Bonfiglio, Luciano G.

Oracle 9i - 2010

Oracle Enterprise Security Manager

Introduccin
Oracle Enterprise Security Manager (en adelante OESM), parte de Oracle Enterprise Manager, es una herramienta utilizada por Oracle Advanced Security para administrar usuarios, dominios y roles empresariales, bases de datos contenidas en un servicio de directorio compatible con LDAP. El servicio de directorio es usado como un repositorio central para definir la informacin de accesos de usuarios y servidores en una red. Almacena informacin de nombrado, definiciones de claves globales, credenciales PKI y autorizacin de acceso a aplicaciones de los usuarios definidos. Este almacenamiento centralizado de usuarios empresariales y sus privilegios soporta la capacidad single sign-on (sistema nico de autenticacin), y provee una administracin de usuarios segura y escalable.

Instalacin y Configuracin de Oracle Enterprise Security Manager

Tarea 1: Configurar Oracle Internet Directory
Oracle9i Enterprise User Security est basado en un directorio LDAP. El servidor de directorio debe estar instalado y configurado previo a que Oracle Enterprise Manager pueda administrar la seguridad de usuarios empresariales. Para proceder, se deben contar con los siguientes elementos configurados:

Un servicio de directorio compatible con LDAP instalado, corriendo y accesible sobre LDAP estndar y Secure Sockets Layer LDAP (LDAP/SSL). Oracle Internet Directory configurado para dar soporte al esquema de directorio de objetos de Oracle9i y debe incluir un Oracle Context raz. Se puede utilizar el asistente de Oracle Net Configuration para configurar ambos en el servidor de directorio.

Tarea 2: Instalar Oracle Enterprise Manager

Oracle Enterprise Manager se instala automticamente durante el proceso de instalacin del servidor Oracle9i Enterprise Edition, e incluye toda la funcionalidad necesaria para Enterprise User Security. Oracle Enterprise Manager tambin se instala por defecto con la infraestructura de Oracle9i al mismo tiempo que Oracle Internet Directory. Oracle Enterprise Manager puede ser instalado por separado en su propio ORACLE_HOME, utilizando la instalacin personalizada.

Tarea 3: Arrancar Oracle Enterprise Security Manager

Para arrancar OESM, utilizar alguna de estas opciones:

Bonfiglio, Luciano G. Oracle 9i - 2010

(UNIX) Desde el ORACLE_HOME del Enterprise Manager, ingresar el siguiente comando:

esm

(Windows) Elegir Inicio > Programas > Oracle - HOME_NAME > Integrated Management Tools > Enterprise Security Manager

El cuadro de inicio de sesin del servidor del directorio aparece en la figura 1:

figura 1

Tarea 4: Iniciar Sesin en el Directorio

OESM provee tres maneras de conectarse al servidor de directorio: Mtodo Password Authentication SSL Client Authentication Native Authentication Descripcin Utiliza autenticacin simple, la cual requiere un distinguished name (DN) o un UserID y password de directorio conocido (nombre de usuario y password). Utiliza autenticacin SSL de dos vas, en la cual ambos, cliente y servidor, usan Oracle Wallets, que contienen certificados digitales (nombre de usuario y certificado). La conexin es encriptada. Se aplica solamente a Microsoft Windows NT y Windows 2000; utiliza autenticacin a nivel de S.O. para iniciar sesin en Microsoft Active Directory.

Bonfiglio, Luciano G. Oracle 9i - 2010

Para elegir el mtodo de autenticacin, debe elegir la opcin apropiada en el cuadro de la figura 1.

Administrando Usuarios Empresariales

OESM administra un servidor de directorio, identificado al comienzo del rbol principal de la aplicacin. Esto permite administrar usuarios y Oracle Contexts en el directorio. Un Oracle Context es un subrbol en el directorio reconocible a los productos Oracle. Este provee una jerarqua administrativa para administrar los datos Oracle, incluyendo los productos Oracle instalados que acceden al directorio.

Creando nuevos Usuarios Empresariales

Se utiliza OESM para crear usuarios en el directorio. Para crear nuevos usuarios, seleccionar Create Enterprise User... del men de Operaciones. La ventana de creacin de usuarios aparece en la figura 2.

figura 2 De la siguiente tabla, ingresar la informacin de usuario requerida por la pestaa User Naming; elegir OK para crear el nuevo usuario empresarial.

Bonfiglio, Luciano G. Oracle 9i - 2010

Campo base First Name Surname UserID UserID Suffix Email Address

Obligatorio? Descripcin Si Si Si Si No No Entrada en el directorio bajo la cual el nuevo usuario es creado. Nombre del usuario. Apellido del usuario. Nombre de usuario que utiliza para conectarse a la red, las bases de datos y las aplicaciones. Valor actual de cualquier sufijo comn de UserID que se anexa al mismo. Por ejemplo: <userID>.us.acme.com Direccin de correo del nuevo usuario. El componente Common Name (cn=) del Nombre Distintivo (DN) del nuevo usuario en el directorio. Por defecto est seteado con el nombre completo del nuevo usuario. De todas maneras, se puede sobrescribir este valor para forzar a que sea una porcin del DN.

