• Oracle 本地验证和密码文件


    oracle的密码文件作用是进行DBA权限的身份验证。
    当数据库开启到mount状态时,数据库必须要具备一个很重要的密码文件/口令文件,这个文件默认是存放在$ORACLE_HOME/dbs下的,缺省名称为orapw。如果密码文件丢失了,那么数据库启动到mount的时候就会出错。
    密码文件里面存放了sysdba/sysoper用户的用户名和口令:
    [oracle@localhost dbs]$ strings orapworcl 
    
    ORACLE Remote Password file
    INTERNAL
    6A75B1BBE50E66AB
    4DE42795E66117AE
    
    在数据库没有启动之前,数据库的内建用户是无法通过数据库本身来验证身份的,通过密码文件,
    oracle就可以实现对用户的验证,在数据库未启动之前登录,进而启动数据库。
    密码文件是可以通过orapwd工具重建的,所以在通常的备份策略中可以不必包含密码文件。
     
    oracle有两种认证方式:操作系统认证(要求该用户属于本地DBA组,然后通过操作系统认证登录oracle,从而启动数据库),密码文件认证
    oracle使用哪种认证方式决定在于两个参数:
    (1)remote_login_passwordfile=none|exclusive|shared
    none:不使用密码文件认证。如果选择了这个值,就相当于屏蔽了密码文件的内容了。
    exclusive:要密码文件认证,自己独占使用(默认值)
    shared:要密码文件认证,不同实例dba用户可以共享密码文件
     
    (2)位于$ORACLE_HOME/network/admin/sqlnet.ora
    SQLNET.AUTHENTICATION_SERVICES=none|all|nts
    none:关闭操作系统认证,只能密码认证
    all:用于linux/unix平台,关闭本机密码文件认证,采用操作系统认证
    nts:用于windows平台
     
    实验:
    oracle服务器位于Linux操作系统,客户端位于windows操作系统。
    首先,查看remote_login_passwordfile参数值:
    SYS@orcl 11-SEP-14>show parameter remote_login_passwordfile
     
    NAME                                TYPE        VALUE
    ------------------------------------ ----------- ------------------------------
    remote_login_passwordfile            string      EXCLUSIVE

    找到$ORACLE_HOME/network/admin目录下的sqlnet.ora,在文件末尾加上:

    SQLNET.AUTHENTICATION_SERVICES=NONE
    #Purpose: Use parameter SDP.PF_INET_SDP to specify the protocol family or
    #        address family constant for the SDP protocol on your system.
    #
    #Supported since:  11.0
    #
    SQLNET.AUTHENTICATION_SERVICES=none
     
    即使用密码文件认证方式,那么如果我们在本地使用sqlplus "/as sysdba"就会提示错误信息:
    [oracle@localhost ~]$ sqlplus "/as sysdba"
    SQL*Plus: Release 11.2.0.1.0 Production on Fri Sep 12 22:45:56 2014
     
    Copyright (c) 1982, 2009, Oracle.  All rights reserved.
     
    ERROR:
    ORA-01031: insufficient privileges
    此时我们必须使用sys用户名和密码才可以登录:
    [oracle@localhost ~]$ sqlplus "sys/sys as sysdba"
     
    SQL*Plus: Release 11.2.0.1.0 Production on Fri Sep 12 22:47:08 2014
     
    Copyright (c) 1982, 2009, Oracle.  All rights reserved.
     
    Connected to:
    Oracle Database 11g Enterprise Edition Release 11.2.0.1.0 - Production
    With the Partitioning, OLAP, Data Mining and Real Application Testing options

    进入sqlnet.ora把SQLNET.AUTHENTICATION_SERVICES=none改成“=all”,存盘退出。

    再次使用sqlplus "/as sysdba"登录的时候使用的就是本地认证:
    [oracle@localhost ~]$ sqlplus "/as sysdba"
     
    SQL*Plus: Release 11.2.0.1.0 Production on Fri Sep 12 22:49:51 2014
     
    Copyright (c) 1982, 2009, Oracle.  All rights reserved.
     
