Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Oracle Новый топик    Ответить
Топик располагается на нескольких страницах: [1] 2   вперед  Ctrl      все
 Active Derectoria  [new]
Student_user
Member

Откуда:
Сообщений: 68
Здравствуйте!!!

Oracle9i Enterprise Edition Release 9.2.0.1.0
Windows Server 2003 Standart Edition - поднято "Домен" и "Active Directory".

Уважаемые форумчани посоветуйте. Как настроить сервер и базу данных или какие технологии использовать при таких условиях:

1. Пользователи заводяться только Active Directory.
2. В базе данных находяться роли групп пользователей которые присваеваються при подключении пользователя к домену и далее к базе данных.

Или как нада настроить Active Directory с доступом гбазе, и при таком подключении нужно видить, что пользователь творит в таблицами или изменяет данные или добавлянт их.
19 янв 09, 15:40    [6705652]     Ответить | Цитировать Сообщить модератору
 Re: Active Derectoria  [new]
YuraL
Member

Откуда: SPB
Сообщений: 558
Решите если вы хотите пользоваться Kerberos & DB .
Есть возможность пользоваться Enterprise User ( EUS )
19 янв 09, 16:00    [6705775]     Ответить | Цитировать Сообщить модератору
 Re: Active Derectoria  [new]
Student_user
Member

Откуда:
Сообщений: 68
YuraL
Решите если вы хотите пользоваться Kerberos & DB .
Есть возможность пользоваться Enterprise User ( EUS )


Раскажите поподробнее о этом или ссылочки есть.
19 янв 09, 16:10    [6705856]     Ответить | Цитировать Сообщить модератору
 Re: Active Derectoria  [new]
YuraL
Member

Откуда: SPB
Сообщений: 558
Student_user,

с помощью кербероса при вхождение в винды в процессе аутентификации получаешь от сервера KDC windows ticket.определив в базе определенные настройки и юзера с таким же именим как и юзер который подключился к виндам, можно быдет подсоединяться к базе без юзера и пароля.

http://download.oracle.com/docs/cd/B19306_01/network.102/b14268/asokerb.htm

EUS позволяет заходить в базу через одного определенного Global user,а юзеров определять в другом месте ( Enterprise Security Manager ) тем самым экономя определения юзеров для разных баз.. ( а в Enterprise Security Manager ) делать mapping to global user ..

http://download.oracle.com/docs/html/B10163_01/entrprse.htm

Советаю ознакомится с докой а там уже смотрите..
19 янв 09, 17:58    [6706813]     Ответить | Цитировать Сообщить модератору
 Re: Active Derectoria  [new]
Student_user
Member

Откуда:
Сообщений: 68
YuraL,

Базы при этой настройке находяться на одном сервере или могут находиться на разных.
22 янв 09, 13:02    [6720844]     Ответить | Цитировать Сообщить модератору
 Re: Active Derectoria  [new]
YuraL
Member

Откуда: SPB
Сообщений: 558
Student_user
YuraL,

Базы при этой настройке находяться на одном сервере или могут находиться на разных.


Конечно могут на разных.
У нас например юзер подключается к сети winXP( в это время проидходит аутентификация через сервер Microsoft KDC который выдает ticket ) а база сидит на Unix server.

Если у вас несколько баз на разных серверах - нужно будет для каждоко сервера создать определенные настройки в том числе создать user/account on KDC .
22 янв 09, 13:30    [6721136]     Ответить | Цитировать Сообщить модератору
 Re: Active Derectoria  [new]
Student_user
Member

Откуда:
Сообщений: 68
YuraL,

а в это случае база как идентефецирует пользователя я имею ввиду что будет писаться если я делаю insert tabl_1 (col1, col2) values (1, user);
22 янв 09, 13:37    [6721191]     Ответить | Цитировать Сообщить модератору
 Re: Active Derectoria  [new]
YuraL
Member

Откуда: SPB
Сообщений: 558
Student_user
YuraL,

а в это случае база как идентефецирует пользователя я имею ввиду что будет писаться если я делаю insert tabl_1 (col1, col2) values (1, user);

именно user.

