oud - oracle unified directory
TRANSCRIPT
2013 © Trivadis
BASEL BERN BRUGG LAUSANNE ZÜRICH DÜSSELDORF FRANKFURT A.M. FREIBURG I.BR. HAMBURG MÜNCHEN STUTTGART WIEN
2013 © Trivadis
OUD - Oracle Unified Directory Migrationsprojekt beim Kunden
Manfred Hoppe Trivadis
Abdi Mohammadi Oracle
28.01.2014
OUD
1
2013 © Trivadis
AGENDA
Ziel
Anforderungen & Ausgangssituation
Zentrale Unix Naming Service
Enterprise User Security (EUS)
Oracle Unified Directory (OUD)
Erfahrungen & Ausblick
2 OUD
28.01.2014
2013 © Trivadis
Ziel
3
28.01.2014
OUD
2013 © Trivadis
Ziel
Modernisierung
28.01.2014
OUD
4
Directory Service
für Oracle Net
Name Service
Directory
Service
• LDAP Server
Datenbank
• Oracle
Datenbank
2013 © Trivadis
Anforderungen
5 OUD
28.01.2014
2013 © Trivadis
Anforderungen
6 OUD
28.01.2014
• ohne Downtime
• geringer Aufwand
Migration
Ausfallsicherheit
Abbildung neuer Sicherheitsbedingungen
Keine betrieblichen Beeinträchtigungen der bisherigen Abläufe
Zentrale und einfache Administration
Erweiterungsmöglichkeiten
2013 © Trivadis
Anforderungen
Mig
rati
on
smö
glich
keit
en
Migration OID
Aktuelle OID Version
Datenbankversion
11g
Einführung neuen
Directory Service
Neuen Directory
Service
Voraussetzung
EUS Kompatibel
28.01.2o14
7 OUD
2013 © Trivadis
Ausgangssituation
8
28.01.2014
OUD
2013 © Trivadis
Ausgangssituation
Oracle Internet
Directory (OID)
• Keine aktuelle Version
• Support
• Neue Administration
Oracle Datenbanken
• Migration aller Kunden
Datenbanken
• Version 11gR2
• Supportproblem
9
28.01.2014
OUD
2013 © Trivadis
Ausgangssituation
Architektur
• LDAP Server
• LDAP Replikation
• Verzeichnisdatenbank(Oracle
Datenbanken)
Administration
• Oracle Directory Manager
28.01.2014
OUD
10
OID: Directory Service für Oracle Datenbanken
2013 © Trivadis
Ausgangssituation
Einsatzgebiet beim Kunden
• Oracle Net Name Service
• Einschränkungen
• Einsatz nur für spezielle Domänen
• Ein zentraler Verwaltungsbenutzer
11 OUD
28.01.2014
OID: Directory Service für Oracle Datenbanken
2013 © Trivadis
Ausgangssituation
12
IAS/
OID
Datenbank
Failover Datenbank
Datenbank
Failover Datenbank
LDAP Replikation
IAS/
OID
OUD
28.01.2014
Konfiguration
• OID- Server 10.1.xxx
• Datenbank 10.2..xxx
• ca. 3000 Tnsnames- Einträgen
2013 © Trivadis
Zentrale Unix Naming Service
13 OUD
28.01.2014
2013 © Trivadis
Naming Services for Solaris/UNIX/Linux
28.01.2o14
14 OUD
Use Central LDAP Directory Server to
store and retrieve
System Naming information for
hosts, passwd, shadow, group, networks,
netgroup, RBAC . a.s.o
Name Service: nss_ldap.so
Authentication: pam_ldap.so
Oracle
Unified
Directory
LDAP(s)
2013 © Trivadis
DIT
28.01.2o14
15 OUD
root@solaris:~# cat /var/ldap/ldap_client_file
NS_LDAP_FILE_VERSION= 2.0
NS_LDAP_AUTH= simple
NS_LDAP_SEARCH_REF= FALSE
NS_LDAP_SEARCH_BASEDN= dc=example,dc=com
NS_LDAP_CREDENTIAL_LEVEL= proxy
NS_LDAP_BIND_TIME= 10
NS_LDAP_PROFILE= test_profile
