以下的文章主要是對Oracle數據庫外部的身份認證淺談,主要是通過服務器上的使用操作系統來進行驗證的,在中服務器上的使用操作系統我們要用到的項目有配置SQLNET.ORA文件 ,建立相應的操作系統組及用戶加入該組等相關的內容。
1.配置SQLNET.ORA文件
參數NAMES.DIRECTORY_PATH= (TNSNAMES, ONAMES, HOSTNAME)表明解析客戶端連接時所用的主機字符串的方式。TNSNAMES表示采用TNSNAMES.ORA文件來解析;ONAMES表示Oracle使用自己的名稱服務器(Oracle Name Server)來解析,目前Oracle建議使用輕量目錄訪問協議LDAP來取代ONAMES;
HOSTNAME表示使用host文件,DNS,NIS等來解析;參數SQLNET.AUTHENTICATION_SERVICES= (NONE,NTS)表明用戶連接Oracle服務器時使用哪種驗證方式NONE表示Oracle數據庫身份驗證,NTS表示操作系統身份驗證,兩種方式可以並用。
2.建立相應的操作系統組及用戶加入該組
ORA_DBA組中的域用戶和本地用戶不需要Oracle用戶名和密碼就可以登錄Oracle而且該組的用戶登錄數據庫後都具有SYSDBA權限(多個實例時,可以建立類似這樣的組ORA_SID_DBA,其中SID指實例名)同理:ORA_OPER組中的成員具有SYSOPER角色的權限。
3.登錄方式
C:>sqlplus “/ as sysdba” 或者C:>sqlplus nolog,然後SQL>connect / as sysdba
4.init.ora中的Remote_Login_PassWordfile對身份驗證的影響。
三個可選值:
NONE:
默認值,指示Oracle系統不使用密碼文件,通過操作系統進行身份驗證的特權用戶擁有SYSORA和SYSOPER權限.
EXCLUSIVE:
1).表示只有一個Oracle數據庫實例可以使用密碼文件;
2).允許將SYSORA和SYSOPER權限賦值給SYS以外的其它用戶。
SHARED:
1).表示可以有多個數據庫實例可以使用密碼文件;
2).不允許將SYSORA和SYSOPER權限賦值給SYS以外的其它用戶。
所以,如果要以操作系統身份登錄,Remote_Login_PassWordfile應該設置為NONE
5.當登錄用戶不是ORA_DBA組和ORA_OPER組成員時,登錄Oracle數據庫需要在Oracle中創建當前操作系統用戶相同的用戶名,如果當前用戶是域用戶,則名稱為:domainnameyourname,如果是本地計算機用戶,則名稱為:computernameyourname
創建方法:
- create "domainnameyourname" identifIEd externally;
- grant connect to "domainnameyourname";
Windows操作系統,修改注冊表HKEY_LOCAL_MacHINESOFTWAREORACLEHOME0下面添加AUTH_PREFIX_DOMAIN,值設為FALSE,在創建Oracle用戶時可以忽略掉域名。這種方式下,init.ora中有一個參數將影響Oracle數據庫如何匹配一個Windows用戶和Oracle用戶os_authent_prefix = ""缺省為空,Oracle8i以前,無該參數,而使用OPS$作為用戶名前綴.(Oracle用戶名最大長度限制為30個字符)。
