Glosář
Předchozí
Glosář |
Předchozí |
Administrátor databáze
(1) Osoba zodpovědná za provoz a údržbu serveru Oracle nebo databázové aplikace. (2) Uživatelské jméno Oracle, kterému byla přidělena oprávnění typu DBA a které může provádět funkce správy databáze. Tyto dva významy obvykle splývají. Mnoho databázových serverů má více administrátorů.
atribut adresáře
Informační položka, která popisuje některý z aspektů adresářové položky.
atribut
Informační položka, která popisuje některý z aspektů položky v adresáři protokolu LDAP. Skládá se ze sady atributů, z nichž každý patří k třídě objektu. Každý atribut má navíc typ, který popisuje informace obsažené v konkrétním atributu, a hodnotu, která obsahuje samotná data.
autorizace
Povolení přístupu k objektu nebo sadě objektů poskytnuté uživateli, programu nebo procesu. V systému Oracle se autorizace provádí pomocí mechanismu rolí. Jedna osoba nebo skupina osob může dostat přidělenu roli nebo skupinu rolí. Roli lze dále přidělit dalším rolím. Sada oprávnění, dostupných ověřenému subjektu.
báze vyhledávání uživatele
Uzel v adresáři LDAP, pod kterým je uložen uživatel.
databázový odkaz
Síťový objekt, uložený v lokální databázi nebo v definici sítě, který určuje vzdálenou databázi, komunikační cestu k této databázi a (volitelně) uživatelské jméno a heslo. Po definici databázového odkazu se tento odkaz používá k přístupu do vzdálené databáze.
Databázový odkaz na veřejnou nebo soukromou databázi vytváří mezi jednotlivými databázemi správce databáze nebo uživatel v lokální databázi.
Globální databázový odkaz se vytváří automaticky. Odkazuje z každé databáze na všechny ostatní databáze v síti s Oracle Names. Globální databázové odkazy jsou uloženy v definici sítě.
doména podniku
Adresářová konstrukce skládající se ze skupiny databází a podnikové role nebo rolí. Databáze má vždy existovat pouze v jediné doméně podniku. Domény podniku se liší od domén operačního systému Windows 2000, které představují kolekce počítačů sdílejících společnou adresářovou databázi.
externí ověření
Ověření identity uživatele ověřovací službou, poskytnutou třetí stranou, jakými jsou např. Kerberos nebo RADIUS.
globální role
Role, která se spravuje v adresáři, ale jejíž oprávnění jsou obsažena v jediné databázi. Globální role se v databázi vytváří použitím následující syntaxe:
CREATE ROLE <role_name> IDENTIFIED GLOBALLY;
grid computing
Výpočetní architektura, která koordinuje velké množství serverů a úložišť tak, aby pracovaly jako jeden velký počítač. Oracle Grid Computing představuje flexibilní, přizpůsobitelný počítačový zdroj, který pokrývá všechny podnikové požadavky na zpracování dat výpočetní technikou. Aplikace spuštěné na struktuře grid computing Oracle 10g mohou využívat společné služby infrastruktury pro obnovu po selhání, poskytování softwaru a správu. Oracle Grid Computing analyzuje požadavky na zdroje a odpovídajícím způsobem upravuje jejich poskytování.
hlavní název služby
Viz hlavní název.
hlavní název
Řetězec, který zajišťuje jedinečnou identifikaci klienta nebo serveru, k němuž je v systému Kerberos přiřazena sada ověřovacích údajů. Obecně se skládá ze tří částí: kservice/kinstance@REALM. Pokud se jedná o uživatele, vyjadřuje položka kservice jméno uživatele. Viz také kservice, kinstance a oblast
HTTP
Protokol Hypertext Transfer Protocol. Sada pravidel pro výměnu souborů (textových, obrazových, zvukových, souborů videozáznamů a dalších multimediálních souborů) prostřednictvím sítě WWW. HTTP je aplikační protokol, příbuzný s protokoly sady TCP/IP (které tvoří základ výměny informací na síti Internet).
