Oracle Enterprise Security Manager

Bonfiglio, Luciano G.Oracle 9i - 2010

Oracle Enterprise Security Manager

Introducción

Oracle Enterprise Security Manager (en adelante OESM), parte de Oracle Enterprise Manager, es una herramienta utilizada por Oracle Advanced Security para administrar usuarios, dominios y roles empresariales, bases de datos contenidas en un servicio de directorio compatible con LDAP.

El servicio de directorio es usado como un repositorio central para definir la información de accesos de usuarios y servidores en una red. Almacena información de nombrado, definiciones de claves globales, credenciales PKI y autorización de acceso a aplicaciones de los usuarios definidos. Este almacenamiento centralizado de usuarios empresariales y sus privilegios soporta la capacidad single sign-on (sistema único de autenticación), y provee una administración de usuarios segura y escalable.

Instalación y Configuración de Oracle Enterprise Security Manager

Tarea 1: Configurar Oracle Internet Directory

Oracle9i Enterprise User Security está basado en un directorio LDAP. El servidor de directorio debe estar instalado y configurado previo a que Oracle Enterprise Manager pueda administrar la seguridad de usuarios empresariales. Para proceder, se deben contar con los siguientes elementos configurados:

Un servicio de directorio compatible con LDAP instalado, corriendo y accesible sobre LDAP estándar y Secure Sockets Layer LDAP (LDAP/SSL).

Oracle Internet Directory configurado para dar soporte al esquema de directorio de objetos de Oracle9i y debe incluir un Oracle Context raíz. Se puede utilizar el asistente de Oracle Net Configuration para configurar ambos en el servidor de directorio.

Tarea 2: Instalar Oracle Enterprise Manager

Oracle Enterprise Manager se instala automáticamente durante el proceso de instalación del servidor Oracle9i Enterprise Edition, e incluye toda la funcionalidad necesaria para Enterprise User Security. Oracle Enterprise Manager también se instala por defecto con la infraestructura de Oracle9i al mismo tiempo que Oracle Internet Directory. Oracle Enterprise Manager puede ser instalado por separado en su propio ORACLE_HOME, utilizando la instalación personalizada.

Tarea 3: Arrancar Oracle Enterprise Security Manager

Para arrancar OESM, utilizar alguna de estas opciones:


(UNIX)

Desde el ORACLE_HOME del Enterprise Manager, ingresar el siguiente comando:

esm

(Windows)

Elegir Inicio > Programas > Oracle - HOME_NAME > Integrated Management Tools > Enterprise Security Manager

El cuadro de inicio de sesión del servidor del directorio aparece en la figura 1:

figura 1

Tarea 4: Iniciar Sesión en el Directorio

OESM provee tres maneras de conectarse al servidor de directorio:

Método Descripción

Password Authentication

Utiliza autenticación simple, la cual requiere un distinguished name (DN) o un UserID y password de directorio conocido (nombre de usuario y password).

SSL Client Authentication

Utiliza autenticación SSL de dos vías, en la cual ambos, cliente y servidor, usan Oracle Wallets, que contienen certificados digitales (nombre de usuario y certificado). La conexión es encriptada.

Native Se aplica solamente a Microsoft Windows NT y Windows 2000;


Método Descripción

Authentication utiliza autenticación a nivel de S.O. para iniciar sesión en Microsoft Active Directory.

Para elegir el método de autenticación, debe elegir la opción apropiada en el cuadro de la figura 1.

Administrando Usuarios Empresariales

OESM administra un servidor de directorio, identificado al comienzo del árbol principal de la aplicación. Esto permite administrar usuarios y Oracle Contexts en el directorio. Un Oracle Context es un subárbol en el directorio reconocible a los productos Oracle. Este provee una jerarquía administrativa para administrar los datos Oracle, incluyendo los productos Oracle instalados que acceden al directorio.

Creando nuevos Usuarios Empresariales

Se utiliza OESM para crear usuarios en el directorio.

Para crear nuevos usuarios, seleccionar Create Enterprise User... del menú de Operaciones. La ventana de creación de usuarios aparece en la figura 2.

figura 2


De la siguiente tabla, ingresar la información de usuario requerida por la pestaña User Naming; elegir OK para crear el nuevo usuario empresarial.

Campo Obligatorio? Descripción

base Si Entrada en el directorio bajo la cual el nuevo usuario es creado.

First Name

Si Nombre del usuario.

Surname Si Apellido del usuario.

UserID Si Nombre de usuario que utiliza para conectarse a la red, las bases de datos y las aplicaciones.

