लाइटशिप सुरक्षा लोगोलाइटशिप सुरक्षा लोगो 1

ओरॅकल ऍक्सेस मॅनेजमेंट 12c
सामान्य निकष मार्गदर्शक
आवृत्ती ५.१
सप्टेंबर २०२१
द्वारे तयार केलेले दस्तऐवज
www.lightshipsec.com

सामग्री लपवा
1 या मार्गदर्शकाबद्दल
2 सुरक्षित स्वीकृती
3 कॉन्फिगरेशन मार्गदर्शन
4 सुरक्षित संप्रेषण कॉन्फिगरेशन
5 कागदपत्रे / संसाधने
5.1 संदर्भ

या मार्गदर्शकाबद्दल

1.1 ओव्हरview

  1. ओरॅकल ऍक्सेस मॅनेजमेंट 12c आणि संबंधित माहितीचे सामान्य निकष मूल्यमापन केलेले कॉन्फिगरेशन साध्य करण्यासाठी हे मार्गदर्शक पूरक सूचना प्रदान करते.
    1.2.२ प्रेक्षक
  2. हे मार्गदर्शक प्रणाली प्रशासक आणि सामान्य निकष मूल्यमापनात सहभागी असलेल्या विविध भागधारकांसाठी आहे. असे गृहीत धरले जाते की वाचक टेबल 3 मध्ये सूचीबद्ध केलेल्या संबंधित कागदपत्रांच्या संयोगाने thguide वापरतील.
    1.3 सामान्य निकष मूल्यमापन बद्दल
  3. माहिती तंत्रज्ञान सुरक्षा मूल्यमापनासाठी सामान्य निकष (ISO/IEC 15408) हे IT उत्पादने आणि प्रणालींच्या सुरक्षा प्रमाणपत्रासाठी आंतरराष्ट्रीय मानक आहे. अधिक माहिती येथे उपलब्ध आहे https://www.commoncriteriaportal.org/
    1.3.1 संरक्षण प्रोfile अनुरूपता
  4. खालील संरक्षण प्रो च्या आवश्यकतांनुसार सामान्य निकष मूल्यमापन केले गेलेfileयेथे उपलब्ध आहे https://www.niap-ccevs.org/Profile/PP.cfm:
    अ) मानक संरक्षण प्रोfile एंटरप्राइझ सुरक्षा व्यवस्थापन धोरण व्यवस्थापनासाठी, v2.1
    b) मानक संरक्षण प्रोfile एंटरप्राइझ सुरक्षा व्यवस्थापन प्रवेश नियंत्रणासाठी, v2.1
    1.3.2 मूल्यांकन केलेले सॉफ्टवेअर
  5. मूल्यांकनाचे लक्ष्य (TOE) Oracle Access Management 12c आहे.
  6. वातावरणातील खालील घटकांचा वापर करून मूल्यमापन चाचणी केली गेली.
    तक्ता 1: पायाचे बोट नसलेले घटक
    घटक तपशील
    OAM सर्व्हर आणि कन्सोल - प्लॅटफॉर्म आवश्यकता • Oracle Linux 7.6 UEK 5
    • ओरॅकल Webलॉजिक सर्व्हर 12c
    • ओरॅकल JRE 8
    ओएएम Webगेट - प्लॅटफॉर्म आवश्यकता • Oracle HTTP सर्व्हर 12c
    • Oracle Linux 7.6 UEK 5
    ऑडिट स्टोअर ओरॅकल डेटाबेस 19c
    पॉलिसी स्टोअर ओरॅकल डेटाबेस 19c
    ओळख स्टोअर ओरॅकल युनिफाइड डिरेक्टरी / ओरॅकल इंटरनेट डिरेक्टरी 12c
    OAM कन्सोल ओळख स्टोअर LDAPv3 निर्देशिका सर्व्हर
    प्रशासक प्रणाली Web ब्राउझर
    वापरकर्ता प्रणाली Web ब्राउझर

