Oracle Cloud Infrastructure - Dokumentation

RADIUS-Proxy einrichten

RADIUS (Remote Authentication Dial In User Service) ist ein Netzwerkprotokoll, das Regeln und Konventionen für die Kommunikation zwischen Netzwerkgeräten definiert. Der RADIUS-Proxy authentifiziert und autorisiert Benutzer oder Geräte und verfolgt auch die Nutzung dieser Services.

Erforderliche Policy oder Rolle

Um einen RADIUS-Proxy einzurichten und zu validieren, benötigen Sie eine der folgenden Zugriffsberechtigungen:
  • Berechtigung als Mitglied der Administratorengruppe
  • Berechtigung der Rolle "Identitätsdomainadministrator" oder "Sicherheitsadministrator"
  • Berechtigung als Mitglied einer Gruppe, der die Berechtigung manage für Domains erteilt wurde

Weitere Informationen zu Policys und Rollen finden Sie unter Administratorengruppe, Policy und Administratorrollen, Administratorrollen und Policys.

RADIUS-Proxy einrichten

So können Sie den RADIUS-Proxy installieren, einrichten und testen.

Vor dem Start:
  • Stellen Sie sicher, dass der RADIUS-Proxy für Ihre Identitätsdomain verfügbar ist. Der RADIUS-Proxy ist nur für Oracle Apps Premium- und Premium-Identitätsdomaintypen verfügbar. Weitere Informationen zu Identitätsdomaintypen und den zugehörigen Features und Limits finden Sie unter IAM-Identitätsdomaintypen.
  • Installieren Sie den neuesten Postman-Client.
  • Laden Sie die RADIUS-Proxy-Postman-Sammlung herunter.
  • Prüfen Sie die Anweisungen zur RADIUS-Proxyzuordnung. Siehe RADIUS-Proxyzuordnung.
  • Prüfen Sie diese Checkpoints. Verwenden Sie beim Einrichten des RADIUS-Proxys die folgenden Checkpoints, um zu prüfen, ob Ihre Konfiguration in jedem Schritt des Prozesses korrekt ist.
    1. Prüfen Sie, ob der RADIUS-Proxy und die RADIUS-Proxyclientanwendung in der Identitätsdomain aktiviert sind.
    2. Prüfen Sie, ob die IP-Adresse der Datenbank und die Portnummer des RADIUS-Proxys in der RADIUS-Anwendung korrekt konfiguriert sind.
    3. Prüfen Sie, ob der RADIUS-Agent hochgefahren und gestartet ist.
    4. Prüfen Sie, ob der Proxyserver hochgefahren und gestartet ist.
    5. Prüfen Sie, ob die Datenbank hochgefahren und gestartet ist.
  1. Laden Sie das aktuelle RADIUS-Proxyinstallationsprogramm von der Seite "Downloads" in der Konsole herunter.
    1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Identitätssicherheit. Klicken Sie unter Identität auf Domains. Klicken Sie auf den Namen der Identitätsdomain, in der Sie arbeiten möchten. Möglicherweise müssen Sie das Compartment ändern, um die gewünschte Domain zu finden. Klicken Sie anschließend auf Einstellungen und dann auf Downloads.
    2. Wählen Sie Oracle Identity Cloud Service RADIUS Proxy for Linux aus, und klicken Sie auf Herunterladen.
  2. Erstellen Sie die RADIUS-Anwendung aus der RADIUS-Anwendungsvorlage. Hinweis: Navigieren Sie für REST zu RADIUS Proxy, RADIUS App, Search und dann zu Search all Apps (with search criteria).
    1. Klicken Sie in der Konsole auf Anwendungen, Hinzufügen und dann auf Anwendungskatalog.
    2. Suchen Sie nach der RADIUS-App-Vorlage für Oracle Database, und klicken Sie auf Hinzufügen.
    3. Füllen Sie die Anwendungsdetails wie im folgenden Beispiel aus.
      • Name: dbserver
      • Beschreibung: Anwendung, die den Oracle-Datenbankserver als RADIUS-Client darstellt
      • IP-Adresse des Oracle-Datenbankservers: 10.242.230.122 (Bei dieser IP-Adresse wird die Datenbank installiert.)
      • Port von RADIUS-Proxy: 1812 (Nummer des Ports, an dem der RADIUS-Proxy nach Anforderungen aus dieser Oracle-Datenbank horcht. In den RADIUS-Einstellungen von Oracle Database muss dieselbe Portnummer konfiguriert werden.)
      • Secret Key: testing123 (Secret Key für die sichere Kommunikation zwischen dem RADIUS-Proxy und dem Oracle Database-Server. Derselbe Schlüssel muss in den RADIUS-Einstellungen von Oracle Database konfiguriert werden.)
    4. Klicken Sie auf Hinzufügen, Aktivieren und anschließend auf die Registerkarte Benutzer.
      Hinweis