UserID Suffix

No Valor actual de cualquier sufijo común de UserID que se anexa al mismo. Por ejemplo: <userID>.us.acme.com

Email Address

No Dirección de correo del nuevo usuario.

Common Name:

cn=

Si El componente Common Name (cn=) del Nombre Distintivo (DN) del nuevo usuario en el directorio. Por defecto está seteado con el nombre completo del nuevo usuario. De todas maneras, se puede sobrescribir este valor para forzar a que sea una porción del DN.

Definiendo una Base de Directorio

Una entrada de usuario empresarial puede residir en cualquier base dentro del directorio. La base puede ser cualquier entrada de directorio, como ser country entry (c=us), o una organization entry (o=acme,c=us). Normalmente múltiples usuarios comparten la misma base de directorio. Esta base asocia a todos los usuarios contenidos en ella con el mismo nivel de organización en la jerarquía.

Se puede ingresar la base en el campo base de la ventana de creación de usuario (figura 2). Alternativamente, se puede seleccionar un directorio de preferencia clickeando el botón Browse (en la misma ventana); la ventana para elegir el directorio aparece en la figura 3:


figura 3

Definiendo una Password de un nuevo usuario empresarial

La pestaña Password de la ventana de creación de usuario (figura 4) permite definir y mantener la password de un usuario empresarial:

figura 4


El password de usuario se utiliza para:

Acceso de directorio. Acceso de BD, para BD que soportan password authentication para usuarios

globales. Un nuevo Oracle Wallet, si es creado por el nuevo usuario en ese momento.

Al crear la password, se puede elegir entre las siguientes opciones:

Aceptar la password por defecto que se muestra Elegir una password generada aleatoriamente Ingresar una password manualmente

Para enviar la password al nuevo usuario por correo, seleccionar Notify User by Email, y notificar al nuevo usuario que modifique la password luego de su primer uso. Se utiliza la dirección de correo asociado al usuario en la pestaña User Naming (figura 2).

Asignando un Rol Empresarial inicial

Cuando se crea un nuevo usuario empresarial, se puede asignar al mismo cualquier rol/es empresarial/es previamente configurado/s.

Para asignar uno o más roles empresariales a un nuevo usuario, elegir el botón Add... en la pestaña Enterprise Roles de la ventana de creación de usuarios.

Dicha ventana aparece en la figura 5:

figura 5


Creando una Oracle Wallet

Una Oracle Wallet, que contiene un nuevo certificado digital, clave privada, y los puntos de confianza del certificado, se puede generar para el nuevo usuario en un formato binario codificado. La misma será almacenada con el nuevo usuario en el servidor del directorio como parte de la entrada de directorio para el usuario. Para crear una Wallet para los nuevos usuarios, elegir la pestaña Wallet de la ventana Create User (figura 6).

Nota:

La pestaña Wallet solo aparece si OESM cuenta con una autoridad de certificación local configurada. Para crear una autoridad de certificación local simulada, correr la siguiente herramienta:

esm -genca

Seguir las instrucciones que se muestran por la herramienta. Esta herramienta crea una autoridad de certificación en el directorio de la Oracle wallet.

figura 6

El nombre distintivo (DN) bajo el cual se creará el usuario, se utiliza por defecto como el DN para el certificado digital a ser incluido en la Oracle wallet del mismo. El usuario no se puede conectar a la BD si el DN de los certificados de usuario no es igual a sus


DN en el directorio. Sin embargo, se puede editar el DN que utilizará el certificado antes de generar el Wallet editando los contenidos del campo Issued For.

La Oracle Wallet se crea al clickear el botón Generate Wallet. Al seleccionar un usuario de la ventana Edit User (figura 8), el atributo userpkcs12 se hace visible en la lista de atributos para el mismo. Dicho atributo representa la Wallet creada en este paso.

Buscando Usuarios en el Directorio

OESM permite buscar en el directorio los usuarios actualmente almacenados.

Para hacerlo, elegir la pestaña All Users en la ventana principal (figura 7):

figura 7

Para buscar usuarios en el directorio, definir el criterio de búsqueda y clickear en el botón Search Now. La ventana muestra los resultados de la búsqueda. La siguiente tabla resume los criterios de búsqueda y sus respectivos efectos en los resultados:

Criterio de Búsqueda Efecto en la búsqueda

Base Es el punto de entrada base en el directorio donde se realiza la búsqueda. Solo los usuarios bajo esta base son resultado de la búsqueda.


Criterio de Búsqueda Efecto en la búsqueda

Include Subtrees

Determina entre mostrar todos los usuarios hallados bajo el subárbol de la base seleccionada, o solo aquellos usuarios que existen directamente bajo la ubicación de la base (un nivel solamente).