Что ведь получаетстя :
Для каждого юзера в базе создается :
create user [active directory user name] idenified externally ..

имя юзера должно в точности совпадать с именем с которым он подключается к windows.
например d123456@org
где d123456 - user id
org - network

в таком случае sqlplus /@mydatabase

show user
d123456@org
22 янв 09, 15:03    [6721891]     Ответить | Цитировать Сообщить модератору
 Re: Active Derectoy  [new]
Student_user
Member

Откуда:
Сообщений: 68
YuraL
Student_user
YuraL,

а в это случае база как идентефецирует пользователя я имею ввиду что будет писаться если я делаю insert tabl_1 (col1, col2) values (1, user);

именно user.

Что ведь получаетстя :
Для каждого юзера в базе создается :
create user [active directory user name] idenified externally ..

имя юзера должно в точности совпадать с именем с которым он подключается к windows.
например d123456@org
где d123456 - user id
org - network

в таком случае sqlplus /@mydatabase

show user
d123456@org


Выходит если у меня 30 серверов баз данных, то мне нада во всех база заводить пользователей.
А нельзя так настроить чтобы только active directory заводить пользователя м все и он потом перейдет в другие базы, если его перебросить в active directory в другое подразделение.
22 янв 09, 18:12    [6723352]     Ответить | Цитировать Сообщить модератору
 Re: Active Derectoy  [new]
YuraL
Member

Откуда: SPB
Сообщений: 558
Student_user
Выходит если у меня 30 серверов баз данных, то мне нада во всех база заводить пользователей.
А нельзя так настроить чтобы только active directory заводить пользователя м все и он потом перейдет в другие базы, если его перебросить в active directory в другое подразделение.


Есть EUS( enterprise user )
определяется global user ( identified globally ) на каждой базе а сами юзер определаются один раз в Enterprise Security Manager как я уже и писал. Остается только делать mapping . Но для этого надо использовать если не ошибаюсь ОID и все время делать синхринизацию юзеров с AD to OID..

процесс такой :
При подключении к базе /@база, база видит что речь идет о kerberos и пытается найти юзер с именем которого он зашел в винды.
Не находя такого юзера, база смотрит подключилина ли она к OID.если да то идет LDAP запрос к OID и определяет mapping global user to user...
думаю что немного запутал вас..

Попробуйте почитать доку по Kerberos & EUS

уверен что есть и другие решения к вашему топику..
22 янв 09, 19:15    [6723631]     Ответить | Цитировать Сообщить модератору
 Re: Active Derectoria  [new]
Student_user
Member

Откуда:
Сообщений: 68
YuraL,

Почиму когда настраиваю Oracle Net Configuration выскакивает ошибка. Что нада зделать а пользователь в актив деректории такой есть.

К сообщению приложен файл. Размер - 0Kb
23 янв 09, 13:02    [6726446]     Ответить | Цитировать Сообщить модератору
 Re: Active Derectory  [new]
Student_user
Member

Откуда:
Сообщений: 68
Уважаемые. Можете дать подробную настройку сервера актив деректории и оракла баз данных.
23 янв 09, 14:20    [6727212]     Ответить | Цитировать Сообщить модератору
 Re: Active Derectoria  [new]
YuraL
Member

Откуда: SPB
Сообщений: 558
Тебе нужно указать для юзера полных путь в каталоге,
например cn=orcladmin (если это администратор) или
cn=artur,cn=users,dn=organization,dn=ca (типо такого...)
23 янв 09, 23:23    [6730085]     Ответить | Цитировать Сообщить модератору
 Re: Active Derectory  [new]
YuraL
Member

Откуда: SPB
Сообщений: 558
Student_user
Уважаемые. Можете дать подробную настройку сервера актив деректории и оракла баз данных.

