Oralce两种认证方式的总结
ORACLE
数据库通过
sqlnet.ora
文件中的参数
sqlnet.authentication_services,
参数文件中的
remote_login_passwordfile
和口令文件
pwdsid.ora
三者协同作用实现身份认证
.
Sqlnet.authentication_services=(NTS)|(NONE)
NTS: 操作系统认证方式 , 不使用口令文件 ;
NONE: 口令文件认证方式
Remote_login_passwordfile=(NONE)|(EXCLUSIVE)|(SHARED)
NONE: 不使用口令文件 , 操作系统认证 ;
EXCLUSIVE: 口令文件认证方式 , 但只有一个数据库实例可以使用此文件 ;
SHARED: 口令文件认证方式 , 可以有多个数据库实例可以使用此文件 , 但此设置下只有 SYS 帐号能被识别 , 即使文件中存在其他用户的信息 , 也不允许他们以 SYSOPER/SYSDBA 登录 .
(1).sqlnet.authentication_services=(NTS)
同时 Remote_login_passwordfile=(NONE), 此时为操作系统认证方式 .
当以 oracle_dba 组下的用户登录进入本地的操作系统后 , 进行以下操作 :
sqlplus /nolog
SQL>conn / as sysdba
可以以 sysdba 身份登录成功 , 进行数据库方面的操作 .
当以远程进行登录时 , 执行 :
sqlplus /nolog
SQL>conn / as sysdba
则会显示 :
ERROR:ORA-01031:insufficient privileges
即不允许以 sysdba 身份远程登录系统 , 这也是 OS 认证这所以称为本地认证方式的原因 .
(2).Sqlnet.authentication_services=(NONE), 同时
Remote_login_passwordfile=(EXCLUSIVE)|(SHARED), 配合口令文件 PWDsid.ora, 此时为口令文件认证方式 :
当在本地以 oracle_dba 组下的用户登录进入系统时 , 进行以下操作 :
sqlplus /nolog
SQL>conn / as sysdba
则会显示 :
ERROR:ORA-01031:insufficient privileges
在本地或远程进行下边的操作 :
sqlplus /nolog
SQL>conn sys/ 密码 @ 服务名 as sysdba
可以进入系统 , 也就是说口令文件认证方式允许用户从本地或远程以 sysdba 身份登录 , 但必须提供口令字 .
(3).Sqlnet.authentication_services=(NTS), 同时
Remote_login_passwordfile=(EXCLUSIVE)|(SHARED), 配合口令文件 PWDsid.ora, 此时为操作系统认证和口令文件认证同时起作用 :
当在本地以 oracle_dba 组下的用户登录进入操作系统后 , 进行下边的操作 :
sqlplus /nolog
SQL>conn / as sysdba
可以进入系统 . 即操作系统认证方式登录成功 .
当在远程执行 :
sqlplus /nolog
SQL>conn sys/ 密码 @ 服务名 as sysdba
同时可正常登录到数据库系统 , 即口令文件认证方式登录成功 .
Sqlnet.authentication_services=(NTS)|(NONE)
NTS: 操作系统认证方式 , 不使用口令文件 ;
NONE: 口令文件认证方式
Remote_login_passwordfile=(NONE)|(EXCLUSIVE)|(SHARED)
NONE: 不使用口令文件 , 操作系统认证 ;
EXCLUSIVE: 口令文件认证方式 , 但只有一个数据库实例可以使用此文件 ;
SHARED: 口令文件认证方式 , 可以有多个数据库实例可以使用此文件 , 但此设置下只有 SYS 帐号能被识别 , 即使文件中存在其他用户的信息 , 也不允许他们以 SYSOPER/SYSDBA 登录 .
(1).sqlnet.authentication_services=(NTS)
同时 Remote_login_passwordfile=(NONE), 此时为操作系统认证方式 .
当以 oracle_dba 组下的用户登录进入本地的操作系统后 , 进行以下操作 :
sqlplus /nolog
SQL>conn / as sysdba
可以以 sysdba 身份登录成功 , 进行数据库方面的操作 .
当以远程进行登录时 , 执行 :
sqlplus /nolog
SQL>conn / as sysdba
则会显示 :
ERROR:ORA-01031:insufficient privileges
即不允许以 sysdba 身份远程登录系统 , 这也是 OS 认证这所以称为本地认证方式的原因 .
(2).Sqlnet.authentication_services=(NONE), 同时
Remote_login_passwordfile=(EXCLUSIVE)|(SHARED), 配合口令文件 PWDsid.ora, 此时为口令文件认证方式 :
当在本地以 oracle_dba 组下的用户登录进入系统时 , 进行以下操作 :
sqlplus /nolog
SQL>conn / as sysdba
则会显示 :
ERROR:ORA-01031:insufficient privileges
在本地或远程进行下边的操作 :
sqlplus /nolog
SQL>conn sys/ 密码 @ 服务名 as sysdba
可以进入系统 , 也就是说口令文件认证方式允许用户从本地或远程以 sysdba 身份登录 , 但必须提供口令字 .
(3).Sqlnet.authentication_services=(NTS), 同时
Remote_login_passwordfile=(EXCLUSIVE)|(SHARED), 配合口令文件 PWDsid.ora, 此时为操作系统认证和口令文件认证同时起作用 :
当在本地以 oracle_dba 组下的用户登录进入操作系统后 , 进行下边的操作 :
sqlplus /nolog
SQL>conn / as sysdba
可以进入系统 . 即操作系统认证方式登录成功 .
当在远程执行 :
sqlplus /nolog
SQL>conn sys/ 密码 @ 服务名 as sysdba
同时可正常登录到数据库系统 , 即口令文件认证方式登录成功 .
附:
要知道以下几种登陆方式不是一种概念
sqlplus /nolog
1: conn / as sysdba 本机登陆,使用操作系统认证,有无监听都可以
2: conn sys/password as sysdba 本机登陆,使用密码文件认证,有无监听都可以
3: conn sys/password@dbanote as sysdba 可以本机可以远程,使用密码文件认证,必须有监听,必须有 tnsnames.ora,remote_login_passwordfile 必须是 EXCLUSIVE
sqlplus /nolog
1: conn / as sysdba 本机登陆,使用操作系统认证,有无监听都可以
2: conn sys/password as sysdba 本机登陆,使用密码文件认证,有无监听都可以
3: conn sys/password@dbanote as sysdba 可以本机可以远程,使用密码文件认证,必须有监听,必须有 tnsnames.ora,remote_login_passwordfile 必须是 EXCLUSIVE
说明:
从oracle的解释可以知道,SQLNET.AUTHENTICATION_SERVICES=(NTS)是WINDOWS系统专用的,对linux/UNIX是不适用的。
最后做一个简单的总结:
1、在windows下,SQLNET.AUTHENTICATION_SERVICES必须设置为NTS或者ALL才能使用OS认证;不设置或者设置为其他任何值都不能使用OS认证。
2、在linux下,在SQLNET.AUTHENTICATION_SERVICES的值设置为ALL,或者不设置的情况下,OS验证才能成功;设置为其他任何值都不能使用OS认证。
注释掉后,windows中的管理客户端无法使用sys 或者 system帐号登录,取消注释后可以登录。