Upload File

uso de funcionalidad del proxy de usuario

prev
next
out of 14
Download Uso de Funcionalidad Del Proxy de Usuario

Upload: ivaniablandino

Post on 11-Oct-2015

26 views

Category:

Documents


0 download

Report

TRANSCRIPT

Making use of the Proxy User functionality

Making use of the Proxy User functionalityAutenticacin Proxy

Detecta y autentica a los usuarios conectndose a travs de una aplicacin de capa media.DBAs de Oracle tienen diferentes reas de responsabilidad y rendicin de cuentas en la base de datos que mantienen. Con muchas aplicaciones que utilizan conexiones de nivel medio, los administradores de bases se enfrentan a un reto interesante para limitar el acceso y actividades de los usuarios finales de auditora. Oracle ofrece una opcin denominada autenticacin de proxy que puede ayudar a hacer frente a estos desafos.Uno de los aspectos principales de la seguridad es el control de acceso de usuarios a la base de datos. El control de acceso de usuario se puede dividir en tres componentes principales. Primero, debe haber un mtodo para la identificacin de los usuarios. Segundo, debe haber mtodos para limitar el acceso a los objetos y las actividades dentro de la base de datos para los usuarios. Tercero, la capacidad de auditar las actividades del usuario es un requisito comn.

Un mtodo de identificacin de los usuarios sera la creacin de cuentas de usuario especficas en la base de datos para todos y cada usuario finales en el sistema. El DBA determinara entonces que actividades el usuario final debe realizar y (por lo general a travs de los roles) concederles los privilegios adecuados para hacer esas tareas especficas.Sin embargo, en muchos casos con bases de datos de Oracle y las aplicaciones asociadas al usuario final verdadero es capturado por la aplicacin de nivel intermedio, que luego se conecta a la base de datos y acta en nombre del usuario final. En este caso, el nivel medio autentica el usuario en lugar de la base de datos en s y el nivel medio tiene que ser capaz de invocar funciones y los privilegios especficos necesarios para actuar en nombre del usuario final. En esencia, esto es de lo se trata la autenticacin de proxy.

Este enfoque a travs de la tpica capa intermedia, si bien tiene muchas ventajas administrativas, puede hacer que algunos aspectos de la seguridad sean un poco ms difciles. En concreto, hay tres desafos que enfrentar; cmo identificar realmente el usuario final "real", cmo autenticar a este usuario final en la base de datos y cmo restringir los privilegios del nivel medio slo a lo que realmente se requiere para el usuario final.Si todo control de autenticacin y el acceso slo se realiza a travs de la capa media, lo cual puede ser costoso, significa que todas las aplicaciones deben hacer cumplir la seguridad y cualquier cdigo que se utiliza para gestionar la seguridad debe aparecer en cada una de las aplicaciones, por ende esto puede significar un gran aumento en el mantenimiento siempre que sean necesarios cambios en la seguridad. Adems, debe haber una metodologa para asegurar que nicamente los usuarios finales tienen que llegar a la base de datos es a travs de la capa media. La auditora de base de datos de las actividades especficas de los usuarios tambin puede ser especialmente difcil si la base de datos en s no tiene informacin sobre el usuario final verdadero. Generalmente, la auditora requiere que el sistema sea capaz de diferenciar entre algo hecho por un usuario final, y una actividad realizada por una aplicacin en nombre de un usuario.Enfoques de conexin de Capa intermedia

Existen varios enfoques comnmente utilizados para las conexiones de nivel medio a una base de datos Oracle.

Primero-> se conoce como pass-through, cuando el usuario final es conocido por la base de datos. Esencialmente, la aplicacin solicita las credenciales del usuario y los enva directamente a la base de datos para la autenticacin. Este mtodo requerira que los usuarios tienen su propia cuenta en la base de datos. La aplicacin no es realmente responsable de hacer ningn tipo de autenticacin de usuario o el control de acceso. La base de datos es fcilmente capaz de auditar las actividades de los usuarios finales en este modelo.

Segundo-> implica tener el nivel intermedio responsable de todos los aspectos de la seguridad del usuario en la base de datos. La cuenta de usuario de la aplicacin tiene todos los privilegios necesarios para todos los usuarios del sistema. Este enfoque va ms del 100% en contra del principio de seguridad importante de "privilegios mnimos". La auditora sera muy difcil en este modelo a menos que la aplicacin est escrita o diseada para capturar o mantener informacin de asignacin de que se le pregunt para que las acciones que se llevaron a cabo fueran la respuesta.

