[8.i][Admin]Imposer un port d'écoute

**ni0urk** · 10/11/2005, 18h08

Bonjour,

j'aimerais empêcher l'accés à une instance sur un serveur pour un ensemble d'utilisateur qui se serve d'un login, mais tout en pouvant utiliser le même login pour une seule connexion.

J'aimerais savoir si il est possible de modifier un paramètre sur le serveur me permettant de verrouiller l'accés à une base. Je pensais modifier le SID dans le listener pour qu'il pointe vers une instance inexistante, ce qui entraînerait une impposibilité de connexion pour les clients. Or je souhaite qu'un unique client particulier puisse tout de même toujours se connecter.

Je ne vois pas comment faire. Auriez vous des suggestions ?

**thomasjcj** · 11/11/2005, 09h57

une possibilité serait d'utiliser le connection manager CMAN d'oracle qui permet par ex de filter les acces sur les adresses IP.

**comment_ca** · 11/11/2005, 10h25

si ce que tu veux c'est limiter l'accès à une base a une seule machine autrement dit filtrer les adresses IP pas besoin de connection manager tu peux ajouter ces deux lignes au sqlnet.ora sur ton serveur :

TCP.VALIDNODE_CHECKING = YES

TCP.INVITED_NODES= (ip_de_ta_machine)

tu peux mettre autant d'ip séparés par des virgules.ça laissera uniquement cette machine se connecter.tu peux faire l'inverse ç a d exclure uniquement quelques machines et laisser passer le reste

TCP.VALIDNODE_CHECKING = YES

TCP.EXCLUDED_NODES= (ip_machines_a_exclure)

**ni0urk** · 14/11/2005, 10h41

le fait est que je souhaite limité l'accés seulement pour deux instances et laisser la troisième dispo.

Peux t'on filter les IP pour une instance uniquement au lieu d'une base ?

**orafrance** · 14/11/2005, 10h53

pourquoi pas locker les users ?

**thomasjcj** · 14/11/2005, 11h07

Envoyé par ni0urk

le fait est que je souhaite limité l'accés seulement pour deux instances et laisser la troisième dispo.

Peux t'on filter les IP pour une instance uniquement au lieu d'une base ?

Oui, avec CMAN c'est possible:
http://web.njit.edu/info/oracle/DOC/...man.htm#475293

**ni0urk** · 14/11/2005, 11h12

Petite idée :

sur le listener.ora, je déclare mes instances et le port pour s'y connecter.
Si je créé une liste d'instance sur le port 1526 au lieu du 1521, ça me permettrait de n'avoir qu'à modifier le tnsnames.ora sur les n machines clientes qui doivent encore accéder à ces deux instances.

Qu'en pensez vous ?

pourquoi pas locker les users ?

est bien, les users vont me permettre de me connecter pour x machines qui en ont encore besoin.

**bouyao** · 14/11/2005, 11h15

Envoyé par Fred_D

pourquoi pas locker les users ?

+1
Regarde la proposition de FRED

**orafrance** · 14/11/2005, 11h16

Envoyé par ni0urk

pourquoi pas locker les users ?

est bien, les users vont me permettre de me connecter pour x machines qui en ont encore besoin.

Dans ce cas des triggers ON_LOGON qui vérifie la machine peuvent permettre de s'en sortir

**thomasjcj** · 14/11/2005, 11h42

Envoyé par ni0urk

sur le listener.ora, je déclare mes instances et le port pour s'y connecter.
Si je créé une liste d'instance sur le port 1526 au lieu du 1521, ça me permettrait de n'avoir qu'à modifier le tnsnames.ora sur les n machines clientes qui doivent encore accéder à ces deux instances.

C'est facilement contournable si le client a acces au fichier tnsnames.ora ou au registry via la variable TNS_ADMIN. Et avec SQL*plus et d'autres clients, on peut rentrer une chaine de connection complete pour le login sans devoir passer par le tnsnames.ora.

**ni0urk** · 14/11/2005, 11h44

J'aimerais essayer le coup du listener dans un premier temps.

