oracle物理结构（五）--口令文件

 

口令文件，即password file，用来对通过网络进行管理的用户进行认证。

1、本地连接

默认情况下，无论实例是否已启动，数据库服务器本地用户登录数据库需通过操作系统验证，即发起登录的操作系统用户是否属于oinstall组，是则允

许登录，否则禁止，而与登录时使用的数据库用户及口令无关（错误的数据库用户及错误口令或空口令均允许登录）。注意， 操作系统验证仅对本地连

接且已as sysdba身份登录才生效，若非as sysdba身份，则进行数据库验证。

[root@station31~]#cat /etc/passwd | grep oracle

oracle:x:500:501::/home/oracle:/bin/bash

[root@station31~]#cat /etc/group | grep 501

oinstall:x:501:

sed –i 's/oinstall:x:501/oinstall:x:505/' /etc/group 更改oracle用户所属组ID

#su - oracle

$sqlplus /  as sysdba;                           无口令登录失败

Perl –p –e 's/oinstall:x:505/oinstall:x:501/' /etc/group 撤消上述更改

测试结果：

操作系统验证本地实例启动：以as sysdba登录无口令或错误口令可登录，以普通用户登录需正确口令；

实例关闭：只能以as sysdba登录可无口令或错误口令可登录，数据库没启动，数据库验证失效，普通用户无法登录。

禁用操作系统验证本地实例启动：以as sysdba登录需正确口令。

实例关闭：只能以as sysdba并以正确口令登录。

禁用操作系统验证：

vi $ORACLE_HOME/network/admin/sqlnet.ora

SQLNET.AUTHENTICATION_SERVICES (NONE)

添加上行，指定禁用操作系统验证，提高本地登录安全性。

禁用OS验证后，本地登录将根据数据库口令文件参数的设置（默认生效）改用口令文件验证，默认口令文件为$ORACLE_HOME/dbs/orapw$ORACLE_SID默认

其中已包含sys用户。

SQL>show parameter remote_login_passwordfile;

口令文件验证规则为：对于以sysdba身份登录的用户，使用口令文件进行验证，验证口令文件中是否包含该用户且口令文件中口令是否正确；对于以非

sysdba身份登录的用户，则仍使用数据库验证，验证数据库中是否包含该用户且数据库中口令是否正确。

2、网络连接

默认情况下，无论实例是否启动，远程客户端用户登录数据库都需进行口令文件或数据库的验证，使用口令文件及验证规则与本地验证相同。

例：$vi $ORACLE_HOME/network/admin/listener.ora

SID_LIST_LISTENER

(SID_LIST

(SID_DESC

(SID_NAME PLSExtProc)

(ORACLE_HOME /u01/app/oracle/product/10.2.0/db_1)

(PROGRAM extproc)

)

(SID_DESC

(GLOBAL_DBNAME ora10)

(ORACLE_HOME /u01/app/oracle/product/10.2.0/db_1)

(SID_NAME ora10)

)

)

LISTENER

(DESCRIPTION_LIST

(DESCRIPTION

(ADDRESS (PROTOCOL TCP)(HOST 10.2.26.31)(PORT 1521))

)

)

vim $ORACLE_HOME/network/admin/tnsnames.ora

ORA10

(DESCRIPTION

(ADDRESS (PROTOCOL TCP)(HOST 10.2.26.31)(PORT 1521))

(CONNECT_DATA

(SERVER DEDICATED)

(SERVICE_NAME ora10)

)

)

LISTENER_ORA10

(ADDRESS (PROTOCOL TCP)(HOST 10.2.26.31)(PORT 1521))

EXTPROC_CONNECTION_DATA

(DESCRIPTION

(ADDRESS_LIST

(ADDRESS (PROTOCOL IPC)(KEY EXTPROC2))

)

(CONNECT_DATA

(SID PLSExtProc)

(PRESENTATION RO)

)

)

?

在listener.ora和tnsnames.ora配置文件中添加或修改实例和数据库名段。

·口令文件启用

SQL>show parameter remote_login_passwordfile;   查看口令文件参数。

NAME                                   TYPE         VALUE

-----------------------------------------------------------------------------

remote_login_passwordfile         string    EXCLUSIVE

none：禁用口令文件验证，不允许通过网络进行DB管理，即使口令文件存在。

exchlusize：启用口令文件验证，允许一个数据库使用口令文件进行验证 （默认）

shared：共享口令文件验证，允许多个数据库使用口令文件进行验证

·口令文件生成

$cd$ORACLE_HOME/dbs

$orapwd file=orapw ora10 password=123456 entries=20 force=y

orapwd参数含义（“”两边无空格）：

file：定义口令文件名称 （路径为$ORACLE_HOME/dbs/) （必需）

password：SYS用户的口令 （必需）

entries：允许在口令文件中添加到用户最大数量 （可选）

force：是否覆盖原有口令文件 （可选）

·查看修改口令文件

SQL>select * from v$pwfile_users; 查看口令文件中所有用户

USERNAME                          SYSDBSYSOP

----------------------------------------

SYS                             TRUE TRUE

SQL>create user user01 identified by 123456；添加用户

SQL> grant sysdba to user01;      赋sysdba权限后自动加入口令文件

SQL>select * from v$pwfile_users;

USERNAME                       SYSDBSYSOP

-------------------------------------------------------------

SYS                              TRUE TRUE

USER01                          TRUE FALSE

SQL>revoke sysdba from user01; 从口令文件中删除用户

·删除口令文件 （禁用口令文件验证）

SQL>alter system set remote_login_passwordfile=none scope=spfile;

SQL>shutdown immediate;

rm $ORACLE_HOME/dbs/orapwora10

由上步测试可知，在禁用口令文件验证后，网络连接时将只有一种方式可以连入数据库，即在数据库启动情况下，仅允许普通用户以正确口令连入数据

库，提高了网络连接的安全性，

但同时大大降低了网络验证的可管理性，因其中关键性的“数据库关闭状态下以sysdba

身份连入数据库”功能不能使用，从而使远程启动数据库功能不能实现，不利于从网络原创

管理数据库，因此应该使用默认的启用口令文件验证模式。

特别注意：

若禁用了本地操作系统验证后，又禁用口令文件验证，则在数据库关闭后，将无法使用

任何方法连入数据库再次重启实例，故不应将本地操作系统验证和口令文件验证同时禁用。