Tercero-> sera volver a autenticar al usuario a la base de datos. En esencia, esto significa que la aplicacin va a remitir informacin de acceso a la base de datos para la autenticacin; sin embargo, puede no ser la misma que la informacin de inicio de sesin utilizado por el usuario final para acceder a la aplicacin en primer lugar.Esto generalmente utilizan una configuracin tal como LDAP lightweight directory access protocols) o inicio de sesin nico con el fin de mantener actualizada la informacin de credenciales de usuario almacenada de forma segura en el sistema.

Cuarto-> otro enfoque podra implicar la transmisin de informacin a travs de algn tipo de seal, la cual asigna el usuario final a una sesin. El usuario final verdadero todava no se conoce a la base de datos, sin embargo, la base de datos puede utilizar la informacin de la ficha para hacer cualquier tipo de control del usuario final. La aplicacin podra utilizar los siguientes paquetes y procedimientos para establecer la informacin de identificacion de cliente: DBMS_APPLICTION_INFO.SET_CLIENT_IDENTIFIER o DBMS_SESSION.SET_IDENTIFIER.

Quinto-> Autenticacin del proxy es el quinto mtodo que se puede usar en bases de datos de Oracle para ayudar a lidiar con algunos de los posibles problemas en torno conexiones de nivel medio.

Opciones de autentificacin Oracle Proxy

Si tenemos un usuario que puede ser, un usuario de base de datos o un usuario de la empresa(mantenido a travs de Oracle Internet Directory con un nombre distinguido) a continuacin, Oracle ofrece una solucin basada en el hecho de que el usuario final conoce realmente a la base de datos. En cualquiera de estos casos, un enfoque de paso a travs o enfoque de re-autenticacin se puede utilizar.

Oracle tambin tiene un mtodo proxy que se puede utilizar en situaciones en que el usuario final slo se conoce en la aplicacin y no directamente a la base de datos.

Este mtodo se conoce como un modelo de usuario de la aplicacin. En este caso, al usuario se le realiza un seguimiento a travs de un identificador asignado y las actividades se puede auditar con ese identificador en lugar de la informacin del usuario final.Autenticacin Proxy para usuarios finales o los usuarios de la empresa

Tanto OCI (Oracle Call Interface) y JDBC (Java Database Connectivity) permiten un nivel medio para establecer una sola conexin de base de datos que, en ltima instancia apoya una serie de sesiones de los usuarios, donde cada uno identifica especficamente el usuario final que se conecta a esa sesin en particular.

Las actividades paso a paso que se producen durante este tipo de autenticacin son

1) El cliente se autentica en el nivel medio

2) El nivel intermedio se conecta a la base de datos como un usuario de base de datos

3) El nivel intermedio crea una sesin utilizando OCI o JDBC

Si el usuario es un usuario de base de datos a continuacin, la sesin debe incluir el nombre de usuario y en funcin de los requisitos de la base de datos, tambin puede incluir una contrasea. Funciones de base de un requisito opcional se pueden incluir. Si el usuario es un usuario de la empresa el nivel medio puede proporcionar un nombre o certificado distinguido, que la base de datos utiliza para buscar en el OID para obtener la informacin especfica del usuario y recuperar informacin sobre las funciones. Si el usuario es un usuario autenticado con una contrasea en la empresa el nivel medio proporciona un nombre nico global para el usuario, que utiliza la base de datos para comprobar el OID y recuperar la informacin de funciones.

4) Si el usuario es un usuario de base de datos, se comprueba en la base de datos para garantizar que el nivel intermedio tiene los privilegios necesarios para crear una sesin en nombre del usuario de base de datos con la funcin de la informacin proporcionada.

