Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Oracle Новый топик    Ответить
 Kerberos аутентификация в Oracle  [new]
Nairon
Member

Откуда:
Сообщений: 5
Здраствуйте, мне задали курсовую работу Oracle Advanced Security: Strong Authentication. Kerberos. Поставил Oracle g11 r2 на вирт. машину windows 2003. создал базу, а дальше, что делать толком не пойму. Находил разные инструкции в инете по настройке, но там написано для разбирающихся в этом людей, а я новичок в этом(. Так вот, можете мне подробно объяснить как это сделать. Заранее спасибо)
15 дек 12, 18:59    [13637002]     Ответить | Цитировать Сообщить модератору
 Re: Kerberos аутентификация в Oracle  [new]
Nairon
Member

Откуда:
Сообщений: 5
Шел по этой и по этой инструции, дошел до создания файла v5srvtab.dat. А дальше не очень понимаю, что делать и где этот какталог /etc/krb5? ну так далее
15 дек 12, 19:14    [13637028]     Ответить | Цитировать Сообщить модератору
 Re: Kerberos аутентификация в Oracle  [new]
Kamael
Member

Откуда: Алмата
Сообщений: 374
Nairon,
На Linux этот каталог. У вас винда)))
15 дек 12, 22:00    [13637360]     Ответить | Цитировать Сообщить модератору
 Re: Kerberos аутентификация в Oracle  [new]
Nairon
Member

Откуда:
Сообщений: 5
У меня были такие подозрения, а по теме можете написать как в винде?
16 дек 12, 08:53    [13638161]     Ответить | Цитировать Сообщить модератору
 Re: Kerberos аутентификация в Oracle  [new]
Nairon
Member

Откуда:
Сообщений: 5
Есть предложение) Кто сделает мне этот курсач, деньгами не обижу)
16 дек 12, 19:48    [13639545]     Ответить | Цитировать Сообщить модератору
 Re: Kerberos аутентификация в Oracle  [new]
Вячеслав Любомудров
Member

Откуда: Владивосток
Сообщений: 18486
Встречное предложение (и к преподу тоже)
Оплати Enterprise Edition + Advanced Security Option хотя бы на один процессор (или 25 NUP)
17 дек 12, 02:57    [13640592]     Ответить | Цитировать Сообщить модератору
 Re: Kerberos аутентификация в Oracle  [new]
скока?
Guest
Ты бы почту и бюджет написал что-ли...
17 дек 12, 09:00    [13640794]     Ответить | Цитировать Сообщить модератору
 Re: Kerberos аутентификация в Oracle  [new]
iehf
Member

Откуда: Москва
Сообщений: 323
Nairon,
мануал (win/nix) на англ. от оракла, может поможет.
+
Goal: Enable Kerberos Authentication for Oracle Database.

<DATABASE_SERVER_HOST_NAME> eg: sunsrv1
<DATABASE_SERVER_HOST_DOMAIN> eg: us.oracle.com
<ACTIVE DIRECTORY DEFAULT DOMAIN> eg: us.oracle.com
<ACTIVE DIRECTORY SERVER HOST NAME>
<ACTIVE DIRECTORY USERS PASSWORD>

Task 1: Verify the Oracle Database installation was configured with ASO and the Kerberos Authentication adapter:

For databases on UNIX/Linux:
$ORACLE_HOME/bin/adapters sqlplus

Oracle Net Protocol Adapters linked with sqlplus are:

Oracle Net Naming Adapters linked with sqlplus are:

Oracle Advanced Security products linked with sqlplus are:

Kerberos v5 Authentication Adapter
RADIUS Authentication Adapter

If you do not see the kerberos adapter, the relinking procedures for Kerberos are at the bottom of this document.

For databases on Windows: validate that the kerberos .dll file is present

Task 2: Create an AD user with the same name as the database host server (<DATABASE_SERVER_HOST_NAME> in the example below). Ensure that you select Setup options: "Use DES Encryption" and "Do not require Kerberos PreAuthentication".

Task 3: Create a keytab file on the AD machine:
- If AD2000
ktpass -princ ORACLE/<DATABASE_SERVER_HOST_NAME>.<DATABASE_SERVER_HOST_DOMAIN>@<ACTIVE DIRECTORY DEFAULT DOMAIN> -pass <ACTIVE DIRECTORY USERS PASSWORD> -mapuser <DATABASE_SERVER_HOST_NAME> -out database.keytab
- If AD2003
ktpass -princ ORACLE/<DATABASE_SERVER_HOST_NAME>.<DATABASE_SERVER_HOST_DOMAIN>@<ACTIVE DIRECTORY DEFAULT DOMAIN> -pass <ACTIVE DIRECTORY USERS PASSWORD> -mapuser <DATABASE_SERVER_HOST_NAME> -crypto DES-CBC-CRC -kvno 1 -out database.keytab

Task 4: Ensure there is a directory called /tmp on the same drive as $ORACLE_HOME

Task 5: Create a directory $ORACLE_HOME/network/krb5 and copy the keytab file to this directory

Task 6: Create the krb5.conf file and place it in $ORACLE_HOME/network/krb5
[libdefaults]
default_realm = <ACTIVE DIRECTORY DEFAULT DOMAIN>
clockskew = 900
[realms]
US.COMPANY.COM = {
kdc = <ACTIVE DIRECTORY SERVER HOST NAME>.<ACTIVE DIRECTORY DEFAULT DOMAIN>:88
}
[domain_realm]
<DATABASE_SERVER_HOST_DOMAIN> = <ACTIVE DIRECTORY DEFAULT DOMAIN>
.<DATABASE_SERVER_HOST_DOMAIN> = <ACTIVE DIRECTORY DEFAULT DOMAIN>

Task 7: Test the krb5.conf file:
$ORACLE_HOME/jdk/bin/kinit ORACLE/<DATABASE_SERVER_HOST_NAME>.<DATABASE_SERVER_HOST_DOMAIN> Password for ORACLE/<DATABASE_SERVER_HOST_NAME>.<DATABASE_SERVER_HOST_DOMAIN>@<ACTIVE DIRECTORY DEFAULT DOMAIN>: <ACTIVE DIRECTORY USERS PASSWORD>
New ticket is stored in cache file /tmp/krb5cc_1004

Task 8: Test the keytab flie:
$ORACLE_HOME/jdk/bin/kinit -k -t $ORACLE_HOME/j2ee/OC4J_SECURITY/config/database.keytab ORACLE/<DATABASE_SERVER_HOST_NAME>.<DATABASE_SERVER_HOST_DOMAIN>

<Note: the keytab if valid if you are able to obtain a ticket without having to present a password>

Task 9: Create or edit the sqlnet.ora file in $ORACLE_HOME/network/admin. It should have the following entries ($ORACLE_HOME for this server was d:\oracle\ora92):

SQLNET.AUTHENTICATION_KERBEROS5_SERVICE=<DATABASE_SERVER_HOST_NAME>
SQLNET.KERBEROS5_CONF=/app/oracle/product/10.1.0/db_1/krb5/krb5.conf
SQLNET.AUTHENTICATION_SERVICES=(KERBEROS5)
SQLNET.KERBEROS5_CC_NAME=OSMSFT://
SQLNET.KERBEROS5_CLOCKSKEW=6000
SQLNET.KERBEROS5_CONF_MIT=TRUE
#Following parameter is server-side only
SQLNET.KERBEROS5_KEYTAB=/app/oracle/product/10.1.0/db_1/krb5\behavior.keytab

Task 10: Verify time synchronization between the Domain Controller and SSO host. System clocks hould be within 5 minutes of each other.

