Microsoft Active Directory mit Autonomous Database on Dedicated Exadata Infrastructure verwenden
Sie können Autonomous Database on Dedicated Exadata Infrastructure konfigurieren, um Microsoft Active Directory-Benutzer zu authentifizieren und zu autorisieren. Diese Konfiguration ermöglicht Active Directory-Benutzern den Zugriff auf eine Autonomous Database mit ihren Active Directory-Zugangsdaten.
Hinweis:
Informationen zur Verwendung von Azure Active Directory mit Autonomous Database finden Sie unter Azure Active Directory (Azure AD) mit Autonomous Database verwenden. Die CMU-Option unterstützt Microsoft Active Directory-Server, jedoch nicht den Azure Active Directory-Service.Die Integration von Autonomous Database mit CMU (Centrally Managed Users, zentral verwaltete Benutzer) ermöglicht die Integration mit Microsoft Active Directory. CMU mit Active Directory ordnet globale Oracle-Datenbankbenutzer und globale Rollen Microsoft Active Directory-Benutzern und -Gruppen zu.
Voraussetzungen für die Konfiguration von CMU mit Microsoft Active Directory auf Autonomous Database
Für die Konfiguration der Verbindung von Autonomous Database zu Active Directory sind die folgenden Voraussetzungen erforderlich:
-
Microsoft Active Directory muss installiert und konfiguriert sein. Weitere Informationen finden Sie unter Erste Schritte mit AD DS.
-
Sie müssen einen Oracle-Serviceverzeichnisbenutzer in Active Directory erstellen. Informationen zum Benutzeraccount des Oracle-Serviceverzeichnisses finden Sie in Schritt 1: Oracle Service Directory-Benutzeraccount in Microsoft Active Directory erstellen und Berechtigungen erteilen im Oracle Database 19c Security Guide oder im Oracle Database 23ai Security Guide.
-
Ein Active Directory-Systemadministrator muss den Oracle-Kennwortfilter auf den Active Directory-Servern installiert haben und Active Directory-Gruppen mit Active Directory-Benutzern einrichten, um Ihre Anforderungen zu erfüllen.
Nur die Kennwortauthentifizierung wird mit CMU für Autonomous Database unterstützt. Sie müssen daher das enthaltene Utility
opwdintg.exe
verwenden, um den Oracle-Kennwortfilter auf Active Directory zu installieren, das Schema zu erweitern und drei neueORA_VFR
-Gruppen für drei Typen der Passwortverifizierungsgenerierung zu erstellen. Informationen zur Installation des Oracle-Kennwortfilters finden Sie in Step 2: For Password Authentication, Install the Password Filter and Extend the Microsoft Active Directory Schema in Oracle Database 19c Security Guide oder Oracle Database 23ai Security Guide. -
Autonomous Database muss über das öffentliche Internet auf die Active Directory-Server zugreifen können. Der Port 636 der Active Directory-Server muss für Autonomous Database in Oracle Cloud Infrastructure geöffnet sein, damit Autonomous Database über das Internet sicheren LDAP-Zugriff über TLS/SSL auf die Active Directory-Server erhält.
Sie können Ihr On-Premise-Active Directory auch auf Oracle Cloud Infrastructure erweitern. So können Sie schreibgeschützte Domaincontroller (RODCs) für das On-Premise-Active Directory einrichten. Anschließend können Sie diese RODCs in Oracle Cloud Infrastructure verwenden, um die On-Premise-Active Directory-Benutzer für den Zugriff auf autonome Datenbanken zu authentifizieren und zu autorisieren.
Weitere Informationen finden Sie unter Active Directory-Integration in der Hybrid Cloud erweitern.
-
Sie benötigen das CMU-Konfigurationsdatenbank-Wallet
cwallet.sso
und die CMU-Konfigurationsdateidsi.ora
, um CMU für die autonome Datenbank zu konfigurieren:-
Wenn Sie CMU für eine On-Premise-Datenbank konfiguriert haben, können Sie diese Konfigurationsdateien vom On-Premise-Datenbankserver abrufen.
-
Wenn Sie CMU nicht für eine On-Premise-Datenbank konfiguriert haben, müssen Sie diese Dateien erstellen. Anschließend laden Sie die Konfigurationsdateien in die Cloud hoch, um CMU auf Ihrer Autonomous Database-Instanz zu konfigurieren. Sie können das Wallet und die Datei
dsi.ora
validieren, indem Sie CMU für eine On-Premise-Datenbank konfigurieren und prüfen, ob sich ein Active Directory-Benutzer mit diesen Konfigurationsdateien erfolgreich bei der On-Premise-Datenbank anmelden kann. Anschließend laden Sie diese Konfigurationsdateien in die Cloud hoch, um CMU für Ihre autonome Datenbank zu konfigurieren.
Einzelheiten zur Wallet-Datei für CMU finden Sie unter:- Schritt 6: Wallet für eine sichere Verbindung erstellen in Oracle Database 19c - Sicherheitshandbuch oder Oracle Database 23ai - Sicherheitshandbuch
- Schritt 8: Oracle Wallet prüfen in Oracle Database 19c - Sicherheitshandbuch und Oracle Database 23ai - Sicherheitshandbuch.
Einzelheiten zur Datei
dsi.ora
für CMU finden Sie unter Datei dsi.ora erstellen in Oracle Database 19c - Sicherheitshandbuch oder Oracle Database 23ai - Sicherheitshandbuch.Weitere Informationen zur Konfiguration von Active Directory für CMU und zur Fehlerbehebung von CMU für On-Premise-Datenbanken finden Sie unter How To Configure Centrally Managed Users For Database Release 18c or Later Releases (Dok.-ID 2462012.1).
-
CMU mit Microsoft Active Directory auf Autonomous Database konfigurieren
So konfigurieren Sie Autonomous Database für CMU für die Verbindung mit Active Directory-Servern:
Hinweis:
Anweisungen zum Deaktivieren des Zugriffs von Autonomous Database finden Sie unter Active Directory-Zugriff auf Autonomous Database deaktivieren.Weitere Informationen finden Sie unter Zentral verwaltete Benutzer mit Microsoft Active Directory konfigurieren in der Dokumentation Oracle Database 19c Security Guide oder in der Dokumentation Oracle Database 19c Security Guide.
CMU mit Microsoft Active Directory auf Exadata Cloud@Customer konfigurieren
Gilt nur für: Exadata Cloud@Customer
So konfigurieren Sie Autonomous Database auf Exadata Cloud@Customer für CMU, um eine Verbindung zu Active Directory-Servern herzustellen, ohne den Oracle Object Store-Service zu verwenden:
Sie haben CMU-AD jetzt so konfiguriert, dass externe Authentifizierung über Microsoft Active Directory mit Autonomous Database auf Exadata Cloud@Customer verwendet wird.
Microsoft Active Directory-Rollen in Autonomous Database hinzufügen
Um Active Directory-Rollen hinzuzufügen, ordnen Sie die globalen Datenbankrollen mit CREATE ROLE
- oder ALTER ROLE
-Anweisungen Active Directory-Gruppen zu (und fügen Sie die IDENTIFIED GLOBALLY AS
-Klausel ein).
So fügen Sie globale Rollen für Active Directory-Gruppen in Autonomous Database hinzu:
Weitere Informationen zum Konfigurieren von Rollen mit Microsoft Active Directory finden Sie unter Autorisierung für zentral verwaltete Benutzer konfigurieren in der Dokumentation Oracle Database 19c Security Guide oder Oracle Database 23ai Security Guide.
Microsoft Active Directory-Benutzer in Autonomous Database hinzufügen
Um Active Directory-Benutzer für den Zugriff auf eine Autonomous Database hinzuzufügen, ordnen Sie globale Datenbankbenutzer mit CREATE USER
- oder ALTER USER
-Anweisungen (mit Klausel IDENTIFIED GLOBALLY AS
) Active Directory-Gruppen oder -Benutzern zu.
Für die Integration von Autonomous Database mit Active Directory werden Microsoft Active Directory-Benutzer und -Gruppen direkt globalen Oracle-Datenbankbenutzern und globalen Rollen zugeordnet.
So fügen Sie globale Benutzer für Active Directory-Gruppen oder -Benutzer in Autonomous Database hinzu:
Weitere Informationen zum Konfigurieren von Rollen mit Microsoft Active Directory finden Sie unter Autorisierung für zentral verwaltete Benutzer konfigurieren in der Dokumentation Oracle Database 19c Security Guide oder Oracle Database 23ai Security Guide.
Verbindung zu Autonomous Database mit Active Directory-Benutzerzugangsdaten herstellen
Nachdem der ADMIN-Benutzer die CMU-Konfigurationsschritte für Active Directory abgeschlossen und globale Rollen und Benutzer erstellt hat, melden sich Benutzer mit ihrem Active Directory-Benutzernamen und -Kennwort bei Autonomous Database an.
