Oracle啟動報錯（ORA-01990，ORA-27037）處理方法

ZT oracle密碼檔案的使用和維護[@more@]

[ 執行資料庫啟動命令報錯 ]

SQL> startup
ORACLE instance started.
Total System Global Area 655854448 bytes
Fixed Size 732016 bytes
Variable Size 419430400 bytes
Database Buffers 234881024 bytes
Redo Buffers 811008 bytes
ORA-01990: error opening password file '/oracle/app/product/920/dbs/orapw'
ORA-27037: unable to obtain file status
SVR4 Error: 2: No such file or directory
Additional information: 3

[ 處理方法 ]

問題是因為密碼檔案丟失或被破壞等原因造成檔案不能訪問。

檢視命令orapwd語法：
$ orapwd
Usage: orapwd file= password= entries=
where
file - name of password file (mand),
password - password for SYS (mand),
entries - maximum number of distinct DBA and OPERs (opt),
There are no spaces around the equal-to (=) character.
檢視密碼檔案所在位置：
$ pwd
/oracle/app/product/920/dbs
在指定位置重建密碼檔案：
$ orapwd file=/oracle/app/product/920/dbs/orapw password=sys123 entries=10
使用sqlplus重新啟動oracle資料庫：
$ sqlplus /nolog
sql>conn / as sysdba
sql>startup

Oracle 資料庫密碼檔案的使用和維護

概要： Oracle 關聯式資料庫系統以其卓越的效能獲得了廣泛的應用，而保證資料庫的安全性是資料庫管理工作的重要內容。本文是筆者在總結 Oracle 資料庫安全管理工作的基礎上，對 Oracle 資料庫系統密碼檔案的建立、使用和維護作了詳細的介紹，供大家參考。

關鍵詞： Oracle 資料庫　密碼檔案

　　 在 Oracle 資料庫系統中，使用者如果要以特權使用者身份（ INTERNAL ／ SYSDBA ／ SYSOPER ）登入 Oracle 資料庫可以有兩種身份驗證的方法：即使用與作業系統整合的身份驗證或使用 Oracle 資料庫的密碼檔案進行身份驗證。因此，管理好密碼檔案，對於控制授權使用者從遠端或本機登入 Oracle 資料庫系統，執行資料庫管理工作，具有重要的意義。

Oracle 資料庫的密碼檔案存放有超級使用者 INTERNAL ／ SYS 的口令及其他特權使用者的使用者名稱／口令，它一般存放在 ORACLE_HOME ＼ DATABASE 目錄下。

　　一、 密碼檔案的建立：

　　 在使用 Oracle Instance Manager 建立一資料庫例項的時侯，在 ORACLE_HOME ＼ DATABASE 目錄下還自動建立了一個與之對應的密碼檔案，檔名為 PWDSID.ORA ，其中 SID 代表相應的 Oracle 資料庫系統識別符號。此密碼檔案是進行初始資料庫管理工作的基礎。在此之後，管理員也可以根據需要，使用工具 ORAPWD.EXE 手工建立密碼檔案，命令格式如下：
C: ＼ >ORAPWD FILE= ＜ FILENAME ＞　 PASSWORD = ＜ PASSWORD ＞ ENTRIES=< MAX_USERS >


　　 各命令引數的含義為：

FILENAME ：密碼檔名；

PASSWORD ：設定 INTERNAL ／ SYS 帳號的口令；

MAX_USERS ：密碼檔案中可以存放的最大使用者數，對應於允許以 SYSDBA ／ SYSOPER 許可權登入資料庫的最大使用者數。由於在以後的維護中，若使用者數超出了此限制，則需要重建密碼檔案，所以此引數可以根據需要設定得大一些。

　　 有了密碼檔案之後，需要設定初始化引數 REMOTE_LOGIN_PASSWORDFILE 來控制密碼檔案的使用狀態。

　　二、 設定初始化引數 REMOTE_LOGIN_PASSWORDFILE ：

　　 在 Oracle 資料庫例項的初始化引數檔案中，此引數控制著密碼檔案的使用及其狀態。它可以有以下幾個選項：

NONE ：指示 Oracle 系統不使用密碼檔案，特權使用者的登入透過作業系統進行身份驗證；

EXCLUSIVE ：指示只有一個資料庫例項可以使用此密碼檔案。只有在此設定下的密碼檔案可以包含有除 INTERNAL ／ SYS 以外的使用者資訊，即允許將系統許可權 SYSOPER ／ SYSDBA 授予除 INTERNAL ／ SYS 以外的其他使用者。

SHARED ：指示可有多個資料庫例項可以使用此密碼檔案。在此設定下只有 INTERNAL ／ SYS 帳號能被密碼檔案識別，即使檔案中存有其他使用者的資訊，也不允許他們以 SYSOPER ／ SYSDBA 的許可權登入。此設定為預設值。
---- 在 REMOTE_LOGIN_PASSWORDFILE 引數設定為 EXCLUSIVE 、 SHARED 情況下， Oracle 系統搜尋密碼檔案的次序為：在系統註冊庫中查詢 ORA_SID_PWFILE 引數值（它為密碼檔案的全路徑名）；若未找到，則查詢 ORA_PWFILE 引數值；若仍未找到，則使用預設值 %ORACLE_HOME% ＼ DATABASE ＼ PWDSID.ORA ；其中的 SID 代表相應的 Oracle 資料庫系統識別符號。
三、 向密碼檔案中增加、刪除使用者：