Show names containing

Limita la búsqueda a aquellos usuarios en que las entradas del directorio tengan un nombre común que comience con los caracteres que se especifican. Esto es útil si no se conoce exactamente el nombre o la base del usuario que se busca.

Ejemplo: seleccionar un usuario para editarlo

Para editar uno de los usuarios devueltos por la búsqueda, seleccionar el mismo y clickear el botón Edit... o hacer doble click sobre el mismo en la lista (figura 8):


figura 8

Al seleccionar un usuario del directorio para editarlo, se puede cambiar la password y la asignación de los roles empresariales, así como también modificar la Wallet del mismo de igual forma que durante la creación.

Habilitando el acceso a la BD

La entrada de usuario debe residir en un subárbol del directorio de usuarios habilitado con acceso a las BD Oracle. Se puede setear los permisos de acceso para un subárbol seleccionado --para permitir a las BD dentro del dominio en el grupo Password-Accessible Domains leer las credenciales de acceso del mismo.

Para habilitar acceso a las BD:

En un subárbol seleccionado de usuarios del directorio, setear permisos de acceso para permitir a las BD del grupo Password-Accessible Domains acceder a las credenciales de acceso del usuario:


Seleccionar el subárbol de usuario bajo Usuarios, mediante búsqueda Base Seleccionar Allow logon to Databases en Authorized Enterprise Domains

Administrando Oracle Contexts

Un Oracle Context es un subárbol en el directorio que contiene los datos utilizados por cualquier producto Oracle instalado que utiliza el mismo. OESM es uno de estos productos. Permite administrar BD e información relacionada con la seguridad en el directorio.

Versiones de Oracle Context

OESM soporta múltiples Oracle Contexts en un directorio, incluyendo versiones de Oracle8i y Oracle9i. Ahora, Oracle9i Enterprise User Security solo se puede administrar utilizando un Oracle Context Oracle9i. OESM versión Oracle9i puede usarse para administrar ambas versiones de Oracle Context en el directorio.

OESM muestra todos los Oracle Contexts en el árbol principal de la aplicación --incluyendo ambas versiones. En el siguiente ejemplo (figura 9), OESM está conectado a un directorio Oracle configurado para soportar el esquema de directorio de Oracle9i y una raíz de Oracle Context versión Oracle9i.

Definiendo Propiedades de un Oracle Context

Un Oracle Context tiene un número de propiedades que se pueden visualizar y administrar en la ventana de Enterprise Security Manager (figura 9, tabla 4):

http://download.oracle.com/docs/cd/B10501_01/network.920/a96573/glossary.htm#432099


figura 9

Propiedad Descripción

Directory Location Ubicación de Oracle Context. En el caso del Oracle Context raíz, este valor es nulo.

Version Versión del Oracle Context: Oracle8i o Oracle9i.

Versioncompatibility Versiones que soporta el Oracle Context: 8i, 9i, o ambas.

Common User Search Bases

Lista de ubicaciones base en el directorio en el cual los usuarios comúnmente existen. Identifica una lista de bases de búsqueda de usuario que permite buscarlos rápidamente, y también indica a las BD Oracle9i en el Oracle Context donde encontrar los usuarios del directorio que se conectan a las mismas.

UserID Este atributo identifica al usuario en la empresa; un identificador único global por usuario. Se utiliza este valor para autenticarse en BD Oracle9i, servidores de directorio, o aplicaciones habilitadas en el directorio. El valor por defecto es cn, el nombre común del usuario del directorio.

Application GUID Nombre del atributo en el input del usuario para el cual existe un único valor de application GUID. No puede ser modificado.

Password Policy Sintaxis de directivas de password utilizada por BD Oracle9i cuando se autentican usuarios globales. No puede ser modificada.

tabla 4

Registrando una BD en el Directorio

Usar OESM para registrar una BD con el directorio es una nueva funcionalidad en esta release. También se puede utilizar Database Configuration Assistant para hacerlo. La siguiente tabla muestra las diferencias entre ambas herramientas.


Herramienta

Crea una entrada DN de BD en el Directorio

Agrega la BD al dominio por defecto

Crea un marcador de un Database Wallet en el Directorio

Setea el parámetro RDBMS_SERVER_DN

Crea un Database Wallet válida

OESM Si Si Si No No

Database Configuration Assistant

Si Si No Si No

Prerequisitos

Si se desea generar un marcador de database wallet, primero se debe ejecutar la siguiente línea de comando:

esm -genca

Seguir las instrucciones que muestra la herramienta. La misma crea una autoridad certificada simulada en el directorio del Oracle wallet.

