合 Oracle OS认证与密码文件认证(操作系统认证、口令文件认证、创建密码文件)
Tags: Oracle认证ORA-01017登陆密码文件SQLNET.AUTHENTICATION_SERVICES口令文件OS认证REMOTE_LOGIN_PASSWORDFILE密码文件认证操作系统认证创建密码文件
创建密码文件常用SQL
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 | -- 密码文件 linux区分$ORACLE_SID大小写 select * from v$pwfile_users; --linux:orapw+$ORACLE_SID -- windows: pwd+$ORACLE_SID.ora orapwd file=orapworcl force=y password=oracle orapwd file='+data/lhrracphy/PASSWORD/pwdlhrracphy' force=y dbuniquename=lhrracphy format=12 password=lhr orapwd file='+data' force=y dbuniquename=lhrracphy format=12 password=lhr orapwd file='+data/HTZXDBPRI/password/orapwhtzxdbpri' force=y dbuniquename=htzxdbpri format=12 sys=oracle sysbackup=oracle sysdg=oracle syskm=oracle orapwd input_file='+data/HTZXDBPRI/password/orapwhtzxdbpri' file='+ocr/asm/password/orapwASM' asm=y force=y srvctl config db -d htzxdbpri -a srvctl modify db -d htzxdbpri -pwfile '+data/HTZXDBPRI/password/orapwhtzxdbpri' oradim -NEW -sid orcl9i -INTPWD admin -pfile d:\oracle\ora90\database\initstorm.ora; C:\Users\Administrator> orapwd file="E:\oracle\ora8i\DATABASE\PWDortest.ORA" password=lhr [oracle@robinson dbs]$ orapwd file=$ORACLE_HOME/dbs/orapworcl password=oracle force=y |
密码文件
Oracle密码文件的作用主要是进行SYSDBA和SYSOPER权限的身份认证。密码文件存放着被授予SYSDBA或SYSOPER权限的用户的用户名和密码。它是一个加密的文件,用户不能修改这个文件,但是可以使用strings命令看到密码的HASH值,如下所示:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 | [oracle@edsir4p1-PROD1 dbs]$ strings orapwPROD1 ]\[Z ORACLE Remote Password file INTERNAL AB27B53EDC5FEF41 o5&W 8A8F025737A9097A [oracle@edsir4p1-PROD1 dbs]$ SYS@PROD1> SELECT D.PASSWORD FROM USER$ D WHERE D.NAME='SYS'; PASSWORD ------------------------------ 8A8F025737A9097A |
在Linux系统中,密码文件一般保存在$ORACLE_HOME/dbs目录下,文件名为orapw$SID;在Windows系统中,密码文件一般保存在%ORACLE_HOME%\database目录下,文件名为PWD$SID.ora。
Oracle的两种认证方式
在Oracle中有两类特殊的权限SYSDBA和SYSOPER,当DBA需要对数据库进行维护管理操作的时候必须具有这两类特殊权限之中的一种。在数据库没有打开的时候,使用数据库内建的账号是无法登陆数据库的,但是拥有SYSDBA或是SYSOPER权限的用户是可以登陆的。认证用户是否拥有这两类特殊权限的方法有两种:OS认证和密码文件认证。Oracle数据库究竟使用OS认证还是密码文件认证来进行管理取决于下面三个因素:
① $ORACLE_HOME/network/admin/sqlnet.ora参数文件中的参数SQLNET.AUTHENTICATION_SERVICES的设置
② PFILE(SPFILE)参数文件中的参数REMOTE_LOGIN_PASSWORDFILE设置
③ 密码文件:$ORACLE_HOME/dbs/orapw$ORACLE_SID(在Linux中) | %ORACLE_HOME%\database\PWD%ORACLE_SID%.ora(在Windows中)
Oracle权限认证的基本顺序是这样的,先由SQLNET.AUTHENTICATION_SERVICES的设置值来决定是使用OS认证还是密码文件认证,如果使用密码文件认证的话就要看参数参数REMOTE_LOGIN_PASSWORDFILE的设置和密码文件是否存在:如果REMOTE_LOGIN_PASSWORDFILE参数设置为非NONE而且密码文件存在的话就能正常使用密码文件认证,否则将会失败。
使用与操作系统集成的身份验证,例如:sqlplus / as sysdba、sqlplus "/ as sysdba" 、sqlplus sys/lhrsasa as sysdba、sqlplus xx/xx as sysdba、sqlplus xx/xx as sysoper、sqlplus / as sysoper等都属于OS认证,只要是在本机上使用as sysdba或as sysoper身份且不含TNS的方式登录,都是首先进行OS验证,若不支持OS验证,则进行密码文件验证登录。需要注意的是,命令“sqlplus / as sysdba”永远是以OS验证方式进行登录的。