Archive

Archivo de Autor

Oracle VM 3.4.2 Liberada

octubre 4, 2016 Deja un comentario

OVM

Aprovechando el OOW 2016, Oracle ha anunciado la nueva release de Oracle Virtual Machine (3.4.2) en la cual se ofrecen las siguientes características:

  • Soporte a dispositivos de Memoria No Volátil (NVMe) para acceso a discos SSD.
  • Gestión de OV Manager 3.4.2 de las versiones OV Server x86 – 3.4.x, 3.3.x ó 3.2.10/11 y SPARC – Agent 3.4.x ó 3.3.x
  • Funcionalidades SCSI extendidas disponibles para Máquinas Virtuales
  • Actualización del kernel del Dom0 a Oracle Unbreakable Enterprise Kernel Release 4 Update 2 (4.1.12-61.1.9)
  • Mejoras en rendimiento y escalabilidad  del Hypervisor.

 

Más información de las nuevas características en el blog de virtualización de Oracle y en la documentación del producto.
Categorías:Virtual Machine Etiquetas: ,

Liberada nueva versión Oracle VM 3.3.4

marzo 17, 2016 Deja un comentario

OVMEl 11 de marzo Oracle liberó la última versión de su tecnología de virtualización, Oracle VM (OVM 3.3.4)añadiendo, a sus ya extensas características, algunas mejoras que ayudan a aumentar la protección de los sistemas virtualizados, entre ellas:

  • Librería glibc: Hace poco que se descubrió una importante brecha de seguridad a través de esta librería de las distros de Linux y se hacía necesario corregir enseguida este problema. La versión actualizada de glibc está en la ULN desde el 16 de febrero.
  • NSS/nss-util, nspr: Debido a las deficiencias de algunas actualizaciones de seguridad, era posible sufrir un ataque DoS y sufrir corrupción de memoria. Afectaba a Mozilla en versiones anteriores a la 4.10.10 y las versiones 3.19.3.x, 3.2.0.x y a las anteriores a 3.19.2.1 de nss.
  • Actualización de ciphersuite: Desde principios de este año 2016 los navegadores de Internet comenzaron a eliminar el encriptado RC4 por lo que, como ya indicábamos en un post anterior, no era posible cargar la GUI del OVM Manager.

Los problemas mencionados eran las más necesarios de resolver. También, aparte de estas mejoras reactivas a problemas de seguridad, hay mejoras que añaden funcionalidades respecto a tecnologías de Oracle Stack, como por ejemplo configuración multipath para Oracle Sun ZFS 7730.

La descarga del producto se puede realizar desde aquí.

Oracle VM Console 3.3.X – SSL_ERROR en Chrome y Firefox

febrero 25, 2016 Deja un comentario

Si tienes instalada la versión de Oracle Virtual Machine 3.3.x y estás usando Firefox y/o Chrome para cargar la Consola de Administración, habrás notado que no es posible cargar la URL, desde principios de Febrero, sin que aparezcan los siguientes errores (en Firefox puede generarse este mismo error desde la versión OVM 3.2.1 en adelante):

En Chrome:

chrome_reload

En Firefox:

firefox_error

OVM Console GUI usa criptografía RC4 y este tipo de encriptación ha dejado de estar soportada por completo por chrome y firefox en sus últimas versiones (48 y 44 respectivamente). Esta característica permitía ataques POODLE generando vulnerabilidad en los sistemas. La consola de OVM no cargará debidamente si se sigue usando estos navegadores. El problema se solucionará en las versiones 3.3.4 y 3.4 de OVM, que están por salir, con un cifrado más robusto que el actual.

 

Para poder usar Firefox hay workaround en el lado del cliente:

  • abount:config –> añadir IP del ovm console en security.tls.insecure_fallback_hosts

También se puede seleccionar la opción de cargar el enlace usando la seguridad obsoleta, en el menú desplegable Advance, para seguir utilizándolo (no recomendable).

 

En el caso de Chrome es necesario modificar el fichero de configuración de Weblogic Server xml.config y añadir la línea:

  • <ciphersuite>TLS_RSA_WITH_AES_128_CBC_SHA</ciphersuite>

Tras esta modificación es necesario reiniciar el servicio ovmm.

