oracle提供的认证模式
1. 操作系统验证(匿名登录 不检验用户名和密码)
conn / as sysdba既是操作系统认证
只能用在本地 因为数据库软件安装在操作系统之上 用户必须是dba组;
能直接访问操作系统了 oracle就不需要限制了.
在类UNIX系统中 基于权限委派的原因
对于普通用户
添加到oinstall dba组中即可
如果只添加dba组也不可以
因为oracle安装目录基本都是750权限 即使改目录权限 库函数权限也无法获取 还需要改
对于root用户
因为UNIX权限委派的第一步就是验证UID是否等于0
所以即使是添加到oinstall dba组也不能登录
记住,不要用oracle以外的用户去操作oracle
就好比 老板不能去做前台一样 不要违背这些已规划好的规则.
2.密码文件认证
密码文件存储的位置 $ORACLE_HOME/dbs/orapw$ORACLE_SID
oracle中有两类特殊的身份SYSDBA和sysoper,当DBA需要对数据库进行维护管理操作的时候,
必须具有这两类特殊身份之中的一种.
在数据库没有打开的时候,使用数据库内建的账号是无法登陆数据库的,
但是拥有SYSDBA或是SYSOPER权限的用户是可以登陆的。
认证用户是否拥有两类特殊权限的方法有两种:OS认证和口令文件认证。
Oracle数据库究竟使用OS认证还是口令文件认证来进行管理取决于下面三个因素:
1.SQLNET.ORA参数文件中的参数SQLNET.AUTHENTICATION_SERVICES设置
2.PFILE(SPFILE)参数文件中的参数REMOTE_LOGIN_PASSWORDFILE设置
3.口令文件orapw$SID(Linux) | PWD$SID.ora(Windows) 是否存在
Oracle权限认证的基本顺序是这样的:
先由SQLNET.AUTHENTICATION_SERVICES的设置值来决定是使用OS认证还是口令文件认证,
如果使用口令文件认证的话就要看后面两个条件了:
如果REMOTE_LOGIN_PASSWORDFILE参数设置为非NONE,
而且口令文件存在的话就能正常使用口令文件认证,否则将会失败。
SQLNET.AUTHENTICATION_SERVICES参数
在SQLNET.ORA(位于$ORACLE_HOME/network/admin目录中)文件中,需要修改时直接用文本编辑器打开修改就行了,
对于不同的操作系统SQLNET.AUTHENTICATION_SERVICES的取值会有些不一样,通常我们会用到下面的一些设置值:
linux下 none all nts 不设置或BEQ 四种情况
启动监听 lsnrctl start 用于网络连接 走密码文件
使用外部命令将sys的密码设置成a
orapwd file=$ORACLE_HOME/dbs/orapw$ORACLE_SID password=a force=y
linux平台测试
第一种默认情况 没设置或者设置成BEQ
[oracle@dba admin]$ grep -v '#' sqlnet.ora
NAMES.DIRECTORY_PATH= (TNSNAMES, EZCONNECT)
[oracle@dba admin]$
$ sqlplus sys/a@db10 as sysdba
可以登录
$ sql / as sysdba
可以登录
结论: 没设置或值为BEQ时 密码认证和OS认证都启用
第二种情况 设置成none
[oracle@dba admin]$ grep -v '#' sqlnet.ora
NAMES.DIRECTORY_PATH= (TNSNAMES, EZCONNECT)
SQLNET.AUTHENTICATION_SERVICES=(none)
[oracle@dba admin]$
[oracle@dba admin]$ sqlplus /nolog
SQL*Plus: Release 10.2.0.1.0 - Production on Sat Apr 30 04:35:02 2011
Copyright (c) 1982, 2005, Oracle. All rights reserved.
SQL> conn / as sysdba
ERROR:
ORA-01031: 权限不足
SQL> conn sys/a as sysdba
Connected.
SQL>
SQL> conn sys/a@db10 as sysdba
Connected.
