|
Oracle Enterprise Manager Cloud Control 12c: Mehr Sicherheit durch detailliertere Anmelderechte
von Ralf Durben, Oracle Deutschland B.V. & Co. KG
|
|
Oracle Enterprise Manager Cloud Control 12c ist eine zentrales Werkzeug zur Verwaltung vieler Systeme. In einer Gruppe von EM Benutzern darf nicht jeder auf jedes Zielsystem zugreifen. Aus diesem Grund kann man auch schon in Grid Control 11g festlegen, welcher EM Benutzer Zugriff auf welches Zielsystem hat. Da die EM Benutzergruppen aber sehr unterschiedlich sein können, wurde das Rechtekonzept in diesem Bereich feiner untergliedert.
In Grid Control 11g reicht das "View" Privileg für ein Zielsystem, um sich daran anzumelden, vorausgesetzt, die Anmeldecredentials sind diesem EM Benutzer bekannt. In Cloud Control 12c ist dieses nun völlig anders, wie man im nächsten Screenshot sieht:
Hier hat ein EM Benutzer, mit dem "View"-Recht für die Datenbank RADU1 ausgestattet, versucht die Online Performance Monitoring Seite der Datenbank aufzurufen, was eine Datenbankverbindung erfordert. Dieser Anmeldeversuch wird von Cloud Control 12c sofort unterbunden, Benutzername und Passwort werden noch nicht einmal abgefragt.
Das "View"-Recht erlaubt in Cloud Control nur das Lesen der Informationen bezüglich eines Targets, die im Repository gespeichert sind, die also zum Beispiel automatisch auf der Target-Homepage angezeigt werden.
Die Rechte dieses EM Benutzers sehen wie folgt aus:
Das "View" Recht wurde also wirklich für die Datenbank RADU1 vergeben. Klickt man jetzt auf den Stift neben "View" gelangt man zu einer Aufstellung aller verfügbaren Privilegien für dieses Zielsystem.
Hier entdeckt man zwei Anmeldeprivilegien:
- Connect Target
Der EM Benutzer darf sich an das Zielsystem normal anmelden, vorausgesetzt die Anmeldecredentials sind diesem EM Benutzer bekannt.
- Connect Target Read-Only
Der EM Benutzer darf sich an das Zielsystem nur lesend anmelden. Das ist interessant, wenn zum Beispiel Entwicklern oder Fachabteilungen ein lesender Zugriff gewährt werden soll, dabei jedoch Änderungen an den Zielsystemen ausgeschlossen werden sollen.
Wählen Sie eines von den beiden Rechten aus, klicken auf Continue und beenden die Änderungen am EM Benutzer. In diesem Beispiel wurde das Recht "Connect Target Read-Only" ausgewählt.
Durch die Vergabe des Connect-Rechts kann sich dieser EM Benutzer nun an der Datenbank anmelden.
Jetzt versucht der EM Benutzer die Erstellung eines neuen Datenbankbenutzers. Dazu navigiert er über "Administration->Security->User" und bekommt zunächst einmal ganz normal alle Datenbankbenutzer angezeigt. Auch der Dialog zum Erstellen eines neuen Datenbankbenutzers ist aufrufbar.
Wenn jetzt aber mit einem Klick auf den Button "OK" tatsächlich versucht wird, einen Benutzer zu erstellen, kommt die folgende Fehlermeldung, die deutlich macht, dass Cloud Control den Benutzer von dieser Aktion abhält, obwohl die Datenbankverbindung selbst ja in diesem Fall (siehe oben) mit dem DB Benutzer SYS (als SYSDBA) vorgenommen wurde.
Fazit
In Cloud Control werden die Privilegien zum Anmelden an Zielsysteme fein granuliert vergeben. Das "View" Recht erlaubt nur die Betrachtung von im Repository gespeicherten targetbezogenen Informationen, solange keine Anmeldung an dieses Target notwendig ist. Für die Anmeldung an ein Target aus Cloud Control gibt es eigene Privilegien, bei denen unterschieden werden kann, ob die Anmeldung nur lesend oder auch mit der Möglichkeit für Änderungen durchgeführt werden kann. Damit können breitere Benutzerkreise auf Informationen in Cloud Control zugreifen, verbunden mit der Absicherung, dass Änderungen nur von einem ausgewählten Benutzerkreis durchgeführt werden können.
Lizenzhinweis
Die in diesem Tipp beschriebenen Funktionalitäten sind in der Basisfunktionalität von Cloud Control enthalten. Für ihre Nutzung ist keine Lizenz eines Management Packs notwendig.
Weitere Informationen und hilfreiche Links
Weitere Informationen finden Sie unter:
Zurück zum Anfang des Artikels
Zurück zur Community-Seite
|
DBA Community - Dezember 2011