    1.3.3 मूल्यमापन कार्ये

  7. खालील कार्यांचे सामान्य निकषांनुसार मूल्यांकन केले गेले आहे:
    a) एंटरप्राइझ सुरक्षा व्यवस्थापन. TOE प्रवेश नियंत्रण धोरणे परिभाषित आणि अंमलबजावणी करण्याच्या क्षमतेद्वारे एंटरप्राइझ सुरक्षा व्यवस्थापन प्रदान करते जे त्यांच्या अंमलबजावणीसाठी जबाबदार असलेल्या वितरित घटकांना केंद्रीकृत सर्व्हरवरून प्रसारित केले जातात. TSF त्याच्या व्यवस्थापन इंटरफेसद्वारे ही धोरणे परिभाषित करण्याची क्षमता प्रदान करते. वरील प्रवेश नियंत्रित करण्यासाठी धोरणे परिभाषित केली जाऊ शकतात web संसाधने (URLs).
    जेव्हा पॉलिसी तयार केली जाते किंवा त्यात सुधारणा केली जाते, तेव्हा TSF हे धोरण पॉलिसी स्टोअरला लागू करते. Webजेव्हा वापरकर्ता संरक्षित संसाधनात प्रवेश करण्याचा प्रयत्न करतो तेव्हा गेट्स संबंधित धोरण डेटासाठी OAM सर्व्हरचे मतदान करतील. या प्रकारचे सर्व दूरस्थ संप्रेषण TLS वापरून सुरक्षित केले जातात.
    प्रवेश नियंत्रण धोरण अंमलबजावणीसाठी विषय ओळखण्यासाठी TOE पर्यावरणीय ओळख स्टोअरवर अवलंबून आहे. OUD मध्ये परिभाषित आणि संग्रहित केलेल्या गुणधर्मांद्वारे विषय डेटा वाढविला जाऊ शकतो. सिस्टम आयडेंटिटी स्टोअर वापरून TOE चे प्रशासक देखील परिभाषित केले जातात. TOE च्या प्रशासकांना वापरकर्तानाव/पासवर्डसह LDAP वापरून सिस्टम आयडेंटिटी स्टोअरद्वारे प्रमाणीकृत केले जाते.
    b) सुरक्षा ऑडीt TOE ऑडिट करण्यायोग्य इव्हेंटचे रेकॉर्ड तयार करते जे पर्यावरण ऑडिट स्टोअरमध्ये लॉग केले जातात आणि स्थानिक वर देखील संग्रहित केले जातात fileइव्हेंट व्युत्पन्न केलेल्या घटकाची प्रणाली. TOE वरून ऑपरेशनल एन्व्हायर्नमेंटमध्ये दूरस्थपणे प्रसारित केलेला कोणताही ऑडिट डेटा TLS वापरून सुरक्षित केला जातो. प्रशासक अशा इव्हेंटचे प्रकार कॉन्फिगर करू शकतो ज्यासाठी प्रशासक आणि ओएएम सर्व्हरसाठी अंतिम वापरकर्ता क्रियाकलाप दोन्हीसाठी लॉग व्युत्पन्न केले जातात आणि Webगेट क्रियाकलाप. एकदा व्युत्पन्न झाल्यानंतर, ऑडिट डेटा अशा प्रकारे संग्रहित केला जातो जो अनधिकृत बदल किंवा हटविण्यास प्रतिबंधित करतो.
    c) कम्युनिकेशन्स. जेव्हा धोरण नियमांमध्ये बदल लागू केले जातात तेव्हा TOE प्रशासकांना अभिप्राय प्रदान करते. प्रत्येक व्यक्ती Webगेट एका अनोख्या नावाने ओळखले जाते. पॉलिसी नावाने देखील ओळखल्या जातात. प्रशासकाद्वारे लागू केलेले धोरण बदल पॉलिसी स्टोअरमध्ये रेकॉर्ड केले जातात आणि सर्व्हरवरून पुनर्प्राप्त केले जातात आणि लागू केले जातात Webगेट्स ज्यासाठी त्यांचा हेतू आहे. पॉलिसी डेटा पुनर्प्राप्त केल्यावर अधिसूचना प्रदान करण्याव्यतिरिक्त, प्रशासक प्रश्न करण्यास सक्षम आहे Webते लागू केलेले विशिष्ट धोरण निश्चित करण्यासाठी गेट.
    d) क्रिप्टोग्राफिक समर्थन. TOE च्या क्रिप्टोग्राफिक क्षमता RSA BSAFE क्रिप्टोग्राफिक मॉड्यूल TOE च्या ऑपरेशनल वातावरणात प्रदान केल्या आहेत.
    e) वापरकर्ता डेटा संरक्षण. TOE करते webविरुद्ध आधारित प्रवेश नियंत्रण web सर्व्हर आणि web त्यावर चालणारे अनुप्रयोग. प्रवेश नियंत्रण धोरणे लागू करू शकतात की वापरकर्ता प्रवेश करण्यास सक्षम आहे किंवा नाही URL. पर्यावरण ओळख स्टोअर अंतिम वापरकर्त्यांना ओळखण्यासाठी वापरले जाते. धोरणे परिभाषित करण्यासाठी TOE समान आयडेंटिटी स्टोअरशी कनेक्ट होत असल्याने, ऍक्सेस कंट्रोल पॉलिसीद्वारे परिभाषित केलेले विषय ऑपरेशनल एन्व्हायर्नमेंटमधील संसाधनांमध्ये प्रवेश करण्याचा प्रयत्न करताना तेच ओळखणारा डेटा वापरतात. जेव्हा एखादा विषय संरक्षित संसाधनात प्रवेश करण्याचा प्रयत्न करतो, तेव्हा TOE HTTP विनंतीचे परीक्षण करते आणि त्यांना कोणतेही प्रवेश नियंत्रण धोरण नियम लागू होतात की नाही हे निर्धारित करते. नियम मूल्यमापनाच्या निकालावर आधारित, TOE विनंतीला अनुमती देईल, विनंती नाकारेल किंवा विनंतीला परवानगी देण्यापूर्वी प्रमाणीकरण आवश्यक आहे. TOE साठी नियम प्रक्रिया पदानुक्रम परिभाषित करते URL प्रशासकीय प्राधान्यावर अवलंबून, एकतर सर्वोत्तम जुळणी किंवा काटेकोरपणे अंमलात आणलेल्या नियमांना अनुमती देणारा प्रवेश.
    f) ओळख आणि प्रमाणीकरण. पर्यावरणीय ओळख स्टोअरमध्ये वापरकर्ता ओळख डेटा परिभाषित केला जातो. TOE या वापरकर्त्यांना प्रशासकीय विशेषाधिकार नियुक्त करण्यास सक्षम आहे. जेव्हा प्रशासक मध्ये लॉग इन करतात web TOE व्यवस्थापित करण्यासाठी TOE चे इंटरफेस, ते सत्र कुकीच्या असाइनमेंटद्वारे त्यांच्या प्रशासकीय विशेषाधिकारांशी संबंधित आहेत. कडे सबमिट केलेली प्रत्येक त्यानंतरची HTTP विनंती web द्वारे योग्य प्राधिकृततेसाठी इंटरफेस तपासले जातात web ऍप्लिकेशन, त्यामुळे प्रशासकीय विशेषाधिकारांमधील कोणताही बदल त्वरित प्रभावी मानला जातो.
    g) सुरक्षा व्यवस्थापन. TOE वर प्रशासकीय विशेषाधिकार अनुप्रयोग आणि डोमेनवर आधारित आहेत. प्रशासकाला विशिष्ट डोमेन आणि अनुप्रयोग नियुक्त केले जाऊ शकतात आणि त्या अनुप्रयोग आणि डोमेनसाठी प्रवेश नियंत्रण धोरणे व्यवस्थापित करण्याचा अधिकार त्याला आहे. TOE सर्व ऍप्लिकेशन्स आणि सर्व डोमेनवर जागतिक अधिकारासह सुपर प्रशासक भूमिका देखील प्रदान करते. डीफॉल्टनुसार, TOE संरक्षित करण्यासाठी परिभाषित केलेल्या कोणत्याही संसाधनांवर प्रतिबंधात्मक नकार-बाय-डिफॉल्ट धोरण लागू करते. दिलेल्या विनंतीवर धोरण नियम कसे लागू केले जावेत यासाठी TOE श्रेणीबद्ध इंजिन परिभाषित करते. प्रशासक लागू होणाऱ्या नियमांसाठी हे इंजिन ओव्हरराइड करू शकतो URLs आणि TOE ला प्रशासकीय-परिभाषित क्रमाने नियमांवर प्रक्रिया करण्याची सूचना द्या.
