Configura autenticazione Kerberos con Autonomous Database

Descrive come configurare Kerberos per autenticare gli utenti di Oracle Autonomous Database.

Informazioni sull'autenticazione Kerberos
È possibile configurare Oracle Autonomous Database in modo che utilizzi il protocollo di autenticazione di rete Kerberos per autenticare gli utenti del database. Kerberos è un protocollo di autenticazione di rete affidabile. Utilizza la crittografia a chiave segreta per abilitare un'autenticazione forte fornendo l'autenticazione da utente a server.
Componenti del sistema di autenticazione Kerberos
Fornisce una panoramica del sistema di autenticazione Kerberos.
Abilita autenticazione Kerberos su Autonomous Database
Mostra i passi per abilitare l'autenticazione Kerberos nell'istanza di Autonomous Database.
Disabilita autenticazione Kerberos su Autonomous Database
Mostra i passi per disabilitare l'autenticazione Kerberos per l'istanza di Autonomous Database in uso.
Note per l'autenticazione Kerberos su Autonomous Database
Fornisce note sull'uso dell'autenticazione Kerberos per Autonomous Database.

Informazioni sull'autenticazione Kerberos

È possibile configurare Oracle Autonomous Database per utilizzare il protocollo di autenticazione di rete Kerberos per autenticare gli utenti del database. Kerberos è un protocollo di autenticazione di rete affidabile. Utilizza la crittografia a chiave segreta per abilitare un'autenticazione forte fornendo l'autenticazione da utente a server.

Il supporto di Oracle Autonomous Database per Kerberos offre i vantaggi del Single Sign-On e dell'autenticazione centralizzata degli utenti Oracle. Kerberos è un sistema di autenticazione sicuro di terze parti che si basa su segreti condivisi. Si presume che la terza parte sia sicura e fornisce funzionalità Single Sign-On, storage centralizzato delle password, autenticazione del database link e maggiore sicurezza del PC. Lo fa tramite un server di autenticazione Kerberos.
Il sistema Kerberos ruota attorno al concetto di biglietto. Un ticket è un insieme di informazioni elettroniche che identificano un utente o un servizio. Un ticket identifica l'utente e i privilegi di accesso alla rete.
Nell'autenticazione basata su Kerberos, si invia in modo trasparente una richiesta di ticket a un KDC (Key Distribution Center). Il Key Distribution Center ti autentica e ti concede un ticket per accedere al database.

Argomento padre: Configura autenticazione Kerberos con Autonomous Database

Componenti del sistema di autenticazione Kerberos

Fornisce una panoramica del sistema di autenticazione Kerberos.

Un realm stabilisce un dominio amministrativo di autenticazione. Ogni realm dispone del proprio database Kerberos che contiene gli utenti e i servizi per il dominio amministrativo specifico.
I biglietti sono emessi dal Key Distribution Center (KDC). I clienti presentano i ticket al Database Server per dimostrare l'autenticità della loro identità. Ogni biglietto ha scadenza e un tempo di rinnovo.
Le schede chiave memorizzano le chiavi a lungo termine per uno o più principal. Un file keytab viene generato richiamando lo strumento kadmin.local (per il centro di distribuzione delle chiavi MIT) o ktpass (per il centro di distribuzione delle chiavi Active Directory).
I principal sono le voci nel database del Key Distribution Center. A ciascun utente, host o servizio viene assegnato un principal. Un principal è un'identità univoca a cui il Key Distribution Center può assegnare ticket.
Il supporto Kerberos in Autonomous Database utilizza questi valori per vari componenti che compongono il nome di un principal di servizio:

Componente del principal servizio Valore in Autonomous Database

Componente del principal servizio	Valore in Autonomous Database
`kinstance`	È possibile ottenere questo valore dall'attributo `PUBLIC_DOMAIN_NAME` nella colonna `CLOUD_IDENTITY` di `V$PDBS`. Questo valore è diverso dal nome dominio completamente qualificato (FQDN) per un database in un endpoint privato. Utilizzare la query seguente per ottenere `kinstance`: `SELECT json_value(cloud_identity, '$.PUBLIC_DOMAIN_NAME') "KINSTANCE" FROM v$pdbs;`
`kservice`	In Autonomous Database sono disponibili due opzioni per il valore `kservice`: Utilizzare il GUID del database: se non si fornisce un nome di servizio Kerberos con `DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION`, il nome di servizio predefinito utilizzato è il GUID dell'istanza di Autonomous Database. In questo caso, quando si crea il file keytab, utilizzare il GUID come valore per il nome del servizio. Poiché nel caso predefinito il file Keytab utilizza un nome di servizio che è un GUID, specifico dell'istanza, quando si utilizza il nome di servizio predefinito è necessario generare file Keytab diversi per ciascuna istanza di Autonomous Database. Utilizzare il seguente comando per ottenere `GUID` (il carattere maiuscolo/minuscolo è significativo): `SELECT GUID FROM v$pdbs;` Usare un nome personalizzato: impostare il nome del servizio quando si desidera utilizzare gli stessi file keytab in più istanze di Autonomous Database. Quando si utilizza un nome personalizzato, non è necessario creare e caricare file Keytab diversi per ogni istanza di Autonomous Database. Quando si utilizza un nome personalizzato, è necessario specificare il parametro `params` `kerberos_service_name` con `DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION`. La specifica di questo parametro non è necessaria quando si utilizza il GUID per il nome del servizio. Dopo aver abilitato Kerberos nell'istanza di Autonomous Database, utilizzare la query seguente per visualizzare il nome del servizio Kerberos: `SELECT SYS_CONTEXT('USERENV', 'KERBEROS_SERVICE_NAME') FROM DUAL;`
`REALM`	Qualsiasi realm supportato dal KDC. `REALM` deve essere sempre in maiuscolo.