Hinweis:
Melden Sie sich nicht mit einem globalen Benutzernamen an. Globale Benutzernamen haben kein Kennwort, und die Verbindung mit einem globalen Benutzernamen ist nicht erfolgreich. Sie benötigen eine globale Benutzerzuordnung in der autonomen Datenbank, um sich bei der Datenbank anmelden zu können. Sie können sich nicht nur mit globalen Rollenzuordnungen bei der Datenbank anmelden.Nach der Konfiguration von CMU mit Active Directory in Autonomous Database und der Einrichtung der Active Directory-Autorisierung mit globalen Rollen und Benutzern können Sie eine Verbindung zu Autonomous Database mit einer der Verbindungsmethoden herstellen, die unter Verbindung zu einer dedizierten Autonomous Database herstellen beschrieben werden. Wenn Sie beim Herstellen einer Verbindung einen Active Directory-Benutzer nutzen möchten, verwenden Sie Active Directory-Benutzerzugangsdaten. Beispiel: Geben Sie einen Benutzernamen in diesem Format an: "AD_DOMAIN\AD_USERNAME" (doppelte Anführungszeichen müssen eingeschlossen werden), und verwenden Sie AD_USER_PASSWORD als Kennwort.
Verbindungsinformationen für Active Directory-Benutzer mit Autonomous Database prüfen
Wenn sich Benutzer mit ihrem Active Directory-Benutzernamen und -Kennwort bei Autonomous Database anmelden, können Sie die Benutzeraktivität prüfen und auditieren.
Beispiel: Wenn sich der Benutzer pfitch
anmeldet:
CONNECT "production\pfitch"/password@exampleadb_medium;
Der Benutzername für die Anmeldung des Active Directory-Benutzers (samAccountName) lautet pfitch
, widget_sales_group
ist der Active Directory-Gruppenname, und widget_sales
ist der globale Benutzer von Autonomous Database.
Nachdem sich pfitch
bei der Datenbank angemeldet hat, zeigt der Befehl SHOW USER
den globalen Benutzernamen an:
SHOW USER;
USER is "WIDGET_SALES"
Der folgende Befehl zeigt den DN (Distinguished Name) des Active Directory-Benutzers an:
SELECT SYS_CONTEXT('USERENV', 'ENTERPRISE_IDENTITY') FROM DUAL;
Beispiel: Sie können die Unternehmensidentität dieses zentral verwalteten Benutzers prüfen:
SQL> SELECT SYS_CONTEXT('USERENV', 'ENTERPRISE_IDENTITY') FROM DUAL;
SYS_CONTEXT('USERENV','ENTERPRISE_IDENTITY')
----------------------------------------------------------------------
cn=Peter Fitch,ou=sales,dc=production,dc=examplecorp,dc=com
Der folgende Befehl zeigt "AD_DOMAIN\AD_USERNAME
" an:
SELECT SYS_CONTEXT('USERENV', 'AUTHENTICATED_IDENTITY') FROM DUAL;
Beispiel: Die authentifizierte Active Directory-Benutzeridentität wird erfasst und auditiert, wenn sich der Benutzer bei der Datenbank anmeldet:
SQL> SELECT SYS_CONTEXT('USERENV', 'AUTHENTICATED_IDENTITY') FROM DUAL;
SYS_CONTEXT('USERENV','AUTHENTICATED_IDENTITY')
----------------------------------------------------------------------
production\pfitch
Weitere Informationen finden Sie unter Verifying the Centrally Managed User Logon Information im Oracle Database 19c Security Guide oder im Oracle Database 23ai Security Guide.
Active Directory-Benutzer und -Rollen auf Autonomous Database entfernen
Um Active Directory-Benutzer und -Rollen aus autonomen Datenbanken zu entfernen, verwenden Sie standardmäßige Datenbankbefehle. Dadurch werden die zugehörigen Active Directory-Benutzer oder -Gruppen, die den gelöschten Datenbankbenutzern oder -rollen zugeordnet wurden, nicht entfernt.
So entfernen Sie Benutzer oder Rollen aus Autonomous Database:
Active Directory-Zugriff auf Autonomous Database deaktivieren
Beschreibt die Schritte zum Entfernen der CMU-Konfiguration aus Autonomous Database (und zum Deaktivieren des LDAP-Zugriffs von Autonomous Database auf Active Directory).
Nachdem Sie die Autonomous Database-Instanz für den Zugriff auf CMU Active Directory konfiguriert haben, können Sie den Zugriff wie folgt deaktivieren:
Weitere Informationen finden Sie unter Prozedur DISABLE_EXTERNAL_AUTHENTICATION.
Einschränkungen mit Microsoft Active Directory auf Autonomous Database
Die folgenden Einschränkungen gelten für CMU mit Active Directory auf Autonomous Database:
-
Nur die "Kennwortauthentifizierung" und Kerberos werden für CMU mit Autonomous Database unterstützt. Wenn Sie die CMU-Authentifizierung mit Autonomous Database verwenden, werden andere Authentifizierungsmethoden wie Azure AD, OCI IAM und PKI nicht unterstützt.
-
Oracle Application Express und Database Actions werden für Active Directory-Benutzer mit Autonomous Database nicht unterstützt.