2013 © Trivadis

BASEL BERN BRUGG LAUSANNE ZÜRICH DÜSSELDORF FRANKFURT A.M. FREIBURG I.BR. HAMBURG MÜNCHEN STUTTGART WIEN

2013 © Trivadis

OUD - Oracle Unified Directory Migrationsprojekt beim Kunden

Manfred Hoppe Trivadis

Abdi Mohammadi Oracle

28.01.2014

OUD

1

2013 © Trivadis

AGENDA

Ziel

Anforderungen & Ausgangssituation

Zentrale Unix Naming Service

Enterprise User Security (EUS)

Oracle Unified Directory (OUD)

Erfahrungen & Ausblick

2 OUD

28.01.2014

2013 © Trivadis

Ziel

3

28.01.2014

OUD

2013 © Trivadis

Ziel

Modernisierung

28.01.2014

OUD

4

Directory Service

für Oracle Net

Name Service

Directory

Service

• LDAP Server

Datenbank

• Oracle

Datenbank

2013 © Trivadis

Anforderungen

5 OUD

28.01.2014

2013 © Trivadis

Anforderungen

6 OUD

28.01.2014

• ohne Downtime

• geringer Aufwand

Migration

Ausfallsicherheit

Abbildung neuer Sicherheitsbedingungen

Keine betrieblichen Beeinträchtigungen der bisherigen Abläufe

Zentrale und einfache Administration

Erweiterungsmöglichkeiten

2013 © Trivadis

Anforderungen

Mig

rati

on

smö

glich

keit

en

Migration OID

Aktuelle OID Version

Datenbankversion

11g

Einführung neuen

Directory Service

Neuen Directory

Service

Voraussetzung

EUS Kompatibel

28.01.2o14

7 OUD

2013 © Trivadis

Ausgangssituation

8

28.01.2014

OUD

2013 © Trivadis

Ausgangssituation

Oracle Internet

Directory (OID)

• Keine aktuelle Version

• Support

• Neue Administration

Oracle Datenbanken

• Migration aller Kunden

Datenbanken

• Version 11gR2

• Supportproblem

9

28.01.2014

OUD

2013 © Trivadis

Ausgangssituation

Architektur

• LDAP Server

• LDAP Replikation

• Verzeichnisdatenbank(Oracle

Datenbanken)

Administration

• Oracle Directory Manager

28.01.2014

OUD

10

OID: Directory Service für Oracle Datenbanken

2013 © Trivadis

Ausgangssituation

Einsatzgebiet beim Kunden

• Oracle Net Name Service

• Einschränkungen

• Einsatz nur für spezielle Domänen

• Ein zentraler Verwaltungsbenutzer

11 OUD

28.01.2014

OID: Directory Service für Oracle Datenbanken

2013 © Trivadis

Ausgangssituation

12

IAS/

OID

Datenbank

Failover Datenbank

Datenbank

Failover Datenbank

LDAP Replikation

IAS/

OID

OUD

28.01.2014

Konfiguration

• OID- Server 10.1.xxx

• Datenbank 10.2..xxx

• ca. 3000 Tnsnames- Einträgen

2013 © Trivadis

Zentrale Unix Naming Service

13 OUD

28.01.2014

2013 © Trivadis

Naming Services for Solaris/UNIX/Linux

28.01.2o14

14 OUD

Use Central LDAP Directory Server to

store and retrieve

System Naming information for

hosts, passwd, shadow, group, networks,

netgroup, RBAC . a.s.o

Name Service: nss_ldap.so

Authentication: pam_ldap.so

Oracle

Unified

Directory

LDAP(s)

