Configuración de la autenticación de Kerberos con Autonomous Database
Describe cómo configurar Kerberos para autenticar usuarios de Oracle Autonomous Database.
- Acerca de la autenticación Kerberos
Puede configurar Oracle Autonomous Database para que utilice el protocolo de autenticación de red Kerberos para autenticar usuarios de base de datos. Kerberos es un protocolo de autenticación de red potente. Utiliza criptografía de clave secreta para activar la autenticación compleja proporcionando autenticación de usuario a servidor. - Componentes del sistema de autenticación de Kerberos
Proporciona una descripción general del sistema de autenticación de Kerberos. - Activación de la autenticación de Kerberos en Autonomous Database
Muestra los pasos para activar la autenticación de Kerberos en la instancia de Autonomous Database. - Desactivación de la autenticación de Kerberos en Autonomous Database
Muestra los pasos para desactivar la autenticación de Kerberos para la instancia de Autonomous Database. - Notas sobre la autenticación de Kerberos en Autonomous Database
Proporciona notas sobre el uso de la autenticación de Kerberos para Autonomous Database.
Tema principal: Gestión de usuarios
Acerca de la autenticación de Kerberos
Puede configurar Oracle Autonomous Database para que utilice el protocolo de autenticación de red Kerberos para autenticar usuarios de base de datos. Kerberos es un protocolo de autenticación de red potente. Utiliza criptografía de clave secreta para activar la autenticación compleja proporcionando autenticación de usuario a servidor.
-
El soporte de Oracle Autonomous Database para Kerberos proporciona las ventajas de la conexión única y la autenticación centralizada de los usuarios de Oracle. Kerberos es un sistema de autenticación de terceros de confianza que utiliza secretos compartidos. Presume que el tercero es seguro y proporciona capacidades de inicio de sesión único, almacenamiento centralizado de contraseñas, autenticación de enlaces de base de datos y seguridad de PC mejorada. Esto se realiza mediante un servidor de autenticación de Kerberos.
-
El sistema Kerberos gira en torno al concepto de un ticket. Un ticket es un conjunto de información electrónica que identifica a un usuario o servicio. Un ticket identifica a usted y sus privilegios de acceso a la red.
-
En la autenticación basada en Kerberos, envía de manera transparente una solicitud de un ticket a un centro de distribución de claves (KDC). El centro de distribución de claves le autentica a usted y le otorga un ticket para acceder a la base de datos.
Componentes del sistema de autenticación de Kerberos
Proporciona una descripción general del sistema de autenticación de Kerberos.
-
Un dominio establece un dominio administrativo de autenticación. Cada dominio tiene su propia base de datos de Kerberos que contiene los usuarios y servicios para ese dominio administrativo en particular.
-
Los tickets los emite el centro de distribución de claves (KDC). Los clientes presentan tickets al servidor de base de datos para demostrar la autenticidad de su identidad. Cada ticket tiene una fecha de caducidad y una hora de renovación.
-
Las tablas de claves almacenan claves a largo plazo para uno o más principales. Se genera un archivo keytab llamando a la herramienta
kadmin.local
(para el centro de distribución de claves de MIT) oktpass
(para el centro de distribución de claves de Active Directory). -
Los principales son las entradas de la base de datos del centro de distribución de claves. A cada usuario, host o servicio se le asigna un principal. Un principal es una identidad única a la que el Centro de distribución de claves puede asignar tickets.
-
La compatibilidad con Kerberos en Autonomous Database utiliza estos valores para varios componentes que forman el nombre de un principal de servicio:
Componente de principal de servicio | Valor en Autonomous Database |
---|---|
kinstance |
Puede obtener este valor del atributo Utilice la siguiente consulta para obtener
|
kservice |
En Autonomous Database, tiene dos opciones para el valor
Después de activar Kerberos en la instancia de Autonomous Database, utilice la siguiente consulta para ver el nombre del servicio Kerberos:
|
REALM |
Cualquier dominio que soporte su KDC. El valor REALM siempre debe estar en mayúsculas.
|
Para activar la autenticación de Kerberos para Autonomous Database, debe mantener los archivos de configuración de Kerberos (krb.conf
) y el archivo de tabla de claves de servicio (v5srvtab
) listos. Para obtener más información sobre estos archivos y pasos para obtenerlos, consulte Configuración de la autenticación de Kerberos.
Activación de la autenticación de Kerberos en Autonomous Database
Muestra los pasos para activar la autenticación de Kerberos en la instancia de Autonomous Database.
Para ejecutar DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION
, debe estar conectado como usuario ADMIN o tener el privilegio EXECUTE
en DBMS_CLOUD_ADMIN
.
Para utilizar DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION
para activar la autenticación de Kerberos:
Para activar la autenticación de Kerberos para Autonomous Database, debe obtener los archivos de configuración de Kerberos: krb.conf
y el archivo de tabla de claves de servicio v5srvtab
. Para obtener más información sobre estos archivos y los pasos necesarios para obtenerlos, consulte Configuración de la autenticación de Kerberos.
Consulte Navegación a Oracle Cloud Infrastructure Object Storage y creación de un cubo para obtener más información sobre Object Storage.
Consulte Procedimiento ENABLE_EXTERNAL_AUTHENTICATION para obtener más información.
Desactivación de la autenticación de Kerberos en Autonomous Database
Muestra los pasos para desactivar la autenticación de Kerberos para la instancia de Autonomous Database.
Notas sobre la autenticación de Kerberos en Autonomous Database
Proporciona notas sobre el uso de la autenticación de Kerberos para Autonomous Database.
-
Si activa la autenticación de Kerberos para Autonomous Database, puede utilizar la autenticación de base de datos basada en contraseña para la base de datos.
- La autenticación de Kerberos no está soportada para estas herramientas:
-
API de Oracle Database para MongoDB
-
Oracle REST Data Services
-
Oracle Machine Learning
-
APEX
-
Oracle Graph Studio
-
Acciones de Oracle Database
-
-
Puede activar la autenticación de Kerberos para autenticar el usuario ADMIN. Puede utilizar la funcionalidad Restablecer contraseña de la consola de Oracle Cloud Infrastructure para restablecer la contraseña del usuario ADMIN y recuperar el acceso si un archivo de tabla de claves dañado provoca que falle la autenticación del usuario ADMIN.
-
El valor por defecto para el sesgo de reloj máximo en Autonomous Database es 300 segundos (5 minutos). No puede cambiar el valor por defecto de sesgo de reloj.