SQL>
结论: (none) OS认证被屏蔽 必须走密码文件认证
第三种情况 设置成all
SQL> conn / as sysdba
Connected.
SQL> conn sys/a@db10 as sysdba
ERROR:
ORA-12641: Authentication service failed to initialize
Warning: You are no longer connected to ORACLE.
SQL>
结论: all 密码文件认证被屏蔽 只能OS认证
第四种情况 设置nts
[oracle@dba admin]$ grep -v '#' sqlnet.ora
NAMES.DIRECTORY_PATH= (TNSNAMES, EZCONNECT)
SQLNET.AUTHENTICATION_SERVICES=(nts)
[oracle@dba admin]$
SQL> conn / as sysdba
ERROR:
ORA-01031: 权限不足
SQL> conn sys/a as sysdba
Connected.
SQL> conn sys/a@db10 as sysdba
Connected.
SQL>
结论: nts只能密码文件认证
windows平台测试
第一种 默认情况 设置nts
SQL> conn / as sysdba
已连接。
SQL> alter user sys identified by a;
用户已更改。
SQL> conn / as sysdba
已连接。
SQL> conn sys/a as sysdba
已连接。
SQL> conn sys/a@orawin as sysdba
已连接。
SQL>
结论: 设置nts(和linux不一致) 密码和OS认证都启用
第二种 设置成none
SQL> conn / as sysdba
ERROR:
ORA-01031: insufficient privileges
SQL> conn sys/a as sysdba
已连接。
SQL> conn sys/a@orawin as sysdba
已连接。
SQL>
结论: 设置成none(和linux一致) 只能密码认证 OS认证被屏蔽
第三种 设置成 all
SQL> conn / as sysdba
ERROR:
ORA-12641: 验证服务无法初始化
SQL> conn sys/a as sysdba
ERROR:
ORA-12641: 验证服务无法初始化
SQL> conn sys/a@orawin as sysdba
ERROR:
ORA-12641: 验证服务无法初始化
结论: 此参数在windows下 OS和密码认证都屏蔽了
第四种 不设置
SQL> conn / as sysdba
ERROR:
ORA-01031: insufficient privileges
SQL> conn sys/a as sysdba
已连接。
SQL> conn sys/a@orawin as sysdba
已连接。
SQL>
结论:只允许密码认证 OS认证被屏蔽
第五种 设置成beq
SQL> conn / as sysdba
ERROR:
ORA-01031: insufficient privileges
警告: 您不再连接到 ORACLE。
SQL> conn sys/a as sysdba
已连接。
SQL> conn sys/a@orawin as sysdba
已连接。
SQL>
结论:只能使用密码认证 OS认证被屏蔽
REMOTE_LOGIN_PASSWORDFILE参数
此系统参数的设置制定了数据库使用口令文件的方法,此参数可以设置的值有三个:
REMOTE_LOGIN_PASSWORDFILE = NONE
不使用口令文件
REMOTE_LOGIN_PASSWORDFILE = EXCLUSIVE
使用口令文件,但只有一个数据库实例可用使用
REMOTE_LOGIN_PASSWORDFILE = SHARED
多个数据库实例共用一个口令文件,这种设置下是不能增加其他数据库用户作为特殊权限用户到口令文件中的。
密码文件
存储sysdba sysoper身份验证的密码,当然也可以将普通用户提升到这个身份
sysdba 超级管理员 conn / as sysdba
sysoper 操作员 conn / as sysoper
两个身份的区别
sysdba 不受权限控制
sysoper 和sysdba比sysdba缺少的权限:
1.不能建库
2.不能启动数据库到受限会话模式
3.不能进行热备份
4.不能进行数据库的不完全恢复
5.不能查询dba_数据字典
其实我们通常都用sysdba而不用sysoper
SYS@ora10g> conn / as sysdba
Connected.