      Weisen Sie die Benutzer, die sich bei Oracle Database anmelden dürfen, dieser RADIUS-Anwendung zu, indem Sie auf Benutzer zuweisen klicken. Anstatt einzelne Benutzer zuzuweisen, kann auch eine Gruppe zugewiesen werden, die diese Benutzer enthält. Klicken Sie auf die Registerkarte "Gruppen" und dann auf Gruppen zuweisen.

      Hinweis: Erstellen Sie den Gruppennamen in der Identitätsdomain gemäß dem in Schritt 3C ("RADIUS-Server konfigurieren") unter RADIUS-Authentifizierung konfigurieren definierten Format: ORA_databaseSID_rolename[_[A]|[D]].

      Erstellen Sie für jede Rolle in der Oracle-Datenbank, die von IAM identifiziert werden soll, eine entsprechende Gruppe mit dem obigen Format. Weisen Sie dieser Gruppe in IAM einen Benutzer zu, sodass der entsprechende Datenbankbenutzer mit der entsprechenden Datenbankrolle verknüpft ist.

  3. Erstellen Sie einen RADIUS-Proxy in IAM.
    1. Registrieren Sie eine Clientanwendung. Siehe Clientanwendung registrieren.
    2. Öffnen Sie Postman, und importieren Sie die Sammlung RADIUS Proxy.postman_collection.json, um die REST-Anforderungen in diesem Abschnitt zu erstellen.
    3. Importieren Sie die Umgebungsdatei RADIUS Proxy Example Environment with Variables.postman_environment.json, welche die in der Sammlung verwendeten Umgebungsvariablen enthält.
    4. Legen Sie die folgenden Umgebungsvariablen fest.

      Verwenden Sie für HOST die IAM-Adresse. Beispiel: https://yourtenant.identity.oraclecloud.com/.

      Verwenden Sie für CLIENT_ID und CLIENT_SECRET die weiter oben kopierten Werte.

      Hinweis

      Andere Umgebungsvariablen werden automatisch festgelegt, wenn REST-Anforderungen gestellt werden. Stellen Sie sicher, dass die folgenden REST-Anforderungen in derselben Reihenfolge gestellt werden.
    5. Rufen Sie ein Zugriffstoken ab. Um API-Aufrufe an IAM vorzunehmen, müssen Sie Ihren Client bei IAM authentifizieren und dann ein OAuth-Zugriffstoken abrufen. Das Zugriffstoken stellt eine Session zwischen einem Client (in diesem Fall Postman) und IAM bereit. Standardmäßig hat das Zugriffstoken ein Timeoutintervall von 60 Minuten. Anschließend müssen Sie ein neues Zugriffstoken anfordern, um zusätzliche REST-API-Aufrufe auszuführen. Um ein OAuth-Zugriffstoken abzurufen, erstellen Sie die Anforderung in der Postman-Sammlung unter RADIUS Proxy, OAuth Token und Obtain access_token (client credentials).
    6. Erstellen Sie den RADIUS-Proxy mit einem POST-Vorgang. Gehen Sie zu RADIUS Proxy, Create und dann zu Create a RADIUS Proxy.

