Oracle Database Vault

NVL()
Дата: 07.12.2007 12:09:50
Добрый день всем. Стал очень остро следующий вопрос. Есть в 10g версии Оракла такая опция как Oracle Database Vault, типа навороченная система по обеспечению безопасности. Так вот, некоторые люди доказывают, что с помощью этой штуки можно реализовать запрет стартовать сеанс сессии с сервером Оракла от удалённых машин по двум параметрам, а именно IP-адресс и "User/Schema". Здесь именно внимательно!!! IP-адресс ИИИ (обязательно условие и) "User/Schema". Наприем:
Доступ есть к:
10.10.5.1 Creator;
10.10.5.1 PTest;
И доступ запрещаем:
10.10.5.1 Svit

Можно ли это гарантировано сделать средствами Oracle Database Vault???
orawish
Дата: 07.12.2007 17:34:59
NVL()
Добрый день всем. Стал очень остро следующий вопрос. Есть в 10g версии Оракла такая опция как Oracle Database Vault, типа навороченная система по обеспечению безопасности. Так вот, некоторые люди доказывают, что с помощью этой штуки можно реализовать запрет стартовать сеанс сессии с сервером Оракла от удалённых машин по двум параметрам, а именно IP-адресс и "User/Schema". Здесь именно внимательно!!! IP-адресс ИИИ (обязательно условие и) "User/Schema". Наприем:
Доступ есть к:
10.10.5.1 Creator;
10.10.5.1 PTest;
И доступ запрещаем:
10.10.5.1 Svit

Можно ли это гарантировано сделать средствами Oracle Database Vault???

1) а то!
2) оноже и без того валета - делается в полтычка с помощью палки-веревки и тригера на логон.
NVL()
Дата: 11.12.2007 11:45:19
orawish
NVL()
Добрый день всем. Стал очень остро следующий вопрос. Есть в 10g версии Оракла такая опция как Oracle Database Vault, типа навороченная система по обеспечению безопасности. Так вот, некоторые люди доказывают, что с помощью этой штуки можно реализовать запрет стартовать сеанс сессии с сервером Оракла от удалённых машин по двум параметрам, а именно IP-адресс и "User/Schema". Здесь именно внимательно!!! IP-адресс ИИИ (обязательно условие и) "User/Schema". Наприем:
Доступ есть к:
10.10.5.1 Creator;
10.10.5.1 PTest;
И доступ запрещаем:
10.10.5.1 Svit

Можно ли это гарантировано сделать средствами Oracle Database Vault???

1) а то!
2) оноже и без того валета - делается в полтычка с помощью палки-веревки и тригера на логон.

И как это там делается в Database Vault???
orawish
Дата: 11.12.2007 15:30:56
NVL()
..И как это там делается в Database Vault???

там, где определяете rule что-то навроде
sys_context('userenv','ip_address') in ('1.1.1.1','1.1.1.2') and user = 'VASYA'

(врать не буду - сам не пробовал ;)
orawish
Дата: 11.12.2007 15:36:11
или
(sys_context('userenv','ip_address'),user) in (('1.1.1.1','VASYA'),('1.1.1.2','FEDYA'))
NVL()
Дата: 11.12.2007 17:43:18
Люди, а кто то сам гарантировано делал это через Database Vault?????????
orawish
Дата: 11.12.2007 18:04:01
NVL()
Люди, а кто то сам гарантировано делал это через Database Vault?????????

не хочу каркать, но ответа вряд ли дождетесь
(потому, что ваш расклад - совсем не есть норма).
Имхо, пробуйте..
В. Татьяна
Дата: 23.10.2008 13:45:35
Конфигурация:
Oracle Audit Vault 10.2.3.0 и Oracle Audit Agent на RHEL 4U5
Источник Database Server 10.2.3.0 на Windows XP с установленной опцией Database Vault.

Проблема:
После установки на источник опции Database Vault не работает REDO_Collector.
После запуска REDO_Collector в логах на источнике пишется следующее:
Thu Oct 23 12:49:14 2008
Streams CAPTURE C001 started with pid=34, OS id=2872
Thu Oct 23 12:49:14 2008
LOGMINER: Failed to truncate system.logmnr_spill$
Thu Oct 23 12:49:17 2008
Streams CAPTURE C001 with pid=34, OS id=2872 stopped
Thu Oct 23 12:49:17 2008
Errors in file d:\oracle\product\10.2.0\admin\oratvin\bdump\oratvin_c001_2872.trc:
ORA-00604: error occurred at recursive SQL level 2
ORA-47401: Realm violation for truncate table on SYSTEM.LOGMNR_SPILL$
ORA-06512: at "DVSYS.AUTHORIZE_EVENT", line 55
ORA-06512: at line 13

В настроках Database Vault на источники отключила (disabled) реалм Oracle Data Dictionary (Defines the realm for the Oracle Catalog schemas, SYS, SYSTEM, SYSMAN, MDSYS, etc. Also controls the ability to grant system privileges and database administrator roles).
Снова запустила REDO_Collector, теперь он не падает.
Как я понимаю Database Vault закрывает какие то права пользователю srcusr, который работает на источнике и имеет роль DBA...

Вопрос: какие настройки надо сделать на источнике в Database Vault, чтобы реалм Oracle Data Dictionary был enabled и в то же время REDO_Collector работал?
В. Татьяна
Дата: 24.10.2008 14:45:46
Насколько я понимаю Database Vault в реалме Oracle Data Dictionary
ограничивает доступ ограничивает доступ ко всем_ объектам схемы SYSTEM,
в т.ч. и truncate SYSTEM.LOGMNR_SPILL$

(LOGMINER: Failed to truncate system.logmnr_spill$)

Вопрос - от имени какого пользователя работает LOGMINER?
pravednik
Дата: 24.10.2008 14:51:15
В. Татьяна
Насколько я понимаю Database Vault в реалме Oracle Data Dictionary
ограничивает доступ ограничивает доступ ко всем_ объектам схемы SYSTEM,
в т.ч. и truncate SYSTEM.LOGMNR_SPILL$

(LOGMINER: Failed to truncate system.logmnr_spill$)

Вопрос - от имени какого пользователя работает LOGMINER?

в вашем случае, скорее всего, тот, которого юзает коллектор