Académique Documents
Professionnel Documents
Culture Documents
Gonzalo Nazareno
2011
Autenticación LDAP - ORACLE 2011
Índice
2
Autenticación LDAP - ORACLE 2011
¿Qué conseguiremos?
Con esto tendremos a nuestra disposición básicamente el servicio de directorio, sin
aplicaciones que lo gestionen. Tendrá que ser administrado por aplicaciones externas a Oracle,
como por ejemplo Apache Directory Studio.
Pre-requisitos y preparación
Para comenzar, necesitamos instalar las siguientes aplicaciones:
Oracle Enterprise Database 11g .- Será el sistema gestor de bases de datos que utilizaremos y
sobre el que implantaremos nuestro servicio de directorio.
Oracle Identity Management 11g .- Incluye Internet Directory que entre otras funciones
proporcionará el servicio de directorio siguiendo el estándar LDAP v3.
Todos los componentes son descargables desde la sección de descargas de la web oficial de
Oracle:
http://www.oracle.com/technetwork/indexes/downloads/index.html
3
Autenticación LDAP - ORACLE 2011
Instalación de Oracle Internet Directory sin dominio WebLogic
Para comenzar nos aseguramos de que tenemos instalado Oracle Database.
Una vez hecho esto, ejecutamos el instalador y nos abrirá la siguiente pantalla:
En ella nos informa de que vamos a proceder con la instalación de Identity Management y
donde podemos encontrar más información además de su licencia. Una vez leído hacemos clic
en Siguiente.
Seleccionamos Instalar y Configurar para aprovechar la ayuda que nos ofrece el asistente del
instalador. Hacemos clic en Siguiente.
4
Autenticación LDAP - ORACLE 2011
El asistente nos hará un chequeo de los recursos de nuestro sistema. Si no disponemos entre
otras cosas de 1 GB de memoria RAM, nos lo informaría en este paso. Hacemos clic en
Siguiente.
5
Autenticación LDAP - ORACLE 2011
En esta pantalla nos pregunta dónde tenemos instalados los componentes de Oracle Database
y donde vamos a querer instalar la instancia de Oracle que utilizará Identity Management. Si la
instalación de Oracle DB se realizó con éxito no hará falta modificar nada, haremos clic en
Siguiente.
Puesto que no disponemos de una licencia ni somos Partners de Oracle, indicamos que no
queremos obtener soporte ni información de futuras actualizaciones por correo electrónico.
Siguiente.
6
Autenticación LDAP - ORACLE 2011
Seleccionamos los componentes a instalar. En este caso, Oracle Internet Directory y haríamos
clic en Siguiente. Aunque aparezca marcado también Oracle Virtual Directory, podríamos
obviarlo ya que no nos hará falta.
7
Autenticación LDAP - ORACLE 2011
En la siguiente pantalla que nos aparece tendremos que elegir entre crear nuestro esquema o
utilizar uno existente. Puesto que la base de datos sobre la que estamos montando OID está
“virgen” seleccionamos Crear Esquema. Nos pedirá un usuario con rol DBA que utilizará para
crear todos los objetos necesarios. Clic en Siguiente.
Introducimos las contraseñas de cada uno de los esquemas de OID (ODS y ODSSM) y hacemos
clic en Siguiente.
8
Autenticación LDAP - ORACLE 2011
Ahora toca elegir dominio. En nuestro caso seleccionamos “dc=example,dc=com” como base.
Además tendremos que elegir una contraseña para el usuario con el que administraremos OID.
Clic en Siguiente.
9
Autenticación LDAP - ORACLE 2011
Una vez instalado, se inicia el proceso de configuración con los parámetros que le hemos
indicado anteriormente.
10
Autenticación LDAP - ORACLE 2011
Instalación de Oracle Internet Directory con dominio WebLogic
Este tipo de instalación es bastante más compleja que la anterior, puesto que debemos
instalar también componentes ajenos a Identity Management, para que éste se pueda integrar
en un dominio administrado por WebLogic.
Una vez descargado el ejecutable, lo lanzamos, y nos aparecerá una pantalla de bienvenida.
11
Autenticación LDAP - ORACLE 2011
Seguidamente nos aparecerá la típica pantalla que está presente en todas las instalaciones de
Oracle en la que se nos solicita la dirección de correo para recibir actualizaciones, etc.
