Questa sezione spiega dettagliatamente come gli amministratori del database (DBA) e gli amministratori di sicurezza eseguono i passi coinvolti nella inizializzazione di Oracle Security Server (OSS), e include:

• Dipendenze di Oracle Security Server Repository
• Definizione di utenti e ruoli globali del Server Oracle8
• Installazione di Oracle Security Server Repository
• Costruzione di Oracle Security Server Repository
• Configurazione di Oracle Security Adapters su Client e Server
• Installazione di Wallet a Client e Server
• Rimozione di Oracle Security Server Repository

Dipendenze di Oracle Security Server Repository

Prima di procedere alla vera e propria installazione di un database come Oracle Security Server Repository (OSSR), bisogna installare SQL*Net 7.3.2. o qualche versione più recente, o Oracle8 Server, su qualsiasi piattaforma che supporta Oracle.

Definizione di utenti e ruoli globali del Server Oracle8

Si raccomanda di definire utenti e ruoli globali sul server Orcle8 prima di usarli su Oracle Security Server. Il DBA associato a ciascun Server dovrebbe eseguire i seguenti passi, usando le caratteristiche del gestore di sicurezza di Oracle Enterprise Manager:

1. Definire ciascun utente globale con la seguente sintassi:

   CREATE USER user IDENTIFIED GLOBALLY AS 'C=country,
   O=organization,OU=organization_unit,ST=state,CN=user'

2. Definire ciascun ruolo globale con la seguente sintassi:

   CREATE ROLE role IDENTIFIED GLOBALLY

Installazione di Oracle Security Server Repository

Un DBA dovrebbe compiere i passi seguenti per configurare un DB di Oracle contenente OSSR:

1. Avviare Oracle Enterprise Manager
    
2. Installare Oracle Security Server Manager 2.0.3
   Un nuovo gruppo di programma chiamato OSS apparirà in risposta sul desktop
    
3. Lanciare il programma Create Security Server. La finestra di informazioni di LOGIN del DB appare in risposta
    
4. Usare la finestra di informazione di LOGIN del DB per definire il DB che conterrà Oracle Security Server Repository:
   
   
   1. Digitare system nel campo Username
       
   2. Digitare nel campo password la password che preferisci per definire l'uso di amministratore di Oracle Security Server. La password dovrebbe contenere almeno otto caratteri, e almeno uno di questi caratteri dovrebbe essere alfanumerico
       
   3. Digitare nel campo Service il nome del DB sul quale Oracle Security Server Repository risiederà.
       
   4. Cliccare sul tasto OK
      Una finestra di conferma apparirà in risposta. Questa finestra chiederà di confermare che Oracle Security Server Repository risiederà sul DB specificato.
       
   
    
5. Cliccare sul tasto OK di conferma sulla finestra.
   Installando Oracle Security Server Repository viene creato un nuovo utente chiamato oracle_security_server_admin. L'utente oracle_security_server_admin ha un accesso read/write ai dati di Oracle Security Server Repository. Si deve definire la password per questo utente come al passo 4 della procedura descritta sopra.
   
   

   Nota:
   Solamente un utente oracle_security_server_admin alla volta si può connettere ad Oracle Security Server Repository

   
   
    
6. Lanciare il programma Oracle Security Server Manager dal gruppo di programma di Oracle Security Server.
   La finestra di informazioni di LOGIN apparirà in risposta
    
7. Accedere a Oracle Security Server Manager, usando la finestra informazione di LOGIN
   
   
   1. Digitare oracle_security_server_admin nel campo username
       
   2. Digitare la password che è stata definita passo 4, nel campo Password
       
   3. Digitare il nome del Servizio che è stato definito al passo 4, nel campo service
       
   4. Cliccare sul tasto OK
      Una finestra di conferma apparirà in risposta. Questa finestra chiederà di confermare se si vuole un'autorità di certificazione (CA) nel collegamento con il nuovo Oracle Security Server Repository.
       
