Autentykacja na bazie poprzez Kerberos

Jakub L. Inżynier Systemów,
Admin i inne takie
różne fajne :)
Winu...

Temat: Autentykacja na bazie poprzez Kerberos

Środowisko:

AIX:
baza 10.2.0.4
Kerberos

Windows 2003:
domena AD

Windows XP:
komputery klienckie w domenie (z userami domenowymi oczywiście)

I pytanie:
Czy da się zautentykować usera domenowego (zalogowanego na WinXP) na bazie danych za pomocą Kerberosa, ale BEZ zainstalowanej (zakupionej) opcji Advanced Security ?
Dlaczego bez zakupu ? Ano wymagania Klienta.
Męczę manuale i instrukcje, ale wszędzie jest przymus posiadania AS.

Z drugiej strony wygląda mi na to, iż po stronie Oracla wszystko sprowadza się do konfiguracji sqlnet.ora po stronie bazy i klienta WinXP i odpowiedniego utworzenia usera:



sqlnet.ora:



SQLNET.AUTHENTICATION_SERVICES=(KERBEROS5)

SQLNET.AUTHENTICATION_KERBEROS5_SERVICE=dbtest

SQLNET.KERBEROS5_CONF=/etc/krb5/krb5.conf

SQLNET.KERBEROS5_KEYTAB=/etc/krb5

SQLNET.KERBEROS5_REALMS=ABC

Dodatkowo - po stronie bazy są zainstalowane i zlinkowane adaptery do Kerberosa:



oracle@aixsrv:/u01/app/oracle/product/10.2.0/db_1/bin$adapters ./oracle



Oracle Net transport protocols linked with ./oracle are:



    IPC

    BEQ

    TCP/IP

    SSL

    RAW



Oracle Net naming methods linked with ./oracle are:



    Local Naming (tnsnames.ora)

    Oracle Directory Naming

    Oracle Host Naming

    NIS Naming



Oracle Advanced Security options linked with ./oracle are:



    RC4 40-bit encryption

    RC4 56-bit encryption

    RC4 128-bit encryption

    RC4 256-bit encryption

    DES40 40-bit encryption

    DES 56-bit encryption

    3DES 112-bit encryption

    3DES 168-bit encryption

    AES 128-bit encryption

    AES 192-bit encryption

    AES 256-bit encryption

    MD5 crypto-checksumming

    SHA-1 crypto-checksumming

    Kerberos v5 authentication

    RADIUS authentication

pozdrawiam
KubaJakub L. edytował(a) ten post dnia 17.09.10 o godzinie 13:12

Link do wypowiedzi

Marcin Przepiórowski Oracle ACE

Temat: Autentykacja na bazie poprzez Kerberos

Jakub L.:
Środowisko:

AIX:
baza 10.2.0.4
Kerberos

Windows 2003:
domena AD

Windows XP:
komputery klienckie w domenie (z userami domenowymi oczywiście)

I pytanie:
Czy da się zautentykować usera domenowego (zalogowanego na WinXP) na bazie danych za pomocą Kerberosa, ale BEZ zainstalowanej (zakupionej) opcji Advanced Security ?
Dlaczego bez zakupu ? Ano wymagania Klienta.
Męczę manuale i instrukcje, ale wszędzie jest przymus posiadania AS.

Witam,

Fizycznie sie da ;)
Jesli chodzi o legalnosc tego rozwiazania to szyfrowanie i zdalna autentyfikacja WYMAGA licencji na Advanced Security.

Oracle daje wszystko w jednym zestawie - pytanie czego mozesz uzywac zalezy od papierka. No dobra w 11g mozna wylaczyc packi z DB consoli na poziomie bazy wiec moze i inne rzeczy beda wylaczalne ;)

pozdrawiam,
Marcin

Link do wypowiedzi

Jakub L. Inżynier Systemów,
Admin i inne takie
różne fajne :)
Winu...