Pourriez vous me confirmer la configuration du listener :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
LISTENER_1521 =
  (ADDRESS_LIST=
        (ADDRESS=
                (PROTOCOL=tcp)
                (HOST=IP_serveur)
                (PORT=1521)
        )
	(ADDRESS=
		(PROTOCOL=ipc)
		(KEY=SID_BASE_1)
	)
   )
 
LISTENER_1522 =
  (ADDRESS_LIST=
        (ADDRESS=
                (PROTOCOL=tcp)
                (HOST=IP_serveur)
                (PORT=1522)
        )
	(ADDRESS=
		(PROTOCOL=ipc)
		(KEY=SID_BASE_2)
	)
   )
 
SID_LIST_LISTENER_1521=
   (SID_LIST=
	(SID_DESC=
		(SID_NAME=SID_BASE_1)
		(ORACLE_HOME=/oracle/ora_8.1.7)
	)
 
)
 
SID_LIST_LISTENER_1522=
   (SID_LIST=
	(SID_DESC=
		(SID_NAME=SID_BASE_2)
		(ORACLE_HOME=/oracle/ora_8.1.7)
	)
 
)

Par contre que faire avec les paramètres suivant :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
STARTUP_WAIT_TIME_LISTENER = 0
CONNECT_TIMEOUT_LISTENER = 10
TRACE_LEVEL_LISTENER = off
LOG_DIRECTORY_LISTENER = /home/oracle/network/log
TRACE_DIRECTORY_LISTENER =/home/oracle/network/log
TRACE_FILE_LISTENER=listener.trc
LOG_FILE_LISTENER=listener.log

Merci

**ni0urk** · 14/11/2005, 11h57

Envoyé par thomasjcj

C'est facilement contournable si le client a acces au fichier tnsnames.ora ou au registry via la variable TNS_ADMIN. Et avec SQL*plus et d'autres clients, on peut rentrer une chaine de connection complete pour le login sans devoir passer par le tnsnames.ora.

Je suis d'accord, mais mes postes clients ne passent que par le tnsnames.ora puisque ce sont les appli qu'ils lancent qui se connecte via les SID dispo sur le tnsmane

**Jaouad** · 14/11/2005, 11h57

Bonjour à tous ,

comment_ca

il faut utiliser cette méthode avec parcimonie.

En effet quelques remarques :

- Cette méthode bloque toutes les bases d'une même version sur un serveur.

- Cette méthode ne concerne que les connections avec le protocole Net*8

- Vous conseillez de spécifiez l'adresse IP , il vaut mieux mettre le nom ou l'alias réseau , en effet le blocage par adresse IP est iniffécace dans un réseau avec un DHCP elle peut même avoir des effets néfastes.

Jaouad

**ni0urk** · 14/11/2005, 16h59

J'ai encore un soucis.

Dans mon idée de spécifié que la base SID_BASE_1 soit jointe pas le port 1521 et ma base SID_BASE_2 par le port 1526.

Je stoppe le listener, puis je le relance.
Dans un premier temps, je cherche à me connecter avec toad à :
- ma base SID_BASE_1 sur le port 1521 -> pas de pb
- ma base SID_BASE_2 sur le port 1521 -> pb sur le service_name (ce que je veux, ça tombe bien)
- ma base SID_BASE_2 sur le port 1526 -> pb, pas de listenr (donc je dois me tromper dans l'écriture de mon listener)

Après un certain temps, je retente les trois connexions :
- 1-> idem
- 2-> j'arrive à me connecter à SID_BASE_2 surle port 1521 (

)
- 3-> idem

D'où quelques questions :

- Pourquoi ma base SID_BASE_2 devient accessible sur mon port 1521 ?
- comment prendre en compte mes deux listener

**ni0urk** · 15/11/2005, 11h28

J'ai p'être ma réponse.
Il semble que dans les versions 8.i et sup, un listener par défaut se lance sur le port 1521. Il convient donc d'ajouter dans le init<SID>.ora le paramètre suivant :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

LOCAL_LISTENER = "(ADDRESS=(PROTOCOL=TCP)(HOST=ip machine)(PORT=1526))"

Ainsi, l'instance de cette base impose le port 1526 pour la connection.

Je teste ça cet après-midi.

**aline** · 15/11/2005, 12h06

Envoyé par aline

Envoyé par Fred_D

Dans ce cas des triggers ON_LOGON qui vérifie la machine peuvent permettre de s'en sortir

+1

Je pense que c'est la méthode la plus simple. Tu peux facilement filtrer comme cela

**comment_ca** · 17/11/2005, 11h56

merci pour ta précision jawad mais c quand meme plus simple a mettre en place ke CMAN

[8.i][Admin]Imposer un port d'écoute

Oracle

Discussions similaires

Partager

Partager