MacDuck,авторПолучил жестокий баттхерт от бесплодных попыток настроить авторизацию оракловых юзеров в AD. Хелп!
dc-oel-tmp.testing.local – сервер БД (OEL, 11.2.0.4)
TESTING-DC.TESTING.LOCAL – Server2008R2, включены все возможные типы шифрования, поставлены все фиксы на предмет KDC
Между серверами FQDN-ресолвы в обе стороны
На стороне AD:
Создан пользователь ssoval c отключенной опцией “Use Kerberos DES Encryption…..” и включенными “Do not require Kerberos PreAuthentication”
Привязываем принципал
C:\Users\Administrator>setspn -A oracle/
dc-oel-tmp.testing.local@TESTING.LOCAL ssoval
Registering ServicePrincipalNames for CN=ssoval,CN=Users,DC=testing,DC=local
oracle/
dc-oel-tmp.testing.local@TESTING.LOCAL
Updated object
Сгенерирован ключ ktpass.exe -princ oracle/
dc-oel-tmp.testing.local@TESTING.LOCAL -mapuser ssoval -crypto RC4-HMAC-NT -pass Test123 -out v5srvtab
Кладем ключ в /etc/v5srvtab на сервер БД
<тикет не надо генерить для сервера>
Проверяем
dc-oel-tmp:~ oracle$ oklist -k
Kerberos Utilities for Linux: Version 11.2.0.4.0 - Production on 10-FEB-2014 15:34:01
Copyright (c) 1996, 2013 Oracle. All rights reserved.
Service Key Table: /etc/v5srvtab
Ver Timestamp Principal
14 01-Jan-1970 03:00:00 oracle/
dc-oel-tmp.testing.local@TESTING.LOCAL
...
dc-oel-tmp:~ oracle$ adapters
Installed Oracle Net transport protocols are:
IPC
BEQ
TCP/IP
SSL
RAW
SDP/IB
Installed Oracle Net naming methods are:
Local Naming (tnsnames.ora)
Oracle Directory Naming
Oracle Host Naming
Oracle Names Server Naming
Installed Oracle Advanced Security options are:
RC4 40-bit encryption
RC4 56-bit encryption
RC4 128-bit encryption
RC4 256-bit encryption
DES40 40-bit encryption
DES 56-bit encryption
3DES 112-bit encryption
3DES 168-bit encryption
AES 128-bit encryption
AES 192-bit encryption
AES 256-bit encryption
MD5 crypto-checksumming
SHA-1 crypto-checksumming
Kerberos v5 authentication
RADIUS authentication
Создаем тестового пользователя
create user aduser IDENTIFIED EXTERNALLY as '
aduser@TESTING.LOCAL';
GRANT CREATE SESSION TO ADUSER;
На стороне AD – пользователь aduser (выключенная опция “Use Kerberos DES Encryption…..”,включенная “Do not require Kerberos PreAuthentication”)
/etc/krb5.conf
[libdefaults]
default_realm = TESTING.LOCAL
ticket_lifetime = 24h
[realms]
TESTING.LOCAL={
kdc = TESTING-DC.TESTING.LOCAL:88
default_domain = testing.local
}
[domain_realm]
.testing.local = TESTING.LOCAL
testing.local = TESTING.LOCAL
[logging]
kdc = FILE:/var/log/krb5/krb5kdc.log
admin_server = FILE:/var/log/krb5/kadmind.log
default = SYSLOG:NOTICE:DAEMON
sqlnet.ora
SQLNET.KERBEROS5_CONF=/etc/krb5.conf
SQLNET.KERBEROS5_KEYTAB=/etc/v5srvtab
SQLNET.KERBEROS5_CONF_MIT=TRUE
SQLNET.AUTHENTICATION_KERBEROS5_SERVICE=oracle
SQLNET.AUTHENTICATION_SERVICES=(BEQ, KERBEROS5)
SQLNET.KERBEROS5_CC_NAME=/tmp/krb5cc_54321
NAMES.DIRECTORY_PATH= (TNSNAMES, EZCONNECT)
ADR_BASE = /u01/oracle/ora11204
DIAG_ADR_ENABLED = OFF
#########################
TRACE_LEVEL_CLIENT = SUPPORT
TRACE_UNIQUE_CLIENT = on
TRACE_LEVEL_SERVER = SUPPORT
TRACE_FILE_CLIENT = client
LOG_FILE_CLIENT = logfile.log
TRACE_FILE_SERVER = server
trace_level_okinit=16
TRACE_DIRECTORY_OKINIT=/u01/oracle/ora11204/network/log
TRACE_FILE_OKINIT=kerb_okinit
SQLNET.KERBEROS5_CLOCKSKEW=57600
Теперь надо настроить клиента. В АД он уже есть. Заводим нового в линуксе:
#useradd aduser
#passwd aduser
настройки оракла для него:
#/home/aduser/network/sqlnet.ora
SQLNET.KERBEROS5_CONF=/etc/krb5.conf
SQLNET.KERBEROS5_CONF_MIT=TRUE
SQLNET.AUTHENTICATION_KERBEROS5_SERVICE=oracle
SQLNET.AUTHENTICATION_SERVICES=(BEQ, KERBEROS5)
SQLNET.KERBEROS5_CC_NAME=/tmp/krb5_client.cc
NAMES.DIRECTORY_PATH= (TNSNAMES, EZCONNECT)
#/home/aduser/network/tnsnames.ora
можно скопировать с сервера как есть
далее логигимся в линукс под aduser
$export TNS_ADMIN=/home/aduser/network
+ PATH, чтобы был с $ORACLE_HOME/bin
$okinit -e 23
aduser@TESTING.LOCAL
Password: -- как указан в АД
$oklist
-- д.б. TGT
$sqlplus /@<TNSNAME>
-- profit
как то так