 

En caso de usar indistintamente Firefox y Chrome, el arreglo que se realiza para Chrome también es efectivo para Firefox sin tener que modificar ningún tipo de configuración.

 

Cabe destacar que existe una actualización del software para eliminar esta vulnerabilidad, desde la versión 3.2, ver la nota de MOS: ALERT – Mitigating the SSLv3 “POODLE” Vulnerability in Oracle VM (CVE-2014-3566) (Doc ID 1940203.1)

Categorías:Virtual Machine Etiquetas: , ,

Forms&Reports 12c Deployment Install: Tareas post-DomainWizard y Troubleshooting

febrero 17, 2016 1 comentario

 
En versión 12c de Forms&Reports hay varias diferencias respecto a la instalación y configuración de la versión 11g. El configurador del dominio ya no genera las ReportTools ni los ReportServer Standalone: antes lo gestionaba el OPMN y se creaban automáticamente durante la configuración del dominio. Igualmente se generan varias situaciones de error que revisamos a continuación y se proporciona el modo de solventarlos.

 

ReportTools y ReportServer Standalone

Tras terminar de crear el dominio con el wizard es necesario generar de forma manual los componentes ReportTools y ReportServer Standalone:

  1. cargamos variables de entorno ejecutando
  2.  $ORACLE_HOME/oracle_common/common/bin/wlst.sh 
    
    
  3. Conectamos al AdminServer:
  4.  wls:/offline>; connect("weblogic","xxxxxx","localhost:7001")
    
    
  5. Creamos las ReportTools:
  6.  createReportsToolsInstance(instanceName='reptools1',machine='AdminServerMachine') 
    
    
  7. Creamos el Rerport Server Standalone:
  8.  createReportsServerInstance(instanceName='rep_server1',machine='AdminServerMachine')
      
    

En las versiones 12c la monitorización ya no será posible realizarla desde el EM (ver jobs y rendimiento), será necesario utilizar los servlets showjobs/showmyjob/getserverinfo.

 

REP-51019/REP-50171/REP-56071

Tras la generación de los componentes de reports, si se intenta acceder a las colas de RS aparecen los mensajes de error REP-51019: System user authentication is missing y REP-50171: Authentication failed. Será necesario aplicar la nota de MOS Doc ID 2071879, ya que por defecto se crean securizados y el usuario “weblogic” no está autorizado aún para monitorizar dichos elementos. Tras realizar los cambios necesarios se deberá reiniciar WLS_REPORTS y RS Standalone rep_server1.
 

REP-0001 y REP-0004 Compilando Reports

Tras finalizar la configuración del dominio y después de configurar manualmente los ReportServer dispondremos en la ruta $DOMAIN_HOME/reports/bin el fichero rwconverter.sh, que es con el que se ha de ejecutar las compilaciones. Si se usa en rwconverter.sh ubicado en $ORACLE_HOME/bin aparecerá el error REP-0001: Unable to find the Report Builder message file. Please verify your installation

Tras corregir el uso del fichero rwconverter.sh aparecerá el error REP-0004: Warning: Unable to open user preference file. Se debe a que en el fichero prefs.ora no se encuentra en estas versiones en $ORACLE_HOME/tools/admin, por el contrario está en $DOMAIN_HOME/config/fmwconfig/components/ReportsToolsComponent/reptools1/tools/admin. Se puede optar entre dos opciones para corregirlo:

  1. copiar prefs.ora a la ubicación $ORACLE_HOME/tools/admin
  2. establecer la variable de entorno ORACLE_LOCALPREFERENCE apuntando a la nueva ubicación

Tras estas modificaciones dicho error desaparece.