8. Cliccare sul tasto della finestra di conferma.

La finestra di Oracle Security Server Manager (Figura 3.1) apparirà in risposta

Figure 3.1 Finestra Oracle Security Server Manager

Costruzione di Oracle Security Server Repository

Per costruire Oracle Security Server Repository, bisogna avere familiarità con Oracle Security Server Manager.
La sezione successiva descrive tutti i passi che compaiono nella procedura che segue, e ulteriori azioni che si possono compiere.
Nota bene i seguenti punti:

• L'utente di Oracle Security Server Manager, amministratore di sicurezza (SA), controlla il CA. Oracle Security Server perfeziona il concetto di CA all'interno di Oracle Security Server Repository
   
• In questo contesto un Server è semplicemente una rappresentazione Oracle8 Server Authorization
   
• Un Server Authorization è una rappresentazione di un ruolo che è stato identificato globalmente ad un Oracle8 Server.
   
• Un Enterprise Authorization è un compito che un utente globale può eseguire attraverso Oracle8 database multiplo. Una Enteprise Authorization può contenere uno o più Server Authorization, e/o una o più Enterprise Authorization
   
• Un utente diviene globale non appena ha un identità definita nell' Oracle Security Server Repository
   

Seguire questi passi per costruire Oracle Security Server Repository:

1. Per stabilire l'autorità di certificazione:
   
   
   1. Selezionare create dal menù a discesa identità su Oracle Security Server Manager.
      La finestra di Creazione Identità appare in risposta. Il pulsante del certificato d'autorità nella parte alta della finestra si riempirà
       
   2. Riempire i campi all'interno dell'area de Nomi Distinti della finestra di creazione d'identità (Cliccare sul tasto d'aiuto sul fondo della finestra per maggiori informazioni circa questi campi)
       
   3. Cliccare sul tasto OK sul fondo della finestra
       
   4. Entrare e/o cambiare i valori dei campi nella finestra crea nuove credenziali.(Cliccare sul tasto d'aiuto sul fondo della finestra per maggiori informazioni circa questi campi)
       
   5. Cliccare il tasto Crea sul fondo della finestra.
      La CA apparirà nella struttura ad albero sulla finestra di Oracle Security Server Manager nella cartella oss/Identies/Approved

   Figure 3.2 Finestra d' Identità per Utente Root

   

    
2. Per definire un Server:
   
   
   1. Selezionare create dal menù a discesa Server della finestra di Oracle Security Server Manager. La finestra di creazione del Server appare in risposta
       
   2. Digitare il nome del nuovo Server, nel campo Nome Server.
      
      

      Nota:
      Questo nome deve essere uguale al nome globale del DB associato.

      
      
       
   3. Cliccare sul tasto OK sul fondo della finestra.
      Il nuovo Server apparirà nella struttura ad albero nella finestra di Oracle Security Server Manager all'interno della cartella di Oss/Authorization/Server. La figura 3.3 mostra le informazioni per un tipico Server.

      Figure 3.3 Finestra di creazione di un esempio di Server

      

      
      Durante questo passo si possono definire quanti Server si vuole.
   
    
3. Per definire una Server Authorization:
   
   
   1. Selezionare create dal menù a discesa Authorization Server nella finestra di Oracle Security Server Manager
       
   2. Digitare il nome della nuova Server Authorization nel campo Role Name
       
   3. Se si desidera definire una nuova Server Authorization per un solo Server, selezionare il nome di quel Server nel menù a discesa Server Name. Se si desidera definire una nuova Autorizzazione Server per tutti i Servers, definiti in Oracle Security Server, allora cliccare sul tasto Cretae for all server
       
   4. Cliccare sul tasto OK sul fondo della finestra.
      La nuova Autorizzazione Server apparirà nella struttura ad albero nella finestra di Oracle Security Server Manager nella cartella Roles per ciascun Server col quale la nuova autorizzazione è associata. Ognuna di queste entità Server risiede nella cartella di autorizzazione oss/Authorization/Server.
       
   La figura 3.4 mostra le informazioni per una tipica Server Authorization.

   Figure 3.4 Finestra di creazione di un esempio di Server Authorization

   

   
   Durante questo passo si possono definire tante Server Authorization quante se ne vuole.
    
4. Per definire una Enterprise Authorization:
   
   
   1. Selezionare create dal menù a discesa Enterprise Authorization nella finestra di Oracle Security Server Manager.
      La finestra di creazione Enterprise Authorization appare in risposta
       
   2. Digitare il nome della nuova Enterprise Authorization, nel campo Enterprise Authorization
       
   3. Cliccare sul tasto OK sul fondo della finestra.
      
      La nuova Enterprise Authorization apparirà nella struttura ad albero nella finestra di Oracle Security Server Manager, nella cartella di autorizzazioni oss/Authorization/enterprise.
      