Registrar una BD con el directorio:

1. En la ventana principal del Enterprise Security Manager, seleccionar Register Database desde el menú de Operaciones.

2. Completar los campos con los valores apropiados de la BD a registrar. Nota: para registrar la BD usando OESM, el SID de la BD debe ser igual al nombre reducido de la BD. Si se necesita editar el string de conexión, seleccionar Store TNS Connect String, lo cual habilita el campo para edición.

3. Si se quiere generar un marcador de wallet para la BD a registrar, seleccionar Generate Wallet e ingresar la password de la wallet. Si no visualiza la opción Generate Wallet, asegurarse de haber ejecutado el comando esm -genca descripto en los "Prerequisitos".

4. Luego de completar la información requerida, clickear OK para crear la entrada de BD en el directorio.

5. Un cuadro de texto avisa que se debe setear el parámetro RDBMS_SERVER_DN en el archivo de parámetros (spfile.ora) ingresando el siguiente comando en una consola de SQL*Plus:

ALTER SYSTEM SET RDBMS_SERVER_DN=SERVER_DN SCOPE SPFILE

6. Luego, reiniciar la BD para que el nuevo parámetro sea leído por el sistema.

Definiendo Bases de Búsqueda de usuarios

Bases de búsqueda de usuarios comunes pueden ser agregadas o quitadas de Oracle9i Oracle Context en la ventana General (figura 9).


Para quitar una base de búsqueda de usuario de un Oracle Context:

1. En la ventana General del OESM (figura 9), seleccionar una base de búsqueda de la lista de Common User Search Bases, y elegir el botón Remove...

2. Elegir el botón Apply; la base de búsqueda de usuario es quitada del Oracle Context en el directorio.

Para agregar una nueva base de búsqueda de usuario a un Oracle Context:

1. En la ventana General del OESM (figura 9), seleccionar el botón Add...; aparece la ventana para seleccionar el directorio (figura 10):

figura 102. Navegar por el árbol de directorios y seleccionar una entrada de base de

búsqueda de usuario. Alternativamente, se puede editar el contenido del campo Selection en la ventana para definir manualmente la base de búsqueda de usuario.

3. Seleccionar OK; la entrada es agregada a la lista de bases de búsqueda de usuarios en la ventana General (figura 9).

4. Seleccionar Apply (figura 9); la base de búsqueda de usuario se agrega al Oracle Context en el directorio.


Definiendo Administradores de un Oracle Context

Un Oracle Context contiene grupos administrativos que tienen distintos niveles de privilegios para las operaciones dentro de un Oracle Context. Algunos solo están disponibles en Oracle9i y otros están disponibles para ambos, Oracle8i y Oracle9i. Los grupos administrativos para un Oracle Context están definidos en la siguiente tabla (tabla 6):

Grupo Administrativo Definición

VersiónOracle9i

VersiónOracle8i

Full Context Management

Todos los privilegios de Administrador posibles para todas las áreas del producto en el Oracle Context.

Si No

Directory User Management

Puede visualizar recordatorios de password de usuarios de directorio y actualizarlas.

Si No

Database Security Management

Puede administrar todos los dominios y roles empresariales en el Oracle Context.

Si Si

Database Registration

Puede registrar una nueva BD en el Oracle Context.

Si Si

Oracle Net Management

Puede administrar objetos Oracle Net en el Oracle Context.

Si Si

Utilizar la pestaña Administrators de la ventana principal de OESM para gestionar Administradores de Oracle Context (figura 11):


figura 11

Para quitar un usuario de la lista de Administradores del Oracle Context:

1. Seleccionar la categoría Administrador (tabla 6); la lista es visualizada.

2. Seleccionar un nombre de usuario de la lista.

3. Seleccionar el botón Remove; el usuario es quitado de la lista.

4. Seleccionar el botón Apply; el usuario es quitado como Administrador del Oracle Context, en la categoría seleccionada.


figura 12

Para agregar un usuario a la lista de administradores de un Oracle Context:

1. Seleccionar el botón Add... en la figura 11; se visualiza la ventana para agregar usuarios (figura 12).

Utilizar esta ventana para localizar y seleccionar usuarios en el directorio. Hay tres paneles en la ventana:

Panel superior: El árbol de búsqueda de directorio. Panel intermedio: Criterio de búsqueda que determina que

usuarios serán parte del resultado. Panel inferior: Resultados de la búsqueda –usuarios hallados en

el directorio que coinciden con el criterio de búsqueda.

