简述Oracle中的密码文件。
♣ 答案部分
(一)密码文件简介
Oracle密码文件的作用主要是进行SYSDBA和SYSOPER权限的身份认证。密码文件存放着被授予SYSDBA或SYSOPER权限的用户的用户名和密码。它是一个加密的文件,用户不能修改这个文件,但是可以使用strings命令看到密码的HASH值,如下所示:
1[oracle@edsir4p1-PROD1 dbs]$ strings orapwPROD1 2]\[Z 3ORACLE Remote Password file 4INTERNAL 5AB27B53EDC5FEF41 6o5&W 78A8F025737A9097A 8[oracle@edsir4p1-PROD1 dbs]$ 9 10SYS@PROD1> SELECT D.PASSWORD FROM USER$ D WHERE D.NAME='SYS'; 11 12PASSWORD 13------------------------------ 148A8F025737A9097A
在Linux系统中,密码文件一般保存在$ORACLE_HOME/dbs目录下,文件名为orapw$SID;在Windows系统中,密码文件一般保存在%ORACLE_HOME%\database目录下,文件名为PWD$SID.ora。
(二)Oracle的两种认证方式
在Oracle中有两类特殊的权限SYSDBA和SYSOPER,当DBA需要对数据库进行维护管理操作的时候必须具有这两类特殊权限之中的一种。在数据库没有打开的时候,使用数据库内建的账号是无法登陆数据库的,但是拥有SYSDBA或是SYSOPER权限的用户是可以登陆的。认证用户是否拥有这两类特殊权限的方法有两种:OS认证和密码文件认证。Oracle数据库究竟使用OS认证还是密码文件认证来进行管理取决于下面三个因素:
① $ORACLE_HOME/network/admin/sqlnet.ora参数文件中的参数SQLNET.AUTHENTICATION_SERVICES的设置
② PFILE(SPFILE)参数文件中的参数REMOTE_LOGIN_PASSWORDFILE设置
③ 密码文件:$ORACLE_HOME/dbs/orapw$ORACLE_SID(在Linux中) | %ORACLE_HOME%\database\PWD%ORACLE_SID%.ora(在Windows中)
Oracle权限认证的基本顺序是这样的,先由SQLNET.AUTHENTICATION_SERVICES的设置值来决定是使用OS认证还是密码文件认证,如果使用密码文件认证的话就要看参数参数REMOTE_LOGIN_PASSWORDFILE的设置和密码文件是否存在:如果REMOTE_LOGIN_PASSWORDFILE参数设置为非NONE而且密码文件存在的话就能正常使用密码文件认证,否则将会失败。
使用与操作系统集成的身份验证,例如:sqlplus / as sysdba、sqlplus "/ as sysdba" 、sqlplus sys/lhrsasa as sysdba、sqlplus xx/xx as sysdba、sqlplus xx/xx as sysoper、sqlplus / as sysoper等都属于OS认证,只要是在本机上使用as sysdba或as sysoper身份且不含TNS的方式登录,都是首先进行OS验证,若不支持OS验证,则进行密码文件验证登录。需要注意的是,命令“sqlplus / as sysdba”永远是以OS验证方式进行登录的。
使用Oracle数据库的密码文件进行身份认证,例如:sqlplus lhr/lhr@orcl,只要是使用TNS的方式以sysdba或sysoper身份登录数据库,都是密码文件验证方式。另外,只要是输入了密码,则都有可能是使用密码文件方式进行登录认证,例如:sqlplus sys/lhrsasa as sysdba。
(三)SQLNET.AUTHENTICATION_SERVICES参数
该参数指明了登录数据库的方式,需要在sqlnet.ora(位于$ORACLE_HOME/network/admin目录中)文件中进行设置。在需要修改时,可以直接用文本编辑器打开该文件进行修改即可。对于不同的操作系统,SQLNET.AUTHENTICATION_SERVICES的取值会有些不一样,通常会用到下面的一些设置值:
l SQLNET.AUTHENTICATION_SERVICES = (ALL)
对Linux系统而言,表示支持OS认证和远程登录密码文件认证。但是,如果在本地数据库服务器上通过监听(tns)连接到数据库,那么将不再支持密码文件认证,而会报错:ORA-12641: Authentication service failed to initialize。所以,在Linux系统中,建议将该参数注释掉。
对Windows系统,实际实验是不支持此参数,验证失败。报错:ORA-12641: 验证服务无法初始化(ORA-12641:Authentication service failed to initialize)
l SQLNET.AUTHENTICATION_SERVICES = (NTS)
此设置值仅用于Windows NT系统,此设置同时支持OS认证和密码文件认证,只有在设置了(NTS)值之后运行在Windows系统上的Oracle才支持OS认证。若Linux系统上设置了此参数,则指定Oracle只使用密码文件认证。
l SQLNET.AUTHENTICATION_SERVICES = (NONE)
此设置值在Windows和Linux是作用一样的,指定Oracle只使用密码文件认证。
