Oracle關系數據庫系統(tǒng)以其卓越的性能獲得了廣泛的應用，而保證數據庫安全性是數據庫管理工作的重要內容。本文在總結Oracle數據庫安全管理工作的基礎上，對Oracle數據庫系統(tǒng)密碼文件的創(chuàng)建、使用和維護作了詳細的介紹，供大家參考。

關鍵詞：Oracle數據庫密碼文件

在Oracle數據庫系統(tǒng)中，用戶如果要以特權用戶身份（INTERNAL／SYSDBA／SYSOPER）登錄Oracle數據庫可以有兩種身份驗證的方法：即使用與操作系統(tǒng)集成的身份驗證或使用Oracle數據庫的密碼文件進行身份驗證。因此，管理好密碼文件，對于控制授權用戶從遠端或本機登錄Oracle數據庫系統(tǒng)，執(zhí)行數據庫管理工作，具有重要的意義。

Oracle數據庫的密碼文件存放有超級用戶INTERNAL／SYS的口令及其他特權用戶的用戶名／口令，它一般存放在ORACLE_HOME＼DATABASE目錄下。

一、密碼文件的創(chuàng)建

在使用Oracle Instance Manager創(chuàng)建一數據庫實例的時侯，在ORACLE_HOME＼DATABASE目錄下還自動創(chuàng)建了一個與之對應的密碼文件，文件名為PWDSID.ORA，其中SID代表相應的Oracle數據庫系統(tǒng)標識符。此密碼文件是進行初始數據庫管理工作的基矗在此之后，管理員也可以根據需要，使用工具ORAPWD.EXE手工創(chuàng)建密碼文件，命令格式如下：

C:＼ >ORAPWDFILE=＜ FILENAME ＞PASSWORD =＜ PASSWORD ＞ ENTRIES=< MAX_USERS >

各命令參數的含義為：

FILENAME：密碼文件名；

PASSWORD：設置INTERNAL／SYS帳號的口令；

MAX_USERS：密碼文件中可以存放的最大用戶數，對應于允許以SYSDBA／SYSOPER權限登錄數據庫的最大用戶數。由于在以后的維護中，若用戶數超出了此限制，則需要重建密碼文件，所以此參數可以根據需要設置得大一些。

有了密碼文件之后，需要設置初始化參數REMOTE_LOGIN_PASSWORDFILE來控制密碼文件的使用狀態(tài)。

二、設置初始化參數REMOTE_LOGIN_PASSWORDFILE

在Oracle數據庫實例的初始化參數文件中，此參數控制著密碼文件的使用及其狀態(tài)。它可以有以下幾個選項：

NONE：指示Oracle系統(tǒng)不使用密碼文件，特權用戶的登錄通過操作系統(tǒng)進行身份驗證；

EXCLUSIVE：指示只有一個數據庫實例可以使用此密碼文件。只有在此設置下的密碼文件可以包含有除INTERNAL／SYS以外的用戶信息，即允許將系統(tǒng)權限SYSOPER／SYSDBA授予除INTERNAL／SYS以外的其他用戶。

SHARED：指示可有多個數據庫實例可以使用此密碼文件。在此設置下只有INTERNAL／SYS帳號能被密碼文件識別，即使文件中存有其他用戶的信息，也不允許他們以SYSOPER／SYSDBA的權限登錄。此設置為缺省值。

在REMOTE_LOGIN_PASSWORDFILE參數設置為EXCLUSIVE、SHARED情況下，Oracle系統(tǒng)搜索密碼文件的次序為：在系統(tǒng)注冊庫中查找ORA_SID_PWFILE參數值（它為密碼文件的全路徑名）；若未找到，則查找ORA_PWFILE參數值；若仍未找到，則使用缺省值ORACLE_HOME＼DATABASE＼PWDSID.ORA；其中的SID代表相應的Oracle數據庫系統(tǒng)標識符。

三、向密碼文件中增加、刪除用戶

當初始化參數REMOTE_LOGIN_PASSWORDFILE設置為EXCLUSIVE時，系統(tǒng)允許除INTERNAL／SYS以外的其他用戶以管理員身份從遠端或本機登錄到Oracle數據庫系統(tǒng)，執(zhí)行數據庫管理工作；這些用戶名必須存在于密碼文件中，系統(tǒng)才能識別他們。由于不管是在創(chuàng)建數據庫實例時自動創(chuàng)建的密碼文件，還是使用工具ORAPWD.EXE手工創(chuàng)建的密碼文件，都只包含INTERNAL／SYS用戶的信息；為此，在實際操作中，可能需要向密碼文件添加或刪除其他用戶帳號。

由于僅被授予SYSOPER／SYSDBA系統(tǒng)權限的用戶才存在于密碼文件中，所以當向某一用戶授予或收回SYSOPER／SYSDBA系統(tǒng)權限時，他們的帳號也將相應地被加入到密碼文件或從密碼文件中刪除。由此，向密碼文件中增加或刪除某一用戶，實際上也就是對某一用戶授予或收回SYSOPER／SYSDBA系統(tǒng)權限。

要進行此項授權操作，需使用SYSDBA權限（或INTERNAL帳號）連入數據庫，且初始化參數REMOTE_LOGIN_PASSWORDFILE的設置必須為EXCLUSIVE。具體操作步驟如下：

創(chuàng)建相應的密碼文件；

設置初始化參數REMOTE_LOGIN_PASSWORDFILE＝EXCLUSIVE；

使用SYSDBA權限登錄： CONNECTSYS／internal_user_passswordASSYSDBA；

啟動數據庫實例并打開數據庫；

創(chuàng)建相應用戶帳號，對其授權（包括SYSOPER和SYSDBA）： 授予權限：GRANTSYSDBATOuser_name；

收回權限：REVOKESYSDBAFROMuser_name；

現(xiàn)在這些用戶可以以管理員身份登錄數據庫系統(tǒng)了；

四、使用密碼文件登錄

有了密碼文件后，用戶就可以使用密碼文件以SYSOPER／SYSDBA權限登錄Oracle數據庫實例了，注意初始化參數REMOTE_LOGIN_PASSWORDFILE應設置為EXCLUSIVE或SHARED。任何用戶以SYSOPER／SYSDBA的權限登錄后，將位于SYS用戶的Schema之下，以下為兩個登錄的例子：

1. 以管理員身份登錄：

假設用戶scott已被授予SYSDBA權限，則他可以使用以下命令登錄：

CONNECTscott／tigerASSYSDBA

2. 以INTERNAL身份登錄：

CONNECTINTERNAL／INTERNAL_PASSWORD

版權聲明：本站文章來源標注為YINGSOO的內容版權均為本站所有，歡迎引用、轉載，請保持原文完整并注明來源及原文鏈接。禁止復制或仿造本網站，禁止在非maisonbaluchon.cn所屬的服務器上建立鏡像，否則將依法追究法律責任。本站部分內容來源于網友推薦、互聯(lián)網收集整理而來，僅供學習參考，不代表本站立場，如有內容涉嫌侵權，請聯(lián)系alex-e#qq.com處理。