2. Navegar en el Directorio (en el panel superior) para seleccionar una base de búsqueda de usuario. Se puede editar el contenido del campo seleccionado en esta ventana para definirla manualmente.

3. Chequear la opción Include Subtrees en el panel intermedio (criterio de búsqueda). Esta opción de selección busca a todos los usuarios dentro de la base de búsqueda, incluyendo subárboles.


4. Ingrese un nombre de usuario en el campo Show Names Containing. Esto limita la búsqueda a usuarios en el directorio que tienen el nombre especificado en el cuadro de texto.

5. Seleccionar el botón Search Now (panel intermedio). Si hay usuarios en el directorio de la base seleccionada que coincidan con el criterio de búsqueda, son listados en la ventana.

6. Seleccionar el nombre de usuario deseado y oprimir OK, o hacer doble clic sobre el mismo. Pueden ser elegidos múltiples usuarios, seleccionando el rango y oprimiendo OK. Los nuevos usuarios aparecen en la lista de Administradores bajo la categoría elegida.

Administrando Password Accesible Domains

Existen tres requisitos en una BD para aceptar una conexión desde un usuario autenticado mediante password:

La BD debe ser miembro de un dominio configurado para aceptar autenticación mediante password y SSL (ver: tabla 8).

El dominio debe ser miembro de un grupo password-accessible domains, llamado Password-Accessible Domains List, agregado por un Oracle Context Administrator o un Database Security Administrator. Los miembros del dominio de la lista pueden leer el verificador de password del usuario en el directorio, mientras que los que están excluidos de la misma no podrán. El dominio debe ser parte de un Oracle9i Oracle Context o superior.

La entrada del usuario debe estar en un subárbol del directorio que tenga habilitado el acceso a las BD. Se puede setear los permisos de acceso a las BD a un subárbol que permita a las BD en la lista Password-Accessible Domains leer la información de acceso de los usuarios.

Configurar accesibilidad de password:

o Agregar la BD a un dominio empresarial configurada para aceptar autenticación de usuario vía password y SSL.

2. En el Oracle9i Oracle Context seleccionado, o superior, agregar el dominio a la lista Password-Accessible Domains. Seleccionar Add y seleccionar uno de los siguientes dominios empresariales. Para quitar un dominio empresarial de la lista, seleccionarlo en la ventana de Dominios Accesibles y elegir Remove.

3. En el subárbol del directorio de usuarios seleccionado, setear permisos de acceso a las BD Oracle para permitir a las BD en la lista Password-Accessible Domains tener acceso a la información de acceso de usuarios:

Seleccionar el subárbol bajo Usuarios, por búsqueda Base. Seleccionar Allow Logon to Database en el dominio empresarial

autorizado para ese subárbol.

http://download.oracle.com/docs/cd/B10501_01/network.920/a96573/glossary.htm#433847


Administrando la Seguridad en BDUna vez que se registran las BD en el directorio, se puede usar OESM para administrar el acceso de usuarios a las mismas. Eso se logra usando los siguientes objetos en el Oracle Context (tabla 7):

Objeto Descripción

Database Entrada de directorio que representa una BD registrada.

Enterprise Domain

Grupo de BD registradas en el directorio, sobre las cuales se puede implementar un modelo de seguridad de acceso de usuarios comunes.

Enterprise Role

Autorización que abarca múltiples BD dentro de un dominio empresarial.

Mapping Objeto usado para mapear el distinguished name (DN) de un usuario a un esquema de BD al cual accederá.

Gestionando Administradores de BDUn Administrador de BD es un usuario del directorio que tiene privilegios para modificar la BD y su subárbol en el Oracle Context. Se pueden gestionar usando la pestaña Administrators cuando se selecciona una BD bajo un Oracle Context en el árbol principal de la aplicación (figura 11).Para quitar un usuario de la lista de Administradores:Seleccionar un usuario de la lista de Administradores.

2. Elegir Remove; el usuario es quitado de la lista.

3. Elegir Apply; el usuario es quitado como Administrador de BD en el Oracle Context.

Para agregar un nuevo usuario a la lista de Administradores:

1. Elegir Add; aparece la ventana Add Users (figura 12). Utilizar esta venta para localizar y seleccionar usuarios en el directorio.

2. Seleccionar uno o más usuarios del directorio; el/los nuevo/s usuario/s es/son visualizado/s en la ventana Administrators (figura 11).

