Configuration de l'authentification Kerberos avec Autonomous Database
Explique comment configurer Kerberos pour authentifier les utilisateurs Oracle Autonomous Database.
- A propos de l'authentification Kerberos
Vous pouvez configurer Oracle Autonomous Database pour qu'il utilise le protocole d'authentification réseau Kerberos pour authentifier les utilisateurs de base de données. Kerberos est un protocole d'authentification réseau robuste. Il utilise la cryptographie à clé secrète pour activer l'authentification forte en fournissant l'authentification utilisateur-serveur. - Composants du système d'authentification Kerberos
Fournit une présentation du système d'authentification Kerberos. - Activer l'authentification Kerberos sur Autonomous Database
Affiche les étapes d'activation de l'authentification Kerberos sur votre instance Autonomous Database. - Désactivation d'authentification Kerberos sur Autonomous Database
Affiche les étapes de désactivation de l'authentification Kerberos pour votre instance Autonomous Database. - Remarques concernant l'authentification Kerberos sur Autonomous Database
Fournit des notes sur l'utilisation de l'authentification Kerberos pour Autonomous Database.
Rubrique parent : Gestion des utilisateurs
A propos de l'authentification Kerberos
Vous pouvez configurer Oracle Autonomous Database pour qu'il utilise le protocole d'authentification réseau Kerberos afin d'authentifier les utilisateurs de base de données. Kerberos est un protocole d'authentification réseau robuste. Il utilise la cryptographie à clé secrète pour activer l'authentification forte en fournissant l'authentification utilisateur-serveur.
-
La prise en charge de Kerberos par Oracle Autonomous Database offre les avantages de l'accès avec connexion unique et de l'authentification centralisée des utilisateurs Oracle. Kerberos est un système d'authentification de tiers sécurisé, qui repose sur des clés secrètes partagées. Il suppose que le tiers est sécurisé et offre des fonctions d'accès avec connexion unique, un stockage centralisé des mots de passe, l'authentification des liens de base de données et renforce la sécurité des ordinateurs. Cela est effectué via un serveur d'authentification Kerberos.
-
Le système Kerberos repose sur le concept de ticket. Un ticket est un ensemble d'informations électroniques qui identifient un utilisateur ou un service. Un ticket vous identifie, ainsi que vos privilèges d'accès réseau.
-
Dans l'authentification Kerberos, vous envoyez de manière transparente une demande de ticket à un centre de distribution de clés (KDC). Le centre de distribution de clés vous authentifie et vous accorde un ticket pour accéder à la base de données.
Rubrique parent : Configuration de l'authentification Kerberos avec Autonomous Database
Composants du système d'authentification Kerberos
Donne un aperçu de l'authentification Kerberos.
-
Un domaine de sécurité établit un domaine d'administration d'authentification. Chaque domaine de sécurité dispose de sa propre base de données Kerberos qui contient les utilisateurs et les services de ce domaine d'administration spécifique.
-
Les tickets sont émis par le centre de distribution de clés (KDC). Les clients présentent des tickets au serveur de base de données pour démontrer l'authenticité de leur identité. Chaque ticket a une date d'expiration et une date de renouvellement.
-
Des fichiers keytab stockent les clés à long terme des principaux. Un fichier keytab est généré en appelant l'outil
kadmin.local
(pour le centre de distribution de clés MIT) ouktpass
(pour le centre de distribution de clés Active Directory). -
Les principaux sont les entrées de la base de données du centre de distribution de clés. Chaque utilisateur, hôte ou service reçoit un principal. Un principal est une identité unique à laquelle le centre de distribution de clés peut affecter les tickets.
-
La prise en charge de Kerberos dans Autonomous Database utilise ces valeurs pour divers composants qui constituent le nom d'un principal de service :
Composant du principal de service | Valeur dans Autonomous Database |
---|---|
kinstance |
Vous pouvez obtenir cette valeur à partir de l'attribut Utilisez la requête suivante pour obtenir
Remarque
Il s'agit de la valeur du paramètre host trouvée dans la chaîne d'accès TNS.
|
kservice |
Sur Autonomous Database, vous disposez de deux options pour la valeur
Une fois que Kerberos est activé sur votre instance Autonomous Database, utilisez la requête suivante pour afficher le nom de service Kerberos :
|
REALM |
N'importe quel domaine de sécurité pris en charge par votre KDC. REALM doit toujours être en majuscules.
|
Afin d'activer l'authentification Kerberos pour votre instance Autonomous Database, les fichiers de configuration Kerberos (krb.conf
) et le fichier de table de clés de service (v5srvtab
) doivent toujours être prêts. Pour plus d'informations sur ces fichiers et pour connaître les étapes à suivre pour les obtenir, reportez-vous à la section Configuring Kerberos Authentication.
Rubrique parent : Configuration de l'authentification Kerberos avec Autonomous Database
Activation de l'authentification Kerberos sur Autonomous Database
Affiche les étapes d'activation de l'authentification Kerberos sur votre instance Autonomous Database.
Pour exécuter DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION
, vous devez être connecté en tant qu'utilisateur ADMIN ou disposer du privilège EXECUTE
sur DBMS_CLOUD_ADMIN
.
Pour activer l'authentification Kerberos à l'aide de DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION
:
Afin d'activer l'authentification Kerberos pour Autonomous Database, vous devez obtenir les fichiers de configuration Kerberos krb.conf
et le fichier v5srvtab
de la table des clés de service. Pour plus d'informations sur ces fichiers et pour connaître les étapes à suivre pour les obtenir, reportez-vous à la section Configuring Kerberos Authentication .
Pour plus d'informations sur Object Storage, reportez-vous à Accès à Oracle Cloud Infrastructure Object Storage et création d'un bucket.
Pour plus d'informations, reportez-vous à Procédure ENABLE_EXTERNAL_AUTHENTICATION.
Rubrique parent : Configuration de l'authentification Kerberos avec Autonomous Database
Désactivation de l'authentification Kerberos sur Autonomous Database
Affiche les étapes de désactivation de l'authentification Kerberos pour votre instance Autonomous Database.
Rubrique parent : Configuration de l'authentification Kerberos avec Autonomous Database
Remarques relatives à l'authentification Kerberos sur Autonomous Database
Fournit des notes sur l'utilisation de l'authentification Kerberos pour Autonomous Database.
-
Si vous activez l'authentification Kerberos pour votre instance Autonomous Database, vous pouvez toujours utiliser l'authentification de base de données basée sur un mot de passe pour votre base de données.
- L'authentification Kerberos n'est pas prise en charge par les outils suivants :
-
API Oracle Database pour MongoDB
-
Oracle REST Data Services
-
Oracle Machine Learning
-
APEX
-
Oracle Graph Studio
-
Oracle Database Actions
-
-
Vous pouvez activer l'authentification Kerberos pour authentifier l'utilisateur ADMIN. Vous pouvez utiliser la fonctionnalité Réinitialiser le mot de passe sur la console Oracle Cloud Infrastructure pour réinitialiser le mot de passe de l'utilisateur ADMIN et récupérer l'accès si un fichier keytab endommagé entraîne l'échec d'authentification de l'utilisateur ADMIN.
-
La valeur par défaut de l'écart d'horloge maximal dans Autonomous Database est de 300 secondes (5 minutes). Vous ne pouvez pas modifier la valeur par défaut d'écart d'horloge.
Rubrique parent : Configuration de l'authentification Kerberos avec Autonomous Database