用户口令:
在 Oracle 中有两类特殊的权限 SYSDBA 和 SYSOPER,当 DBA 需要对数据库进行维护管理操作的时候必须具有这两类特殊权限之中的一种。在数据库没有打开的时候,使用数据库内建的账号是无法登陆数据库的,但是拥有 SYSDBA 或是 SYSOPER 权限的用户是可以登陆的。认证用户是否拥有这两类特殊权限的方法有两种:OS 认证和密码文件认证。Oracle 数据库究竟使用 OS 认证还是密码文件认证来进行管理取决于下面三个因素:
- $ORACLE_HOME/network/admin/sqlnet.ora 参数文件中的参数SQLNET.AUTHENTICATION_SERVICES 的设置
- PFILE(SPFILE)参数文件中的参数REMOTE_LOGIN_PASSWORDFILE的设置
- 密码文件:$ORACLE_HOME/dbs/orapw$ORACLE_SID(在 Linux 中)| %ORACLE_HOME%\database\PWD%ORACLE_SID%.ora(在 Windows 中)
Oracle 权限认证的基本顺序是这样的,先由 SQLNET.AUTHENTICATION_SERVICES 的设置值来决定是使用 OS 认证还是密码文件认证,如果使用密码文件认证的话就要看参数 REMOTE_LOGIN_PASSWORDFILE的设置和密码文件是否存在:如果 REMOTE_LOGIN_PASSWORDFILE 参数设置为非NONE 而且密码文件存在的话就能正常使用密码文件认证,否则将会失败。
使用与操作系统集成的身份验证,例如:sqlplus / as sysdba、sqlplus "/ as sysdba"、sqlplus sys/lhrsasa as sysdba、sqlplus xx/xx as sysdba、sqlplus xx/xx as sysoper、sqlplus / as sysoper 等都属于 OS 认证,只要是在本机上使用as sysdba 或as sysoper身份且不含 TNS 的方式登录,都是首先进行 OS 验证,若不支持 OS 验证,则进行密码文件验证登录。需要注意的是,命令“sqlplus / as sysdba”永远是以 OS 验证方式进行登录的。
使用 Oracle 数据库的密码文件进行身份认证,例如:sqlplus lhr/lhr@orcl,只要是使用TNS的方式以 sysdba 或 sysoper 身份登录数据库,都是密码文件验证方式。另外,只要是输入了密码,则都有可能是使用密码文件方式进行登录认证,例如:sqlplus sys/lhrsasa as sysdba。
SQLNET.AUTHENTICATION_SERVICES 参数
该参数指明了登录数据库的方式,需要在 sqlnet.ora(位于$ORACLE_HOME/network/admin目录中)文件中进行设置。在需要修改时,可以直接用文本编辑器打开该文件进行修改即可。对于不同的操作系统,SQLNET.AUTHENTICATION_SERVICES 的取值会有些不一样,通常会用到下面的一些设置值:
- SQLNET.AUTHENTICATION_SERVICES = (ALL)
对 Linux 系统,支持 OS 认证和远程登录密码文件认证。但是,如果在本地数据库服务器上通过监听(tns)连接到数据库,那么将不再支持密码文件认证,而会报错:ORA-12641: Authenticationservice failed to initialize。所以,在 Linux 系统中,建议将该参数注释掉。对 Windows 系统,实际实验是不支持此参数,验证失败。报错:ORA-12641: 验证服务无法初始化(ORA-12641: Authentication service failed to initialize) - SQLNET.AUTHENTICATION_SERVICES = (NTS)
此设置值仅用于 Windows NT 系统,此设置同时支持 OS 认证和密码文件认证,只有在设置了(NTS)值之后运行在 Windows 系统上的 Oracle 才支持 OS 认证。若 Linux 系统上设置了此参数,则指定Oracle只使用密码文件认证。 - SQLNET.AUTHENTICATION_SERVICES = (NONE)
此设置值在 Windows 和 Linux 是作用一样的,指定 Oracle 只使用密码文件认证。 不设置此参数或 sqlnet.ora 文件不存在或 SQLNET.AUTHENTICATION_SERVICES=对 Linux 系统,默认支持 OS 认证和密码文件认证。所以,在 Linux 系统中,建议将该参数注释掉。对 Windows 系统,默认只支持密码文件认证,不支持 OS 认证。
最后总结一句,在 Linux 操作系统中,建议将参数 SQLNET.AUTHENTICATION_SERVICES注释掉。在Windows 操作系统中,建议设置参数 SQLNET.AUTHENTICATION_SERVICES = (NTS)。
