Professional Documents
Culture Documents
Oracle 9i - 2010
Un servicio de directorio compatible con LDAP instalado, corriendo y accesible sobre LDAP estndar y Secure Sockets Layer LDAP (LDAP/SSL). Oracle Internet Directory configurado para dar soporte al esquema de directorio de objetos de Oracle9i y debe incluir un Oracle Context raz. Se puede utilizar el asistente de Oracle Net Configuration para configurar ambos en el servidor de directorio.
(Windows) Elegir Inicio > Programas > Oracle - HOME_NAME > Integrated Management Tools > Enterprise Security Manager
figura 1
Para elegir el mtodo de autenticacin, debe elegir la opcin apropiada en el cuadro de la figura 1.
figura 2 De la siguiente tabla, ingresar la informacin de usuario requerida por la pestaa User Naming; elegir OK para crear el nuevo usuario empresarial.
Campo base First Name Surname UserID UserID Suffix Email Address
Obligatorio? Descripcin Si Si Si Si No No Entrada en el directorio bajo la cual el nuevo usuario es creado. Nombre del usuario. Apellido del usuario. Nombre de usuario que utiliza para conectarse a la red, las bases de datos y las aplicaciones. Valor actual de cualquier sufijo comn de UserID que se anexa al mismo. Por ejemplo: <userID>.us.acme.com Direccin de correo del nuevo usuario. El componente Common Name (cn=) del Nombre Distintivo (DN) del nuevo usuario en el directorio. Por defecto est seteado con el nombre completo del nuevo usuario. De todas maneras, se puede sobrescribir este valor para forzar a que sea una porcin del DN.
figura 3
figura 4
Acceso de directorio. Acceso de BD, para BD que soportan password authentication para usuarios globales. Un nuevo Oracle Wallet, si es creado por el nuevo usuario en ese momento.
Aceptar la password por defecto que se muestra Elegir una password generada aleatoriamente Ingresar una password manualmente
Para enviar la password al nuevo usuario por correo, seleccionar Notify User by Email, y notificar al nuevo usuario que modifique la password luego de su primer uso. Se utiliza la direccin de correo asociado al usuario en la pestaa User Naming (figura 2).
figura 5
Seguir las instrucciones que se muestran por la herramienta. Esta herramienta crea una autoridad de certificacin en el directorio de la Oracle wallet.
figura 6 El nombre distintivo (DN) bajo el cual se crear el usuario, se utiliza por defecto como el DN para el certificado digital a ser incluido en la Oracle wallet del mismo. El usuario no se puede conectar a la BD si el DN de los certificados de usuario no es igual a sus
DN en el directorio. Sin embargo, se puede editar el DN que utilizar el certificado antes de generar el Wallet editando los contenidos del campo Issued For. La Oracle Wallet se crea al clickear el botn Generate Wallet. Al seleccionar un usuario de la ventana Edit User (figura 8), el atributo userpkcs12 se hace visible en la lista de atributos para el mismo. Dicho atributo representa la Wallet creada en este paso.
figura 7 Para buscar usuarios en el directorio, definir el criterio de bsqueda y clickear en el botn Search Now. La ventana muestra los resultados de la bsqueda. La siguiente tabla resume los criterios de bsqueda y sus respectivos efectos en los resultados: Criterio de Bsqueda Base Include Subtrees
Efecto en la bsqueda Es el punto de entrada base en el directorio donde se realiza la bsqueda. Solo los usuarios bajo esta base son resultado de la bsqueda. Determina entre mostrar todos los usuarios hallados bajo el subrbol de la base seleccionada, o solo aquellos usuarios que existen directamente bajo la ubicacin de la base (un nivel solamente).
Efecto en la bsqueda Limita la bsqueda a aquellos usuarios en que las entradas del directorio tengan un nombre comn que comience con los caracteres que se especifican. Esto es til si no se conoce exactamente el nombre o la base del usuario que se busca.
Ejemplo: seleccionar un usuario para editarlo Para editar uno de los usuarios devueltos por la bsqueda, seleccionar el mismo y clickear el botn Edit... o hacer doble click sobre el mismo en la lista (figura 8):
figura 8
Al seleccionar un usuario del directorio para editarlo, se puede cambiar la password y la asignacin de los roles empresariales, as como tambin modificar la Wallet del mismo de igual forma que durante la creacin.