 

TNSPING

Al finalizar la instalación y probar la conexión a la Base de Datos asociada a Forms o Report Server con tnsping se observa que dicha ejecucióng no genera output alguno. Esto se debe al BUG 22361559 – “TNSPING” FILE IS SHOWING ZERO BYTE FILE UNDER WHEN INSTALLED AS “DEPLOYMENT”. Este problema se soluciona haciendo re-link/compilando el fichero manualmente
 

 /usr/bin/make -f $ORACLE_HOME/network/lib/ins_net_client.mk itnsping preinstall ORACLE_HOME=/u01/app/oracle/product/Middleware 

 

Tras esta acción es necesario descomprimir el fichero tns_mesg.zip, descargándolo previamente del Doc ID 2096670.1, en la ubicación /u01/app/oracle/product/Middleware/network/mesg
 

[oracle@labforms12c lib]$  cd /u01/app/oracle/product/Middleware/network/mesg
[oracle@labforms12c mesg]$  unzip tns_mesg.zip
[oracle@labforms12c mesg]$ tnsping orcl

TNS Ping Utility for Linux: Version 11.2.0.3.0 - Production on 16-FEB-2016 12:51:22

Copyright (c) 1997, 2011, Oracle.  All rights reserved.

Used parameter files:


Used TNSNAMES adapter to resolve the alias
Attempting to contact (DESCRIPTION = (ADDRESS = (PROTOCOL = TCP)(HOST = localhost)(PORT = 1521)) (CONNECT_DATA = (SERVER = DEDICATED) (SID = orcl)))
OK (10 msec)

OHS12c vs privilege ports (<1024)

octubre 30, 2015 Deja un comentario

En versiones previas a la 12c, para poder configurar la recepción de solicitudes por los puertos inferiores a 1024, “bastaba” con modificar los puertos en los ficheros de configuración y con ejecutar apache con permisos root realizando lo siguiente:

cd ORACLE_HOME/ohs/bin
chown root .apachectl
chmod 6750 .apachectl

En la versión 12c este procedimiento ha variado especialmente en lo que refiere a los ejecutables, los ficheros de configuración del OHS se ubican en el directorio $DOMAIN_HOME/config/fmwconfig/components/OHS/ohs1.  Aquellos que nos interesan para modificar los puertos son los mismos que en la versión anterior “httpd.conf” y “ssl.conf”.

Para empezar a enviar peticiones en puertos inferiores al 1024 (por ejemplo usando el puerto 443 para conexiones seguras), y tras modificar los ficheros de configuración, será necesario ejecutar las siguientes acciones:

Con los componentes OHS parados y conectados con el usuario propietario de los binarios (“oracle” en nuestro caso).

[oracle@prueba_host ohs1]$ echo `id -ng`: bind > /tmp/cap.ora
[oracle@prueba_host ohs1]$ cat /etc/cap.ora
oracle: bind

Estos comandos almacenan en un fichero los datos del propietario de los binarios y el tipo de permiso que le queremos dar (en este caso el de “bind”).

Acto seguido y como root, modificaremos los permisos y propietario de los ficheros “hasbind” y “cap.ora” y trasladaremos este ultimo a su ubicación definitiva en la carpeta /etc.

chown root $ORACLE_HOME/oracle_common/bin/hasbind
chmod 4755 $ORACLE_HOME/oracle_common/bin/hasbind
cp /tmp/cap.ora /etc/cap.ora
chmod 644 /etc/cap.ora
chown root /etc/cap.ora

Tras estas acciones se debería poder iniciar los procesos de OHS, pero debido a un bug no resuelto en las versiones 12.1.x, veremos las siguientes entradas al intentar iniciar el ohs:

$DOMAIN_HOME/bin/startComponent.sh ohs1 storeUserConfig
Starting system Component ohs1 ...

Initializing WebLogic Scripting Tool (WLST) ...

Welcome to WebLogic Server Administration Scripting Shell

Type help() for help on available commands

Reading domain from /u01/Middleware/OHS12c/user_projects/domains/ohs_domain

Using existing user key file...
The username and password that were used for this WebLogic NodeManager connection are stored in /home/oracle/.wlst/nm-cfg-ohs_domain.props and /home/oracle/.wlst/nm-key-ohs_domain.props.
Connecting to Node Manager ...
Successfully Connected to Node Manager.
Starting server ohs1 ...
Error Starting server ohs1: weblogic.nodemanager.NMException: Received error message from Node Manager Server: [Server start command for OHS server 'ohs1' failed due to: [Failed to start the server ohs1
Check log file /u01/Middleware/OHS12c/user_projects/domains/ohs_domain/system_components/OHS/ohs_nm.log
Check log file /u01/Middleware/OHS12c/user_projects/domains/ohs_domain/servers/ohs1/logs/ohs1.log]. Please check Node Manager log and/or server 'ohs1' log for detailed information.]. Please check Node Manager log for details.
Successfully disconnected from Node Manager.