Task 11. Create externally identified database users. Note that the username must match the Active Directory users' userPrincipalName attribute:

SQL> CREATE USER "FINAPPS@<ACTIVE DIRECTORY DEFAULT DOMAIN>" IDENTIFIED EXTERNALLY;
SQL> GRANT connect, resource TO "FINAPPS@<ACTIVE DIRECTORY DEFAULT DOMAIN>";

Task 12: Ensure that database initialization parameter remote_os_authent is set to false and os_authent_prefix is null.

Task 13: For EACH client computer:
a. Ensure there is a directory called /tmp on the same drive as %ORACLE_HOME%
b. Create a directory %ORACLE_HOME%/network/krb5
c. If the client is pre-9.2.0.5, copy the orank59.dll to %ORACLE_HOME%\bin (you should rename the existing .dll first in case you need to regress). If the client is an 8i client you will need to install patch 3679609.
d. Create the krb5.conf file in the new directory (note: this file is case sensitive):

[libdefaults]
default_realm = <ACTIVE DIRECTORY DEFAULT DOMAIN>
[realms]
<ACTIVE DIRECTORY DEFAULT DOMAIN> = {
kdc = <ACTIVE DIRECTORY SERVER HOST NAME>.<ACTIVE DIRECTORY DEFAULT DOMAIN>:88
}
[domain_realm]
<ACTIVE DIRECTORY DEFAULT DOMAIN> = <ACTIVE DIRECTORY DEFAULT DOMAIN>
.<ACTIVE DIRECTORY DEFAULT DOMAIN> = <ACTIVE DIRECTORY DEFAULT DOMAIN>

e. Create or edit the SQLNET.ORA file in %ORACLE_HOME%/network/admin. It should have the following entries (%ORACLE_HOME% for this server was d:\oracle\ora92):

SQLNET.AUTHENTICATION_KERBEROS5_SERVICE=<DATABASE_SERVER_HOST_NAME>
SQLNET.KERBEROS5_CONF=D:\oracle\ora92\krb5\krb5.conf
SQLNET.AUTHENTICATION_SERVICES=(KERBEROS5)
SQLNET.KERBEROS5_CC_NAME=OSMSFT://
SQLNET.KERBEROS5_CLOCKSKEW=6000
SQLNET.KERBEROS5_CONF_MIT=TRUE

Task 14: Verfy that a user who has authenticated to the Active Directory KDC can log into the database without having to present a username/password.



----------------------------------------------------
Relinking the Database server if Kerberos Adapter is not present:
Shutdown all databases/listeners using this $ORACLE_HOME

cd $ORACLE_HOME/network/lib
make -f ins_nau.mk ikerberos
make -f ins_nau.mk okdstry
make -f ins_nau.mk oklist
make -f ins_nau.mk okinit
cd $ORACLE_HOME/bin
relink all

17 дек 12, 14:58    [13643128]     Ответить | Цитировать Сообщить модератору
 Re: Kerberos аутентификация в Oracle  [new]
iehf
Member

Откуда: Москва
Сообщений: 323
ещё один
+
Environment:
Database sid: emulator
Database host: behavior.sldc2000.com
Domain Controller: illusion.sldc2000.com
Default Domain: SLDC2000.COM /*note: Case sensitive*/
Client: handy.sldc2000.com

Setup steps:
1. On the domain controller.
a. Create a user to map kerberos requests from the database server. Recommend using the fully
qualified database host name (behavior.sldc2000.com). Once the user is created, go to
properties->account->in the account options box check "Use DES encryption types for this
account" and "Do not require Kerberos preauthentication"
b. Create database users. No special account options required.
c. Extract a Kerberos keytab file using the ktpass utility:

ktpass -princ DomainAccessToken/behavior.sldc2000.com@SLDC2000.COM
–mapuser behavior.sldc2000.com -pass Passw0rd
-crypto DES-CBC-MD5 -kvno 1 –out c:\krb5\behavior.keytab

