Datenbanken & Verzeichnisdienst – ein Bund fürs Leben (Teil 2)

bund-leben-ttk

Man nehme …

Schauen wir uns nach dem Überblick die Umsetzung an. Die Verzeichnisdienste gehören zum Identity-Management-Paket der Fusion-Middleware. Ich bevorzuge die Lösung mit dem Oracle Unified Directory (OUD), weil es seine eigene schlanke Datenbank enthält. Über ein Web Interface zur Verwaltung von OUD-Instanzen, genannt Oracle Unified Directory Services Manager (OUDSM), lassen sich fast alle administrativen Tätigkeiten bequem ausführen. Anwender sind mit ihrem Passwort wahrscheinlich schon in einem Verzeichnisdienst eingetragen, der als Datenbasis integriert werden kann. Für die Synchronisation zwischen den Verzeichnisdiensten dient die Komponente Directory Integration Platform (DIP). DIP benötigt einen Repository Katalog, der in der Fusion-Middleware-Version 11g in der OUD-Datenbank installiert wurde. Mit der Version 12c muss eine eigene Datenbank, bevorzugt Oracle Server, vorhanden sein.

Wurden alle Komponenten erfolgreich installiert, können sie zusammenwirken. Die Kommunikation mit anderen Verzeichnisdiensten, wie z.B. einem zentralen Active Directory, wird in einem späteren Teil betrachtet. Dieser Teil beschränkt sich auf die Kommunikation zwischen Datenbank und OUD-Instanz. Ziehen wir zum Vergleich das Modell der Ehe heran.

Die Planungsphase. Wir müssen reden …

Das Interesse ist geweckt. Man hat sich entschlossen, es miteinander zu versuchen. Alles ist möglich, die Brille rosarot, das Ziel ist das Optimum. Je mehr Gemeinsamkeiten jetzt entwickelt werden, umso besser. Für die Datenbank bedeutet dies die Umstellung auf globale Benutzer und globale Rollen. Das Ziel: Möglichst viele Enterprise User teilen sich einen globalen User – einen Shared-Global-User. 
Regeln für Shared-Global-User:
  • keine eigenen Objekte
  • keine eigenen Rechte, evtl. CREATE SESSION
Im Verzeichnisdienst sehen wir, welche globale Rolle einer Enterprise-Rolle zugeordnet ist, aber nicht, welche Rechte die globale Rolle in der Datenbank hat. Es sei denn, in allen Datenbanken haben globale Rollen mit gleichem
Namen auch exakt gleiche Rechte. Disziplin und klare Regeln sind gefragt.

Applikations-User können keine Shared-Global-User sein. Enterprise User mit eigenen Objekten und/oder direkt zugewiesenen Rechten werden einem eigenen globalen User zugeordnet. Diese Zuordnung sollte aber nicht in der Datenbank definiert werden, wie in Abbildung 1 (obere Zeile) dargestellt. Wird eine Verbindung durch die Angabe des Distinguished Name (DN) eines Enterprise Users in der Datenbank definiert, dann ist diese Verbindung im
Verzeichnisdienst nicht bekannt.

Im OUD muss jede Datenbank mit dem Database-Configuration-Assistant (DBCA) registriert werden. Eine Fleißarbeit, die aber gut per Skript ausgeführt werden kann. Hier muss lediglich zwischen einer Container-Datenbank und einer Pluggable-Datenbank unterschieden werden. Die Verbindungsinformation zum OUD liest der DBCA aus der Datei ldap.ora.

Kniffeliger kann es da sein, die günstigste Gruppierung der Datenbanken in Enterprise Domains zu ermitteln. Je mehr Informationen man über die Anwender, die Anwendungen und die Anforderungen hat, umso besser.
Ziehen Sie Anwendungsverantwortliche rechtzeitig in die Planung mit ein, auch bei der Planung der globalen Rollen. In der Enterprise Domain wird auch die Enterprise-Rolle angelegt. Selbst wenn in den Datenbanken einer Enterprise Domain alle globalen Rollen die gleichen Namen haben, muss dennoch jede globale Rolle einzeln den Enterprise-Rollen zugeordnet werden. An diesem Punkt kann einiges an Aktionen zusammenkommen. Im Falle einer nachträglichen Umorganisation müssen Zuordnungen erst einzeln getrennt und anschließend neu angelegt werden.

Anwender dagegen sind im Active Directory in der Regel schon Mitglieder in unterschiedlichen AD-Gruppen. Es gibt damit einen Rahmen, den man übernehmen oder zumindest als Richtlinie verwenden kann. Gelingt es im optimalen Fall, sowohl Shared-Global-User als auch Enterprise-Rollen ausschließlich mit Enterprise-Gruppen zu verbinden, ist der Gewinn am größten. Mitarbeiter, die zum Unternehmen hinzukommen, im Unternehmen eine andere Tätigkeit wahrnehmen oder das Unternehmen verlassen, müssen nur ihren Gruppen zugewiesen, bzw. aus ihren Gruppen entfernt werden. Über die Gruppenzugehörigkeit ergeben sich dann alle Optionen zur Nutzung der Datenbanken.

Mit den Anwendern verschiebt sich auch das Thema Sicherheit ins OUD. Die Verschlüsselungsmethode der Passwörter, die Komplexität der Passwörter, ihre Lebensdauer, ihr Sperrverhalten, die Lebensdauer einer Session
– alles das wird jetzt im OUD verwaltet. Das Oracle Unified Directory steht der Datenbank an Möglichkeiten darin nicht nach.
create user tt identified globally as 'cn=eu1,cn=users,cn=…';
create user guest identified globally as '';

create role GR_READ identified globally;
grant select on v_$instance to gr_read; 

Abb. 1: Globalen User und globale Rolle erstellen.

Fortsetzung

Lesen Sie den letzten Teil zu "Datenbanken & Verzeichnisdienst – ein Bund fürs Leben" ab dem 12.09.2019 hier in unserem Blog. Nicht verpassen!

Quellen

Oracle Online Dokumentation Datenbank 12cR2
https://docs.oracle.com/en/database/oracle/oracle-database/12.2/dbimi/enterprise-user-security-administrators-guide.pdf

Oracle Online Dokumentation Fusion Middleware / Oracle Unified Directory 12.2.1.3.0
https://docs.oracle.com/en/middleware/idm/unified-directory/12.2.1.3/

My Oracle Support | Doc ID 1085065.1 EUSM, Command Line Tool For EUS Administration and Some EUS Good to Knows

 

Kommentare

Derzeit gibt es keine Kommentare. Schreibe den ersten Kommentar!
Gäste
Samstag, 14. Dezember 2019

Sicherheitscode (Captcha)