oud - oracle unified directory · oud performance 11 oud oud 11gr2 ps2 results (x4270 – 10m (4kb...
TRANSCRIPT
2013 © Trivadis
BASEL BERN BRUGG LAUSANNE ZÜRICH DÜSSELDORF FRANKFURT A.M. FREIBURG I.BR. HAMBURG MÜNCHEN STUTTGART WIEN
2013 © Trivadis
OUD - Oracle Unified DirectoryArchitektur und Hürden der Implementierung
Manfred Hoppe Trivadis
Abdi Mohammadi Oracle
08.04.2014OUD
1
2013 © Trivadis
AGENDA
Oracle Unified Directory (OUD)
Enterprise User Security (EUS)
Live Demo
OUD Projekte
Erfahrungen
Ausblick
2OUD08.04.2014
2013 © Trivadis
OUDOracle Unified Directory
3OUD08.04.2014
2013 © Trivadis
OUD Aufbau
4OUD
Directory Server
Proxy Server
Replication
08.04.2014
2013 © Trivadis
New Innovation – Oracle Unified Directory
5OUD
Next Generation Oracle Strategic Directory • Strategy is to unify Sun DSEE and OVD• Pure Java based combining virtual directory, meta directory and data storage capability. • OpenDS-based including Oracle Berkeley DB JE with key Oracle additional features• Carrier grade read and write performance easily supporting authentication of billons of users• Easily scales to rapidly add millions of new entries and automatically re-indexes to route requests to servers that
physically holds entries• Ready for in-cloud and on-premise applications• EUS /TNS enabled
Unified Directory
Pro
toco
l H
andl
ing
Naming Context, request filtering, policy, resource limits
Load BalancingProxy
Directory ServicesLDAP
LDAPS
JMXDistributionReplication
Local Backend
Oracle BDB JE
MSFT AD
Novell eDir
OID
Oracle BDB JE
08.04.2014
2013 © Trivadis
OUD Features
6OUD
• Command line and graphical administration interface• Easy and fast installation & configuration• Unlimited multi master replication topology• Virtual Attributes• Attribute Encryption• Load Balancing, Data Partitioning, Join Views• Pass Through Authetication via LDAP or Kerberos (i.e. To Active Directory) • Data Transformation (Attribute / ObjectClass mapping, DN-Renaming)• Custom Plugins• Directory Server and Proxy functionality in a single server instance• Same binary for small to extremeley large deployments in a supported JVM • Tools to easily move an instance from one to another system• Performance Tuning for JVM OOTB
08.04.2014
2013 © Trivadis
OUD as EUS Store
7OUD08.04.2014
2013 © Trivadis
OUD as EUS Proxy: AD with DLL
8OUD08.04.2014
2013 © Trivadis
OUD as EUS Proxy: AD with Kerberos
9OUD08.04.2014
2013 © Trivadis
OUD Performance
10OUD08.04.2014
2013 © Trivadis
OUD Performance
11OUD
OUD 11gR2 PS2 results (X4270 – 10M (4KB entries))
Scenario Revisited OUD KPIs
Import 10M entries (4.4 Kb) >=9200 entries/sec
Export 10M entries (4.4Kb) >=7000 entries/sec
Subtree search (Full entry returned) >= 23000 entries/sec
Authrate (SLAMD) >= 11500 auth/sec
Mod (mod 1 equality indexed attr 8chars) >=2000 mod/sec
32 Cores: Intel(r) Xeon(r) CPU E5-2690 0 @ 2.90GHz
08.04.2014
2013 © Trivadis
OUD Administration
12OUD
Befehlskommandos
Oracle Directory Service ManagerODSM
Scripting
08.04.2014
2013 © Trivadis
Enterprise User Security(EUS)
13OUD08.04.2014
2013 © Trivadis
Enterprise User Security (EUS)
EUS Nutzungskonzept
OUD14
