Oracle操作系统认证方式

~

Oracle操作系统认证方式

　　在Oracle数据库系统中，用户如果要以特权用户身份(INTERNAL/SYSDBA/SYSOPER)登录Oracle数据库可以有两种身份验证的方法： 即使用与操作系统集成的身份验证或使用Oracle数据库的密码文件进行身份验证。因此，管理好密码文件，对于控制授权用户从远端或本机登录Oracle数据库系统，执行数据库管理工作，具有重要的意义。 Oracle数据库的密码文件存放有超级用户INTERNAL/SYS的口令及其他特权用户的用户名/口令，它一般存放在ORACLE_HOME\DATABASE目录下。

　　一、 密码文件的创建：

　　在使用Oracle Instance Manager创建一数据库实例的时侯，在ORACLE_HOME\DATABASE目录下还自动创建了一个与之对应的密码文件，文件名为PWDSID.ORA，其中SID代表相应的Oracle数据库系统标识符。此密码文件是进行初始数据库管理工作的基础。在此之后，管理员也可以根 据需要，使用工具ORAPWD.EXE手工创建密码文件，命令格式如下： C:\ >ORAPWD　FILE=< FILENAME >　PASSWORD =< PASSWORD >ENTRIES=< MAX_USERS >

　　各命令参数的含义为：

　　FILENAME：密码文件名;

　　PASSWORD：设置INTERNAL/SYS帐号的口令;

　　MAX_USERS：密码文件中可以存放的最大用户数，对应于允许以SYSDBA/SYSOPER权限登录数据库的最大用户数。由于在以后的维护中，若 用户数超出了此限制，则需要重建密码文件，所以此参数可以根据需要设置得大一些。有了密码文件之后，需要设置初始化参数REMOTE_LOGIN_PASSWORDFILE来控制密码文件的使用状态。

　　二、 设置初始化参数REMOTE_LOGIN_PASSWORDFILE：

　　在Oracle数据库实例的初始化参数文件中，此参数控制着密码文件的使用及其状态。它可以有以下几个选项： NONE：指示Oracle系统不使用密码文件，特权用户的登录通过操作系统进行身份验证; EXCLUSIVE：指示只有一个数据库实例可以使用此密码文件。只有在此设置下的密码文件可以包含有除INTERNAL/SYS以外的用户信息，即允许将系统权限SYSOPER/SYSDBA授予除INTERNAL/SYS以外的其他用户。 SHARED：指示可有多个数据库实例可以使用此密码文件。在此设置下只有INTERNAL/SYS帐号能被密码文件识别，即使文件中存有其他用户的信息，也不允许他们以SYSOPER/SYSDBA的权限登录。此设置为缺省值。在REMOTE_LOGIN_PASSWORDFILE参数设置为EXCLUSIVE、SHARED情况下，Oracle系统搜索密码文件的次序为： 在系统注册库中查找ORA_SID_PWFILE参数值(它为密码文件的全路径名); 若未找到，则查找ORA_PWFILE参数值;若仍未找到，则使用缺省值ORACLE_HOMEDATABASE\PWDSID.ORA;其中的SID代表相应的Oracle数据库系统标识符。

　　三、 向密码文件中增加、删除用户：

　　当初始化参数REMOTE_LOGIN_PASSWORDFILE设置为EXCLUSIVE时，系统允许除INTERNAL/SYS以外的其他用户以管理员身份从远端或本机登录 到Oracle数据库系统，执行数据库管理工作;这些用户名必须存在于密码文件中，系统才能识别他们。由于不管是在创建数据库实例时自动创建的密码文件，还是使用工具ORAPWD.EXE手工创建的密码文件，都只包含INTERNAL/SYS用户的信息;为此，在实际操作中，可能需要向密码文 件添加或删除其他用户帐号。

　　由于仅被授予SYSOPER/SYSDBA系统权限的用户才存在于密码文件中，所以当向某一用户授予或收回SYSOPER/SYSDBA系统权限时，他们的 帐号也将相应地被加入到密码文件或从密码文件中删除。由此，向密码文件中增加或删除某一用户，实际上也就是对某一用户授予或收回 SYSOPER/SYSDBA系统权限。