2013 © Trivadis

DIT

28.01.2o14

15 OUD

root@solaris:~# cat /var/ldap/ldap_client_file

NS_LDAP_FILE_VERSION= 2.0

NS_LDAP_AUTH= simple

NS_LDAP_SEARCH_REF= FALSE

NS_LDAP_SEARCH_BASEDN= dc=example,dc=com

NS_LDAP_CREDENTIAL_LEVEL= proxy

NS_LDAP_BIND_TIME= 10

NS_LDAP_PROFILE= test_profile

NS_LDAP_SEARCH_SCOPE= one

NS_LDAP_SERVERS= 127.0.0.1

NS_LDAP_SEARCH_TIME= 30

NS_LDAP_CACHETTL= 43200

root@solaris:~# ldapclient init \

-a domainName=example.com \

-a proxyDN=cn=proxyagent,ou=profile,dc=example,dc=com \

-a profileName=test_profile \

-a proxyPassword=Oracle123 \

127.0.0.1

2013 © Trivadis

DIT

28.01.2o14

16 OUD

root@solaris:~# ldaplist -l passwd

dn: uid=test1,ou=people,dc=example,dc=com

objectClass: posixAccount

objectClass: top

uid: test1

cn: test1

loginShell: /bin/bash

gecos: Test User for Native LDAP

userPassword: {SSHA}gVpsEnJ0p6cle/zUcIxAY1mCxyAR77troYNkqw==

homeDirectory: /home/test1

uidNumber: 1001

gidNumber: 5000

root@solaris:~# ldaplist -l group

dn: cn=group1,ou=group,dc=example,dc=com

objectClass: posixGroup

objectClass: top

gidNumber: 5000

memberUid: test1

cn: group1

2013 © Trivadis

Enterprise User Security

(EUS)

17 OUD

28.01.2014

2013 © Trivadis

Enterprise User Security (EUS)

EUS Nutzungskonzept

28.01.2014

OUD

18

Auflösung von Oracle Net Names

• Tnsnames- Einträge

Authentifizierung von globalen Benutzern

• Private Schemas

• Shared Schemas

Enterprise Rollen und Usern

Enterprise Domain

Zentrale Verwaltung von DB Usern & Rollen per Directory Service

2013 © Trivadis

Entscheidung

19 OUD

28.01.2014

2013 © Trivadis

Entscheidung für OUD

28.01.2014

OUD

20

Klein und Leicht zu Installieren

Einfache Bedienung durch Kommando und GUI

Ausgereifte Multimaster Replikation

Eingebettet Datenbank

2013 © Trivadis

OUD

Oracle Unified Directory

21 OUD

28.01.2014

2013 © Trivadis

New Innovation – Oracle Unified Directory

28.01.2o14

22 OUD

Next Generation Oracle Strategic Directory

• Strategy is to unify Sun DSEE and OVD

• Pure Java based combining virtual directory, meta directory and data storage capability.

• OpenDS-based including Oracle Berkeley DB JE with key Oracle additional features

• Carrier grade read and write performance easily supporting authentication of billons of users

• Easily scales to rapidly add millions of new entries and automatically re-indexes to route requests to servers that

physically holds entries

• Ready for in-cloud and on-premise applications

• EUS /TNS enabled

Unified Directory

P

roto

co

l

Han

dlin

g

Naming Context, request filtering, policy, resource limits

Load Balancing

Proxy

Directory Services LDAP

LDAPS

JMX

Distribution

Replication

Local

Backend

Oracle BDB JE

MSFT AD

Novell eDir

OID

Oracle BDB JE

2013 © Trivadis

OUD Features

28.01.2o14

23 OUD

• Command line and graphical administration interface

• Easy and fast installation & configuration

• Unlimited multi master replication topology

• Virtual Attributes

• Attribute Encryption

• Load Balancing, Data Partitioning, Join Views

• Pass Through Authetication via LDAP or Kerberos (i.e. To Active Directory)

• Data Transformation (Attribute / ObjectClass mapping, DN-Renaming)

