradba.ch/triCast
  • 61. Fragen? Stefan Oehrli Senior Platform Architect stefan.oehrli@trivadis.com Fabian Karsch Senior Marketing Specialist fabian.karsch@trivadis.com
  • 62. Fragen und Antworten… Stefan Oehrli Solution Manager / Trivadis Partner Tel.: +41 58 459 55 55 stefan.oehrli@trivadis.com @stefanoehrli www.oradba.ch