Vernetztes Wissen gestalten. Konzeption und Betrieb eines Oracle Portals Jörg Klimke, Bertrandt AG Agenda Inhalt Vorstellung Konzeption System Übersicht Load Balancing IDS/IPS HTTPS Portal CMS/DMS Caching Webdav, Oracledrive und Portal Identity Management und Security Betrieb System Management Usermanagement Migration(en) und Hilfsmittel dazu SIG Fusion Middleware Konzeption und Betrieb Bertrandt AG 2008-09-16/J.Klimke 2 Vorstellung Bertrandt AG Bertrandt Services Bertrandt gehört zu den europaweit führenden Ingenieurdienstleistern der internationalen Automobil- und Luftfahrtbranche. Heute erarbeiten rund 5.700 Mitarbeiter an 29 Standorten in Europa und den USA direkt beim Kunden vor Ort individuell zugeschnittene Lösungen: von einzelnen Komponenten und Modulen bis hin zu kompletten Varianten. Zu den Hauptkunden zählen die großen Hersteller sowie zahlreiche Systemlieferanten. Bertrandt Services ist ein professioneller Dienstleistungspartner für Industrie und Mittelstand. Das Tochterunternehmen der Bertrandt AG bietet mit qualifizierten Fach- und Führungskräften technische und kaufmännische Dienstleistungen an. In den Branchen Maschinenbau, Elektrotechnik oder Medizintechnik gehören hochwertige Projekte in Themenfeldern wie Engineering, IT oder Office/Management zum Portfolio. Bertrandt und Oracle Oracle Datenbanken sind seit 1999 im Einsatz, der Applicationserver mit Portal seit 2001. Jörg Klimke gelernter Fernmeldeelektroniker, seit 1983 im IT Bereich tätig, Schwerpunkt Softwareentwicklung, seit 1996 mit Oracle Produkten seit 1998 bei Bertrandt verantwortlich für Oracle Datenbanken, Intranet, Internet und Extranet Betrieb, Softwareentwicklung und Projekte im Web Umfeld. SIG Fusion Middleware Konzeption und Betrieb Bertrandt AG 2008-09-16/J.Klimke 3 System Übersicht Extranet Schematische Flussdarstellung - Extranet htt p SIG Fusion Middleware Konzeption und Betrieb Bertrandt AG 2008-09-16/J.Klimke 4 System Übersicht Intranet Schematische Flussdarstellung - Intranet INTERN Webserver DMZ https http p htt SSL Entschlüsselungs Proxy INTERN http IPS Login Server: HP ProLiant DL360 G3 3GB Memory Oracle Appl.Server 10.1 RedHat 4 U4, x86 http Load Balancer oracle sqlnet http Portaldatenbank & Infrastrukturdatenbank: DELL Power Edge 2950 2x 2.0GHz Xeon 8GB Memory Oracle 10G R2, ASM RedHat 4 U4, x86_64 oracle sqlnet Application Server: HP ProLiant DL360 G3 3GB Memory Oracle Appl.Server 10.1 RedHat 4 U4, x86 SIG Fusion Middleware Konzeption und Betrieb Bertrandt AG 2008-09-16/J.Klimke 5 Load balancing Übersicht Verschiedene Ansätze Unterschiede beim Verteilen · einfaches Round Robin · Cookie setzen/auswerten, um Client auf gleichen Applicationserver zu halten · Lasterverteilung über Auslastungsmessung Modi · Proxy Mode (im Auftrag von..) · Direkt Mode (Anfrage weiterleiten) „hinter“ dem LoadBalancer muss es ein eigenes Segment geben Virtuelle Hosts in der httpd.conf notwendig Grundprobleme bei LB, die den Client nicht auf einem Server halten Scriptsprache darf lokal nichts speichern · z.B. PHP Sessioninformationen · Dateiablage SIG Fusion Middleware Konzeption und Betrieb Bertrandt AG 2008-09-16/J.Klimke 6 Load balancing Lastverteilung einfaches Round Robin frägt der Client beim Loadbalancer an, werden in wechselnder Reihenfolge die konfigurierten Server angesprochen meist Layer; 3 Switches, die per HTTP überwachen können Cookie setzen/auswerten Beim ersten Aufruf wird, nach „Auswahl“ des Servers, ein Cookie gesetzt, um beim zweiten Aufruf wieder auf demselben Server zu landen. Lastverteilung über Auslastungsmessung Neben der Möglichkeit die Server der Reihe nach durchzugehen, bieten manche Hersteller durch