　　要进行此项授权操作，需使用SYSDBA权限(或INTERNAL帐号)连入数据库，且初始化参数REMOTE_LOGIN_PASSWORDFILE的设置必须为 EXCLUSIVE。具体操作步骤如下：创建相应的密码文件; 设置初始化参数REMOTE_LOGIN_PASSWORDFILE=EXCLUSIVE; 使用SYSDBA权限登录： CONNECT　SYS/internal_user_passsword　AS　SYSDBA; 启动数据库实例并打开数据库; 创建相应用户帐号，对其授权(包括SYSOPER和SYSDBA)： 授予权限：GRANT　SYSDBA　TO　user_name; 收回权限：REVOKE　SYSDBA　FROM　user_name;现在这些用户可以以管理员身份登录数据库系统了;

　　四、 使用密码文件登录：

　　有了密码文件后，用户就可以使用密码文件以SYSOPER/SYSDBA权限登录Oracle数据库实例了，注意初始化参数 REMOTE_LOGIN_PASSWORDFILE应设置为EXCLUSIVE或SHARED。任何用户以SYSOPER/SYSDBA的权限登录后，将位于SYS用户的Schema之下，以下为 两个登录的例子：

　　1. 以管理员身份登录：

　　假设用户scott已被授予SYSDBA权限，则他可以使用以下命令登录：

　　CONNECT　scott/tiger　AS　SYSDBA

　　2. 以INTERNAL身份登录：

　　CONNECT　INTERNAL/INTERNAL_PASSWORD

　　五、 密码文件的维护：

　　1. 查看密码文件中的成员：

　　可以通过查询视图V$PWFILE_USERS来获取拥有SYSOPER/SYSDBA系统权限的用户的信息，表中SYSOPER/SYSDBA列的取值TRUE/FALSE表示此用户是否拥有相应的权限。这些用户也就是相应地存在于密码文件中的成员。

　　2. 扩展密码文件的用户数量：

　　当向密码文件添加的帐号数目超过创建密码文件时所定的限制(即ORAPWD.EXE工具的MAX_USERS参数)时，为扩展密码文件的用户数限制，需重建密码文件，具体步骤如下： 　　 a) 查询视图V$PWFILE_USERS，记录下拥有SYSOPER/SYSDBA系统权限的'用户信息; 　　 b) 关闭数据库; 　　 c) 删除密码文件; 　　 d) 用ORAPWD.EXE新建一密码文件; 　　 e) 将步骤a中获取的用户添加到密码文件中。

　　3. 修改密码文件的状态：

　　密码文件的状态信息存放于此文件中，当它被创建时，它的缺省状态为SHARED。可以通过改变初始化参数REMOTE_LOGIN_PASSWORDFILE的设置改变密码文件的状态。当启动数据库事例时，Oracle系统从初始化参数文件中读取REMOTE_LOGIN_PASSWORDFILE参数的设置;当加载数据库 时，系统将此参数与口令文件的状态进行比较，如果不同，则更新密码文件的状态。若计划允许从多台客户机上启动数据库实例，由于各客户机上必须有初始化参数文件，所以应确保各客户机上的初始化参数文件的一致性，以避免意外地改变了密码文件的状态，造成数据库登陆的失 败。

　　4. 修改密码文件的存储位置：

　　密码文件的存放位置可以根据需要进行移动，但作此修改后，应相应修改系统注册库有关指向密码文件存放位置的参数或环境变量的设置

　　5. 删除密码文件：

　　在删除密码文件前,应确保当前运行的各数据库实例的初始化参数REMOTE_LOGIN_PASSWORDFILE皆设置为NONE。在删除密码文件后，若想要以管理员身份连入数据库的话，则必须使用操作系统验证的方法进行登录。

;

---

苏尼特右旗17177273622： 叙述oracle 用户认证方式？
穰桑盐酸： 认证分为系统认证和口令文件认证,操作系统认证:即oracle认为操作系统用户是可靠的,即既然能登录到操作系统那么oracle数据库你也能登录 口令文件认证:oracle认证认为操作系统用户是不可靠的,如果需要访问数据库,必须进行再次认证

苏尼特右旗17177273622： oracle 操作系统身份认证 - ？
穰桑盐酸： linux 下: oracle 用户登陆输入: sqlplus / as sysdba启动: startup 关闭: shutdown abort windows下: 找oracle服务去、启动服务.

