oracle安全认证(6).ppt

1、Oracle的认证方式,Oracle与注册表,在oracle 创建数据库后，会将各个数据库的信息加到windows注册表中。 注册表的打开,Oracle 的注册信息很多,Oracle_sid 表示缺省的oracle sid, 注册到oracle 数据库时 Sqlplus scott/tiger Connect scott/tiger 表示注册到 oracle_sid指定的数据库，而且不用启动监听程序。,如果要注册到服务器中的其他的数据库，且不需要启动监听程序 Set oracle_sid=newdb Connect scott/tiger 如果想启动监听，则 Connect scott/tig

2、ernewdb,Oracle 用户身份验证,Oracle 用户身份验证有三种方式： 1、数据库服务器验证（普通用户） 2、操作系统验证 3、口令文件验证,数据库服务器验证只有在数据库服务器开启的状体下 进行，如果服务器没有开启，则进行启动的用户要通过 操作系统验证和口令文件验证,如何以系统管理员的权限注册到数据库,启动和关闭数据库是很强的数据库管理权限，该权限只限于 sysdba和sysoper权限连接数据库的用户。 在下面任何一种情况用户即可以以管理员的权限连接oracle,1、操作系统用户被允许以数据库管理员的权限注册到数据库中。 例如：windows下安装了oracle ，就会出现ora

3、_dba组,该组中的用户可以无需口令地以oracle 管理员的权限注册到oracle,没有使用用户名和口令，以系统管理员sysdba的身份进行了数据库的启动,2、如果不允许操作系统认证，且数据库为关闭状态，要想启动数据库，要利用数据库外的文件，口令文件。,口令文件,当用户被授予sysdba/sysoper权限时，用户被加入 了一个口令文件中， oracle 利用口令文件来验证这些权限。,系统管理员的两种验证方式,Oracle 的系统管理员认证方式分为操作系统认证和口令文件认证两种方式。 操作系统认证也成称为本地认证，在安装有oracle的机器上管理数据库系统，使用操作系统认证是合理的。 如果管

4、理员通过网络注册到数据库，无法使用操作系统认证，则使用口令文件。,操作系统认证的优先级高于口令文件,操作系统认证,当 windows的用户安装oracle数据库时，他会自动地加入到ora_dba中 该组的特点： 在安装时自动产生 ora_dba组的成员,操作系统认证,当 windows的用户安装oracle数据库时，他会自动地加入到ora_dba中 该组的特点： 在安装时自动产生 ora_dba组的成员自动获得sysdba的权限，从而可以在本地无需口令地进行注册。 可以将其他的windows用户加入到 ora_dba组中，从而使其他用户也具有 sysdba的权限。,可以通过该工具给window

5、s增加ora_dba组,口令文件,Oracle另外一种验证管理员的方法是口令文件，并可以将允许数据库管理的用户和口令放在该文件中。,口令文件的名称为PWDSID.ora,一般情况下，口令文件会在安装数据库软件时产生，但如果没有产生，可以由命令orapwd 产生,命令为Ordpwd file= 口令文件名 password=口令 entries=数量,注意： 1、file 是指口令文件的包含路径的名称 2、password 口令是 sys的口令 该口令的设置会把数据库用户sys的口令也进行了修改， 如果在数据库中使用 alter user sys identified by 新口令，则口令文件中

6、的口令都会更改。 3、数量参数指的是允许sysdba和sysoper系统权限的用户个数 注意： 创建完成 后一定要重新启动数据库，否则不起作用,查看口令文件中管理员的情况，只要用户被授予了 Sysdba和sysoper,则被加入了口令文件中。 该文件必须是允许使用口令文件的前提下才可以进行查询的,如果只想使用口令文件，而不用操作系统认证，如何设置 将sqlnet.ora中的设置,Sqlnet.authentication.services=nts表示使用操作系统认证 将sqlnet.authentication.services=none表示禁用操作系统认证,操作系统验证和口令文件验证两个至少

7、保留一个验证方式， 如果禁用的操作系统验证，则必须保留口令文件 保留口令文件的设置： 系统参数： Remote_login_passwordfile=(exclusive|shared),系统允许口令文件验证,修改sqlnet.ora文件,不输入口令不允许了,使用用户名加密码可以登陆,禁用口令文件验证,如果禁用口令文件，则操作系统验证一定要开启 1、首先设定操作系统验证,2、将remote_login_passwordfile=none,设定该参数后，必须将实例关闭，然后启动，才会有效,启动实例后，参数发生变化,总结,操作系统认证的具体设置： 在sqlnet.ora文件下设置： Sqlnet.

8、authentication_services=nts Spfile(pfile)文件参数remote_login_passwordfile=none,本地操作系统用户可以登陆 远程SYSDBA不能登陆,口令文件设置： 再sqlnet.ora文件下设置： Sqlnet.authentication_services=none Spfile(pfile)文件参数remote_login_passwordfile=exclusive或shared,这时候需要配置pwdsid.ora,本地操作系统用户不能登陆 远程SYSDBA可以登陆,如果REMOTE_LOGIN_PASSWORDFILE=none

9、 且 SQLNET.AUTHENTICATION_SERVICES= none 这个时候数据库是无法登录的。,若Sqlnet.authentication_services=nts remote_login_passwordfile=exclusive OS认证优先于密码文件认证：只要OS用户属于OSDBA OR OROPER组，并且使用connect as sysdba / sysoper登录,则可以忽略输入的username/password.,该情况属于操作系统认证,操作系统用户可以登陆 远程SYSDBA可以登陆,在数据库没有启动之前，数据库内建用户是无法通过数据库来验证身份的口令文件中存放sysdba/sysoper用户的用户名及口令，允许用户通过口令文件验证，在数据库未启动之前登陆，从而启动数据库。 口令文件在数据库之外如果没有口令文件，在数据库未启动之前就只能通过操作系统认证.,Remote_login_password为静态参数，不能scope=both，只能修改文件，重新启动可以设置,操作系统认证,若remote_login_passwordfile=none 以操作系统认证后， Select * from v$pwfile_users;结果为空 当remot