Softwareagenten auf den Zielservern eine Verteilung durch Lastmessung SIG Fusion Middleware Konzeption und Betrieb Bertrandt AG 2008-09-16/J.Klimke 7 Load balancing Pro und Contra bei der Betrachtung von 2 „kleinen“ zu einem „großen“ Server Pro Ausfallsicherheit Lastverteilung Wartung tagsüber Skalieren durch zusätzlichen Server Contra Kosten Hardware / Lizenzen mehr Patch- und Migrationsaufwand Komplexere Infrastruktur Sessionproblematik Skalieren nur durch Austausch also schnelleren Server SIG Fusion Middleware Konzeption und Betrieb Bertrandt AG 2008-09-16/J.Klimke 8 Load balancing im direct mode Warum ein eigenes Segment? 1. 2. 3 3. 192.168.240.31 2 1 192.168.240.10 4. 192.168.240.20 Client fragt bei LoadBalancer an LoadBalancer sucht sich einen Server und sendet den Request weiter Server antwortet dem Client direkt, da er ihn direkt erreichen kann Client bekommt ein Antwortpaket von einer Adresse, die er nicht angefragt hat und verwirft das Paket 192.168.240.32 1. 2. 3. 2 192.168.10.100 192.168.10.1 gw:192.168.10.100 1 4. Client fragt LoadBalancer LoadBalancer leitet weiter Server antwortet diesmal über das default Gateway Loadbalancer Client bekommt Paket von erwarteter Adresse 3 192.168.240.10 4 192.168.240.10 192.168.10.2 gw:192.168.10.100 SIG Fusion Middleware Konzeption und Betrieb Bertrandt AG 2008-09-16/J.Klimke 9 IDS / IPS Intrusion Detection und Prevention System Als "Intrusion Prevention Systeme" (IPS) werden "Intrusion Detection Systeme (IDS)" bezeichnet, die über die reine Generierung von Ereignissen (Events) hinaus Funktionen bereitstellen, die einen entdeckten Angriff verhindern können. Netzwerkbasiertes IPS das vom Grundsatz her den Datenfluss in Echtzeit mit Signaturen vergleicht und daraus Aktionen selbstständig ableitet. Verhinderung von Angriffen gegen die dahinter liegende Systemlandschaft So werden beispielsweise Angriffe auf Applikationen verhindert, da auf SQL Injections geprüft wird. Bekannte Schwachstellen, die möglicherweise auf dem Zielsystem noch nicht gepatcht sind, können nicht ausgenutzt werden. Die Einführung des IPS war die Erkenntnis dass in bedrohlichen Situationen rund um die Uhr sofort ohne Verzögerung gehandelt werden muss. SIG Fusion Middleware Konzeption und Betrieb Bertrandt AG 2008-09-16/J.Klimke 10 HTTPS SSL accelerator oder https in der Blackbox Wenn https Verbindungen benötigt werden, bestehen grundsätzlich zwei Möglichkeiten: https direkt mit dem apache Einsatz eines SSL accelerator Pro SSL accelerator Der Einsatz eines IPS Systems macht es möglich, dass es innerhalb der DMZ keinen verschlüsselten Netzwerkverkehr gibt. Die Last des Verschlüsselns / Entschlüsselns liegt nicht zusätzlich auf den Applikation Servern. Zertifikate liegen geschützt(er) auf der Blackbox. Contra SSL accelerator Zusatzkosten, da dieser bei einer Loadbalancer Version auch zweimal da sein müsste. · Alternativ könnte hier ein Kombiprodukt aus Loadbalancer und SSL accelerator zum Einsatz kommen. SIG Fusion Middleware Konzeption und Betrieb Bertrandt AG 2008-09-16/J.Klimke 11 Portal - Seitenaufbau Ajax UI-Template HTML Template Anwesenheitsinfo (freiwillig) Breadcrumb iframe Aktienkurs Ajax Autoupdater iFrame mod_plsql DB-Provider Portlet SIG Fusion Middleware Konzeption und Betrieb Bertrandt AG 2008-09-16/J.Klimke 12 Portal – integrierte Suche SIG Fusion Middleware Konzeption und Betrieb Bertrandt AG 2008-09-16/J.Klimke 13 Portal und IFrame Integriert und doch getrennt Verschlüsseltes Sessionbased Cookie function authorize return boolean is Testdatenbank; aber produktiver Applikationsserver http://bertrandtportal.bertrandt.net/pls/secifp/!I_TELEFONLISTE.show pls/sql Handler dads.conf SIG Fusion Middleware Konzeption und Betrieb Package/Procedure Bertrandt AG 2008-09-16/J.Klimke 14 CMS /DMS Die Vision (2003) bertPortal Intranet www.bertrandt.com Homepage www.bertrandt.biz B2B Link Link File File Link File Link File SIG Fusion Middleware Konzeption und Betrieb Bertrandt AG 2008-09-16/J.Klimke 15 CMS /DMS Die Realität (2008) www.bertrandt.com Homepage bertPortal Intranet File File www.bertrandt.biz B2B File File File File SIG Fusion Middleware Konzeption und Betrieb File Bertrandt AG File File 2008-09-16/J.Klimke 16 CMS /DMS Die Planung (2009) www.bertrandt.biz B2B bertPortal Intranet www.bertrandt.com Homepage ECM File File File File File File File SIG Fusion Middleware Konzeption und Betrieb File File Bertrandt AG 2008-09-16/J.Klimke 17 Caching - Webcache Webcache Cluster Übersicht Haupt-DB Invalidierungs URL • warum einen Webcachecluster • warum nicht zwei Portal + Infrastructure http https SSL Accelerator SIG Fusion Middleware Konzeption und Betrieb Bertrandt AG 2008-09-16/J.Klimke 18 Identity Management & Security: DIT - DIP Von mod_ntlm nach WNA Portal 3.0.9 Einsatz des mod_ntlm unter SunOS und der externen Anmeldung über DBMS_LDAP bzw. WWSSO_AUTH_EXTERNAL Package. Stabile einfache und sichere Lösung. Per NTML wird auf einem Windowsserver der Username verschlüsselt und an eine JSP auf dem SSO Server übergeben. Dort wird der Benutzer am OID angemeldet. Æ OID Plugin Läuft stabil, hat Sicherheits- und Funktionslücken bei Zusatzfunktionen. Portal 10.1.4 Portal 10.1.2 Erste Version in der, bis auf das Plugin beim manuellen Useranmelden, nicht auf Oracle Zusatzsoftware verzichtet werden konnte. Unterstützt daher auch alles was wir Oracleseitig einsetzen. Noch nicht produktiv, daher keine Info zur Stabilität. SIG Fusion Middleware Konzeption und Betrieb Bertrandt AG 2008-09-16/J.Klimke 19 Identity Management & Security: DIT - DIP Directory Integration and Provisioning Bestandteil des Oracle Application Server zur Synchronisation von andern LDAP Directories zum OID. Ist in unserem „alten“ Portal im Einsatz, allerdings nur für Benutzer, nicht für Gruppen. Directory Integration Toolkit Ein Oracle Consulting Tool (pur PL/SQL), das ebenfalls zur Synchronisation von anderen LDAP Directories dient. Ist in unserem neuen Portal im Einsatz zum Synchronisieren von Usern und Gruppen aus derzeit 1 Windows Forrest mit 4 Domänen. SIG Fusion Middleware Konzeption und Betrieb Bertrandt AG 2008-09-16/J.Klimke 20 Identity Management & Security: DIT - DIP Warum DIT? Problemstellung mehrere Domänen müssen in eine OID Domäne synchronisiert werden. Bisheriger DIP Assistant unpraktikabel. GroupMembers können nicht sauber gemapped werden, somit nur Useraccounts verfügbar. Vorteile DIT feinere Granulierung, welche Objecte synchronisiert werden mehrere Konfigurationen möglich Konfig selbst liegt in der Datenbank statt auf dem Filesystem detailliertes Logging in Datenbank möglich SIG Fusion Middleware Konzeption und Betrieb Bertrandt AG 2008-09-16/J.Klimke 21 Identity Management & Security: WNA Windows Native Authentication The Oracle SSO server has a feature which enables Microsoft Internet Explorer users to automatically authenticate to their Web applications using their desktop credentials. This is known as Windows Native Authentication. IE JSSO Authentisierung des Clients mittels SPNEGO und Kerberos User meldet sich an Client / Windows Domäne an. (Kerberos Realm) KDC Ruft der User eine Portalseite auf, wird er zum SSO umgeleitet. SSO prüft das Client Kerberos Ticket und leitet bei Erfolg zur Ziel-URL weiter. AD Einschränkung: - nur mit Internet Explorer bzw. Browser nutzbar, die Microsoft's SPNEGO unterstützen - Kerberos Realm auf eine Domäne (Forrest) beschränkt SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism) GSSAPI (Generic Security Services Application Program Interface) SIG Fusion Middleware Konzeption und Betrieb Bertrandt AG 2008-09-16/J.Klimke 22 Identity Management & Security: WNA Fallback Authentication Falls User nicht über den Kerberos Realm authentifiziert werden kann, kommt die Fallback Authentication zum Einsatz. Login ohne Integrierte Authentication oder Mozilla (intern und extern) Customized LoginPage mit Username und Passwort SIG Fusion Middleware Konzeption und Betrieb Bertrandt AG 2008-09-16/J.Klimke 23 Identity Management & Security: WNA Fallback Authentication Login von Extern mit Internet Explorer und aktivierter „Integrated Authentication“ SSO Login mit Username und Passwort Änderung auf Custom Login Page: nicht möglich Oracle Lösung: Deaktivieren der „Integrated Authentication“ oder zweiter SSO für externe Zugriffe ohne WNA SIG Fusion Middleware Konzeption und Betrieb Bertrandt AG 2008-09-16/J.Klimke 24 Identity Management & Security: DIT - DIP Userobjekt Synchronisation eines Userobjekts aus dem Active Directory in das OID SIG Fusion Middleware Konzeption und Betrieb Bertrandt AG 2008-09-16/J.Klimke 25 Identity Management & Security: DIT - DIP Einstellung für die Anmeldung Attribut für den Username ist UID Anmeldung ohne Angabe der Domäne möglich Usernamen müssen eineindeutig sein - über alle Domänen hinweg. Bsp. Account aus Domäne es.bertrandt.net im OID SIG Fusion Middleware Konzeption und Betrieb Bertrandt AG 2008-09-16/J.Klimke 26 Webdav, Oracledrive und Portal Mit Windows Explorer am Portal arbeiten WebDav bietet die Funktionalität die Portal Contentstruktur als Laufwerk in den Explorer einzubinden Bearbeiten der Ordner / Seitenstruktur und Dateien Oracle Drive erweitert das Laufwerk um zusätzliche Portalfunktionen, die per Contextmenü auf den Inhalt angewendet werden können: WebServer update.xml odrive.ini config.xml SIG Fusion Middleware Konzeption und Betrieb Bertrandt AG 2008-09-16/J.Klimke 27 Webdav, Oracledrive und Portal Einsatz von Webdav - … Portal 10.1.2 mit customized Loginprocedure Webdav für User nicht nutzbar, da kein automatischer Login möglich ist. Portal 10.1.4 mit WNA Webdav und Oracledrive für User nutzbar. Login des Oracledrive läuft über SSO/WNA config des Oracledrive mit SSO-URL http://bertrandtportal.bertrandt.net/portal/pls/portal/!PORT AL.wwpob_smd.login SIG Fusion Middleware Konzeption und Betrieb Bertrandt AG 2008-09-16/J.Klimke 28 Applicationserver bekannte Stolperfallen bei Intranet / Extranet Anwendungen RichText Editoren machen aus allen relativen Links absolute · Lösung: Trigger oder DB-Job zur Ersetzung Bei DMZ Anwendungen Firewalls droppen inaktive Verbindungen · SQLNET.EXPIRE_TIME oder tcp_keepalive_time SIG Fusion Middleware Konzeption und Betrieb Bertrandt AG 2008-09-16/J.Klimke 29 von der Konzeption zum Betrieb Konzeption Betrieb Bertrandt Headquarter, Ehningen SIG Fusion Middleware Konzeption und Betrieb Bertrandt AG 2008-09-16/J.Klimke 30 OEM und OV Oracle Enterprise Manager und HP Openview SIG Fusion Middleware Konzeption und Betrieb Bertrandt AG 2008-09-16/J.Klimke 31 OEM und OV Applicationserver+SSO DMZ Syslog Weiterleitung Oracle Agent Applicationserver intern Openview Agent Oracle Agent Datenbanken Openview Agent Oracle Agent SIG Fusion Middleware Konzeption und Betrieb Bertrandt AG 2008-09-16/J.Klimke 32 OEM und OV PL/SQL EXCEPTION Handling Zentrales Fehlermanagement aller Datenbankinstanzen ins zentrale Systemmanagement ermöglicht zusammen mit allen Mitteilungen der Datenbanken, Applikationserver und Loginserver eine gute FehlerÜbersicht. SIG Fusion Middleware Konzeption und Betrieb Bertrandt AG 2008-09-16/J.Klimke 33 Usermanagement Ablauf SAP-HR Userstamm pflegen • Usermanagement • Usernamen vergeben • interne User -> Windows AD • externe User -> OID AD Automatisches Anlegen der User in der Microsoft Windows Active Directory Synchronisierung der User und Gruppen ins Oracle Internet Directory Gleicher Ablauf bei Änderung der Daten in SAP (z. B. durch Heirat) SIG Fusion Middleware Konzeption und Betrieb Bertrandt AG 2008-09-16/J.Klimke 34 Usermanagement SIG Fusion Middleware Konzeption und Betrieb Bertrandt AG 2008-09-16/J.Klimke 35 Jul 2007 Dez 2006 Jul 2005 März 2001 Nov 2005 Von 1 nach 10 Jun 2004 Dez 2003 Migrationen iAS 1.0.2.2 AS 9.0.2 AS 9.0.3 AS 10g (9.0.4) AS 10g R2 (10.1.2) AS 10g R3 (10.1.3) AS 9.0.4. iAS 1.0.2.2 AS 10.1.2 0.0 2.0 DB 8i SIG Fusion Middleware Konzeption und Betrieb DB 9i Bertrandt AG DB 10g 2008-09-16/J.Klimke 36 Migrationen Von 1.0.2.2 (3.0.9.8.5) nach 10.1.2 (10.1.4) 3.0.9.8.5 -> 9.0.4, Parallel zum Plattformwechsel von Sun Solaris nach HP-UX Export der Daten auf dem Produktivserver Import im Testsystem Migrationstest Fehlerprotokoll an Oracle Patch installiert Nach Erfolg im Testsystem, gleiches Vorgehen wie im Test 9.0.4 -> 10.1.2, Parallel zum Plattformwechsel von HP-UX nach Linux Basis wie bei 3.0.9.8.5 nach 9.0.4 Export der Daten aus Produktivsystem Import in „Migrationssystem“ Migration Export aus „Migrationssystem“ Import auf Zielsystem 10.1.2 -> 10.1.4 Installation der neuen Version Pages manuell neu erstellt Dokumente über eigene Schnittstelle (Oracle API) SIG Fusion Middleware Konzeption und Betrieb Bertrandt AG 2008-09-16/J.Klimke 37 Migrationen Mit vmware und dd zum virtuellen Testserver Slave 192.168.205.2 Linux Cloning HowTo nc -l -p 9000 | dd of=/dev/sda - beide System mit Knoppix booten - Auf dem Slave (vmware) IP 192.168.205.2 einrichten nc -l -p 9000 | dd of=/dev/sda - auf dem Master IP 192.168.205.1 einrichten dd if=/dev/cciss/c0d0 | nc 192.168.205.2 9000 Nach Ende des netcat / dd muss noch der inird-<kernelversion>.img im /boot Verzeichnis durch ein angepasstes Treiber image ersetzt werden. Weiterhin muss im Vrz: /etc/ die fstab Datei angepasst werden (/dev/cciss/codopX durch /dev/sdaX) Beim ersten. Starten meldet sich kudzu (Erkennung Hardwareänderungen), Wizard bis zum Ende durchführen und für das neue Netzwerk entsprechende IP-Adressen konfigurieren. Master 192.168.205.1 dd if=/dev/cciss/c0d0 | nc 192.168.205.2 9000 SIG Fusion Middleware Konzeption und Betrieb Bertrandt AG 2008-09-16/J.Klimke 38 Systemübersicht aus “Oracle” Sicht Oracle Management Server AS (Portal) Local Network: -Intranet (http) -b2b (http) DB Server Load Balancer AS (Portal) https Infrastructure Database http Firewall Firewall SSL-Box Internet -Intranet (https) -b2b (https) HP Openview Systemmanagement Load Balancer DMZ Windows 200x DC Active Directory Login-Server SIG Fusion Middleware Konzeption und Betrieb Bertrandt AG 2008-09-16/J.Klimke 39 Die Erfahrungen Ausgewählte Referenzen unter www.bertrandt.com Audi A2, A3, A4 Bertrandt Competence Electronic-Project Bentley Continental GT Bertrandt Ergoseat Binz Sonderfahrzeugaufbauten BMW 3er, 7er, M5, X5, Z8 Citroën C5 DaimlerChrysler: LKW-Lichtprüfstand Ford Focus, Mondeo, Visos Jaguar X400 Mercedes-Benz C-Klasse, CL Coupé, SL Roadster Mercedes-Benz Nutzfahrzeuge Opel Astra, Meriva, Vectra, Zafira Renault Mégane, Concept-Car Zoé Sevex - Hitzeschilder smart crossblade Snecma Moteurs, Prüfstandbau Luftfahrt VW Multivan, Golf, Passat, Touareg etc. SIG Fusion Middleware Konzeption und Betrieb Bertrandt AG 2008-09-16/J.Klimke 40 Vielen Dank. Vernetztes Wissen gestalten.