ты имеешь в виду OID ( Oracle Internet Directory ) или Microsoft Active Directory ?
23 янв 09, 23:27    [6730101]     Ответить | Цитировать Сообщить модератору
 Re: Active Derectory  [new]
YuraL
Member

Откуда: SPB
Сообщений: 558
Student_user
Уважаемые. Можете дать подробную настройку сервера актив деректории и оракла баз данных.

ты имеешь в виду OID ( Oracle Internet Directory ) или Microsoft Active Directory ?
23 янв 09, 23:34    [6730116]     Ответить | Цитировать Сообщить модератору
 Re: Active Derectory  [new]
Student_user
Member

Откуда:
Сообщений: 68
YuraL
Student_user
Уважаемые. Можете дать подробную настройку сервера актив деректории и оракла баз данных.

ты имеешь в виду OID ( Oracle Internet Directory ) или Microsoft Active Directory ?


Microsoft Active Directory
26 янв 09, 10:29    [6734451]     Ответить | Цитировать Сообщить модератору
 Re: Active Derectoria  [new]
YuraL
Member

Откуда: SPB
Сообщений: 558
Student_user,

Мне кажется что тебе надо указать указать правильный user DN.
как именно он определен в AD ?
есть програмка Softerra Ldap Browser с помощью которой можно подсоединиться и найти юзеров в AD..

а еще попробуй сделать ldap -запрос с именем юзера на сервер AD.
типо такого и проверь что bind successfull..
ldapbind cn=[user dn]-w [password]-h [servername] -p [port] ..
26 янв 09, 11:24    [6734961]     Ответить | Цитировать Сообщить модератору
 Re: Active Derectoria  [new]
iehf
Member

Откуда: Москва
Сообщений: 323
YuraL,

не так все просто. См.в requirements. Думаю в десятке та же ситуация

Metalink:
Subject: Can EUS Users Authenticate With Passwords Stored in AD?
Doc ID: 454414.1 Type: HOWTO
Modified Date: 03-MAR-2008 Status: MODERATED

In this Document
Goal
Solution

Applies to:
Oracle Internet Directory - Version: 9.2.0.6
Information in this document applies to any platform.
Goal
Can Enterprise User Security database users authenticate with passwords stored in Active Directory?
Solution

Yes.
There are 2 requirements:

* Enterprise User Security must be setup to manage the database users using OID.
* Either:
o Active Directory and OID must be integrated in order to synchronize the AD entries to OID, OR
o Use Server Chaining to authenticate enterprise users against AD without synching the entries into OID, as described in Note 452385.1 - OID Server Chaining & Enterprise User Security: Active Directory Password Change Notification Plug-in

Note that it is not possible to bypass OID. OID is a required component. And EUS can not use the External Authentication Plug-in.
26 янв 09, 11:50    [6735220]     Ответить | Цитировать Сообщить модератору
 Re: Active Derectoria  [new]
Student_user
Member

Откуда:
Сообщений: 68
YuraL
Student_user,

Мне кажется что тебе надо указать указать правильный user DN.
как именно он определен в AD ?
есть програмка Softerra Ldap Browser с помощью которой можно подсоединиться и найти юзеров в AD..

а еще попробуй сделать ldap -запрос с именем юзера на сервер AD.
типо такого и проверь что bind successfull..
ldapbind cn=[user dn]-w [password]-h [servername] -p [port] ..


Пользователь на сервер AD - admin с правами администратор предприятия.