l 不设置此参数或sqlnet.ora文件不存在或SQLNET.AUTHENTICATION_SERVICES =
对Linux系统,默认支持OS认证和密码文件认证。所以,在Linux系统中,建议将该参数注释掉。
对Windows系统,默认只支持密码文件认证,不支持OS认证。
最后总结一句,在Linux操作系统中,建议将参数SQLNET.AUTHENTICATION_SERVICES注释掉。在Windows操作系统中,建议设置参数SQLNET.AUTHENTICATION_SERVICES = (NTS)。
(四)REMOTE_LOGIN_PASSWORDFILE参数
REMOTE_LOGIN_PASSWORDFILE参数的设置指定了数据库使用密码文件的方法,此参数可以设置的值有三个:
l REMOTE_LOGIN_PASSWORDFILE = NONE #不使用密码文件
l REMOTE_LOGIN_PASSWORDFILE = EXCLUSIVE #使用密码文件,但只有一个数据库实例可以使用
l REMOTE_LOGIN_PASSWORDFILE = SHARED #多个数据库实例共用一个密码文件,这种设置下是不能增加其他数据库用户作为特殊权限用户到密码文件中的。
REMOTE_LOGIN_PASSWORDFILE参数属于初始化参数,只能在init.ora/pfile中指定或是在数据库打开状态下使用下面语句修改,然后重新启动数据库。
ALTER SYSTEM SET REMOTE_LOGIN_PASSWORDFILE = EXCLUSIVE SCOPE = SPFILE ;
要检查当前REMOTE_LOGIN_PASSWORDFILE的设定值在登陆Oracle后输入下面的命令
1SYS@PROD1> show parameter remote_login_passwordfile 2 3NAME TYPE VALUE 4 5------------------------------------ ----------- ------------------------------ 6 7remote_login_passwordfile string EXCLUSIVE
(五)密码文件的建立
可以使用orapwd命令来重建密码文件:
1[oracle@edsir4p1-PROD1 dbs]$ orapwd 2 3Usage: orapwd file=<fname> entries=<users> force=<y/n> ignorecase=<y/n> nosysdba=<y/n> 4 5 6 7 where 8 9 file - name of password file (required), 10 11 password - password for SYS will be prompted if not specified at command line, 12 13 entries - maximum number of distinct DBA (optional), 14 15 force - whether to overwrite existing file (optional), 16 17 ignorecase - passwords are case-insensitive (optional), 18 19 nosysdba - whether to shut out the SYSDBA logon (optional Database Vault only). 20 21 22 23 There must be no spaces around the equal-to (=) character.
需要注意以下几点:
① 使用orapwd重新生成密码文件之后,以前保存的授予的其他用户的SYSDBA或是SYSOPER权限将会丢失,需要重新的GRANT。在生成密码文件之前可以先通过V$PWFILE_USERS视图查询出当前被授予SYSDBA/SYSOPER权限的用户,然后在重新生成密码文件以后重新对这些用户授予SYSDBA/SYSOPER权限。
② entries表示可以有多少个SYSDBA或SYSOPER权限用户放到密码文件中去,去掉重复记录。这里的entries中存放的个数但不是实际个数,这个是二进制数据。设定的entries值是不能修改的,若要修改entries的话则需要重新生成密码文件。
(六)导致密码文件内容修改的几种方式
以下几种操作都会导致密码文件被修改:
① 使用orapwd建立,修改密码文件
② 用alter user sys identified by <>
③ 使用grant sysdba to <>或grant sysoper to <>或revoke sysdba |sysoper from <>
需要注意的是,每次在Oracle系统里面使用GRANT SYSDBA/SYSOPER授予新用户特殊权限或是ALTER USER命令修改拥有SYSDBA/SYSOPER权限的用户密码的时候,Oracle都会自动的修改密码文件,增加或是修改相应的项目,这样保证在数据没有打开的情况拥有特殊权限的用户能正常的登陆数据库以进行管理操作。
在使用ALTER USER 修改SYS密码时,会同时修改密码文件中的密码,保持一致;如果是手工创建的密码文件,那么密码文件中的密码可以与SYS密码相同也可以不同,都不影响密码文件验证登录。不过还是建议数据库中SYS密码与密码文件中的密码一致,以免需要急用远程登录时密码反而不对,造成维护上的问题。查询MOS上也有相关的文档:Password or SYS Doesn't Match the Hash Value in USER$ (文档 ID 2139304.1)。