分类: Oracle Basic Knowledge2009-10-19 14:24 5031人阅读 评论(9) 收藏 举报

一.  OS认证

1.1  OS认证介绍

Oracle安装之后默认情况下是启用了OS认证的,这里提到的OS认证是指服务器端OS认证。OS认证的意思把登录数据库的用户和口令校验放在了操作系统一级。如果以安装Oracle时的用户登录OS,那么此时在登录Oracle数据库时不需要任何验证,如:

SQL> connect /as sysdba

已连接。

SQL> connect sys/aaa@test as sysdba

已连接。

SQL> connect sys/bbb as sysdba

已连接。

SQL> connect aaa/bbb as sysdba

已连接。

SQL> show user

SYS

SQL>

不论输入什么用户(哪怕这个用户如aaa在数据库中根本不存在),只要以sysdba权限连接数据库,都可以连接上,并且连接用户是sys,这样很方便,有时候,如果忘记了数据库的密码,而又想登录数据库,可以通过这种方式,前提是在数据库服务器上.

1.2  OS 认证相关的参数

Oracle数据库通过如下3个参数来实现OS 认证:

(1)sqlnet.ora中的 SQLNET.AUTHENTICATION_SERVICES参数。

(2)PFILE(或SPFILE)文件中的参数REMOTE_LOGIN_PASSWORDFILE

(3)口令文件PWDsid.ora(windows)或者 orapwSID(linux,大小写敏感)。

1.2.1 sqlnet.ora 文件参数

文件位置:$ORACLE_HOME/network/admin/sqlnet.ora

SQLNET.AUTHENTICATION_SERVICES= (NTS)

NAMES.DIRECTORY_PATH= (TNSNAMES, EZCONNECT)

参数可以有如下值:

SQLNET.AUTHENTICATION_SERVICES=(NTS)|(NONE)

其中:

(NTS):  表示操作系统认证方式,不使用口令文件,默认值。

(NONE):口令文件认证方式

1.2.2  REMOTE_LOGIN_PASSWORDFILE 参数

该参数可以有如下值:

REMOTE_LOGIN_PASSWORDFILE ='NONE'|'EXCLUSIVE'|'SHARED'

(1)NONE:不使用密码文件登录、不允许远程用户用sys登录系统、可以在线修改sys的密码;

(2)EXCLUSIVE:默认值。只允许一个数据库使用该密码文件、允许远程登录、允许非sys用户以sysdba身份管理数据库、可以在线修改sys的密码。在这种模式下,口令文件可以包含用于多个特许的Oracle账户的口令。这是推荐的操作模式,特别是在运行RMAN时。如果希望将RMAN与来自于远程客户端的数据库连接,则必须使用该参数设置。

(3)SHARE:可以多个数据库使用密码文件。实际上是这样的: Oracle数据库在启动时,首先查找的是orapw<sid>的口令文件,如果该文件不存在,则开始查找,orapw的口令文件如果口令文件命名为orapw,多个数据库就可以共享、允许远程登录、只能用sys进行sysdba管理、可以在线修改sys的密码。在此设置下只有INTERNAL/SYS帐号能被识别,即使文件中存有其它用户的信息,也不允许他们以SYSOPER/SYSDBA登录。

修改:

SQL>ALTER SYSTEM SET REMOTE_LOGIN_PASSWORDFILE=EXCLUSIVE SCOPE=SPFILE;

需要注意的是:这个参数不是动态参数。需要在数据库加载到MOUNT状态下修改,另外改变以后需要重新启动数据库,参数的设置才能够生效。

1.3 禁用OS认证

OS 认证存在一定的安全隐患,我们可以屏蔽OS认证。

1.3.1 windows下

在win下只要把oracle_home/NETWORK/admin/sqlnet.ora中的SQLNET.AUTHENTICATION_SERVICES= (nts)nts改成none或者注释掉这句话(在前面加上#),就可以屏蔽os功能,要想以sys用户连上数据库必须输入正确的sys口令,或者可以把oracle的安装用户从组ora_dba中删除掉,当然也可以直接把ora_dba这个组也删除,都可以屏蔽os功能.