REMOTE_LOGIN_PASSWORDFILE 参数
REMOTE_LOGIN_PASSWORDFILE 参数的设置制定了数据库使用密码文件的方法,此参数可以设置的值有三个:
- REMOTE_LOGIN_PASSWORDFILE = NONE #不使用密码文件
- REMOTE_LOGIN_PASSWORDFILE = EXCLUSIVE #使用密码文件,但只有一个数据库实例可以使用
- REMOTE_LOGIN_PASSWORDFILE = SHARED #多个数据库实例共用一个密码文件,这种设置下是不能增加其他数据库用户作为特殊权限用户到密码文件中的。
REMOTE_LOGIN_PASSWORDFILE 参数属于初始化参数,只能在 init.ora/pfile 中指定或是在数据库打开状态下使用下面语句修改,然后重新启动数据库。
ALTER SYSTEM SET REMOTE_LOGIN_PASSWORDFILE = EXCLUSIVE SCOPE = SPFILE ;
要检查当前 REMOTE_LOGIN_PASSWORDFILE 的设定值在登陆 Oracle 后输入下面的命令
SYS@PROD1> show parameter remote_login_passwordfile
NAME TYPE VALUE
------------------------------------ ----------- ------------------------------
remote_login_passwordfile string EXCLUSIVE
密码文件的建立
可以使用 orapwd 命令来重建密码文件:
[oracle@edsir4p1-PROD1 dbs]$ orapwd
Usage: orapwd file=<fname> entries=<users> force=<y/n> ignorecase=<y/n> nosysdba=<y/n>where
file - name of password file (required),
password - password for SYS will be prompted if not specified at command line,
entries - maximum number of distinct DBA (optional),
force - whether to overwrite existing file (optional),
ignorecase - passwords are case-insensitive (optional),
nosysdba - whether to shut out the SYSDBA logon (optional Database Vault only).
There must be no spaces around the equal-to (=) character.
需要注意以下几点:
- 使用 orapwd 重新生成密码文件之后,以前保存的授予的其他用户的SYSDBA 或是SYSOPER权限将会丢失,需要重新的 GRANT。在生成密码文件之前可以先通过 V$PWFILE_USERS 视图查询出当前被授予SYSDBA/SYSOPER 权限的用户,然后在重新生成密码文件以后重新对这些用户授予SYSDBA/SYSOPER权限。
- entries 表示可以有多少个 SYSDBA 或 SYSOPER 权限用户放到密码文件中去,去掉重复记录。这里的 entries 中存放的个数但不是实际个数,这个是二进制数据。设定的 entries 值是不能修改的,若要修改entries 的话则需要重新生成密码文件。
导致密码文件内容修改的几种方式
以下几种操作都会导致密码文件被修改:
- 使用 orapwd 建立,修改密码文件
- 用 alter user sys identified by <>
- 使用 grant sysdba to <>或 grant sysoper to <>或 revoke sysdba |sysoperfrom<>
需要注意的是,每次在 Oracle 系统里面使用 GRANT SYSDBA/SYSOPER 授予新用户特殊权限或是ALTER USER 命令修改拥有 SYSDBA/SYSOPER 权限的用户密码的时候,Oracle 都会自动的修改密码文件,增加或是修改相应的项目,这样保证在数据没有打开的情况拥有特殊权限的用户能正常的登陆数据库以进行管理操作。
在使用 ALTER USER 修改 SYS 密码时,会同时修改密码文件中的密码,保持一致;如果是手工创建的密码文件,那么密码文件中的密码可以与 SYS 密码相同也可以不同,都不影响密码文件验证登录。不过还是建议数据库中 SYS 密码与密码文件中的密码一致,以免需要急用远程登录时密码反而不对,造成维护上的问题。
