• Oracle用户密码过期问题解决


     一、用户密码即将过期,导致autotrace无法打开

               如果用户密码即将过期,在登录数据库时会收到如下提示:
               ERROR:
                ORA-28002: the password will expire within 7 days
               当然,此时密码还未真正过期,用户在收到错误提示后依然可以登录数据库。但是,如果当收到密码即将过期的提示,想要开启autotrace就会有问题。

    1. SQL> conn darren/darren
    2.       ERROR:
    3.       ORA-28002: the password will expire within 7 days
    4.       Connected.
    5.       SQL> set autotrace on;
    6.       ERROR:
    7.       ORA-28002: the password will expire within 7 days
            SP2-0619: Error while connecting
           SP2-0611: Error enabling STATISTICS report

               既然出现了密码即将过期的提示,说明profile中的PASSWORD_LIFE_TIME参数肯定没有设置成unlimited,可以查看dba_profiles进行验证:
               

    1. SQL> select profile,resource_name,limit from dba_profiles where resource_name='PASSWORD_LIFE_TIME';
    2. PROFILE RESOURCE_NAME         LIMIT
    3. ---------- -------------------------------- ----------
    4. DEFAULT PASSWORD_LIFE_TIME         1

                如果生产环境没有对密码过期的特殊限制,可以把该参数修改为unlimitd:

    1. ALTER PROFILE DEFAULT LIMIT PASSWORD_LIFE_TIME UNLIMITED

                此时再尝试打开autotrace:

    1. SQL> select profile,resource_name,limit from dba_profiles where resource_name='PASSWORD_LIFE_TIME';
    2. PROFILE RESOURCE_NAME         LIMIT
    3. ---------- -------------------------------- ----------
    4. DEFAULT PASSWORD_LIFE_TIME         UNLIMITED
    5. SQL> conn darren/darren
    6. ERROR:
    7. ORA-28002: the password will expire within 7 days
    8. Connected.
    9. SQL> set autotrace on;
    10. ERROR:
    11. ORA-28002: the password will expire within 7 days
    12. SP2-0619: Error while connecting
    13. SP2-0611: Error enabling STATISTICS report

              还是同样的错误,说明在用户密码即将过期时,再修改profile是不会对密码即将过期的用户生效的。应该采用重设用户密码(密码可以与之前的密码一样)的方法。

    1. SQL> alter user darren identified by darren;
    2. User altered.
    3. SQL> conn darren/darren
    4. Connected.
    5. SQL> set autotrace on;

             此时成功开启autotrace功能。
            再尝试另外一种情景,在用户登录后修改用户密码,但不重新登录,尝试开启autotrace。

    1. SQL> alter user darren identified by darren
    2.   2 ;
    3. User altered.
    4. SQL> set autotrace on;
    5. ERROR:
    6. ORA-01017: invalid username/password; logon denied
    7. SP2-0619: Error while connecting
    8. SP2-0611: Error enabling STATISTICS report

            同样的错误又出现了。
           到此,我们得出一个结论,在开启autotrace功能的时候,数据库会再创建一个会话,用新创建的会话来跟踪当前会话。所以,当用户密码即将过期时,开启autotrace功能时,创建新的会话时会因为返回ORA-2802而产生异常。

         二、11g新特性,密码延迟认证

            11g中,加入了用户密码延迟认证的特性,即用户如果在登录是输入了错误的密码,那么这个用户的登录验证会随着输入错误密码的次数的增加而增加,直到正确登录后重新计数。如下:

    1. SQL> set time on
    2. 13:32:45 SQL> 
    3. conn darren/xxxxxx
    4. conn darren/xxxxxx
    5. conn darren/xxxxxx
    6. conn darren/xxxxxx
    7. conn darren/xxxxxx
    8. conn darren/xxxxxx
    9. conn darren/xxxxxx
    10. ERROR:
    11. ORA-01017: invalid username/password; logon denied
    12. Warning: You are no longer connected to ORACLE.
    13. 13:32:59 SQL> ERROR:
    14. ORA-01017: invalid username/password; logon denied
    15. 13:32:59 SQL> ERROR:
    16. ORA-01017: invalid username/password; logon denied
    17. 13:32:599 SQL> ERROR:
    18. ORA-01017: invalid username/password; logon denied
    19. 13:33:00 SQL> conn gyl/xxxxxx
    20. ERROR:
    21. ORA-01017: invalid username/password; logon denied
    22. 13:33:02 SQL> 
    23. ERROR:
    24. ORA-01017: invalid username/password; logon denied
    25. 13:33:05 SQL> 
    26. ERROR:
    27. ORA-01017: invalid username/password; logon denied
    28. 13:33:10 SQL> 
    29. ERROR:
    30. ORA-01017: invalid username/password; logon denied