如:

SQL> connect /as sysdba

ERROR:

ORA-01031: 权限不足

SQL> connect sys/aaa as sysdba

ERROR:

ORA-01017: 用户名/口令无效; 登录被拒绝

SQL> connect aaa/bbb as sysdba

ERROR:

ORA-01031: 权限不足

SQL> connect sys/system as sysdba

已连接。

SQL>

1.3.2  LINUX/UNIX 下

在文件sqlnet.ora中增加SQLNET.AUTHENTICATION_SERVICES=(none)以及删除dba(groupdel dba)组或者把oracle用户从dba组中删除都可以屏蔽os认证。

注意:

使用这种屏蔽方法, 系统管理员还是可以创建ora_dba or dba组以及修改sqlnet.ora文件。

二. 口令文件

2.1 口令文件说明

Oracle的口令文件的作用是存放所有以sysdba或者sysoper权限连接数据库的用户的口令,如果想以sysdba权限远程连接数据库,必须使用口令文件,否则不能连上,由于sys用户在连接数据库时必须以sysdba or sysoper方式,也就是说sys用户要想连接数据库必须使用口令文件,因此我认为在数据库中存放sys用户的口令其实没有任何意义!使用口令文件的好处是即使数据库不处于open状态,依然可以通过口令文件验证来连接数据库。开始安装完oracle,没有给普通用户授予sysdba权限,口令文件中只存放了sys的口令,如果之后把sysdba权限授予了普通用户,那么此时会把普通用户的口令从数据库中读到口令文件中保存下来,当然这时必须要求数据库处于open状态。如:

SQL> grant sysdba to test;

授权成功。

SQL> connect test/aaa@orcl as sysdba

ERROR:

ORA-01017: 用户名/口令无效; 登录被拒绝

警告: 您不再连接到 ORACLE。

SQL> connect test/test@orcl as sysdba

已连接。

SQL> alter database close;

数据库已更改。

SQL> grant sysdba , sysoper to test;

grant sysdba , sysoper to test

*

第 1 行出现错误:

ORA-01109: 数据库未打开

2.2 查看具有sysdba 权限的用户

可以通过查询v$pwfile_users视图来查看有几个用户被授予了sysdba或者sysoper权限, v$pwfile_users的信息就是源于口令文件.

SQL> select * from v$pwfile_users;

USERNAME SYSDB SYSOP

------------------------------ ----- -----

SYS TRUE TRUE

TEST TRUE FALSE

到底可以有几个用户被授予sysdba或者sysoper权限,是由创建口令文件时指定的entries数决定的,准确的说还不完全是,最终还和os block的大小有关,如果entries指定了5,一个os block可以存放8个用户的口令,那么可以由8个用户被授予sysdba或者sysoper。

注意:事实是口令多长,加密之后的长度几乎都是相同的,也就是说口令文件占用的大小和口令指定的长度几乎关系不大。

C:>orapwd file=databasepwd.ora password=system entries=5

OPW-00005: 存在相同名称的文件 - 请删除或重命名

C:>orapwd file=databasepwd.ora password=system entries=5   force=y

创建口令文件需要注意的是=前后没有空格。在10g增加了一个新的参数force default值n,它的作用类似于创建表空间时的reuse功能,当同名文件存在时是否覆盖。

是否使用口令文件,由remote_login_passwordfile参数控制。这个参数在上面有说明。

2.3 口令文件格式

win下口令文件的格式是pwdsid.ora(大小写敏感)。

unix下的格式是orapwSID(大小写敏感),

Oracle数据库在启动时,首先查找的是orapw<sid>的口令文件,如果该文件不存在,则开始查找,orapw的口令文件,如果口令文件命名为orapw,多个数据库就可以共享。 口令文件创建完后,数据库需要重启动,新的口令文件才能生效。

2.4  sys/system 密码丢失的处理方法

(1).查询视图V$PWFILE_USERS,select * from V$PWFILE_USERS;

记录下拥有 SYSOPER/SYSDBA 系统权限的用户信息。

(2)关闭数据库 shutdown immediate

(3)将密码文件重命名

(4)用orapwd 命令重建创建密码文件

orapwd file=/u01/app/oracle/product/10.2.0/db_1/dbs/orapworcl password=admin

entries=5   force=y

(5)将第一步查出来的用户添加到密码文件

grant sysdba , sysoper to user;

------------------------------------------------------------------------------

Blog: http://blog.csdn.net/tianlesoftware

Oracle OS认证 口令文件 密码丢失处理的更多相关文章

  1. Oracle OS认证和口令文件认证方法

    OS认证 1.在SQLNET.ORA(位于$ORACLE_HOME/NETWORK/ADMIN文件夹中)文件里,使用vi编辑,凝视掉#SQLNET.AUTHENTICATION_SERVICES = ...

  2. oracle使用口令文件验证和os验证

    一.Oracle安装之后默认情况下是启用了OS认证的,这里提到的os认证是指服务器端os认证.OS认证的意思把登录数据库的用户和口令校验放在了操作系统一级.如果以安装Oracle时的用户登录OS,那么 ...