El DBA debe utilizar el comando ALTER USER para indicar que un usuario de la base de datos ser autenticada por un proceso de nivel medio.ALTER USER karen GRANT CONNECT THROUGH midtier; Este comando se puede utilizar si el nivel medio es de confianza para llevar a cabo la autenticacin del usuario final y el usuario final no tiene que proporcionar una contrasea para el nivel medio. Este mtodo se puede utilizar si el nivel medio es en una ubicacin de confianza, tales como detrs de un firewall. La sesin se comportar como si karen se ha conectado normalmente a la base de datos.ALTER USER karen GRANT CONNECT THROUGH midtier AUTHENTICATION REQUIRED PASSWORD; Este mtodo requiere que el usuario final proporciona una contrasea para el nivel medio a utilizar para autenticarse en la base de datos, esta opcin es la mejor opcin si la aplicacin de nivel medio se encuentra fuera del cortafuegos.Si el usuario es un usuario de empresa, el nivel medio se supone que es un sistema de confianza y el nivel medio ya se ha autenticado el usuario y puede proporcionar un nombre completo o certificado como parte de la informacin a la base de datosALTER USER karen GRANT CONNECT THROUGH midtier AUTHENTICATED USING DISTINGUISHED NAME; En este caso, el nombre completo del servidor OID o LDAP se utiliza en lugar de una contrasea. El nombre completo es recuperada por la aplicacin de nivel medio. La aplicacin deberia utilizar el OCIAttrSet () con el atributo OCI_ATTR_DISTINGUISHED_NAMEALTER USER karen GRANT CONNECT THROUGH midtier AUTHENTICATED USING CERTIFICATE TYPE 'X.509' VERSION '3';El OCIAttrSet () con el OCI_ATTR_CERTIFICATE se utiliza para recuperar y transmitir la informacin del certificado a la base de datos. El tipo de certificado por defecto es X.509 y la versin por defecto es 3. Hay que sealar, sin embargo, el mtodo certificado no se recomienda ya que Oracle podra no apoyar este mtodo de autenticacin en el futuro.

Conexiones de usuario basadas Proxy tambin se pueden hacer a travs de SQL * PLUS y la sintaxis es ligeramente diferente dependiendo de si el usuario final es un usuario de base de datos o no.

CONNECT midtier[karen]/midtier_pwd;

Esta opcin sera utilizada si el usuario Karen es conocido en la base de datos. En este caso el usuario karen est conectado al esquema karen y midtier puede tener los privilegios para invocar una parte o la totalidad de las funciones asignadas al usuario karen.

CONNECT karen [midtier] / midtier_pwd

En este caso, karen es un usuario de la empresa y no directamente sabe de la base de datos. En esta situacin, el usuario es midtier y slo tiene roles y privilegios asignados a midtier.

CONNECT karen[midtier]/karen_pwd;

Esto permite que karen sea autenticado a travs del OID. Todos los permisos de proxy se mantienen a travs de la OID. En este caso el usuario realmente conectado a la base de datos es midtier, sin embargo, la autenticacin se realiza en la empresa con Karen a travs del OID.

El DBA tambin puede configurar una cuenta de usuario que puede ser utilizado por cualquier usuario de la empresa para conectarse a la base de datos.

ALTER USER acct_mgr GRANT CONNECT THROUGH ENTERPRISE USERS;

Si los usuarios de la empresa karen y ron son los dos gerentes de cuentas y necesitan ser capaz de iniciar sesin con los privilegios del usuario acct_mgr (esencialmente un enfoque de esquema compartido), entonces la creacin de una cuenta de proxy atada a cuentas de usuario de la empresa puede ser una solucin para los administradores de bases. Slo las cuentas de usuario de base de datos locales pueden tener la opcin CONNECT THROUGH ENTERPRISE USERS y las funciones de aplicacin seguridad pueden utilizarse tanto para karen o ron cuando requieren acceso con un rol adicional/diferente en la base de datos. Los pasos especficos implicados en el establecimiento de esto son los siguientes:

1) Crear un permiso de proxy en la base de datos

2) Asignar a los usuarios karen y ron la autorizacin de proxy

3) Asignar al usuario de base de datos acct_mgr la autorizacin de proxy

4) Cambiar el usuario acct_mgr para que acepte CONNECT THROUGH ENTERPRISE USERS 5) karen o ron pueden conectarse CONNECT karen[acct_mgr]/pwd@database

As como la autenticacin de proxy puede ser concedida, tambin puede ser revocado si es necesario.

ALTER USER karen REVOKE CONNECT THROUGH midtier;Vistas del Diccionario para la autenticacin del proxy

DBA_PROXIES Todas las conexiones de proxy

USER_PROXIES Conexiones del usuario actual con conexiones proxy

PROXY_USERS usuarios que pueden hacer conexiones proxy

V$SESSION_CONNECT_INFO Informacin de conexin de Red

V$SESSION PROGRAM/MODULE muestra proxy-userAuditora de Actividades proxy

Las medidas adoptadas por proxy connections pueden ser auditadas con los comandos estndar de auditora de base de datos como los siguientes:

AUDIT SELECT TABLE ON customers BY midtier ON BEHALF OF karen; AUDIT SELECT TABLE ON customers by acct_mgr ON BEHALF OF all;

En cualquiera de estos casos, la informacin sobre el proxy est incluido en las visitas de seguimiento de auditora.