Habilitando el acceso a la BD
La entrada de usuario debe residir en un subrbol del directorio de usuarios habilitado con acceso a las BD Oracle. Se puede setear los permisos de acceso para un subrbol seleccionado --para permitir a las BD dentro del dominio en el grupo PasswordAccessible Domains leer las credenciales de acceso del mismo. Para habilitar acceso a las BD: En un subrbol seleccionado de usuarios del directorio, setear permisos de acceso para permitir a las BD del grupo Password-Accessible Domains acceder a las credenciales de acceso del usuario:
Seleccionar el subrbol de usuario bajo Usuarios, mediante bsqueda Base Seleccionar Allow logon to Databases en Authorized Enterprise Domains
figura 9 Propiedad Directory Location Version Descripcin Ubicacin de Oracle Context. En el caso del Oracle Context raz, este valor es nulo. Versin del Oracle Context: Oracle8i o Oracle9i.
Versioncompatibility Versiones que soporta el Oracle Context: 8i, 9i, o ambas. Common User Search Lista de ubicaciones base en el directorio en el cual los usuarios Bases comnmente existen. Identifica una lista de bases de bsqueda de usuario que permite buscarlos rpidamente, y tambin indica a las BD Oracle9i en el Oracle Context donde encontrar los usuarios del directorio que se conectan a las mismas. UserID Este atributo identifica al usuario en la empresa; un identificador nico global por usuario. Se utiliza este valor para autenticarse en BD Oracle9i, servidores de directorio, o aplicaciones habilitadas en el directorio. El valor por defecto es cn, el nombre comn del usuario del directorio. Nombre del atributo en el input del usuario para el cual existe un nico valor de application GUID. No puede ser modificado. Sintaxis de directivas de password utilizada por BD Oracle9i cuando se autentican usuarios globales. No puede ser modificada. tabla 4
Herramienta
Si Si
Si Si
Si No
No Si
No No
Si se desea generar un marcador de database wallet, primero se debe ejecutar la siguiente lnea de comando:
esm -genca
Seguir las instrucciones que muestra la herramienta. La misma crea una autoridad certificada simulada en el directorio del Oracle wallet.
Registrar una BD con el directorio:
1. En la ventana principal del Enterprise Security Manager, seleccionar Register Database desde el men de Operaciones. 2. Completar los campos con los valores apropiados de la BD a registrar. Nota: para registrar la BD usando OESM, el SID de la BD debe ser igual al nombre reducido de la BD. Si se necesita editar el string de conexin, seleccionar Store TNS Connect String, lo cual habilita el campo para edicin. 3. Si se quiere generar un marcador de wallet para la BD a registrar, seleccionar Generate Wallet e ingresar la password de la wallet. Si no visualiza la opcin Generate Wallet, asegurarse de haber ejecutado el comando esm -genca descripto en los "Prerequisitos". 4. Luego de completar la informacin requerida, clickear OK para crear la entrada de BD en el directorio. 5. Un cuadro de texto avisa que se debe setear el parmetro RDBMS_SERVER_DN en el archivo de parmetros (spfile.ora) ingresando el siguiente comando en una consola de SQL*Plus:
ALTER SYSTEM SET RDBMS_SERVER_DN=SERVER_DN SCOPE SPFILE
6. Luego, reiniciar la BD para que el nuevo parmetro sea ledo por el sistema.
figura 10 2. Navegar por el rbol de directorios y seleccionar una entrada de base de bsqueda de usuario. Alternativamente, se puede editar el contenido del campo Selection en la ventana para definir manualmente la base de bsqueda de usuario. 3. Seleccionar OK; la entrada es agregada a la lista de bases de bsqueda de usuarios en la ventana General (figura 9). 4. Seleccionar Apply (figura 9); la base de bsqueda de usuario se agrega al Oracle Context en el directorio.
Definicin
Todos los privilegios de Administrador Si posibles para todas las reas del producto en el Oracle Context. Puede visualizar recordatorios de Si password de usuarios de directorio y actualizarlas. Puede administrar todos los dominios y Si roles empresariales en el Oracle Context.
No
Si Si Si
Database Registration Puede registrar una nueva BD en el Si Oracle Context. Oracle Net Management Puede administrar objetos Oracle Net en Si el Oracle Context.