3. Elegir Apply; el nuevo usuario es agregado como Administrador en la BD en el Oracle Context.

Administrando Mapeadores de Esquema de BD


Un Mapeador permite, a las BD registradas en el directorio, aceptar conexiones de usuarios sin requerir un esquema dedicado para los mismos. Por ejemplo, cuando el usuario local Scott se conecta a una BD, debe existir el esquema llamado Scott --para un acceso exitoso. Esto es difícil de mantener si hay miles de usuarios y quizás cientos de BD en una empresa de gran envergadura.

Los usuarios definidos en un directorio compatible con LDAP no requieren esquemas dedicados en BD (versiones 8i o superior) a las cuales se van a conectar.

Una BD puede usar un mapeador para compartir un esquema entre múltiples usuarios del directorio. El mapeador es un par de valores: la base en el directorio donde existe el usuario, y el nombre del esquema de BD que usará.

Se puede utilizar la ventana Database Schema Mappings para administrar los mapeadores --cuando se selecciona una BD en el árbol principal de la aplicación bajo un Oracle Context. Esta ventana contiene una lista de nombres de esquemas y pares de bases del directorio. (figura 13):

figura 13

Para quitar un mapeador de la lista en un dominio empresarial:

1. Seleccionar un mapeador de la pesataña Database Schema Mapping.2. Elegir Remove. El mapeador es quitado de la lista.3. Elegir Apply; el mapeador es quitado del dominio empresarial.

Para agregar un mapeador a la lista en un dominio empresarial:


1. Elegir Add...; aparece la ventana Add Database Schema Mappings (figura 14):

figura 14

Utilizar esta ventana para localizar y seleccionar una base en el directorio y vincularlo con el nombre de esquema de la BD. Hay dos componentes en la ventana: hay un árbol de búsqueda de directorio donde se selecciona la base, y un campo donde se ingresa el nombre del esquema.

2. Navegar el directorio para seleccionar la entrada deseada como base para el mapeador. Puede ser cualquier entrada, pero debe estar ubicada sobre el subárbol de usuarios a ser mapeados. Se puede editar el contenido del campo Directory Entry para definir manualmente la base.

3. En el campo Schema, ingrese el nombre del esquema para el cual se crea el mapeador, y presione OK. Debe ser un nombre válido, de un esquema que exista en la BD. El nuevo mapeador aparece en la ventana database schema mappings (figura 13).

4. Elegir Apply; el nuevo mapeador es agregado a la BD seleccionada en el Oracle Context.

Administrando Dominios Empresariales

Un Oracle Context contiene al menos un dominio empresarial, llamado OracleDefaultDomain. Este es parte del mismo cuando es creado en el directorio. Cuando una nueva BD es registrada dentro del Oracle Context, automáticamente se convierte un miembro de OracleDefaultDomain en él. Se


puede crear y quitar dominios empresariales, pero no se puede quitar OracleDefaultDomain de un Oracle Context.

Para crear un dominio empresarial en un Oracle Context, utilizar alguno de los siguientes métodos:

Seleccionar Create Enterprise Domain del menú de Operaciones (figura 13).

Seleccionar un Oracle Context del árbol principal de la aplicación con el botón derecho del ratón.

Aparece la ventana Create Enterprise Domain (figura 15):

figura 15

Para crear el nuevo dominio empresarial:

1. Seleccionar el Oracle Context apropiado (figura 15).

Nota:

Si se invoca la ventana Create Enterprise Domain con el botón derecho del ratón sobre el Oracle Context en el árbol principal de la aplicación, el nombre del mismo aparece seleccionado.

2. Ingresar el nombre del nuevo dominio empresarial, en el campo Domain Name.

3. Elegir OK; se crea el nuevo dominio empresarial en el Oracle Context, y aparece en el árbol principal de la aplicación.

Para quitar un dominio empresarial:

1. Seleccionar el dominio desde el árbol principal de la aplicación (figura 13).

2. Utilizar alguno de los siguientes métodos: Seleccionar Remove Enterprise Domain desde el menú de

Operaciones.


Seleccionar un dominio desde el árbol principal de la aplicación con el botón derecho del ratón.

3. OESM pregunta si efectivamente desea quitar el dominio empresarial del Oracle Context; elegir OK para hacerlo.

Nota:

No se puede quitar un dominio empresarial de un Oracle Context si este todavía contiene roles empresariales.

