Oracle中超級使用者許可權的管理
阿新 • • 發佈:2019-01-29
Oracle 的使用者根據所被授予的許可權分為系統許可權和物件許可權。其中最高的許可權是sysdba。 Sysdba具有控制Oracle一切行為的特權,諸如建立、啟動、關閉、恢復資料庫,使資料庫歸檔/非歸檔,備份表空間等關鍵性的動作只能通過具有sysdba許可權的使用者來執行。這些任務即使是普通DBA角色也不行。Sysoper是一個與sysdba相似的許可權,只不過比sysdba少了SYSOPER privileges WITH ADMIN OPTION,CREATE DATABASE,RECOVER DATABASE UNTIL這幾個許可權而已。這兩者的認證方式是相同的辦法,所以下面只介紹sysdba的認證管理。
一般對sysdba的管理有兩種方式: *** 作系統認證和密碼檔案認證。具體選擇那一種認證方式取決於:你是想在Oracle執行的機器上維護資料庫,還是在一臺機器上管理分佈於不同機器上的所有的Oracle資料庫。若選擇在本機維護資料庫,則選擇 *** 作系統認證可能是一個簡單易行的辦法;若有好多資料庫,想進行集中管理,則可以選擇password檔案認證方式。
下圖比較直觀的說明了這個選擇權衡過程:
使用 *** 作系統認證方式的配置過程:
1. 在 *** 作系統中建立一個合法帳戶。
具體來說,在NT上,首先建立一個本地使用者組,取名為ORA_<SID>_DBA,其中SID為該資料庫例項的SID,或者建立一個ORA_DBA地組,該組不對應於任何一個單獨的Oracle例項。這樣當一個NT上有好幾個Oracle例項時,不用分別管理。然後再NT上建立一個使用者,並且把它歸入該組中。但是實際上這兩步在Oracle8I安裝過程中已經自動完成了,一般不用手動進行。
第三步:在sqlnet.ora(位於$ORACLE_HOME/NETWORK/ADMIN目錄中)中,把SQLNET.AUTHENTICATION _ SERVICES 設定為SQLNET.AUTHENTICATION_SERVICES= (NTS),意思為使用NT認證方式。
第四步,在INIT<SID>.ORA中,把REMOTE_LOGIN_PASSWORD設定為NONE,意思是不用password認證方式。
完成以上步驟後,就可以在登入到NT後,直接在SQL*Plus 和SERVER MANAGER中CONNECT INTERNAL (CONNECT / AS SYSDBA)來作為超級使用者登入到Oracle中,執行一些只有超級使用者才能進行的 *** 作。
在Unix下,情況有些不同。畢竟這是兩個完全不同的 *** 作系統。
首先,在安裝Oracle之前,建立一個DBA組,這一步不用說了,不然是裝不上Oracle的。一般還建立一個名為Oracle的使用者,並把它加入到DBA組中。
第二步, 設定REMOTE_LOGIN_PASSWORD為NONE。在Oracle8.1以後,該引數預設為EXCLUSIVE。一定要記得改過來。
第三步, 用該使用者名稱登入Unix,執行SQL*Plus 或者SERVER MANAGER,輸入以下命令:CONNECT INTERNAL (CONNECT / AS SYSDBA)來登入到Oracle中。
使用password檔案認證的具體步驟:
Oracle提供orapwd實用程式來建立password 檔案,運用orapwd建立該認證方式的具體步驟如下:
1. 使用Orapwd實用程式來建立一個PASSWORD檔案。語法:
orapwd file=檔名 password=internal使用者密碼 entried=entries.
詳細解釋:
檔名要包含完整的全路徑名,如果不指定,Oracle把它預設放置$ORACLE_HOME/dbs(Unix下)或者$ORACLE_HOME/DATABASE(NT下)下。
使用者密碼是使用者internal的密碼。當然後來還可以再向裡邊加入別的超級使用者。
Entries表示最大允許有的超級使用者數目。這個是一個可選的。前兩者是必須指定的。一般會把它設定的比實際需要大一些,以免不夠。
2. 把INIT<SID>.ORA中REMOTE_LOGIN_PASSWORD設定為EXCLUSIVE 或SHARED.使用EXCLUSIVE表示只有當前INSTANCE使用這個password檔案。而且允許有別的使用者作為sysdba登入進系統裡邊,而若選擇了SHARED,則表明不止一個例項使用這個密碼檔案,伴隨著一個很強的約束:sysdba許可權只能授予sys和internal這兩個使用者名稱。(其實internal不是一個實際使用者,而只是sys作為sysdba登入時的一個別名。)
同時還要記得把sqlnet.ora檔案中SQLNET.AUTHENTICATION _SERVICES設定為NONE。一般在Unix下它是預設設定。在NT下,若選擇典型安裝時,會使用OS認證,而自定義時會使用密碼檔案認證方式。在安裝過程中會提示輸入INTERNAL密碼。這樣的話,就不用在手工建立密碼檔案和設定INTERNAL的密碼了。
3. 用SQL*Plus 或SERVER MANAGER執行下面命令登入進系統:CONNECT INTERNAL/密碼。
注意點:
1.在Oracle8.1.6安裝在WIN2000下建立資料庫時,常常會發生憑證檢索失敗的錯誤。這是由於Oracle不能應用OS認證的結果。一般可以通過修改sqlnet.ora中SQLNET.AUTHENTICATION _SERVICES為NONE來解決。這時,Oracle將採用密碼檔案認證方式。
2.由於Oracle有幾個系統預建的使用者,所以最好在安裝完成以後馬上改變這些使用者的密碼。系統預設得密碼分別為:internal/oracle , sys/change_on_install, system/manager.
