ITPub博客

首页 > Linux操作系统 > Linux操作系统 > 密码文件

密码文件

原创 Linux操作系统 作者:yuecaibo 时间:2012-03-05 23:54:31 0 删除 编辑

oracle提供的认证模式
 1. 操作系统验证(匿名登录 不检验用户名和密码)
  conn / as sysdba既是操作系统认证
  只能用在本地 因为数据库软件安装在操作系统之上 用户必须是dba组;
  能直接访问操作系统了 oracle就不需要限制了.

  在类UNIX系统中 基于权限委派的原因
  对于普通用户
   添加到oinstall dba组中即可
   如果只添加dba组也不可以
   因为oracle安装目录基本都是750权限 即使改目录权限 库函数权限也无法获取 还需要改
  对于root用户
   因为UNIX权限委派的第一步就是验证UID是否等于0
   所以即使是添加到oinstall dba组也不能登录

  记住,不要用oracle以外的用户去操作oracle
  就好比 老板不能去做前台一样 不要违背这些已规划好的规则.
 2.密码文件认证
  密码文件存储的位置 $ORACLE_HOME/dbs/orapw$ORACLE_SID

oracle中有两类特殊的身份SYSDBA和sysoper,当DBA需要对数据库进行维护管理操作的时候,
必须具有这两类特殊身份之中的一种.
在数据库没有打开的时候,使用数据库内建的账号是无法登陆数据库的,
但是拥有SYSDBA或是SYSOPER权限的用户是可以登陆的。
认证用户是否拥有两类特殊权限的方法有两种:OS认证和口令文件认证。 

 


Oracle数据库究竟使用OS认证还是口令文件认证来进行管理取决于下面三个因素:
 1.SQLNET.ORA参数文件中的参数SQLNET.AUTHENTICATION_SERVICES设置
 2.PFILE(SPFILE)参数文件中的参数REMOTE_LOGIN_PASSWORDFILE设置
 3.口令文件orapw$SID(Linux) | PWD$SID.ora(Windows) 是否存在

Oracle权限认证的基本顺序是这样的:
 先由SQLNET.AUTHENTICATION_SERVICES的设置值来决定是使用OS认证还是口令文件认证,
 如果使用口令文件认证的话就要看后面两个条件了:
  如果REMOTE_LOGIN_PASSWORDFILE参数设置为非NONE,
  而且口令文件存在的话就能正常使用口令文件认证,否则将会失败。


SQLNET.AUTHENTICATION_SERVICES参数
在SQLNET.ORA(位于$ORACLE_HOME/network/admin目录中)文件中,需要修改时直接用文本编辑器打开修改就行了,
对于不同的操作系统SQLNET.AUTHENTICATION_SERVICES的取值会有些不一样,通常我们会用到下面的一些设置值:
linux下 none  all nts 不设置或BEQ 四种情况
 启动监听 lsnrctl start 用于网络连接 走密码文件
 使用外部命令将sys的密码设置成a
  orapwd file=$ORACLE_HOME/dbs/orapw$ORACLE_SID password=a force=y
linux平台测试
第一种默认情况  没设置或者设置成BEQ
 [oracle@dba admin]$ grep -v '#' sqlnet.ora

  NAMES.DIRECTORY_PATH= (TNSNAMES, EZCONNECT)

 [oracle@dba admin]$
 $ sqlplus sys/a@db10 as sysdba
  可以登录
 $ sql / as sysdba
  可以登录
 结论: 没设置或值为BEQ时 密码认证和OS认证都启用

第二种情况 设置成none
[oracle@dba admin]$ grep -v '#' sqlnet.ora

NAMES.DIRECTORY_PATH= (TNSNAMES, EZCONNECT)
SQLNET.AUTHENTICATION_SERVICES=(none)

[oracle@dba admin]$
 
[oracle@dba admin]$ sqlplus /nolog

SQL*Plus: Release 10.2.0.1.0 - Production on Sat Apr 30 04:35:02 2011

Copyright (c) 1982, 2005, Oracle.  All rights reserved.

