Oracle OS认证、口令文件、密码丢失处理

一、OS认证

1、OS认证介绍

Oracle安装之后默认情况下是启用了OS认证的，这里提到的OS认证是指服务器端OS认证。OS认证的意思是把登录数据库的用户和口令校验放在了操作系统一级。如果以安装Oracle时的用户登录OS，那么此时再登录Oracle数据库时不需要任何验证，如：

SQL> connect / as sysdba

已连接。

SQL> connect sys/system@abc as sysdba

已连接。

SQL> connect sys/bbb as sysdba

已连接。

SQL> connect aaa/bbb as sysdba

已连接。

SQL> show user;

USER 为 "SYS"

SQL>

不论输入什么用户（哪怕这个用户如aaa在数据库中根本不存在），只要以sysdba权限连接数据库，都可以连接上，并且连接用户是sys，这样很方便，有时候，如果忘记了数据库的密码，而又想登录数据库，可以通过这种方式，前提是在数据库服务器上。

 

2、OS认证相关参数

Oracle数据库通过如下3个参数来实现OS认证：

l   (1). sqlnet.ora中的SQLNET.AUTHENTICATION_SERVICES参数。

l   (2). PFILE(或SPFILE)文件中的REMOTE_LOGIN_PASSWORDFILE参数。

l   (3). 口令文件PWDsid.ora(Windows)或者orapwSID(linux，大小写敏感).

 

（1）、sqlnet.ora文件参数

文件位置：$ORACLE_HOME/network/admin/sqlnet.ora

SQLNET.AUTHENTICATION_SERVICES = (NTS)

参数可以有如下值：

SQLNET.AUTHENTICATION_SERVICES＝(NTS)|(NONE)

其中：

     (NTS):表示操作系统认证方式，不使用口令文件，默认值。

     (NONE):口令文件认证方式。

 

（2）、REMOTE_LOGIN_PASSWORDFILE参数

该参数可以有如下值：

REMOTE_LOGIN_PASSWORDFILE=’NONE’|’EXCLUSIVE’|’SHARED’

其中：

l   NONE：不使用密码文件登录，不允许远程用户用sys登录系统，可以在线修改sys的密码。

l   EXCLUSIVE：默认值。只允许一个数据库使用该密码文件，允许远程登录，允许非sys用户以sysdba身份管理数据库，可以在线修改sys的密码。在这种模式下，口令文件可以包含用于多个特许的Oracle账户的口令。这是推荐的操作模式，特别是在运行RMAN时，如果希望将RMAN与来自于远程客户端的数据库连接，则必须使用该参数设置。

l   SHARE：可以多个数据库使用密码文件。实际上是这样的：Oracle数据库在启动时，首先查找的是orapw<sid>的口令文件，如果该文件不存在，则开始查找orapw的口令文件。如果口令文件命名为orapw，多个数据库就可以共享，允许远程登录，只能用sys进行sysdba管理，可以在线修改sys的密码。在此设置下只有INTERNAL/SYS账号能被识别，即使文件中存有其它用户的信息，也不允许他们以SYSOPER/SYSDBA登录。

修改：

SQL> ALTER SYSTEM SET REMOTE_LOGIN_PASSWORDFILE=EXCLUSIVE SCOPE=SPFILE;

需要注意的是：这个参数不是动态参数，需要在数据库加载到mount状态下修改，另外改变以后需要重启数据库，参数的设置才能生效。

 

 

3、禁用OS认证

OS认证存在一定的安全隐患，可以屏蔽OS认证。

（1）、Windows下

在Windows下只要把$ORACLE_HOME/network/admin/sqlnet.ora中的SQLNET.AUTHENTICATION_SERVICES=(NTS)改成NONE或者注释掉这句话（前面加上#），就可以屏蔽OS功能，要想以sys用户连上数据库必须输入正确的sys口令，或者可以把Oracle的安装用户从组ora_dba中删除掉，当然也可以直接把ora_dba这个组也删除，都可以屏蔽os认证功能。

