"JDBC thin" sans mot de passe ou Comment intégrer Oracle dans une PKI via SSL

Un truc que je n'ai jamais bien compris avec Oracle, c'est l'intérêt de créer des mots de passe qui se retrouvent finalement:

• connus par tous, y compris de personnes qui ont quitté les projets 5 ans auparavant
• stockés dans des fichiers de configurations sous des formes réversibles ou pire, en clair
• dans des comptes génériques, donc anonymes, intraçables et en dehors de toute stratégie d'audit

D'un autre côté, les équipes de sécurité réclament de valider la complexité des mots de passe, de les faire expirer, de chiffrer les données, de les rendre invisibles, de chiffrer les sauvegardes, de limiter et d'auditer les accès, d'appliquer les "Critical Patch Updates", de ne pas installer Oracle JServer. A la fin, la réalité est toute autre que celle visée. Une fois que quelqu'un a accès à une zone serveur, il a beau jeu de disparaitre de tous les écrans radar grâce à un mot de passe "anonyme".

Cet article présente comment intégrer les accès JDBC thin de vos bases de données dans une infrastructure à clés publiques et oublier à tout jamais vos mots de passe.

ACFS n'est plus gratuit !

Trop beau pour être vrai ? Au mois de juillet dernier, j'écrivais un article intitulé dans "ACFS et ADVM sont gratuits". Je viens de le supprimer ! Mon article se terminait simplement par "Oracle est vraiment généreux ;-)". Il pointait une section de la documentation du Licensing Guide 11.2 que je reprends ci-dessous pour le plaisir...

Il n'aura pas fallu longtemps à Oracle pour se dire, comme moi, qu'il y avait un vrai potentiel pour une solution de système de fichiers clusters. C'est d'autant plus vrai qu'elle sera bientôt disponible sur Solaris et Aix et qu'elle offre désormais des fonctionnalités avancées comme les snapshots et la réplication.

Avec Oracle, évitez les règles et les généralités !

Le RBO est mort depuis longtemps et pourtant, tous les jours j'entends ou je lis les pires des raccourcis à propos de l'optimiseur SQL d'Oracle. Si j'adore ça, c'est justement parce que le tuning est parfois un puzzle ; il s'appuie sur un modèle statistique puissant et il n'obéit surtout pas à des règles. Alors, vous aussi, à chaque fois que vous lisez des règles à propos du moteur SQL d'Oracle, pensez plutôt :

• Il n'y a pas de règles ; il n'y a que des exceptions
• Ça dépend (Tom Kyte)
• Arrêtez de croire ce qu'on vous dit ou les évidences (BAAG by Alex G.)
• Faites vous une opinion par vous-même
• Remettez toujours en doute vos certitudes (si c'est vrai aujourd'hui, rien ne dit qu'avec le prochain patch)

Et... Arrêtez de penser :

*Nouveau* Oracle Cluster Filesystem - Cloud Edition

Avec la version 11.2.0.2, Oracle a décidé de proposer une license avec tous les composants ADVM et ACFS pour vos fichiers : "Oracle Cluster Filesystem - Cloud Edition", c'est son nom, devrait être disponible pour l'instant sur

• OEL et RHEL5 x86 et x86_64
• Suse 10.3+ (d'après la documentation l'infrastructure Grid)
• Solaris 10 Update 6+ pour Sparc et x86_64 (Cette section fait quant à elle apparaître Solaris mais ni Suse ni Aix)
• Windows Server 2003 x86_64 et 2003 R2 x86_64
• Aix

Oracle Cluster Filesystem - Cloud Edition contient :

ACFS 11.2.0.2 devient Killer App, QoS, Streams/GoldenGate et bien plus...

