软件及库情况:toad for 12.1;oracle client 11.2.0.1,oracle server 12.2.0.1;
ORA-28040:
原因:sqlnet.ora中设置的SQLNET.ALLOWED_LOGON_VERSION_SERVER参数导致的客户端和服务端密码版本不一致/兼容,密码认证未通过。
解决方法:修改服务器端sqlnet.ora,新增或修改以下内容:
SQLNET.ALLOWED_LOGON_VERSION_SERVER=8
ORA-01017:
原因:现有密码版本仍未改变,需重新更改一次密码。PS:更改密码不影响当前sql developer或SQL*PLUS已有连接。
解决方法:服务器端重新修改对应账户密码后,重新测试连接。
--查看账户密码版本
select username,password_versions from dba_users order by password_versions;
最后,引用一位大佬的博客内容,解释下两个参数的影响:
SQLNET.ALLOWED_LOGON_VERSION_CLIENT参数是12C新引进的参数。它表示Cp在向Sp发送认证(authentication)申请时,所使用的最低版本的认证协议。注意此处的认证协议版本并不等同于Oracle Database的版本。那不同的认证协议版本主要区别在哪儿呢?除了协议语义上的区别,在我看来,最重要的区别在于不同认证协议的版本对应着不同的database version,而不同的database version则可能使用不同的hash算法对密码进行加密。不同的hash算法就是不同的password_version,这个可以从dba_users字典表的password_versions字段中得到说明。
Oracle在存储每个account的密码时,并非是明文存储,而是会将明文进行哈希加密存储,哈希加密算法即为该密码的version,即password_version。从上图Figure 7中可知,password_version实际上表示是同版本(并非完全一致,见最后的附表)的database 所提供的hash算法,例如password_version 10g就表示database 10g所提供的hash算法。如果Oracle所有的新版本都只使用新版本所特有的hash算法,那么一些较早的客户端因为还没有这些hash算法,就没法通过hash算法得到hash值,也就没法让服务器去验证这些hash值。为了解决兼容性的问题,Oracle会同时用多种hash算法(即password_version)对密码进行运算,并将多个运算结果均保留下来。在低版本客户端访问高版本的服务器时,低版本的客户端可以通报自己使用的认证协议以及使用该协议对应的hash算法所得到的密码hash值,服务器根据认证协议去查看是否存储了该协议对应的hash算法的hash值,如果存在,就比对两个hash值是否一致;如果不存在或两个hash值不一致,就报错。
SQLNET.ALLOWED_LOGON_VERSION_SERVER参数的作用,它介绍了为这个参数设置不同的值所带来的影响,主要是对PASSWORD_VERSIONS的影响。最后附带了一张表,详细了列出了SQLNET.ALLOWED_LOGON_VERSION_SERVER设置不同值,所对应的password_versions。也说明了如果要与设置成当前值的12C数据库进行密码认证,所支持的client version。从上图可以看出,即使SQLNET.ALLOWED_LOGON_VERSION_SERVER设置为8,但生成的最低版本的password version也是10G。因此也说明,8I,9I的客户端因为没法理解10G的哈希函数,也就没法完成登陆认证。关于客户端到服务器端相互之间的兼容性如下表:
参考链接1:https://blog.csdn.net/www_xue_xi/article/details/73175995
参考链接2:https://www.cnblogs.com/6yuhang/p/7600929.html
979
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