kinstance

È possibile ottenere questo valore dall'attributo PUBLIC_DOMAIN_NAME nella colonna CLOUD_IDENTITY di V$PDBS. Questo valore è diverso dal nome dominio completamente qualificato (FQDN) per un database in un endpoint privato.

Utilizzare la query seguente per ottenere kinstance:

SELECT json_value(cloud_identity, '$.PUBLIC_DOMAIN_NAME') "KINSTANCE" FROM v$pdbs;

kservice

In Autonomous Database sono disponibili due opzioni per il valore kservice:

Utilizzare il GUID del database: se non si fornisce un nome di servizio Kerberos con DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION, il nome di servizio predefinito utilizzato è il GUID dell'istanza di Autonomous Database. In questo caso, quando si crea il file keytab, utilizzare il GUID come valore per il nome del servizio.

Poiché nel caso predefinito il file Keytab utilizza un nome di servizio che è un GUID, specifico dell'istanza, quando si utilizza il nome di servizio predefinito è necessario generare file Keytab diversi per ciascuna istanza di Autonomous Database.

Utilizzare il seguente comando per ottenere GUID (il carattere maiuscolo/minuscolo è significativo):
```
SELECT GUID FROM v$pdbs;
```
Usare un nome personalizzato: impostare il nome del servizio quando si desidera utilizzare gli stessi file keytab in più istanze di Autonomous Database. Quando si utilizza un nome personalizzato, non è necessario creare e caricare file Keytab diversi per ogni istanza di Autonomous Database. Quando si utilizza un nome personalizzato, è necessario specificare il parametro params kerberos_service_name con DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION. La specifica di questo parametro non è necessaria quando si utilizza il GUID per il nome del servizio.

Dopo aver abilitato Kerberos nell'istanza di Autonomous Database, utilizzare la query seguente per visualizzare il nome del servizio Kerberos:

SELECT SYS_CONTEXT('USERENV', 'KERBEROS_SERVICE_NAME') FROM DUAL;

REALM Qualsiasi realm supportato dal KDC. REALM deve essere sempre in maiuscolo.

Per abilitare l'autenticazione Kerberos per Autonomous Database, è necessario mantenere pronti i file di configurazione Kerberos (krb.conf) e il file della tabella delle chiavi di servizio (v5srvtab). Per ulteriori informazioni su questi file e sui passi per ottenerli, vedere Configurazione dell'autenticazione Kerberos.

Argomento padre: Configura autenticazione Kerberos con Autonomous Database

Abilita autenticazione Kerberos su Autonomous Database

Mostra i passi per abilitare l'autenticazione Kerberos nell'istanza di Autonomous Database.

Per eseguire DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION, è necessario aver eseguito il login come utente ADMIN o disporre del privilegio EXECUTE su DBMS_CLOUD_ADMIN.

Per utilizzare DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION per abilitare l'autenticazione Kerberos, procedere come segue.

Per abilitare l'autenticazione Kerberos per Autonomous Database, è necessario ottenere i file di configurazione Kerberos: krb.conf e il file della tabella delle chiavi di servizio v5srvtab. Per ulteriori informazioni su questi file e sui passi necessari per ottenerli, vedere Configurazione dell'autenticazione Kerberos.

Copiare i file di configurazione Kerberos krb.conf e v5srvtab in un bucket nell'area di memorizzazione degli oggetti.

