ACL

-

ORA-24247 - network access denied by access control list (ACL)

ACL = Access Control List è la lista degli utenti che possono accedere ad host esterni tramite risorse di rete UTL_TCP, UTL_SMTP, UTL_MAIL and UTL_HTTP usando diverse PL/SQL APIs.


Attraverso le seguenti procedure viene caricato la lista nel XML DB repository.

  1. Creare il file acl.

BEGIN

DBMS_NETWORK_ACL_ADMIN.create_acl (

  acl          => '/sys/acls/<nome_acl>.xml',

  description  => 'ACL /sys/acls/<nome_acl>.xml',

  principal    => 'SYS',

  is_grant     => true,

  privilege    => 'connect');

COMMIT;

END;


acl: è il nome del file ACL XML e la directory dove viene generato

description: è la descrizione dell’acl

principal: indica il primo user o ruolo che ha i privilegi

is_grant: indica se quell’utente può avere i privilegi o meno

privilege: connect è il privilegio dell’utente sys può accedere ai servizi di rete UTL_TCP, UTL_SMTP, UTL_MAIL and UTL_HTTP usando diverse PL/SQL APIs.


2) Aggiungere utenti o ruoli 

BEGIN
DBMS_NETWORK_ACL_ADMIN.ADD_PRIVILEGE(
  acl         => '/sys/acls/<nome_acl>.xml',

  principal   => '<schema>',
  is_grant    => true,
  privilege   => 'connect');
COMMIT;
END;


BEGIN

DBMS_NETWORK_ACL_ADMIN.ADD_PRIVILEGE(

  acl         => '/sys/acls/<nome_acl>.xml',

  principal   => '<schema>',

  is_grant    => true,

  privilege   => 'resolve');

COMMIT;

end;

Ogni principal è definito all’interno del file  come un separato ACE (access control element) e pertanto sono definiti in ordine top to bottom. 

3) Assegnare il file Acl.xml all’ host e l’intervallo di porte.

BEGIN

DBMS_NETWORK_ACL_ADMIN.assign_acl  (

   acl         => '/sys/acls/<nome_acl>.xml',

   host        => '*',

   lower_port  => '',

   upper_port  => '');

COMMIT;

END;


Verifica delle proprietà dall’ACL.

  • Contiene informazioni sull'assegnazione della rete all'ACL

select * from DBA_NETWORK_ACLS;

  • Contiene informazioni sul principal

select * from   DBA_NETWORK_ACL_PRIVILEGES;

  • Contiene informazioni sull'attuale configurazione del network ACL

select * from USER_NETWORK_ACL_PRIVILEGES;


TEST che l’utente può utilizzare il servizio di rete UTL_HTTP usando l’API PL/SQL.

alter session set current_schema = <schema>; 

select sys_context ('userenv','current_schema') from dual;

SELECT UTL_HTTP.REQUEST('http://www.google.com') from dual;


DECLARE

  l_url            VARCHAR2(50) := 'http://www.google.com';

  l_http_request   UTL_HTTP.req;

  l_http_response  UTL_HTTP.resp;

BEGIN

  -- Make a HTTP request and get the response.

  l_http_request  := UTL_HTTP.begin_request(l_url);

  l_http_response := UTL_HTTP.get_response(l_http_request);

  UTL_HTTP.end_response(l_http_response);

END;

/


La procedura deve compilare.

Se si esegue la seguente query ad una url https

SELECT UTL_HTTP.REQUEST('https://www.google.com') from dual;

ORA-29273: richiesta HTTP non riuscita

ORA-06512: a "SYS.UTL_HTTP", line 1720

ORA-12545: Connessione non riuscita perché l'host o l'oggetto di destinazione non esiste

ORA-06512: a line 1

29273. 00000 -  "HTTP request failed"

*Cause:    The UTL_HTTP package failed to execute the HTTP request.

*Action:   Use get_detailed_sqlerrm to check the detailed error message.

           Fix the error and retry the HTTP request.


Questo vuol dire che HTTPS non funziona .

Per abilitare l'accesso HTTPS dal pacchetto UTL_HTTP occorre installare un WALLET che permette di gestire i certificati.

Post popolari in questo blog

Create e Drop Pluggable Database

-
Immagine
Creare un pluggable database dal SEED. Il nome del pluggable database non è case sensitive. Condizioni: - Accedere al conatiner root come amministratore o avere il privilegio "create pluggable database". - Il CDB deve essere in stato READ e WRITE. - Usare il comando "create pluggable database" - Come best practice creare un utente che abbia il ruolo DBA all'interno del nuovo pdb La procedura prevede che vengano effettuate copie dei datafile del Seed in una nuova directory e creati i tablespace Sysaux, System, Undo e Temp e gli schema e gli utenti di deafult. Accediamo come root container e assicuriamoci che sia in stato Read Write SQL> show con_name CON_NAME ------------------------------ CDB$ROOT SQL> column name format a15 SQL> select con_id,name,open_mode  from v$containers;       CON_ID NAME    OPEN_MODE ---------- --------------- ---------------------------- 1  CDB$ROOT    READ WRITE 2  PDB$SEED    READ ONLY 3  ORCLPDB            R
Continua a leggere

ORA-12154: TNS: il listener non è attualmente a conoscenza del servizio richiesto nel descrittore di connessione

-
Richiesta: Problemi connessione oraSiSV9i.  Di seguito il tnsnames.ora.  SISV9I.dominio.IT = (DESCRIPTION = (ADDRESS_LIST = (ADDRESS = (PROTOCOL = TCP)(Host = oraSISV9I)(Port = 1521)) )(CONNECT_DATA = (SERVER = DEDICATED) (SERVICE_NAME = SISV9I))) errore che ricevo dall'applicazione: ORA-12514: TNS: il listener non è attualmente a conoscenza del servizio richiesto nel descrittore di connessione 1) Da una macchina server verifico che il ping funziona tnsping oraSISV9i TNS Ping Utility for Linux: Version 11.2.0.1.0 - Production on 24-JAN-2019 12:05:31 Copyright (c) 1997, 2009, Oracle.  All rights reserved. Used parameter files: /u01/app/oracle/product/11.2.0/dbhome_1/network/admin/sqlnet.ora Used HOSTNAME adapter to resolve the alias Attempting to contact (DESCRIPTION=(CONNECT_DATA=(SERVICE_NAME=))(ADDRESS=(PROTOCOL=TCP) (HOST=xx.yyyy.zzz.n)(PORT=1521))) OK (0 msec) 2) Provare da un client locale , inserendo nel tnsnam
Continua a leggere