Common Si Name: cn=

Definiendo una Base de Directorio

Una entrada de usuario empresarial puede residir en cualquier base dentro del directorio. La base puede ser cualquier entrada de directorio, como ser country entry (c=us), o una organization entry (o=acme,c=us). Normalmente mltiples usuarios comparten la misma base de directorio. Esta base asocia a todos los usuarios contenidos en ella con el mismo nivel de organizacin en la jerarqua. Se puede ingresar la base en el campo base de la ventana de creacin de usuario (figura 2). Alternativamente, se puede seleccionar un directorio de preferencia clickeando el botn Browse (en la misma ventana); la ventana para elegir el directorio aparece en la figura 3:

Bonfiglio, Luciano G. Oracle 9i - 2010

figura 3

Definiendo una Password de un nuevo usuario empresarial

La pestaa Password de la ventana de creacin de usuario (figura 4) permite definir y mantener la password de un usuario empresarial:

figura 4

Bonfiglio, Luciano G. Oracle 9i - 2010

El password de usuario se utiliza para:

Acceso de directorio. Acceso de BD, para BD que soportan password authentication para usuarios globales. Un nuevo Oracle Wallet, si es creado por el nuevo usuario en ese momento.

Al crear la password, se puede elegir entre las siguientes opciones:

Aceptar la password por defecto que se muestra Elegir una password generada aleatoriamente Ingresar una password manualmente

Para enviar la password al nuevo usuario por correo, seleccionar Notify User by Email, y notificar al nuevo usuario que modifique la password luego de su primer uso. Se utiliza la direccin de correo asociado al usuario en la pestaa User Naming (figura 2).

Asignando un Rol Empresarial inicial

Cuando se crea un nuevo usuario empresarial, se puede asignar al mismo cualquier rol/es empresarial/es previamente configurado/s. Para asignar uno o ms roles empresariales a un nuevo usuario, elegir el botn Add... en la pestaa Enterprise Roles de la ventana de creacin de usuarios. Dicha ventana aparece en la figura 5:

figura 5

Bonfiglio, Luciano G. Oracle 9i - 2010

Creando una Oracle Wallet

Una Oracle Wallet, que contiene un nuevo certificado digital, clave privada, y los puntos de confianza del certificado, se puede generar para el nuevo usuario en un formato binario codificado. La misma ser almacenada con el nuevo usuario en el servidor del directorio como parte de la entrada de directorio para el usuario. Para crear una Wallet para los nuevos usuarios, elegir la pestaa Wallet de la ventana Create User (figura 6). Nota: La pestaa Wallet solo aparece si OESM cuenta con una autoridad de certificacin local configurada. Para crear una autoridad de certificacin local simulada, correr la siguiente herramienta:
esm -genca

Seguir las instrucciones que se muestran por la herramienta. Esta herramienta crea una autoridad de certificacin en el directorio de la Oracle wallet.

figura 6 El nombre distintivo (DN) bajo el cual se crear el usuario, se utiliza por defecto como el DN para el certificado digital a ser incluido en la Oracle wallet del mismo. El usuario no se puede conectar a la BD si el DN de los certificados de usuario no es igual a sus

Bonfiglio, Luciano G. Oracle 9i - 2010

DN en el directorio. Sin embargo, se puede editar el DN que utilizar el certificado antes de generar el Wallet editando los contenidos del campo Issued For. La Oracle Wallet se crea al clickear el botn Generate Wallet. Al seleccionar un usuario de la ventana Edit User (figura 8), el atributo userpkcs12 se hace visible en la lista de atributos para el mismo. Dicho atributo representa la Wallet creada en este paso.

Buscando Usuarios en el Directorio

OESM permite buscar en el directorio los usuarios actualmente almacenados. Para hacerlo, elegir la pestaa All Users en la ventana principal (figura 7):

figura 7 Para buscar usuarios en el directorio, definir el criterio de bsqueda y clickear en el botn Search Now. La ventana muestra los resultados de la bsqueda. La siguiente tabla resume los criterios de bsqueda y sus respectivos efectos en los resultados: Criterio de Bsqueda Base Include Subtrees

Efecto en la bsqueda Es el punto de entrada base en el directorio donde se realiza la bsqueda. Solo los usuarios bajo esta base son resultado de la bsqueda. Determina entre mostrar todos los usuarios hallados bajo el subrbol de la base seleccionada, o solo aquellos usuarios que existen directamente bajo la ubicacin de la base (un nivel solamente).