Definiendo Membresías de BD de un Dominio Empresarial

Utilizar el árbol de la aplicación de la ventana principal de OESM para seleccionar un dominio empresarial. Se puede utilizar la pestaña Databases para administrar las membresías de BD de un dominio empresarial en un Oracle Context (figura 16):

figura 16

Para quitar una BD de un dominio empresarial:

1. Seleccione una BD, y elegir Remove...; la BD es quitada de la lista.

2. Elegir Apply; la BD es quitada del dominio empresarial en el Oracle Context.


Para agregar una BD a un dominio empresarial:

Nota:

Solo se puede agregar una BD a un dominio empresarial si, ambos, la BD y el dominio empresarial existen en el mismo Oracle Context. Por consiguiente:

Un dominio empresarial no puede contener una BD de un Oracle Context diferente.

Una BD no puede ser miembro de dos dominios empresariales diferentes.

1. Elegir Add... (figura 16); aparece la ventana Add Databases. La misma lista todas las BD asociadas con el Oracle Context (figura 17):

figura 17

2. Seleccionar una BD para agregarla al dominio empresarial.3. Elegir OK; la BD es agregada a la lista en la pestaña Databases (figura 16).4. Elegir Apply (figura 16); la nueva BD se agrega al dominio empresarial en el

Oracle Context.

Administrando opciones de Seguridad de BD en un Dominio Empresarial

Utilizar la pestaña Databases (figura 16) para administrar las opciones de seguridad de BD aplicables a todas las BD miembros del dominio empresarial. Las opciones son sintetizadas en la siguiente tabla:


Opción Descripción

Enable current user database links

Dos BD solo permiten el uso de esta opción si ambas existen en un dominio empresarial, en el cual dicha opción está habilitada.

User authenticationTodas las BD en un dominio empresarial deben forzar, a los clientes, uno de los siguientes tipos de autenticación:

Solo autenticación Oracle Net SSL usando Oracle Wallets.

Autenticación vía Password u Oracle Net SSL (por defecto).

Gestionando Administradores de Dominios Empresariales

Un Administrador de dominio empresarial es un usuario del directorio con privilegios para modificar el contenido del mismo. Se puede utilizar la pestaña Administrators (figura 11) para gestionarlos, al seleccionar un dominio en un Oracle Context en el árbol principal de la aplicación.

Para quitar un usuario de la lista de Administradores:

1. Seleccionar un usuario de la lista de Administradores.2. Elegir Remove; el usuario es quitado de la lista.3. Elegir Apply; el usuario es quitado del dominio empresarial como

Administrador, en un Oracle Context.

Para agregar un usuario a la lista de Administradores:

1. Elegir Add...; aparece la ventana Add Users. Utilizar esta ventana para localizar y seleccionar usuarios para designarlos como Administradores del dominio empresarial. El/Los usuario/s seleccionado/s aparece/n en la pestaña Administrators.

2. Elegir Apply; el/los nuevo/s Administrador/es es/son agregado/s al dominio empresarial en el Oracle Context.

Administrando Mapeadores de Esquemas de BD de Dominios Empresariales

Como se vió previamente, los mapeadores de esquemas de BD pueden ser administrados por cada BD en un Oracle Context. A su vez, pueden ser definidos por cada dominio empresarial en un Oracle Context, utilizando la pestaña database schema mappings con un dominio empresarial seleccionado en el árbol principal de la aplicación. Estos mapeadores se aplican a todas las BD miembros del dominio. Por lo tanto, cada BD en el dominio debe tener un esquema del mismo nombre que el mapeador para que este sea efectivo en la BD.


figura 18

Para quitar un mapeador de la lista de mapeadores de esquema de BD en el dominio empresarial (figura 18):

1. Seleccionar un mapeador de la lista.2. Elegir Remove; el mapeador es quitado de la lista.3. Elegir Apply; el mapeador es quitado del dominio empresarial.

Para agregar un nuevo mapeador a la lista de mapeadores de esquema de BD en el dominio empresarial (figura 18):

1. Elegir Add...; aparece la ventana Add Database Schema Mappings. Utilizar esta ventana para localizar y seleccionar una base en el directorio para el nuevo mapeador, como se vió previamente.

2. Ingresar el nuevo mapeador al dominio.3. Elegir Apply; se agrega el nuevo mapeador al dominio elegido en el

Oracle Context.

Administrando Roles Empresariales

Un dominio empresarial dentro de un Oracle Context puede contener múltiples roles empresariales. Un rol empresarial es un conjunto de autorizaciones Oracle sobre una o más BD en un dominio empresarial.

Para crear un nuevo rol empresarial:

Se puede crear un rol empresarial en un dominio empresarial desde el menú de Operaciones en la ventana principal de OESM (figura 18), o haciendo click


derecho sobre un dominio empresarial en el árbol principal de la aplicación. En cualquiera de los casos, aparece la ventana Create Enterprise Role (figura 19):

figura 19

1. Elegir el Oracle Context desde la lista; el mismo es el que contiene el dominio empresarial --el cual contendrá el nuevo rol empresarial.