如：

SQL> connect / as sysdba

ERROR:

ORA-01031: 权限不足

 

警告: 您不再连接到 ORACLE。

SQL> connect sys/aaa as sysdba

ERROR:

ORA-01017: 用户名/口令无效; 登录被拒绝

 

SQL> connect aaa/bbb as sysdba

ERROR:

ORA-01031: 权限不足

 

SQL> connect sys/system as sysdba

已连接。

 

（2）、Linux/UNIX下

在文件sqlnet.ora中增加SQLNET.AUTHENTICATION_SERVICES=(NONE)以及删除dba（groupdel dba）组或者把oracle用户从dba组中删除都可以屏蔽os认证。

注意：使用这种屏蔽方法，系统管理员还是可以创建ora_dba or dba组以及修改sqlnet.ora文件。

 

 

二、口令文件

1、口令文件说明

Oracle的口令文件的作用是存放所有以sysdba或者sysoper权限连接数据库的用户的口令。如果想以sysdba权限远程连接数据库，必须使用口令文件，否则不能连上。由于sys用户在连接数据库时必须以sysdba or sysoper方式，也就是说sys用户要想连接数据库必须使用口令文件，因此我认为在数据库中存放sys用户的口令其实没有任何意义。使用口令文件的好处是即使数据库不处于open状态，依然可以通过口令文件验证来连接数据库。开始安装完oracle，没有给普通用户授予sysdba权限，口令文件中只存放了sys的口令，如果之后把sysdba权限授予了普通用户，那么此时会把普通用户的口令从数据库中读到口令文件中保存下来，当然这是必须要求数据库处于open状态。

 

2、查看具有sysdba权限的用户

可以通过查询v$pwfile_users视图来查看有几个用户被授予了sysdba或者sysoper权限，v$pwfile_users的信息就是来源于口令文件。

SQL> select * from v$pwfile_users;

USERNAME                       SYSDB SYSOP

------------------------------ ----- -----

SYS                            TRUE  TRUE

LXH                            TRUE  FALSE

USR1                           TRUE  TRUE

 

到底可以有几个用户被授予sysdba或者sysoper权限，是由创建口令文件时指定的entries数决定的，准确的说还不完全是，最终还和os block的大小有关，如果entries指定了5，一个os block可以存放8个用户的口令，那么可以有8个用户被授予sysdba或者sysoper。

注意：事实是口令多长，加密之后的长度几乎都是相同的。也就是说口令文件占用的大小和口令指定的长度几乎关系不大。

c:\>orapwd file=databasepwd.ora password=system entries=5

OPW-00005: 存在同名文件 - 请删除或重命名

c:\>orapwd file=databasepwd.ora password=system entries=5 force=y

创建口令文件需要注意的是=前后没有空格。在10g增加了一个新的参数force default值n，它的作用类似于创建表空间时的reuse功能，当同名文件存在时是否覆盖。

是否使用口令文件，由remote_login_passwordfile参数控制，这个参数在上面有说明。

 

3、口令文件格式

Windows下口令文件的格式是pwdsid.ora(大小写敏感)。

UNIX下的格式是orapwSID(大小写敏感)。

Oracle数据库在启动时，首先查找的是orapw<sid>的口令文件，如果该文件不存在，则开始查找orapw的口令文件，如果口令文件命名为orapw，多个数据库就可以共享。口令文件创建完后，数据库需要重启，新的口令文件才能生效。

 

4、sys/system密码丢失的处理方法

（1）、查询视图v$pwfile_users，记录下拥有sysoper/sysdba系统权限的用户信息。

（2）、关闭数据库

（3）、将密码文件重命名

（4）、用orapwd命令重建密码文件

orapwd file=/u01/app/oracle/product/10.2.0/db_1/dbs/orapworcl password=admin entries=5   force=y

（5）、将第一步查出来的用户添加到密码文件

grant sysdba,sysoper to user;





转载自Dave：http://blog.csdn.net/tianlesoftware/article/details/4698293