Logo Oracle Deutschland   DBA Community  -  Dezember 2011
Oracle Enterprise Manager Cloud Control 12c: Mehr Sicherheit durch Named Credentials
von Ralf Durben, Oracle Deutschland B.V. & Co. KG

Oracle Enterprise Manager Cloud Control 12c ist eine zentrales Werkzeug zur Verwaltung vieler Systeme. Diese Systeme erfordern in der Regel eine Anmeldung per Benutzername und Passwort. Diese Anmeldedaten können in Form von Credentials gespeichert werden, natürlich verschlüsselt.

Die einfachste Form der gespeicherten Credentials, die auch schon in Grid Control 11g zur Verfügung stand, waren die "Preferred Credentials". Dabei speichert jeder EM Benutzer für die einzelnen Zielsysteme die Anmeldedaten ab - jeder EM Benutzer für sich. Dieses erfordert natürlich, dass der EM Benutzer die entsprechenden Passwörter auch kennt, mit dem Nebeneffekt, dass sich dieser EM Benutzer auch mit anderen Tools an das Zielsystem anmelden kann. Ein weiterer Nachteil ist, dass geänderte Passwörter von Zielsystemen für mehrere EM Benutzer in Oracle Enterprise Manager nachgezogen werden müssen.

In Cloud Control 12c gibt es zu diesen Credentials ein neues Konzept, welches die Sicherheit steigert und den Verwaltungsaufwand bei Passwortänderungen reduziert: Named Credentials. Diese sind zunächst einmal "nur" benannte Credentials, die Kombination von Benutzername und Passwort bekommt also einen Namen.

Named Credentials werden typischerweise von einem Superadministrator erstellt. In einem zweiten Schritt werden diese dann zur Nutzung für bestimmte EM Benutzer freigegeben. Dieser EM Benutzer kann sich in Cloud Control nun mit dem Named Credential am Zielsystem anmelden, das genutzte Passwort bleibt ihm aber dabei verborgen. Er kann also ohne Kenntnis des Passwort einen Anmeldevorgang über Cloud Control vornehmen - über ein anderes Tool aber mangels Kenntnis des Passworts nicht.

Das Named Credential ist grundsätzlich nur einmal gespeichert, egal wieviele EM Benutzer es verwenden. Wenn das Passwort also auf dem Zielsystem geändert wird und in Cloud Control nachgezogen werden muss, ist dieses nur einmal nötig.

Inhalt

Diese Schritte sollen hier in folgender Reihenfolge betrachtet werden:
  1. Voraussetzung zum Erstellen von Named Credentials
  2. Erstellen von Named Credentials
  3. Nutzungsrecht für Named Credentials vergeben
  4. Named Credentials nutzen
  5. Nutzung von Named Credentials verfolgen


Voraussetzung zum Erstellen von Named Credentials

Zur Erstellung eines Named Credentials benötigt ein EM Benutzer das Ressourcenprivileg "Create new Named Credential". Natürlich hat jeder Super Administrator dieses Privileg automatisch. Einem normalen EM Benutzer wird dieses Recht im Schritt 4 der Erstellung vergeben. Im Screenshot sehen Sie ganz unten die Zeile "Named Credential".



Klicken Sie ganz rechts auf dem Stift und Sie kommen auf die folgende Seite:



Sie aktivieren den Haken in der Spalte "Select" und klicken dann auf "Continue". Folgen Sie dann weiter der Erstellung des Administrators. Selbstverständlich kann das Recht auch einem existierenden Benutzer gegeben werden, indem Sie unter "Setup->Security->Administrators" den EM Benutzer auswählen, "Edit" klicken und dann wieder im Schritt 4 wie oben beschrieben das Recht aktivieren.





Erstellen von Named Credentials

Named Credentials können in jeder Situation erstellt werden, wo eine Anmeldung notwendig ist, oder auch zentral. Den zentralen Ort finden Sie unter "Setup->Security->Named Credentials".



Erstellen Sie ein neues Named Credential, indem Sie auf den Button "Create" klicken.



Sie geben einen Namen und eventuell eine Beschreibung des neuen Named Credential ein. Dann legen Sie fest, für welchen Zielsystemtyp dieses neue Named Credential gelten soll. Sie können dann festlegen, ob dieses Named Credential nur für ein bestimmtes Zielsystem (Target) oder für alle Zielsysteme (Global) nutzbar sein soll. Im Bereich "Credential Properties" geben Sie das Credential an. In diesem Beispiel wird das Credential für die Anmeldung als Datenbankbenutzer SYS an die Datenbank RADU1 erstellt.