Auflösung von Oracle Net NamesAuflösung von Oracle Net Names• Tnsnames- Einträge
Authentifizierung von globalen BenutzernAuthentifizierung von globalen Benutzern• Private Schemas• Shared Schemas
Enterprise Rollen und UsernEnterprise Rollen und Usern
Enterprise DomainEnterprise Domain
Zentrale Verwaltung von Datenbank Usern & Rollen per Directory Service
08.04.2014
2013 © Trivadis
OUDLive DEMO
15OUD08.04.2014
2013 © Trivadis
OUD ProjekteOracle Net Services / Unix Naming Service
16OUD08.04.2014
2013 © Trivadis
Modernisierung Oracle Net Service
Modernisierung
OUD17
Directory Service für Oracle Net Name Service
Directory Service• LDAP Server
Datenbank• Oracle
Datenbank
08.04.2014
2013 © Trivadis
Modernisierung Oracle Net ServiceAnforderungen
18OUD
• ohne Downtime• geringer Aufwand
Migration
Ausfallsicherheit
Abbildung neuer Sicherheitsbedingungen
Keine betrieblichen Beeinträchtigungen der bisherigen Abläufe
Zentrale und einfache Administration
Erweiterungsmöglichkeiten
08.04.2014
2013 © Trivadis
Modernisierung Oracle Net ServiceAnforderungen
Mig
ratio
nsm
öglic
hkei
ten
Migration OID
Aktuelle OID Version
Datenbankversion 11g
Einführung neuen Directory Service
Neuen Directory Service
Voraussetzung
EUS Kompatibel
19OUD08.04.2014
2013 © Trivadis
Modernisierung Oracle Net ServiceAusgangssituation
Oracle Internet Directory (OID)
• Keine aktuelle Version• Support• Neue Administration
Oracle Datenbanken
• Migration aller Kunden Datenbanken
• Version 11gR2• Supportproblem
20OUD08.04.2014
2013 © Trivadis
Modernisierung Oracle Net ServiceAusgangssituation
Architektur
• LDAP Server• LDAP Replikation• Verzeichnisdatenbank(Oracle
Datenbanken)
Administration
• Oracle Directory Manager
OUD21
OID: Directory Service für Oracle Datenbanken
08.04.2014
2013 © Trivadis
Modernisierung Oracle Net ServiceAusgangssituation
Einsatzgebiet beim Kunden
• Oracle Net Name Service• Einschränkungen
• Einsatz nur für spezielle Domänen• Ein zentraler Verwaltungsbenutzer
22OUD
OID: Directory Service für Oracle Datenbanken
08.04.2014
2013 © Trivadis
Modernisierung Oracle Net ServiceAusgangssituation
23
IAS/OID
Datenbank
Failover Datenbank
Datenbank
Failover Datenbank
LDAP Replikation
IAS/OID
OUD28.01.2014
Konfiguration
• OID- Server 10.1.xxx• Datenbank 10.2..xxx• >3000 Tnsnames- Einträgen
2013 © Trivadis
Naming Services for Solaris/UNIX/Linux
24OUD
Use Central LDAP Directory Server tostore and retrieveSystem Naming information forhosts, passwd, shadow, group, networks, netgroup, RBAC . a.s.o
Name Service: nss_ldap.soAuthentication: pam_ldap.so
Oracle Unified
Directory
LDAP(s)
08.04.2014
2013 © Trivadis
DIT
25OUD
root@solaris:~# cat /var/ldap/ldap_client_file
NS_LDAP_FILE_VERSION= 2.0NS_LDAP_AUTH= simpleNS_LDAP_SEARCH_REF= FALSENS_LDAP_SEARCH_BASEDN= dc=example,dc=comNS_LDAP_CREDENTIAL_LEVEL= proxyNS_LDAP_BIND_TIME= 10NS_LDAP_PROFILE= test_profileNS_LDAP_SEARCH_SCOPE= oneNS_LDAP_SERVERS= 127.0.0.1NS_LDAP_SEARCH_TIME= 30NS_LDAP_CACHETTL= 43200
root@solaris:~# ldapclient init \-a domainName=example.com \
-a proxyDN=cn=proxyagent,ou=profile,dc=example,dc=com \-a profileName=test_profile \-a proxyPassword=Oracle123 \127.0.0.1
08.04.2014
2013 © Trivadis
DIT