2. On the database server.
a. Ensure there is a directory called /tmp on the same drive as %ORACLE_HOME%
b. Create a directory %ORACLE_HOME%/krb5
c. Copy the keytab file from the domain controller to the new directory
d. Create the krb5.conf file in the new directory (note: this file is case sensitive):

[libdefaults]
default_realm = SLDC2000.COM
[realms]
SLDC2000.COM = {
kdc = IL LUSION.SLDC2000.COM:88
}
[domain_realm]
sldc2000.com = SLDC2000.COM
.sldc2000.com = SLDC2000.COM

e. Create or edit the sqlnet.ora file in %ORACLE_HOME%/network/admin. It should have
the following entries (%ORACLE_HOME% for this server was d:\oracle\ora92):

SQLNET.AUTHENTICATION_KERBEROS5_SERVICE=DomainAccessToken
SQLNET.KERBEROS5_CONF=D:\oracle\ora92\krb5\krb5.conf
SQLNET.AUTHENTICATION_SERVICES=(KERBEROS5)
SQLNET.KERBEROS5_CC_NAME=OSMSFT://
SQLNET.KERBEROS5_CLOCKSKEW=6000
SQLNET.KERBEROS5_CONF_MIT=TRUE
#Following parameter is server-side only
SQLNET.KERBEROS5_KEYTAB=d:\oracle\ora92\krb5\behavior.keytab

f. Create externally identified database users:

SQL> CREATE USER "FINAPPS@SLDC2000.COM" IDENTIFIED EXTERNALLY;
SQL> GRANT connect, resource TO "FINAPPS@SLDC2000.COM";

g. Ensure that database initialization parameter remote_os_authent is set to false and
os_authent_prefix is null.

3. For EACH client computer:
a. Ensure there is a directory called /tmp on the same drive as %ORACLE_HOME%
b. Create a directory %ORACLE_HOME%/krb5
c. If the client is pre-9.2.0.5, copy the orank59.dll to %ORACLE_HOME%\bin (you should
rename the existing .dll first in case you need to regress)
d. Create the krb5.conf file in the new directory (note: this file is case sensitive):

[libdefaults]
default_realm = SLDC2000.COM
[realms]
SLDC2000.COM = {
kdc = IL LUSION.SLDC2000.COM:88
}
[domain_realm]
sldc2000.com = SLDC2000.COM
.sldc2000.com = SLDC2000.COM

e. Create or edit the SQLNET.ORA file in %ORACLE_HOME%/network/admin. It should have
the following entries (%ORACLE_HOME% for this server was d:\oracle\ora92):

SQLNET.AUTHENTICATION_KERBEROS5_SERVICE=DomainAccessToken
SQLNET.KERBEROS5_CONF=D:\oracle\ora92\krb5\krb5.conf
SQLNET.AUTHENTICATION_SERVICES=(KERBEROS5)
SQLNET.KERBEROS5_CC_NAME=OSMSFT://
SQLNET.KERBEROS5_CLOCKSKEW=6000
SQLNET.KERBEROS5_CONF_MIT=TRUE
17 дек 12, 15:05    [13643190]     Ответить | Цитировать Сообщить модератору
 Re: Kerberos аутентификация в Oracle  [new]
Nairon
Member

Откуда:
Сообщений: 5
Спасибо), sspls@ya.ru
17 дек 12, 20:52    [13645790]     Ответить | Цитировать Сообщить модератору
 Re: Kerberos аутентификация в Oracle  [new]
reg146
Guest
Nairon,

как ваша курсовая? закончена?
28 окт 13, 18:31    [15042740]     Ответить | Цитировать Сообщить модератору
 Re: Kerberos аутентификация в Oracle  [new]
пгуые-мд
Guest
reg146,

Вернется из армии - ответит :)
27 дек 13, 18:36    [15356992]     Ответить | Цитировать Сообщить модератору
Все форумы / Oracle Ответить