Iesa jumbo funcionalidad

Documento Funcionalidad

Funcionalidad de SinergiaCRM

Manual de Usuario · 2021. 1. 3. · Letra Nombre de botón, sección o campo del formulario Funcionalidad e indicaciones 1 Usuario Un nombre de usuario 2 Contraseña Deberá crear

MANUAL DE USUARIO - movistar.es · MANUAL DE USUARIO Funcionalidad del Asistente de Mantenimiento LAN+PC de Movistar GUÍA BÁSICA DE MANEJO 18/06/2010 Versión 2 . ... También se

Funcionalidad scada

Configure proxy settings: Change proxy settings Browser proxy

Funcionalidad Renal

Funcionalidad del codo

Arquitectura y soluciones de NFC - uco.es · PDF fileTipica NFC aplicación Aplicación cliente:!Interface de usuario!Interpretación Tag!Funcionalidad P2P entre dispositivos móviles!Funcionalidad

Crear Usuario Portal PVO RUNT.I Crear... · 4 RUNT.I.405 Crear usuario Portal PVO V1 Uso Público 4. Creación de Usuarios – Portal WEB PVO 4.1 Crear usuario A través de esta funcionalidad,

Funcionalidad Cervical

Paquetes de funciones y capacidades del producto en ... · funcionalidad de la solución Microsoft Dynamics ERP está disponible a través de licencias de usuario para cada usuario

Casos de uso PDF · 2005-04-04 · perspectivas del usuario, el modelo de casos de uso es ideal para comunicar al cliente y usuario, la funcionalidad y comportamiento del sistema

Guía del usuario · Capítulo 1 Capítulo 2 CONTENIDO Avamar for Exchange VSS 18.2 Guía del usuario 3. Desinstalación de un cliente Exchange DAG, proxy para DAG o

Dolor y Funcionalidad

Java Server Faces. JSF Framework Java que permite construir páginas como interfaces de usuario –Distintos tipos de componentes. –Estados y eventos/funcionalidad

Manual de usuario Trazabilidad - gob.mxManual de Usuario Trazabilidad Manual de Administración 0.1 Página 5 de 18 Pantalla principal Antes de describir la funcionalidad de las opciones

MANUAL DEL USUARIO ELECTROLUX 2011-2012 · Es recomendable considerar algunos puntos esenciales como el funcionamiento, funcionalidad ... ¿Qué debe tener una cocina para ofrecer

Funcionalidad ASercom

Manual Aranda PATCH MANAGEMENT versión 8temp.arandasoft.com/kb/temp/data/Manuales Aranda WIKI...Soluciones Configuración Proxy para APM Funcionalidad Aranda PATCH MANAGEMENT V 8.0

Guía del usuario - mikechannon.net Manuals/T-mobile-mda-pro Universal User... · † Cámara digital de 2 megapíxeles † Funcionalidad GPS † Compatibilidad con muchas soluciones

Guía de usuario del servidor HP ProLiant ML350 · PDF fileFuncionalidad USB interna ..... 104 Funcionalidad USB externa

Manual del usuario - cache- · Para funcionalidad de intercomunicador . G. 21 dAtos técnIcos Características y especificaciones del software App en iOS o Android • Instalación

Manual de Usuario - SATm.sat.gob.mx/fichas_tematicas/buzon_tributario/Documents/... · 2019-12-31 · Página 3 1 Objetivo Presentar la funcionalidad del componente de Excel AddIn

Impressive software made easy · Qué ofrece ontimize Cubre la funcionalidad típica de una aplicación corporativa: • Interfaz gráfica de usuario (menús, árboles, formularios,

Funcionalidad amputados

Funcionalidad y sx de abatimiento de la funcionalidad

INSTITUTO GEOGRÁFICO AGUSTÍN CODAZZIigacnet2.igac.gov.co/intranet/programacion_files/ACPM 895 Activida… · funcionalidad y se solicitó por parte del usuario el paso a producción

EXCEL XP PARA DOCENTES - lasveredillas.com · Excel expone una nueva interfaz de usuario, con su funcionalidad correspondiente, para ... Rastrear celdas precedentes y dependientes

MANUAL DE USUARIO: Ide Ura CAD V1.3 · 2010-10-25 · paso se solicita al usuario la selección del idioma en que se ... La funcionalidad "Ir a coordenadas" permite al usuario desplazarse

-*20171200222413* · MAP804 Manual de Gestión de Seguridad de la Información V05B_OYM_08082017.docx Pruebas de funcionalidad Claves de usuario-inicio de sesión . Fondo Financiero

Módulo de Seguridad Funcionalidad disponible: Tipo de usuario Funcionalidad disponible Usuario Activar cuenta de usuario Solicitar cambio de contraseña

Funcionalidad Del Aprendizaje

Funcionalidad 1