oracle登陆认证方式
现象:
C:\>sqlplus "/as sysdba"
SQL*Plus:Release 10.2.0.1.0 - Production on Fri Nov 2 16:16:22 2007
Copyright (c) 1982, 2005, Oracle. All right reserved.
ERROR:
ORA-01031: insufficient privileges
Enter user-name:
这个错误一般是由于oracle登录认证出现了问题:
Oracle登录认证有两种方式,基于操作系统的登录认证,基于oracle的验证。
可以通过改变sqlnet.ora文件,可以修改oracle登录认证方式:
IXDBA.NET技术社区SQLNET.AUTHENTICATION_SERVICES= (NTS)是基于操作系统验证;SQLNET.AUTHENTICATION_SERVICES= (NONE)是基于Oracle验证;SQLNET.AUTHENTICATION_SERVICES= (NONE,NTS)是二者共存。
经过测试,以上规则只适用于windows服务器,在linux下规则如下:
默认情况下linux下的oracle数据库sqlnet.ora文件没有SQLNET.AUTHENTICATION_SERVICES参数,此时是基于操作系统认证和oracle密码验证共存的,加上SQLNET.AUTHENTICATION_SERVICES参数后,不管SQLNET.AUTHENTICATION_SERVICES设置为NONE或者NTS,都是基于oracle密码验证的。
Windows下设置oracle登录验证为操作系统验证方式的方法:
1 :把 os 用户加到 ora_dba 组2 :设置 sqlnet.ora SQLNET.AUTHENTICATION_SERVICES = (NTS)
或者你可以重建口令文件来改密码,只不过原来授予 sysdba 和 sysoper 权限的用户,就不再具有这 2 个权限了。
有一种oracle的登录方式是操作系统验证登录方式,即常说的OS验证登录方式,在SQL server中也有这种方式。
当用Windows的管理员帐户登陆系统后登陆数据库,只要加上 as sysdba,不管用什么用户名和密码登陆,都正确,因为这时系统已经忽略了/ 两边的用户名和密码,默认就是sys用户。
有些朋友经常使用connect / as sysdba登录,但不知道为什么没有提供用户名和密码就得到了sysdba的权限。还认为这样是不是不安全呢?
Oracle在常见的多用户操作系统上都可以进行OS认证方式来登录。例如solaris,windows等等。
下面以常见的windows操作系统来说明看一下这个操作系统认证方式登录的原理。如果你的机器可以使用connect / as sysdba获取sysdba的权限,那么下面的每一个过程你的机器上都会得到验证,如果不能,按照下面的操作更改后,你也能以这种方式登录。
- 在命令行下敲入compmgmt.msc 进入计算机管理
- 选择本地用户和组—>组
- 看是不是有一个组的名字叫做ORA_DBA
- 双击改组可以看到里面是不是有administrator用户
- 想一想你是不是以administrator用户登录的呢?
- 再进入Oracle安装目录(即$ORACLE_HOME 一般是D:"oracle)"ora92"network"admin 找到sqlnet.ora文件看看里面的是不是有SQLNET.AUTHENTICATION_SERVICES= (NTS)
- 如果这些都对的话,你就能已操作系统认证的方式(connect / as sysdba)来登录Oracle
接下来的问题是,如果你的数据很重要,出于安全考虑,希望禁止这种操作系统认证的方式。那么该怎么做呢?
很简单,找到在刚才的第6步骤中的sqlnet.ora文件,将SQLNET.AUTHENTICATION_SERVICES= (NTS)改为SQLNET.AUTHENTICATION_SERVICES=none即可。你再试一下看看会不会得到到如下结果:
ERROR:
ORA-01031: insufficient privileges
警告: 您不再连接到 ORACLE。
如果你的机器不能以系统认证的方式登录,检查以上几个步骤,你总可以找到原因的。
oracle两种认证方式总结
Sqlnet.authentication_services=(NTS)|(NONE)
NTS: 操作系统认证方式 , 不使用口令文件 ;
NONE: 口令文件认证方式
Remote_login_passwordfile=(NONE)|(EXCLUSIVE)|(SHARED)
NONE: 不使用口令文件 , 操作系统认证 ;
EXCLUSIVE: 口令文件认证方式 , 但只有一个数据库实例可以使用此文件 ;
SHARED: 口令文件认证方式 , 可以有多个数据库实例可以使用此文件 , 但此设置下只有 SYS 帐号能被识别 , 即使文件中存在其他用户的信息 , 也不允许他们以 SYSOPER/SYSDBA 登录 .
(1).sqlnet.authentication_services=(NTS)
同时 Remote_login_passwordfile=(NONE), 此时为操作系统认证方式 .
当以 oracle_dba 组下的用户登录进入本地的操作系统后 , 进行以下操作 :
sqlplus /nolog
SQL>conn /assysdba
可以以 sysdba 身份登录成功 , 进行数据库方面的操作 .
当以远程进行登录时 , 执行 :
sqlplus /nolog
SQL>conn /assysdba
则会显示 :
ERROR:ORA-01031:insufficient privileges
即不允许以 sysdba 身份远程登录系统 , 这也是 OS 认证这所以称为本地认证方式的原因 .
(2).Sqlnet.authentication_services=(NONE), 同时
Remote_login_passwordfile=(EXCLUSIVE)|(SHARED), 配合口令文件 PWDsid.ora, 此时为口令文件认证方式 :
当在本地以 oracle_dba 组下的用户登录进入系统时 , 进行以下操作 :
sqlplus /nolog
SQL>conn /assysdba
则会显示 :
ERROR:ORA-01031:insufficient privileges
在本地或远程进行下边的操作 :
sqlplus /nolog
SQL>conn sys/ 密码 @ 服务名 assysdba
可以进入系统 , 也就是说口令文件认证方式允许用户从本地或远程以 sysdba 身份登录 , 但必须提供口令字 .
(3).Sqlnet.authentication_services=(NTS), 同时
Remote_login_passwordfile=(EXCLUSIVE)|(SHARED), 配合口令文件 PWDsid.ora, 此时为操作系统认证和口令文件认证同时起作用 :
当在本地以 oracle_dba 组下的用户登录进入操作系统后 , 进行下边的操作 :
sqlplus /nolog
SQL>conn /assysdba
可以进入系统 . 即操作系统认证方式登录成功 .
当在远程执行 :
sqlplus /nolog
SQL>conn sys/ 密码 @ 服务名 assysdba
同时可正常登录到数据库系统 , 即口令文件认证方式登录成功 .
sqlplus /nolog
1: conn /assysdba 本机登陆,使用操作系统认证,有无监听都可以
2: conn sys/password assysdba 本机登陆,使用密码文件认证,有无监听都可以
3: conn sys/password@dbanote assysdba 可以本机可以远程,使用密码文件认证,必须有监听,必须有 tnsnames.ora,remote_login_passwordfile 必须是 EXCLUSIVE
说明:
从 oracle的解释可以知道, SQLNET.AUTHENTICATION_SERVICES=(NTS)是 WINDOWS系统专用的,对 linux/UNIX是不适用的。最后做一个简单的总结:
1、在 windows下, SQLNET.AUTHENTICATION_SERVICES必须设置为 NTS或者 ALL才能使用 OS认证;不设置或者设置为其他任何值都不能使用 OS认证。
2、在 linux下,在 SQLNET.AUTHENTICATION_SERVICES的值设置为 ALL,或者不设置的情况下, OS验证才能成功;设置为其他任何值都不能使用 OS认证。
文章来自互联网,感谢作者!