Oracle Enterprise Manager Cloud Control 12c – Microsoft Active Directory Authentication
11/02/2016 -
Oracle ofrece varios plugins y conectores para integrar Cloud Control en nuestros Sistemas, como por ejemplo un conector para Remedy, envió de traps a distintos gestores de monitorización como Patrol y Pandora entre otros, así como distintos métodos de autentificación.
En este post nos ocuparemos de integrar la autenticación por Microsoft Active Directory. Este es un procedimiento que no requiere mucha complejidad y nos facilitará la administración de Cloud Control 12c.
La arquitectura dispuesta para este post es:
Una vez que tengamos configurado la autentificación por AD crearemos varios grupos/roles para acotar los permisos en nuestra arquitectura. Para ello vamos a plantear la siguiente necesidad: “Autentificación por AD para crear los siguientes tres grupos de usuarios“.
- EM_DDBB (Para la gestión de todas las Bases de Datos )
- EM_MIDDLEWARE (Para la gestión de todos los targets de tipo aplicación y middleware)
- EM_OPERATOR (Con permisos de lectura sobre toda la plataforma)
Lo primero que haremos será crear una serie de usuarios y los grupos descritos anteriormente:
Usuarios
Grupos
Asociamos a cada usuario en su grupo correspondiente:
- EM_DDBB=Adam Fripp
- EM_MIDDLEWARE=Alana Walsh
- EM_OPERATOR=David Lee
Ahora seguiremos con la configuración de OEM y desde un terminal lanzaremos el siguiente comando:
“emctl config auth ad -ldap_host “192.168.1.10” -ldap_port “389” -ldap_principal “cn=Administrator,CN=Users,DC=heracles,DC=com” -ldap_credential “Welcome1” -sysman_pwd “Welcome1” -user_base_dn “cn=Users,DC=heracles,DC=com” -group_base_dn “cn=Builtin,DC=heracles,DC=com””
Una vez completado la ejecución anterior, es necesario parar y arrancar OEM.
Ahora vamos a la consola de OEM y desde Setup => Security => Roles crearemos los tres roles que mapearan permisos a los tres grupos de AD. Es muy importante que estos objetos tengan los mismos nombres.
Como ejemplo crearemos el role EM_OPERATOR y a partir de este procedimiento podemos crear todo tipo de roles con distintos permisos sobre uno o más targets, tipo de targets o grupo de targets.
Ponemos el nombre y marcamos el checkbox External Role y pulsamos next.
Para este role no asignaremos ninguno de los roles que trae OEM, pulsamos next.
Este será el único privilegio que tendrá este role: view any target. Pulsamos next.
En esta pantalla sólo pulsamos next.
Next una vez más.
Y ya está completada la creación de un usuario de lectura.
Ahora accederemos a Oracle Enterprise Manager Cloud Control 12c y comprobaremos que tenemos sólo los privilegios que debiéramos. En las siguientes pantallas el operador “David Lee” accederá a OEM e intentará ver los usuarios de una base de datos.
El usuario David accede a Cloud Control con su usuario y password de Dominio.
Desde la pestaña de Targets pulsa Databases.
En este caso solo hay una base de datos. David pulsa sobre OMSREP y accederá a la pantalla principal de esta base de datos.
Una vez dentro de la página principal de OMSREP, David intenta ver los usuario de esta base de datos.
Un mensaje notificara a David que no está autorizado para esta acción.
La siguiente comprobación la haremos con “Alana Walsh”, que no debería poder visualizar ninguna base de datos.
Alana accede a Cloud Control 12c con sus credenciales de Dominio.
Alana intentara visualizar alguna base de datos.
Pero Alana no sólo no tiene privilegios para consultar el estado de estos targets, sino que ni siquiera los visualiza.
Esto ha sido todo acerca de cómo integrar Oracle Enterprise Manager 12c con Active Directory. Naturalmente en un entorno productivo será necesario darle un poco más de dedicación a la creación de los roles y grupos. Estas tares las tendremos que realizar con el Administrador de Dominio y conforme a las necesidades de permisos que se necesiten.
Más información en avanttic blog sobre Oracle Enterprise Manager Cloud Control 12c:
