Autentica gli utenti di Autonomous Database con Kerberos
È possibile configurare Autonomous Database su un'infrastruttura Exadata dedicata in modo che utilizzi il protocollo di autenticazione di rete Kerberos per autenticare gli utenti del database. Kerberos è un protocollo di autenticazione di rete affidabile. Utilizza la crittografia a chiave segreta per abilitare un'autenticazione forte fornendo l'autenticazione da utente a server.
-
Il supporto di Autonomous Database on Dedicated Exadata Infrastructure per Kerberos offre i vantaggi del Single Sign-On e dell'autenticazione centralizzata degli utenti Oracle. Kerberos è un sistema di autenticazione sicuro di terze parti che si basa su segreti condivisi. Si presume che la terza parte sia sicura e fornisce funzionalità Single Sign-On, storage centralizzato delle password, autenticazione del database link e maggiore sicurezza del PC. Lo fa tramite un server di autenticazione Kerberos.
-
Il sistema Kerberos ruota attorno al concetto di biglietto. Un ticket è un insieme di informazioni elettroniche che identificano un utente o un servizio. Un ticket identifica l'utente e i privilegi di accesso alla rete.
-
Nell'autenticazione basata su Kerberos, si invia in modo trasparente una richiesta di ticket a un KDC (Key Distribution Center). Il Key Distribution Center ti autentica e ti concede un ticket per accedere al database.
Componenti del sistema di autenticazione Kerberos
Fornisce una panoramica del sistema di autenticazione Kerberos.
-
Un realm stabilisce un dominio amministrativo di autenticazione. Ogni realm dispone del proprio database Kerberos che contiene gli utenti e i servizi per il dominio amministrativo specifico.
-
I biglietti sono emessi dal Key Distribution Center (KDC). I clienti presentano i ticket al Database Server per dimostrare l'autenticità della loro identità. Ogni biglietto ha scadenza e un tempo di rinnovo.
-
Le schede chiave memorizzano le chiavi a lungo termine per uno o più principal. Un file keytab viene generato richiamando lo strumento
kadmin.local
(per il centro di distribuzione delle chiavi MIT) oktpass
(per il centro di distribuzione delle chiavi Active Directory). -
I principal sono le voci nel database del Key Distribution Center. A ciascun utente, host o servizio viene assegnato un principal. Un principal è un'identità univoca a cui il Key Distribution Center può assegnare ticket.
-
Il supporto Kerberos in Autonomous Database utilizza questi valori per vari componenti che costituiscono il nome del principal del servizio:
Componente del principal servizio | Valore in Autonomous Database |
---|---|
kinstance |
È possibile ottenere questo valore dall'attributo Utilizzare la seguente query per ottenere
Nota Questo sarà il valore del parametrohost trovato nella stringa di connessione TNS.
|
kservice |
Su Autonomous Database hai due opzioni per il valore
Dopo che Kerberos è stato abilitato nell'istanza di Autonomous Database, utilizzare la query riportata di seguito per visualizzare il nome del servizio Kerberos.
|
REALM |
Qualsiasi realm supportato dal KDC. REALM deve essere sempre in maiuscolo.
|
Per abilitare l'autenticazione Kerberos per l'Autonomous Database, è necessario mantenere pronti i file di configurazione Kerberos (krb.conf
) e il file della tabella delle chiavi di servizio (v5srvtab
). Per ulteriori informazioni su questi file e sulla procedura per ottenerli, vedere Configurazione dell'autenticazione Kerberos.
Note sull'autenticazione Kerberos su Autonomous Database
Prima di procedere con l'autenticazione Kerberos su Autonomous Database su un'infrastruttura Exadata dedicata, esaminare le note riportate di seguito.
- Se si abilita l'autenticazione Kerberos per Autonomous Database, è comunque possibile utilizzare l'autenticazione del database basata su password per il database.
- È possibile utilizzare un solo metodo di autenticazione esterno per l'Autonomous Database alla volta. In altre parole, è possibile abilitare in qualsiasi momento solo gli schemi di autenticazione Oracle Cloud Infrastructure (IAM), Centrally Managed User with Active Directory (CMU-AD), Azure AD o Kerberos.
Nota
L'unica eccezione è che l'autenticazione Kerberos può essere configurata sopra CMU-AD per fornire l'autenticazione Kerberos CMU-AD per gli utenti di Microsoft Active Directory. - L'autenticazione Kerberos non è supportata per i seguenti strumenti:
- API database Oracle per MongoDB
- Oracle REST Data Services
- Oracle Machine Learning
- APEX
- Studio Oracle Graph
- Azioni di Oracle Database
- È possibile abilitare l'autenticazione Kerberos per autenticare l'utente ADMIN. È possibile utilizzare la funzionalità Reimposta password nella console di Oracle Cloud Infrastructure (OCI) per reimpostare la password dell'utente ADMIN e riottenere l'accesso se un file keytab danneggiato fa sì che l'autenticazione dell'utente ADMIN non riesca.