  3. ORACLE模拟临时文件、日志成员、口令文件丢失情况与恢复【weber出品】

    一.临时表空间文件.日志文件和口令文件都属于非关键性文件,因为这些文件丢失后并不会影响到整个数据库的完整性. 但是,当这些文件丢失后我们需要快速的找回这些文件.接下来我将模拟临时表空间文件.日志文件和 ...

  4. Oracle 口令文件:即 oracle密码文件

    一:文件路径位置 [oracle@localhost db_1]$ cd $ORACLE_HOME/dbs [oracle@localhost dbs]$ ls dbsorapwPROD1 hc_or ...

  5. oracle最高账号sys的密码认证模式

    CONNECT USERNAME/PASSWORD@SERVERNAME AS SYSDBAconnect 是指连接到username是指用户名password是指密码servername是指服务名a ...

  6. ASM认证与口令文件

    ASM认证 ORACLE ASM 实例没有数据字典,所以连接ASM 实例只能通过如下三种系统权限来进行连接: SYSASM,SYSDBA,SYSOPER. 可以通过如下三种模式来连接ASM 实例:1. ...

  7. Oracle 物理结构(二) 文件-口令文件

    一.口令文件作用 1.口令文件基本介绍 Oracle数据库口令文件存放有超级用户的口令及其他特殊用户的用户名/口令. 口令文件在数据库创建时,自动创建,存放在$ORACLE_HOME/dbs. 此文件 ...

  8. Oracle DB备份恢复篇之丢失控制文件

    实验目的 本篇主要模拟控制文件丢失后,如何根据实际情况恢复数据库,才能使数据库尽可能不丢失数据. 实验环境 1)Linux系统环境 [oracle@DG1 ~]$ lsb_release -a LSB ...

  9. oracle:os认证用户登录测试

        90%的情况下,我们使用的都是数据库认证用户登录oracle,但还存在使用OS认证用户登录oracle的情况: 下面就实验一下OS用户要登录oracle相关操作: 测试环境:oracle10. ...

随机推荐

  1. mac air 装ubuntu16.04

    前言 我的mac air购于14年,128GB款.最开始我只是在OS X系统里留出了70GB给ubuntu,然后通过u盘装了ubuntu 14.04,后来又陆续将系统升级到15.04.16.04.各方 ...

  2. linux下ntp服务器搭建方法

    环境 软件:fedora14,装在virtualbox虚拟机上 硬件:x86 具体步骤 检查是否安装了ntp 运行如下命令: rpm -qa | grep ntp 如果有如下输出,表示有安装ntp 服 ...

  3. K-D树问题 HDU 4347

    K-D树可以看看这个博客写的真心不错!这里存个版 http://blog.csdn.net/zhjchengfeng5/article/details/7855241 HDU 4349 #includ ...

  4. MYSQL数据库的数据完整性

    #转载请联系 数据库中存储的数据应该符合我们的预期, 这就是数据完整性. 那么如何实现数据完整性? 我们通过以下两方面来实现数据的完整性: 数据类型: 存储在数据库中的所有数据值均正确的状态.如果数据 ...

  5. Delphi 中 函数参数中的 const 修饰符的本质以及注意事项

    来自:http://blog.csdn.net/farrellcn/article/details/9096787 ------------------------------------------ ...

  6. hdu 5187(高精度快速幂)

    zhx's contest Time Limit: 2000/1000 MS (Java/Others)    Memory Limit: 65536/65536 K (Java/Others)Tot ...

  7. hdu 3870(平面图最小割转最短路)

    Catch the Theves Time Limit: 5000/2000 MS (Java/Others)    Memory Limit: 65768/32768 K (Java/Others) ...

  8. [loj #6003]「网络流 24 题」魔术球 二分图最小路径覆盖,网络流

    #6003. 「网络流 24 题」魔术球 内存限制:256 MiB时间限制:1000 ms标准输入输出 题目类型:传统评测方式:Special Judge 上传者: 匿名 提交提交记录统计讨论测试数据 ...

  9. centos7下自定义服务启动和自动执行脚本

    systemctl list-units --type=service #查看所有已启动的服务 systemctl enable httpd.service #加入开机自启动服务 systemctl ...

  10. [Contest20180325]序列

    Hogura有一个序列$a$,她希望你帮她维护下面的这些操作. $1\ l\ r\ x$对$l\leq i\leq r$的$a_i$执行$a_i=a_i+x$ $2\ l\ r\ x$对$l\leq ...