Authentification des utilisateurs Autonomous Database à l'aide de Kerberos
Vous pouvez configurer Autonomous Database on Dedicated Exadata Infrastructure pour utiliser le protocole d'authentification réseau Kerberos afin d'authentifier les utilisateurs de base de données. Kerberos est un protocole d'authentification réseau robuste. Il utilise la cryptographie à clé secrète pour activer l'authentification forte en fournissant l'authentification utilisateur-serveur.
-
La prise en charge de Kerberos par Autonomous Database on Dedicated Exadata Infrastructure offre les avantages de l'accès avec connexion unique et de l'authentification centralisée des utilisateurs Oracle. Kerberos est un système d'authentification de tiers sécurisé, qui repose sur des clés secrètes partagées. Il suppose que le tiers est sécurisé et offre des fonctions d'accès avec connexion unique, un stockage centralisé des mots de passe, l'authentification des liens de base de données et renforce la sécurité des ordinateurs. Cela est effectué via un serveur d'authentification Kerberos.
-
Le système Kerberos repose sur le concept de ticket. Un ticket est un ensemble d'informations électroniques qui identifient un utilisateur ou un service. Un ticket vous identifie, ainsi que vos privilèges d'accès réseau.
-
Dans l'authentification Kerberos, vous envoyez de manière transparente une demande de ticket à un centre de distribution de clés (KDC). Le centre de distribution de clés vous authentifie et vous accorde un ticket pour accéder à la base de données.
Composants du système d'authentification Kerberos
Donne un aperçu de l'authentification Kerberos.
-
Un domaine de sécurité établit un domaine d'administration d'authentification. Chaque domaine de sécurité dispose de sa propre base de données Kerberos qui contient les utilisateurs et les services de ce domaine d'administration spécifique.
-
Les tickets sont émis par le centre de distribution de clés (KDC). Les clients présentent des tickets au serveur de base de données pour démontrer l'authenticité de leur identité. Chaque ticket a une date d'expiration et une date de renouvellement.
-
Des fichiers keytab stockent les clés à long terme des principaux. Un fichier keytab est généré en appelant l'outil
kadmin.local
(pour le centre de distribution de clés MIT) ouktpass
(pour le centre de distribution de clés Active Directory). -
Les principaux sont les entrées de la base de données du centre de distribution de clés. Chaque utilisateur, hôte ou service reçoit un principal. Un principal est une identité unique à laquelle le centre de distribution de clés peut affecter les tickets.
-
La prise en charge de Kerberos dans Autonomous Database utilise ces valeurs pour divers composants qui constituent le nom d'un principal de service :
Composant de principal de service | Valeur dans Autonomous Database |
---|---|
kinstance |
Vous pouvez obtenir cette valeur à partir de l'attribut Utilisez la requête suivante pour obtenir
Remarques : Valeur du paramètrehost trouvée dans la chaîne d'accès TNS.
|
kservice |
Sur Autonomous Database, vous disposez de deux options pour la valeur
Une fois que Kerberos est activé sur votre instance Autonomous Database, utilisez la requête suivante pour afficher le nom de service Kerberos :
|
REALM |
N'importe quel domaine de sécurité pris en charge par votre KDC. REALM doit toujours être en majuscules.
|
Afin d'activer l'authentification Kerberos pour Autonomous Database, vous devez conserver les fichiers de configuration Kerberos (krb.conf
) et les fichiers de table des clés de service (v5srvtab
) prêts. Pour plus d'informations sur ces fichiers et pour connaître les étapes à suivre pour les obtenir, reportez-vous à la section Configuring Kerberos Authentication.
Remarques relatives à l'authentification Kerberos dans Autonomous Database
Avant de procéder à l'authentification Kerberos sur Autonomous Database on Dedicated Exadata Infrastructure, consultez les notes suivantes :
- Si vous activez l'authentification Kerberos pour votre Autonomous Database, vous pouvez toujours utiliser l'authentification de base de données basée sur un mot de passe pour votre base de données.
- Vous ne pouvez utiliser qu'une seule méthode d'authentification externe pour votre instance Autonomous Database à la fois. Autrement dit, vous ne pouvez activer à tout moment que les modèles d'authentification Oracle Cloud Infrastructure (IAM), Centrally Managed User with Active Directory (CMU-AD), Azure AD ou Kerberos.
Remarques :
La seule exception est que l'authentification Kerberos peut être configurée en plus de CMU-AD pour fournir l'authentification Kerberos CMU-AD pour les utilisateurs Microsoft Active Directory. - L'authentification Kerberos n'est pas prise en charge par les outils suivants :
- API Oracle Database pour MongoDB
- Oracle REST Data Services
- Oracle Machine Learning
- APEX
- Oracle Graph Studio
- Oracle Database Actions
- Vous pouvez activer l'authentification Kerberos pour authentifier l'utilisateur ADMIN. Vous pouvez utiliser la fonctionnalité Réinitialiser le mot de passe sur la console Oracle Cloud Infrastructure (OCI) pour réinitialiser le mot de passe de l'utilisateur ADMIN et récupérer l'accès si un fichier keytab endommagé entraîne l'échec de l'authentification de l'utilisateur ADMIN.
