一， 實施目的

瞭解密碼檔案的相關資訊

二， 實施環境

Item	System
Platform	OEL5.4
Hostname	Node1
Database	Oracle 11.2.0.1
Character Set	Zhs16gbk
ORACLE_SID	test
Listener Name/Port	LISTENER/1521

三， 實施步驟

一，資料庫管理員的身份驗證方式

1，遠端登陸作業系統，以作業系統認證的方式獲得sysdba許可權登陸資料庫

2，透過密碼檔案，獲得sysdba許可權登陸資料庫

資料庫管理員能夠執行普通資料庫使用者不該執行的特殊操作（例如啟動或關閉資料庫）。Oracle 為資料庫管理員使用者提供更為安全的身份驗證方式

圖 20-1 資料庫管理員身份驗證方式

圖 20-1 展示了本地資料庫管理員及遠端資料庫管理員的身份驗證流程圖。

對於遠端資料庫管理員：首先確定其是否具備安全連線。如果“否”，則使用密碼檔案進行身份驗證。如果“是”，則可選擇是否使用作業系統身份驗證。如果“是”，則使用作業系統身份驗證。如果“否”，則使用密碼檔案進行身份驗證。

對於本地資料庫管理員：選擇是否使用作業系統身份驗證。如果“是”，則使用作業系統身份驗證。如果“否”，則使用密碼檔案進行身份驗證。

透過作業系統對資料庫管理員進行身份驗證時，通常需要將作業系統使用者名稱放入特殊的使用者組，或賦予此使用者特殊的許可權（在 UNIX 系統上，使用者組名為 dba）。

Oracle 資料庫在密碼檔案（password file）中記錄被授予了 SYSDBA 及 SYSOPER 許可權的資料庫使用者，這些許可權能夠執行以下操作：

· 具備 SYSOPER 許可權的資料庫管理員能夠執行 STARTUP，SHUTDOWN，ALTER DATABASE OPEN/MOUNT，ALTER DATABASE BACKUP，ARCHIVE LOG，及 RECOVER 命令，並具備 RESTRICTED SESSION 許可權。

· 具備 SYSDBA 許可權的資料庫管理員擁有所有系統許可權（system privilege）及許可權的 ADMIN OPTION 選項，還擁有 SYSOPER 所擁有的全部系統許可權。此外，能夠執行 CREATE DATABASE 命令，並能夠執行基於時間的恢復操作（time-based recovery）。

二，密碼檔案相關資訊

密碼檔案的模式

SQL> show parameter remote

NAME TYPE VALUE

------------------------------------ ----------- ------------------------------

remote_dependencies_mode string TIMESTAMP

remote_listener string

remote_login_passwordfile string EXCLUSIVE

remote_os_authent boolean FALSE

remote_os_roles boolean FALSE

result_cache_remote_expiration integer 0

注：Exclusive 模式指的是可以向除了sys和sysoper以外的使用者授予sysdba許可權

2，透過密碼檔案的方式客戶端以sysdba許可權遠端登陸資料庫

建立密碼檔案

[oracle@node1 dbs]$ orapwd file=orapwtest password=beijing entries=3

[oracle@node1 dbs]$ ls

hc_DBUA0.dat init.ora orapwtest peshm_test_0

hc_test.dat lkTEST peshm_DBUA0_0 spfiletest.ora

[oracle@node1 dbs]$

客戶端以sys使用者登入

3，普通使用者以sysdba許可權登陸使用者

由於scott使用者沒有sysdba許可權，所以沒辦法登陸。

可以向scott使用者授予sysdba許可權，即在密碼檔案中新增了scott使用者

SQL> grant sysdba to scott;

Grant succeeded.

注：使用scott使用者的賬號和密碼遠端登陸到資料庫也可以獲得sysdba許可權

回收scott使用者的sysdba許可權

SQL> revoke sysdba from scott;

Revoke succeeded.

注：回收許可權以後scott使用者無法以sysdba許可權登陸資料庫

密碼檔案資訊總結

相關文章