我們大家都知道Oracle數據庫的外部身份認證的研究方案除了在服務器上對其使用相關的操作系統驗證,還有以下的兩種,即,遠程客戶端的使用操作系統驗證 與Oracle 9i對操作系統身份認證支持的增強 。
遠程客戶端使用操作系統驗證
首先需要在init.ora文件中設置如下參數:REMOTE_OS_AUTHENT=TRUE。Oracle不推薦在遠程客戶端上使用操作系統驗證,因為客戶端驗證時不是通過服務器上的操作系統用戶來驗證,而是使用客戶端自己怕操作系統來進行windows驗證,這樣,客戶端可以采用建立對應的Windows機器名和用戶名的方式來欺騙Oracle的操作系統驗證。
例如:創建了如下Oracle用戶
- create "zlzyk" identifIEd externally;
- grant connect to "zlzyk";
如果有一台名為ZL的機器,創建了一個名為zyk的用戶,並以此登錄連接Oracle服務器(連接時使用@OracleSTR),無需用戶名和密碼造成此問題的原因是,Oracle使用客戶端操作系統進行驗證,它無法區別zl是域名還是機器名。
Oracle數據庫服務器上的Windows身份認證很容易實施,並且使已登錄的用戶訪問數據庫數據庫很方便但是,這種驗證模型並不適合遠程客戶端,因為安全隱患太大。
Oracle 9i對操作系統身份認證支持的增強
Oracle 9i可以與活動目錄集成,通過Oracle Enterprise Security Manager 管理用戶權限Enterprise user authentication做為一種新的外部集中認證模式(也叫 global user authentication,Oracle 9i以前的External user authentication僅僅采用了客戶端操作系統本地認證)。
Oracle9i運行在一個win2000及以上的域中,注冊表HKEY_LOCAL_MacHINESOFTWAREOracleHOMEID,參數OSAUTH_X509_NAME設置為true(默認為false,如果該參數不存在,則新增為REG_EXPAND_SZ類型)。注意:Windows NT 4.0 domain 不支持這種方式。