La documentation 11.2.0.2 aussi est également disponible sur OTN. 4 trucs "énormes" viennent dans cette nouvelle version et sont décrits dans le "New Features Guide" :

• ACFS est disponible sur AIX et Solaris (Sparc et x86_64). Pour une première idées des contraintes sur les versions, regardez cette section de la doc - encore incomplète puisque AIX n'y figure pas encore.
• ACFS offre un service de réplication asynchrone de vos environnents pour les environnements non-Oracle (applications, fichiers)
• Un serveur de gestion de la QoS est disponible dans l'infratructure Grid. Il permet de gérer dynamiquement en fonction des performances, les ressources allouées à vos clusters de base de données. Pour ceux qui connaissent, ca deviendra probablement VMWare DRS dans le RAC :
• avec ses avantages : basé sur les performances et pas l'utilisation des ressources 
• et ses limites : les recommendations ne sont pas encore implémentées automatiquement. On y arrivera très bientôt avec des scripts callout ou out-of-the-box (en 12g?)
  

Oracle 11.2.0.2 est disponible

Voilà, j'ai téléchargé 10098816 et installé la version tant attendue (presque 12 mois !). Le temps est venu de voir si les nouvelles fonctionnalités sont dedans ou s'il faut attendre encore d'autres patchs. Le premier qui voit la doc me fait signe.

Côté nouveautés déjà testées,

Data Recovery Advisor n'est pas "RAC-Aware"

Si vous n'aviez pas encore lu cet article à propos d'Oracle 11g Data Recovery Advisor, c'est cet outil qui rend n'importe quel humain normal un DBA 11g exceptionnel puisque capable de restaurer une base de données. En effet, la combinaison des 3 commandes qui suivent LIST FAILURE, ADVISE FAILURE n puis REPAIR FAILURE génère et exécute les scripts RMAN les plus avancés allant jusqu'au Block Media Recovery. Et bien, merci ! RAC est toujours là pour me permettre de briller un peu, moi, le dinosaure qui considère toujours que connaître RMAN n'est pas un luxe !

SQL Performance Analyzer et Virtual Private Database

Dans l'article précédent à propos des limites de SQL Performance Analyzer, j'ai souligné le fait que certaines informations comme la configuration NLS ou les informations de session n'étaient pas conservées lorsque vous ré-exécutiez les ordres capturés dans des SQL Tuning Set. Le résultat peut être que les différences constatées entre 2 exécutions ne viennent pas des changements réalisés comme la création d'un index ou le changement de version d'Oracle, mais de la méthode elle-même, y compris dans le cas de l'utilisation de SQL Performance Analyzer. Un autre exemple assez frappant est l'utilisation de la VPD comme vous allez le découvrir ci-après.

Quelques limites d'Oracle SQL Performance Analyzer

Oracle Performance Analyzer est un outil fantastique de l'Option Real Application Testing. Il est apparu avec Oracle Database 11g. Pour l'avoir utilisé à plusieurs reprises dans des situations de migration, d'upgrade (il est possible collecter les informations originales sur une base 10g !) ou de changement d'infrastructure technique, il faut avouer que c'est une avancée majeure pour ce type de problématique. C'est aussi important que le moteur à réaction pour l'aviation ;-). Cela dit, si accrocher un réacteur à un avion n'est pas aussi simple qu'on peut l'entendre, réaliser une transformation d'un SI nécessite toujours, même avec des réacteurs, d'adresser certains points comme de :

• comprendre le contexte et les enjeux,
• fixer les objectifs,
• gérer avec précision les configurations,
• construire des sous-ensembles représentatifs qui soient représentatifs,
• gérer les risques

N'oublions pas nos fondamentaux et ni pourquoi il faut encore des administrateurs... Cet article présente un exemple des limites que vous pourrez rencontrer avec DBMS_SQLPA lié au paramétrage NLS de votre client que celui-ci ne sait pas reproduire.

Oracle doit-il faire un tri après un INDEX FULL SCAN ?

Un index B*Tree étant organisé selon les valeurs des données, on peut imaginer que si un plan exécute une étape de type INDEX FULL SCAN sur un index, les données retournées par l'étape du plan en question sont triées. Si donc vous voulez ramener les données dans l'ordre des colonnes de l'index, une étape supplémentaire de tri est-elle bien utile ? Oui ? Non ? C'est la réponse à cette question haletante que vous découvrirez ci-dessous ! Plus sérieusement, ne vous êtes vous jamais demandé à quoi sert une étape particulière dans un plan ? Voici un exemple que vous avez déjà probablement rencontré 1000 fois; mais vous êtes vous posé la question ?