苏尼特右旗17177273622： 服务器上使用操作系统如何验证的呢? ？
穰桑盐酸： 服务器上使用操作系统验证 1.配置SQLNET.ORA文件 参数NAMES.DIRECTORY_PATH= (TNSNAMES, ONAMES, HOSTNAME)表明解析客户端连接时所用的主机字...

苏尼特右旗17177273622： 通过oracle认证的途径和方法,以及需要的课程和金额?？
穰桑盐酸： Oracle认证种类介绍 Oracle认证专家——OCP,是由Oracle公司授权国际考试认证中心对考生进行的资格认证.考生按考试标准要求参加几门课程的考试(一般为3—5门),在通过全部考试后,便可获得OCP的专家认证. 目前OCP认证考试分...

苏尼特右旗17177273622： 关于Oracle认证 - ？
穰桑盐酸： Oracle认证专家(OCP)是业界闻名的Oracle认证,已经成为软件技术人员获得高薪的途径之一,实际上如今Oracle所能提供的认证种类分为Oracle认证专员(OCA)、OCP和Oracle认证大师(OCM)三个层次,最高级的OCM认证工程师拥有...

苏尼特右旗17177273622： ORACLE认证的等级有那些?要怎么获得? - ？
穰桑盐酸： Oracle认证分为OCA,OCP,OCM.OCA:报考OCA的基础条件是报考OCA不限制考生的文凭,任何人都可以报考并获得此证书;对OCA有一定的了解..其证书拥有者在全球各地将享有OCA相关专业免学分的待遇,在北美一些国家还做为移民...

苏尼特右旗17177273622： oracle 为什么任何用户都能以SYSDBA登陆 救命呀,即使用户名和密码都为空也能进入 - ？
穰桑盐酸： 答案就是 oracle的认证方法.你无论用什么身份登入后 show user ; 看看结果是不是 sys 在操作系统认证方式下:对于如果是Unix操作系统,只要旧以DBA组中的用户登录的操作系统,就可以以SYSDBA的身份登录数据库,不会验证SYS的口令.对于windows操作系统,在oracle数据库安装后,会自动在操作系统中安装一个名为ORA_DBA的用户组,只要是该组中的用户,即可以SYSDBA的身份登录数据库而不会验证SYS的口令.也可以创建名为ORA_SID_DBA(SID为实例名)的用户组,属于该用户组的用户也可以具备以上特权.

苏尼特右旗17177273622： 如何确认oracle是口令文件验证 - ？
穰桑盐酸： Oracle安装之后默认情况下是启用了OS认证的,这里提到的os认证是指服务器端os认证.OS认证的意思把登录数据库的用户和口令校验放在了操作系统一级.如果以安装Oracle时的用户登录OS,那么此时在登录Oracle数据库时不需要任何验证!

苏尼特右旗17177273622： oracle ::sqlplus /nolog,conn /as sysdba - ？
穰桑盐酸： 这样能够登录使因为采用了操作系统认证的方式,如果你使用的不是本地操作系统的特定帐户,就不会这样了.如果你不喜欢这样的认证方式,也可以修改认证方式的.

苏尼特右旗17177273622： oracle OCA 认证 - ？
穰桑盐酸： 一般很少有人去单独的考OCA,因为它的含金量比OCP要少得多,所以一般都是至少考OCP.可以不考OCA,直接考OCP.如果是个人考OCP,那么就不要先考OCA了,因为通过这种方式获得OCP证书的话,以后都要去参加一门原厂培训,原厂培训很贵,最便宜的3天的课程也得7600元,再加上之前3门的考试费用2700,总共就得花1万多元.所以最好直接加入到WDP( 比如cuug)的认证方式,这种方式培训加上考试费用总共只要7500,而且还有15天的培训,比上一种方式要优惠得多了.