Authentification renforcée des comptes administrateurs de bases de données Oracle – Partie 1

Authentification renforcée des comptes administrateurs de bases de données depuis un annuaire LDAP (partie 1)

Pour faire suite  à  mon précédent article relatif à la norme PCI-DSS , je me propose de vous parler de l’authentification renforcée des comptes administrateurs (DBA, SYSOPER) qui répond à la recommandation PCI-DSS d’implémenter des mesures strictes de contrôle d’accès
Pour quoi faire ?                                              
L’authentification forte permet de renforcer le contrôle d’accès des comptes à privilèges système (SYSDBA et SYSOPER)  qui administrent les bases de données du SI.
Cette méthode d’authentification permet de :

  • minimiser  le risque de fraude interne par vol direct des données sensibles par copie
  • mettre en application des recommandations règlementaires (PCI-DSS, etc..) et ou des directives RSSI.
  • Gérer directement vos credentials de bases de données depuis l’annuaire LDAP de référence  ou de sécurité du SI
  • Volonté de gérer les credentiels des Vous voulez séparer la gestion des identités à partir de votre base deases de données depuis un serveur d’annuaire comme Oracle Internet Directory (OID) ou Active  Directory (AD).

Dans cette article nous allons présenter uniquement la méthode d’authentification par mot de passe depuis un annuaire LDAP.
Gestion centralisée des accès administrateurs via les annuaires LDAP ( OID, AD)
Pour configurer l’accès à un annuaire LDAP pour l’authentification des utilisateurs de bases de données, suivre les étapes suivantes:

  • Dans Oracle Internet Directory, attribuer le privilège  SYSDBA ou SYSOPER au compte administrateur.

Attribuer le privilège SYSDBA ou SYSOPER uniquement aux comptes administrateurs désignés

  • Configurer le paramètre d’initialisation  LDAP_DIRECTORY_SYSAUTH à YES:
ALTER SYSTEM SET LDAP_DIRECTORY_SYSAUTH = YES;

Configurer le paramètre LDAP_DIRECTORY_SYSAUTH à  YES permet l’authentification forte depuis un annuaire LDAP des comptes SYSDBA et SYSOPER.
Pour  plus d’informations  voir Oracle Database Reference

  • Configurer le paramètre the LDAP_DIRECTORY_ACCESS pour définir le type d’accès  LDAP PASSWORD ou SSL. Par exemple :
ALTER SYSTEM SET LDAP_DIRECTORY_ACCESS = PASSWORD;

S’assurer au préalable  que le paramètre LDAP_DIRECTORY_ACCESS n’a  pas la valeur NONE.
Une fois le paramètre d’initialisation LDAP_DIRECTORY_ACCESS  paramètre à  PASSWORD ou SSL , les authentifications peuvent être gérés depuis un annuaire Oracle Internet Directory.
Pour plus d’informations   Oracle Database Reference
Exemple de connexion  en tant que SYSDBA  au service réseau DEMO:

CONNECT TESTDBAUSER@DEMO AS SYSDBA
Enter password: password

Le mot de passe saisi est contrôlé depuis l’annuaire LDAP. En revanche si la base de données pour utiliser un fichier de mots de passe (remote password file), Oracle Database contrôle d’abord le fichier de mots de passe en premier.
Dans le prochain article nous traiterons de la configuration de l’authentification via SSL et  Kerberos.
 

1 réflexion sur “Authentification renforcée des comptes administrateurs de bases de données Oracle – Partie 1”

  1. SQL> alter system set ldap_directory_sysauth=yes;
    alter system set ldap_directory_sysauth=yes
    *
    ERROR at line 1:
    ORA-02095: specified initialization parameter cannot be modified
    LDAP_DIRECTORY_SYSAUTH n’est pas dynamique…
    Yannick.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *