Vernetztes Wissen gestalten

Werbung
Vernetztes Wissen gestalten. Konzeption und Betrieb eines Oracle Portals
Jörg Klimke, Bertrandt AG
Agenda
Inhalt
„ Vorstellung
„ Konzeption
ƒ System Übersicht
ƒ Load Balancing
ƒ IDS/IPS
ƒ HTTPS
ƒ Portal
ƒ CMS/DMS
ƒ Caching
ƒ Webdav, Oracledrive und Portal
ƒ Identity Management und Security
„ Betrieb
ƒ System Management
ƒ Usermanagement
ƒ Migration(en) und Hilfsmittel dazu
SIG Fusion Middleware Konzeption und Betrieb
Bertrandt AG
2008-09-16/J.Klimke
2
Vorstellung
Bertrandt AG
Bertrandt Services
Bertrandt gehört zu den europaweit führenden
Ingenieurdienstleistern der internationalen Automobil- und
Luftfahrtbranche. Heute erarbeiten rund 5.700 Mitarbeiter
an 29 Standorten in Europa und den USA direkt beim
Kunden vor Ort individuell zugeschnittene Lösungen: von
einzelnen Komponenten und Modulen bis hin zu kompletten
Varianten. Zu den Hauptkunden zählen die großen Hersteller
sowie zahlreiche Systemlieferanten.
Bertrandt Services ist ein professioneller Dienstleistungspartner für Industrie und Mittelstand. Das Tochterunternehmen der Bertrandt AG bietet mit qualifizierten
Fach- und Führungskräften technische und kaufmännische
Dienstleistungen an. In den Branchen Maschinenbau,
Elektrotechnik oder Medizintechnik gehören hochwertige
Projekte in Themenfeldern wie Engineering, IT oder
Office/Management zum Portfolio.
Bertrandt und Oracle
Oracle Datenbanken sind seit 1999 im Einsatz, der
Applicationserver mit Portal seit 2001.
Jörg Klimke
gelernter Fernmeldeelektroniker, seit 1983 im IT Bereich
tätig, Schwerpunkt Softwareentwicklung, seit 1996 mit Oracle
Produkten
seit 1998 bei Bertrandt verantwortlich für Oracle
Datenbanken, Intranet, Internet und Extranet Betrieb,
Softwareentwicklung und Projekte im Web Umfeld.
SIG Fusion Middleware Konzeption und Betrieb
Bertrandt AG
2008-09-16/J.Klimke
3
System Übersicht Extranet
Schematische Flussdarstellung - Extranet
htt
p
SIG Fusion Middleware Konzeption und Betrieb
Bertrandt AG
2008-09-16/J.Klimke
4
System Übersicht Intranet
Schematische Flussdarstellung - Intranet
INTERN
Webserver DMZ
https
http
p
htt
SSL Entschlüsselungs
Proxy
INTERN
http
IPS
Login Server:
HP ProLiant DL360 G3
3GB Memory
Oracle Appl.Server 10.1
RedHat 4 U4, x86
http
Load
Balancer
oracle sqlnet
http
Portaldatenbank &
Infrastrukturdatenbank:
DELL Power Edge 2950
2x 2.0GHz Xeon
8GB Memory
Oracle 10G R2, ASM
RedHat 4 U4, x86_64
oracle sqlnet
Application Server:
HP ProLiant DL360 G3
3GB Memory
Oracle Appl.Server 10.1
RedHat 4 U4, x86
SIG Fusion Middleware Konzeption und Betrieb
Bertrandt AG
2008-09-16/J.Klimke
5
Load balancing
Übersicht
„ Verschiedene Ansätze
ƒ Unterschiede beim Verteilen
· einfaches Round Robin
· Cookie setzen/auswerten, um Client auf gleichen
Applicationserver zu halten
· Lasterverteilung über Auslastungsmessung
ƒ Modi
· Proxy Mode (im Auftrag von..)
· Direkt Mode (Anfrage weiterleiten)
„ „hinter“ dem LoadBalancer muss es ein eigenes Segment
geben
„ Virtuelle Hosts in der httpd.conf notwendig
„ Grundprobleme bei LB, die den Client nicht auf einem
Server halten
ƒ Scriptsprache darf lokal nichts speichern
· z.B. PHP Sessioninformationen
· Dateiablage
SIG Fusion Middleware Konzeption und Betrieb
Bertrandt AG
2008-09-16/J.Klimke
6
Load balancing
Lastverteilung
„ einfaches Round Robin
ƒ frägt der Client beim Loadbalancer an, werden in
wechselnder Reihenfolge die konfigurierten Server
angesprochen
ƒ meist Layer; 3 Switches, die per HTTP überwachen
können
„ Cookie setzen/auswerten
ƒ Beim ersten Aufruf wird, nach „Auswahl“ des Servers,
ein Cookie gesetzt, um beim zweiten Aufruf wieder
auf demselben Server zu landen.
„ Lastverteilung über Auslastungsmessung
ƒ Neben der Möglichkeit die Server der Reihe nach
durchzugehen, bieten manche Hersteller durch
Softwareagenten auf den Zielservern eine Verteilung
durch Lastmessung
SIG Fusion Middleware Konzeption und Betrieb
Bertrandt AG
2008-09-16/J.Klimke
7
Load balancing
Pro und Contra
bei der Betrachtung von 2 „kleinen“ zu einem „großen“
Server
„ Pro
ƒ Ausfallsicherheit
ƒ Lastverteilung
ƒ Wartung tagsüber
ƒ Skalieren durch zusätzlichen Server
„ Contra
ƒ Kosten Hardware / Lizenzen
ƒ mehr Patch- und Migrationsaufwand
ƒ Komplexere Infrastruktur
ƒ Sessionproblematik
ƒ Skalieren nur durch Austausch also
schnelleren Server
SIG Fusion Middleware Konzeption und Betrieb
Bertrandt AG
2008-09-16/J.Klimke
8
Load balancing im direct mode
Warum ein eigenes Segment?
1.
2.
3
3.
192.168.240.31
2
1
192.168.240.10
4.
192.168.240.20
Client fragt bei LoadBalancer an
LoadBalancer sucht sich einen
Server und sendet den Request
weiter
Server antwortet dem Client
direkt, da er ihn direkt erreichen
kann
Client bekommt ein
Antwortpaket von einer Adresse,
die er nicht angefragt hat und
verwirft das Paket
192.168.240.32
1.
2.
3.
2
192.168.10.100
192.168.10.1
gw:192.168.10.100
1
4.
Client fragt LoadBalancer
LoadBalancer leitet weiter
Server antwortet diesmal über das
default Gateway Loadbalancer
Client bekommt Paket von erwarteter
Adresse
3
192.168.240.10
4
192.168.240.10
192.168.10.2
gw:192.168.10.100
SIG Fusion Middleware Konzeption und Betrieb
Bertrandt AG
2008-09-16/J.Klimke
9
IDS / IPS
Intrusion Detection und Prevention System
Als "Intrusion Prevention Systeme" (IPS) werden "Intrusion Detection Systeme
(IDS)" bezeichnet, die über die reine Generierung von Ereignissen (Events)
hinaus Funktionen bereitstellen, die einen entdeckten Angriff verhindern
können.
„ Netzwerkbasiertes IPS
ƒ das vom Grundsatz her den Datenfluss in Echtzeit mit Signaturen vergleicht und
daraus Aktionen selbstständig ableitet.
„ Verhinderung von Angriffen gegen die dahinter liegende Systemlandschaft
ƒ So werden beispielsweise Angriffe auf Applikationen verhindert, da auf SQL
Injections geprüft wird.
ƒ Bekannte Schwachstellen, die möglicherweise auf dem Zielsystem noch nicht
gepatcht sind, können nicht ausgenutzt werden.
„ Die Einführung des IPS war die Erkenntnis
ƒ dass in bedrohlichen Situationen rund um die Uhr sofort ohne
Verzögerung gehandelt werden muss.
SIG Fusion Middleware Konzeption und Betrieb
Bertrandt AG
2008-09-16/J.Klimke
10
HTTPS
SSL accelerator oder https in der Blackbox
Wenn https Verbindungen benötigt werden, bestehen grundsätzlich
zwei Möglichkeiten:
„ https direkt mit dem apache
„ Einsatz eines SSL accelerator
„ Pro SSL accelerator
ƒ Der Einsatz eines IPS Systems macht es möglich, dass es
innerhalb der DMZ keinen verschlüsselten Netzwerkverkehr
gibt.
ƒ Die Last des Verschlüsselns / Entschlüsselns liegt nicht
zusätzlich auf den Applikation Servern.
ƒ Zertifikate liegen geschützt(er) auf der Blackbox.
„ Contra SSL accelerator
ƒ Zusatzkosten, da dieser bei einer Loadbalancer Version
auch zweimal da sein müsste.
· Alternativ könnte hier ein Kombiprodukt aus Loadbalancer
und SSL accelerator zum Einsatz kommen.
SIG Fusion Middleware Konzeption und Betrieb
Bertrandt AG
2008-09-16/J.Klimke
11
Portal - Seitenaufbau
Ajax
UI-Template
HTML Template
Anwesenheitsinfo
(freiwillig)
Breadcrumb
iframe
Aktienkurs
Ajax
Autoupdater
iFrame
mod_plsql
DB-Provider
Portlet
SIG Fusion Middleware Konzeption und Betrieb
Bertrandt AG
2008-09-16/J.Klimke
12
Portal – integrierte Suche
SIG Fusion Middleware Konzeption und Betrieb
Bertrandt AG
2008-09-16/J.Klimke
13
Portal und IFrame
Integriert und doch getrennt
„ Verschlüsseltes Sessionbased Cookie
„ function authorize return boolean is
„ Testdatenbank; aber produktiver Applikationsserver
http://bertrandtportal.bertrandt.net/pls/secifp/!I_TELEFONLISTE.show
pls/sql Handler
dads.conf
SIG Fusion Middleware Konzeption und Betrieb
Package/Procedure
Bertrandt AG
2008-09-16/J.Klimke
14
CMS /DMS
Die Vision (2003)
bertPortal
Intranet
www.bertrandt.com
Homepage
www.bertrandt.biz
B2B
Link
Link
File
File
Link
File
Link
File
SIG Fusion Middleware Konzeption und Betrieb
Bertrandt AG
2008-09-16/J.Klimke
15
CMS /DMS
Die Realität (2008)
www.bertrandt.com
Homepage
bertPortal
Intranet
File
File
www.bertrandt.biz
B2B
File
File
File
File
SIG Fusion Middleware Konzeption und Betrieb
File
Bertrandt AG
File
File
2008-09-16/J.Klimke
16
CMS /DMS
Die Planung (2009)
www.bertrandt.biz
B2B
bertPortal
Intranet
www.bertrandt.com
Homepage
ECM
File
File
File
File
File
File
File
SIG Fusion Middleware Konzeption und Betrieb
File
File
Bertrandt AG
2008-09-16/J.Klimke
17
Caching - Webcache
Webcache Cluster
Übersicht
Haupt-DB
Invalidierungs URL
• warum einen Webcachecluster
• warum nicht zwei
Portal
+
Infrastructure
http
https
SSL
Accelerator
SIG Fusion Middleware Konzeption und Betrieb
Bertrandt AG
2008-09-16/J.Klimke
18
Identity Management & Security: DIT - DIP
Von mod_ntlm nach WNA
Portal 3.0.9
Einsatz des mod_ntlm unter SunOS und der externen Anmeldung
über DBMS_LDAP bzw. WWSSO_AUTH_EXTERNAL Package.
Stabile einfache und sichere Lösung.
Per NTML wird auf einem Windowsserver der Username
verschlüsselt und an eine JSP auf dem SSO Server übergeben. Dort
wird der Benutzer am OID angemeldet. Æ OID Plugin
Läuft stabil, hat Sicherheits- und Funktionslücken bei
Zusatzfunktionen.
Portal 10.1.4
Portal 10.1.2
Erste Version in der, bis auf das Plugin beim manuellen
Useranmelden, nicht auf Oracle Zusatzsoftware verzichtet werden
konnte. Unterstützt daher auch alles was wir Oracleseitig einsetzen.
Noch nicht produktiv, daher keine Info zur Stabilität.
SIG Fusion Middleware Konzeption und Betrieb
Bertrandt AG
2008-09-16/J.Klimke
19
Identity Management & Security: DIT - DIP
Directory Integration and Provisioning
Bestandteil des Oracle Application Server zur
Synchronisation von
andern LDAP Directories zum OID.
Ist in unserem „alten“ Portal im Einsatz, allerdings nur für
Benutzer,
nicht für Gruppen.
Directory Integration Toolkit
Ein Oracle Consulting Tool (pur PL/SQL), das ebenfalls
zur Synchronisation von anderen LDAP Directories dient.
Ist in unserem neuen Portal im Einsatz zum
Synchronisieren von
Usern und Gruppen aus derzeit 1 Windows Forrest
mit 4 Domänen.
SIG Fusion Middleware Konzeption und Betrieb
Bertrandt AG
2008-09-16/J.Klimke
20
Identity Management & Security: DIT - DIP
Warum DIT?
„ Problemstellung
„ mehrere Domänen müssen in eine OID Domäne synchronisiert werden.
„ Bisheriger DIP Assistant unpraktikabel.
„ GroupMembers können nicht sauber gemapped werden, somit nur Useraccounts
verfügbar.
„ Vorteile DIT
„ feinere Granulierung, welche Objecte synchronisiert werden
„ mehrere Konfigurationen möglich
„ Konfig selbst liegt in der Datenbank statt auf dem Filesystem
„ detailliertes Logging in Datenbank möglich
SIG Fusion Middleware Konzeption und Betrieb
Bertrandt AG
2008-09-16/J.Klimke
21
Identity Management & Security: WNA
Windows Native Authentication
The Oracle SSO server has a feature which enables Microsoft Internet Explorer users to
automatically authenticate to their Web applications using their desktop credentials. This is
known as Windows Native Authentication.
IE
JSSO
„ Authentisierung des Clients mittels SPNEGO und Kerberos
„ User meldet sich an Client / Windows Domäne an. (Kerberos Realm)
KDC
„ Ruft der User eine Portalseite auf, wird er zum SSO umgeleitet.
„ SSO prüft das Client Kerberos Ticket und leitet bei Erfolg zur Ziel-URL weiter.
AD
„ Einschränkung:
- nur mit Internet Explorer bzw. Browser nutzbar, die Microsoft's SPNEGO unterstützen
- Kerberos Realm auf eine Domäne (Forrest) beschränkt
SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism)
GSSAPI (Generic Security Services Application Program Interface)
SIG Fusion Middleware Konzeption und Betrieb
Bertrandt AG
2008-09-16/J.Klimke
22
Identity Management & Security: WNA
Fallback Authentication
Falls User nicht über den Kerberos Realm authentifiziert werden kann,
kommt die Fallback Authentication zum Einsatz.
„ Login ohne Integrierte Authentication oder Mozilla (intern und extern)
ƒ Customized LoginPage mit Username und Passwort
SIG Fusion Middleware Konzeption und Betrieb
Bertrandt AG
2008-09-16/J.Klimke
23
Identity Management & Security: WNA
Fallback Authentication
ƒ Login von Extern mit Internet Explorer und aktivierter „Integrated Authentication“
ƒ SSO Login mit Username und Passwort
ƒ Änderung auf Custom Login Page: nicht möglich
ƒ Oracle Lösung:
ƒ Deaktivieren der „Integrated Authentication“
oder
ƒ zweiter SSO für externe Zugriffe ohne WNA
SIG Fusion Middleware Konzeption und Betrieb
Bertrandt AG
2008-09-16/J.Klimke
24
Identity Management & Security: DIT - DIP
Userobjekt
„ Synchronisation eines Userobjekts
aus dem Active Directory in das OID
SIG Fusion Middleware Konzeption und Betrieb
Bertrandt AG
2008-09-16/J.Klimke
25
Identity Management & Security: DIT - DIP
Einstellung für die Anmeldung
„ Attribut für den Username ist UID
„ Anmeldung ohne Angabe der Domäne möglich
„ Usernamen müssen eineindeutig sein - über alle Domänen hinweg.
Bsp. Account aus Domäne es.bertrandt.net im OID
SIG Fusion Middleware Konzeption und Betrieb
Bertrandt AG
2008-09-16/J.Klimke
26
Webdav, Oracledrive und Portal
Mit Windows Explorer am Portal arbeiten
„ WebDav bietet die Funktionalität die Portal Contentstruktur als Laufwerk in den
Explorer einzubinden
„ Bearbeiten der Ordner / Seitenstruktur und Dateien
„ Oracle Drive erweitert das Laufwerk um zusätzliche Portalfunktionen, die per
Contextmenü auf den Inhalt angewendet werden können:
WebServer
update.xml
odrive.ini
config.xml
SIG Fusion Middleware Konzeption und Betrieb
Bertrandt AG
2008-09-16/J.Klimke
27
Webdav, Oracledrive und Portal
Einsatz von Webdav - …
„ Portal 10.1.2 mit customized Loginprocedure
ƒ Webdav für User nicht nutzbar, da kein automatischer
Login möglich ist.
„ Portal 10.1.4 mit WNA
ƒ Webdav und Oracledrive für User nutzbar.
ƒ Login des Oracledrive läuft über SSO/WNA
„ config des Oracledrive mit SSO-URL
ƒ http://bertrandtportal.bertrandt.net/portal/pls/portal/!PORT
AL.wwpob_smd.login
SIG Fusion Middleware Konzeption und Betrieb
Bertrandt AG
2008-09-16/J.Klimke
28
Applicationserver
bekannte Stolperfallen
„ bei Intranet / Extranet Anwendungen
ƒ RichText Editoren machen aus allen
relativen Links absolute
· Lösung: Trigger oder DB-Job zur
Ersetzung
„ Bei DMZ Anwendungen
ƒ Firewalls droppen inaktive Verbindungen
· SQLNET.EXPIRE_TIME oder
tcp_keepalive_time
SIG Fusion Middleware Konzeption und Betrieb
Bertrandt AG
2008-09-16/J.Klimke
29
von der Konzeption zum Betrieb
Konzeption
Betrieb
Bertrandt Headquarter, Ehningen
SIG Fusion Middleware Konzeption und Betrieb
Bertrandt AG
2008-09-16/J.Klimke
30
OEM und OV
Oracle Enterprise Manager und HP Openview
SIG Fusion Middleware Konzeption und Betrieb
Bertrandt AG
2008-09-16/J.Klimke
31
OEM und OV
Applicationserver+SSO
DMZ
Syslog Weiterleitung
Oracle Agent
Applicationserver intern
Openview Agent
Oracle Agent
Datenbanken
Openview Agent
Oracle Agent
SIG Fusion Middleware Konzeption und Betrieb
Bertrandt AG
2008-09-16/J.Klimke
32
OEM und OV
PL/SQL EXCEPTION Handling
Zentrales Fehlermanagement aller Datenbankinstanzen ins zentrale
Systemmanagement ermöglicht zusammen mit allen Mitteilungen der
Datenbanken, Applikationserver und Loginserver eine gute FehlerÜbersicht.
SIG Fusion Middleware Konzeption und Betrieb
Bertrandt AG
2008-09-16/J.Klimke
33
Usermanagement
Ablauf
SAP-HR Userstamm pflegen
• Usermanagement
• Usernamen vergeben
• interne User -> Windows AD
• externe User -> OID
AD
Automatisches Anlegen der User in der Microsoft Windows Active Directory
Synchronisierung der User und Gruppen ins Oracle Internet Directory
Gleicher Ablauf bei Änderung der Daten in SAP (z. B. durch Heirat)
SIG Fusion Middleware Konzeption und Betrieb
Bertrandt AG
2008-09-16/J.Klimke
34
Usermanagement
SIG Fusion Middleware Konzeption und Betrieb
Bertrandt AG
2008-09-16/J.Klimke
35
Jul 2007
Dez 2006
Jul 2005
März 2001
Nov 2005
Von 1 nach 10
Jun 2004
Dez 2003
Migrationen
iAS 1.0.2.2
AS 9.0.2
AS 9.0.3
AS 10g (9.0.4)
AS 10g R2 (10.1.2)
AS 10g R3 (10.1.3)
AS
9.0.4.
iAS
1.0.2.2
AS
10.1.2
0.0 2.0
DB 8i
SIG Fusion Middleware Konzeption und Betrieb
DB 9i
Bertrandt AG
DB 10g
2008-09-16/J.Klimke
36
Migrationen
Von 1.0.2.2 (3.0.9.8.5) nach 10.1.2 (10.1.4)
„ 3.0.9.8.5 -> 9.0.4, Parallel zum Plattformwechsel von Sun Solaris nach HP-UX
„ Export der Daten auf dem Produktivserver
„ Import im Testsystem
„ Migrationstest
„ Fehlerprotokoll an Oracle
„ Patch installiert
„ Nach Erfolg im Testsystem, gleiches Vorgehen wie im Test
„ 9.0.4 -> 10.1.2, Parallel zum Plattformwechsel von HP-UX nach Linux
„ Basis wie bei 3.0.9.8.5 nach 9.0.4
„ Export der Daten aus Produktivsystem
„ Import in „Migrationssystem“
„ Migration
„ Export aus „Migrationssystem“
„ Import auf Zielsystem
„ 10.1.2 -> 10.1.4
„ Installation der neuen Version
„ Pages manuell neu erstellt
„ Dokumente über eigene Schnittstelle (Oracle API)
SIG Fusion Middleware Konzeption und Betrieb
Bertrandt AG
2008-09-16/J.Klimke
37
Migrationen
Mit vmware und dd zum virtuellen Testserver
Slave 192.168.205.2
Linux Cloning HowTo
nc -l -p 9000 | dd of=/dev/sda
- beide System mit Knoppix booten
- Auf dem Slave (vmware) IP 192.168.205.2 einrichten
nc -l -p 9000 | dd of=/dev/sda
- auf dem Master IP 192.168.205.1 einrichten
dd if=/dev/cciss/c0d0 | nc 192.168.205.2 9000
Nach Ende des netcat / dd muss noch der inird-<kernelversion>.img
im /boot Verzeichnis durch ein angepasstes Treiber image ersetzt werden.
Weiterhin muss im Vrz: /etc/ die fstab Datei angepasst werden
(/dev/cciss/codopX durch /dev/sdaX)
Beim ersten. Starten meldet sich kudzu (Erkennung Hardwareänderungen), Wizard bis zum Ende durchführen und für das neue
Netzwerk entsprechende IP-Adressen konfigurieren.
Master 192.168.205.1
dd if=/dev/cciss/c0d0 | nc 192.168.205.2 9000
SIG Fusion Middleware Konzeption und Betrieb
Bertrandt AG
2008-09-16/J.Klimke
38
Systemübersicht aus “Oracle” Sicht
Oracle
Management
Server
AS
(Portal)
Local Network:
-Intranet (http)
-b2b (http)
DB Server
Load
Balancer
AS
(Portal)
https
Infrastructure
Database
http
Firewall
Firewall
SSL-Box
Internet
-Intranet (https)
-b2b (https)
HP Openview
Systemmanagement
Load
Balancer
DMZ
Windows 200x DC
Active Directory
Login-Server
SIG Fusion Middleware Konzeption und Betrieb
Bertrandt AG
2008-09-16/J.Klimke
39
Die Erfahrungen
Ausgewählte Referenzen unter www.bertrandt.com
„
„
„
„
„
„
„
„
„
„
„
„
„
„
„
„
„
„
„
Audi A2, A3, A4
Bertrandt Competence Electronic-Project
Bentley Continental GT
Bertrandt Ergoseat
Binz Sonderfahrzeugaufbauten
BMW 3er, 7er, M5, X5, Z8
Citroën C5
DaimlerChrysler: LKW-Lichtprüfstand
Ford Focus, Mondeo, Visos
Jaguar X400
Mercedes-Benz C-Klasse, CL Coupé, SL
Roadster
Mercedes-Benz Nutzfahrzeuge
Opel Astra, Meriva, Vectra, Zafira
Renault Mégane, Concept-Car Zoé
Sevex - Hitzeschilder
smart crossblade
Snecma Moteurs, Prüfstandbau Luftfahrt
VW Multivan, Golf, Passat, Touareg
etc.
SIG Fusion Middleware Konzeption und Betrieb
Bertrandt AG
2008-09-16/J.Klimke
40
Vielen Dank.
Vernetztes Wissen gestalten.
Herunterladen