Temat: Autentykacja na bazie poprzez Kerberos

No to trzeba będzie zwalczyc :)
Na razie po 10h boju pauzuję :)

Kuba

Link do wypowiedzi

Marcin Przepiórowski Oracle ACE

Temat: Autentykacja na bazie poprzez Kerberos

Jakub L.:
No to trzeba będzie zwalczyc :)
Na razie po 10h boju pauzuję :)

Kuba

Nie wiem czy jasno sie wyrazilem w 1 poscie - jesli masz protokoly szyfrowania to raczej masz zainstalowane AS po stronie bazy i musisz tez miec zainstalowane po stronie klienta.

pozdrawiam,
Marcin

Link do wypowiedzi

Tomasz Wiśniewski DBA

Temat: Autentykacja na bazie poprzez Kerberos

Kiedyś jak robiłem szyfrowany sqlnet to pamiętam ze sqlnet.ora musiał być identyczny na serwerze i kliencie.

Co do legalności to czy zrobisz to z palca czy przy pomocy toola to jest to traktowane jako wykorzystanie funkcjonalności.

Link do wypowiedzi

Marcin Przepiórowski Oracle ACE

Temat: Autentykacja na bazie poprzez Kerberos

Tomasz Wiśniewski:
Kiedyś jak robiłem szyfrowany sqlnet to pamiętam ze sqlnet.ora musiał być identyczny na serwerze i kliencie.

Co do legalności to czy zrobisz to z palca czy przy pomocy toola to jest to traktowane jako wykorzystanie funkcjonalności.

Jesli mialbys baze na Windowsach to wg. dokumenctacji by sie obylo bez licencji

http://download.oracle.com/docs/cd/E11882_01/win.112/e...

Ale sam nie uzywalem tej funkcjonalnosci.

pozdrawiam,
Marcin

Link do wypowiedzi

Piotr B. Handlarz też
człowiek

Temat: Autentykacja na bazie poprzez Kerberos

Może QAS (dawniej: Vintela Authentication Services)?
http://www.quest.com/authentication-services/sso-optio...

Link do wypowiedzi

konto usunięte

Temat: Autentykacja na bazie poprzez Kerberos

Piotr B.:
Może QAS (dawniej: Vintela Authentication Services)?
http://www.quest.com/authentication-services/sso-optio...

Zostało ci jeszcze 298-miu :)

Link do wypowiedzi

Jakub L. Inżynier Systemów,
Admin i inne takie
różne fajne :)
Winu...

Temat: Autentykacja na bazie poprzez Kerberos

Kurcze, no i przegrywam w tej walce jak na razie :)
Ale wygląda mi, że dokumentacja jest niespójna - tak jakby pisało ją ze 3 osoby i potem ją "skleili".
Może coś podpowiecie

http://download.oracle.com/docs/cd/B19306_01/network.1...

Jeśli dobrze rozumiem:

mój principal to powiedzmy:
prd/serv1.abc.com@ABC.COM

prd - SID bazy
serv1.abc.com - serwer AIX z Kerberosem i bazą
ABC.COM - nazwa domey i jednocześnie realma

Tak więc w ./kadmin.local dodaję principala:
ktadd -k /tmp/keytab prd/serv1.abc.com@ABC.COM

i plik /tmp/keytab robię widoczny dla oracle:
chmod +r /tmp/keytab

Teraz trzeba utworzyć usera Oracle, którego Kerberos będzie mógł zautentykować:
# ./kadmin.local
kadmin.local: addprinc krbuser

więc utworzył się w Kerberosie krbuser@ABC.COM
Teraz tworzymy go na bazie:

SQL> CONNECT / AS SYSDBA;
SQL> CREATE USER "KRBUSER@ABC.COM" IDENTIFIED EXTERNALLY;
SQL> GRANT CREATE SESSION TO "KRBUSER@ABC.COM";

Teraz przechodzimy do Windows AD (pkt 7.3.2.2) i tworzymy usera na AD:
serv1.abc.com

i exportujemy go:
Ktpass.exe -princ prd/serv1.abc.com@ABC.COM -mapuser serv1 -pass Password12345 -out C:\v5srvtab_prd
(ano właśnie: ma być "-mapuser serv1" czy "-mapuser serv1.abc.com" ? )

Kopiuję C:\v5srvtab_prd z AD do AIX (/tmp/v5srvtab_prd) i dodaję go do key table (/tmp/keytable):

# ktutil
rkt /tmp/v5srvtab_prd
wkt /tmp/keytable

A teraz musze jeszcze raz utworzyć usera na bazie ? Jakiego ? PRD@ABC.COM ? Tu mi się właśnie nie zgadza.

