************************************************************************************************************
?
Oracle OS認證與口令文件認證詳解
?
本文概述與實驗環(huán)境
概述:本文只討論OS認證和口令文件認證方式的配置方法�����,如何配置以及使用OS認證和口令文件認證方式驗證SYSDBA/SYSOPER權(quán)限�����。
實驗環(huán)境:Oracle 10.1 + Windows 2003 和 Oracle 10.2 + RHEL 4
特殊權(quán)限與Oracle登陸認證管理
在開始學(xué)Oracle的時候有件事一直讓我感覺很奇怪,就是為什么在數(shù)據(jù)沒有起來的時候只要登錄到安裝Oracle的操作系統(tǒng)中直接用sqlplus / as sysdba就能登陸到數(shù)據(jù)庫中然后對數(shù)據(jù)庫進行啟動停止之類的操作�����。后來看到關(guān)于Oracle口令文件相關(guān)資料的時候才豁然開朗:數(shù)據(jù)庫認證信息并不一定存在數(shù)據(jù)庫中的����,這點和SQL Server很是不一樣�����。
在Oracle中有兩類特殊的權(quán)限SYSDBA和SYSOPER����,當DBA需要對數(shù)據(jù)庫進行維護管理操作的時候必須具有這兩類特殊權(quán)限之中的一種���。在數(shù)據(jù)庫沒有打開的時候��,使用數(shù)據(jù)庫內(nèi)建的賬號是無法登陸數(shù)據(jù)庫的���,但是擁有SYSDBA或是SYSOPER權(quán)限的用戶是可以登陸的��。認證用戶是否擁有兩類特殊權(quán)限的方法有兩種:OS認證和口令文件認證。
OS認證和口令文件認證方法
Oracle特殊權(quán)限認證方法
(來源:Oracle? Database Administrator’s Guide 10g Release 2)
Oracle數(shù)據(jù)庫究竟使用OS認證還是口令文件認證來進行管理取決于下面三個因素:
-
SQLNET.ORA參數(shù)文件中的參數(shù)SQLNET.AUTHENTICATION_SERVICES設(shè)置
-
PFILE(SPFILE)參數(shù)文件中的參數(shù)REMOTE_LOGIN_PASSWORDFILE設(shè)置
-
口令文件orapw$SID(Linux) | PWD$SID.ora(Windows)
Oracle權(quán)限認證的基本順序是這樣的����,先由SQLNET.AUTHENTICATION_SERVICES的設(shè)置值來決定是使用OS認證還是口令文件認證�����,如果使用口令文件認證的話就要看后面兩個條件了:如果REMOTE_LOGIN_PASSWORDFILE參數(shù)設(shè)置為非NONE而且口令文件存在的話就能正常使用口令文件認證,否則將會失敗。
SQLNET.AUTHENTICATION_SERVICES參數(shù)
在SQLNET.ORA(位于$ORACLE_HOME/NETWORK/ADMIN目錄中)文件中�,需要修改時直接用文本編輯器打開修改就行了�����,對于不同的操作系統(tǒng)SQLNET.AUTHENTICATION_SERVICES的取值會有些不一樣,通常我們會用到下面的一些設(shè)置值:
-
SQLNET.AUTHENTICATION_SERVICES = (ALL)
對Linux系統(tǒng),支持OS認證和口令文件認證��。
對Windows系統(tǒng)���,實際實驗是不支持此參數(shù)����,驗證失敗����。
-
SQLNET.AUTHENTICATION_SERVICES = (NTS)
此設(shè)置值僅用于Windows NT系統(tǒng),此設(shè)置同時支持OS認證和口令文件認證��,只有在設(shè)置了(NTS)值之后運行在Windows系統(tǒng)上的Oracle才支持OS認證。
-
SQLNET.AUTHENTICATION_SERVICES = (NONE)
此設(shè)置值在Windows和Linux是作用一樣的���,指定Oracle只使用口令文件認證。
-
不設(shè)置此參數(shù)或SQLNET.AUTHENTICATION_SERVICES =
對Linux系統(tǒng)�,默認支持OS認證和口令文件認證��。
對Windows系統(tǒng),默認只支持口令文件認證���,不支持OS認證。
OS認證實現(xiàn)
Oracle使用操作系統(tǒng)中的兩個用戶組來控制OS認證���,在不同的操作系統(tǒng)中這兩個用戶組的名稱是不一樣的,一般來說他們是OSDBA 和 OSOPER,這兩個用戶組都是在Oracle安裝的時候創(chuàng)建的�。下面列出不同系統(tǒng)中這兩個用戶組的名字:
Operating System Group
|
UNIX User Group
|
UNIX User Group
|
OSDBA
|
dba
|
ORA_DBA
|
OSOPER
|
oper
|
ORA_OPER
|
OSDBA用戶組的用戶可以使用SYSDBA權(quán)限登陸數(shù)據(jù)庫����,OSOPER用戶組的的用戶可以使用SYSOPER權(quán)限來登陸數(shù)據(jù)庫���。使用sqlplus可以用下面方法登陸