Bonfiglio, Luciano G. Oracle 9i - 2010

Criterio de Bsqueda Show names containing

Efecto en la bsqueda Limita la bsqueda a aquellos usuarios en que las entradas del directorio tengan un nombre comn que comience con los caracteres que se especifican. Esto es til si no se conoce exactamente el nombre o la base del usuario que se busca.

Ejemplo: seleccionar un usuario para editarlo Para editar uno de los usuarios devueltos por la bsqueda, seleccionar el mismo y clickear el botn Edit... o hacer doble click sobre el mismo en la lista (figura 8):

figura 8

Bonfiglio, Luciano G. Oracle 9i - 2010

Al seleccionar un usuario del directorio para editarlo, se puede cambiar la password y la asignacin de los roles empresariales, as como tambin modificar la Wallet del mismo de igual forma que durante la creacin.

Habilitando el acceso a la BD
La entrada de usuario debe residir en un subrbol del directorio de usuarios habilitado con acceso a las BD Oracle. Se puede setear los permisos de acceso para un subrbol seleccionado --para permitir a las BD dentro del dominio en el grupo PasswordAccessible Domains leer las credenciales de acceso del mismo. Para habilitar acceso a las BD: En un subrbol seleccionado de usuarios del directorio, setear permisos de acceso para permitir a las BD del grupo Password-Accessible Domains acceder a las credenciales de acceso del usuario:

Seleccionar el subrbol de usuario bajo Usuarios, mediante bsqueda Base Seleccionar Allow logon to Databases en Authorized Enterprise Domains

Administrando Oracle Contexts

Un Oracle Context es un subrbol en el directorio que contiene los datos utilizados por cualquier producto Oracle instalado que utiliza el mismo. OESM es uno de estos productos. Permite administrar BD e informacin relacionada con la seguridad en el directorio.

Versiones de Oracle Context

OESM soporta mltiples Oracle Contexts en un directorio, incluyendo versiones de Oracle8i y Oracle9i. Ahora, Oracle9i Enterprise User Security solo se puede administrar utilizando un Oracle Context Oracle9i. OESM versin Oracle9i puede usarse para administrar ambas versiones de Oracle Context en el directorio. OESM muestra todos los Oracle Contexts en el rbol principal de la aplicacin --incluyendo ambas versiones. En el siguiente ejemplo (figura 9), OESM est conectado a un directorio Oracle configurado para soportar el esquema de directorio de Oracle9i y una raz de Oracle Context versin Oracle9i.

Definiendo Propiedades de un Oracle Context

Un Oracle Context tiene un nmero de propiedades que se pueden visualizar y administrar en la ventana de Enterprise Security Manager (figura 9, tabla 4):

Bonfiglio, Luciano G. Oracle 9i - 2010

figura 9 Propiedad Directory Location Version Descripcin Ubicacin de Oracle Context. En el caso del Oracle Context raz, este valor es nulo. Versin del Oracle Context: Oracle8i o Oracle9i.

Versioncompatibility Versiones que soporta el Oracle Context: 8i, 9i, o ambas. Common User Search Lista de ubicaciones base en el directorio en el cual los usuarios Bases comnmente existen. Identifica una lista de bases de bsqueda de usuario que permite buscarlos rpidamente, y tambin indica a las BD Oracle9i en el Oracle Context donde encontrar los usuarios del directorio que se conectan a las mismas. UserID Este atributo identifica al usuario en la empresa; un identificador nico global por usuario. Se utiliza este valor para autenticarse en BD Oracle9i, servidores de directorio, o aplicaciones habilitadas en el directorio. El valor por defecto es cn, el nombre comn del usuario del directorio. Nombre del atributo en el input del usuario para el cual existe un nico valor de application GUID. No puede ser modificado. Sintaxis de directivas de password utilizada por BD Oracle9i cuando se autentican usuarios globales. No puede ser modificada. tabla 4

Application GUID Password Policy

Bonfiglio, Luciano G. Oracle 9i - 2010

Registrando una BD en el Directorio

Usar OESM para registrar una BD con el directorio es una nueva funcionalidad en esta release. Tambin se puede utilizar Database Configuration Assistant para hacerlo. La siguiente tabla muestra las diferencias entre ambas herramientas.
Crea una entrada DN de BD en el Directorio Agrega la BD al dominio por defecto Crea un marcador de Setea el parmetro un Database RDBMS_SERVER_DN Wallet en el Directorio Crea un Database Wallet vlida

Herramienta

OESM Database Configuration Assistant Prerequisitos

Si Si

Si Si

Si No

No Si

No No

Si se desea generar un marcador de database wallet, primero se debe ejecutar la siguiente lnea de comando:
esm -genca