12
Autenticación LDAP - ORACLE 2011
Ahora marcamos lo que queremos instalar, en nuestro caso hemos desmarcado la opción de
server examples, para aligerar el peso de la máquina virtual.
A continuación elegimos los JDK que vamos a instalar. En nuestro caso no vamos a modificar
ninguno de los valores que vienen por defecto.
13
Autenticación LDAP - ORACLE 2011
En la siguiente pantalla, escogemos los directorios en lo que se intalarán los productos.
Nuevamente, no vamos a modificar ningún valor.
14
Autenticación LDAP - ORACLE 2011
Ya en el penúltimo paso antes de iniciar la instalación, escogemos a que usuarios del sistema
les va a crear los métodos abreviados. Como podemos observar en la captura, hemos marcado
“todos los usuarios”.
15
Autenticación LDAP - ORACLE 2011
Por fin!!! Ahora comenzará la instalación.
Una vez instalado weblogic, procederemos a instalar una librería llamada JRF, la cual
obtendremos beneficiándonos de la instalación de Oracle JDeveloper.
16
Autenticación LDAP - ORACLE 2011
Oracle JDeveloper es un entorno integrado de desarrollo que simplifica el desarrollo de
aplicaciones SOA basadas en Java y las interfaces de usuario con soporte para el ciclo de vida
de desarrollo completo.
17
Autenticación LDAP - ORACLE 2011
Seleccionamos lo que quermos instalar.
18
Autenticación LDAP - ORACLE 2011
Vemos los directorios en los que se va a instalar el paquete.
Resumen de la instalación.
19
Autenticación LDAP - ORACLE 2011
Comienzo de la instalación.
Finalización de la instalación.
20
Autenticación LDAP - ORACLE 2011
Instalación de OID con dominio Weblogic.
Puesto que muchos de los pasos de la instalación son comentados en la versión sin dominio,
vamos a centrarnos en las diferencias para no extendernos demasiado.
Una de las principales diferencias es a la hora de crear el dominio, donde antes le decíamos
que se configurase sin él, ahora le indicamos que cree uno nuevo usando el usuario
privilegiado de Weblogic Server.
21
Autenticación LDAP - ORACLE 2011
Prácticamente, estos son los cambios más importantes. Ya que los restantes son idénticos a los
descritos en la instalación de OID sin dominio. El siguiente paso es el de conectar con OID.
Host: windows
Protocolo: LDAP v3
Puerto: 3060
Base: dc=example,dc=com
Usuario: orcladmin
Pass: *********
Puesto que OID trabaja con el estándar de directorio es totalmente compatible con todas las
herramientas de administración de directorio.
De tal forma que podemos utilizar herramientas externas a Oracle para administrar OID.
http://windows:7005/odsm/faces/odsm.jspx
Donde “windows” es nuestro host y 7005 es el puerto en el que WebLogic nos sirve la web de
administración.
22
Autenticación LDAP - ORACLE 2011
Una vez ingresada la URL nos encontramos con la siguiente pantalla:
Aparentemente no nos ofrece una interfaz muy compleja pero esto se debe a que previamente
tenemos que conectarnos a nuestro servicio de directorio. Para ello hacemos clic en el símbolo
que hay justo al lado del reloj en la parte superior de la interfaz. En la siguiente imagen
podemos verlo mejor:
23
Autenticación LDAP - ORACLE 2011
Si hacemos clic en “Crear Nueva Conexión” se nos abrirá una nueva ventana en la que
podremos ingresar los datos necesarios para crear el enlace a nuestro directorio.
Una vez creada la conexión, nos aparecerá la siguiente pantalla, en la que podemos ver las
diferentes secciones del panel de administración.
24
Autenticación LDAP - ORACLE 2011
Secciones del panel de administración de la consola web:
Explorador de Datos.
Esquema.
Seguridad.
Avanzada.
Explorador de Datos.
Nos ofrece la posibilidad de crear, copiar y eliminar objetos directamente del directorio.
Esquema.
25
Autenticación LDAP - ORACLE 2011
Seguridad.
En esta sección podremos modificar los privilegios que tienen los usuarios sobre otros objetos
del directorio, además de las políticas de contraseñas y las restricciones mínimas de fortaleza.
Avanzada.