    h) TSF चे संरक्षण. TOE प्रशासकीय क्रेडेंशियल डेटा स्थानिक पातळीवर संचयित करत नाही; हे पर्यावरणीय ओळख स्टोअरमध्ये साठवले जाते. TOE संरक्षित क्रिप्टोग्राफिक डेटामध्ये प्रवेश करण्यासाठी इंटरफेस देखील प्रदान करत नाही. Webगेट्स आणि सर्व्हरमधील कनेक्टिव्हिटी तुटल्यास काही प्रमाणात धोरणाची अंमलबजावणी सुरू ठेवण्याची क्षमता आहे. Webगेट्स स्थानिक पातळीवर पॉलिसी डेटा संग्रहित करत नाहीत परंतु कॅशे पॉलिसी निर्णय घेतात जेणेकरून शेवटचा निर्णय नवीन माहितीच्या अनुपस्थितीत त्या निर्णयाची अंमलबजावणी करणे सुरू ठेवेल. जर विनंतीसाठी सर्व्हरशी कनेक्टिव्हिटी स्थापित केली जाऊ शकत नाही ज्यासाठी कोणताही कॅश केलेला निर्णय नाही, तर Webगेट विनंती नाकारेल. Webनवीन पॉलिसी माहितीसाठी गेट्स वेळोवेळी सर्व्हरवर मतदान करतील, त्यामुळे संप्रेषण पुनर्संचयित झाल्यास, प्रशासकाच्या हस्तक्षेपाशिवाय नवीनतम पॉलिसी डेटा पुनर्प्राप्त केला जाईल. पॉलिसी डेटा विश्वासार्ह चॅनेलवर प्रसारित केला जात असल्याने, चुकीच्या धोरणाची अंमलबजावणी करण्यासाठी TOE मिळवण्याच्या प्रयत्नात रीप्ले हल्ला करण्याची कोणतीही यंत्रणा नाही.
    i) संसाधनांचा वापर. दरम्यान कनेक्शन असल्यास अ Webगेट आणि OAM सर्व्हर हरवला आहे, की Webगेट कॅशे केलेल्या अंमलबजावणी निर्णयांची अंमलबजावणी सुरू ठेवण्यास सक्षम असेल. द Webनवीन पॉलिसी माहितीसाठी गेट्स वेळोवेळी सर्व्हरवर मतदान करतील, त्यामुळे संप्रेषण पुनर्संचयित झाल्यास, प्रशासकाच्या हस्तक्षेपाशिवाय नवीनतम पॉलिसी डेटा पुनर्प्राप्त केला जाईल.
    j) TOE प्रवेश. TOE एक प्रवेश नियंत्रण निर्णय परत करण्यास सक्षम आहे ज्यासाठी त्यांना दिलेल्या प्रवेशासाठी सक्षम होण्यापूर्वी प्रमाणीकरण क्रेडेन्शियल्स प्रदान करणे आवश्यक आहे web पृष्ठ किंवा file. दिवस आणि/किंवा वेळेवर आधारित या वस्तूंचा विषय प्रवेश नाकारण्यासाठी धोरण नियम लिहिले जाऊ शकतात. या प्रकरणांमध्ये अनुमत दिवस आणि/किंवा वेळेच्या बाहेर प्रवेश करण्याचा प्रयत्न केल्यास, विषयाद्वारे योग्य क्रेडेन्शियल प्रदान केले असले तरीही प्रयत्न नाकारला जातो.
    k) विश्वसनीय मार्ग/चॅनेल. ओएएम कन्सोलसह दूरस्थ प्रशासकीय संप्रेषण HTTPS वापरून सुरक्षित केले जातात. OAM सर्व्हर आणि इतर घटकांमधील सर्व परस्परसंवाद TLS वापरून सुरक्षित केले जातात.
  8. टीप: इतर कोणत्याही सुरक्षा कार्यक्षमतेबाबत कोणतेही दावे केले जात नाहीत.
    1.3.4 मूल्यमापन गृहीतके
  9. सामान्य निकष मूल्यमापन करताना खालील गृहीतके मांडण्यात आली. खालील तक्त्यामध्ये दर्शविलेले मार्गदर्शन ऑपरेशनल वातावरणात या गृहितकांना कायम ठेवण्यासाठी पाळले पाहिजे.
    तक्ता 2: मूल्यमापन गृहीतके
    गृहीतक  मार्गदर्शन 
    ऑपरेशनल एन्व्हायर्नमेंटचे एक किंवा अधिक प्रशासक असतील जे करतील
    पायाचे बोट व्यवस्थापित करण्यासाठी जबाबदार रहा.    		 OAM व्यवस्थापित करण्यासाठी जबाबदार असण्यासाठी एक किंवा अधिक प्रशासक नियुक्त करा.
    ऑपरेशनल एन्व्हायर्नमेंट क्रिप्टोग्राफिक आदिम प्रदान करेल ज्याचा वापर TOE द्वारे सेवा प्रदान करण्यासाठी केला जाऊ शकतो जसे की संप्रेषणांची गोपनीयता आणि अखंडता सुनिश्चित करणे. RSA BSAFE क्रिप्टोग्राफिक आदिम प्रदान करते. खालील विभाग 4.1 मध्ये कॉन्फिगरेशन चरण पहा.
    TOE साठी जबाबदार असलेल्यांनी हे सुनिश्चित केले पाहिजे की TOE सुरक्षितपणे वितरित, स्थापित, व्यवस्थापित आणि ऑपरेट केले गेले आहे. खालील २.२ मधील पडताळणी प्रक्रियेचे अनुसरण करा. सर्व्हर हार्डवेअर अनधिकृत प्रवेशापासून भौतिकरित्या सुरक्षित असले पाहिजे. या दस्तऐवज आणि संदर्भित मार्गदर्शनानुसार OAM कॉन्फिगर करा आणि ऑपरेट करा.
    TOE प्रशासक म्हणून काम करणाऱ्या कर्मचाऱ्यांची काळजीपूर्वक निवड केली जाईल आणि त्यांना प्रशिक्षण दिले जाईल
    पायाचे बोट योग्य ऑपरेशन.    		 OAM प्रशासक विश्वासार्ह आहेत (उदा., पार्श्वभूमी तपासणी / मंजुरी) आणि OAM ऑपरेट करण्यासाठी प्रशिक्षित आहेत याची खात्री करण्यासाठी प्रक्रिया लागू करा.
    संस्थात्मक मालमत्तेचे संरक्षण करण्यासाठी एक किंवा अधिक ESM प्रवेश नियंत्रण उत्पादने ऑपरेशनल वातावरणात तैनात केली जातील. OAM सर्व्हर आणि OAM Webगेट्स हे कार्य करतात - कोणत्याही अतिरिक्त क्रियांची आवश्यकता नाही.
    ऑपरेशनल एन्व्हायर्नमेंट ची क्षमता कमी करण्यासाठी यंत्रणा प्रदान करेल
    प्रमाणीकरणादरम्यान कायदेशीर वापरकर्त्याची तोतयागिरी करण्यासाठी आक्रमणकर्ता.    		 OAM साठी ओळख सेवा Oracle द्वारे प्रदान केल्या जातात
    युनिफाइड डिरेक्ट्री किंवा ओरॅकल इंटरनेट डिरेक्ट्री.
    ओळख सेवा विश्वसनीय असल्याचे गृहित धरले जाते.
    ऑपरेशनल एन्व्हायर्नमेंट TOE ला विश्वसनीय वेळेचा डेटा प्रदान करेल. एकाधिक NTP स्त्रोत कॉन्फिगर केले पाहिजेत.
    ऑपरेशनल एन्व्हायर्नमेंट प्रवेशाची विनंती करणारा वापरकर्ता ओळखण्यास सक्षम असेल
    पायाच्या पायापर्यंत.    		 OAM साठी ओळख सेवा Oracle द्वारे प्रदान केल्या जातात
    युनिफाइड डिरेक्ट्री किंवा ओरॅकल इंटरनेट डिरेक्ट्री.
    ओळख सेवा विश्वसनीय असल्याचे गृहित धरले जाते.
    ऑपरेशनल पर्यावरण एक धोरण प्रदान करेल जे TOE लागू करेल. पॉलिसी स्टोअर Oracle डेटाबेस 12c द्वारे प्रदान केले आहे.
    ऑपरेशनल एन्व्हायर्नमेंट TOE चे अनधिकृत सुधारणांपासून आणि त्याची कार्ये आणि डेटामध्ये प्रवेश करण्यापासून संरक्षण करेल. तक्ता 1 मध्ये सूचीबद्ध केलेले सर्व घटक संस्थात्मक सुरक्षा धोरणांनुसार व्यवस्थापित आणि तैनात केले पाहिजेत.