Seguir las instrucciones que muestra la herramienta. La misma crea una autoridad certificada simulada en el directorio del Oracle wallet.
Registrar una BD con el directorio:

1. En la ventana principal del Enterprise Security Manager, seleccionar Register Database desde el men de Operaciones. 2. Completar los campos con los valores apropiados de la BD a registrar. Nota: para registrar la BD usando OESM, el SID de la BD debe ser igual al nombre reducido de la BD. Si se necesita editar el string de conexin, seleccionar Store TNS Connect String, lo cual habilita el campo para edicin. 3. Si se quiere generar un marcador de wallet para la BD a registrar, seleccionar Generate Wallet e ingresar la password de la wallet. Si no visualiza la opcin Generate Wallet, asegurarse de haber ejecutado el comando esm -genca descripto en los "Prerequisitos". 4. Luego de completar la informacin requerida, clickear OK para crear la entrada de BD en el directorio. 5. Un cuadro de texto avisa que se debe setear el parmetro RDBMS_SERVER_DN en el archivo de parmetros (spfile.ora) ingresando el siguiente comando en una consola de SQL*Plus:
ALTER SYSTEM SET RDBMS_SERVER_DN=SERVER_DN SCOPE SPFILE

6. Luego, reiniciar la BD para que el nuevo parmetro sea ledo por el sistema.

Bonfiglio, Luciano G. Oracle 9i - 2010

Definiendo Bases de Bsqueda de usuarios

Bases de bsqueda de usuarios comunes pueden ser agregadas o quitadas de Oracle9i Oracle Context en la ventana General (figura 9). Para quitar una base de bsqueda de usuario de un Oracle Context: 1. En la ventana General del OESM (figura 9), seleccionar una base de bsqueda de la lista de Common User Search Bases, y elegir el botn Remove... 2. Elegir el botn Apply; la base de bsqueda de usuario es quitada del Oracle Context en el directorio. Para agregar una nueva base de bsqueda de usuario a un Oracle Context: 1. En la ventana General del OESM (figura 9), seleccionar el botn Add...; aparece la ventana para seleccionar el directorio (figura 10):

figura 10 2. Navegar por el rbol de directorios y seleccionar una entrada de base de bsqueda de usuario. Alternativamente, se puede editar el contenido del campo Selection en la ventana para definir manualmente la base de bsqueda de usuario. 3. Seleccionar OK; la entrada es agregada a la lista de bases de bsqueda de usuarios en la ventana General (figura 9). 4. Seleccionar Apply (figura 9); la base de bsqueda de usuario se agrega al Oracle Context en el directorio.

Bonfiglio, Luciano G. Oracle 9i - 2010

Definiendo Administradores de un Oracle Context

Un Oracle Context contiene grupos administrativos que tienen distintos niveles de privilegios para las operaciones dentro de un Oracle Context. Algunos solo estn disponibles en Oracle9i y otros estn disponibles para ambos, Oracle8i y Oracle9i. Los grupos administrativos para un Oracle Context estn definidos en la siguiente tabla (tabla 6): Grupo Administrativo Full Context Management Directory User Management Database Security Management Versin Versin Oracle9i Oracle8i No

Definicin

Todos los privilegios de Administrador Si posibles para todas las reas del producto en el Oracle Context. Puede visualizar recordatorios de Si password de usuarios de directorio y actualizarlas. Puede administrar todos los dominios y Si roles empresariales en el Oracle Context.

No

Si Si Si

Database Registration Puede registrar una nueva BD en el Si Oracle Context. Oracle Net Management Puede administrar objetos Oracle Net en Si el Oracle Context.

Utilizar la pestaa Administrators de la ventana principal de OESM para gestionar Administradores de Oracle Context (figura 11):

Bonfiglio, Luciano G. Oracle 9i - 2010

figura 11 Para quitar un usuario de la lista de Administradores del Oracle Context: 1. Seleccionar la categora Administrador (tabla 6); la lista es visualizada. 2. Seleccionar un nombre de usuario de la lista. 3. Seleccionar el botn Remove; el usuario es quitado de la lista. 4. Seleccionar el botn Apply; el usuario es quitado como Administrador del Oracle Context, en la categora seleccionada.

figura 12 Para agregar un usuario a la lista de administradores de un Oracle Context: 1. Seleccionar el botn Add... en la figura 11; se visualiza la ventana para agregar usuarios (figura 12). Utilizar esta ventana para localizar y seleccionar usuarios en el directorio. Hay tres paneles en la ventana:

Panel superior: El rbol de bsqueda de directorio.

Bonfiglio, Luciano G. Oracle 9i - 2010

Panel intermedio: Criterio de bsqueda que determina que usuarios sern parte del resultado. Panel inferior: Resultados de la bsqueda usuarios hallados en el directorio que coinciden con el criterio de bsqueda.

