전용 Exadata 인프라에서 Autonomous Database와 함께 Microsoft Active Directory 사용
Microsoft Active Directory 사용자를 인증하고 권한을 부여하도록 Autonomous Database on Dedicated Exadata Infrastructure를 구성할 수 있습니다. 이 구성을 통해 Active Directory 사용자는 Active Directory 자격 증명을 사용하여 Autonomous Database에 액세스할 수 있습니다.
주:
Azure Active Directory를 Autonomous Database와 함께 사용하는 방법은 Azure Active Directory(Azure AD)를 Autonomous Database와 함께 사용을 참조하십시오. CMU 옵션은 Microsoft Active Directory 서버를 지원하지만 Azure Active Directory 서비스는 지원하지 않습니다.Autonomous Database를 CMU(Centrally Managed Users)와 통합하면 Microsoft Active Directory와 통합할 수 있습니다. CMU와 Active Directory는 Oracle 데이터베이스 전역 사용자 및 전역 역할을 Microsoft Active Directory 사용자 및 그룹에 매핑하는 방식으로 작동합니다.
Autonomous Database에서 Microsoft Active Directory로 CMU를 구성하기 위한 필요 조건
다음은 Autonomous Database에서 Active Directory로의 접속을 구성하기 위한 필수 필요 조건입니다.
-
Microsoft Active Directory가 설치 및 구성되어 있어야 합니다. 자세한 내용은 AD DS 시작하기를 참조하십시오.
-
Active Directory에서 Oracle 서비스 디렉토리 사용자를 만들어야 합니다. Oracle 서비스 디렉토리 사용자 계정에 대한 자세한 내용은 Oracle Database 19c Security Guide의 Step 1: Create an Oracle Service Directory User Account on Microsoft Active Directory and Grant Permissions 또는 Oracle Database 23ai Security Guide를 참조하십시오.
-
Active Directory 시스템 관리자는 Active Directory 서버에 Oracle 암호 필터를 설치하고 요구 사항을 충족하도록 Active Directory 사용자와 함께 Active Directory 그룹을 설정해야 합니다.
Autonomous Database용 CMU에서는 암호 인증만 지원되므로 포함된 유틸리티인
opwdintg.exe
를 사용하여 Active Directory에 Oracle 암호 필터를 설치하고, 스키마를 확장하고, 세 가지 유형의 암호 검증자 생성을 위해 세 개의 새ORA_VFR
그룹을 만들어야 합니다. Oracle 암호 필터 설치에 대한 자세한 내용은 Oracle Database 19c Security Guide의 Step 2: For Password Authentication, Install the Password Filter and Extend the Microsoft Active Directory Schema 또는 Oracle Database 23ai Security Guide를 참조하십시오. -
Active Directory 서버는 공용 인터넷을 통해 Autonomous Database에서 액세스할 수 있어야 하고, Active Directory 서버의 포트 636이 Oracle Cloud Infrastructure의 Autonomous Database에 대해 열려 있어야 합니다. 그러면 Autonomous Database가 인터넷을 통해 TLS/SSL을 통해 Active Directory 서버에 대한 LDAP 액세스를 보호할 수 있습니다.
온프레미스 Active Directory에 대해 읽기 전용 도메인 컨트롤러(RODC)를 설정할 수 있는 Oracle Cloud Infrastructure로 온프레미스 Active Directory를 확장할 수도 있습니다. 그런 다음 Oracle Cloud Infrastructure에서 이러한 RODC를 사용하여 온프레미스 Active Directory 사용자에게 Autonomous Database에 대한 액세스를 인증하고 권한을 부여할 수 있습니다.
자세한 내용은 하이브리드 클라우드에서 Active Directory 통합 확장을 참조하십시오.
-
Autonomous Database에 대한 CMU를 구성하려면 CMU 구성 데이터베이스 전자 지갑(
cwallet.sso
) 및 CMU 구성 파일(dsi.ora
)이 필요합니다.-
온-프레미스 데이터베이스에 대해 CMU를 구성한 경우 온-프레미스 데이터베이스 서버에서 이러한 구성 파일을 가져올 수 있습니다.
-
온-프레미스 데이터베이스에 대해 CMU를 구성하지 않은 경우 이러한 파일을 만들어야 합니다. 그런 다음 구성 파일을 클라우드에 업로드하여 Autonomous Database 인스턴스에서 CMU를 구성합니다. 온프레미스 데이터베이스에 대한 CMU를 구성하고 Active Directory 사용자가 이러한 구성 파일을 사용하여 온프레미스 데이터베이스에 성공적으로 로그온할 수 있는지 확인하여 전자 지갑 및
dsi.ora
를 검증할 수 있습니다. 그런 다음 Autonomous Database에 대한 CMU를 구성하기 위해 이러한 구성 파일을 클라우드에 업로드합니다.