SYS@ora10g> show user
USER is "SYS"
SYS@ora10g>
只要使用 as sysdba登录 show user永远是sys
SYS@ora10g> conn / as sysoper
Connected.
PUBLIC@ora10g> show user
USER is "PUBLIC"
PUBLIC@ora10g>
只要使用 as sysoper登录 show user永远是public
修改超级用户的口令
1.使用管理员(sys system)用户登录 在数据库内部去修改
SYS@ora10g> show user
USER is "SYS"
SYS@ora10g> alter user sys identified by sys;
User altered.
SYS@ora10g> 这样就把sys的密码改成了sys
2.直接修改口令文件 但口令文件是二进制的 只能用orapwd命令去重新创建
SYS@ora10g> !orapwd
Usage: orapwd file= password= entries= force=
SYS@ora10g> ! orapwd file=$ORACLE_HOME/dbs/orapw$ORACLE_SID password=oracle entries=1 force=y
SYS@ora10g> 这样就把sys密码设置成了oracle
授权
SYS@ora10g> grant sysdba to u1;
entries= 默认的数值是4 也就是能容纳多少个用户
设置规律
0-4 可以容纳5个
5-8 可以容纳9个
9-12 可以容纳13个
依此类推...
[oracle@shell dbs]$ orapwd file=$ORACLE_HOME/dbs/orapw$ORACLE_SID password=oracle entries=1 force=y
O7_DICTIONARY_ACCESSIBILITY 参数的作用
sys是数据库库内部的超级用户 默认连接必须使用as sysdba身份
而这个参数可以无需使用as sysdba身份而直接使用sys连接 意义不大
SQL> conn / as sysdba
Connected.
SQL>
SQL> show parameter o7
NAME TYPE VALUE
------------------------------------ ----------- ------------------------------
O7_DICTIONARY_ACCESSIBILITY boolean FALSE
SQL>
SQL> alter user sys identified by a;
User altered.
SQL> conn sys/a
ERROR:
ORA-28009: connection as SYS should be as SYSDBA or SYSOPER
Warning: You are no longer connected to ORACLE.
SQL> conn / as sysdba
Connected.
SQL> show parameter o7
NAME TYPE VALUE
------------------------------------ ----------- ------------------------------
O7_DICTIONARY_ACCESSIBILITY boolean FALSE
SQL> alter system set O7_DICTIONARY_ACCESSIBILITY=true scope=spfile;
System altered.
SQL> startup force
ORACLE instance started.
Total System Global Area 285212672 bytes
Fixed Size 1218992 bytes
Variable Size 75499088 bytes
Database Buffers 205520896 bytes
Redo Buffers 2973696 bytes
Database mounted.
Database opened.
SQL> show parameter o7
NAME TYPE VALUE
------------------------------------ ----------- ------------------------------
O7_DICTIONARY_ACCESSIBILITY boolean TRUE
SQL> conn sys/a
Connected.
SQL> select count(*) from session_roles;
COUNT(*)
----------
32
SQL> select count(*) from session_privs;
COUNT(*)
----------
161
SQL> conn / as sysdba
Connected.
SQL> select count(*) from session_roles;
COUNT(*)
----------
0
SQL> select count(*) from session_privs;
COUNT(*)
----------
166
SQL>
各版本之间sys的权限分派
oracle805
svrmgrl
server manager line 缩写
管理底层数据库的启动停止
connect internal
sys数据库的所有者
system 管理者
sqlplus只能做查询
oracle8I
svrmgrl
server manager line 缩写
管理底层数据库的启动停止
connect internal
as sysdba 新增 但还没有完全取代 svrmgrl connect internal
sqlplus 提升到可以启库停库
oracle9I
as sysdba 完全取代了 svrmgrl和connect internnal
存在于数据库之外 所以没角色(role)
sys/a 数据库内部的管理员
有角色
来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/24756465/viewspace-717770/,如需转载,请注明出处,否则将追究法律责任。
转载于:http://blog.itpub.net/24756465/viewspace-717770/