2. Navegar en el Directorio (en el panel superior) para seleccionar una base de bsqueda de usuario. Se puede editar el contenido del campo seleccionado en esta ventana para definirla manualmente. 3. Chequear la opcin Include Subtrees en el panel intermedio (criterio de bsqueda). Esta opcin de seleccin busca a todos los usuarios dentro de la base de bsqueda, incluyendo subrboles. 4. Ingrese un nombre de usuario en el campo Show Names Containing. Esto limita la bsqueda a usuarios en el directorio que tienen el nombre especificado en el cuadro de texto. 5. Seleccionar el botn Search Now (panel intermedio). Si hay usuarios en el directorio de la base seleccionada que coincidan con el criterio de bsqueda, son listados en la ventana. 6. Seleccionar el nombre de usuario deseado y oprimir OK, o hacer doble clic sobre el mismo. Pueden ser elegidos mltiples usuarios, seleccionando el rango y oprimiendo OK. Los nuevos usuarios aparecen en la lista de Administradores bajo la categora elegida.

Administrando Password Accesible Domains

Existen tres requisitos en una BD para aceptar una conexin desde un usuario autenticado mediante password: La BD debe ser miembro de un dominio configurado para aceptar autenticacin mediante password y SSL (ver: tabla 8). El dominio debe ser miembro de un grupo password-accessible domains, llamado Password-Accessible Domains List, agregado por un Oracle Context Administrator o un Database Security Administrator. Los miembros del dominio de la lista pueden leer el verificador de password del usuario en el directorio, mientras que los que estn excluidos de la misma no podrn. El dominio debe ser parte de un Oracle9i Oracle Context o superior. La entrada del usuario debe estar en un subrbol del directorio que tenga habilitado el acceso a las BD. Se puede setear los permisos de acceso a las BD a un subrbol que permita a las BD en la lista PasswordAccessible Domains leer la informacin de acceso de los usuarios.

Configurar accesibilidad de password:

o

Agregar la BD a un dominio empresarial configurada para aceptar autenticacin de usuario va password y SSL.

Bonfiglio, Luciano G. Oracle 9i - 2010

2. En el Oracle9i Oracle Context seleccionado, o superior, agregar el dominio a la lista Password-Accessible Domains. Seleccionar Add y seleccionar uno de los siguientes dominios empresariales. Para quitar un dominio empresarial de la lista, seleccionarlo en la ventana de Dominios Accesibles y elegir Remove. 3. En el subrbol del directorio de usuarios seleccionado, setear permisos de acceso a las BD Oracle para permitir a las BD en la lista PasswordAccessible Domains tener acceso a la informacin de acceso de usuarios: Seleccionar el subrbol bajo Usuarios, por bsqueda Base. Seleccionar Allow Logon to Database en el dominio empresarial autorizado para ese subrbol.

Administrando la Seguridad en BD
Una vez que se registran las BD en el directorio, se puede usar OESM para administrar el acceso de usuarios a las mismas. Eso se logra usando los siguientes objetos en el Oracle Context (tabla 7): Objeto Database Enterprise Domain Enterprise Role Mapping Descripcin Entrada de directorio que representa una BD registrada. Grupo de BD registradas en el directorio, sobre las cuales se puede implementar un modelo de seguridad de acceso de usuarios comunes. Autorizacin que abarca mltiples BD dentro de un dominio empresarial. Objeto usado para mapear el distinguished name (DN) de un usuario a un esquema de BD al cual acceder.

Gestionando Administradores de BD
Un Administrador de BD es un usuario del directorio que tiene privilegios para modificar la BD y su subrbol en el Oracle Context. Se pueden gestionar usando la pestaa Administrators cuando se selecciona una BD bajo un Oracle Context en el rbol principal de la aplicacin (figura 11). Para quitar un usuario de la lista de Administradores: 1. Seleccionar un usuario de la lista de Administradores. 2. Elegir Remove; el usuario es quitado de la lista. 3. Elegir Apply; el usuario es quitado como Administrador de BD en el Oracle Context. Para agregar un nuevo usuario a la lista de Administradores:

Bonfiglio, Luciano G. Oracle 9i - 2010

1. Elegir Add; aparece la ventana Add Users (figura 12). Utilizar esta venta para localizar y seleccionar usuarios en el directorio. 2. Seleccionar uno o ms usuarios del directorio; el/los nuevo/s usuario/s es/son visualizado/s en la ventana Administrators (figura 11). 3. Elegir Apply; el nuevo usuario es agregado como Administrador en la BD en el Oracle Context.