Sie können das Named Credential erst einmal erstellen und die Nutzungsrechte später festlegen, oder Sie geben jetzt auch an, welche EM Benutzer dieses Named Credential nutzen dürfen. Dazu klicken Sie im Bereich "Access Control" auf den Button "Add Grant".



Wählen Sie jetzt die Benutzer aus, die dieses neue Named Credential benutzen dürfen und klicken auf "Select".



Sie gelangen zurück zur vorhergehenden Seite und finden nun den oder die ausgewählten EM Benutzer im Bereich "Access Control" mit dem "View" Recht für Ihr Named Credential.



Mit dem Button "Change Privilege" können Sie noch festlegen, was der EM Benutzer mit dem Named Credential machen kann. Dazu müssen Sie vorher die Zeilen der EM Benutzer auswählen, für die diese Änderung vorgenommen werden soll.



Es stehen drei Varianten zur Auswahl:

  • View
  • Mit dem View Recht kann das Named Credential für Anmeldungen verwendet werden.
  • Edit
  • Mit dem Edit Recht kann das Named Credential für Anmeldungen verwendet und verändert werden.
  • Full
  • Mit dem Full Recht kann das Named Credential für Anmeldungen verwendet, verändert und an weitere EM Benutzer weitergegeben werden.
Wenn alle Rechte festgelegt sind, können Sie mit "Test and Save" das Named Credential testen und abspeichern, oder mit "Save" ungetestet erstellen.



Sie gelangen zu der Seite, die alle Named Credentials anzeigt. Selektieren Sie das neue Named Credential. Im unteren Bereich können Sie die Eigenschaften zu diesem Credential ablesen.



Mit dem Reiter "Recent Activities" sehen Sie auch, welcher EM Benutzer welche Änderungen an diesem Named Credential vorgenommen hat.



Nutzungsrecht für Named Credentials vergeben

Sie können jederzeit die Nutzungsrechte für ein Named Credential verändern. Daszu navigieren Sie zu "Setup->Security->Named Credentials" und wählen das Named Credential oben in der Liste aus. Klicken sie dann auf den Button "Manage Access".



Sie können in der Liste der Berechtigungen neue EM Benutzer hinzufügen bzw. entfernen oder die Berechtigungen verändern. Auch können Sie dem Named Credential einen neuen Eigentümer (Owner) zuordnen.



Named Credentials nutzen

Die Nutzung eines Named Credential wird hier im Beispiel mit dem EM Benutzer "miniuser" gezeigt, der Zugriff auf die Datenbank RADU1 hat. Ausgehend von der Datenbank-Homepage von RADU1 klickt der Benutzer auf das Online Performance Monitoring, welches einen Datenbank Login erfordert.



Es werden in der Popupliste alle für dieses Target nutzbaren Named Credentials angezeigt, auf die dieser EM Benutzer Zugriff hat. Beachten Sie, dass das Passwort nicht im Klartext angezeigt wird. Der Benutzer "miniuser" kann sich also mangels Kenntnis des Passworts nur über Cloud Control an diese Datenbank anmelden.

Nutzung von Named Credentials verfolgen

Im Rahmen des automatisch eingeschalteten Auditings innerhalb von Cloud Control können Sie leicht verfolgen, wer wann welches Named Credential verwendet hat. Navigieren Sie dazu über "Setup->Security->Audit Data". Um sicherzustellen, ob Auditing auch wirklich eingeschaltet ist, verwenden Sie "./emcli show_audit_settings".



Sie können zum Beispiel über das Kriterium "Operation" suchen. Hier wurde eine "Advanced Search" gestartet über den EM Benutzer "miniuser". Die Operation "Access Named Credential" zeigt die Nutzung des Named Credential an.



Aber auch das Erstellen eines Named Credential wird hier angezeigt.

Fazit

Mit Named Credentials können Anmeldeinformationen sicher und zentral abgespeichert werden. EM Benutzer, die Zugriff auf diese Credentials haben, können diese zwar nutzen, das Passwort aber nicht einsehen. Damit erhöht sich die Sicherheit, da diese EM Benutzer nur noch über Cloud Control auf die Zielsysteme zugreifen können und sich deren Aktionen durch ein Auditing nachvollziehen lassen. Ausserdem ist eine Pflege von Passwörtern aufgrund von Änderungen in den Zielsystemen durch die einmalige Speicherung einfacher.

Lizenzhinweis

Die in diesem Tipp beschriebenen Funktionalitäten sind in der Basisfunktionalität von Cloud Control enthalten. Für ihre Nutzung ist keine Lizenz eines Management Packs notwendig.

Weitere Informationen und hilfreiche Links

Weitere Informationen finden Sie unter:


Zurück zum Anfang des Artikels

Zurück zur Community-Seite