CONNECT
/
AS
SYSDBA
CONNECT
/
AS
SYSOPER
擁有OS權(quán)限的用戶登陸數(shù)據(jù)庫時不再需要輸入用戶名和密碼���,因此使用下面的命令也是可以正常登陸的:
CONNECT
ANY_USER_NAME
/
ANY_PASSWORD
AS
SYSDBA
CONNECT
ANY_USER_NAME
/
ANY_PASSWORD
AS
SYSOPER
因此要創(chuàng)建一個新的OS認證帳號步驟是:
-
建立一個OS用戶
-
將用戶加入到OSDBA或是OSOPER用戶組
-
用新增加的用戶登陸系統(tǒng)��,然后輸入sqlplus / AS SYSDBA進行登陸
REMOTE_LOGIN_PASSWORDFILE參數(shù)
REMOTE_LOGIN_PASSWORDFILE系統(tǒng)參數(shù)的設(shè)置制定了數(shù)據(jù)庫使用口令文件的方法�����,此參數(shù)可以設(shè)置的值有三個:
-
REMOTE_LOGIN_PASSWORDFILE = NONE
不使用口令文件
-
REMOTE_LOGIN_PASSWORDFILE = EXCLUSIVE
使用口令文件��,但只有一個數(shù)據(jù)庫實例可用使用
-
REMOTE_LOGIN_PASSWORDFILE = SHARED
多個數(shù)據(jù)庫實例共用一個口令文件���,這種設(shè)置下是不能增加其他數(shù)據(jù)庫用戶作為特殊權(quán)限用戶到口令文件中的��。
REMOTE_LOGIN_PASSWORDFILE參數(shù)屬于初始化參數(shù),只能在init.ora/pfile中指定或是在數(shù)據(jù)庫打開狀態(tài)下使用下面語句修改����,然后重新啟動數(shù)據(jù)庫����。
ALTER
SYSTEM
SET
REMOTE_LOGIN_PASSWORDFILE
=
EXCLUSIVE
SCOPE
=
SPFILE
;
要檢查當前REMOTE_LOGIN_PASSWORDFILE的設(shè)定值在登陸Oracle后輸入下面的命令
SQL
>
show
parameter
remote
/** 這是輸出結(jié)果�,看remote_login_passwordfile一行
NAME???????????????????????????????? TYPE??????? VALUE
------------------------------------ ----------- ------------------------------
remote_archive_enable??????????????? string????? true
remote_dependencies_mode???????????? string????? TIMESTAMP
remote_listener????????????????????? string
remote_login_passwordfile??????????? string????? EXCLUSIVE
remote_os_authent??????????????????? boolean???? FALSE
remote_os_roles????????????????????? boolean???? FALSE
SQL>
*/
口令文件和口令文件認證
口令文件存放著被授予SYSDBA或SYSOPER權(quán)限的用戶的用戶名和密碼。它是一個加密的文件���,用戶不能修改這個文件,
在Linux系統(tǒng)中口令文件一般保存在$ORACLE_HOME/dbs目錄下�����,文件名為orapw$SID�����;在Windows系統(tǒng)中口令文件一般保存在$ORACLE_HOME/database目錄下�����,文件名為PWD$SID.ora。
使用口令文件認證的基本步驟是:
-
使用orapwd工具生成口令文件
-
設(shè)置REMOTE_LOGIN_PASSWORDFILE為EXCLUSIVE或是SHARED
-
使用SYS登陸數(shù)據(jù)庫��,創(chuàng)建新的數(shù)據(jù)庫用戶
-
使用GRANT命令授予新創(chuàng)建的用戶SYSDBA/SYSOPER權(quán)限
1�、使用orapwd工具生成口令文件
我們可以使用Oracle提供的工具orapwd來創(chuàng)建或者重新初始化一個口令文件:
[oracle@RHEL4 dbs]$ orapwd
Usage: orapwd file=<fname> password=<password> entries=<users> force=<y/n>
? where
??? file - name of password file (mand),
??? password - password for SYS (mand),
??? entries - maximum number of distinct DBA and???? force - whether to overwrite existing file (opt),
OPERs (opt),
? There are no spaces around the equal-to (=) character.