3.當選擇密碼檔案認證方式時,可以再向系統中加入其他超級使用者。比如用以下語句把使用者SCOTT加入超級使用者之中:(由具有sysdba許可權的人執行)
SQL>GRANT SYSDBA TO SCOTT;這樣SCOTT使用者就具有了sysdba許可權。注意,此時SCOTT使用者可以以兩種身份登入:SCOTT , SYS.當SCOTT在登入時沒有輸入AS SYSDBA時,SCOTT是作為普通使用者登入的。而當登入時輸入了AS SYSDBA時,此時SCOTT登入進去的使用者實際上為sys。這可以從下圖觀察:
4. 當前系統中的具有sysdba許可權的使用者名稱可以從資料字典檢視v$pwfile_user中查詢得到:
SELECT * FROM V$PWFILE_USERS; 如上圖所示。
5. 系統中最大的具有sysdba許可權的使用者數由建立密碼檔案時的ENTRIES引數決定。當需要建立更多的具有sysdba許可權的使用者時,就需要刪除原有的密碼檔案,重新建立一個。這需要關閉資料庫,刪除密碼檔案,重新建立一個新的密碼檔案,在entries中輸入足夠大的數目。再啟動Oracle。這時,所有原來北授權的超級使用者都不再存在,需要重新授權。所以在重新建立密碼檔案前,先要查詢該檢視,記下使用者名稱,再在建立完密碼檔案後重新授權。
6. Internal使用者密碼忘記的處理方法:
有兩種辦法:
1. ALTER USER SYS IDENTIFIED BY 新密碼;//這同時也改變了Internal的密碼,在Oracle8I中通過
2. 重新建立一個新的密碼檔案,指定一個新的密碼。
一般對sysdba的管理有兩種方式: *** 作系統認證和密碼檔案認證。具體選擇那一種認證方式取決於:你是想在Oracle執行的機器上維護資料庫,還是在一臺機器上管理分佈於不同機器上的所有的Oracle資料庫。若選擇在本機維護資料庫,則選擇 *** 作系統認證可能是一個簡單易行的辦法;若有好多資料庫,想進行集中管理,則可以選擇password檔案認證方式。
下圖比較直觀的說明了這個選擇權衡過程:
使用 *** 作系統認證方式的配置過程:
1. 在 *** 作系統中建立一個合法帳戶。
具體來說,在NT上,首先建立一個本地使用者組,取名為ORA_<SID>_DBA,其中SID為該資料庫例項的SID,或者建立一個ORA_DBA地組,該組不對應於任何一個單獨的Oracle例項。這樣當一個NT上有好幾個Oracle例項時,不用分別管理。然後再NT上建立一個使用者,並且把它歸入該組中。但是實際上這兩步在Oracle8I安裝過程中已經自動完成了,一般不用手動進行。
第三步:在sqlnet.ora(位於$ORACLE_HOME/NETWORK/ADMIN目錄中)中,把SQLNET.AUTHENTICATION _ SERVICES 設定為SQLNET.AUTHENTICATION_SERVICES= (NTS),意思為使用NT認證方式。
第四步,在INIT<SID>.ORA中,把REMOTE_LOGIN_PASSWORD設定為NONE,意思是不用password認證方式。
完成以上步驟後,就可以在登入到NT後,直接在SQL*Plus 和SERVER MANAGER中CONNECT INTERNAL (CONNECT / AS SYSDBA)來作為超級使用者登入到Oracle中,執行一些只有超級使用者才能進行的 *** 作。
在Unix下,情況有些不同。畢竟這是兩個完全不同的 *** 作系統。
首先,在安裝Oracle之前,建立一個DBA組,這一步不用說了,不然是裝不上Oracle的。一般還建立一個名為Oracle的使用者,並把它加入到DBA組中。
第二步, 設定REMOTE_LOGIN_PASSWORD為NONE。在Oracle8.1以後,該引數預設為EXCLUSIVE。一定要記得改過來。
第三步, 用該使用者名稱登入Unix,執行SQL*Plus 或者SERVER MANAGER,輸入以下命令:CONNECT INTERNAL (CONNECT / AS SYSDBA)來登入到Oracle中。
使用password檔案認證的具體步驟:
Oracle提供orapwd實用程式來建立password 檔案,運用orapwd建立該認證方式的具體步驟如下:
1. 使用Orapwd實用程式來建立一個PASSWORD檔案。語法:
orapwd file=檔名 password=internal使用者密碼 entried=entries.