HTTPS
Použití vrstvy Secure Sockets Layer (SSL) jako dílčí vrstvy pod běžnou aplikační vrstvou protokolu HTTP.
identita
Kombinace veřejného klíče a jakékoli další veřejné informace pro daný subjekt. Mezi veřejné informace patří data určující uživatele, například adresa elektronické pošty. Uživatel, u kterého proběhlo ověření, že je skutečně subjektem, za který se vydává.
infrastruktura veřejného klíče (PKI)
Technologie zabezpečení informací, využívající principy kryptografie s veřejným klíčem. Kryptografie s veřejným klíčem šifruje a dešifruje informace pomocí páru sdíleného veřejného a soukromého klíče. Zajišťuje zabezpečenou, soukromou komunikaci v rámci veřejné sítě.
instance
Každá spuštěná databáze Oracle je asociovaná s instancí Oracle. Po spuštění databáze na databázovém serveru (nezávisle na typu počítače) systém Oracle alokuje paměťovou oblast zvanou System Global Area (SGA) a spustí proces Oracle. Tato kombinace SGA a procesu Oracle se označuje pojmem instance. Paměť a proces dané instance efektivně spravují data v asociované databázi a slouží uživatelům databáze.
integrita
Záruka, že se obsah přijaté zprávy neliší od původní, odeslané zprávy.
KDC
Zkratka pojmu Key Distribution Center (Centrum distribuce klíčů). Při ověřování systémem Kerberos KDC spravuje seznam hlavních jmen uživatelů. Kontaktují jej programy kinit (okinit je verze systému Oracle) a vyžadují počáteční lístek uživatele. KDC a služba Ticket Granting Service se často slučují do jediného subjektu a označují se pouze jako KDC. Služba Ticket Granting Service spravuje seznam hlavních názvů služby a kontaktuje se tehdy, kdy si uživatel přeje provést ověření do serveru, který tuto službu poskytuje. KDC je důvěryhodná třetí strana a musí být spuštěna na zabezpečeném hostitelském počítači. Vytváří lístky k udělení lístku a lístky služby.
Kerberos
Služba síťového ověření, vyvinutá organizací Massachusetts Institute of Technology v rámci programu Project Athena. Posiluje zabezpečení v distribuovaných prostředích. Kerberos je důvěryhodný systém ověření třetí stranou, založený na sdílení tajných informací. Předpokládá, že třetí strana je zabezpečená. Poskytuje uživatelům funkce přihlášení typu single sign-on, ověření databázového odkazu (pouze MIT Kerberos) a centralizované ukládání hesel. Zvyšuje zabezpečení počítače.
kinstance
Konkretizace umístění služby ověřené systémem Kerberos. Libovolný řetězec, obvykle se ale zadává název hostitelského počítače dané služby.
Kontext Oracle
1. Položka v internetovém adresáři, která vyhovuje protokolu LDAP. Tento adresář má název cn=OracleContext a jsou v něm uloženy všechny informace vztahující se k softwaru Oracle.
V jednom adresáři může být jeden i více Kontextů Oracle. Kontext Oracle je obvykle umístěn v oblasti správy identit.
kontext pojmenování adresáře
Podřízený strom, má význam v rámci adresářového serveru. Obvykle se jedná o vrchol některého organizačního podřízeného stromu. Některé adresáře povolují pouze jeden takový kontext, který je pevný, jiné umožňují, aby jich správci adresáře konfigurovali několik.
Lightweight Directory Access Protocol (LDAP)
Standardní rozšiřitelný protokol pro přístup do adresáře. Je to společný jazyk, který používají klienti a servery LDAP ke komunikaci. Rámec konstrukčních konvencí podporující standardní adresářové produkty, například aplikaci Oracle Internet Directory.
lístek služby
Důvěryhodné informace, používané k ověření klienta. Lístek k udělení lístku, zvaný také počáteční lístek, se získává přímo či nepřímo spuštěním okinit a zadáním hesla. Klientovi Lístek služby slouží k ověření pro danou službu.
lístek
Informace, která pomáhá určit vlastníka. Viz lístek služby.
listener
Proces umístěný na serveru, jehož funkce spočívá v naslouchání příchozím požadavkům na připojení klienta a řídí provoz připojení k serveru.
