Cómo configurar Oracle Centrally Managed Users (CMU) autenticando a Microsoft Active Directory mediante Kerberos en RAC. Parte 2

Creacion usuarios CMU autenticando por KerberosParte 1

Una vez hemos comprobado que accedemos por kerberos, vamos a configurar CMU.

Para ello que necesitamos?

  • Configurar la wallet

  • Configurar certificado AD

  • Crear usuarios CMU en AD

Para ello comenzamos por la configuración de la wallet:


-- Creo directorio por defecto

SQL> select guid,name from v$pdbs;

                               GUID          NAME
___________________________________ _____________
13B42FA943345226E0630BA1A8C0978D    PDB$SEED
13B47CF809284BC3E0630DA1A8C006C2    pdbtest


-- Ambos nodos
mkdir -p /u01/app/oracle/admin/cdbtest/13B47CF809284BC3E0630DA1A8C006C2/wallet


-- Copio certificado. Lo tengo en local :)

scp root.cert  oracle@nodotest001.dominio.local:/u01/app/oracle/admin/cdbtest/13B47CF809284BC3E0630DA1A8C006C2/wallet
scp root.cert  oracle@nodotest002.dominio.local:/u01/app/oracle/admin/cdbtest/13B47CF809284BC3E0630DA1A8C006C2/wallet


-- Create an auto-login wallet en cada nodo

cd /u01/app/oracle/admin/cdbtest/13B47CF809284BC3E0630DA1A8C006C2/wallet

-- nodo 1
orapki wallet create -wallet . -auto_login
mkstore -wrl . -createEntry ORACLE.SECURITY.USERNAME oracle_ractest-001
mkstore -wrl . -createEntry ORACLE.SECURITY.DN cn=oracle_ractest-001,ou=ou_definida,dc=dominio,dc=local
mkstore -wrl . -createEntry ORACLE.SECURITY.PASSWORD ****************

orapki wallet add -wallet . -trusted_cert -cert root.cert
orapki wallet display -wallet .


[oracle@oracle_ractest-001 wallet]$ orapki wallet display -wallet .
Oracle PKI Tool Release 19.0.0.0.0 - Production
19.4.0.0.0: Versión {1}
Copyright (c) 2004, 2023, Oracle y/o sus subsidiarias. Todos los Derechos Reservados.

Requested Certificates:
User Certificates:
Entradas de Oracle Secret Store:
ORACLE.SECURITY.DN
ORACLE.SECURITY.PASSWORD
ORACLE.SECURITY.USERNAME
Trusted Certificates:
Subject:        CN=CA-PRUEBA-001,DC=dominio,DC=local


[oracle@nodotest001 wallet]$ mkstore -wrl . -viewEntry ORACLE.SECURITY.DN -viewEntry ORACLE.SECURITY.PASSWORD -viewEntry ORACLE.SECURITY.USERNAME

Oracle Secret Store Tool Release 19.0.0.0.0 - Production
19.4.0.0.0: Versión {1}
Copyright (c) 2004, 2023, Oracle y/o sus subsidiarias. Todos los Derechos Reservados.

Introducir Contraseña de Cartera:
ORACLE.SECURITY.DN = cn=oracle_ractest-001,ou=ou_definida,dc=doninio,dc=local
ORACLE.SECURITY.PASSWORD = ***************
ORACLE.SECURITY.USERNAME = oracle_ractest-001

-- nodo 2

orapki wallet create -wallet . -auto_login
mkstore -wrl . -createEntry ORACLE.SECURITY.USERNAME oracle_ractest-002
mkstore -wrl . -createEntry ORACLE.SECURITY.DN cn=oracle_ractest-002,ou=ou_definida,dc=dominio,dc=local
mkstore -wrl . -createEntry ORACLE.SECURITY.PASSWORD **********

orapki wallet add -wallet . -trusted_cert -cert root.cert



[oracle@rac-acn-002 wallet]$ orapki wallet display -wallet .
Oracle PKI Tool Release 19.0.0.0.0 - Production
19.4.0.0.0: Versión {1}
Copyright (c) 2004, 2023, Oracle y/o sus subsidiarias. Todos los Derechos Reservados.

Requested Certificates:
User Certificates:
Entradas de Oracle Secret Store:
ORACLE.SECURITY.DN
ORACLE.SECURITY.PASSWORD
ORACLE.SECURITY.USERNAME
Trusted Certificates:
Subject:        CN=CA-PRUEBA-001,DC=dominio,DC=local


mkstore -wrl . -viewEntry ORACLE.SECURITY.DN -viewEntry ORACLE.SECURITY.PASSWORD -viewEntry ORACLE.SECURITY.USERNAME
Oracle Secret Store Tool Release 19.0.0.0.0 - Production
19.4.0.0.0: Versión {1}
Copyright (c) 2004, 2023, Oracle y/o sus subsidiarias. Todos los Derechos Reservados.

Introducir Contraseña de Cartera:
ORACLE.SECURITY.DN = cn=oracle_ractest-002,ou=ou_definida,dc=dominio,dc=local
ORACLE.SECURITY.PASSWORD = **********
ORACLE.SECURITY.USERNAME = oracle_ractest-002

Configuración en BBDD:

-- A nivel de CDB que heredan las PDBS, en mi caso aplica
ALTER SYSTEM SET LDAP_DIRECTORY_ACCESS = 'PASSWORD' sid='*' scope=both;

Ahora creamos el fichero dsi en ambos nodos:

-- Crear fichero dsi ambos nodos
cat $ORACLE_HOME/network/admin/dsi.ora

DSI_DIRECTORY_SERVERS = (CA-PRUEBA-001.dominio.LOCAL:389:636)
DSI_DEFAULT_ADMIN_CONTEXT = "OU=ou_definida,DC=dominio,DC=local"
DSI_DIRECTORY_SERVER_TYPE = AD

En la tercera parte nos centraemos en integrar los usuarios de AD con los usuarios en BBDD.