Inicio > Tech - Management > Oracle Enterprise Manager Cloud Control 12c – Microsoft Active Directory Authentication

Oracle Enterprise Manager Cloud Control 12c – Microsoft Active Directory Authentication

Oracle ofrece varios plugins y conectores para integrar Cloud Control en nuestros Sistemas, como por ejemplo un conector para Remedy, envió de traps a distintos gestores de monitorización como PatrolPandora entre otros, así como distintos métodos de autentificación.

En este post nos ocuparemos de integrar la autenticación por Microsoft Active Directory. Este es un procedimiento que no requiere mucha complejidad y nos facilitará la administración de Cloud Control 12c.

La arquitectura dispuesta para este post es:

  1. Controlador de Dominio Windows Server (AD)
  2. Oracle Enterprise Manager 12c Cloud Control (OEM)

Una vez que tengamos configurado la autentificación por AD crearemos varios grupos/roles para acotar los permisos en nuestra arquitectura. Para ello vamos a plantear la siguiente necesidad: “Autentificación por AD para crear los siguientes tres grupos de usuarios“.

  • EM_DDBB (Para la gestión de todas las Bases de Datos )
  • EM_MIDDLEWARE (Para la gestión de todos los targets de tipo aplicación y middleware)
  • EM_OPERATOR (Con permisos de lectura sobre toda la plataforma)

Lo primero que haremos será crear una serie de usuarios y los grupos descritos anteriormente:

Usuarios

AD1

Grupos

AD2

Asociamos a cada usuario en su grupo correspondiente:

  • EM_DDBB=Adam Fripp
  • EM_MIDDLEWARE=Alana Walsh
  • EM_OPERATOR=David Lee

Ahora seguiremos con la configuración de OEM y desde un terminal lanzaremos el siguiente comando:

“emctl config auth ad -ldap_host “192.168.1.10” -ldap_port “389” -ldap_principal “cn=Administrator,CN=Users,DC=heracles,DC=com” -ldap_credential “Welcome1” -sysman_pwd “Welcome1” -user_base_dn “cn=Users,DC=heracles,DC=com” -group_base_dn “cn=Builtin,DC=heracles,DC=com””

Una vez completado la ejecución anterior, es necesario parar y arrancar OEM.

Ahora vamos a la consola de OEM y desde Setup => Security => Roles crearemos los tres roles que mapearan permisos a los tres grupos de AD. Es muy importante que estos objetos tengan los mismos nombres.

2015-11-29 19_52_18-Role Administration - Enterprise Manager Administration - Oracle Enterprise Mana

Como ejemplo crearemos el role EM_OPERATOR y a partir de este procedimiento podemos crear todo tipo de roles con distintos permisos sobre uno o más targets, tipo de targets o grupo de targets.

Oper 1

Ponemos el nombre y marcamos el checkbox External Role y pulsamos next.

Oper 2

Para este role no asignaremos ninguno de los roles que trae OEM, pulsamos next.

Oper 3

Este será el único privilegio que tendrá este role: view any target. Pulsamos next.

Oper 4

En esta pantalla sólo pulsamos next.

Oper 5

Next una vez más.

Oper 6

Y ya está completada la creación de un usuario de lectura.

Ahora accederemos a Oracle Enterprise Manager Cloud Control 12c y comprobaremos que tenemos sólo los privilegios que debiéramos. En las siguientes pantallas el operador “David Lee” accederá a OEM e intentará ver los usuarios de una base de datos.

DL1

El usuario David accede a Cloud Control con su usuario y password de Dominio.

DL2

Desde la pestaña de Targets pulsa Databases.

DL3

En este caso solo hay una base de datos. David pulsa sobre OMSREP y accederá a la pantalla principal de esta base de datos.

DL4

Una vez dentro de la página principal de OMSREP, David intenta ver los usuario de esta base de datos.

DL5

Un mensaje notificara a David que no está autorizado para esta acción.

La siguiente comprobación la haremos con “Alana Walsh”, que no debería poder visualizar ninguna base de datos.

AW1

Alana accede a Cloud Control 12c con sus credenciales de Dominio.

AW2

Alana intentara visualizar alguna base de datos.

AW3

Pero Alana no sólo no tiene privilegios para consultar el estado de estos targets, sino que ni siquiera los visualiza.

Esto ha sido todo acerca de cómo integrar Oracle Enterprise Manager 12c con Active Directory. Naturalmente en un entorno productivo será necesario darle un poco más de dedicación a la creación de los roles y grupos. Estas tares las tendremos que realizar con el Administrador de Dominio y conforme a las necesidades de permisos que se necesiten.

Más información en avanttic blog sobre Oracle Enterprise Manager Cloud Control 12c:

  1. María
    marzo 15, 2016 en 13:40

    Hola!

    Muchas gracias por tu aportación, me ha servido de mucho, pero tengo una duda, he seguido todos tus pasos pero a la hora de la validación da igual si el usuario está dentro de los grupos definido o no, me puedo validar con todos los usuarios de la rama Users, yo solamente quiero que se validen los de un grupo especifico…cómo sería ese caso?

    Un saludo y gracias!
    María

    • marzo 15, 2016 en 21:19

      Hola María me alegro que te haya gustado el Post.
      En el ejemplo se utiliza el CN=USERS pero es solo como ejemplo. En un entorno productivo no debería estar el CN Users ya que todos los usuarios del Dominio pertenecen a este grupo. Es mejor crear grupos dedicados al mismo nivel como puede ser: OPERATORS , DBAGROUP o FMWGROUP y añadir a cada usuario al grupo correspondiente.

  1. No trackbacks yet.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: