我们正处于计划阶段,即将即将升级的数据库(19c)配置为直接针对AD进行身份验证(无oracle代理)。我已经阅读了Oracle的一些有关如何执行此操作的文档。大多数文档集中于使用密码(密码过滤器/验证器)。唯一的问题是,我们的AD管理员对于在我们现有的AD基础结构中实施Oracle的密码过滤器一无所知。话虽这么说,其中一位安全人员说我们可以改用Kerberos来实现oracle身份验证。从我阅读的内容来看,使用Kerberos的文档分散在各处,没有那么详细的内容: 1)客户端不再使用用户名/密码-他们使用钱包样式的连接(例如/ @ dbname)进行连接 2)Oracle DB不仅需要一些配置更改,而且每个计划使用Kerberos的客户端都需要更改
我对Kerberos一无所知,但它的工作原理以及实现该协议时会发生什么,但是我希望在此结尾: 1)没有客户端更改/安装(只有oracle DB会有配置更改) 用户将继续像以前一样提供凭据-完全透明 2)不需要密码过滤器,因为我们的管理员对此有“怀疑”
所以我的问题是: 如果直接对> = 18c上的AD使用Kerberos:
1)客户端用户是否仍提供用户名和密码来针对AD进行身份验证,还是客户端只是由于客户端上发生的票证/令牌/配置而被“接受”(即,客户端是受信任的) ?
2)是否需要进行客户端配置更改,或者客户端是否通过更改配置与数据库联系,并且数据库根据传递的客户端信息对AD进行了所有合法的工作? >
3)是否需要偶尔进行任何其他手动操作(定期检索票证/令牌/东西)(例如说已过期)
因此,最后,我们希望与每个客户端完全透明,并使用AD密码验证程序以外的其他功能。
谢谢。
-吉姆
答案 0 :(得分:0)
听起来好像您想使用Active Directory通过网络通过Oracle数据库对Windows客户端进行身份验证,而无需进行任何客户端更改。
这是一个开放式且复杂的StackOverflow问题。
可能您已经在阅读有关Third Party Network Authentication using Oracle Advanced Security的文档。您可以使用Kerberos,SSL,RADIUS,PKI等。对于大多数这些选项,您需要在客户端上进行一些设置,因为Oracle客户端和服务器都需要通过第三方系统进行身份验证或验证。
我认为您需要Enterprise User Security(使用Oracle Internet Directory)。假设您使用基于密码的身份验证,则不需要更改客户端。在这种情况下,Oracle Internet Directory可以将其用户目录与AD同步,因此您的用户可以使用相同的用户名/密码。但是,当他们更改AD密码时,需要分别更改Oracle密码。
换句话说,由于you can change or remove those可以满足广告要求,因此您也许可以减轻广告管理员对Oracle密码复杂性要求的担心。