      La figura 3.5 mostra le informazioni per una tipica Enterprise Authorization.

      Figure 3.5 Finestra di creazione di un esempio di Enterprise Authorization

      

      
       
   4. Nella struttura ad albero, cliccare sul simbolo per la nuova Enterprise Authorization. La finestra di Enterprise Authorization appare in risposta
       
   5. Cliccare sul tab Server Authorization della finestra di Enterprise Authorization. La finestra associata a quel tab appare in risposta
       
   6. La Autorizzazione Server definita al passo 3 di questa procedura è disponibile per poter essere utilizzata nelle Enterprise Authorization. Per assegnare una Server authorization a una Enterprise authorization:
      
      
      • Selezionare un Server dal menù a discesa Name
         
      • Cliccare sul nome di una Autorizzazione Server che appare nella colonna Available
         
      • Cliccare sul tasto grant
        La Server authorization si sposterà dalla colonna Available alla colonna Granted
         
      La figura 3.6 mostra Server authorization, associate ad un particolare Server cui è stata assegnata una tipica Enterprise Authorization.

      Figure 3.6 Server Authorization per una tipica Enterprise Authorization

      

      
      Durante questo passo si possono definire tante Enterprise Authorization quante se ne vuole.
      
      Presi insieme Server Authorization e Enterprise Authorization sono la realizzazione in Oracle Server Security del concetto di ruolo globale.
      Nel caso specifico, se un identità definita in Oracle Server Security è autorizzata a compiere un particolare ruolo su un particolare Server, allora un utente che è stato identificato globalmente sul Server può acquisire un ruolo, dello stesso nome, che è stato identificato globalmente sul quel Server
   
    
5. Si definisca l'identità per ognuno degli utenti che è stato definito globalmente identificato su uno o più Server Oracle8.
   Oracle8 raccomanda, prima il ruolo di amministratore di sicurezza, di verificare l'identità di ciascun utente usando una forma di identificazione forte, prima di definire quell'utente in Oracle Security Server. Per definire un'identità per un utente si eseguono i seguenti passi:
   
   
   1. selezionare create dal menù a discesa identity nella finestra di Oracle Security Server Manager. La finestra Create identity appare in risposta
       
   2. Riempire i campi dentro l'area Distinguished Name della finestra Create identity (Cliccare sul tasto help per maggiori informazioni)
       
   3. Cliccare sul tasto OK nella finestra.
      La finestra Create New Credential appare in risposta
       
   4. Inserire o cambiare i valori dei campi nella finestra Create New Credential (cliccare sul tasto HELP per maggiori Informazioni)
       
   5. Cliccare sul tasto create in alto nella finestra
       
   La nuova Identità apparirà nella struttura ad albero all'interno della finestra di Oracle Security Server Manager all'interno della cartella oss/Identities/Approved
   
   La figura 3.7 mostra l'Identità e le informazioni sulle credenziali per un tipico utente Identity

   Figure 3.7 Finestra d'Identità per un semplice utente

   

   
    
   6. Seleziona il tab Server Authorizations.
      La finestra corrispondente apparirà
       
   7. La Server Authorization che è stato definita al passo 3 di questa procedura permette di assegnare una nuova Identità. Per assegnare una Server authorization a un'Identità si devono seguire i seguenti passi:
      
      
      • Selezionare un Server nel menù a discesa Name
         
      • Selezione un nome di un Server Authorization che appare nella colonna Available
         
      • Clicca sul pulsante grant. La Server Authorizations, è stato spostata dalla colonna Available a quella Granted.
        
        La figura 3.8 mostra la Sever Authorization, associata ad un particolare Server, cui è stato assegnato un tipica Identità

        Figure 3.8 Server Authorization per una tipica Identità

        

      
       
   8. Clicca sul tab Enterprise Authorization.
      La finestra associata a questo tab appare
       
   9. L'Enterprise Authorization che è stato definito al passo 4 di questa procedura permette di assegnare una nuova Identità. Per assegnare una Enterprise Authorization all' Identità si devono eseguire i passi seguenti:
      
      
      • Seleziona uno dei nome di un Enterprise Authorization che appaiono nella colonna Avalaible
         
      • Clicca sul pulsante Grant.
        l'Enterprise Authorization, è stato spostata dalla colonna Available a quella Granted.
        