      Endpunkt: admin/v1/RadiusProxies/ {{RPid}} 

      { 
"displayName": "Acme RADIUS Proxy", 
"description": "This is a RADIUS Proxy used for authentication of database users", 
"type":
"proxy", 
"timeout": 20, 
"noOfWorkerThreads": 10, 
"schemas" :
["urn:ietf:params:scim:schemas:oracle:idcs:RadiusProxy"] 
}
    7. Mit diesem Patchvorgang können Sie den RADIUS-Proxy aktivieren. Gehen Sie zu RADIUS Proxy, Lifecycle und Activate a RADIUS Proxy.

      Endpunkt: /admin/v1/RadiusProxies/{{RPid}}

      { 
"Operations":[ 
{ 
"op": "replace",
"path": "active", 
"value": true 
} ],
"schemas": [
"urn:ietf:params:scim:api:messages:2.0:PatchOp" ] }
    8. Erstellen Sie den RADIUS-Proxy-Listener mit einem POST-Vorgang. Gehen Sie zu RADIUS Proxy, RADIUS Proxy Listeners, Create und dann zu Create a RADIUS Proxy Listener.

      Endpunkt: {{HOST}}/admin/v1/RadiusProxyListeners

      { 
"description": "Brief description for this RADIUS Proxy Listener.",
"displayName": "RP1_L1", 
"hostName": "<HostName of the machine in which RADIUS Proxy will be installed.>", 
"radiusProxySettings":"{\"key1\": \"value1\", \"key2\": \"value2\"}", 
"radiusProxy":
{ "value" : "<ID of RadiusProxy which is created above.>" 
}, 
"schemas" : ["urn:ietf:params:scim:schemas:oracle:idcs:RadiusProxyListener"]

}
    9. Rufen Sie die dbserver-Anwendungs-ID ab. Führen Sie einen GET-Aufruf für admin/v1/Apps?filter=displayName eq "dbserver" aus. Entnehmen Sie die Anwendungs-ID der Antwort dieses GET-Aufrufs. Gehen Sie zu RADIUS Proxy, RADIUS App, Search und Search all apps (with search criteria).
      Sie können die App-ID auch der URL von dbserver entnehmen.
    10. Erstellen Sie eine RADIUS-Proxyzuordnung mit einem POST-Vorgang. Gehen Sie zu RADIUS Proxy, RADIUS Proxy Mappings, Create und dann zu Create a RADIUS Proxy Mapping.

      Endpunkt: {{HOST}}/admin/v1/RadiusProxyMappings/

      Hinweis

      Unter "value" weiter unten ist die ID die ID des RADIUS-Proxys, den Sie oben erstellt haben. 
      {
"description": "RADIUS Proxy mapping for Database server",
"radiusProxy": {
"value" : "<RadiusProxyID>"
},
"radiusApp": {
"value": "<<ID of RADIUS App obtained above.>"
},
"schemas" : ["urn:ietf:params:scim:schemas:oracle:idcs:RadiusProxyMapping"]
}

      Anweisungen zur RADIUS-Proxyzuordnung finden Sie unter RADIUS-Proxyzuordnung.

    11. Rufen Sie client_id und clientSecret des RADIUS-Proxys per GET-Aufruf ab. Die client_id und das clientSecret werden während der RADIUS-Proxyinstallation benötigt. Der RADIUS-Proxy verwendet diese Zugangsdaten zur Authentifizierung bei IAM. Gehen Sie zu RADIUS Proxy, Search, Create, Get client ID and client secret of App corresponding to RADIUS Proxy.

      Endpunkt: {{HOST}}/admin/v1/Apps/{{RPOAuthClientAppId}}?attributes=clientSecret,name

      RPOAuthClientAppId: ID der App, die dem RADIUS-Proxy entspricht. Sie finden sie in der Antwort [response.oauthClient.value] in Schritt 3f: Erstellen Sie eine RADIUS-Proxyzuordnung mit einem POST-Vorgang.

      Antwort:
      {
"isAliasApp": false,
"basedOnTemplate": {
"value": "RadiusProxyAppTemplateId"
},
"displayName": "Acme RADIUS Proxy",
"name": "<client id>",
"id": "75d525ce49ee469ba4dcac00bdfe6446",
"clientSecret": "<client secret>"
}
  4. Führen Sie das Installationsprogramm aus.
    1. Dekomprimieren Sie die heruntergeladene Datei idcs_radius_proxy-xxxx.zip in einen Ordner.
    2. Nennen Sie den Ordner <radius bin location-xxxx>. Dabei ist xxxx die Versionsnummer (z.B. 20.1.3).
      Es werden drei Dateien extrahiert: FileInfo.json, idcs_radius_proxy_installer.bin und InstallerValidation.jar. Die Datei InstallerValidation.jar und die Datei idcs_radius_proxy_installer.bin befinden sich nach der Extraktion im selben Verzeichnis. Sie müssen im selben Verzeichnis verbleiben.
    3. Melden Sie sich als Root-Benutzer an, oder führen Sie den folgenden Befehl als sudo aus: ./idcs_radius_proxy_installer.bin
      Hinweis

      Das Installationsprogramm unterstützt nur den grafischen Benutzeroberflächenmodus. Der Konsolenmodus wird nicht unterstützt. Wenn also der Fehler "Graphical installers are not supported by the VM." angezeigt wird, stellen Sie sicher, dass der X-Server richtig konfiguriert ist. Führen Sie dann als Nicht-Root-Benutzer diesen Befehl aus: xhost +si:localuser:root. Führen Sie das Installationsprogramm erneut aus.
  5. Installieren Sie den RADIUS-Proxy.
    1. Lesen Sie den Begrüßungsbildschirm, und klicken Sie auf Weiter.
    2. Lesen Sie den Informationsbildschirm, und klicken Sie auf Weiter.
    3. Wählen Sie den Zielordner aus (Standard ist /root/oracle_radius_proxy), in dem das RADIUS-Proxyinstallationsprogramm installiert wird. Klicken Sie Weiter.
    4. Wählen Sie im Bildschirm "HTTP-Proxy" die Option HTTP-Proxy verwenden aus, wenn der RADIUS-Proxy den HTTP-Proxy zur Verbindung mit IAM verwenden muss. Wenn nicht, lassen Sie dieses Kontrollkästchen deaktiviert. Klicken Sie Weiter.
    5. Geben Sie im IAM-Fenster die Cloud-Service-URL im folgenden Format ein: https://yourtenant.identity.oraclecloud.com. Geben Sie die Client-ID und das Client Secret des in IAM erstellten RADIUS-Proxys an. (Dies ist der RADIUS-Proxy, den Sie mit dem POST-Vorgang oben erstellt haben.) Klicken Sie Weiter.
    6. Geben Sie im Bildschirm "RADIUS-Benutzer- und Gruppeninformationen" die Informationen für Benutzername und Gruppe des Benutzers an. Beispiel:
      • Benutzername: <client>
      • Gruppe: <dba>

      Der IAM-RADIUS-Proxy-Daemon wird unter dem angegebenen Benutzernamen und der angegebenen Gruppe ausgeführt.

    7. Klicken Sie auf Weiter.
    8. Prüfen Sie in dem Bildschirm vor der Installation, ob alle Informationen korrekt sind. Wenn die Informationen korrekt sind, klicken Sie auf Installieren.
    9. Wenn die Installation abgeschlossen ist, klicken Sie auf Fertig.
  6. Prüfen Sie, ob der RADIUS-Agent und der RADIUS-Proxy ausgeführt werden. Der RADIUS-Agent ruft Konfigurationsdaten in regelmäßigen Abständen von IAM ab. Anschließend werden die vom RADIUS-Proxy verwendeten Konfigurationsdateien aktualisiert.
    1. Prüfen Sie mit den folgenden RADIUS-Agent-Befehlen, ob der Agent ausgeführt wird:
      • python <RADIUS_PROXY_INSTALLER_LOCATION>/oracle_radius_proxy/radius_agent/scripts/src/radius_agent.py status
      • Bei Bedarf können Sie auch stop, start und restart verwenden.
    2. Verwenden Sie den folgenden Befehl, um den RADIUS-Proxy auszuführen: /sbin/service idcs_radiusd start
    3. Führen Sie diese RADIUS-Serverbefehle aus, um zu prüfen, ob der RADIUS-Service "isRADIUS" ausgeführt wird.
      • /sbin/service idcs_radiusd status
      • Bei Bedarf können Sie auch stop, start und restart verwenden.
  7. (Optional) Verwenden Sie das NTRadPing-Testutility, um zu prüfen, ob der RADIUS-Proxy funktioniert.
    1. Installieren Sie das NTRadPing-Testutility unter Windows, und erstellen Sie einen Benutzer in IAM.
    2. Verwenden Sie den folgenden Screenshot als Beispiel. Im folgenden Screenshot ist client der in IAM erstellte Benutzer, und testing123 ist der Secret Key, der in den RADIUS-Einstellungen Secret Key der Seite App-Details angegeben wird.