[oracle@RHEL4 ~]$ orapwd file='$ORACLE_HOME/dbs/orapw$ORACLE_SID' password=pwd entries=10 force=y
[oracle@RHEL4 ~]$
注意:使用orapwd重新生成口令文件之后以保存的授予的其他用戶的SYSDBA或是SYSOPER權(quán)限將會丟失�����,需要重新的GRANT���。
設(shè)定的entries值是不能修改的���,如果要修改entries的話需要重新生成口令文件�����,在生成口令文件之前可以先通過V$PWFILE_USERS視圖查詢出當前被授予SYSDBA/SYSOPER權(quán)限的用戶,然后在重新生成口令文件以后重新對這些用戶授予SYSDBA/SYSOPER權(quán)限
2、設(shè)置REMOTE_LOGIN_PASSWORDFILE為EXCLUSIVE或是SHARED
ALTER
SYSTEM
SET
REMOTE_LOGIN_PASSWORDFILE
=
EXCLUSIVE
SCOPE
=
SPFILE
;
3�、使用SYS登陸數(shù)據(jù)庫��,創(chuàng)建新的數(shù)據(jù)庫用戶
CREATE
USER
test
IDENTIFIED
BY
test
;
4�����、使用GRANT命令授予新創(chuàng)建的用戶SYSDBA/SYSOPER權(quán)限
每次在Oracle系統(tǒng)里面使用GRANT SYSDBA/SYSOPER授予新用戶特殊權(quán)限或是ALTER USER命令修改擁有SYSDBA/SYSOPER權(quán)限的用戶密碼的時候,Oracle都會自動的修改口令文件��,增加或是修改相應(yīng)的項目����,這樣保證在數(shù)據(jù)沒有打開的情況擁有特殊權(quán)限的用戶能正常的登陸數(shù)據(jù)庫以進行管理操作。
實驗
上面長篇大論的說了那么多����,下面我們來做實驗驗證一下����。實驗都是基于Linux系統(tǒng)來做的�����,做實驗之前先使用下面的命令創(chuàng)建一個口令文件:
[oracle@RHEL4 ~]$ orapwd file='$ORACLE_HOME/dbs/orapw$ORACLE_SID' password=pwd entries=10 force=y
1、驗證OS認證
設(shè)置SQLNET.ORA中參數(shù)SQLNET.AUTHENTICATION_SERVICES = (ALL)或是不設(shè)置,REMOTE_LOGIN_PASSWORDFILE = NONE,然后進行下面的操作����。
本地使用下面兩種方式登陸���,都能成功
[oracle@RHEL4 dbs]$ sqlplus / as sysdba
SQL*Plus: Release 10.2.0.1.0 - Production on Sun Jun 7 15:06:55 2008
Copyright (c) 1982, 2005, Oracle.? All rights reserved.
Connected to:
Oracle Database 10g Enterprise Edition Release 10.2.0.1.0 - Production
With the Partitioning, OLAP and Data Mining options
SQL>
[oracle@RHEL4 dbs]$ sqlplus aaa/bbb as sysdba
SQL*Plus: Release 10.2.0.1.0 - Production on Sun Jun 7 15:16:25 2008
Copyright (c) 1982, 2005, Oracle.? All rights reserved.
