Hier können Sie schon jetzt den ersten Artikel unserer kommenden Ausgabe der ORDIX® news lesen. Die neue Ausgabe erscheint im Januar 2019 und kann als Post- oder Online-Abo auf unserer Internetseite bestellt werden:
https://www.ordix.de/kontakt/infomaterial/kostenlose-abos.html
Benutzerauthentifizierung gegenüber Verzeichnisdiensten ist nahezu in allen professionellen IT-Umgebungen unumgänglich und lokale Benutzerkonten schon lange nicht mehr zeitgemäß. Oracle-Datenbanken bieten hier aber überraschenderweise sehr häufig die Ausnahme, obwohl gerade hier oft hochkritische Sicherheitsbedingungen einzuhalten sind. Nicht zuletzt durch die neue EU-Datenschutzgrundverordnung ist der Bedarf nach einer ausnahmslosen Integration der Datenbanknutzer in bestehende zentrale Verzeichnisdienste immer wichtiger. Hierbei ist nicht nur die Zentralisierung der Rollen- und Rechteverwaltung entscheidend, sondern auch die Möglichkeit, erst so gezielt und personalisiert zu auditieren – insbesondere bei Administratoren.
Die Funktionalität, Oracle-Datenbank-User gegenüber einem Verzeichnisdienst grundsätzlich authentifizieren zu können, bezeichnet Oracle als Enterprise User Security und ist ein Feature der Enterprise Edition. Damit ist offiziell mit der Standard Edition oder Standard Edition 2 eine solche Authentifizierung nicht möglich. Immerhin ist dieses Feature seit Version 10.2 kein Teil der Advanced Security Option mehr, sondern ohne weitere Lizenzierung in der Enterprise Edition enthalten. Hierbei ist aber einiges zu berücksichtigen.
Bis einschließlich Version 12.2 gibt Oracle vor, dass als Verzeichnisdienst entweder einer der vorgegebenen Oracle-hauseigenen Dienste verwendet werden muss oder dieser als Proxy vorgeschaltet wird, um somit das Konzept der Global und Enterprise Roles korrekt umsetzen zu können. Details zu diesem Konzept werden im Teil 2 der Reihe genauer erläutert.
Oracle Directory Service
Als Lösungspaket für die Abbildung von Identitäten im Enterprise-Umfeld hat Oracle die Identity Management Suite im Fusion-Middleware-Produktportfolio angesiedelt. Diese Suite unterteilt sich in folgenden Bestandteile:
- Access Management
- Identity Governance
- Mobile
- Directory Services
Im Directory-Services-Paket befinden sich alle Verzeichnisdienste, die Oracle entwickelt oder eingekauft hat und somit selbst vertreibt. Neben den beiden aktuell relevanten Diensten Oracle Internet Directory (OID) und Oracle Unified Directory (OUD) findet man zusätzlich auch noch die Oracle Directory Server Enterprise Edition (ODSEE) und Oracle Virtual Directory (OVD).
Die zwei zuletzt genannten Produkte sind jedoch bereits End of Life und werden nur noch bedingt supported. Sie finden aber immer wieder Erwähnung in Beschreibungen und Dokumentationen und sollten daher zumindest bekannt sein.
Mit den OUD und OID bietet Oracle zwei vollwertig LDAP-v3-kompatible Verzeichnisdienste an, die beide noch langfristig supported werden und für den Einsatz von Enterprise User Security bei Oracle Datenbanken geeignet sind. Nach heutigem Stand sind beide Dienste offiziell gleichwertig zu betrachten.
Der aktuell einzige Vorteil vom OID ist die Verbreitung im Markt und der dadurch resultierende bessere Knowhow- Transfer und Support. Den Signalen aus dem Oracle Marketing nach gewinnt man aber immer häufiger den Eindruck, dass dem OUD die Zukunft gehört, auch wenn es hierzu aktuell keine offiziellen Angaben gibt. Die Release- Sprünge und Support-Lifetimes sind sowohl beim OUD als auch beim OID zum aktuellen Zeitpunkt identisch. (siehe Abbildung 1).
Oracle Unified Director
Der vollständig in Java implementierte Verzeichnisdienst Oracle Unified Directory ist das neueste Produkt aus der Reihe von Oracle. Obwohl OID momentan wesentlich mehr Verbreitung in der Praxis findet und dadurch erprobt ist, bietet OUD einige strategische Vorteile. Während bei OID eine zusätzliche Datenbank zur Datenhaltung not- wendig ist, bringt OUD eine integrierte Berkeley Database Java Edition (OBDB JE) und läuft somit autark.
Die Bezeichnung „Unified" bezieht sich neben der integrierten Datenbank auch auf die unterschiedlichen Betriebsarten, die unter anderem ältere Produkte obsolet gemacht haben, wie z.B. das Oracle Virtual Directory, welches nur als abstrahierter View auf andere Verzeichnisdienste zugegriffen hat. Zusätzlich bietet die Funktionalität Replication Gateway noch die Möglichkeit, direkt aus dem ODSEE zu replizieren, falls es dazu noch bestehende Verzeichnisse gibt. Oracle will damit eine All-in-One-Directory-Service-Solution propagieren.
Die wichtigsten Betriebsarten beziehen sich jedoch auf die Skalierung, die bei dem OID nur vertikal mit Server-Aufrüstung möglich war. Durch Verwendung des OUDProxys kann dieser als zusätzlicher Prozess sowohl für Load Balancing als auch für Failover-Szenarien dienen. Damit hat man auch die Möglichkeit, jederzeit auch horizontal zu skalieren. In ähnlicher Form ist auch eine Replikation zum Schutz vor Datenverlust möglich. Auch hier wird der OUD als Replication-Server-Prozess die Kommunikation zwischen den beiden Replikaten verwalten.