SQL> conn / as sysdba
ERROR:
ORA-01031: 权限不足


SQL> conn sys/a as sysdba
Connected.
SQL>
SQL> conn sys/a@db10 as sysdba
Connected.
SQL>
 结论: (none) OS认证被屏蔽 必须走密码文件认证

第三种情况 设置成all
SQL> conn / as sysdba
Connected.

SQL> conn sys/a@db10 as sysdba
ERROR:
ORA-12641: Authentication service failed to initialize


Warning: You are no longer connected to ORACLE.
SQL>

 结论: all 密码文件认证被屏蔽 只能OS认证
 
第四种情况 设置nts
[oracle@dba admin]$ grep -v '#' sqlnet.ora

NAMES.DIRECTORY_PATH= (TNSNAMES, EZCONNECT)
SQLNET.AUTHENTICATION_SERVICES=(nts)

[oracle@dba admin]$

SQL> conn / as sysdba
ERROR:
ORA-01031: 权限不足


SQL> conn sys/a as sysdba
Connected.
SQL> conn sys/a@db10 as sysdba
Connected.
SQL>

 结论: nts只能密码文件认证
 
windows平台测试

第一种 默认情况 设置nts
 
SQL> conn / as sysdba
已连接。
SQL> alter user sys identified by a;

用户已更改。

SQL> conn / as sysdba
已连接。
SQL> conn sys/a as sysdba
已连接。
SQL> conn sys/a@orawin as sysdba
已连接。
SQL>
 结论: 设置nts(和linux不一致) 密码和OS认证都启用

第二种 设置成none

SQL> conn / as sysdba
ERROR:
ORA-01031: insufficient privileges


SQL> conn sys/a as sysdba
已连接。
SQL> conn sys/a@orawin as sysdba
已连接。
SQL>
 结论: 设置成none(和linux一致) 只能密码认证 OS认证被屏蔽

第三种 设置成 all

SQL> conn / as sysdba
ERROR:
ORA-12641: 验证服务无法初始化


SQL> conn sys/a as sysdba
ERROR:
ORA-12641: 验证服务无法初始化


SQL> conn sys/a@orawin as sysdba
ERROR:
ORA-12641: 验证服务无法初始化

 结论: 此参数在windows下 OS和密码认证都屏蔽了

第四种 不设置

SQL> conn / as sysdba
ERROR:
ORA-01031: insufficient privileges


SQL> conn sys/a as sysdba
已连接。
SQL> conn sys/a@orawin as sysdba
已连接。
SQL>
 结论:只允许密码认证 OS认证被屏蔽


第五种 设置成beq
SQL> conn / as sysdba
ERROR:
ORA-01031: insufficient privileges


警告: 您不再连接到 ORACLE。
SQL> conn sys/a as sysdba
已连接。
SQL> conn sys/a@orawin as sysdba
已连接。
SQL>
 结论:只能使用密码认证 OS认证被屏蔽

REMOTE_LOGIN_PASSWORDFILE参数
 此系统参数的设置制定了数据库使用口令文件的方法,此参数可以设置的值有三个:

 REMOTE_LOGIN_PASSWORDFILE = NONE
  不使用口令文件

 REMOTE_LOGIN_PASSWORDFILE = EXCLUSIVE
  使用口令文件,但只有一个数据库实例可用使用

 REMOTE_LOGIN_PASSWORDFILE = SHARED
  多个数据库实例共用一个口令文件,这种设置下是不能增加其他数据库用户作为特殊权限用户到口令文件中的。


密码文件
 存储sysdba sysoper身份验证的密码,当然也可以将普通用户提升到这个身份
 sysdba  超级管理员 conn / as sysdba
 sysoper 操作员     conn / as sysoper
 两个身份的区别
  sysdba 不受权限控制
  sysoper 和sysdba比sysdba缺少的权限:
    1.不能建库
    2.不能启动数据库到受限会话模式
    3.不能进行热备份
    4.不能进行数据库的不完全恢复
    5.不能查询dba_数据字典
  其实我们通常都用sysdba而不用sysoper
 SYS@ora10g> conn / as sysdba
 Connected.
 SYS@ora10g> show user
 USER is "SYS"
 SYS@ora10g
 只要使用 as sysdba登录 show user永远是sys
  
 SYS@ora10g> conn / as sysoper
 Connected.
 PUBLIC@ora10g> show user
 USER is "PUBLIC"
 PUBLIC@ora10g>
 只要使用 as sysoper登录 show user永远是public
  

修改超级用户的口令
   1.使用管理员(sys system)用户登录 在数据库内部去修改
 SYS@ora10g> show user
 USER is "SYS"
 SYS@ora10g> alter user sys identified by sys;

 User altered.