Utilizar la pestaa Administrators de la ventana principal de OESM para gestionar Administradores de Oracle Context (figura 11):
figura 11 Para quitar un usuario de la lista de Administradores del Oracle Context: 1. Seleccionar la categora Administrador (tabla 6); la lista es visualizada. 2. Seleccionar un nombre de usuario de la lista. 3. Seleccionar el botn Remove; el usuario es quitado de la lista. 4. Seleccionar el botn Apply; el usuario es quitado como Administrador del Oracle Context, en la categora seleccionada.
figura 12 Para agregar un usuario a la lista de administradores de un Oracle Context: 1. Seleccionar el botn Add... en la figura 11; se visualiza la ventana para agregar usuarios (figura 12). Utilizar esta ventana para localizar y seleccionar usuarios en el directorio. Hay tres paneles en la ventana:
Panel intermedio: Criterio de bsqueda que determina que usuarios sern parte del resultado. Panel inferior: Resultados de la bsqueda usuarios hallados en el directorio que coinciden con el criterio de bsqueda.
2. Navegar en el Directorio (en el panel superior) para seleccionar una base de bsqueda de usuario. Se puede editar el contenido del campo seleccionado en esta ventana para definirla manualmente. 3. Chequear la opcin Include Subtrees en el panel intermedio (criterio de bsqueda). Esta opcin de seleccin busca a todos los usuarios dentro de la base de bsqueda, incluyendo subrboles. 4. Ingrese un nombre de usuario en el campo Show Names Containing. Esto limita la bsqueda a usuarios en el directorio que tienen el nombre especificado en el cuadro de texto. 5. Seleccionar el botn Search Now (panel intermedio). Si hay usuarios en el directorio de la base seleccionada que coincidan con el criterio de bsqueda, son listados en la ventana. 6. Seleccionar el nombre de usuario deseado y oprimir OK, o hacer doble clic sobre el mismo. Pueden ser elegidos mltiples usuarios, seleccionando el rango y oprimiendo OK. Los nuevos usuarios aparecen en la lista de Administradores bajo la categora elegida.
Agregar la BD a un dominio empresarial configurada para aceptar autenticacin de usuario va password y SSL.
2. En el Oracle9i Oracle Context seleccionado, o superior, agregar el dominio a la lista Password-Accessible Domains. Seleccionar Add y seleccionar uno de los siguientes dominios empresariales. Para quitar un dominio empresarial de la lista, seleccionarlo en la ventana de Dominios Accesibles y elegir Remove. 3. En el subrbol del directorio de usuarios seleccionado, setear permisos de acceso a las BD Oracle para permitir a las BD en la lista PasswordAccessible Domains tener acceso a la informacin de acceso de usuarios: Seleccionar el subrbol bajo Usuarios, por bsqueda Base. Seleccionar Allow Logon to Database en el dominio empresarial autorizado para ese subrbol.
Administrando la Seguridad en BD
Una vez que se registran las BD en el directorio, se puede usar OESM para administrar el acceso de usuarios a las mismas. Eso se logra usando los siguientes objetos en el Oracle Context (tabla 7): Objeto Database Enterprise Domain Enterprise Role Mapping Descripcin Entrada de directorio que representa una BD registrada. Grupo de BD registradas en el directorio, sobre las cuales se puede implementar un modelo de seguridad de acceso de usuarios comunes. Autorizacin que abarca mltiples BD dentro de un dominio empresarial. Objeto usado para mapear el distinguished name (DN) de un usuario a un esquema de BD al cual acceder.
Gestionando Administradores de BD
Un Administrador de BD es un usuario del directorio que tiene privilegios para modificar la BD y su subrbol en el Oracle Context. Se pueden gestionar usando la pestaa Administrators cuando se selecciona una BD bajo un Oracle Context en el rbol principal de la aplicacin (figura 11). Para quitar un usuario de la lista de Administradores: 1. Seleccionar un usuario de la lista de Administradores. 2. Elegir Remove; el usuario es quitado de la lista. 3. Elegir Apply; el usuario es quitado como Administrador de BD en el Oracle Context. Para agregar un nuevo usuario a la lista de Administradores:
1. Elegir Add; aparece la ventana Add Users (figura 12). Utilizar esta venta para localizar y seleccionar usuarios en el directorio. 2. Seleccionar uno o ms usuarios del directorio; el/los nuevo/s usuario/s es/son visualizado/s en la ventana Administrators (figura 11). 3. Elegir Apply; el nuevo usuario es agregado como Administrador en la BD en el Oracle Context.