    1.4 अधिवेशने

  10. या मार्गदर्शकामध्ये खालील नियम वापरले आहेत:
    अ) CLI कमांड - ही शैली तुम्हाला सूचित करते की तुम्ही कमांड लाइनवर शब्द किंवा वाक्प्रचार टाइप करू शकता आणि कमांड सुरू करण्यासाठी [एंटर] दाबा. <> मधील मजकूर बदलण्यायोग्य आहे. उदाample: मांजर वापराfileनाव> आदेश द्या view a ची सामग्री file
    b) [की] किंवा [की-कॉम्बो] – कीबोर्डवरील की किंवा की संयोजन या शैलीमध्ये दाखवले आहे. उदाample: [Ctrl]-[Alt]-[Backspace] की संयोजन तुमच्या ग्राफिकल सत्रातून बाहेर पडते आणि तुम्हाला ग्राफिकल लॉगिन स्क्रीन किंवा कन्सोलवर परत आणते.
    c) GUI > संदर्भ - GUI स्क्रीन परस्परसंवादाचा क्रम दर्शवितो. उदाample: निवडा File > जतन करा जतन करण्यासाठी file.
    ड) [संदर्भ] विभाग – तक्ता 3 मधील दस्तऐवज आणि विभाग संदर्भ दर्शवतो. उदा.ample: नवीन वापरकर्ता जोडण्यासाठी वापरकर्ते कॉन्फिगर करणे [ADMIN] चे अनुसरण करा.
    1.5 संबंधित संसाधने
  11. हे मार्गदर्शक खालील ओरॅकल मार्गदर्शन संसाधनांना पूरक आहे.
    तक्ता 3: संबंधित संसाधने
    संदर्भ  संसाधन 
    [प्रशासक] https://docs.oracle.com/en/middleware/idm/access-
    manager/12.2.1.4/aiaag/introducing-oracle-access-management.html
  12. टीप: या मार्गदर्शकातील माहिती इतर संसाधनांमधील संबंधित माहितीची जागा घेते.