26OUD
root@solaris:~# ldaplist -l passwddn: uid=test1,ou=people,dc=example,dc=com
objectClass: posixAccountobjectClass: topuid: test1cn: test1loginShell: /bin/bashgecos: Test User for Native LDAPuserPassword: {SSHA}gVpsEnJ0p6cle/zUcIxAY1mCxyAR77troYNkqw==homeDirectory: /home/test1uidNumber: 1001gidNumber: 5000
root@solaris:~# ldaplist -l group dn: cn=group1,ou=group,dc=example,dc=com
objectClass: posixGroupobjectClass: topgidNumber: 5000memberUid: test1cn: group1
08.04.2014
2013 © Trivadis
Entscheidung
27OUD08.04.2014
2013 © Trivadis
Entscheidung für OUD
OUD28
Klein und Leicht zu InstallierenKlein und Leicht zu Installieren
Einfache Bedienung durch Kommando und GUIEinfache Bedienung durch Kommando und GUI
Ausgereifte Multimaster ReplikationAusgereifte Multimaster Replikation
Eingebettet DatenbankEingebettet Datenbank
Enterprise User Security (EUS) Implementation Enterprise User Security (EUS) Implementation
08.04.2014
2013 © Trivadis
Erfahrungen
29OUD08.04.2014
2013 © Trivadis
Erfahrungen
30OUD
• Einfache Handhabung
• Genaue BeschreibungEinfache , Flexible
Installation
• Kein Migrationspfad OIDOUD• Individuelle LösungMigration
• Nur aktuelle Version benutzenOUD / EUS
08.04.2014
2013 © Trivadis
Erfahrungen
• Unterschiede !!!• OUD / OID Befehlssyntax
• Befehlssyntax der älteren Versionen stimmen nichtLiteratur
• Leichte anpassbares Scripting des Befehlsumfangs
Automatisierung per Scripting
• Konfiguration beachten• Stark automatisiertReplikation
31OUD08.04.2014
2013 © Trivadis
Erfahrungen
• Individuell• leichte Anpassungen
Übernahme der tnsnames- Einträge
• Wünschenswert• Anpassung von OUD FunktionalitätenEUS
• Probleme mit Scripting• Nur per ODSMEUS erstellen
• Database- Dateien default mit Blanks, Anpassung per PropertiesDateibenennung
32OUD08.04.2014
2013 © Trivadis
Erfahrungen
• Default Werte zum Start / Tests• Vergrößern bei produktiver UmgebungSizing
• cn= Directory Manager• Achtung ‚blank‘ , kann problematisch werden
Default Root
• Nicht soviel DatenbankenBackends
33OUD08.04.2014
2013 © Trivadis
Erfahrungen
• JVM Defaults (IBM JDK , Oracle JDK ..)• Unsichere Ciphers entfernen
SSL Zertifikate
+ Protokolle
• ldapclient bindet sich als anonymous und proxyagent braucht einige Berechtigungen
ACLs für NamingService wichtig
34OUD
• Hashing algorithm für userPasswordAttribute : crypt, SHA, SSHA …
pam_unix vspam_ldap
08.04.2014
2013 © Trivadis
Ausblick
35OUD08.04.2014
2013 © Trivadis
Ausblick
Upgrade
Neue OUD Version• OUD11gR2PS2 • Neue ODSM- Version
Erweiterung der Replikation
Personalisierte Accounts
36OUD08.04.2014
2013 © Trivadis
Weitere Informationen...
37
OUD- Übersicht:
http://www.oracle.com/technetwork/middleware/id-mgmt/overview/oud-433568.html
Dokumentation:
http://docs.oracle.com/cd/E37116_01/index.htm
http://docs.oracle.com/cd/E49437_01/admin.111220/e22648/toc.htm
28.012014OUD08.04.2014
2013 © Trivadis
BASEL BERN BRUGG LAUSANNE ZÜRICH DÜSSELDORF FRANKFURT A.M. FREIBURG I.BR. HAMBURG MÜNCHEN STUTTGART WIEN
Fragen und Antworten...
2013 © Trivadis
Manfred Hoppe
Senior Consultant
Tel. +49 162 295 9639
OUD
Abdi Mohammadi
Principal Sales Consultant
Tel. +49 40 89091 624
08.04.2014