      Die folgende Abbildung zeigt das Testutility NTRadPing in Windows:

      Screenshot des NTRadPing-Testutilitys unter Windows

  8. Richten Sie Oracle Database 12c ein, und konfigurieren Sie das Programm. Befolgen Sie die Anweisungen unter Authentifizierung konfigurieren, und verwenden Sie dann die folgenden Befehle, um einen Benutzer/eine Rolle in der Datenbank zu erstellen.
  9. Richten Sie Oracle Database 12c ein, und konfigurieren Sie das Programm. Weitere Informationen finden Sie unter RADIUS-Authentifizierung konfigurieren. Befolgen Sie die Anweisungen im Abschnitt RADIUS-Authentifizierung konfigurieren, um einen Benutzer und eine Rolle in der Datenbank zu erstellen.
  10. Mit der IAM-Benutzeroberfläche können Sie keine IP-Adressen im CIDR-Format hinzufügen. Wenn die IP-Adresse der Oracle-Datenbank das CIDR-Format aufweist, verwenden Sie die folgende Anforderung aus der Postman-Sammlung. Siehe Format von IP-Adressen im CIDR-Format ändern.
  11. Richten Sie MFA ein. Befolgen Sie die Anweisungen unter Multifactor-Authentifizierung verwalten, um MFA einzurichten.

RADIUS-Proxylogdateien und Konfigurationsinformationen

Beachten Sie die folgenden RADIUS-Proxydateispeicherorte für Log- und Konfigurationsinformationen. Diese Informationen können zur Fehlerbehebung nützlich sein.

Logs des Installationsprogramms <radius_proxy_installer_location>/oracle_radius_proxy/_Oracle/ Identity/ Cloud/Service/RADIUS/ Proxy_installation/Logs/
Agent-Logs <radius_proxy_installer_location>/oracle_radius_proxy/radius_agent/logs/agent.log
Proxylogs <radius_proxy_installer_location>/oracle_radius_proxy/radius_proxy/log/radius_proxy.log
Proxykonfiguration <radius_proxy_installer_location>/radius_proxy/conf/radius_proxy.conf
Agent-Konfiguration <radius_proxy_installer_location>/radius_agent/conf/radius_agent.conf
Clientkonfiguration <radius_proxy_installer_location>/radius_proxy/conf/radius_clients.conf

RADIUS-Proxyzuordnung

RADIUS-Proxy und RADIUS-Proxy-Listener verfügen über eine 1:1-Zuordnung. Für jeden RADIUS-Proxy gibt es also einen RADIUS-Proxy-Listener. Mehrere Oracle DB-RADIUS-Clients können einem RADIUS-Proxy zugeordnet werden, d.h. ein RADIUS-Proxy verfügt über eine 1-n-Zuordnung mit Oracle DB-RADIUS-Clients.

Wenn ein Administrator mehrere Oracle DB-RADIUS-Clients konfiguriert, müssen mehrere Oracle Database-RADIUS-Apps in IAM-Identitätsdomains erstellt werden - eine für jeden Oracle DB-RADIUS-Client. Beispiel: Wenn ein Administrator vier Oracle DB-RADIUS-Clients für einen RADIUS-Proxy konfiguriert hat, müssen in IAM-Identitätsdomains vier Oracle Database-RADIUS-Anwendungen konfiguriert sein - eine für jeden Oracle DB-Client.