    सुरक्षित स्वीकृती

    2.1 पायाची बोटे मिळवणे

  13. TOE वापरकर्त्यांद्वारे Oracle Identity & Access Management मधून डाउनलोड केले जाते
    येथे डाउनलोड पृष्ठ https://www.oracle.com/middleware/technologies/identitymanagement/downloads.html
  14.  पायाचे बोट मिळविण्यासाठी:
    अ) खालील डाउनलोड करा:
    • ओरॅकल ओळख आणि प्रवेश व्यवस्थापन 12cPS4 (आवृत्ती 12.2.1.4.0)
    • ओरॅकल ओळख आणि प्रवेश व्यवस्थापन 12cPS4 पायाभूत सुविधा (आवृत्ती 12.2.1.4.0)
    • ओरॅकल युनिफाइड डिरेक्टरी 12cPS4 (आवृत्ती 12.2.1.4.0)
    ब) ओएएम Webगेट हे Oracle HTTP सर्व्हरसह स्थापित केलेले वैशिष्ट्य/प्लग-इन आहे
    Oracle HTTP सर्व्हर 12.2.1.4 येथे डाउनलोड करा https://www.oracle.com/caen/middleware/technologies/webtier-downloads.html.
    पृष्ठाचा “Oracle HTTP सर्व्हर 12.2.1.4” डाउनलोड विभाग शोधा आणि Linux 64-बिट डाउनलोड लिंकवर क्लिक करा.
    c) पॅचेस 35371374 (OAM सर्व्हर) आणि 33974688 (OAM) डाउनलोड करा Webगेट) येथे माय ओरॅकल सपोर्ट https://support.oracle.com.
  15. टीप: ओरॅकल युनिफाइड डिरेक्ट्री हा TOE घटक नाही परंतु मूल्यमापन केलेल्या कॉन्फिगरेशनमध्ये वापरला जातो.
    2.2 पायाचे बोट सत्यापित करणे
  16. TOE ची योग्य आवृत्ती स्थापित केली आहे याची पडताळणी करण्यासाठी, प्रशासकांनी OAM सर्व्हर आणि OAM या दोन्हींवर opatch lsinventory कमांड चालवणे आवश्यक आहे. Webगेट.