а программка платная или ее нада скачать где-то?
26 янв 09, 11:51    [6735225]     Ответить | Цитировать Сообщить модератору
 Re: Active Derectoria  [new]
Student_user
Member

Откуда:
Сообщений: 68
iehf
YuraL,

не так все просто. См.в requirements. Думаю в десятке та же ситуация

Metalink:
Subject: Can EUS Users Authenticate With Passwords Stored in AD?
Doc ID: 454414.1 Type: HOWTO
Modified Date: 03-MAR-2008 Status: MODERATED

In this Document
Goal
Solution

Applies to:
Oracle Internet Directory - Version: 9.2.0.6
Information in this document applies to any platform.
Goal
Can Enterprise User Security database users authenticate with passwords stored in Active Directory?
Solution

Yes.
There are 2 requirements:

* Enterprise User Security must be setup to manage the database users using OID.
* Either:
o Active Directory and OID must be integrated in order to synchronize the AD entries to OID, OR
o Use Server Chaining to authenticate enterprise users against AD without synching the entries into OID, as described in Note 452385.1 - OID Server Chaining & Enterprise User Security: Active Directory Password Change Notification Plug-in

Note that it is not possible to bypass OID. OID is a required component. And EUS can not use the External Authentication Plug-in.


Да я OID тоже пробывал и таже ошибка выходит.
26 янв 09, 11:55    [6735271]     Ответить | Цитировать Сообщить модератору
 Re: Active Derectoria  [new]
YuraL
Member

Откуда: SPB
Сообщений: 558
iehf
YuraL,

не так все просто. См.в requirements. Думаю в десятке та же ситуация

Metalink:
Subject: Can EUS Users Authenticate With Passwords Stored in AD?
Doc ID: 454414.1 Type: HOWTO
Modified Date: 03-MAR-2008 Status: MODERATED

...
Note that it is not possible to bypass OID. OID is a required component. And EUS can not use the External Authentication Plug-in.

я бы даже добавил - совсем не просто :)
я написал ранее :
YuraL

Есть EUS( enterprise user )
определяется global user ( identified globally ) на каждой базе а сами юзер определаются один раз в Enterprise Security Manager как я уже и писал. Остается только делать mapping . Но для этого надо использовать если не ошибаюсь ОID и все время делать синхринизацию юзеров с AD to OID..

само решеенее очень грамоздкое..
Без OID не обойтись..
26 янв 09, 12:02    [6735346]     Ответить | Цитировать Сообщить модератору
 Re: Active Derectoria  [new]
iehf
Member

Откуда: Москва
Сообщений: 323
Student_user,

должно работать. Чё-то недокрутил, видимо. На мыло бросил описание лабы, глянь, м.б. поможет.
26 янв 09, 12:03    [6735357]     Ответить | Цитировать Сообщить модератору
 Re: Active Derectoria  [new]
YuraL
Member

Откуда: SPB
Сообщений: 558
Student_user
YuraL
Student_user,

Мне кажется что тебе надо указать указать правильный user DN.
как именно он определен в AD ?
есть програмка Softerra Ldap Browser с помощью которой можно подсоединиться и найти юзеров в AD..

а еще попробуй сделать ldap -запрос с именем юзера на сервер AD.
типо такого и проверь что bind successfull..
ldapbind cn=[user dn]-w [password]-h [servername] -p [port] ..


Пользователь на сервер AD - admin с правами администратор предприятия.

а программка платная или ее нада скачать где-то?

бесплатно..
у нас весрия 2.6 но есть и новее
http://www.ldapadministrator.com/download.htm
26 янв 09, 12:05    [6735372]     Ответить | Цитировать Сообщить модератору
 Re: Active Derectoria  [new]
YuraL
Member

Откуда: SPB
Сообщений: 558
Eсли есть Металинк советаю прочитать :
following notes:
454414.1
577738.1
452385.1
166937.1
26 янв 09, 12:09    [6735409]     Ответить | Цитировать Сообщить модератору
 Re: Active Derectoria  [new]
Student_user
Member

Откуда:
Сообщений: 68
YuraL
Eсли есть Металинк советаю прочитать :
following notes:
454414.1
577738.1
452385.1
166937.1


Что это

В лабе. При конфигурации сервера БД для аутентификации средствами OID.
На пункте 1.4 выскакивает ошибка о которой я писал.
26 янв 09, 12:32    [6735600]     Ответить | Цитировать Сообщить модератору
Топик располагается на нескольких страницах: [1] 2   вперед  Ctrl      все
Все форумы / Oracle Ответить