　　 當初始化引數 REMOTE_LOGIN_PASSWORDFILE 設定為 EXCLUSIVE 時，系統允許除 INTERNAL ／ SYS 以外的其他使用者以管理員身份從遠端或本機登入到 Oracle 資料庫系統，執行資料庫管理工作；這些使用者名稱必須存在於密碼檔案中，系統才能識別他們。由於不管是在建立資料庫例項時自動建立的密碼檔案，還是使用工具 ORAPWD.EXE 手工建立的密碼檔案，都只包含 INTERNAL ／ SYS 使用者的資訊；為此，在實際操作中，可能需要向密碼檔案新增或刪除其他使用者帳號。

　　 由於僅被授予 SYSOPER ／ SYSDBA 系統許可權的使用者才存在於密碼檔案中，所以當向某一使用者授予或收回 SYSOPER ／ SYSDBA 系統許可權時，他們的帳號也將相應地被加入到密碼檔案或從密碼檔案中刪除。由此，向密碼檔案中增加或刪除某一使用者，實際上也就是對某一使用者授予或收回 SYSOPER ／ SYSDBA 系統許可權。

　　 要進行此項授權操作，需使用 SYSDBA 許可權（或 INTERNAL 帳號）連入資料庫，且初始化引數 REMOTE_LOGIN_PASSWORDFILE 的設定必須為 EXCLUSIVE 。具體操作步驟如下：

　　 建立相應的密碼檔案；

　　 設定初始化引數 REMOTE_LOGIN_PASSWORDFILE ＝ EXCLUSIVE ；

　　 使用 SYSDBA 許可權登入：
CONNECT SYS ／ internal_user_passsword AS SYSDBA ；


　　 啟動資料庫例項並開啟資料庫；

　　 建立相應使用者帳號，對其授權（包括 SYSOPER 和 SYSDBA ）：
　　 授予許可權： GRANT SYSDBA TO user_name ；
　　 收回許可權： REVOKE SYSDBA FROM user_name ；

　　 現在這些使用者可以以管理員身份登入資料庫系統了；

　　四、 使用密碼檔案登入：

　　 有了密碼檔案後，使用者就可以使用密碼檔案以 SYSOPER ／ SYSDBA 許可權登入 Oracle 資料庫例項了，注意初始化引數 REMOTE_LOGIN_PASSWORDFILE 應設定為 EXCLUSIVE 或 SHARED 。任何使用者以 SYSOPER ／ SYSDBA 的許可權登入後，將位於 SYS 使用者的 Schema 之下，以下為兩個登入的例子：

1. 以管理員身份登入：

　　 假設使用者 scott 已被授予 SYSDBA 許可權，則他可以使用以下命令登入：
CONNECT scott ／ tiger AS SYSDBA


2. 以 INTERNAL 身份登入：
CONNECT INTERNAL ／ INTERNAL_PASSWORD
五、密碼檔案的維護：

1. 檢視密碼檔案中的成員：

　　 可以透過查詢檢視 V$PWFILE_USERS 來獲取擁有 SYSOPER ／ SYSDBA 系統許可權的使用者的資訊，表中 SYSOPER ／ SYSDBA 列的取值 TRUE ／ FALSE 表示此使用者是否擁有相應的許可權。這些使用者也就是相應地存在於密碼檔案中的成員。

2. 擴充套件密碼檔案的使用者數量：

　　 當向密碼檔案新增的帳號數目超過建立密碼檔案時所定的限制（即 ORAPWD.EXE 工具的 MAX_USERS 引數）時，為擴充套件密碼檔案的使用者數限制，需重建密碼檔案，具體步驟如下：

a) 查詢檢視 V$PWFILE_USERS ，記錄下擁有 SYSOPER ／ SYSDBA 系統許可權的使用者資訊；

b) 關閉資料庫；

c) 刪除密碼檔案；

d) 用 ORAPWD.EXE 新建一密碼檔案；

e) 將步驟 a 中獲取的使用者新增到密碼檔案中。

3. 修改密碼檔案的狀態：

　　 密碼檔案的狀態資訊存放於此檔案中，當它被建立時，它的預設狀態為 SHARED 。可以透過改變初始化引數 REMOTE_LOGIN_PASSWORDFILE 的設定改變密碼檔案的狀態。當啟動資料庫事例時， Oracle 系統從初始化引數檔案中讀取 REMOTE_LOGIN_PASSWORDFILE 引數的設定；當載入資料庫時，系統將此引數與口令檔案的狀態進行比較，如果不同，則更新密碼檔案的狀態。若計劃允許從多臺客戶機上啟動資料庫例項，由於各客戶機上必須有初始化引數檔案，所以應確保各客戶機上的初始化引數檔案的一致性，以避免意外地改變了密碼檔案的狀態，造成資料庫登陸的失敗。

4. 修改密碼檔案的儲存位置：

　　 密碼檔案的存放位置可以根據需要進行移動，但作此修改後，應相應修改系統註冊庫有關指向密碼檔案存放位置的引數或環境變數的設定。

5. 刪除密碼檔案：

　　 在刪除密碼檔案前 , 應確保當前執行的各資料庫例項的初始化引數 REMOTE_LOGIN_PASSWORDFILE 皆設定為 NONE 。在刪除密碼檔案後，若想要以管理員身份連入資料庫的話，則必須使用作業系統驗證的方法進行登入。