针对Oracle的亚美身份验证-优点和建议

Oracle数据库的所有版本中现在都包含Oracle数据库中的亚美身份验证支持。 以前,亚美身份验证需要Oracle Advanced Security Option许可证。 自此许可更改以来,我们一直在与客户合作,以​​使用亚美和Active Directory设计和实施数据库用户身份验证。 这允许使用Active Directory对数据库用户进行身份验证和验证,而无需实施其他身份管理产品或服务器。 虽然,它确实需要服务器和客户端配置。

首先,我们需要注意,在Oracle数据库中有三种创建用户的选项-用户可以标识为:

  • 本地-帐户和密码是使用本地数据库定义的。
  • 外部-帐户和密码是在本地定义的,但由外部服务(例如操作系统或第三方服务,例如 Active Directory或LDAP)。 这包括亚美。
  • 全局-帐户和密码都在本地数据库之外定义。 身份验证必须通过外部服务进行。 该Oracle功能称为企业用户安全性(EUS)。

什么是亚美?

亚美不是操作系统身份验证。 远程操作系统身份验证是一种安全选项,如果用户在操作系统中具有打开的会话,则Oracle数据库允许连接。 现在,远程操作系统身份验证已过时,并且在Oracle 11gR1之后不再受支持,但是,它仍然仅是向后兼容的功能。

亚美是最初由麻省理工学院(MIT)开发的网络身份验证协议。 亚美已内置到Microsoft Active Directory中多年,旨在对网络资源(例如Oracle数据库)的用户进行身份验证。 亚美使用票证和对称密钥密码术来消除通过网络传输密码的需要。

以前,Oracle 亚美身份验证是高级安全性选件(ASO)的组件-亚美身份验证需要每个数据库服务器都具有ASO许可证。从2013年秋季开始,Oracle 亚美身份验证不再是ASO的一部分,它可以与任何数据库版本一起用于所有受支持的数据库版本,而无需其他许可。 (看注释 1375853.1了解更多信息。)

这是什么意思?

使用亚美可以提高安全性并节省时间和金钱。对于经过亚美身份验证的用户,数据库管理员仍将需要创建帐户和分配角色,但是他们将不再需要担心密码重置,也不需要在终止雇用时关闭帐户(假设AD帐户已关闭)。

使用亚美的好处因客户端和所采用的身份管理策略而异。

推荐建议

  • 对于命名用户帐户(最终用户)而不是服务帐户,请考虑使用亚美。
  • 现有用户将需要从本地定义更改为外部。
  • 用户名区分大小写可能是一个问题。 Oracle默认情况下以大写形式创建用户名。 AD不区分大小写。 亚美身份验证需要大写。
  • Oracle数据库服务器必须位于AD域中,否则,krb5.conf文件需要将其显式包括在领域映射中。
  • Oracle 亚美身份验证不需要添加任何外部亚美库。
  • 确保在Splunk,ArcSight或任何集中式日志记录解决方案中记录亚美身份验证事件

如有疑问,请通过以下方式与我们联系 [email protected].

参考文献

 

 Share this post

订阅RSS

将我们添加到您最喜欢的新闻阅读器中。

在Twitter上关注

获取最新更新。