figura 13 Para quitar un mapeador de la lista en un dominio empresarial: 1. Seleccionar un mapeador de la pesataa Database Schema Mapping. 2. Elegir Remove. El mapeador es quitado de la lista. 3. Elegir Apply; el mapeador es quitado del dominio empresarial. Para agregar un mapeador a la lista en un dominio empresarial: 1. Elegir Add...; aparece la ventana Add Database Schema Mappings (figura 14):
figura 14 Utilizar esta ventana para localizar y seleccionar una base en el directorio y vincularlo con el nombre de esquema de la BD. Hay dos componentes en la ventana: hay un rbol de bsqueda de directorio donde se selecciona la base, y un campo donde se ingresa el nombre del esquema. 2. Navegar el directorio para seleccionar la entrada deseada como base para el mapeador. Puede ser cualquier entrada, pero debe estar ubicada sobre el subrbol de usuarios a ser mapeados. Se puede editar el contenido del campo Directory Entry para definir manualmente la base. 3. En el campo Schema, ingrese el nombre del esquema para el cual se crea el mapeador, y presione OK. Debe ser un nombre vlido, de un esquema que exista en la BD. El nuevo mapeador aparece en la ventana database schema mappings (figura 13).
Seleccionar Create Enterprise Domain del men de Operaciones (figura 13). Seleccionar un Oracle Context del rbol principal de la aplicacin con el botn derecho del ratn. Aparece la ventana Create Enterprise Domain (figura 15):
figura 15 Para crear el nuevo dominio empresarial: 1. Seleccionar el Oracle Context apropiado (figura 15). Nota: Si se invoca la ventana Create Enterprise Domain con el botn derecho del ratn sobre el Oracle Context en el rbol principal de la aplicacin, el nombre del mismo aparece seleccionado. 2. Ingresar el nombre del nuevo dominio empresarial, en el campo Domain Name. 3. Elegir OK; se crea el nuevo dominio empresarial en el Oracle Context, y aparece en el rbol principal de la aplicacin.
Para quitar un dominio empresarial: 1. Seleccionar el dominio desde el rbol principal de la aplicacin (figura 13). 2. Utilizar alguno de los siguientes mtodos: Seleccionar Remove Enterprise Domain desde el men de Operaciones. Seleccionar un dominio desde el rbol principal de la aplicacin con el botn derecho del ratn. 3. OESM pregunta si efectivamente desea quitar el dominio empresarial del Oracle Context; elegir OK para hacerlo. Nota: No se puede quitar un dominio empresarial de un Oracle Context si este todava contiene roles empresariales.
figura 16
Para quitar una BD de un dominio empresarial: 1. Seleccione una BD, y elegir Remove...; la BD es quitada de la lista. 2. Elegir Apply; la BD es quitada del dominio empresarial en el Oracle Context. Para agregar una BD a un dominio empresarial: Nota: Solo se puede agregar una BD a un dominio empresarial si, ambos, la BD y el dominio empresarial existen en el mismo Oracle Context. Por consiguiente: Un dominio empresarial no puede contener una BD de un Oracle Context diferente.
Una BD no puede ser miembro de dos dominios empresariales diferentes. 1. Elegir Add... (figura 16); aparece la ventana Add Databases. La misma lista todas las BD asociadas con el Oracle Context (figura 17):
figura 17 2. Seleccionar una BD para agregarla al dominio empresarial. 3. Elegir OK; la BD es agregada a la lista en la pestaa Databases (figura 16). 4. Elegir Apply (figura 16); la nueva BD se agrega al dominio empresarial en el Oracle Context.
Utilizar la pestaa Databases (figura 16) para administrar las opciones de seguridad de BD aplicables a todas las BD miembros del dominio empresarial. Las opciones son sintetizadas en la siguiente tabla:
Descripcin Dos BD solo permiten el uso de esta opcin si ambas existen en un dominio empresarial, en el cual dicha opcin est habilitada. Todas las BD en un dominio empresarial deben forzar, a los clientes, uno de los siguientes tipos de autenticacin: Solo autenticacin Oracle Net SSL usando Oracle Wallets.
el rbol principal de la aplicacin. Estos mapeadores se aplican a todas las BD miembros del dominio. Por lo tanto, cada BD en el dominio debe tener un esquema del mismo nombre que el mapeador para que este sea efectivo en la BD.
figura 18 Para quitar un mapeador de la lista de mapeadores de esquema de BD en el dominio empresarial (figura 18): 1. Seleccionar un mapeador de la lista. 2. Elegir Remove; el mapeador es quitado de la lista. 3. Elegir Apply; el mapeador es quitado del dominio empresarial. Para agregar un nuevo mapeador a la lista de mapeadores de esquema de BD en el dominio empresarial (figura 18): 1. Elegir Add...; aparece la ventana Add Database Schema Mappings. Utilizar esta ventana para localizar y seleccionar una base en el directorio para el nuevo mapeador, como se vi previamente. 2. Ingresar el nuevo mapeador al dominio. 3. Elegir Apply; se agrega el nuevo mapeador al dominio elegido en el Oracle Context.