    कॉन्फिगरेशन मार्गदर्शन

    3.1 स्थापना आणि कॉन्फिगरेशन

  17.  TOE ग्राहक साइटवर Oracle सपोर्ट कर्मचाऱ्यांनी स्थापित आणि कॉन्फिगर केले आहे. मूल्यमापन केलेल्या कॉन्फिगरेशनमध्ये TOE स्थापित करण्यासाठी, ग्राहकांनी Oracle शी संपर्क साधण्याची शिफारस केली जाते.
  18. ग्राहकांनी Oracle Linux v7.6 कॉमन क्रायटेरिया गाईडन्स डॉक्युमेंट (https://www.oracle.com/a/ocom/docs/oracle-linux-v7.6-common-criteriaguidance-v1.7.pdf). SSH आणि सिस्टम फायरवॉल कॉन्फिगरेशनवर विशेष लक्ष दिले पाहिजे. सिस्टम फायरवॉल (iptables) वापरून, ग्राहकांनी कोणतेही अनावश्यक पोर्ट बाह्य प्रवेशापासून अवरोधित केले पाहिजेत. TOE पोर्ट 5575, 7002, 14101, आणि 14151 बाय डीफॉल्ट वापरते.
  19. टीप: कोणतेही पॅकेज (प्रारंभिक, पॅच, अपडेट इ.) स्थापित केल्यानंतर, मूल्यमापन केलेल्या कॉन्फिगरेशनमध्ये TOE चालते याची खात्री करण्यासाठी प्रशासकांनी $ORACLE_HOME/OPatch/opatch util cleanup कमांड कार्यान्वित करणे आवश्यक आहे.
  20. $DOMAIN_HOME/bin/setDomainEnv.sh मध्ये JAVA_OPTIONS अंतर्गत खालील पर्याय जोडला जावा: -Doracle.oam.handshake.check=true.
    3.2.२.२ लॉग इन
  21. TOE चे प्रशासक याद्वारे सर्व व्यवस्थापन कार्यक्षमतेमध्ये प्रवेश करू शकतात Web GUI. एकदा कॉन्फिगर केल्यावर, TOE TLSv1.2 वापरून दूरस्थ प्रशासक आणि TOE यांच्यातील संप्रेषणांचे संरक्षण करते.
  22. मध्ये प्रवेश करण्यासाठी web GUI, प्रशासकांनी ए पॉइंट करणे आवश्यक आहे web साठी ब्राउझर URL स्थापना दरम्यान परिभाषित.
    3.3 डेटा स्रोत / स्टोअर्स
  23. OAM मध्ये वर्णन केल्याप्रमाणे विविध प्रकारच्या डेटा स्रोतांना समर्थन देते डेटा व्यवस्थापित करणे स्रोत. मूल्यमापन केलेले कॉन्फिगरेशन खालील डेटा स्रोत वापरते:
    अ) डेटाबेस (पॉलिसी स्टोअर आणि ऑडिट स्टोअर). ओरॅकल डेटाबेस 19c.
    b) वापरकर्ता ओळख स्टोअर. Oracle Uniified Directory 12c (किंवा Oracle इंटरनेट डिरेक्टरी 3c सह कोणताही LDAPv12 निर्देशिका सर्व्हर).
    c) कीस्टोअर. जावा कीस्टोर स्थानिक वर स्थित आहे file प्रमाणपत्रे आणि कळा सुरक्षित ठेवणारी प्रणाली.
    3.4 ऑडिट लॉगीng
  24. TOE येथे वर्णन केल्याप्रमाणे डीफॉल्टनुसार ऑडिट लॉग व्युत्पन्न करते लॉगिंग, ऑडिटिंग, रिपोर्टिंग आणि मॉनिटरिंग कामगिरी. TSF द्वारे व्युत्पन्न केलेले ऑडिट रेकॉर्ड एकाच वेळी अंतर्निहित लोकलमध्ये प्रसारित केले जातात file ऑपरेशनल पर्यावरणातील प्रणाली आणि TSF मध्ये संग्रहित नाहीत. TOE खालीलप्रमाणे अनेक ठिकाणी लॉगिंग प्रदान करते:
    OAM कन्सोल ऑडिट लॉग
    • /u01/app/oracle/admin/domains/oam_domain/servers/oam_pol icy_mgr1/logs/oam_policy_mgr1.log
    • /u01/app/oracle/admin/domains/oam_domain/servers/oam_pol icy_mgr1/logs/oam_policy_mgr1-diagnostic.log
    • /u01/app/oracle/admin/domains/oam_domain/servers/oam_pol icy_mgr1/logs/auditlogs/OAM/audit.log
    • /u01/app/oracle/admin/domains/oam_domain/servers/AdminSe rver/logs/AdminServer.log
    • /u01/app/oracle/admin/domains/oam_domain/servers/AdminSe rver/logs/auditlogs/OAM/audit.log
    • /home/oracle/oam_policy.out
    • /home/oracle/wls.out
    • /home/oracle/nm.out
    AM सर्व्हर ऑडिट लॉग
    • /u01/app/oracle/admin/domains/oam_domain/servers/oam_ser ver1/logs/auditlogs/OAM/audit.log
    • /u01/app/oracle/admin/domains/oam_domain/servers/oam_ser ver1/logs/oam_server1.log
    • /u01/app/oracle/admin/domains/oam_domain/servers/oam_ser ver1/logs/oam_server1-diagnostic.log
    • /home/oracle/oam_server.out
    Webगेट ऑडिट लॉग
    • /u01/app/oracle/admin/domains/ohs_domain/servers/ohs1/logs/weblogic.log
    • /u01/app/oracle/admin/domains/ohs_domain/servers/ohs1/logs/ohs1.log
    • /u01/app/oracle/admin/domains/ohs_domain/servers/ohs1/logs/admin_log
  25. टीप: OAM कन्सोल ऑडिट लॉग TOE च्या पॉलिसी व्यवस्थापन भागासाठी आवश्यकता पूर्ण करतात. OAM सर्व्हर ऑडिट लॉग आणि Webगेट ऑडिट
    लॉग TOE च्या प्रवेश नियंत्रण भागासाठी ऑडिट इव्हेंट प्रदान करतात.
  26. ऑडिट इव्हेंट प्रकार आणि स्वरूपाचा संदर्भ खाली प्रदान केला आहे.
    3.4.1 TLS कनेक्शनचे समस्यानिवारण
  27. TLS कनेक्शनचे समस्यानिवारण करताना जावा पर्याय “-Djavax.net.debug=ssl,handshake” वापरून अतिरिक्त ऑडिट इव्हेंट तयार केले जाऊ शकतात.WebLogic.sh स्टार्टअप स्क्रिप्ट. डीबगिंग SSL/TLS कनेक्शनबद्दल अतिरिक्त माहिती असू शकते
    येथे आढळले: https://docs.oracle.com/javase/8/docs/technotes/guides/security/jsse/ReadDebug.html.
  28. टीप: डीबग इंटरफेस वापरताना काळजी घेतली पाहिजे आणि किमान डीबग माहिती आउटपुट असावी.
    3.4.2 ऑडिट डेटास्टोअर
  29. विभाग 3.1 मध्ये वर्णन केल्याप्रमाणे स्थापना आणि कॉन्फिगरेशन दरम्यान, TOE देखील बाह्य डेटाबेसचा ऑडिट स्टोअर म्हणून डीफॉल्ट वापरण्यासाठी कॉन्फिगर केला जातो. यात विभाग 1.3.3 मध्ये वर्णन केल्याप्रमाणे विश्वसनीय चॅनेल वापरून ऑडिट स्टोअरचे कॉन्फिगरेशन समाविष्ट आहे. ऑरॅकल प्लॅटफॉर्म सिक्युरिटी सर्व्हिसेससह ॲप्लिकेशन्स सुरक्षित करण्यासाठी ऑडिट वर्तनाचे अतिरिक्त सानुकूलन वर्णन केले आहे - https://docs.oracle.com/en/middleware/fusion-middleware/platformsecurity/12.2.1.4/jisec/audpolicy.html#GUID-B042E456-BC36-482D-B7A3A4425267B960.
  30. डेटाबेस दरम्यान outagई किंवा इतर इव्हेंट जी TOE आणि ऑडिट डेटास्टोअरमधील कनेक्टिव्हिटीला प्रतिबंधित करते, वरील विभागानुसार ऑडिट रेकॉर्ड स्थानिक ऑडिट स्टोरेज स्थानावर लिहिल्या जातील आणि ते परत ऑनलाइन आल्यावर बाह्य डेटाबेसमध्ये ढकलले जातील.
    3.5 प्रवेश नियंत्रण धोरणे परिभाषित करणे
  31. संसाधनांचे संरक्षण करण्यासाठी आणि SSO सक्षम करण्यासाठी धोरणे व्यवस्थापित करण्यासाठी वर्णन केल्यानुसार TOE धोरण व्यवस्थापन आणि प्रवेश नियंत्रण क्षमता प्रदान करते.
  32. सारांश, OAM वापरून ऍक्सेस कंट्रोल पॉलिसी परिभाषित करण्याच्या प्रक्रियेमध्ये OAM कन्सोलमध्ये खालील क्रियाकलापांचा समावेश होतो:
    • नोंदणी करा आणि OAM सेट करा Webगेट
    • एक किंवा अधिक अनुप्रयोग डोमेन परिभाषित करा
    • ऍप्लिकेशन डोमेनमध्ये संरक्षित करण्यासाठी संसाधने परिभाषित करा
    • या संसाधनांमध्ये प्रवेश करण्यासाठी प्रमाणीकरण धोरणे आणि अधिकृतता धोरणे परिभाषित करा
  33. खालील आकृत्यांमध्ये TOE ऑब्जेक्ट्स आणि ऑब्जेक्ट विशेषता, धोरण वितरण आणि डेटा स्रोत संप्रेषणांमधील धोरण व्याख्या कशी लागू करते हे दर्शविते:
    आकृती 1: OAM धोरण व्याख्या
    Lightship सुरक्षा 12c ओरॅकल प्रवेश व्यवस्थापन - figer
    आकृती 2: OAM धोरण वितरण
    लाइटशिप सुरक्षा 12c ओरॅकल प्रवेश व्यवस्थापन - figer1    आकृती 3: OAM डेटा सोर्स कम्युनिकेशन्स
    लाइटशिप सुरक्षा 12c ओरॅकल प्रवेश व्यवस्थापन - figer2

