|
Введение:
Ldap в терминологии Oracle - это Oracle Internet Directory
(OID). Это важно запомнить во первых потому что в статьях часто путаю эти термины,
во вторых почти никто из людей далеких от продуктов Oracle
иначе Вас не поймет. Дальше
я очень схематично изложу для чего это Oracle.
Предположим, у Вас масса баз данных, и в них
масса пользователей. И Вам хочется иметь
для всех этих баз данных единое место
управления паролями и привилегиями. Тогда
Вам подходит OID. Как это работает. Раз привилегий
пользователя теперь нет в БД, то
оптимизатор не может проверить может ли
этот пользователь выполнять этот запрос. Единственным
выходом из этого тупика является ситуация
когда привилегии все таки в базе.
Классическая задача о курице и яйце !:)). И
вот решение :)). Вы реально заводите схему (называется
глобальная схема), под которой будут
входить в БД все прочие. Это значит, что
всем тем кто заведен в OID сопоставляется
некоторая реальная схема из БД, под которой
они и начинают дальше ходить. Более того,
после входа в БД, show user показывает не
реальное имя, а именно имя глобальной схемы. Заведение
глобальных пользователей и ролей: SQL>create
user dsvolk identified globally as ''
Ссылки :
Схема работы:
Итак у нас есть БД и Ldap. Между ними
передается критическая информация типа
паролей, ролей. Поэтому важно чтобы
происходила аутенфикация и сервера и базы
данных. Для этого используется SSL. Т.е. БД
является как бы клиентом сервера OID, который
выполняет запросы и получает ответы. Для
того чтобы все это работало нужны user ceritificate
и trusted certificate. Со временем, Oracle меняет свое
мнение, откуда нужно брать эти сертификаты.
Сначала это был verisign, потом twelwe. Сейчас (9.2)
эти пути не работают. Я проверил что
работают сертификаты полученные с помощью openssl
или Microsoft CA.
Версии, платформы,
совместимость:
На платформе Windows есть несколько стандартных
граблей, которые переползают из версии в
версию, и на них уже никто не обращает
внимания.
- Listener и Instance должны быть запущены под
управлением одного пользователя, иначе
не открывается wallet файл.
- Нужно исправлять ldap схему поставляемую
по умолчанию.
Это также
последняя версия Oracle где поддерживалась
прямая работа с Novell Directory. С тех пор
платформа Novell не поддерживается.
Описание установки для
8.1.7 for Windows . Что
следует прочитать перед установкой.
9.1 - Это реально сейчас работающая
версия, поскольку именно она используется в
IAS версии 9.0.2. С ней наименьшие число проблем.
Здесь комментарии АК.
9.2 - свеженькая версия. Описание
установки на Sun Solaris. У меня все еще не
работает. Очевидно слишком свежая...
Все остальные LDAP
- Microsoft Active Directory - друг по жизни и
поддерживается напрямую во всех версиях.
Т.е. можно авторизоваться в Oracle через AD.
Верю, но у меня не вышло. К том жу по крайне
мере на этапе инсталляции требуется
обязательно windows машина. Может быть
дальше unix хосты и будут авторизоваться..
Теперь обещают
также синхронизовать данные в AD и OID,
вплоть до паролей (в 9.0.4)
- Novell eDirectory - напрямую уже нет (см. выше).
Только через его специальный механизм
репликации данных. Вроде как данные в OID
закинуть можно, но пароли при этом не
передаются !!!! (это информация от novell russia).
Больше пока ничего не знаю.
- IPlanet - судя по документации,
поддерживается напрямую начиная с версии
9.2. Читать как
синхронизовать данные OID с LDAP.
|