Exiting WebLogic Scripting Tool.

Done

Leer más…

Categorías:Seguridad Etiquetas: ,

Aprovisionamiento de Bases de Datos “Pluggables” o PDB’s

octubre 2, 2015 Deja un comentario

Ahora con la versión 12c, y gracias a la opción “Multitenant“, disponemos de cuatro formas de aprovisionar/crear bases de datos plugables o PDB:

  1. Crear PDB a partir de la plantilla que dispone el “Container” o CDB: PDB raíz o seed (PDB$SEED)
  2. Clonar PDB a partir de otra PDB del mismo CDB
  3. Desconectar PDB de un CDB y re-conectarlo (unplug/plug)  a otro, como parte de migración a versiones superiores de la 12
  4. Conectar una Base de datos “NON-CDB” (lo que sería el formato pre-12) a un CDB como parte de un proceso de migración, convirtiéndola de esta forma en PDB.

Este sería el listado de acciones de mayor a menor agilidad de aprovisionado de PDB’s en la nueva versión y todas ellas las trataremos en este post. La cuarta partiremos de una BD versión pre-12 ya migrada  a la versión que nos atañe. Estos procesos se pueden realizar con SQL*Plus, SQL Developer, OEM12c y DBCA. Nosotros los abordaremos desde SQL*Plus.

 

METODO 1: Clonar de Plantilla

Antes de comenzar vamos a comprobar el estado de la PDB raíz (PDB$SEED) y explicar un par de cosas.

SQL>  select NAME, con_id, open_mode from v$PDBs;

NAME                               CON_ID OPEN_MODE
—————————— ———- ———-
PDB$SEED                                2 READ ONLY

SQL>  select tablespace_name, plugged_in, status, CON_ID from cdb_tablespaces;

TABLESPACE PLUGGED_IN STATUS        CON_ID
———- ———- ——— ———-
SYSTEM     NO         ONLINE             2
SYSAUX     NO         ONLINE             2
TEMP       NO         ONLINE             2
SYSTEM     NO         ONLINE             1
SYSAUX     NO         ONLINE             1
UNDOTBS1   NO         ONLINE             1
TEMP       NO         ONLINE             1
USERS      NO         ONLINE             1

La PDB$SEED siempre está en formato “READ ONLY” debido a que existe únicamente como plantilla para generar otras PDBs, no es accesible.

En la consulta de los tablespaces aparecen asociados únicamente los tablespaces SYSTEM, SYSAUX y TEMP ya que “UNDO” es un elemento común, junto con los controlfile, y los redolog, a las PDB y existe exclusivamente a nivel de CDB.

Leer más…

WebLogic Server 12c: cluster WebLogic, Nodemanager en dominio compartido

octubre 22, 2014 Deja un comentario

A veces, por necesidad de disponer de Alta Disponibilidad (cluster WebLogic), se puede dar el caso que el nodemanager se cree por dominio en un recurso compartido. Debido a ello se debe realizar ciertas configuraciones adicionales para que, desde cada máquina que conforme el cluster weblogic, el nodemanager de cada una de ellas sea capaz de monitorizarlo.

Vamos a describir los cambios necesarios para poder ejecutar NodeManager en una configuración Weblogic con los ficheros en un directorio compartido, esta configuración es una de las que nos podemos encontrar en condiciones de alta disponibilidad.

Suponiendo que nuestro dominio (en este caso en un SO Windows) esté configurado en Z:\domains y tuviese de nombre “mydomain”, el árbol de directorios sería el siguiente:

  • Para poder realizar la configuración que nos atañe, se tendría que crear 1 directorio por cada máquina que conforme el cluster (por ejemplo host_a y host_b) y copiar el contenido del directorio “nodemanager” (nodemanager.properties, nodemanager.domains) en cada uno de ellos.

NOTA: Adicionalmente podemos eliminar el directorio “nodemanager” ya que se dejará de usar:


Leer más…