  34. एकाधिक ऍप्लिकेशन डोमेन्स परिभाषित केले जाऊ शकतात कारण एकाच लॉजिकल सर्व्हरवर अनेक भिन्न ऍप्लिकेशन्स चालू असू शकतात. ऍप्लिकेशन डोमेनमध्ये, वैयक्तिक संसाधने (files किंवा URLs) ची व्याख्या OAM द्वारे संरक्षित केली जाऊ शकते. जेव्हा वापरकर्ता यापैकी एका संसाधनात प्रवेश करण्याची विनंती करतो, तेव्हा Webगेट विनंती रोखेल आणि प्रवेशाची विनंती करणाऱ्या वापरकर्त्याच्या आधारावर, प्रमाणीकरण धोरणे आणि या संसाधनासाठी परिभाषित केलेल्या अधिकृतता धोरणांच्या आधारे प्रतिसाद कसा द्यायचा हे निर्धारित करेल.

  35. अधिकृतता धोरणे प्रवेश विनंतीद्वारे समाधानी असणे आवश्यक असलेल्या अटींवर अवलंबून असतात. अटी लिहिताना, वापरकर्ता ओळख, IP पत्ता (किंवा श्रेणी) किंवा वापरकर्ता विशेषता निर्दिष्ट केल्या जाऊ शकतात. उपलब्ध वापरकर्ता विशेषता कनेक्ट केलेल्या ओळख स्टोअरद्वारे निर्धारित केल्या जातील आणि अनियंत्रितपणे परिभाषित केल्या जाऊ शकतात. यामध्ये तात्पुरत्या परिस्थितीचा देखील समावेश आहे, ज्यामध्ये अट लागू होईल तेव्हा दिवस आणि/किंवा वेळा निर्धारित केल्या जातात. अनेक अटी एकत्र केल्या जाऊ शकतात जेणेकरून, उदाample, एक वापरकर्ता जो संसाधनात प्रवेश करण्याचा प्रयत्न करतो त्याला दिलेल्या वेळी किंवा दिलेल्या स्थानावरून परवानगी दिली जाऊ शकते, परंतु वेगळ्या वेळी किंवा स्थानावर समान प्रयत्न करण्यास मनाई आहे.

  36. दिलेल्या ॲप्लिकेशन डोमेनमध्ये, ऑथरायझेशन पॉलिसी OAM कन्सोलद्वारे लॉग केलेल्या पॉलिसी आयडीद्वारे अनन्यपणे ओळखल्या जातात. पॉलिसी आयडी पॉलिसी तयार करताना आणि TOE लॉगमध्ये बदल करताना पॉलिसीशी संबंधित आहे. पॉलिसी पॉलिसी स्टोअरवर लिहिली जाते आणि OAM सर्व्हर पॉलिसी स्टोअरमधून पॉलिसी पुनर्प्राप्त करतो. प्रत्येक वेळी धोरणांमध्ये बदल केल्यावर OAM सर्व्हर सर्व सक्रिय पॉलिसी आयडींची सूची शेअर केलेल्या पॉलिसी डेटाबेसमध्ये ढकलतो. पॉलिसी डेटा पॉलिसी स्टोअरमध्ये ओरॅकल प्रोप्रायटरी फॉरमॅटमध्ये लिहिला जातो. अधिकृतता धोरणामध्ये कोणतीही जोडणी किंवा बदल प्रशासकीय हस्तक्षेपाशिवाय त्वरित प्रभावी होतील.
    3.5.1 OAM मध्ये परस्परविरोधी नियमांवर प्रक्रिया करणे

  37. OAM Console/ द्वारे विरोधाभासी नियमांचे खालील प्रकारे निराकरण केले जातेWebदरवाजे:
    अ) जेव्हा प्रशासक अधिकृतता धोरण परिभाषित करतो, तेव्हा स्पष्टपणे विरोधाभासी नियमांची उपस्थिती पॉलिसी जतन होण्यापासून प्रतिबंधित करते. विरोधाभासी नियम तेव्हा घडतात जेव्हा समान विषय-वस्तू ऑपरेशन संयोजन तपशीलाच्या समान पातळीवर परिणाम देते आणि परिणाम नाकारतात
    b) अधिकृतता धोरणामध्ये तपशिलाच्या समान स्तरावर अस्पष्टपणे विरोधाभासी नियम असल्यास (उदा. एखादा विषय एका गटाचा आहे ज्याला ऑब्जेक्टमध्ये प्रवेश करण्याची परवानगी आहे परंतु त्याच ऑब्जेक्टमध्ये प्रवेश करण्याची परवानगी नसलेल्या दुसऱ्या गटाशी संबंधित आहे), अधिकृतता धोरणाचे मूल्यमापन 'अनिर्णय' म्हणून केले जाईल, ज्याला नकार मानले जाते.
    c) जर अधिकृतता धोरणामध्ये तपशीलाच्या भिन्न स्तरांवर स्पष्टपणे विरोधाभासी नियम समाविष्ट असतील (उदा. एखाद्या विषयाला वैयक्तिकरित्या ऑब्जेक्टमध्ये प्रवेश करण्याची परवानगी आहे परंतु त्याच ऑब्जेक्टमध्ये प्रवेश करण्याची परवानगी नसलेल्या गटाशी संबंधित आहे), तर अधिक विशिष्ट नियमाला प्राधान्य दिले जाईल. .
    d) जर OAM अधिकृतता धोरण नियमांवर प्रक्रिया करण्यासाठी कॉन्फिगर केले असेल, तर तेथे विरोधाभासी नियम असणे शक्य नाही कारण उच्च नियम नेहमी प्राधान्य घेतील.