Služba Listener obdrží vlastní požadavek pokaždé, když si klientský počítač vyžádá na serveru síťovou relaci. Pokud informace od klienta odpovídají informacím listeneru, povolí listener připojení klientského počítače k serveru.
mapování schématu
mapování uživatel - schéma
Položka adresáře LDAP, která obsahuje pár hodnot - základ v adresáři, ve kterém existují daní uživatelé, a název schématu databáze, do kterého se mapují. Uživatelé, na které se při mapování odkazuje, se s konkrétním schématem spojují při připojování do databáze. Záznamy mapování uživatel - schéma se mohou vztahovat buď pouze k jediné databázi, nebo ke všem databázím v doméně. Viz sdílené schéma.
metoda ověření
Metoda zabezpečení, která v rozptýlených prostředích ověřuje identitu uživatele, klienta nebo serveru. Zabezpečení podnikového uživatele podporuje následující metody ověření:
název síťové služby
Název, který klienti používají k identifikaci databázového serveru. Název síťové služby se mapuje na číslo portu a protokol.
název služby
V ověřování systémem Kerberos se jedná o položku kservice hlavního názvu služby.
oblast Kontextu Oracle
Kontext Oracle, který je v aplikaci Oracle Internet Directory součástí oblasti správy identit.
oblast správy identit
Podřízený strom v aplikaci Oracle Internet Directory, zahrnující nejen Kontext Oracle, ale i další podřízené stromy uživatelů a skupin, kdy každý z nich je chráněn seznamem řízení přístupu.
oblast
1. Zkrácená verze pojmu oblast správy identit. 2. Objekt v systému Kerberos. Sada klientských počítačů a serverů, kteří operují v rámci jediného centra distribuce klíčů a služby přidělování lístků (KDC/TGS). Služby (viz kservice) v jiných oblastech, které sdílejí stejný název, jsou jedinečné.
ověření jediným heslem
Schopnost uživatele provést ověření pro více databází pomocí jediného hesla. Při implementaci zabezpečení podnikového uživatele se heslo ukládá v adresáři vyhovujícím protokolu LDAP a chrání se šifrováním a seznamy řízení přístupu (ACL).
ověření
Proces ověřování identity uživatele, zařízení nebo jiného subjektu v počítačovém systému, často jako podmínka, jejíž splnění je nutné k povolení přístupu ke zdrojům v systému. Příjemce ověřené zprávy si tak může být jistý jejím původem (tj. odesílatelem). Účelem ověření je vyloučit, aby se za odesílatele vydával jiný subjekt.
Ověřovací hodnota databázového hesla
Ověřovací hodnota databázového hesla je neměnná hodnota odvozená z uživatelského databázového hesla. Tato hodnota se používá při ověření hesla do databáze k ověření identity uživatele, který se připojuje.
ověřovací údaje
Uživatelské jméno, heslo nebo certifikát použitý k získání přístupu do databáze.
ověřování proxy
Proces, který se obvykle vyskytuje v prostředí se střední vrstvou, jakou je např. firewall. V takovém prostředí probíhá ověřování koncového uživatele vůči střední vrstvě. Střední vrstva se poté přihlašuje do adresáře jménem uživatele jako jeho server proxy. Střední vrstva se do adresáře přihlašuje jako uživatel proxy. Uživatel proxy může přepínat mezi identitami a po přihlášení do adresáře změnit identitu na identitu koncového uživatele. Může provádět operace za koncového uživatele, přitom používá autorizaci, která odpovídá danému koncovému uživateli.
PKI
počáteční lístek
Pojem z ověření systémem Kerberos. Jedná se o počáteční lístek nebo lístek k udělení lístku (TGT), který určuje, že uživatele má právo požádat o další lístky služby. Bez počátečního lístku nelze získat další lístky. Počáteční lístek lze vyhledat spuštěním programu okinit a zadáním hesla.
podniková role
Přístupová oprávnění přidělená podnikovým uživatelům. Sada autorizací Oracle založených na rolích napříč jednou nebo více databázemi v doméně podniku. Podnikové role se ukládají v adresáři a obsahují nejméně jednu globální roli.
podnikový uživatel
Uživatel definovaný a spravovaný v adresáři. Každý podnikový uživatel má v rámci celého podniku jedinečnou identitu.
pohledy
Zobrazení vybrané části z jedné nebo více tabulek (nebo jiných pohledů). Ukazuje jak jejich strukturu, tak data.
