1.通过OUI配置oracle数据库的高级安全选项和网络服务
2.配置kerberos认证
①执行指令netmgr,点击认证标签,在Available Methods, 选择KERBEROS5,移动到Selected Methods一列中,如下图
创建 /krb5目录并给目录777权限,创建配置文件krb.conf,点击Other Params标签,如下图
在krb.conf文件中增加如下内容
- [libdefaults]
- default_realm = DOMAIN.GE
- dns_lookup_realm = true
- dns_lookup_kdc = true
- [realms]
- DOMAIN.GE= {
- kdc = KERBEROS.DOMAIN.GE:88
- }
- [domain_realm]
- .domain.ge = DOMAIN.GE
- [logging]
- default = FILE:/tmp/krb5-kdc.log
- kdc = FILE:/tmp/krb5-kdc.log
修改sqlnet.ora文件
- SQLNET.AUTHENTICATION_SERVICES=(KERBEROS5)
- SQLNET.AUTHENTICATION_KERBEROS5_SERVICE=kservice
- SQLNET.KERBEROS5_CONF_MIT = TRUE
在参数pfile文件中增加如下内容
- OS_AUTHENT_PREFIX=""
3.创建一个外部认证用户
- CREATE USER SCOTT IDENTIFIED EXTERNALLY AS 'scott@DOMAIN.GE';
4. 拷贝Kerberos 主体数据库和密钥映射文件
以管理员的身份把文件拷贝到目录/etc/v5srvtab下
5.为外部用户获取kerberos的初始票据
% okinit scott@DOMAIN.GE
sqlplus /@kservice
可以得到Kerberos的票据,不用输入密码就可以登录数据库了