Nos permite realizar operaciones más complejas como la de conectar nuestro OID con otro
servicio de directorio de una tecnología diferente como puede ser un Directorio Activo de
Windows.
26
Autenticación LDAP - ORACLE 2011
Administración de OID mediante aplicaciones externas
En este caso veremos un ejemplo de administración a bajo nivel.
Para ello vamos a utilizar una herramienta llamada Apache Directory Studio la cual podemos
descargar desde su web oficial:
http://directory.apache.org/studio/downloads.html
Ingresamos los datos necesarios, en este caso el nombre de host, el puerto y tipo de
autenticación.
27
Autenticación LDAP - ORACLE 2011
Cuando lo hayamos introducido, hacemos clic en Check Network Parameter y verificamos que
los parámetros de red sean correctos. Una vez hecho esto cliqueamos en Next.
Volverá a aparecer una pantalla similar en la que se nos pide que introduzcamos el usuario y la
contraseña con el que nos conectaremos. Verificamos la autenticación haciendo clic en Check
Authentication y ya hemos terminado de configurar la conexión.
28
Autenticación LDAP - ORACLE 2011
Si buscamos, por ejemplo la información del usuario con el que nos conectamos,
comprobamos que dispone de atributos y object class totalmente estándares como
InetOrgPerson y Person.
Nos damos cuenta de que también dispone de atributos totalmente compatibles con sistemas
Unix, lo que nos da la posibilidad de crear no solo un sistema centralizado de cuentas de BD
sino que también nos brinda todas las posibilidades que nos ofrece un servicio de directorio
estándar.
Podemos ver que dispone de varios tipos de HASH de contraseñas, entre ellos un atributo uid y
un atributo userpassword que además contiene un HASH del tipo SSHA, lo que nos
proporciona automáticamente una posibilidad de centralizar usuarios de máquinas UNIX sin
necesidad de realizar muchos cambios en la estructura del directorio.
29
Autenticación LDAP - ORACLE 2011
Autenticación de Oracle Database con usuarios de Oracle Internet
Directory
Antes de comenzar con éste apartado, dejaremos claro que NO hemos podido conseguir una
autenticación de este tipo, por lo que explicaremos el proceso de configuración hasta el punto
en el que hemos podido llegar.
Básicamente existen dos archivos a modificar para conseguir este tipo de autenticación.
LDAP.ORA – En el que debemos añadir la configuración necesaria para que Oracle se conecte
con el servidor LDAP.
30
Autenticación LDAP - ORACLE 2011
Una vez hecho esto, la conexión se realizaría insertando el usuario de una de las siguientes
formas:
connect <usuario>@<dominio>
connect <usuario>/<password>@<dominio>
Creemos que es posible que falte algún tipo de configuración en un fichero distinto a los
mencionados.
Referencias e información.
http://download.oracle.com/docs/cd/E17904_01/index.htm
En esta página podemos encontrar todo tipo de manuales relacionados con Oracle Fusion
Middelware. Es completísima y está hecha por Oracle. Todo el contenido está en inglés como
en casi todas las páginas medianamente decentes :-p .
31
Autenticación LDAP - ORACLE 2011
http://www.dbasupport.com/oracle/ora11g/
Página de contenido para administradores de base de datos con diversos contenidos. Temas
de seguridad, desarrollo, administración, herramientas, características del rendimiento, desde
las versiones 8i hasta la 11g, así como foros, scripts, documentos técnicos…
http://dbaforums.org/oracle/
Página con más de 50.900 posts a cerca de Oracle, con más de 25.000 miembros. Un foro de lo
más completo.
32
Autenticación LDAP - ORACLE 2011
http://www.dba-village.com/village/dvp_base.main
Sitio para buscar noticias, consejos y trucos, guiones y documentos de interés sobre Oracle,
página de origen europeo (Belga).
http://www.zonaoracle.com/
Comunidad de Oracle en español!!! Parecida a dba fórums pero en español y con un poco
menos de posts.
33
Autenticación LDAP - ORACLE 2011
http://www.dbapool.com/
DBAPool es básicamente un sitio que atienden las necesidades de los administradores de base
de datos, especialmente las personas que utilizan Oracle como base de datos.
http://www.jdeveloperla.com/portal/
Esto es todo, esperamos que les haya servido nuestro documento sobre la implantación y la
autenticación mediante un servicio LDAP en Oracle.
34