Connected to:
Oracle Database 10g Enterprise Edition Release 10.2.0.1.0 - Production
With the Partitioning, OLAP and Data Mining options
SQL>
遠程使用口令文件方式登陸���,失敗
D:\Oracle\SQLPlus10.2> sqlplus sys/pwd@192.168.0.201/orcl as sysdba
SQL*Plus: Release 10.2.0.4.0 - Production on Sat Jun 7 19:06:55 2008
Copyright (c) 1982, 2007, Oracle.? All Rights Reserved.
ERROR:
ORA-01017: invalid username/password; logon denied
Enter user-name:
2���、兩種認證都失效
設(shè)置SQLNET.ORA中參數(shù)SQLNET.AUTHENTICATION_SERVICES = (NONE)��,REMOTE_LOGIN_PASSWORDFILE = NONE,然后進行下面的操作。
本地使用下面兩種方式登陸,都失敗
[oracle@RHEL4 ~]$ sqlplus / as sysdba
SQL*Plus: Release 10.2.0.1.0 - Production on Sat Jun 7 19:22:05 2008
Copyright (c) 1982, 2005, Oracle.? All rights reserved.
ERROR:
ORA-01031: insufficient privileges
Enter user-name:
[oracle@RHEL4 ~]$ sqlplus sys/pwd as sysdba
SQL*Plus: Release 10.2.0.1.0 - Production on Sat Jun 7 19:22:46 2008
Copyright (c) 1982, 2005, Oracle.? All rights reserved.
ERROR:
ORA-01017: invalid username/password; logon denied
Enter user-name:
遠程使用口令文件方式登陸,失敗
D:\Oracle\SQLPlus10.2> sqlplus sys/pwd@192.168.0.201/orcl as sysdba
SQL*Plus: Release 10.2.0.4.0 - Production on Sat Jun 7 19:06:55 2008
Copyright (c) 1982, 2007, Oracle.? All Rights Reserved.
ERROR:
ORA-01017: invalid username/password; logon denied
Enter user-name:
3��、驗證口令文件認證
設(shè)置SQLNET.ORA中參數(shù)SQLNET.AUTHENTICATION_SERVICES = (NONE)不設(shè)置��,REMOTE_LOGIN_PASSWORDFILE = EXCLUSIVE或SHARED��,然后進行下面的操作。
本地使用驗證OS認證,失敗
[oracle@RHEL4 ~]$ sqlplus / as sysdba
SQL*Plus: Release 10.2.0.1.0 - Production on Sat Jun 7 19:16:56 2008
Copyright (c) 1982, 2005, Oracle.? All rights reserved.
ERROR:
ORA-01031: insufficient privileges
Enter user-name:
本地驗證口令文件認證,成功
[oracle@RHEL4 ~]$ sqlplus sys/pwd as sysdba
SQL*Plus: Release 10.2.0.1.0 - Production on Sat Jun 7 19:26:48 2008
Copyright (c) 1982, 2005, Oracle.? All rights reserved.
Connected to:
Oracle Database 10g Enterprise Edition Release 10.2.0.1.0 - Production
With the Partitioning, OLAP and Data Mining options
SQL>
遠程使用口令文件認證���,成功
D:\Oracle\SQLPlus10.2> sqlplus sys/pwd@192.168.0.201/orcl as sysdba
SQL*Plus: Release 10.2.0.4.0 - Production on Sat Jun 7 19:21:18 2008
Copyright (c) 1982, 2007, Oracle.? All Rights Reserved.
Connected to:
Oracle Database 10g Enterprise Edition Release 10.2.0.1.0 - Production
With the Partitioning, OLAP and Data Mining options
SYS@192.168.0.201/orcl>
4、兩種認證都成功
設(shè)置SQLNET.ORA中參數(shù)SQLNET.AUTHENTICATION_SERVICES = (ALL),REMOTE_LOGIN_PASSWORDFILE = EXCLUSIVE�����,然后進行下面的操作�����。
本地使用驗證OS認證����,成功
[oracle@RHEL4 ~]$ sqlplus / as sysdba
SQL*Plus: Release 10.2.0.1.0 - Production on Sat Jun 7 19:30:33 2008
Copyright (c) 1982, 2005, Oracle.? All rights reserved.
