本节介绍如何使用Oracle GoldenGate凭证存储来维护加密的数据库密码和用户ID,并将它们与别名关联。它是在命令或参数文件中指定的别名,而不是实际的用户标识或密码,并且不需要用户输入加密密钥。凭据存储实现为Oracle Credential Store Framework(CSF)中的自动登录钱包。
使用凭证存储的另一个好处是,Oracle GoldenGate的多个安装可以使用同一个安装,同时保留对其本地凭证的控制权。您可以将凭证存储分区为称为域的逻辑容器,例如,每次安装Oracle GoldenGate时都需要一个域。通过域,您可以开发一组别名(例如Extract,rep for Replic的ext),然后将不同的本地凭证分配给每个域中的别名。例如,用户ogg1的凭证可以作为ALIAS ext存储在DOMAIN system1下,而用户ogg2的凭证可以作为ALIAS ext存储在DOMAIN system2下。
凭证存储安全功能在iSeries,z / OS和NonStop平台上不受支持。对于这些平台以及任何其他支持的平台,请参阅在命令或参数文件中加密密码。
使用凭证存储涉及以下步骤:
- 创建和填充凭证存储
- 在参数文件或命令中指定别名
11.4.1 创建和填充凭证库
- (可选)要将凭证存储存储在Oracle GoldenGate安装目录的dircrd子目录以外的位置,请使用GLOBALS文件中的CREDENTIALSTORELOCATION参数指定所需的位置。 (有关GLOBALS文件的更多信息,请参阅使用GLOBALS文件。)
- 从Oracle GoldenGate安装目录运行GGSCI。
- 发出以下命令以创建凭证存储。
ADD CREDENTIALSTORE
- 发出以下命令将每组凭据添加到凭证存储区。
ALTER CREDENTIALSTORE ADD USER userid, [PASSWORD password] [ALIAS alias] [DOMAIN domain]
Where:
2)password是密码。使用此选项时,密码将被回显(未混淆)。出于安全原因,建议您省略此选项并允许该命令提示输入密码,以便在输入密码时进行模糊处理。
1)用户标识是用户名。除非使用ALIAS或DOMAIN选项,否则只有一个用户名实例可以存在于凭证存储区中。
3)ALIAS是用户名的别名。该别名替代了需要登录凭证的参数和命令中的凭证。如果省略ALIAS选项,则别名默认为用户名。如果您不想在参数或命令输入中使用用户名,请使用ALIAS并指定与用户名不同的名称。
4)域是包含指定别名的域。默认域是Oracle GoldenGate。
有关此过程中使用的命令以及其他凭证存储命令的更多信息,请参阅适用于Windows和UNIX的Oracle GoldenGate参考。
11.4.2 在参数文件或命令中指定别名
以下命令和参数接受别名作为替代登录凭证。
Table 11-1 Specifying Credential Aliases in Parameters and Commands
Purpose of the Credential | Parameter or Command to Use |
Oracle GoldenGate database login |
USERIDALIAS alias |
用于Oracle ASM实例的Oracle GoldenGate数据库登录 |
TRANLOGOPTIONS ASMUSERALIAS alias |
下游Oracle挖掘数据库的Oracle GoldenGate数据库登录 |
TRANLOGOPTIONS MININGUSERALIAS alias |
密码替换为{CREATE | ALTER}用户名
|
DDLOPTIONS DEFAULTUSERPASSWORDALIAS alias |
来自GGSCI的Oracle GoldenGate数据库登录 |
DBLOGIN USERIDALIAS alias |
Oracle GoldenGate数据库从GGSCI登录到下游Oracle挖掘数据库 |
MININGDBLOGIN USERIDALIAS alias |
USERIDALIAS所需的语法元素因数据库类型而异。有关更多信息,请参阅适用于Windows和UNIX的Oracle GoldenGate参考。
参考资料
https://docs.oracle.com/goldengate/c1221/gg-winux/GWUAD/configuring-oracle-goldengate-security.htm#GWUAD945