Na końcu żądam initial ticket za pomocą "okinit username":
- ale na kliencie (XP) czy na serwerze (AIX)
- i jaki username ma być ? "okinit prd" ? "okinit krbuser" ? Jeszcze coś innego ?

Wypróbowałem chyba już każdą możliwą opcję i non stop dostaję:
C:\Documents and Settings\user1>sqlplus /@prd
ERROR:
ORA-12638: Nieudane uzyskanie uwierzytelnienia

Rozpisałem się trochę :) Ale może w powyższej procedurze robię jakiś błąd, którego nie widzę.
Jak się Wam zechce w to wczytać, będę dźwięczny :)

KubaJakub L. edytował(a) ten post dnia 21.09.10 o godzinie 11:54

Link do wypowiedzi

Paweł Grzegorz Kwiatkowski Architekt
oprogramowania,
Ericsson

Temat: Autentykacja na bazie poprzez Kerberos

O ile dobrze pamiętam Kerberos jest wrażliwy na synchronizacje czasu. Sprawdź czy czas na poszczególnych maszynach czas nie różni się powiedzmy o więcej niż 1 minutę.

Link do wypowiedzi

Jakub L. Inżynier Systemów,
Admin i inne takie
różne fajne :)
Winu...

Temat: Autentykacja na bazie poprzez Kerberos

Ustawiałem czas - różnica jest max 5 sekund.

Link do wypowiedzi

Tomasz Wiśniewski DBA

Temat: Autentykacja na bazie poprzez Kerberos

Jakieś sukcesy?:) Bo ciekawy jestem wyniku.

Link do wypowiedzi

Jakub L. Inżynier Systemów,
Admin i inne takie
różne fajne :)
Winu...

Temat: Autentykacja na bazie poprzez Kerberos

Tomasz Wiśniewski:
Jakieś sukcesy?:) Bo ciekawy jestem wyniku.

No właśnie kicha :)
Już zaprzągłem nawet nie tylko serwis Oracle, a i MS do tego :)

Tomku, a może pogadamy na prv ? Skoro Tobie się udało to może i u mnie coś wykryjesz ? :)

K.

Link do wypowiedzi

Oracle

Czy na pewno chcesz zrezygnować z tej grupy?

Zgłoś nieprawidłowości w wypowiedzi

Autentykacja na bazie poprzez Kerberos

Blokowanie użytkownika

Temat: Autentykacja na bazie poprzez Kerberos

Temat: Autentykacja na bazie poprzez Kerberos

Temat: Autentykacja na bazie poprzez Kerberos

Temat: Autentykacja na bazie poprzez Kerberos

Temat: Autentykacja na bazie poprzez Kerberos

Temat: Autentykacja na bazie poprzez Kerberos

Temat: Autentykacja na bazie poprzez Kerberos

Temat: Autentykacja na bazie poprzez Kerberos

Temat: Autentykacja na bazie poprzez Kerberos

Temat: Autentykacja na bazie poprzez Kerberos

Temat: Autentykacja na bazie poprzez Kerberos

Temat: Autentykacja na bazie poprzez Kerberos

Temat: Autentykacja na bazie poprzez Kerberos

Podobne tematy

LDAP » Openldap + autentykacja poprzez SASL z sasldb2 -

Oracle DBA » 10g UTL_MAIL + autentykacja SMTP + TLS -

AIX » Logowanie root-a poprzez syslog-a -

Trenerzy Biznesu/Szkolenia... » Blearning, czyli nauka poprzez blogi -

Szkolenia w Krakowie » Vedic Art - rozwój kreatywności poprzez malowanie 11... -

Szkolenia Kraków » Vedic Art - rozwój kreatywności poprzez malowanie 11... -

facebook.com » Czy promowanie konkursów poprzez spamowanie nimi innych... -

SZKOLENIA co gdzie kiedy » szkolenie: komunikacja - poprzez róznorodność do... -

PROMOCJA POLSKI » Promocja Polski poprzez muzykę! -

e.Marketing » Zwiększenie spredaży poprzez poprawę wizerunku sklepu. -

Openldap + autentykacja pop...

SQL; PL/SQL; Studia informatyczne;...

Użytkownicy Oracle10g

Oferty pracy