2013 © Trivadis

BASEL BERN BRUGG LAUSANNE ZÜRICH DÜSSELDORF FRANKFURT A.M. FREIBURG I.BR. HAMBURG MÜNCHEN STUTTGART WIEN

2013 © Trivadis

OUD - Oracle Unified DirectoryArchitektur und Hürden der Implementierung

Manfred Hoppe Trivadis

Abdi Mohammadi Oracle

08.04.2014OUD

1

2013 © Trivadis

AGENDA

Oracle Unified Directory (OUD)

Enterprise User Security (EUS)

Live Demo

OUD Projekte

Erfahrungen

Ausblick

2OUD08.04.2014

2013 © Trivadis

OUDOracle Unified Directory

3OUD08.04.2014

2013 © Trivadis

OUD Aufbau

4OUD

Directory Server

Proxy Server

Replication

08.04.2014

2013 © Trivadis

New Innovation – Oracle Unified Directory

5OUD

Next Generation Oracle Strategic Directory • Strategy is to unify Sun DSEE and OVD• Pure Java based combining virtual directory, meta directory and data storage capability. • OpenDS-based including Oracle Berkeley DB JE with key Oracle additional features• Carrier grade read and write performance easily supporting authentication of billons of users• Easily scales to rapidly add millions of new entries and automatically re-indexes to route requests to servers that

physically holds entries• Ready for in-cloud and on-premise applications• EUS /TNS enabled

Unified Directory

Pro

toco

l H

andl

ing

Naming Context, request filtering, policy, resource limits

Load BalancingProxy

Directory ServicesLDAP

LDAPS

JMXDistributionReplication

Local Backend

Oracle BDB JE

MSFT AD

Novell eDir

OID

Oracle BDB JE

08.04.2014

2013 © Trivadis

OUD Features

6OUD

• Command line and graphical administration interface• Easy and fast installation & configuration• Unlimited multi master replication topology• Virtual Attributes• Attribute Encryption• Load Balancing, Data Partitioning, Join Views• Pass Through Authetication via LDAP or Kerberos (i.e. To Active Directory) • Data Transformation (Attribute / ObjectClass mapping, DN-Renaming)• Custom Plugins• Directory Server and Proxy functionality in a single server instance• Same binary for small to extremeley large deployments in a supported JVM • Tools to easily move an instance from one to another system• Performance Tuning for JVM OOTB

08.04.2014

2013 © Trivadis

OUD as EUS Store

7OUD08.04.2014

2013 © Trivadis

OUD as EUS Proxy: AD with DLL

8OUD08.04.2014

2013 © Trivadis

OUD as EUS Proxy: AD with Kerberos

9OUD08.04.2014

2013 © Trivadis

OUD Performance

10OUD08.04.2014

2013 © Trivadis

OUD Performance

11OUD

OUD 11gR2 PS2 results (X4270 – 10M (4KB entries))

Scenario Revisited OUD KPIs

Import 10M entries (4.4 Kb) >=9200 entries/sec

Export 10M entries (4.4Kb) >=7000 entries/sec

Subtree search (Full entry returned) >= 23000 entries/sec

Authrate (SLAMD) >= 11500 auth/sec

Mod (mod 1 equality indexed attr 8chars) >=2000 mod/sec

32 Cores: Intel(r) Xeon(r) CPU E5-2690 0 @ 2.90GHz

08.04.2014

2013 © Trivadis

OUD Administration

12OUD

Befehlskommandos

Oracle Directory Service ManagerODSM

Scripting

08.04.2014

2013 © Trivadis

Enterprise User Security(EUS)

13OUD08.04.2014

2013 © Trivadis

Enterprise User Security (EUS)

EUS Nutzungskonzept

OUD14

Auflösung von Oracle Net NamesAuflösung von Oracle Net Names• Tnsnames- Einträge

Authentifizierung von globalen BenutzernAuthentifizierung von globalen Benutzern• Private Schemas• Shared Schemas