        La figura 3.9 mostra l'Enterprise Authorization che è stata assegnata ad una tipica Identità

        Figure 3.9 Enterprise Authorization per una tipica Identità

        

        
        Durante questo passo si possono definire più Identità.
      
       
   10. Per approvare le credenziali dell'Identità creata dal WebServer che appare inizialmente sotto la struttura ad albero nella cartella oss/Identities/Requested, eseguire i seguenti passi:
       1. Clicca sul simbolo dell'identità.
          La finestra Approve Credentials appare
           
       2. Digita la password per il CA, che è stata definita nel passo 1 di questa procedura, nel campo Enter CA Password nella finestra Approve Credentials
           
       3. Clicca sul pulsante Generate Identity che è situato in fondo alla finestra. Quando sono state approvate le credenziali definite per un'identità esterna, questa identità dovrebbe essere spostata, dentro la struttura ad albero, dalla cartella oss/Identities/Requested alla cartella oss/Identities/Approved. Si può, naturalmente, approvare più di una identità
       
        

Configurazione di Oracle Security Adapters su Clients e Servers

Per abilitare Oracle Security Adapter su un client o un server particolare si utilizza Oracle Net8 Assistant o la linea di comando, e compiere uno o più dei seguenti passi, come necessario, per modificare il file SQLNET.ORA:

1. Per essere autenticato, ciascun Principale deve possedere un wallet. Un wallet è un file che contiene un certificato X.509 e una coppia di chiavi pubblica-privata. La chiave privata è cifrata.
   Il file SQLNET.ORA, dato nel client Net8 o in Oracle8 Server, contiene la locazione del wallet dell'Identità. Un Server o un client dato, scarica il suo wallet da Oracle Security Server Repository. Il wallet è immagazzinato dal client o dal server localmente; essi sono responsabili della protezione del suo contenuto da accessi non autorizzati. Il client o il server utilizzano la propria password per decifrare la chiave privata cifrata che è contenuta nel wallet.
   Per definire la locazione della directory contenente il wallet del Pricipale, si deve usare il seguente template:
   
   

   oss.source.my_wallet=
   (SOURCE=
   (METHOD=FILE)
   (METHOD_DATA=
   (DIRECTORY=direcory_path)
   )
   )
   

   
   dove directory_path è il percorso completo di una directory appropriata.
   Per esempio in UNIX è:
   
   

   /oracle_home/network/admin

   
   Se non si specifica un valore per oss.source.my_wallet, Oracle Security Server utilizza il valore di default, che è una ben nota directory nell'home directory principale. Per esempio in UNIX è:
   
   

   $HOME/oracle/oss

   
    
2. Definire un nome per Oracle Security Server Repository, del database che mantiene i wallets di tutti i Principali. Definire un nome nel file TNSNAMES.ORA, che contiene l'indirizzo del server, utilizzando il seguente template:

   
   
   oss.source.location=
   (SOURCE=
   (METHOD=ORACLE)
   (METHOD=DATA=
   (SQLNET_ADDRESS=(service_name))
   )
   )
   

   
   dove service_name è il nome definito all'interno del file TNSNAMES.ORA (oralce_repository, per esempio) per Oracle Security Server Repository. Se non si specifica un valore per oss.source.location, Oracle Security Server utilizza quello di default, OSS, che assegna a Oracle Security Server Repository.
   
   

   Nota:
   Deve esserci un puntatore ad Oracle Security Server Repository dal file TNSNAMES.ORA o un Name Server.

   
   
   

Installazioni di Wallets su Clients e su Servers

Per scaricare un wallet si deve utilizzare il tool asslogin, o si deve generare un chiave privata in chiaro per decifrare una chiave privata cifrata contenuta nel wallet. La sintassi del comando asslogin e la seguente:

osslogin [-d] ['(X.509 Name)']

Il nome X.509 per un client o un server contiene tutti i valori standard e opzionali che formano il nome dentro l'identità dell'entità:C=country, O=organization, OU=organization_unit, ST=state, L=locality, CN=user. Per un utente globale, questi valori devono apparire esattamente nello stesso ordine come è stato fatto per gli utenti identified globally del database. Le singole quote sono richieste; osslogin genera un messaggio di errore se non sono fornite. Ciò che il tool fa dipende dalla forma del comando inserito e dalle informazioni presenti nella locazione(i).