položka
Základní stavební kámen adresáře. Uživatelům adresáře poskytuje informace o příslušných objektech.
předávací lístek k udělení lístku
Pojem ze systému Kerberos. Lístek služby s nastaveným příznakem FORWARDABLE. Tento příznak umožňuje předávání ověření, aniž by uživatel musel znovu zadávat heslo.
přihlášení typu single sign-on (SSO)
Schopnost uživatele provést ověření jednou, kombinovaná se silným ověřením, které transparentně probíhá při následujícím připojování do dalších databází nebo aplikací. Přihlášení typu single sign-on umožňuje uživateli přistupovat na více účtů a aplikací pomocí jediného hesla, které se zadává během jediného připojení. Jedno heslo, jedno ověření.
připojovací řetězec
Informace nutné k připojení, které uživatel předává službě, například uživatelské jméno, heslo a název síťové služby. Příklad:
CONNECT username/password@net_service_name
registr
Úložiště v operačním systému Windows, které uchovává konfigurační informace počítače.
rozlišovací jméno (DN)
Jedinečný název adresářové položky. Skládá se ze všech jednotlivých názvů nadřazených položek až ke kořenové položce stromu adresářových informací. Viz Strom adresářových informací (DIT).
řízení přístupu
Schopnost systému přidělit konkrétním klientům nebo skupinám klientů omezený přístup ke konkrétním datům.
sdílené schéma
Schéma databáze nebo aplikace, které může používat více podnikových uživatelů. Více podnikových uživatelů se na shodné sdílené schéma mapuje v databázi, administrátor proto nemusí v každé databázi vytvářet pro každého uživatele účet. Administrátor tedy může vytvořit uživatele v jednom umístění, v podnikovém adresáři, a potom tohoto uživatele mapovat do sdíleného schématu, do kterého mohou mapovat i jiní podnikoví uživatelé. Někdy se tento pojem označuje termínem separace uživatele a schématu.
Secure Sockets Layer (SSL)
Standardní protokol vytvořený společností Netscape Communications Corporation k zabezpečení síťových připojení. Protokol SSL zajišťuje ověřování, šifrování a integritu dat pomocí infrastruktury veřejného klíče (PKI).
separace uživatele a schématu
Viz sdílené schéma.
server
Poskytovatel služby.
seznam domén přístupných heslem
Skupina domén podniku konfigurovaná tak, aby přijímala připojení od uživatelů ověřovaných heslem.
Seznamy řízení přístupu (ACL)
Uživatelem definovaná skupina přístupových pravidel. Pravidla stanoví úroveň přístupu ke konkrétním datům pro konkrétní klienty, skupiny klientů nebo obojí.
schéma
1. Schéma databáze: Pojmenovaná kolekce objektů, např. tabulek, pohledů, clusterů, procedur, balíků, atributů, tříd objektů a jim příslušných pravidel porovnávání, která jsou asociována s konkrétním uživatelem. 2. Schéma adresáře LDAP. Kolekce atributů, tříd objektů a jim příslušných pravidel porovnávání.
služba
1. Síťový zdroj využívaný klienty, například databázovým serverem Oracle.
2. Spustitelný proces instalovaný v registru operačního systému Windows a spravovaný tímto operačním systémem. Po vytvoření a spuštění služby může pracovat i tehdy, kdy není do počítače přihlášen žádný uživatel.
soubor ldap.ora
Soubor vytvořený aplikací Oracle Net Configuration Assistant. Obsahuje následující informace o přístupu na adresářový server:
typ adresářového serveru,
umístění adresářového serveru,
výchozí oblast správy identit nebo Kontextu Oracle (včetně portů), který bude klient nebo server používat.
soubor listener.ora
Konfigurační soubor listeneru. Určuje:
název listeneru,
protokolové adresy, od kterých přijímá požadavky na připojení,
služby, na které předává.
Soubor listener.ora je v platformách UNIX obvykle uložen v adresáři $ORACLE_HOME/network/admin a v platformách Windows v adresáři ORACLE_BASE\ORACLE_HOME\network\admin.
soubor sqlnet.ora
Konfigurační soubor pro daného klienta nebo server, který určuje:
doménu klienta, která se připojuje k nekompletním názvům služeb nebo síťových služeb,
pořadí metod pojmenování, které by měl klient použít při rozkladu názvu,
použití metod přihlašování a trasování,
předepsanou cestu připojení,
preferované servery Oracle Names,
externí parametry pojmenování,
parametry Oracle Advanced Security.