Enterprise Rollen und UsernEnterprise Rollen und Usern

Enterprise DomainEnterprise Domain

Zentrale Verwaltung von Datenbank Usern & Rollen per Directory Service

08.04.2014

2013 © Trivadis

OUDLive DEMO

15OUD08.04.2014

2013 © Trivadis

OUD ProjekteOracle Net Services / Unix Naming Service

16OUD08.04.2014

2013 © Trivadis

Modernisierung Oracle Net Service

Modernisierung

OUD17

Directory Service für Oracle Net Name Service

Directory Service• LDAP Server

Datenbank• Oracle

Datenbank

08.04.2014

2013 © Trivadis

Modernisierung Oracle Net ServiceAnforderungen

18OUD

• ohne Downtime• geringer Aufwand

Migration

Ausfallsicherheit

Abbildung neuer Sicherheitsbedingungen

Keine betrieblichen Beeinträchtigungen der bisherigen Abläufe

Zentrale und einfache Administration

Erweiterungsmöglichkeiten

08.04.2014

2013 © Trivadis

Modernisierung Oracle Net ServiceAnforderungen

Mig

ratio

nsm

öglic

hkei

ten

Migration OID

Aktuelle OID Version

Datenbankversion 11g

Einführung neuen Directory Service

Neuen Directory Service

Voraussetzung

EUS Kompatibel

19OUD08.04.2014

2013 © Trivadis

Modernisierung Oracle Net ServiceAusgangssituation

Oracle Internet Directory (OID)

• Keine aktuelle Version• Support• Neue Administration

Oracle Datenbanken

• Migration aller Kunden Datenbanken

• Version 11gR2• Supportproblem

20OUD08.04.2014

2013 © Trivadis

Modernisierung Oracle Net ServiceAusgangssituation

Architektur

• LDAP Server• LDAP Replikation• Verzeichnisdatenbank(Oracle

Datenbanken)

Administration

• Oracle Directory Manager

OUD21

OID: Directory Service für Oracle Datenbanken

08.04.2014

2013 © Trivadis

Modernisierung Oracle Net ServiceAusgangssituation

Einsatzgebiet beim Kunden

• Oracle Net Name Service• Einschränkungen

• Einsatz nur für spezielle Domänen• Ein zentraler Verwaltungsbenutzer

22OUD

OID: Directory Service für Oracle Datenbanken

08.04.2014

2013 © Trivadis

Modernisierung Oracle Net ServiceAusgangssituation

23

IAS/OID

Datenbank

Failover Datenbank

Datenbank

Failover Datenbank

LDAP Replikation

IAS/OID

OUD28.01.2014

Konfiguration

• OID- Server 10.1.xxx• Datenbank 10.2..xxx• >3000 Tnsnames- Einträgen

2013 © Trivadis

Naming Services for Solaris/UNIX/Linux

24OUD

Use Central LDAP Directory Server tostore and retrieveSystem Naming information forhosts, passwd, shadow, group, networks, netgroup, RBAC . a.s.o

Name Service: nss_ldap.soAuthentication: pam_ldap.so

Oracle Unified

Directory

LDAP(s)

08.04.2014

2013 © Trivadis

DIT

25OUD

root@solaris:~# cat /var/ldap/ldap_client_file

NS_LDAP_FILE_VERSION= 2.0NS_LDAP_AUTH= simpleNS_LDAP_SEARCH_REF= FALSENS_LDAP_SEARCH_BASEDN= dc=example,dc=comNS_LDAP_CREDENTIAL_LEVEL= proxyNS_LDAP_BIND_TIME= 10NS_LDAP_PROFILE= test_profileNS_LDAP_SEARCH_SCOPE= oneNS_LDAP_SERVERS= 127.0.0.1NS_LDAP_SEARCH_TIME= 30NS_LDAP_CACHETTL= 43200

root@solaris:~# ldapclient init \-a domainName=example.com \

-a proxyDN=cn=proxyagent,ou=profile,dc=example,dc=com \-a profileName=test_profile \-a proxyPassword=Oracle123 \127.0.0.1