- L'authentification Kerberos est prise en charge avec le protocole TCP pour Autonomous Database versions 19.27 ou ultérieures.
- L'authentification Kerberos n'est pas prise en charge avec DB_LINKs et les bases de données avec Autonomous Data Guard.
Activation de l'authentification Kerberos sur Autonomous Database
-
Etant donné qu'un seul modèle d'authentification externe peut être activé pour une instance Autonomous Database à un moment donné, exécutez la procédure
DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATION
afin de désactiver tout modèle d'authentification externe déjà activé pour votre base de données.Pour exécuter la procédure, vous devez être connecté en tant qu'utilisateur ADMIN ou disposer du privilègeEXECUTE
surDBMS_CLOUD_ADMIN
.BEGIN DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATION; END; /
-
Obtenez les fichiers de configuration Kerberos :
krb.conf
et le fichier de table de clés de servicev5srvtab
. Pour plus d'informations sur ces fichiers et les étapes requises pour les obtenir, reportez-vous à la section Configuring Kerberos Authentication dans Oracle Database 19c Security Guide ou Oracle Database 23ai Security Guide. -
Copiez les fichiers de configuration Kerberos
krb.conf
etv5srvtab
dans un bucket de votre banque d'objets.Remarques :
Oracle recommande de stocker les fichiers de configuration Kerberos dans un bucket privé de la banque d'objets.Si vous utilisez la banque d'objets Oracle Cloud Infrastructure, reportez-vous à Stockage de données dans Object Storage pour plus d'informations sur le téléchargement de fichiers.
-
Afin d'activer Kerberos en tant qu'authentification externe pour votre instance Autonomous Database, exécutez la procédure
DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION
et transmettez un URI d'emplacement avec l'argument JSONparams
. Vous devez placer les fichiers de configurationkrb.conf
etv5srvtab
à l'emplacement de stockage d'objet indiqué dans le paramètrelocation_uri
.Exemple :BEGIN DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION( type => 'KERBEROS', params => JSON_OBJECT('location_uri' value 'https://objectstorage.us-phoenix-1.oraclecloud.com/n/namespace-string/b/bucketname/o', 'credential_name' value 'my_credential_name') ); END; /
Remarques :
Pour fournir une authentification Kerberos CMU-AD pour les utilisateurs Microsoft Active Directory, vous pouvez activer l'authentification Kerberos en plus de CMU-AD en définissanttype
surCMU
dans l'exemple ci-dessus.Dans cet exemple,
namespace-string
est l'espace de noms de stockage d'objet Oracle Cloud Infrastructure etbucketname
est le nom du bucket. Pour plus d'informations, reportez-vous à Présentation des espaces de noms Object Storage.La valeur de
credential_name
utilisée à cette étape correspond aux informations d'identification de la banque d'objets.Si la valeur de
location_uri
est une URL préauthentifiée, vous n'avez pas besoin de fournircredential_name
.Cette opération crée un objet de répertoire nommé
KERBEROS_DIR
dans votre base de données et utilise les informations d'identification pour télécharger les fichiers de configuration Kerberos de l'emplacement de la banque d'objets vers l'objet de répertoire.Vous pouvez utiliser le paramètrekerberos_service_name
pour spécifier le nom de service Kerberos. Exemple :BEGIN DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION( type =>'KERBEROS', params => JSON_OBJECT( 'location_uri' value 'https://objectstorage.us-phoenix-1.oraclecloud.com/n/namespace-string/b/bucketname/o', 'credential_name' value 'my_credential_name' 'kerberos_service_name' value 'oracle' )); END; /
- Après avoir activé l'authentification Kerberos, enlevez les fichiers de configuration
krb.conf
etv5srvtab
de la banque d'objets. Vous pouvez utiliser les méthodes locales de la banque d'objets pour enlever ces fichiers, ou utiliserDBMS_CLOUD.DELETE_OBJECT
pour les supprimer de la banque d'objets.
Pour plus d'informations sur Object Storage, reportez-vous à Accès à Oracle Cloud Infrastructure Object Storage et création d'un bucket.
Pour plus d'informations, reportez-vous à Procédure ENABLE_EXTERNAL_AUTHENTICATION.
Désactivation de l'authentification Kerberos dans Autonomous Database
Avant d'activer un autre modèle d'authentification externe sur votre base de données, vous devez désactiver l'authentification Kerberos exécutant la procédure DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATION
.
EXECUTE
sur DBMS_CLOUD_ADMIN
. BEGIN
DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATION;
END;
/
Remarques :
Pour fournir l'authentification Kerberos CMU-AD pour les utilisateurs Microsoft Active Directory, vous devez continuer à configurer l'authentification CMU-AD sans désactiver l'authentification Kerberos.