Connected to:
Oracle Database 10g Enterprise Edition Release 10.2.0.1.0 - Production
With the Partitioning, OLAP and Data Mining options
SQL>
遠程使用口令文件認證��,成功
D:\Oracle\SQLPlus10.2> sqlplus sys/pwd@192.168.0.201/orcl as sysdba
SQL*Plus: Release 10.2.0.4.0 - Production on Sat Jun 7 19:27:11 2008
Copyright (c) 1982, 2007, Oracle.? All Rights Reserved.
Connected to:
Oracle Database 10g Enterprise Edition Release 10.2.0.1.0 - Production
With the Partitioning, OLAP and Data Mining options
SYS@192.168.0.201/orcl>
5、將SYSDBA/SYSOPER權(quán)限授權(quán)給其它數(shù)據(jù)庫帳戶
先查看口令文件的修改時間
[oracle@RHEL4 dbs]$ ll orapworcl
-rw-r-----? 1 oracle oinstall? 2560 Jun? 7 19:04 orapworcl
用SYS登陸數(shù)據(jù)庫�,創(chuàng)建新用戶test����,并賦予SYSDBA權(quán)限
[oracle@RHEL4 dbs]$ sqlplus / as sysdba
SQL*Plus: Release 10.2.0.1.0 - Production on Sat Jun 7 21:41:36 2008
Copyright (c) 1982, 2005, Oracle.? All rights reserved.
Connected to:
Oracle Database 10g Enterprise Edition Release 10.2.0.1.0 - Production
With the Partitioning, OLAP and Data Mining options
SQL>
SQL
>
create
user
test
identified
by
test
;
User
created
.
SQL
>
grant
sysdba
to
test
;
Grant
succeeded
.
SQL>exit
Disconnected from Oracle Database 10g Enterprise Edition Release 10.2.0.1.0 - Production
With the Partitioning, OLAP and Data Mining options
再看口令文件��,已經(jīng)修改了
[oracle@RHEL4 dbs]$ ll orapworcl
-rw-r-----? 1 oracle oinstall? 2560 Jun? 7 21:42 orapworcl
再用新的test帳號登陸��,能成功的登陸
D:\Oracle\SQLPlus10.2>sqlplus test/test@192.168.0.201/orcl as sysdba
SQL*Plus: Release 10.2.0.4.0 - Production on Sat Jun 7 21:32:37 2008
Copyright (c) 1982, 2007, Oracle.? All Rights Reserved.
Connected to:
Oracle Database 10g Enterprise Edition Release 10.2.0.1.0 - Production
With the Partitioning, OLAP and Data Mining options
SYS@192.168.0.201/orcl>
說明:如果要取消SYSDBA權(quán)限只需要運行下面的語句就可以了
SQL
>
revoke
sysdba
from
test
;
常見問題說明
1、如何查找擁有SYSDBA或是SYSOPER權(quán)限的用戶
使用視圖V$PWFILE_USERS����,結(jié)果集中的SYSDB和SYSOP分別代表是否有SYSDBA和SYSOPER權(quán)限�����。
SQL
>
select
*
from
v
$
pwfile_users
;
/**
USERNAME?????????????????????? SYSDB SYSOP
------------------------------ ----- -----
SYS??????????????????????????? TRUE? TRUE
TEST?????????????????????????? TRUE? FALSE
*/
2、授予權(quán)限時出現(xiàn)”O(jiān)RA-01994: GRANT failed: password file missing or disabled”
出現(xiàn)這種情況是因為沒有創(chuàng)建口令文件��,或者是口令文件放置的目錄不正確�����,Oracle找不到�����。只要重建或?qū)⒖诹钗募糜?ORACLE_HOME/dbs/目錄中就可以了����。
3����、忘記了SYS帳號的密碼怎么辦���?
如果數(shù)據(jù)庫啟用的OS認證登陸���,則可以用OS認證登陸數(shù)據(jù)庫���,然后使用下面的命令進行修改
alter
user
SYS
identified
by
pwd
;
如果沒有啟用OS認證登陸�����,則需要用orapwd重建口令文件
orapwd file='$ORACLE_HOME/dbs/orapw$ORACLE_SID' password=pwd entries=10 force=y
其中的password項所指定的就是SYS的密碼
參考文檔