Datenbanken & Verzeichnisdienst – ein Bund fürs Leben (Teil 3)
Zusammen starten
Am Ende der Planungszeit sind die Bedenken aus dem Weg geräumt und die Entscheidung gefestigt, es miteinander zu versuchen. Das neue Zuhause wird eingerichtet und der Umzugstermin festgelegt. Eine Zeit, in der neue Freunde an Bedeutung gewinnen. Zu diesen Freunden werden sicherlich dsconfig, eusm, ldapmodify und ldapsearch gehören. Alle drei sind CLI-Tools und nach der Installation bereits vorhanden.
Da ist zuerst das Tool dsconfig. Mit diesem Tool kann die OUD-Instanz konfiguriert werden. Die Verwaltung von Portkonfigurationen, Passwortsicherheit, Verschlüsselung und Benutzerprofilen sind nur einige Einsatzgebiete. Es ist ein sehr mächtiges Tool und Bestandteil der OUD-Software.
Die Tools ldapmodify und ldapsearch sind auch Teil der OUD-Installation und dienen dem Hinzufügen, Ändern, Löschen und Lesen von Einträgen im Verzeichnisbaum. Arbeitsanweisungen werden im LDIF-Format an das OUD übergeben. ldapmodify ist z. B. das Tool, mit dem Benutzer im OUD angelegt, geändert und entfernt werden können. Datenbanken einer bestimmten Enterprise Domain zuzu-weisen, kann ebenfalls mit dem Tool ldapmodify ausgeführt werden.
Das Tool eusm gehört zur Oracle-Datenbank-Software-Installation. Sein Einsatzgebiet sind die Strukturen im EUS-Schema. Mit diesem Tool können Enterprise Domains und Enterprise-Rollen erstellt, verwaltet und entfernt werden. Es unterstützt die Verknüpfung von globalen Rollen mit Enterprise-Rollen, oder von globalen Benutzern mit Enterprise-Gruppen/-Benutzern und der Verknüpfung von Enterprise-Rollen mit Enterprise-Gruppen/-Benutzern. Darüber hinaus können mit diesem Tool alle Informationen über die oben genannten Komponenten im EUS-Schema abgefragt werden. Mit dem eusm-Tool können alle Aktionen ausgeführt werden, die in der Oracle-Dokumentation mit dem Enterprise Manager GUI beschrieben sind.
Ist der Umzug dann abgeschlossen, kommt der Alltag. Man wird Dinge finden, die „früher" besser waren. In einer Multitenant-Datenbank kann man als Common User nicht mehr mit dem Kommando ALTER SESSION SET CONTAINER in die CDB oder eine andere PDB wechseln. Gerade Administratoren werden Stellen finden, an denen sie PL/SQL-Code nicht verwenden können, weil das direkt zugewiesene Recht fehlt. Hat ein Anwender seinen Account gesperrt, dann hat er auf keine Datenbank mehr Zugriff, weil der Account im OUD gesperrt ist.
Diese Mankos rücken jedoch in den Hintergrund, betrachtet man die Vorteile, die der Umzug mit sich bringt: Mit EUS hat ein Anwender nur noch ein Passwort für alle Datenbanken, es wird daher eher weniger Sperrungen geben. Hat man das OUD gut mit dem zentralen AD verknüpft, dann wird ein neuer Anwender automatisch in das OUD übernommen und erhält sofort alle nötigen Rechte für die Nutzung der Datenbank. Das ist der Idealfall und es wird immer wieder Punkte geben, an denen Kompromisse erforderlich sind, die zur Abweichung führen. Aber gerade bei Kompromissen stärkt die Einhaltung der Regeln, die ein gutes Miteinander von Datenbank und EUS sichern, die eigene Position. Man ist widerstandsfähiger gegen „Können Sie mal eben"-Aktionen, die am Ende zu ewig lebenden Kurzzeitlösung führen. Der größte Vorteil liegt im Bereich Security. Sicherheitsanforderungen können mit EUS deutlich klarer um- und durchgesetzt werden. Durch gemeinsam genutzte Datenbank-Accounts war es vorher nur mit Auditing möglich, zu ermitteln, welche Anwender sich mit einer Datenbank verbinden. Nun kann es zentral im OUD abgefragt werden. Die genaue Anzahl der Datenbanknutzer kann für die Oracle-Lizenzbetrachtung leichter bestimmt werden. Bei Wartungsarbeiten oder Ausfällen können betroffene Anwender leichter ermittelt werden. Ein Nebeneffekt: Hat man einmal alle Datenbanken im OUD registriert, stehen sie für die TNS-Namensauflösung zur Verfügung. Die Pflege einzelner TNSNames.ora-Dateien kann entfallen.
Fazit
Rechtfertigt der Aufwand den Nutzen? Muss man mit EUS nicht Probleme lösen, die man alleine nicht hat? Berechtigte Fragen, die jeder für sich im Vorfeld klären muss. Nicht jeder eignet sich für eine Ehe und nicht jede Datenbank-Umgebung braucht eine zentrale Benutzerverwaltung. Manche heiraten, um für ein Kind geregelte Strukturen zu schaffen. In der IT kann das „Kind", das nach geregelten Strukturen verlangt, Datenschutzgrundverordnung heißen. Mein persönliches Fazit ist: Ja, solange nicht Einschränkungen durch Anwendungen Grenzen setzen, lohnt sich der Aufwand. Aber er verlangt auch einiges an Struktur und Disziplin. Krummgedrückte Zahnpastatuben und rumliegende Socken sind hier ein gern genutztes Bild für Kleinigkeiten, die zu Sand im Getriebe führen. Auf der anderen Seite gewinnt man auch. Mit Sorgfalt behandelt und gut gepflegt wird die Verbindung von Datenbank und EUS ein Bund fürs Leben.
Quellen
https://docs.oracle.com/en/database/oracle/oracle-database/12.2/dbimi/enterprise-user-security-administrators-guide.pdf
https://docs.oracle.com/en/middleware/idm/unified-directory/12.2.1.3/
Bei Updates im Blog, informieren wir per E-Mail.
Kommentare