- L'autenticazione Kerberos è supportata con il protocollo TCP per Autonomous Database versioni 19.27 o successive.
- L'autenticazione Kerberos non è supportata con DB_LINKs e i database con Autonomous Data Guard.
Abilita autenticazione Kerberos su Autonomous Database
-
Poiché può essere abilitato un solo schema di autenticazione esterna per un Autonomous Database alla volta, eseguire la procedura
DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATION
per disabilitare qualsiasi schema di autenticazione esterna già abilitato per il database.Per eseguire la procedura, è necessario aver eseguito il login come utente ADMIN o disporre del privilegioEXECUTE
suDBMS_CLOUD_ADMIN
.BEGIN DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATION; END; /
-
Ottenere i file di configurazione Kerberos:
krb.conf
e il file della tabella delle chiavi del serviziov5srvtab
. Per ulteriori informazioni su questi file e sui passi necessari per ottenerli, vedere Configuring Kerberos Authentication nel manuale Oracle Database 19c Security Guide o Oracle Database 23ai Security Guide. -
Copiare i file di configurazione Kerberos
krb.conf
ev5srvtab
in un bucket nell'area di memorizzazione degli oggetti.Nota
Oracle consiglia di memorizzare i file di configurazione Kerberos in un bucket privato nell'area di memorizzazione degli oggetti.Se si utilizza l'area di memorizzazione degli oggetti Oracle Cloud Infrastructure, vedere Inserimento dei dati nello storage degli oggetti per i dettagli sul caricamento dei file.
-
Per abilitare Kerberos come autenticazione esterna per Autonomous Database, eseguire la procedura
DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION
e passare un URI di posizione con l'argomento JSONparams
. È necessario inserire i file di configurazionekrb.conf
ev5srvtab
nella posizione di storage degli oggetti specificata nel parametrolocation_uri
.Ad esempio:BEGIN DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION( type => 'KERBEROS', params => JSON_OBJECT('location_uri' value 'https://objectstorage.us-phoenix-1.oraclecloud.com/n/namespace-string/b/bucketname/o', 'credential_name' value 'my_credential_name') ); END; /
Nota
Per fornire l'autenticazione Kerberos CMU-AD per gli utenti di Microsoft Active Directory, è possibile abilitare l'autenticazione Kerberos a monte di CMU-AD impostandotype
suCMU
nell'esempio precedente.In questo esempio,
namespace-string
è lo spazio di nomi dello storage degli oggetti Oracle Cloud Infrastructure ebucketname
è il nome del bucket. Per ulteriori informazioni, vedere Informazioni sugli spazi di nomi dello storage degli oggetti.Il valore
credential_name
utilizzato in questo passo sono le credenziali per l'area di memorizzazione degli oggetti.Se
location_uri
è un URL preautenticato, non è necessario fornire uncredential_name
.In questo modo viene creato un oggetto directory denominato
KERBEROS_DIR
nel database e viene utilizzata la credenziale per scaricare i file di configurazione Kerberos dalla posizione dell'area di memorizzazione degli oggetti all'oggetto directory.È possibile utilizzare il parametrokerberos_service_name
per specificare il nome del servizio Kerberos. Ad esempio:BEGIN DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION( type =>'KERBEROS', params => JSON_OBJECT( 'location_uri' value 'https://objectstorage.us-phoenix-1.oraclecloud.com/n/namespace-string/b/bucketname/o', 'credential_name' value 'my_credential_name' 'kerberos_service_name' value 'oracle' )); END; /
- Dopo aver abilitato l'autenticazione Kerberos, rimuovere la configurazione
krb.conf
ev5srvtab
dall'area di memorizzazione degli oggetti. È possibile utilizzare i metodi dell'area di memorizzazione degli oggetti locale per rimuovere questi file oppure utilizzareDBMS_CLOUD.DELETE_OBJECT
per eliminare i file dall'area di memorizzazione degli oggetti.
Per ulteriori informazioni sullo storage degli oggetti, vedere Passare a Oracle Cloud Infrastructure Object Storage e Crea bucket.
Per ulteriori informazioni, vedere ENABLE_EXTERNAL_AUTHENTICATION Procedura.
Disabilita autenticazione Kerberos su Autonomous Database
Prima di abilitare qualsiasi altro schema di autenticazione esterno nel database, è necessario disabilitare l'autenticazione Kerberos che esegue la procedura DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATION
.
EXECUTE
su DBMS_CLOUD_ADMIN
. BEGIN
DBMS_CLOUD_ADMIN.DISABLE_EXTERNAL_AUTHENTICATION;
END;
/
Nota
Per fornire l'autenticazione CMU-AD Kerberos per gli utenti di Microsoft Active Directory, è necessario continuare a configurare l'autenticazione CMU-AD senza disabilitare l'autenticazione Kerberos.