Oracle 登录认证方式

certification_methods

certification_methods

Table of Contents

• 1. 简介
  • 1.1. sqlnet
  • 1.2. Remote_login_passwordfile
  • 1.3. 配合使用

1 简介

Oracle登录认证有两种方式，基于操作系统的登录认证，基于oracle的验证。

ORACLE数据库通过sqlnet.ora文件中的参数sqlnet.authentication_services,参数文件中的remote_login_passwordfile和口令文件pwdsid.ora三者协同作用实现身份认证.

1.1 sqlnet

Windows环境与Linux/Unix环境有区别：

Windows

• SQLNET.AUTHENTICATION_SERVICES= (NTS)是基于操作系统验证；
• SQLNET.AUTHENTICATION_SERVICES= (NONE)是基于Oracle验证；
• SQLNET.AUTHENTICATION_SERVICES= (NONE，NTS)是二者共存。
• SQLNET.AUTHENTICATION_SERVICES必须设置为NTS或者ALL才能使用OS认证；不设置或者设置为其他任何值都不能使用OS认证。

Linux/Unix

在linux下，在SQLNET.AUTHENTICATION_SERVICES的值设置为

• ALL或者不设置的情况下 为OS验证;
• NONE或者NTS，都是基于oracle密码验证的。

1.2 Remote_login_passwordfile

此参数有三个要选值 : NONE,EXCLUSIVE,SHARED

• NONE:不使用口令文件,操作系统认证;
• EXCLUSIVE:口令文件认证方式,但只有一个数据库实例可以使用此文件;
• SHARED:口令文件认证方式,可以有多个数据库实例可以使用此文件,但此设置下只有SYS帐号能被识别,即使文件中存在其他用户的信息,也不允许他们以SYSOPER/SYSDBA登录.

1.3 配合使用

1）操作系统认证 sqlnet.authentication_services=(NTS) 同时Remote_login_passwordfile=(NONE),此时为操作系统认证方式.

当以oracle_dba组下的用户登录进入本地的操作系统后,进行以下操作: sqlplus /nolog SQL>conn /as sysdba 可以以sysdba身份登录成功,进行数据库方面的操作. 当以远程进行登录时,执行: sqlplus /nolog SQL>conn / as sysdba 则会显示: ERROR:ORA-01031:insufficient privileges 即不允许以sysdba身份远程登录系统,这也是OS认证这所以称为本地认证方式的原因.

1. 密码文件认证

Sqlnet.authentication_services=(NONE),同时 Remote_login_passwordfile=(EXCLUSIVE)|(SHARED),配合口令文件PWDsid.ora,此时为口令文件认证方式: Cd $ORACLE_HOME/dbs 输入命令： orapwd file=orapwdora password=abc123 entries=10 ignorecase=n（修改sys口令） 参数 ignorecase 来实现 SYSDBA 口令的大小写区分，如下所示：

当在本地以oracle_dba组下的用户登录进入系统时,进行以下操作: SQL>conn / as sysdba 则会显示:

ERROR:ORA-01031:insufficient privileges  

在本地或远程进行下边的操作: sqlplus /nolog SQL>conn sys/密码@服务名as sysdba 可以进入系统,也就是说口令文件认证方式允许用户从本地或远程以sysdba身份登录,但必须提供口令字.

1. 操作系统认证与密码文件认证兼容

Sqlnet.authentication_services=(NTS),同时 Remote_login_passwordfile=(EXCLUSIVE)|(SHARED), 配合口令文件PWDsid.ora,此时为操作系统认证和口令文件认证同时起作用: 当在本地以oracle_dba组下的用户登录进入操作系统后,进行下边的操作: sqlplus /nolog SQL>conn / as sysdba 可以进入系统.即操作系统认证方式登录成功. 当在远程执行: sqlplus /nolog SQL>conn sys/密码@服务名as sysdba 同时可正常登录到数据库系统,即口令文件认证方式登录成功.

note

区分以下几种登录方式的区别

1: conn /as sysdba 本机登陆，使用操作系统认证，有无监听都可以

2: conn sys/password as sysdba 本机登陆，使用密码文件认证，有无监听都可以

3: conn sys/password@dbanote as sysdba 可以本机可以远程，使用密码文件认证，必须有监听，必须有tnsnames.ora,remote_login_passwordfile必须是EXCLUSIVE

Author: halberd.lee

Created: 2019-08-21 Wed 16:54

Validate