Scaricare un Wallet

Se s'inserisce il comando

osslogin -d '(X.509 Name)'

il tool recupera il wallet del server o del client dato da Oracle Security Server Repository, utilizzando il nome X.509 specificato, e poi si scarica il wallet dalla locazione specificata dal valore presente nel parametro oss.source.my_wallet dentro il file SQLNET.ORA.

Nota:
Il certificato e la chiave privata cifrata contenuta nel wallet sono protetti solo dal meccanismo del controllo agli accessi che fornisce il Sistema Operativo del client e del server. La chiave privata in chiaro non può essere generata con questa forma del comando osslogin.

CAUTELA:
Si deve cancellare il wallet quando si è terminata una sessione di comunicazione. Questo aiuterà a proteggere il suo contenuto da accessi non autorizzati.

Generare una chiave privata (Nome specificato) decifrata (in chiaro)

Se s'inserisce il comando

osslogin -d '(X.509 Name)'

il tool cerca il wallet del client o del server dato, alla locazione specificata dal valore di oss.source.my_wallet.
Se il wallet non è presente in questa locazione, il tool lo recupera da Oracle Security Server Repository, utilizzando il nome specificato del X.509, scaricando il wallet dalla locazione specificata.
Una volta che è stato stabilito che il wallet è immagazzinato localmente dal client o dal server, il tool permette l'inserimento della password del client o del server da prompt. Il tool genera poi una chiave privata in chiaro usando la password per decifrare la chiave privata cifrata, e immagazzina la chiave privata in chiaro localmente sul client o sul server alla locazione specificata nel parametro oss.source.my_wallet.

ATTENZIONE:
Si deve proteggere la chiave privata in chiaro con cura. La chiave privata in chiaro autentica il client o il server nel network. Se utenti non autorizzati accedessero al file della chiave in chiaro, potrebbero mascherarsi come client o come server sul network, ottenendo informazioni riservate dell'identità.

Nota che addizionando -f al comando osslogin in questo modo:

osslogin -f '(X.509 Name)'

si costringe il tool a ricercare il wallet del client o del server direttamente su Oracle Security Server Repository. Se è scelta questa opzione, il tool chiede di inserire il nome del X.509.

Generare una chiave privata (Nome non specificato) decifrata (in chiaro)

Se si inserisce il comando

osslogin

il tool cerca il wallet di un dato client o sever nella locazione specificata dal valore del parametro oss.source.my_wallet.
Se il wallet non è in questa locazione, il tool chiede l'inserimento dell'elemento X.509 anche del client o del server. Il tool poi utilizza il nome inserito per ricercare il wallet del client o del server su Oracle Security Server Repository, scaricando poi il wallet dalla locazione specificata. Una volta che il wallet è immagazzinato localmente dal client o dal server, il tool permetterà l'inserimento della password del client o del server da prompt. Il tool genera poi una chiave privata in chiaro usando la password per decifrare la chiave privata cifrata, e immagazzina la chiave privata in chiaro localmente sul client o sul server alla locazione specificata nel parametro oss.source.my_wallet.

Rimozione di Oracle Security Server Repository

ATTENZIONE:
Si deve considerare l'eliminazione di Oracle Security Server Repository solo se sono stati spostati i dati dal repository ad un altro database o se s'intende cessare l'utilizzo di Oracle Security Server.

Un DBA deve compiere i seguenti passi per rimuovere Oracle Security Server Repository dal suo database Oracle:

1. Lanciare il programma Remove Security Server dal gruppo di programmi sul desktop di Oracle Security Server.
   
   La finestra Database Login Information appare in risposta.
    
2. Si utilizza questa finestra per inserirsi nel database che contiene Oracle Security Server Repository.
   
   
   1. Digitare la parola system nel campo Username
       
   2. Digitare la password di amministratore di Oracle Security Server nel campo Password
       
   3. Digitare il nome del database sul quale Oracle Security Server Repository risiede, nel campo Service.
       
   4. Cliccare sul pulsante OK
      
      Una finestra di conferma appare in risposta. La finestra chiede la conferma della rimozione di Oracle Security Server Repository dal database specificato.
       
   5. Cliccare sul pulsante OK nella finestra di conferma
   
    

---

DIA - Dipartimento di Informatica ed Applicazioni