Para crear un nuevo rol empresarial: Se puede crear un rol empresarial en un dominio empresarial desde el men de Operaciones en la ventana principal de OESM (figura 18), o haciendo click derecho sobre un dominio empresarial en el rbol principal de la aplicacin. En cualquiera de los casos, aparece la ventana Create Enterprise Role (figura 19):
figura 19 1. Elegir el Oracle Context desde la lista; el mismo es el que contiene el dominio empresarial --el cual contendr el nuevo rol empresarial. 2. Seleccionar el dominio empresarial apropiado para el nuevo rol empresarial, desde la lista Enterprise Domain. 3. Ingresar el nombre del nuevo rol empresarial en el campo Role Name. 4. Elegir OK; se crea el nuevo rol empresarial en el dominio empresarial, y aparece en el rbol principal de la aplicacin. Para quitar un rol empresarial: 1. Seleccionar el rol empresarial desde el rbol principal de la aplicacin (figura 18). 2. Elegir Remove Enterprise Role, ya sea desde el men Operaciones o haciendo click derecho sobre el dominio empresarial en el rbol principal de la aplicacin. 3. OESM pregunta por la confirmacin para quitar el rol empresarial, elegir Yes.
empresarial. La misma lista los nombres de cada global role que pertenece a un rol empresarial, junto con el nombre de la BD en la cual ese rol global existe.
figura 20 Cuando llenamos un rol empresarial con diferentes database roles solo es posible referenciar roles en BD que estn configurados para ser global roles en las mismas. Un global role en una BD es idntico a un rol normal, excepto que el Administrador de BD ha definido que sea autorizado por el directorio. Un Administrador de BD no puede otorgar o revocar localmente global roles a los usuarios de la BD. Para quitar un database global role de un rol empresarial: 1. Seleccionar un global role de la lista del rbol principal de la aplicacin, y elegir Remove...; el global role es quitado de la lista. 2. Elegir Apply; el global role es quitado del rol empresarial en el dominio empresarial. Para agregar un global role a un rol empresarial: 1. Elegir Add... (figura 20); aparece la ventana Add Global Database Roles. La misma lista todas las BD en el dominio empresarial --sobre las cuales se pueden agregar global roles a un rol empresarial. 2. Seleccionar una BD para la obtencin de global roles. Aparece una ventana de autenticacin a la BD (figura 21). Tpicamente, es un acceso de DBA a la BD.
figura 21 Nota: El nombre de la BD aparece en el campo Service por defecto. Se puede usar ese nombre para conectarse a la BD si el ORACLE_HOME tiene LDAP habilitado como mtodo de Oracle Net naming, o si aparece como alias TNS en la configuracin local Oracle Net. De otra manera, se puede sobreescribir el contenido del mismo con cualquier otro alias TNS configurado para esa BD, o por un string de conexin con el siguiente formato:
<host>:<port>:<oracle sid>
Ejemplo: cartman:1521:broncos 3. Elegir OK; OESM conecta a la BD dada y busca la lista de los global roles soportados en esa BD. La lista de valores, si existe, es visualizada en la ventana Add Global Database Roles. 4. Seleccionar uno o ms global roles de la lista y elegir OK; los mismos aparecen en la ventana Database Global Roles (figura 20). 5. Elegir Apply; el/los nuevo/s global role/s es/son agregado/s al rol empresarial en el dominio empresarial.
Para quitar un usuario de la lista de enterprise role grantees (figura 22): 1. Seleccionar un usuario de la lista. 2. Elegir Remove; el usuario selecto es quitado de la lista. 3. Elegir Apply; el usuario es quitado del rol empresarial en el dominio empresarial. Para agregar un usuario a la lista de enterprise role grantees: 1. Elegir Add...; aparece la ventana Add Users (figura 12). Utilizar esta ventana para localizar y seleccionar uno o ms usuarios del directorio para agregarlos como enterprise role grantees. El nuevo usuario aparece en la pgina Enterprise Users (figura 22):
figura 22 2. Elegir Apply; El usuario es agregado al rol empresarial en el dominio empresarial. Se puede asignar roles empresariales a nuevo usuario empresarial seleccionando al mismo y eligiendo la pestaa Enterprise Role.
Bibliografa: http://download.oracle.com/docs/cd/B10501_01/network.920/a96573/asoueus.ht m