Konfiguration und Verwaltung
Grundsätzlich lässt sich die Installation, Konfiguration und auch die Verwaltung über die Kommandozeile durchführen. Aber spätestens bei Letzterem ist dies auf Dauer nicht praxistauglich. Neben den obligatorischen grafischen Installern liefert Oracle darum auch mit dem Oracle Directory Services Manager eine umfangreiche webbasierte Administrationsoberfläche, die ein oder mehrere Verzeichnisdienste verwalten kann und sowohl optisch als auch funktional stark an den Enterprise Manager Cloud Control erinnert. Die hierfür notwendige Grundlage ist ein Weblogic Application Server, den es aber für diese Anwendung auch kompakt als angepasstes Infrastructure Package gibt und man somit auch mit wenig Aufwand den Rollout durchführen kann, ohne sich aufwändig Weblogic-Knowhow aufbauen zu müssen (siehe Abbildung 2).
Synchronisation mit anderen Directories
Da bei den meisten Use Cases bereits ein bestehender Verzeichnisdienst existiert, welcher nicht ersetzt werden soll, kann auch eine Synchronisation durch die Directory Integration Platform (DIP) erfolgen. Mit dieser Zusatzkomponente können Daten von vielen gängigen Verzeichnisdiensten je nach Konfiguration mit dem OUD oder OID synchronisiert und verwendet werden. Dies erleichtert entweder die Übergangsphase bei der Implementierung oder bietet auch die Möglichkeit, die bestehende Infrastruktur und die Oracle-basierte Infrastruktur strikt getrennt zu verwalten, falls eine Vermischung der Benutzerverwaltung der Datenbanken mit dem betrieblichen Verzeichnisdienst nicht erwünscht ist.
Durch die unterschiedlichen Betriebsarten und die optionale Synchronisation mit anderen Verzeichnisdiensten kann man somit alle denkbar möglichen Szenarien abdecken und ein Verzeichnisdienst von Oracle als Komponente in bestehende Umgebungen einbinden. Ob ein OUD bzw. OID dann die Rolle des primären Verzeichnisdienstes jemals übernimmt oder ob man nur den Zwischenschritt für die Modulierung der Enterprise-Rollen und der Shared Schemas nutzt, ist frei wählbar und beides hat eine Daseinsberechtigung. Selbst die Integration in eine produktive Umgebung ist unkritisch. Die Synchronisation über DIP ist unidirektional möglich. Somit ist sie ohne Einfluss auf den bestehenden Verzeichnisdienst. Die Verwendung des OUD/OID wird damit parallel umgesetzt und getestet. Danach kann man die Konfiguration von Enterprise User Security in der bestehenden Datenbank-Landschaft implementieren, bis am Ende die eigentliche Authentifizierung nicht mehr lokal auf der Datenbank, sondern über einen Oracle Verzeichnisdienst stattfindet (siehe Abbildung 3).
Direkte Integration von Active Directory mit 18c
Mit der neuesten Datenbank Version 18c von Oracle gibt es die Möglichkeit, Enterprise User Security ohne den Umweg über ein Verzeichnisdienst von Oracle zu implementieren. Dies reduziert bei Neuinstallationen den Aufwand der Umsetzung durch Wegfall des OUD oder OID erheblich. Oracle selbst empfiehlt dies aber nur für Organisationen, die eine neue Umgebung implementieren und keine spezielleren Anforderungen haben. Für komplexere Szenarien im Enterprise-User-Security-Umfeld ist die klare Empfehlung immer noch der Zwischenschritt mit einem OID oder OUD.
Lizenzierung
Die Lizenzierung der Verzeichnisdienste ist endeutig und klar definiert. Oracle bietet hierfür ein Lizenzpaket – Oracle Directory Services Plus – an, in dem sämtliche neue und alte, eigen vertriebene Verzeichnisdienste inklusive des Oracle Directory Serivce Manager abgedeckt sind. Die Metriken sind hier entweder Prozessoren oder die Anzahl der Mitarbeiter (mit einer Unterscheidung zwischen internen und externen Mitarbeitern). Der Wortlaut aus dem Lizenzierungs-Guide von Oracle setzt hier auch nicht auf die prinzipielle Verwendung eines Verzeichnisdienstes, sondern auf die Nutzung von Enterprise User Security im Allgemeinen, die ein Verzeichnisdienst implizit vorraussetzt. Somit kommt man auch bei Verwendung eines externen Active Directory mit Oracle 18c ohne den Zwischenschritt über die Oracle-eigenen Verzeichnisdienste nicht an dieser Lizenzierung vorbei.
Zusammenfassung
Abgesehen davon, dass Oracle zur Verwendung von OUD bzw. OID im Zusammenspiel mit Enterprise User Security regelrecht und zumindest bis Version 18c verpflichtet, sind sie auch allein betrachtet schon hochinteressante und erwähnenswerte Produkte, die sich auch mit gängigen aktuellen Verzeichnisdiensten durchaus messen können. Es ist aber kaum vorstellbar, dass man eine Verwendung anstrebt, ohne den eigentlichen Nutzen der möglichen Verwendung von EUS in Datenbanken als Grund und Hauptanwendung zu haben. Der Funktionsumfang, die Integrationsmöglichkeiten und die zeitgemäßen Skalierungsmethoden bieten aber trotzdem kaum Raum, sich aus technischer Sicht gegen eine Umsetzung von EUS mit OUD/ OID zu entscheiden.
Autor:
Dirk Krautschick Senior Consultant, ORDIX AG
Quellen