    Connected to:
    Oracle Database 11g Enterprise Edition Release 11.2.0.1.0 - Production
    With the Partitioning, OLAP, Data Mining and Real Application Testing options

    另外,我们可以使用orapwd这个工具来生成密码文件。

    首先看看orapwd的用法:
    [oracle@localhost ~]$ orapwd
    Usage: orapwd file= entries= force= ignorecase= nosysdba=
     
     
      where
        file - name of password file (required),
        password - password for SYS will be prompted if not specified at command line,
        entries - maximum number of distinct DBA (optional),
        force - whether to overwrite existing file (optional),
        ignorecase - passwords are case-insensitive (optional),
        nosysdba - whether to shut out the SYSDBA logon (optional Database Vault only).
        
      There must be no spaces around the equal-to (=) character. 
    我们把位于$ORACLE_HOME/dbs目录下的原orapworcl移到其它目录。注意,remote_login_passwordfile=exclusive,且sqlnet.ora中SQLNET.AUTHENTICATION_SERVICES=none
    在windows上的客户端尝试远程oracle:
    SQL> conn sys/sys@win as sysdba
    ERROR:
    ORA-01031: insufficient privileges
    现在我们使用orapwd来重建密码文件:
    [oracle@localhost dbs]$ orapwd file=$ORACLE_HOME/dbs/orapworcl password=sys entries=5
    [oracle@localhost dbs]$ ls
    hc_DBUA0.dat  initorcl      lkORCL        peshm_DUMMY_0  spfileorcl.ora
    hc_orcl.dat  initorcl.ora  orapworcl      peshm_orcl_0
    init.ora      lkDUMMY      peshm_DBUA0_0  snapcf_orcl.f 
    再次尝试远程连接oracle:
    SQL> conn sys/sys@win as sysdba
    
    connected.

    看看这个密码文件的内容:

    [oracle@localhost dbs]$ strings orapworcl
    
    ORACLE Remote Password file
    INTERNAL
    6A75B1BBE50E66AB
    4DE42795E66117AE

     
    在数据库中创建一个新的用户并授予sysdba的权限:
    SYS@orcl 11-SEP-14>create user sunny identified by sunny;
     
    User created.
    SYS@orcl 11-SEP-14>grant sysdba to sunny;
     
    Grant succeeded.

    再去看看orapworcl的内容,发现多了sunny这个用户的信息:

    [oracle@localhost dbs]$ strings orapworcl
    
    ORACLE Remote Password file
    INTERNAL
    6A75B1BBE50E66AB
    4DE42795E66117AE
    SUNNY
    53801465943A91BE
    也可以通过动态性能视图v$pwfile_users查看有哪些用户是拥有sysdba权限的:
    SYS@orcl 11-SEP-14>select * from v$pwfile_users;
     
    USERNAME                        SYSDB SYSOP SYSAS
    ------------------------------  ----- ----- -----
    SYS                             TRUE  TRUE  FALSE
    SUNNY                           TRUE  FALSE FALSE
    Priestess©版权所有,禁止转载
  • 相关阅读:
    团队作业第四次—项目系统设计与数据库设计
    团队作业第三次—项目需求分析
    简时——alpha冲刺任务七(5.5)
    简时——alpha冲刺任务六(5.4)
    简时——alpha冲刺任务五(5.3)
    简时——alpha冲刺任务四(5.2)
    简时——alpha冲刺任务三(5.1)
    简时——alpha冲刺日志二(4.30)
    简时——alpha冲刺日志一(4.29)
    TimeMaster—代码规范、冲刺任务与计划
  • 原文地址:https://www.cnblogs.com/priestess-zhao/p/8183447.html
Copyright © 2020-2023  润新知