詳細解釋:
檔名要包含完整的全路徑名,如果不指定,Oracle把它預設放置$ORACLE_HOME/dbs(Unix下)或者$ORACLE_HOME/DATABASE(NT下)下。
使用者密碼是使用者internal的密碼。當然後來還可以再向裡邊加入別的超級使用者。
Entries表示最大允許有的超級使用者數目。這個是一個可選的。前兩者是必須指定的。一般會把它設定的比實際需要大一些,以免不夠。
2. 把INIT<SID>.ORA中REMOTE_LOGIN_PASSWORD設定為EXCLUSIVE 或SHARED.使用EXCLUSIVE表示只有當前INSTANCE使用這個password檔案。而且允許有別的使用者作為sysdba登入進系統裡邊,而若選擇了SHARED,則表明不止一個例項使用這個密碼檔案,伴隨著一個很強的約束:sysdba許可權只能授予sys和internal這兩個使用者名稱。(其實internal不是一個實際使用者,而只是sys作為sysdba登入時的一個別名。)
同時還要記得把sqlnet.ora檔案中SQLNET.AUTHENTICATION _SERVICES設定為NONE。一般在Unix下它是預設設定。在NT下,若選擇典型安裝時,會使用OS認證,而自定義時會使用密碼檔案認證方式。在安裝過程中會提示輸入INTERNAL密碼。這樣的話,就不用在手工建立密碼檔案和設定INTERNAL的密碼了。
3. 用SQL*Plus 或SERVER MANAGER執行下面命令登入進系統:CONNECT INTERNAL/密碼。
注意點:
1.在Oracle8.1.6安裝在WIN2000下建立資料庫時,常常會發生憑證檢索失敗的錯誤。這是由於Oracle不能應用OS認證的結果。一般可以通過修改sqlnet.ora中SQLNET.AUTHENTICATION _SERVICES為NONE來解決。這時,Oracle將採用密碼檔案認證方式。
2.由於Oracle有幾個系統預建的使用者,所以最好在安裝完成以後馬上改變這些使用者的密碼。系統預設得密碼分別為:internal/oracle , sys/change_on_install, system/manager.
3.當選擇密碼檔案認證方式時,可以再向系統中加入其他超級使用者。比如用以下語句把使用者SCOTT加入超級使用者之中:(由具有sysdba許可權的人執行)
SQL>GRANT SYSDBA TO SCOTT;這樣SCOTT使用者就具有了sysdba許可權。注意,此時SCOTT使用者可以以兩種身份登入:SCOTT , SYS.當SCOTT在登入時沒有輸入AS SYSDBA時,SCOTT是作為普通使用者登入的。而當登入時輸入了AS SYSDBA時,此時SCOTT登入進去的使用者實際上為sys。這可以從下圖觀察:
4. 當前系統中的具有sysdba許可權的使用者名稱可以從資料字典檢視v$pwfile_user中查詢得到:
SELECT * FROM V$PWFILE_USERS; 如上圖所示。
5. 系統中最大的具有sysdba許可權的使用者數由建立密碼檔案時的ENTRIES引數決定。當需要建立更多的具有sysdba許可權的使用者時,就需要刪除原有的密碼檔案,重新建立一個。這需要關閉資料庫,刪除密碼檔案,重新建立一個新的密碼檔案,在entries中輸入足夠大的數目。再啟動Oracle。這時,所有原來北授權的超級使用者都不再存在,需要重新授權。所以在重新建立密碼檔案前,先要查詢該檢視,記下使用者名稱,再在建立完密碼檔案後重新授權。
6. Internal使用者密碼忘記的處理方法:
有兩種辦法:
1. ALTER USER SYS IDENTIFIED BY 新密碼;//這同時也改變了Internal的密碼,在Oracle8I中通過
2. 重新建立一個新的密碼檔案,指定一個新的密碼。