NS_LDAP_SEARCH_SCOPE= one
NS_LDAP_SERVERS= 127.0.0.1
NS_LDAP_SEARCH_TIME= 30
NS_LDAP_CACHETTL= 43200
root@solaris:~# ldapclient init \
-a domainName=example.com \
-a proxyDN=cn=proxyagent,ou=profile,dc=example,dc=com \
-a profileName=test_profile \
-a proxyPassword=Oracle123 \
127.0.0.1
2013 © Trivadis
DIT
28.01.2o14
16 OUD
root@solaris:~# ldaplist -l passwd
dn: uid=test1,ou=people,dc=example,dc=com
objectClass: posixAccount
objectClass: top
uid: test1
cn: test1
loginShell: /bin/bash
gecos: Test User for Native LDAP
userPassword: {SSHA}gVpsEnJ0p6cle/zUcIxAY1mCxyAR77troYNkqw==
homeDirectory: /home/test1
uidNumber: 1001
gidNumber: 5000
root@solaris:~# ldaplist -l group
dn: cn=group1,ou=group,dc=example,dc=com
objectClass: posixGroup
objectClass: top
gidNumber: 5000
memberUid: test1
cn: group1
2013 © Trivadis
Enterprise User Security
(EUS)
17 OUD
28.01.2014
2013 © Trivadis
Enterprise User Security (EUS)
EUS Nutzungskonzept
28.01.2014
OUD
18
Auflösung von Oracle Net Names
• Tnsnames- Einträge
Authentifizierung von globalen Benutzern
• Private Schemas
• Shared Schemas
Enterprise Rollen und Usern
Enterprise Domain
Zentrale Verwaltung von DB Usern & Rollen per Directory Service
2013 © Trivadis
Entscheidung
19 OUD
28.01.2014
2013 © Trivadis
Entscheidung für OUD
28.01.2014
OUD
20
Klein und Leicht zu Installieren
Einfache Bedienung durch Kommando und GUI
Ausgereifte Multimaster Replikation
Eingebettet Datenbank
2013 © Trivadis
OUD
Oracle Unified Directory
21 OUD
28.01.2014
2013 © Trivadis
New Innovation – Oracle Unified Directory
28.01.2o14
22 OUD
Next Generation Oracle Strategic Directory
• Strategy is to unify Sun DSEE and OVD
• Pure Java based combining virtual directory, meta directory and data storage capability.
• OpenDS-based including Oracle Berkeley DB JE with key Oracle additional features
• Carrier grade read and write performance easily supporting authentication of billons of users
• Easily scales to rapidly add millions of new entries and automatically re-indexes to route requests to servers that
physically holds entries
• Ready for in-cloud and on-premise applications
• EUS /TNS enabled
Unified Directory
P
roto
co
l
Han
dlin
g
Naming Context, request filtering, policy, resource limits
Load Balancing
Proxy
Directory Services LDAP
LDAPS
JMX
Distribution
Replication
Local
Backend
Oracle BDB JE
MSFT AD
Novell eDir
OID
Oracle BDB JE
2013 © Trivadis
OUD Features
28.01.2o14
23 OUD
• Command line and graphical administration interface
• Easy and fast installation & configuration
• Unlimited multi master replication topology
• Virtual Attributes
• Attribute Encryption
• Load Balancing, Data Partitioning, Join Views
• Pass Through Authetication via LDAP or Kerberos (i.e. To Active Directory)
• Data Transformation (Attribute / ObjectClass mapping, DN-Renaming)
• Custom Plugins
• Directory Server and Proxy functionality in a single server instance