• Custom Plugins

• Directory Server and Proxy functionality in a single server instance

• Same binary for small to extremeley large deployments in a supported JVM

• Tools to easily move an instance from one to another system

• Performance Tuning for JVM OOTB

2013 © Trivadis

OUD as EUS Store

28.01.2o14

24 OUD

2013 © Trivadis

OUD as EUS Proxy: AD with DLL

28.01.2o14

25 OUD

2013 © Trivadis

OUD as EUS Proxy: AD with Kerberos

28.01.2o14

26 OUD

2013 © Trivadis

OUD Performance

28.01.2o14

27 OUD

2013 © Trivadis

OUD Performance

28.01.2o14

28 OUD

OUD 11gR2 PS2 results (X4270 – 10M (4KB entries))

Scenario Revisited OUD KPIs

Import 10M entries (4.4 Kb) >=9200 entries/sec

Export 10M entries (4.4Kb) >=7000 entries/sec

Subtree search (Full entry returned) >= 23000 entries/sec

Authrate (SLAMD) >= 11500 auth/sec

Mod (mod 1 equality indexed attr 8chars) >=2000 mod/sec

32 Cores: Intel(r) Xeon(r) CPU E5-2690 0 @ 2.90GHz

2013 © Trivadis

OUD

Live DEMO

29 OUD

28.01.2014

2013 © Trivadis

Erfahrungen

30 OUD

28.01.2014

2013 © Trivadis

Erfahrungen

31 OUD

28.01.2014

• Einfache Handhabung

• Genaue Beschreibung Einfache , Flexible

Installation

• Kein Migrationspfad OIDOUD

• Individuelle Lösung Migration

• Nur aktuelle Version benutzen OUD / EUS

2013 © Trivadis

Erfahrungen

• Unterschiede !!!

• OUD / OID Befehlssyntax

• Befehlssyntax der älteren Versionen

stimmen nicht Literatur

• Leichte anpassbares Scripting des

Befehlsumfangs

Automatisierung

per Scripting

• Konfiguration beachten

• Stark automatisiert Replikation

32 OUD

28.01.2014

2013 © Trivadis

Erfahrungen

• Individuell

• leichte Anpassungen

Übernahme der

tnsnames- Einträge

• Wünschenswert

• Anpassung von OUD Funktionalitäten EUS

• Probleme mit Scripting

• Nur per ODSM EUS erstellen

• Database- Dateien default mit Blanks Dateibenennung

33 OUD

28.01.2014

2013 © Trivadis

Erfahrungen

• JVM Defaults (IBM JDK , Oracle JDK ..)

• Unsichere Ciphers entfernen

SSL Zertifikate

+ Protokolle

• ldapclient bindet sich als anonymous und

proxyagent braucht einige Berechtigungen

ACIs für Naming

Service wichtig

34 OUD

28.01.2014

• Hashing algorithm für userPassword

Attribute : crypt, SHA, SSHA …

pam_unix vs

pam_ldap

2013 © Trivadis

Ausblick

35 OUD

28.01.2014

2013 © Trivadis

Ausblick

Upgrade

Neue OUD

Version

• OUD11gR2PS2

• Neue ODSM- Version

Erweiterung

der Replikation

Personalisierte

Accounts

36 OUD

28.01.2014

2013 © Trivadis

Weitere Informationen...

37

OUD- Übersicht:

http://www.oracle.com/technetwork/middleware/id-mgmt/overview/oud-433568.html

Dokumentation:

http://docs.oracle.com/cd/E37116_01/index.htm

http://docs.oracle.com/cd/E49437_01/admin.111220/e22648/toc.htm

28.01.2014

OUD

2013 © Trivadis

BASEL BERN BRUGG LAUSANNE ZÜRICH DÜSSELDORF FRANKFURT A.M. FREIBURG I.BR. HAMBURG MÜNCHEN STUTTGART WIEN

Fragen und Antworten...

2013 © Trivadis

Manfred Hoppe

Senior Consultant

Tel. +49 162 295 9639

manfred.hoppe@trivadis.com

OUD

28.01.2014

Abdi Mohammadi

Principal Sales Consultant

Tel. +49 40 89091 624

abdi.mohammadi@oracle.com