Administrando Mapeadores de Esquema de BD

Un Mapeador permite, a las BD registradas en el directorio, aceptar conexiones de usuarios sin requerir un esquema dedicado para los mismos. Por ejemplo, cuando el usuario local Scott se conecta a una BD, debe existir el esquema llamado Scott --para un acceso exitoso. Esto es difcil de mantener si hay miles de usuarios y quizs cientos de BD en una empresa de gran envergadura. Los usuarios definidos en un directorio compatible con LDAP no requieren esquemas dedicados en BD (versiones 8i o superior) a las cuales se van a conectar. Una BD puede usar un mapeador para compartir un esquema entre mltiples usuarios del directorio. El mapeador es un par de valores: la base en el directorio donde existe el usuario, y el nombre del esquema de BD que usar. Se puede utilizar la ventana Database Schema Mappings para administrar los mapeadores --cuando se selecciona una BD en el rbol principal de la aplicacin bajo un Oracle Context. Esta ventana contiene una lista de nombres de esquemas y pares de bases del directorio. (figura 13):

Bonfiglio, Luciano G. Oracle 9i - 2010

figura 13 Para quitar un mapeador de la lista en un dominio empresarial: 1. Seleccionar un mapeador de la pesataa Database Schema Mapping. 2. Elegir Remove. El mapeador es quitado de la lista. 3. Elegir Apply; el mapeador es quitado del dominio empresarial. Para agregar un mapeador a la lista en un dominio empresarial: 1. Elegir Add...; aparece la ventana Add Database Schema Mappings (figura 14):

figura 14 Utilizar esta ventana para localizar y seleccionar una base en el directorio y vincularlo con el nombre de esquema de la BD. Hay dos componentes en la ventana: hay un rbol de bsqueda de directorio donde se selecciona la base, y un campo donde se ingresa el nombre del esquema. 2. Navegar el directorio para seleccionar la entrada deseada como base para el mapeador. Puede ser cualquier entrada, pero debe estar ubicada sobre el subrbol de usuarios a ser mapeados. Se puede editar el contenido del campo Directory Entry para definir manualmente la base. 3. En el campo Schema, ingrese el nombre del esquema para el cual se crea el mapeador, y presione OK. Debe ser un nombre vlido, de un esquema que exista en la BD. El nuevo mapeador aparece en la ventana database schema mappings (figura 13).

Bonfiglio, Luciano G. Oracle 9i - 2010

4. Elegir Apply; el nuevo mapeador es agregado a la BD seleccionada en el Oracle Context.

Administrando Dominios Empresariales

Un Oracle Context contiene al menos un dominio empresarial, llamado OracleDefaultDomain. Este es parte del mismo cuando es creado en el directorio. Cuando una nueva BD es registrada dentro del Oracle Context, automticamente se convierte un miembro de OracleDefaultDomain en l. Se puede crear y quitar dominios empresariales, pero no se puede quitar OracleDefaultDomain de un Oracle Context. Para crear un dominio empresarial en un Oracle Context, utilizar alguno de los siguientes mtodos:

Seleccionar Create Enterprise Domain del men de Operaciones (figura 13). Seleccionar un Oracle Context del rbol principal de la aplicacin con el botn derecho del ratn. Aparece la ventana Create Enterprise Domain (figura 15):

figura 15 Para crear el nuevo dominio empresarial: 1. Seleccionar el Oracle Context apropiado (figura 15). Nota: Si se invoca la ventana Create Enterprise Domain con el botn derecho del ratn sobre el Oracle Context en el rbol principal de la aplicacin, el nombre del mismo aparece seleccionado. 2. Ingresar el nombre del nuevo dominio empresarial, en el campo Domain Name. 3. Elegir OK; se crea el nuevo dominio empresarial en el Oracle Context, y aparece en el rbol principal de la aplicacin.

Bonfiglio, Luciano G. Oracle 9i - 2010

Para quitar un dominio empresarial: 1. Seleccionar el dominio desde el rbol principal de la aplicacin (figura 13). 2. Utilizar alguno de los siguientes mtodos: Seleccionar Remove Enterprise Domain desde el men de Operaciones. Seleccionar un dominio desde el rbol principal de la aplicacin con el botn derecho del ratn. 3. OESM pregunta si efectivamente desea quitar el dominio empresarial del Oracle Context; elegir OK para hacerlo. Nota: No se puede quitar un dominio empresarial de un Oracle Context si este todava contiene roles empresariales.

Definiendo Membresas de BD de un Dominio Empresarial

Utilizar el rbol de la aplicacin de la ventana principal de OESM para seleccionar un dominio empresarial. Se puede utilizar la pestaa Databases para administrar las membresas de BD de un dominio empresarial en un Oracle Context (figura 16):

figura 16

Bonfiglio, Luciano G. Oracle 9i - 2010

Para quitar una BD de un dominio empresarial: 1. Seleccione una BD, y elegir Remove...; la BD es quitada de la lista. 2. Elegir Apply; la BD es quitada del dominio empresarial en el Oracle Context. Para agregar una BD a un dominio empresarial: Nota: Solo se puede agregar una BD a un dominio empresarial si, ambos, la BD y el dominio empresarial existen en el mismo Oracle Context. Por consiguiente: Un dominio empresarial no puede contener una BD de un Oracle Context diferente.

