30. Dezember 2013

Neue Vorsätze für das kommende Jahr 2014: Den Sicherheitszustand meiner Oracle Datenbank zu kennen!

Das neue Jahr steht bevor und damit neue Herausforderungen, neue gesetzliche Auflagen und andere wichtige betriebsbedingte Aufgaben.
Nehmen Sie sich die Zeit und prüfen Sie in diesem Zusammenhang den Sicherheitszustand Ihrer Oracle Datenbank. Wie das geht, finden Sie detailliert beschrieben im Buch "Oracle Security in der Praxis".

20. Dezember 2013

Oracle XML DB mit Benutzern aus dem Corporate Identity nutzen

Heute hat mir ein Kollege die Frage eines Kunden weitergeleitet:

Kann man die Microsoft Active Directory (MS AD) Benutzer verwenden, um sich an die Services der XML DB der Oracle Datenbank anzumelden?

Meine Antwort: Das sollte eigentlich mit der Enterprise User Security Funktionalität der Datenbank funktionieren.

Ausprobiert hatte ich das bis dato nicht, was ich dann gleich nachgeholt habe.

Enterprise User Security (EUS)

EUS ist eine Funktionalität innerhalb der Datenbank, die es erlaubt zentrale Benutzerverwaltungen auch für die Datenbank zu verwenden. In der Regel nutzen die meisten Unternehmen ein MS AD, aber auch LDAP Dienste anderer Hersteller können integriert werden.
Um diese zentralen Benutzerverwaltungen verwenden zu können, muss man die Datenbank gegen einen Oracle LDAP Dienst (wie Oracle Internet Directory, Oracle Unified Directory, Oracle Virtual oder Directory) registrieren und kann über den Oracle LDAP Dienst verschiedenste und bestehende LDAP Dienste wie MS AD, Novell eDir etc. einbinden. Wie das genau geht, ist in unterschiedlichen Quellen detailliert beschreiben. Ein neues Whitepaper von Oracle zu diesem Thema finden Sie hier (PDF).

Nutzt man das Oracle Internet Directory kann man z.B. den MS AD über Server Chaining oder die Directory Integration Plattform einbinden. Die Inhalte vom MS AD werden dann regelmäßig über ein anzulegendes Synchronization Profile synchronisiert.
Synchronization Profile für die Benutzer aus dem MS AD
Hat man das MS AD eingebunden, kann man nun die vorhandenen Benutzer für die Datenbank verwenden.

EUS mit MS AD User anwenden

Es wird ein neuer Benutzer im MS AD angelegt (oiduser1). Dieser Benutzer wird dann auch für die EUS mit der Datenbank verwendet.
AD User oiduser1 angelegt
Der neue AD User wird ins Oracle Internet Directory synchronisiert und kann dann mit der Oracle DB verwendet werden. Wenn der OID erfolgreich synchronisiert hat, ist der Benutzer sichtbar. Im nachfolgenden sehen Sie ein Screenshot des EM Database Control "EUS Configuration".
AD User im Enterprise Manager sichtbar
EUS ist korrekt aufgesetzt und somit kann man den AD Benutzer verwendet, um sich an der Datenbank anzumelden.
AD User meldet sich an die Datenbank an

EUS und somit AD User auch für die XML DB verwenden

Natürlich ist diese EUS Konfiguration völlig transparent für viele Anwendungen der Datenbank. So auch für die XML DB. XML DB ist in meiner Datenbank für HTTP freigeschaltet. Für das HTTP-Login in der Datenbank kann man nun auch MS AD Benutzer verwenden.
 
MS AD User Authentication für XML DB
Bitte beachten Sie auch ein ordentliches Access Control für Ihre XML DB zu konfigurieren.

Abschließend ist die Kundenfrage hiermit beantwortet. Geht nicht, gibt es nicht!