CMU의 전자 지갑 파일에 대한 자세한 내용은 다음을 참조하십시오.- Oracle Database 19c Security Guide 또는 Oracle Database 23ai Security Guide의 Step 6: Create the Wallet for a Secure Connection
- 8단계: Oracle Database 19c Security Guide 및 Oracle Database 23ai Security Guide의 Oracle Wallet 확인
CMU용
dsi.ora
파일에 대한 자세한 내용은 Oracle Database 19c Security Guide의 Creating the dsi.ora File 또는 Oracle Database 23ai Security Guide를 참조하십시오.CMU에 대한 Active Directory 구성 및 온프레미스 데이터베이스에 대한 CMU 문제 해결에 대한 자세한 내용은 How To Configure Centrally Managed Users For Database Release 18c or Later Releases (Doc ID 2462012.1)을 참조하십시오.
-
Autonomous Database에서 Microsoft Active Directory로 CMU 구성
Active Directory 서버에 연결하도록 CMU에 대해 Autonomous Database를 구성하려면 다음을 수행합니다.
주:
Autonomous Database에서 Active Directory로의 액세스를 사용 안함으로 설정하는 방법에 대한 지침은 Disable Active Directory Access on Autonomous Database를 참조하십시오.자세한 내용은 Oracle Database 19c Security Guide의 Configuring Centrally Managed Users with Microsoft Active Directory 또는 Oracle Database 19c Security Guide를 참조하십시오.
Exadata Cloud@Customer에서 Microsoft Active Directory로 CMU 구성
적용 대상: Exadata Cloud@Customer만 해당
Oracle Object Store 서비스를 사용하지 않고 CMU가 Active Directory 서버에 연결하도록 Exadata Cloud@Customer에서 Autonomous Database를 구성하려면 다음을 수행합니다.
이제 Exadata Cloud@Customer에서 Autonomous Database를 사용하여 Microsoft Active Directory를 통해 외부 인증을 사용하도록 CMU-AD를 구성했습니다.
Autonomous Database에서 Microsoft Active Directory 역할 추가
Active Directory 역할을 추가하려면 CREATE ROLE
또는 ALTER ROLE
문을 사용하여 데이터베이스 전역 역할을 Active Directory 그룹에 매핑하고 IDENTIFIED GLOBALLY AS
절을 포함시킵니다.
Autonomous Database에서 Active Directory 그룹에 대한 전역 역할을 추가하려면 다음을 수행합니다.
Microsoft Active Directory로 롤 구성에 대한 자세한 내용은 Oracle Database 19c Security Guide의 Configuring Authorization for Centrally Managed Users 또는 Oracle Database 23ai Security Guide를 참조하십시오.
Autonomous Database에서 Microsoft Active Directory 사용자 추가
Autonomous Database에 액세스하기 위해 Active Directory 사용자를 추가하려면 데이터베이스 전역 사용자를 Active Directory 그룹 또는 CREATE USER
또는 ALTER USER
문을 사용하는 사용자에 매핑합니다(IDENTIFIED GLOBALLY AS
절 사용).
Autonomous Database와 Active Directory의 통합은 Microsoft Active Directory 사용자 및 그룹을 Oracle 데이터베이스 글로벌 사용자 및 글로벌 역할에 직접 매핑하는 것입니다.
Autonomous Database에서 Active Directory 그룹 또는 사용자에 대한 전역 사용자를 추가하려면 다음을 수행합니다.
Microsoft Active Directory로 롤 구성에 대한 자세한 내용은 Oracle Database 19c Security Guide의 Configuring Authorization for Centrally Managed Users 또는 Oracle Database 23ai Security Guide를 참조하십시오.
Active Directory 사용자 인증서를 사용하여 Autonomous Database에 접속
ADMIN 사용자가 CMU Active Directory 구성 단계를 완료하고 전역 역할 및 전역 사용자를 만든 후 Active Directory 사용자 이름 및 암호를 사용하여 Autonomous Database에 로그인합니다.