Una BD no puede ser miembro de dos dominios empresariales diferentes. 1. Elegir Add... (figura 16); aparece la ventana Add Databases. La misma lista todas las BD asociadas con el Oracle Context (figura 17):

figura 17 2. Seleccionar una BD para agregarla al dominio empresarial. 3. Elegir OK; la BD es agregada a la lista en la pestaa Databases (figura 16). 4. Elegir Apply (figura 16); la nueva BD se agrega al dominio empresarial en el Oracle Context.

Administrando opciones de Seguridad de BD en un Dominio Empresarial

Bonfiglio, Luciano G. Oracle 9i - 2010

Utilizar la pestaa Databases (figura 16) para administrar las opciones de seguridad de BD aplicables a todas las BD miembros del dominio empresarial. Las opciones son sintetizadas en la siguiente tabla:

Opcin Enable current user database links User authentication

Descripcin Dos BD solo permiten el uso de esta opcin si ambas existen en un dominio empresarial, en el cual dicha opcin est habilitada. Todas las BD en un dominio empresarial deben forzar, a los clientes, uno de los siguientes tipos de autenticacin: Solo autenticacin Oracle Net SSL usando Oracle Wallets.

Autenticacin va Password u Oracle Net SSL (por defecto).

Gestionando Administradores de Dominios Empresariales

Un Administrador de dominio empresarial es un usuario del directorio con privilegios para modificar el contenido del mismo. Se puede utilizar la pestaa Administrators (figura 11) para gestionarlos, al seleccionar un dominio en un Oracle Context en el rbol principal de la aplicacin. Para quitar un usuario de la lista de Administradores: 1. Seleccionar un usuario de la lista de Administradores. 2. Elegir Remove; el usuario es quitado de la lista. 3. Elegir Apply; el usuario es quitado del dominio empresarial como Administrador, en un Oracle Context. Para agregar un usuario a la lista de Administradores: 1. Elegir Add...; aparece la ventana Add Users. Utilizar esta ventana para localizar y seleccionar usuarios para designarlos como Administradores del dominio empresarial. El/Los usuario/s seleccionado/s aparece/n en la pestaa Administrators. 2. Elegir Apply; el/los nuevo/s Administrador/es es/son agregado/s al dominio empresarial en el Oracle Context.

Administrando Mapeadores de Esquemas de BD de Dominios Empresariales

Como se vi previamente, los mapeadores de esquemas de BD pueden ser administrados por cada BD en un Oracle Context. A su vez, pueden ser definidos por cada dominio empresarial en un Oracle Context, utilizando la pestaa database schema mappings con un dominio empresarial seleccionado en

Bonfiglio, Luciano G. Oracle 9i - 2010

el rbol principal de la aplicacin. Estos mapeadores se aplican a todas las BD miembros del dominio. Por lo tanto, cada BD en el dominio debe tener un esquema del mismo nombre que el mapeador para que este sea efectivo en la BD.

figura 18 Para quitar un mapeador de la lista de mapeadores de esquema de BD en el dominio empresarial (figura 18): 1. Seleccionar un mapeador de la lista. 2. Elegir Remove; el mapeador es quitado de la lista. 3. Elegir Apply; el mapeador es quitado del dominio empresarial. Para agregar un nuevo mapeador a la lista de mapeadores de esquema de BD en el dominio empresarial (figura 18): 1. Elegir Add...; aparece la ventana Add Database Schema Mappings. Utilizar esta ventana para localizar y seleccionar una base en el directorio para el nuevo mapeador, como se vi previamente. 2. Ingresar el nuevo mapeador al dominio. 3. Elegir Apply; se agrega el nuevo mapeador al dominio elegido en el Oracle Context.

Administrando Roles Empresariales

Un dominio empresarial dentro de un Oracle Context puede contener mltiples roles empresariales. Un rol empresarial es un conjunto de autorizaciones Oracle sobre una o ms BD en un dominio empresarial.

