Blog

Configuration SSL en environnement RAC PART 2 : Configurations (Réseau, base de données, poste client)

Ce document est le deuxième volet de la configuration SSL en environnement RAC.
Il sera organisé de la façon suivante :

  • La configuration réseau (Listener.ora et tnsnames.ora)
  • La configuration de la base de données
  • La configuration du poste client

 
 
 
 
 
 
 
A-/ Configuration Réseau
Elle se fait en suivant les étapes ci-dessous :

  • Modification du fichier sqlnet.ora (DB_HOME)
  • Modification du fichier listener.ora (GRID_HOME)
  • Ajout du protocol TCPS dans la configuration du listener scan et du listener

1. Modification du fichier sqlnet.ora
Il faut ajouter les lignes ci-dessous dans le fichier sqlnet.ora du DB_HOME

SQLNET.AUTHENTICATION_SERVICES= (BEQ, TCPS)
SSL_CLIENT_AUTHENTICATION = FALSE
WALLET_LOCATION =
(SOURCE =
(METHOD = FILE)
(METHOD_DATA =
(DIRECTORY = /opt/oracle/wallet)
)
)

2. Modification du fichier listener.ora du GRID_HOME
Ajouter la localisation du Wallet dans le listener.ora du GRID_HOME et ceci pour chaque nœud du RAC.

SSL_CLIENT_AUTHENTICATION = FALSE
WALLET_LOCATION =
(SOURCE =
(METHOD = FILE)
(METHOD_DATA =
(DIRECTORY = /opt/oracle/wallet)
)
)

3. Ajout du protocol TCPS dans la configuration des listeners du GRID_HOME

  • Affichage des Endpoint des listeners
crsctl stat res -p | grep ENDPOINTS
  • Arrêt des listeners
srvctl stop scan_listener
srvctl stop scan
srvctl stop listener –l LISTENER
  • Ajout du protocol TCPS
srvctl modify scan_listener –p TCP:1521/TCPS:1523
srvctl modify listener –l LISTENER –p TCP:1521/TCPS:1523
  • Démarrage des listeners
srvctl start scan
srvctl start scan_listener
srvctl start listener –l LISTENER
  • Vérification de la prise en compte du protocol TCPS
srvctl config scan_listener
srvctl config listener -l LISTENER
crsctl stat res -p | grep ENDPOINTS

 
 
B-/ Configuration de la base de données
Elle consiste à modifier pour chaque instance le paramètre LOCAL_LISTENER avec ajout du protocol TCPS
1. Modification du paramètre local_listener
Pour chaque instance du RAC exécuter les commandes ci-dessous :

show parameter local_listener ;
alter system set local_listener = ‘(DESCRIPTION=(ADDRESS_LIST=(ADDRESS=(PROTOCOL=TCP)
(HOST=10.157.49.167)(PORT=1521))(ADDRESS=(PROTOCOL=TCPS)(HOST=10.157.49.167)(PORT=1523))))
scope=spfile sid=’test1’ ;

1.2 Redémarrage de la base pour prise en compte de la modification

srvctl stop database –d test
srvctl start database –d test

 
 
C-/ Configuration du poste client
Elle consiste à modifier les fichiers sqlnet.ora et  tnsnames.ora du poste client.
1. Copie des fichiers wallet.p12 et wallet.sso du serveur de données vers le serveur client dans un répertoire
1. Mise à jour du fichier sqlnet.ora
Ajouter la localisation du wallet dans le fichier sqlnet.ora

WALLET_LOCATION =
(SOURCE =
(METHOD = FILE)
(METHOD_DATA =
(DIRECTORY = /opt/oracle/wallet)
)
)

1.3 Configuration du fichier tnsnames.ora
Il faut créer un nom se service qui utilise le protocol TCPS

TEST =
(DESCRIPTION =
(ADDRESS = (PROTOCOL = TCPS)(HOST = test-scan)(PORT = 1523))
(CONNECT_DATA =
(SERVER = DEDICATED)
(SERVICE_NAME = test)
)
)

 
 
Comment gérer le SSL si notre environnement RAC est répliqué sur un autre serveur ?
Réponse dans un prochain article…

John Akasse
John Akasse
Voir tous ses articles
Articles récents

Mentions légales & Politique de confidentialité