Oracle OS认证与口令文件认证详解.docVIP

概述：本文只讨论OS认证和口令文件认证方式的配置方法，如何配置以及使用OS认证和口令文件认证方式验证SYSDBA/SYSOPER权限。 实验环境：Oracle? 11.2.0.1?+ RHEL 5.4 特殊权限与Oracle登陆认证管理 在开始学Oracle的时候有件事一直让我感觉很奇怪，就是为什么在数据没有起来的时候只要登录到安装Oracle的操作系统中直接用sqlplus / as sysdba就能登陆到数据库中然后对数据库进行启动停止之类的操作。后来看到关于Oracle口令文件相关资料的时候才豁然开朗：数据库认证信息并不一定存在数据库中的，这点和SQL Server很是不一样。 在Oracle中有两类特殊的权限SYSDBA和SYSOPER，当DBA需要对数据库进行维护管理操作的时候必须具有这两类特殊权限之中的一种。在数据库没有打开的时候，使用数据库内建的账号是无法登陆数据库的，但是拥有SYSDBA或是SYSOPER权限的用户是可以登陆的。认证用户是否拥有两类特殊权限的方法有两种：OS认证和口令文件认证。 OS认证和口令文件认证方法 Oracle数据库究竟使用OS认证还是口令文件认证来进行管理取决于下面三个因素： SQLNET.ORA参数文件中的参数SQLNET.AUTHENTICATION_SERVICES设置 PFILE(SPFILE)参数文件中的参数REMOTE_LOGIN_PASSWORDFILE设置 口令文件orapw$SID(Linux) | PWD$SID.ora(Windows) Oracle权限认证的基本顺序是这样的，先由SQLNET.AUTHENTICATION_SERVICES的设置值来决定是使用OS认证还是口令文件认证，如果使用口令文件认证的话就要看后面两个条件了：如果REMOTE_LOGIN_PASSWORDFILE参数设置为非NONE而且口令文件存在的话就能正常使用口令文件认证，否则将会失败。 SQLNET.AUTHENTICATION_SERVICES参数 在SQLNET.ORA（位于$ORACLE_HOME/NETWORK/ADMIN目录中）文件中，需要修改时直接用文本编辑器打开修改就行了，对于不同的操作系统SQLNET.AUTHENTICATION_SERVICES的取值会有些不一样，通常我们会用到下面的一些设置值： SQLNET.AUTHENTICATION_SERVICES = (ALL) 对Linux系统，支持OS认证和口令文件认证。 对Windows系统，实际实验是不支持此参数，验证失败。 SQLNET.AUTHENTICATION_SERVICES = (NTS) 此设置值仅用于Windows NT系统，此设置同时支持OS认证和口令文件认证，只有在设置了(NTS)值之后运行在Windows系统上的Oracle才支持OS认证。 SQLNET.AUTHENTICATION_SERVICES = (NONE) 此设置值在Windows和Linux是作用一样的，指定Oracle只使用口令文件认证。 不设置此参数或SQLNET.AUTHENTICATION_SERVICES = 对Linux系统，默认支持OS认证和口令文件认证。 对Windows系统，默认只支持口令文件认证，不支持OS认证。 OS认证实现 Oracle使用操作系统中的两个用户组来控制OS认证，在不同的操作系统中这两个用户组的名称是不一样的，一般来说他们是OSDBA 和 OSOPER，这两个用户组都是在Oracle安装的时候创建的。下面列出不同系统中这两个用户组的名字： Operating System Group UNIX User Group UNIX User Group OSDBA dba ORA_DBA OSOPER oper ORA_OPER OSDBA用户组的用户可以使用SYSDBA权限登陆数据库，OSOPER用户组的的用户可以使用SYSOPER权限来登陆数据库。使用sqlplus可以用下面方法登陆 CONNECT/ASSYSDBACONNECT/ASSYSOPER 拥有OS权限的用户登陆数据库时不再需要输入用户名和密码，因此使用下面的命令也是可以正常登陆的： CONNECTANY_USER_NAME/ANY_PASSWORDASSYSDBACONNECTANY_USER_NAME/ANY_PASSWORDASSYSOPER 因此要创建一个新的OS认证帐号步骤是： 建立一个OS用户 将用户加入到OSDBA或是OSOPER用户组 用新增加的用户登陆系统，然后输入sqlplus / AS SYSDBA进行登陆 REMOTE_LOGIN_PASSWORDFILE参数 REMOTE_LOGI