2. Seleccionar el dominio empresarial apropiado para el nuevo rol empresarial, desde la lista Enterprise Domain.

3. Ingresar el nombre del nuevo rol empresarial en el campo Role Name.4. Elegir OK; se crea el nuevo rol empresarial en el dominio empresarial, y

aparece en el árbol principal de la aplicación.

Para quitar un rol empresarial:

1. Seleccionar el rol empresarial desde el árbol principal de la aplicación (figura 18).

2. Elegir Remove Enterprise Role, ya sea desde el menú Operaciones o haciendo click derecho sobre el dominio empresarial en el árbol principal de la aplicación.

3. OESM pregunta por la confirmación para quitar el rol empresarial, elegir Yes.

Asignar membresía de global role de BD a un rol empresarial

Utilizar la pestaña Database Global Roles (figura 20) de la ventana principal de OESM para administrar las membresías de global role de BD en un rol empresarial. La misma lista los nombres de cada global role que pertenece a un rol empresarial, junto con el nombre de la BD en la cual ese rol global existe.


figura 20

Cuando llenamos un rol empresarial con diferentes database roles solo es posible referenciar roles en BD que estén configurados para ser global roles en las mismas. Un global role en una BD es idéntico a un rol normal, excepto que el Administrador de BD ha definido que sea autorizado por el directorio. Un Administrador de BD no puede otorgar o revocar localmente global roles a los usuarios de la BD.

Para quitar un database global role de un rol empresarial:

1. Seleccionar un global role de la lista del árbol principal de la aplicación, y elegir Remove...; el global role es quitado de la lista.

2. Elegir Apply; el global role es quitado del rol empresarial en el dominio empresarial.

Para agregar un global role a un rol empresarial:

1. Elegir Add... (figura 20); aparece la ventana Add Global Database Roles. La misma lista todas las BD en el dominio empresarial --sobre las cuales se pueden agregar global roles a un rol empresarial.

2. Seleccionar una BD para la obtención de global roles. Aparece una ventana de autenticación a la BD (figura 21). Típicamente, es un acceso de DBA a la BD.


figura 21

Nota:

El nombre de la BD aparece en el campo Service por defecto. Se puede usar ese nombre para conectarse a la BD si el ORACLE_HOME tiene LDAP habilitado como método de Oracle Net naming, o si aparece como alias TNS en la configuración local Oracle Net. De otra manera, se puede sobreescribir el contenido del mismo con cualquier otro alias TNS configurado para esa BD, o por un string de conexión con el siguiente formato:

<host>:<port>:<oracle sid>

Ejemplo: cartman:1521:broncos

3. Elegir OK; OESM conecta a la BD dada y busca la lista de los global roles soportados en esa BD. La lista de valores, si existe, es visualizada en la ventana Add Global Database Roles.

4. Seleccionar uno o más global roles de la lista y elegir OK; los mismos aparecen en la ventana Database Global Roles (figura 20).

5. Elegir Apply; el/los nuevo/s global role/s es/son agregado/s al rol empresarial en el dominio empresarial.

Administrando Enterprise Role Grantees

Un enterprise role grantee es un usuario del directorio al que se le ha otorgado un rol empresarial, incluyendo todos los global roles de BD contenidos en el mismo. Se puede utilizar la pestaña Enterprise Users (figura 22) para administrar enterprise role grantees, cuando se selecciona un rol empresarial bajo un dominio empresarial en el árbol principal de la aplicación.


Para quitar un usuario de la lista de enterprise role grantees (figura 22):

1. Seleccionar un usuario de la lista.

2. Elegir Remove; el usuario selecto es quitado de la lista.

3. Elegir Apply; el usuario es quitado del rol empresarial en el dominio empresarial.

Para agregar un usuario a la lista de enterprise role grantees:

1. Elegir Add...; aparece la ventana Add Users (figura 12). Utilizar esta ventana para localizar y seleccionar uno o más usuarios del directorio para agregarlos como enterprise role grantees. El nuevo usuario aparece en la página Enterprise Users (figura 22):

figura 22

2. Elegir Apply; El usuario es agregado al rol empresarial en el dominio empresarial.

Se puede asignar roles empresariales a nuevo usuario empresarial seleccionando al mismo y eligiendo la pestaña Enterprise Role.


Bibliografía:

http://download.oracle.com/docs/cd/B10501_01/network.920/a96573/asoueus.htm

Oracle Enterprise Security Manager

Documents

Transcript of Oracle Enterprise Security Manager