Soubor sqlnet.ora je v platformách UNIX obvykle uložen v $ORACLE_HOME/network/admin a v platformách Windows v ORACLE_BASE\ORACLE_HOME\network\admin.
soubor tabulky klíčů
Soubor s tabulkou klíčů v systému Kerberos, kde jsou uloženy klíče služeb. Hostitelské počítače nebo služby používají soubory tabulky klíčů stejným způsobem, jakým uživatel používá heslo.
správa identit
Vytváření, správa a používání online nebo digitálních identit. Správa identit spočívá v zabezpečené manipulaci s digitální identitou po celý cyklus jejího trvání, od vytvoření (poskytnutím digitální identity) přes správu (uplatňování organizačních zásad vztahujících se k přístupu k elektronickým zdrojům) až k ukončení její existence.
správce domény podniku
Uživatel autorizovaný ke správě konkrétní domény podniku. Má autorizaci i k přidávání nových správců domény podniku.
SSO
strom adresářových informací (DIT)
Hierarchická stromová struktura, která se skládá z rozlišovacích jmen položek v adresáři protokolu LDAP. Viz rozlišovací jméno (DN).
stromová struktura
Skupina nejméně jednoho stromu aktivního adresáře, které si navzájem důvěřují. Všechny stromy ve stromové struktuře sdílejí společné schéma, konfiguraci a globální katalog. Pokud stromová struktura obsahuje více stromů, netvoří tyto stromy souvislý prostor názvů. Všechny stromy v dané stromové struktuře si navzájem důvěřují prostřednictvím přenosných obousměrných vztahů důvěryhodnosti.
System Global Area (SGA)
Skupina sdílených paměťových struktur, které obsahují data a řídicí informace pro jednu instanci Oracle.
systémový identifikátor (SID)
Jedinečný název instance Oracle.
šifrování
Proces zašifrování zprávy tak, aby byla čitelná pouze pro příslušného příjemce.
tabulka služeb
Při ověřování systémem Kerberos tento pojem označuje seznam hlavních názvů služeb, které existují v položce kinstance. Předtím, než může systém Oracle tyto informace používat, je třeba je extrahovat ze systému Kerberos a zkopírovat na server Oracle.
třída objektu
Pojmenovaná skupina atributů. Při přiřazování atributů položce se jí přiřazují třídy objektů, v nichž jsou tyto atributy uloženy. Všechny objekty asociované se stejnou třídou objektu sdílejí shodné atributy.
uživatelské jméno
Jméno, které se může připojovat do databáze a přistupovat k objektům.
vzdálený počítač
Každý počítač připojený k síti jiný než lokální počítač.
wallet automatického přihlášení
Funkce aplikace Oracle Wallet Manager. Umožňuje přístup ke službám na základě PKI nebo hesla, přitom v okamžiku přístupu není třeba poskytovat ověřovací údaje. Tento automatický přístup zůstává aktivní tak dlouho, dokud není funkce automatického přístupu pro daný wallet deaktivována. Zabezpečení pro wallety automatického přihlašování zajišťují oprávnění systému souborů. Pokud je pro wallet aktivována funkce automatického přihlášení, je k dispozici pouze tomu uživateli operačního systému, který tento wallet vytvořil. Tyto wallety se označují také pojmem wallety SSO, protože umožňují přihlášení typu single sign-on. Aplikace Oracle Wallet Manager je nástroj poskytovaný v aplikacích Oracle Advanced Security a Oracle Application Server.
Wallet Resource Locator
Parametr Wallet Resource Locator (WRL) poskytuje všechny informace nutné k nalezení walletu. Jedná se o cestu k adresáři operačního systému, který obsahuje wallet.
wallet
Pojmem wallet se rozumí datová struktura, používaná k ukládání a správě ověřovacích údajů jednotlivých subjektů. Parametr Wallet Resource Locator (WRL) poskytuje všechny informace nutné k nalezení walletu.
základ
Kořen vyhledávání v podřízeném stromu v adresáři shodném s protokolem LDAP.