Аутентификация базы данных Oracle с использованием Kerberos и AD

Question

Мы находимся на этапе планирования настройки наших скоро обновляемых баз данных (19c) для прямой аутентификации в AD (без оракула-прокси).Я прочитал несколько документов из Oracle о том, как это сделать.Большая часть документации посвящена использованию паролей (фильтр паролей / верификатор).Единственная проблема заключается в том, что наши администраторы AD не могут использовать фильтр паролей Oracle в нашей существующей инфраструктуре AD.При этом один из сотрудников службы безопасности сказал, что мы можем реализовать аутентификацию оракула, используя вместо этого Kerberos.Из того, что я прочитал, и документы разбросаны повсюду, и ничего более подробного, чтобы использовать Kerberos: 1) Клиент больше не использует имя пользователя / пароль - они подключаются с использованием соединения в стиле кошелька (например, / @ dbname) 2) Не только БД Oracle нуждается в некоторых изменениях конфигурации, но и каждый клиент, который планирует использовать Kerberos

Я ничего не знаю о Kerberos, как он работает и что происходит при реализацииэто, но я надеялся, что в конце это: 1) Нет изменений / установок клиента (только в Oracle Oracle будут иметь изменения конфигурации). Пользователь будет продолжать предоставлять учетные данные, как и раньше - полностью прозрачно 2) Нет необходимостиФильтр паролей, поскольку у наших администраторов есть «говядина» против него

Поэтому мой вопрос таков: при использовании Kerberos непосредственно против AD на> = 18c:

1) Пользователь клиента все еще предоставляет имя пользователяи пароль для аутентификации в AD, или клиент просто «принят» из-за билетов / токенов / конфигурации, которые происходятurs на клиенте (т. е. клиент просто доверенный)?

2) Есть ли какие-либо изменения в конфигурации клиента, которые должны произойти, или клиент обращается к БД, и БД, с ее изменениями конфигурации, выполняетвся работа по аутентификации на основе AD на основе передаваемой клиентской информации

3) Должны ли возникать какие-либо дополнительные ручные компоненты (при периодическом получении билета / токена / чего-либо) (потому что, скажем, срок действия истекает)

Итак, в конце мы хотим иметь полную прозрачность с каждым клиентом и использовать что-то кроме верификатора пароля с AD.

Заранее спасибо.

-Jim

Answer 1

Похоже, вы хотите аутентифицировать клиентов Windows по базе данных Oracle по сети, используя Active Directory, без внесения каких-либо изменений в клиент.

Это довольно открытый и сложный вопрос StackOverflow.

Возможно, вы читали документы о Сетевой аутентификации сторонних производителей с использованием Oracle Advanced Security . Вы можете использовать Kerberos, SSL, RADIUS, PKI и т. Д. Для большинства из этих опций вам необходимо выполнить некоторые настройки на клиенте, поскольку и клиент, и сервер Oracle должны проходить аутентификацию или проверку в сторонней системе.

Я думаю, вам нужно Enterprise User Security (с использованием Oracle Internet Directory). Если вы используете аутентификацию на основе пароля, вам не нужны изменения клиента. В этом случае Oracle Internet Directory может синхронизировать свой каталог пользователя с AD, поэтому ваши пользователи могут использовать одно и то же имя пользователя и пароль. Однако, когда они меняют свой пароль AD, им нужно будет менять свой пароль Oracle отдельно.

С другой стороны, вы можете уменьшить опасения администраторов AD относительно требований к сложности пароля Oracle, поскольку вы можете изменить или удалить эти в соответствии с требованиями AD.