Прорабатываю тему - Connecting with Administrator Privileges. На машине где стоит Оракл сервер

remote_login_passwordfile=none в init.ora

sqlnet.authentication_services=(NTS) в sqlnet.ora

Windows user добавлен в группу ORA_DBA

На машине клиента

коннект как простой пользователь работает, то есть tnsnames и net8 настроены правильно.

При коннекте


а так



В чем проблема?

Уточню

Connecting with Administrator Privileges двумя способами

Operating System Authentication
Using Password File Authentication

Для случая Using Password File Authentication все вроде работает.

Для Operating System Authentication делаю все что здесь сказано

Windows NT
1 Create a new local Windows NT users’ group called ORA_<SID>_DBA and
ORA_<SID>_OPER that is specific to an instance, or ORA_DBA and
ORA_OPER that is not specific to an instance.

2 Add a Windows NT operating system user to that group. Once you access this
domain, you are automatically validated as an authorized DBA.

3 Ensure that you have the following line in your sqlnet.ora file:
SQLNET.AUTHENTICATION_SERVICES = (NTS)

4 Set the REMOTE_LOGIN_PASSWORDFILE parameter to NONE.

5 Connect to the database with the privilege SYSDBA or SYSOPER:
CONNECT / AS { SYSDBA|SYSOPER }

Но с удаленного компьютера as sysdba не могу приконнектиться. Или через OS Authentication можно подключаться as sysdba только локально (9.0.1)?

В системный event viewer нахожу следующее

Audit trail: ACTION : 'connect ' OSPRIV : DBA CLIENT USER: straub CLIENT TERMINAL: IBMA22E STATUS: FAILED ( 1031 ) .

no privileged connections are allowed over non-secure connections

Ага уже теплее, теперь хотелось бы точно узнать какие connections Оракл считает non-secure.

Как я понимаю доступ с клиента через локальную сеть /мой случай/ рассматривается как non-secure?

to Al

Если пользователь не в домене, то авторизация пойдет только через passwordfile.

У нас есть домен (NT 2000) и пользователь straub в него входит. При добавлении его в группу ORA_DBA он там выглядит как [our_domain\straub]

На клиенткой машине тоже логинюсь в домен с логином straub.

Что меня озадачивает, так это то что группа ORA_DBA это локальная группа на машине где стоит Oracle Server, может надо создавать тогда доменную группу? Хотя в доке сказано

1 Create a new local Windows NT users’ group called ORA_<SID>_DBA and
ORA_<SID>_OPER that is specific to an instance, or ORA_DBA and
ORA_OPER that is not specific to an instance.

Может это только для случая локального подключения через OS Authentication ?

Авторизация через единый сервер (керберос/радиус/домен NT и т.д.) будет считаться безопасной.

При создании mapped drive с машины клиента (IBMA22E) на машину с Server Oracle в умуте loge нашла

Successful Network Logon:
User Name: IBMA22E$
Domain: XXXXXX
Logon ID: (0x0,0xF019C4)
Logon Type: 3
Logon Process: Kerberos
Authentication Package: Kerberos
Workstation Name:

То есть испольуется по видимому Kerberos. Может надо еще что то указывать в tnsnames на клиенте?

... в event loge нашла

В локальную группу включите доменного пользователя.

Так и есть, там доменный пользователь [our_domain\straub]. Локального с именем straub вообще нет. Может все таки нужно создавать доменную группу ora_dba и туда меня включать?

to SY

A big lot of thanks !!!

Не хватало SQLNET.AUTHENTICATION_SERVICES=(NTS) на клиенте, теперь работает!

PS
SQLNET.AUTHENTICATION_SERVICES=(KERBEROS) с этим не сработало. В доке кстати такое не встречала, точно допустима такая установка?

REMOTE_OS_AUTHENT ведь только для 2обычных" юзеров? См.

REMOTE_OS_AUTHENT specifies whether remote clients will be authenticated with the value of the OS_AUTHENT_PREFIX parameter.

to MA_D

Гглянула бегло в Advanced Security Administrator's Guide, общий принцип стал ясен. Я то думала что достаточно выставить и все

SQLNET.AUTHENTICATION_SERVICES=(KERBEROS)

Kerberos у нас вроде как есть см. тему выше

...
Logon Process: Kerberos
Authentication Package: Kerberos
...

Всем спасибо!

to Al

Я сказала лишь что

коннект как простой пользователь работает, то есть tnsnames и net8 настроены правильно.

Но вину свою признаю, что коннект как простой пользователь работает еще не означает что net8 настроен правильно:-)

to Al

Керберос, входящий в винду отличается от кербероса, который ставится как отдельный сервер авторизации (MS опять облагородил благое начинание). Поэтому (NTS) и (KERBEROS) - две разные вещи.

То есть когда говоришь

SQLNET.AUTHENTICATION_SERVICES=(NTS)

идет аутентификация через виндовый керберос?

А керберос это какая то общая технология? Я думала что это отдельный продукт некой фирмы.

Эти сервера ставятся отдельно со своими настройками. Далее надо смотреть в security guide, что далеко выходит за пределы экзамена и обязанности обычного администратора.

Гглянув бегло в Advanced Security Administrator's Guide я уже это поняла и успокоилась:-)