주:
전역 사용자 이름을 사용하여 로그인하지 마십시오. 글로벌 사용자 이름에 비밀번호가 없으므로 글로벌 사용자 이름으로 연결하지 못했습니다. 데이터베이스에 로그인하려면 Autonomous Database에 전역 사용자 매핑이 있어야 합니다. 전역 롤 매핑만 사용하여 데이터베이스에 로그인할 수 없습니다.Autonomous Database에서 Active Directory로 CMU를 구성하고 Active Directory 권한 부여를 설정한 후 글로벌 역할 및 글로벌 사용자를 통해 Autonomous Database에 About Connecting to a Dedicated Autonomous Database에 설명된 연결 방법 중 하나를 사용하여 연결할 수 있습니다. 연결 시 Active Directory 사용자를 사용하려면 Active Directory 사용자 자격 증명을 사용합니다. 예를 들어, "AD_DOMAIN\AD_USERNAME"(큰 따옴표가 포함되어야 함) 형식으로 사용자 이름을 제공하고 암호에 AD_USER_PASSWORD를 사용합니다.
Autonomous Database로 Active Directory 사용자 연결 정보 확인
사용자가 Active Directory 사용자 이름과 비밀번호를 사용하여 Autonomous Database에 로그인하는 경우 사용자 작업을 확인하고 감사할 수 있습니다.
예를 들어, 사용자 pfitch
가 로그인할 때:
CONNECT "production\pfitch"/password@exampleadb_medium;
Active Directory 사용자의 로그온 사용자 이름(samAccountName)은 pfitch
이고 widget_sales_group
는 Active Directory 그룹 이름이며 widget_sales
는 Autonomous Database 전역 사용자입니다.
pfitch
가 데이터베이스에 로그인한 후 SHOW USER
명령은 전역 사용자 이름을 표시합니다.
SHOW USER;
USER is "WIDGET_SALES"
다음 명령은 Active Directory 사용자의 DN(식별 이름)을 보여줍니다.
SELECT SYS_CONTEXT('USERENV', 'ENTERPRISE_IDENTITY') FROM DUAL;
예를 들어, 중앙에서 관리되는 이 사용자의 엔터프라이즈 ID를 확인할 수 있습니다.
SQL> SELECT SYS_CONTEXT('USERENV', 'ENTERPRISE_IDENTITY') FROM DUAL;
SYS_CONTEXT('USERENV','ENTERPRISE_IDENTITY')
----------------------------------------------------------------------
cn=Peter Fitch,ou=sales,dc=production,dc=examplecorp,dc=com
다음 명령은 "AD_DOMAIN\AD_USERNAME
"를 보여줍니다.
SELECT SYS_CONTEXT('USERENV', 'AUTHENTICATED_IDENTITY') FROM DUAL;
예를 들어, Active Directory 인증 사용자 ID는 사용자가 데이터베이스에 로그온할 때 캡처 및 감사됩니다.
SQL> SELECT SYS_CONTEXT('USERENV', 'AUTHENTICATED_IDENTITY') FROM DUAL;
SYS_CONTEXT('USERENV','AUTHENTICATED_IDENTITY')
----------------------------------------------------------------------
production\pfitch
자세한 내용은 Oracle Database 19c Security Guide의 Verifying the Centrally Managed User Logon Information 또는 Oracle Database 23ai Security Guide를 참조하십시오.
Autonomous Database에서 Active Directory 사용자 및 역할 제거
Autonomous Database에서 Active Directory 사용자 및 역할을 제거하려면 표준 데이터베이스 명령을 사용합니다. 삭제된 데이터베이스 사용자 또는 역할에서 매핑된 관련 Active Directory 사용자 또는 그룹은 제거되지 않습니다.
Autonomous Database에서 사용자 또는 롤을 제거하려면 다음을 수행합니다.
Autonomous Database에서 Active Directory 액세스 사용 안함
Autonomous Database에서 CMU 구성을 제거하고 Autonomous Database에서 Active Directory로의 LDAP 액세스를 사용 안함으로 설정하는 단계에 대해 설명합니다.
CMU Active Directory에 액세스하도록 Autonomous Database 인스턴스를 구성한 후 다음과 같이 액세스를 사용 안함으로 설정할 수 있습니다.
자세한 내용은 DISABLE_EXTERNAL_AUTHENTICATION Procedure를 참조하십시오.
Autonomous Database에서 Microsoft Active Directory로 인한 제한 사항
Autonomous Database에서 Active Directory를 사용하는 CMU에는 다음 제한 사항이 적용됩니다.
-
Autonomous Database를 사용하는 CMU에 대해서는 "암호 인증" 및 Kerberos만 지원됩니다. CMU 인증을 Autonomous Database와 함께 사용하는 경우 Azure AD, OCI IAM, PKI와 같은 다른 인증 방법은 지원되지 않습니다.
-
Oracle Application Express 및 Database Actions는 Autonomous Database를 사용하는 Active Directory 사용자에 대해 지원되지 않습니다.