           可以看到,验证的时间越来越长,如果继续增加错误的登录次数,验证的时间还会继续加长。如果是多个会话同时不断的用错误的密码来连接数据库,那么将会导致该用户的登录HANG住。如果想关闭这个特性,可以设置如下事件:

    1. SQL> ALTER SYSTEM SET EVENT = ‘28401 TRACE NAME CONTEXT FOREVER, LEVEL 1’ SCOPE = SPFILE;

            三、sys用户是不受PASSWORD_LIFE_TIME参数限制的
            四、在用户密码过期后,用户的状态(dba_user.account_status)不会立即更新为expired,只有当用户尝试连接到数据库的时候,才会对用户状态进行更新
            五、用户密码相关的一些参数

    1. SQL> select * from dba_profiles where resource_name like '%PASSWORD%';
    2. PROFILE RESOURCE_NAME              RESOURCE      LIMIT
    3. ---------- -------------------------------- -------- ----------
    4. DEFAULT PASSWORD_LIFE_TIME         PASSWORD    UNLIMITED
    5. DEFAULT PASSWORD_REUSE_TIME         PASSWORD   UNLIMITED
    6. DEFAULT PASSWORD_REUSE_MAX          PASSWORD   UNLIMITED
    7. DEFAULT PASSWORD_VERIFY_FUNCTION     PASSWORD  NULL
    8. DEFAULT PASSWORD_LOCK_TIME          PASSWORD   1
    9. DEFAULT PASSWORD_GRACE_TIME         PASSWORD   7

                   PASSWORD_LIFE_TIME:
                   设定口令的有效时间(天数),一旦超过这一时间,必须重新设口令。缺省为180天(11g,10gUNLIMITED).
                   PASSWORD_REUSE_TIME:
                   许多系统不许用户重新启用过去用过的口令。该资源项设定了一个失效口令要经过多少天,用户才可以重新使用该口令。缺省为UNLIMITED.
                   PASSWORD_REUSE_MAX:
                   重新启用一个先前用过的口令前必须对该口令进行重新设置的次数(重复用的次数)。
                   PASSWORD_LOCK_TIME:
                   设定帐户被锁定的天数(当登录失败达到FAILED_LOGIN_ATTEMPTS时)。
                   PASSWORD_GRACE_TIME:
                   设定在口令失效前,给予的重新设该口令的宽限天。当口令失效之后回,在登录时会出现警告信息显示该天数。如果没有在宽限天内修改口令,口令将失效。
                   PASSWORD_VERITY_FUNCTION:
                   该资源项允许调用一个PL/SQL 来验证口令。Oracle公司已提供该应用 的脚本,但是只要愿意的话,用户可以制定自己的验证脚本。该参数的设定就是PL/SQL函数的名称。缺省为NULL.
                   FAILED_LOGIN_ATTEMPTS:
                   设定登录到Oracle 数据库时可以失败的次数。一旦某用户尝试登录数据库的达到该值时,该用户的帐户就被锁定,只能由DBA能解锁。

  • 相关阅读:
    angular反向代理配置
    实现对Asp.NetMvc及Asp.NetCore的权限控制
    C# 语言特性发展史
    在angular 6中使用 less
    使用WeihanLi.Redis操作Redis
    [svc]jq神器使用
    [sh]shell脚本栗子
    [k8s]nginx-ingress配置4/7层测试
    [svc]nginx-module-vts第三方模块安装配置
    [k8s]helm原理&私有库搭建&monocularui和kubeapp探究
  • 原文地址:https://www.cnblogs.com/zangdalei/p/5484285.html
Copyright © 2020-2023  润新知