Se si utilizza l'area di memorizzazione degli oggetti Oracle Cloud Infrastructure, vedere Inserimento dei dati nello storage degli oggetti per i dettagli sul caricamento dei file.
Eseguire la procedura DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION e passare un URI di posizione con l'argomento JSON params. È necessario inserire i file di configurazione krb.conf e v5srvtab nella posizione di storage degli oggetti specificata nel parametro location_uri.
Ad esempio:
```
BEGIN
   DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION(
       type     => 'KERBEROS',
       params   => JSON_OBJECT(
               'location_uri' value 'https://objectstorage.us-phoenix-1.oraclecloud.com/n/namespace-string/b/bucketname/o',
               'credential_name' value 'my_credential_name'));
END;
/
```
Nota

Oracle consiglia di memorizzare i file di configurazione Kerberos in un bucket privato nell'area di memorizzazione degli oggetti.

In questo esempio, namespace-string è lo spazio di nomi dello storage degli oggetti Oracle Cloud Infrastructure e bucketname è il nome del bucket. Per ulteriori informazioni, vedere Informazioni sugli spazi di nomi dello storage degli oggetti.

Il valore credential_name utilizzato in questo passo sono le credenziali per l'area di memorizzazione degli oggetti.

La creazione di una credenziale per accedere all'area di memorizzazione degli oggetti di Oracle Cloud Infrastructure non è necessaria se si abilitano le credenziali del principal risorsa. Per ulteriori informazioni, consulta la sezione relativa all'uso del principal delle risorse per accedere alle risorse di Oracle Cloud Infrastructure.

Se location_uri è un URL preautenticato, non è necessario fornire un credential_name.
In questo modo viene creato un oggetto directory denominato KERBEROS_DIR nel database e viene utilizzata la credenziale per scaricare i file di configurazione Kerberos dalla posizione dell'area di memorizzazione degli oggetti all'oggetto directory.

È possibile specificare il parametro params kerberos_service_name per specificare un nome di servizio Kerberos. Ad esempio:
```
BEGIN
   DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION(
       type     => 'KERBEROS',
       params   => JSON_OBJECT(
               'location_uri' value 'https://objectstorage.us-phoenix-1.oraclecloud.com/n/namespace-string/b/bucketname/o',
               'credential_name' value 'my_credential_name'
               'kerberos_service_name' value 'oracle' ));
END;
/
```
Dopo aver abilitato l'autenticazione Kerberos, rimuovere la configurazione krb.conf e v5srvtab dall'area di memorizzazione degli oggetti. È possibile utilizzare i metodi dell'area di memorizzazione degli oggetti locale per rimuovere questi file oppure utilizzare DBMS_CLOUD.DELETE_OBJECT per eliminare i file dall'area di memorizzazione degli oggetti.

Per ulteriori informazioni sullo storage degli oggetti, vedere Passare a Oracle Cloud Infrastructure Object Storage e Crea bucket.

Per ulteriori informazioni, vedere ENABLE_EXTERNAL_AUTHENTICATION Procedura.

Argomento padre: Configura autenticazione Kerberos con Autonomous Database

Disabilita autenticazione Kerberos su Autonomous Database

Mostra i passi per disabilitare l'autenticazione Kerberos per l'istanza di Autonomous Database.

Eseguire la procedura DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATION per disabilitare l'autenticazione Kerberos. Per eseguire la procedura, è necessario aver eseguito il login come utente ADMIN o disporre del privilegio EXECUTE su DBMS_CLOUD_ADMIN.
```
BEGIN   
   DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATION;
END;
/
```
Questa operazione disabilita l'autenticazione Kerberos (o qualsiasi schema di autenticazione esterno specificato) per Oracle Autonomous Database.

Per ulteriori informazioni, vedere DISABLE_EXTERNAL_AUTHENTICATION Procedura.

Argomento padre: Configura autenticazione Kerberos con Autonomous Database

Note per l'autenticazione Kerberos su Autonomous Database

Fornisce note sull'uso dell'autenticazione Kerberos per Autonomous Database.

Se si abilita l'autenticazione Kerberos per Autonomous Database, è comunque possibile utilizzare l'autenticazione del database basata su password per il database.
L'autenticazione Kerberos non è supportata per questi strumenti:
- Oracle Database API per MongoDB
- Oracle REST Data Services
- Oracle Machine Learning
- APEX
- Studio Oracle Graph
- Azioni di Oracle Database
È possibile abilitare l'autenticazione Kerberos per autenticare l'utente ADMIN. È possibile utilizzare la funzionalità Reimposta password nella console di Oracle Cloud Infrastructure per reimpostare la password dell'utente ADMIN e riottenere l'accesso se un file keytab danneggiato fa sì che l'autenticazione dell'utente ADMIN non riesca.
Il valore predefinito per il clock skew massimo in Autonomous Database è 300 secondi (5 minuti). Non è possibile modificare il valore predefinito clock skew.

Argomento padre: Configura autenticazione Kerberos con Autonomous Database

Documentazione di Oracle Cloud Infrastructure