08.04.2014

2013 © Trivadis

DIT

26OUD

root@solaris:~# ldaplist -l passwddn: uid=test1,ou=people,dc=example,dc=com

objectClass: posixAccountobjectClass: topuid: test1cn: test1loginShell: /bin/bashgecos: Test User for Native LDAPuserPassword: {SSHA}gVpsEnJ0p6cle/zUcIxAY1mCxyAR77troYNkqw==homeDirectory: /home/test1uidNumber: 1001gidNumber: 5000

root@solaris:~# ldaplist -l group dn: cn=group1,ou=group,dc=example,dc=com

objectClass: posixGroupobjectClass: topgidNumber: 5000memberUid: test1cn: group1

08.04.2014

2013 © Trivadis

Entscheidung

27OUD08.04.2014

2013 © Trivadis

Entscheidung für OUD

OUD28

Klein und Leicht zu InstallierenKlein und Leicht zu Installieren

Einfache Bedienung durch Kommando und GUIEinfache Bedienung durch Kommando und GUI

Ausgereifte Multimaster ReplikationAusgereifte Multimaster Replikation

Eingebettet DatenbankEingebettet Datenbank

Enterprise User Security (EUS) Implementation Enterprise User Security (EUS) Implementation

08.04.2014

2013 © Trivadis

Erfahrungen

29OUD08.04.2014

2013 © Trivadis

Erfahrungen

30OUD

• Einfache Handhabung

• Genaue BeschreibungEinfache , Flexible

Installation

• Kein Migrationspfad OIDOUD• Individuelle LösungMigration

• Nur aktuelle Version benutzenOUD / EUS

08.04.2014

2013 © Trivadis

Erfahrungen

• Unterschiede !!!• OUD / OID Befehlssyntax

• Befehlssyntax der älteren Versionen stimmen nichtLiteratur

• Leichte anpassbares Scripting des Befehlsumfangs

Automatisierung per Scripting

• Konfiguration beachten• Stark automatisiertReplikation

31OUD08.04.2014

2013 © Trivadis

Erfahrungen

• Individuell• leichte Anpassungen

Übernahme der tnsnames- Einträge

• Wünschenswert• Anpassung von OUD FunktionalitätenEUS

• Probleme mit Scripting• Nur per ODSMEUS erstellen

• Database- Dateien default mit Blanks, Anpassung per PropertiesDateibenennung

32OUD08.04.2014

2013 © Trivadis

Erfahrungen

• Default Werte zum Start / Tests• Vergrößern bei produktiver UmgebungSizing

• cn= Directory Manager• Achtung ‚blank‘ , kann problematisch werden

Default Root

• Nicht soviel DatenbankenBackends

33OUD08.04.2014

2013 © Trivadis

Erfahrungen

• JVM Defaults (IBM JDK , Oracle JDK ..)• Unsichere Ciphers entfernen

SSL Zertifikate

+ Protokolle

• ldapclient bindet sich als anonymous und proxyagent braucht einige Berechtigungen

ACLs für NamingService wichtig

34OUD

• Hashing algorithm für userPasswordAttribute : crypt, SHA, SSHA …

pam_unix vspam_ldap

08.04.2014

2013 © Trivadis

Ausblick

35OUD08.04.2014

2013 © Trivadis

Ausblick

Upgrade

Neue OUD Version• OUD11gR2PS2 • Neue ODSM- Version

Erweiterung der Replikation

Personalisierte Accounts

36OUD08.04.2014

2013 © Trivadis

Weitere Informationen...

37

OUD- Übersicht:

http://www.oracle.com/technetwork/middleware/id-mgmt/overview/oud-433568.html

Dokumentation:

http://docs.oracle.com/cd/E37116_01/index.htm

http://docs.oracle.com/cd/E49437_01/admin.111220/e22648/toc.htm

28.012014OUD08.04.2014

2013 © Trivadis

BASEL BERN BRUGG LAUSANNE ZÜRICH DÜSSELDORF FRANKFURT A.M. FREIBURG I.BR. HAMBURG MÜNCHEN STUTTGART WIEN

Fragen und Antworten...

2013 © Trivadis

Manfred Hoppe

Senior Consultant

Tel. +49 162 295 9639

manfred.hoppe@trivadis.com

OUD

Abdi Mohammadi

Principal Sales Consultant

Tel. +49 40 89091 624

abdi.mohammadi@oracle.com

08.04.2014