Skip to main content
HashnodeCarla Muñoz López

Command Palette

Search for a command to run...

Cómo configurar Oracle Centrally Managed Users (CMU) autenticando a Microsoft Active Directory mediante Kerberos en RAC. Parte 2

Updated
2 min read
Cómo configurar Oracle Centrally Managed Users (CMU) autenticando a Microsoft Active Directory mediante Kerberos en RAC. Parte 2
C
Carla Muñoz López

Mi nombre es Carla y me defino como una apasionada de conocer, compartir ideas, divertirme y aprender todo lo relacionado con Oracle.

Alegre y creativa, con un alto grado de autoexigencia, que busca, incluso sin querer, una forma diferente de ver un mismo problema o solución. Defensora del trabajo en equipo en todas las facetas de la vida y de disfrutar todo lo que haces, siempre con humildad.

Actualmente cuento con más de 15 años de experiencia como administradora de Oracle, habiendo ocupado previamente posiciones como desarrolladora en la rama de Inteligencia de Negocios. Fue en ese momento que me di cuenta de que no quería centrarme en el desarrollo, sino participar en todas las capas que involucraban los datos, desde el despliegue de la base de datos hasta su explotación final.

Siempre estoy dispuesta a ayudar y compartir conocimientos. Creo firmemente que con la tecnología hay que divertirse y no verla como una competencia. La persona con la que tienes que ser el mejor es contigo mismo.

Creacion usuarios CMU autenticando por KerberosParte 1

Una vez hemos comprobado que accedemos por kerberos, vamos a configurar CMU.

Para ello que necesitamos?

  • Configurar la wallet

  • Configurar certificado AD

  • Crear usuarios CMU en AD

Para ello comenzamos por la configuración de la wallet:


-- Creo directorio por defecto

SQL> select guid,name from v$pdbs;

                               GUID          NAME
___________________________________ _____________
13B42FA943345226E0630BA1A8C0978D    PDB$SEED
13B47CF809284BC3E0630DA1A8C006C2    pdbtest


-- Ambos nodos
mkdir -p /u01/app/oracle/admin/cdbtest/13B47CF809284BC3E0630DA1A8C006C2/wallet


-- Copio certificado. Lo tengo en local :)

scp root.cert  oracle@nodotest001.dominio.local:/u01/app/oracle/admin/cdbtest/13B47CF809284BC3E0630DA1A8C006C2/wallet
scp root.cert  oracle@nodotest002.dominio.local:/u01/app/oracle/admin/cdbtest/13B47CF809284BC3E0630DA1A8C006C2/wallet


-- Create an auto-login wallet en cada nodo

cd /u01/app/oracle/admin/cdbtest/13B47CF809284BC3E0630DA1A8C006C2/wallet

-- nodo 1
orapki wallet create -wallet . -auto_login
mkstore -wrl . -createEntry ORACLE.SECURITY.USERNAME oracle_ractest-001
mkstore -wrl . -createEntry ORACLE.SECURITY.DN cn=oracle_ractest-001,ou=ou_definida,dc=dominio,dc=local
mkstore -wrl . -createEntry ORACLE.SECURITY.PASSWORD ****************

orapki wallet add -wallet . -trusted_cert -cert root.cert
orapki wallet display -wallet .


[oracle@oracle_ractest-001 wallet]$ orapki wallet display -wallet .
Oracle PKI Tool Release 19.0.0.0.0 - Production
19.4.0.0.0: Versión {1}
Copyright (c) 2004, 2023, Oracle y/o sus subsidiarias. Todos los Derechos Reservados.

Requested Certificates:
User Certificates:
Entradas de Oracle Secret Store:
ORACLE.SECURITY.DN
ORACLE.SECURITY.PASSWORD
ORACLE.SECURITY.USERNAME
Trusted Certificates:
Subject:        CN=CA-PRUEBA-001,DC=dominio,DC=local


[oracle@nodotest001 wallet]$ mkstore -wrl . -viewEntry ORACLE.SECURITY.DN -viewEntry ORACLE.SECURITY.PASSWORD -viewEntry ORACLE.SECURITY.USERNAME

Oracle Secret Store Tool Release 19.0.0.0.0 - Production
19.4.0.0.0: Versión {1}
Copyright (c) 2004, 2023, Oracle y/o sus subsidiarias. Todos los Derechos Reservados.

Introducir Contraseña de Cartera:
ORACLE.SECURITY.DN = cn=oracle_ractest-001,ou=ou_definida,dc=doninio,dc=local
ORACLE.SECURITY.PASSWORD = ***************
ORACLE.SECURITY.USERNAME = oracle_ractest-001

-- nodo 2

orapki wallet create -wallet . -auto_login
mkstore -wrl . -createEntry ORACLE.SECURITY.USERNAME oracle_ractest-002
mkstore -wrl . -createEntry ORACLE.SECURITY.DN cn=oracle_ractest-002,ou=ou_definida,dc=dominio,dc=local
mkstore -wrl . -createEntry ORACLE.SECURITY.PASSWORD **********

orapki wallet add -wallet . -trusted_cert -cert root.cert



[oracle@rac-acn-002 wallet]$ orapki wallet display -wallet .
Oracle PKI Tool Release 19.0.0.0.0 - Production
19.4.0.0.0: Versión {1}
Copyright (c) 2004, 2023, Oracle y/o sus subsidiarias. Todos los Derechos Reservados.

Requested Certificates:
User Certificates:
Entradas de Oracle Secret Store:
ORACLE.SECURITY.DN
ORACLE.SECURITY.PASSWORD
ORACLE.SECURITY.USERNAME
Trusted Certificates:
Subject:        CN=CA-PRUEBA-001,DC=dominio,DC=local


mkstore -wrl . -viewEntry ORACLE.SECURITY.DN -viewEntry ORACLE.SECURITY.PASSWORD -viewEntry ORACLE.SECURITY.USERNAME
Oracle Secret Store Tool Release 19.0.0.0.0 - Production
19.4.0.0.0: Versión {1}
Copyright (c) 2004, 2023, Oracle y/o sus subsidiarias. Todos los Derechos Reservados.

Introducir Contraseña de Cartera:
ORACLE.SECURITY.DN = cn=oracle_ractest-002,ou=ou_definida,dc=dominio,dc=local
ORACLE.SECURITY.PASSWORD = **********
ORACLE.SECURITY.USERNAME = oracle_ractest-002

Configuración en BBDD:

-- A nivel de CDB que heredan las PDBS, en mi caso aplica
ALTER SYSTEM SET LDAP_DIRECTORY_ACCESS = 'PASSWORD' sid='*' scope=both;

Ahora creamos el fichero dsi en ambos nodos:

-- Crear fichero dsi ambos nodos
cat $ORACLE_HOME/network/admin/dsi.ora

DSI_DIRECTORY_SERVERS = (CA-PRUEBA-001.dominio.LOCAL:389:636)
DSI_DEFAULT_ADMIN_CONTEXT = "OU=ou_definida,DC=dominio,DC=local"
DSI_DIRECTORY_SERVER_TYPE = AD

En la tercera parte nos centraemos en integrar los usuarios de AD con los usuarios en BBDD.

#oracle#cmu#kerberos

Comments

Join the discussion

No comments yet. Be the first to comment.

More from this blog

Carla Muñoz López

65 posts

Soy DBA senior de bases de datos Oracle y me defino como una persona alegre y creativa. Apasionada por conocer, compartir ideas, divertirme y seguir aprendiendo todo lo relacionado con Oracle.