 SYS@ora10g> 这样就把sys的密码改成了sys
   2.直接修改口令文件 但口令文件是二进制的 只能用orapwd命令去重新创建
 SYS@ora10g> !orapwd
 Usage: orapwd file= password= entries= force=
 SYS@ora10g> ! orapwd file=$ORACLE_HOME/dbs/orapw$ORACLE_SID password=oracle entries=1 force=y

 SYS@ora10g> 这样就把sys密码设置成了oracle
 授权
 SYS@ora10g> grant sysdba to u1;
 
 entries= 默认的数值是4 也就是能容纳多少个用户
 设置规律
  0-4 可以容纳5个
  5-8 可以容纳9个
  9-12 可以容纳13个
  依此类推...
 
[oracle@shell dbs]$ orapwd file=$ORACLE_HOME/dbs/orapw$ORACLE_SID password=oracle entries=1 force=y

 

O7_DICTIONARY_ACCESSIBILITY 参数的作用

 sys是数据库库内部的超级用户 默认连接必须使用as sysdba身份
 而这个参数可以无需使用as sysdba身份而直接使用sys连接 意义不大
SQL> conn / as sysdba
Connected.
SQL>
SQL> show parameter o7

NAME         TYPE  VALUE
------------------------------------ ----------- ------------------------------
O7_DICTIONARY_ACCESSIBILITY      boolean  FALSE
SQL>
SQL> alter user sys identified by a;

User altered.

SQL> conn sys/a
ERROR:
ORA-28009: connection as SYS should be as SYSDBA or SYSOPER


Warning: You are no longer connected to ORACLE.
SQL> conn / as sysdba
Connected.
SQL> show parameter o7

NAME         TYPE  VALUE
------------------------------------ ----------- ------------------------------
O7_DICTIONARY_ACCESSIBILITY      boolean  FALSE

SQL> alter system set O7_DICTIONARY_ACCESSIBILITY=true scope=spfile;

System altered.

SQL> startup force
ORACLE instance started.

Total System Global Area  285212672 bytes
Fixed Size      1218992 bytes
Variable Size     75499088 bytes
Database Buffers   205520896 bytes
Redo Buffers      2973696 bytes
Database mounted.
Database opened.
SQL> show parameter o7

NAME         TYPE  VALUE
------------------------------------ ----------- ------------------------------
O7_DICTIONARY_ACCESSIBILITY      boolean  TRUE
SQL> conn sys/a
Connected.
SQL> select count(*) from session_roles;

  COUNT(*)
----------
 32

SQL> select count(*) from session_privs;

  COUNT(*)
----------
       161

SQL> conn / as sysdba
Connected.
SQL> select count(*) from session_roles;

  COUNT(*)
----------
  0

SQL> select count(*) from session_privs;

  COUNT(*)
----------
       166

SQL>


各版本之间sys的权限分派

oracle805
svrmgrl
 server manager line 缩写
 管理底层数据库的启动停止
connect internal

sys数据库的所有者
system 管理者

sqlplus只能做查询

 

oracle8I

svrmgrl
 server manager line 缩写
 管理底层数据库的启动停止
connect internal

as sysdba 新增 但还没有完全取代 svrmgrl connect internal
sqlplus 提升到可以启库停库


oracle9I

as sysdba 完全取代了 svrmgrl和connect internnal
   存在于数据库之外 所以没角色(role)
 
sys/a     数据库内部的管理员
   有角色
  

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/24756465/viewspace-717770/,如需转载,请注明出处,否则将追究法律责任。

上一篇: 进程协作
下一篇: 数据库的启动
请登录后发表评论 登录
全部评论

注册时间:2012-03-03

  • 博文量
    42
  • 访问量
    36566