Bonfiglio, Luciano G. Oracle 9i - 2010

Para crear un nuevo rol empresarial: Se puede crear un rol empresarial en un dominio empresarial desde el men de Operaciones en la ventana principal de OESM (figura 18), o haciendo click derecho sobre un dominio empresarial en el rbol principal de la aplicacin. En cualquiera de los casos, aparece la ventana Create Enterprise Role (figura 19):

figura 19 1. Elegir el Oracle Context desde la lista; el mismo es el que contiene el dominio empresarial --el cual contendr el nuevo rol empresarial. 2. Seleccionar el dominio empresarial apropiado para el nuevo rol empresarial, desde la lista Enterprise Domain. 3. Ingresar el nombre del nuevo rol empresarial en el campo Role Name. 4. Elegir OK; se crea el nuevo rol empresarial en el dominio empresarial, y aparece en el rbol principal de la aplicacin. Para quitar un rol empresarial: 1. Seleccionar el rol empresarial desde el rbol principal de la aplicacin (figura 18). 2. Elegir Remove Enterprise Role, ya sea desde el men Operaciones o haciendo click derecho sobre el dominio empresarial en el rbol principal de la aplicacin. 3. OESM pregunta por la confirmacin para quitar el rol empresarial, elegir Yes.

Asignar membresa de global role de BD a un rol empresarial

Utilizar la pestaa Database Global Roles (figura 20) de la ventana principal de OESM para administrar las membresas de global role de BD en un rol

Bonfiglio, Luciano G. Oracle 9i - 2010

empresarial. La misma lista los nombres de cada global role que pertenece a un rol empresarial, junto con el nombre de la BD en la cual ese rol global existe.

figura 20 Cuando llenamos un rol empresarial con diferentes database roles solo es posible referenciar roles en BD que estn configurados para ser global roles en las mismas. Un global role en una BD es idntico a un rol normal, excepto que el Administrador de BD ha definido que sea autorizado por el directorio. Un Administrador de BD no puede otorgar o revocar localmente global roles a los usuarios de la BD. Para quitar un database global role de un rol empresarial: 1. Seleccionar un global role de la lista del rbol principal de la aplicacin, y elegir Remove...; el global role es quitado de la lista. 2. Elegir Apply; el global role es quitado del rol empresarial en el dominio empresarial. Para agregar un global role a un rol empresarial: 1. Elegir Add... (figura 20); aparece la ventana Add Global Database Roles. La misma lista todas las BD en el dominio empresarial --sobre las cuales se pueden agregar global roles a un rol empresarial. 2. Seleccionar una BD para la obtencin de global roles. Aparece una ventana de autenticacin a la BD (figura 21). Tpicamente, es un acceso de DBA a la BD.

Bonfiglio, Luciano G. Oracle 9i - 2010

figura 21 Nota: El nombre de la BD aparece en el campo Service por defecto. Se puede usar ese nombre para conectarse a la BD si el ORACLE_HOME tiene LDAP habilitado como mtodo de Oracle Net naming, o si aparece como alias TNS en la configuracin local Oracle Net. De otra manera, se puede sobreescribir el contenido del mismo con cualquier otro alias TNS configurado para esa BD, o por un string de conexin con el siguiente formato:
<host>:<port>:<oracle sid>

Ejemplo: cartman:1521:broncos 3. Elegir OK; OESM conecta a la BD dada y busca la lista de los global roles soportados en esa BD. La lista de valores, si existe, es visualizada en la ventana Add Global Database Roles. 4. Seleccionar uno o ms global roles de la lista y elegir OK; los mismos aparecen en la ventana Database Global Roles (figura 20). 5. Elegir Apply; el/los nuevo/s global role/s es/son agregado/s al rol empresarial en el dominio empresarial.

Administrando Enterprise Role Grantees

Un enterprise role grantee es un usuario del directorio al que se le ha otorgado un rol empresarial, incluyendo todos los global roles de BD contenidos en el mismo. Se puede utilizar la pestaa Enterprise Users (figura 22) para administrar enterprise role grantees, cuando se selecciona un rol empresarial bajo un dominio empresarial en el rbol principal de la aplicacin.

Bonfiglio, Luciano G. Oracle 9i - 2010

Para quitar un usuario de la lista de enterprise role grantees (figura 22): 1. Seleccionar un usuario de la lista. 2. Elegir Remove; el usuario selecto es quitado de la lista. 3. Elegir Apply; el usuario es quitado del rol empresarial en el dominio empresarial. Para agregar un usuario a la lista de enterprise role grantees: 1. Elegir Add...; aparece la ventana Add Users (figura 12). Utilizar esta ventana para localizar y seleccionar uno o ms usuarios del directorio para agregarlos como enterprise role grantees. El nuevo usuario aparece en la pgina Enterprise Users (figura 22):

figura 22 2. Elegir Apply; El usuario es agregado al rol empresarial en el dominio empresarial. Se puede asignar roles empresariales a nuevo usuario empresarial seleccionando al mismo y eligiendo la pestaa Enterprise Role.

Bonfiglio, Luciano G. Oracle 9i - 2010

Bibliografa: http://download.oracle.com/docs/cd/B10501_01/network.920/a96573/asoueus.ht m