• Same binary for small to extremeley large deployments in a supported JVM
• Tools to easily move an instance from one to another system
• Performance Tuning for JVM OOTB
2013 © Trivadis
OUD as EUS Store
28.01.2o14
24 OUD
2013 © Trivadis
OUD as EUS Proxy: AD with DLL
28.01.2o14
25 OUD
2013 © Trivadis
OUD as EUS Proxy: AD with Kerberos
28.01.2o14
26 OUD
2013 © Trivadis
OUD Performance
28.01.2o14
27 OUD
2013 © Trivadis
OUD Performance
28.01.2o14
28 OUD
OUD 11gR2 PS2 results (X4270 – 10M (4KB entries))
Scenario Revisited OUD KPIs
Import 10M entries (4.4 Kb) >=9200 entries/sec
Export 10M entries (4.4Kb) >=7000 entries/sec
Subtree search (Full entry returned) >= 23000 entries/sec
Authrate (SLAMD) >= 11500 auth/sec
Mod (mod 1 equality indexed attr 8chars) >=2000 mod/sec
32 Cores: Intel(r) Xeon(r) CPU E5-2690 0 @ 2.90GHz
2013 © Trivadis
OUD
Live DEMO
29 OUD
28.01.2014
2013 © Trivadis
Erfahrungen
30 OUD
28.01.2014
2013 © Trivadis
Erfahrungen
31 OUD
28.01.2014
• Einfache Handhabung
• Genaue Beschreibung Einfache , Flexible
Installation
• Kein Migrationspfad OIDOUD
• Individuelle Lösung Migration
• Nur aktuelle Version benutzen OUD / EUS
2013 © Trivadis
Erfahrungen
• Unterschiede !!!
• OUD / OID Befehlssyntax
• Befehlssyntax der älteren Versionen
stimmen nicht Literatur
• Leichte anpassbares Scripting des
Befehlsumfangs
Automatisierung
per Scripting
• Konfiguration beachten
• Stark automatisiert Replikation
32 OUD
28.01.2014
2013 © Trivadis
Erfahrungen
• Individuell
• leichte Anpassungen
Übernahme der
tnsnames- Einträge
• Wünschenswert
• Anpassung von OUD Funktionalitäten EUS
• Probleme mit Scripting
• Nur per ODSM EUS erstellen
• Database- Dateien default mit Blanks Dateibenennung
33 OUD
28.01.2014
2013 © Trivadis
Erfahrungen
• JVM Defaults (IBM JDK , Oracle JDK ..)
• Unsichere Ciphers entfernen
SSL Zertifikate
+ Protokolle
• ldapclient bindet sich als anonymous und
proxyagent braucht einige Berechtigungen
ACIs für Naming
Service wichtig
34 OUD
28.01.2014
• Hashing algorithm für userPassword
Attribute : crypt, SHA, SSHA …
pam_unix vs
pam_ldap
2013 © Trivadis
Ausblick
35 OUD
28.01.2014
2013 © Trivadis
Ausblick
Upgrade
Neue OUD
Version
• OUD11gR2PS2
• Neue ODSM- Version
Erweiterung
der Replikation
Personalisierte
Accounts
36 OUD
28.01.2014
2013 © Trivadis
Weitere Informationen...
37
OUD- Übersicht:
http://www.oracle.com/technetwork/middleware/id-mgmt/overview/oud-433568.html
Dokumentation:
http://docs.oracle.com/cd/E37116_01/index.htm
http://docs.oracle.com/cd/E49437_01/admin.111220/e22648/toc.htm
28.01.2014
OUD
2013 © Trivadis
BASEL BERN BRUGG LAUSANNE ZÜRICH DÜSSELDORF FRANKFURT A.M. FREIBURG I.BR. HAMBURG MÜNCHEN STUTTGART WIEN
Fragen und Antworten...
2013 © Trivadis
Manfred Hoppe
Senior Consultant
Tel. +49 162 295 9639
OUD
28.01.2014
Abdi Mohammadi
Principal Sales Consultant
Tel. +49 40 89091 624