    3.5.2 डीफॉल्ट मूल्ये

  38. डीफॉल्टनुसार, TOE संरक्षित करण्यासाठी परिभाषित केलेल्या वस्तूंवर प्रतिबंधात्मक प्रवेश नियंत्रण धोरण लागू करते. ऑब्जेक्टसाठी कोणतेही धोरण अस्तित्वात नसल्यास, ते TOE च्या व्याप्तीच्या बाहेर आहे कारण TSF ला ऑब्जेक्ट अस्तित्वात आहे याची जाणीव नसते. प्रशासक या वस्तूंसाठी प्रवेश नियंत्रण नियम परिभाषित करणे निवडू शकतात जे निसर्गात अधिक अनुज्ञेय आहेत, एकतर विशिष्ट अटींवर आधारित विशिष्ट विषयांमध्ये प्रवेशास स्पष्टपणे परवानगी देऊन किंवा अंमलबजावणीतून काही ऑपरेशन्स वगळून.
    3.6 संप्रेषण अपयश
  39. यांच्यातील संवादामध्ये कोणताही व्यत्यय Webगेट आणि ओएएम सर्व्हर, किंवा ओएएम सर्व्हर आणि पॉलिसी स्टोअरच्या दरम्यान प्रवेश विनंत्या नाकारल्या जातीलtage ओएएम सर्व्हर (पॉलिसी डिसिजन पॉइंट) पॉलिसी स्टोअरमधून नवीनतम धोरण पुनर्प्राप्त करेलtage संप्रेषण अपयश आणि त्यानंतरच्या पुनर्प्राप्तीवर केलेली कारवाई कॉन्फिगर करण्यायोग्य नाही.
    3.7 लॉग प्रकार आणि स्वरूप
  40. TOE द्वारे व्युत्पन्न केलेले लॉग खालील लिंकमध्ये ओळखलेल्या प्रकार आणि स्वरूपाचे अनुसरण करतात: https://docs.oracle.com/en/middleware/idm/accessmanager/12.2.1.4/aiaag/auditing-administrative-and-run-time-events.html#GUIDC5488480-D15F-4CFC-9A12-59205F9CDBCB.
  41. वरील व्यतिरिक्त, खालील ऑडिट लॉग ऑडिट सर्व्हरसह संप्रेषणांची स्थापना आणि विस्थापित करण्यासाठी व्युत्पन्न केले जातात:ample.com> <[सक्रिय] ExecuteThread: रांगेसाठी '1':  weblogic.kernel.Default (selftuning)'>webतर्कशास्त्र > <> <14> <[severity-value: 1] [rid: 39] [partition-id: 44] [partition-name: DOMAIN] >ample.com> <[सक्रिय] ExecuteThread: रांगेसाठी '1': 'weblogic.kernel.Default (selftuning)'>webतर्कशास्त्र > <> <14> <[severity-value: 1] [rid: 39] [partition-id: 44] [partition-name: DOMAIN] >

    सुरक्षित संप्रेषण कॉन्फिगरेशन

    4.1 FIPS आणि TLS सेटअप आणि कॉन्फिगरेशन

  42. परिशिष्ट B मधील सूचनांचे अनुसरण करा - FIPS आणि TLS कॉन्फिगरेशनसाठी [ADMIN] चे संप्रेषण सुरक्षित करणे (https://docs.oracle.com/en/middleware/idm/accessmanager/12.2.1.4/aiaag/securing-communication.html#GUID-2E7AAA62-28204D9F-B3BA-C37FFDD55D6E).
  43. TLS खालील घटकांसह संप्रेषणांसाठी समर्थित आहे:
    • ऑडिट सर्व्हर
    • प्रमाणीकरण सर्व्हर
    • OAM सर्व्हर
    • OAM कन्सोल
    • OAM Webगेट्स
    • पॉलिसी स्टोअर
    • वापरकर्ता एंडपॉइंट्स
  44. टीप: हे सेटअप आणि कॉन्फिगरेशन ओरॅकल सपोर्ट प्रतिनिधीच्या थेट सहाय्याने केले जाणार आहे.
    4.2 प्लेनटेक्स्ट पोर्ट्स अक्षम करणे
  45. मूल्यमापन केलेल्या कॉन्फिगरेशनमध्ये, WLST CLI इंटरफेस बदल पूर्ण झाल्यावर TOE प्रशासकांनी प्लेनटेक्स्ट पोर्ट अक्षम करणे आवश्यक आहे.
  46. प्लेनटेक्स्ट पोर्ट्स अक्षम करण्यासाठी:
  47. पासून Webलॉजिक कन्सोल, पर्यावरण > सर्व्हर > “सेवा नाव” > कॉन्फिगरेशन > सामान्य वर नेव्हिगेट करा. लॉक आणि एडिट निवडा आणि नंतर प्लेनटेक्स्ट पोर्ट अनचेक करा. कॉन्फिगरेशन सेव्ह करण्यासाठी सेव्ह वर क्लिक करा आणि बाहेर पडा.

लाइटशिप सुरक्षा लोगोwww.lightshipsec.com

कागदपत्रे / संसाधने

लाइटशिप सुरक्षा 12c ओरॅकल प्रवेश व्यवस्थापन [pdf] वापरकर्ता मार्गदर्शक
12c ओरॅकल प्रवेश व्यवस्थापन, ओरॅकल प्रवेश व्यवस्थापन, प्रवेश व्यवस्थापन, व्यवस्थापन

संदर्भ

एक टिप्पणी द्या

तुमचा ईमेल पत्ता प्रकाशित केला जाणार नाही. आवश्यक फील्ड चिन्हांकित आहेत *