1、Oracle的認(rèn)證方式,Oracle與注冊(cè)表,在oracle 創(chuàng)建數(shù)據(jù)庫后，會(huì)將各個(gè)數(shù)據(jù)庫的信息加到windows注冊(cè)表中。 注冊(cè)表的打開,Oracle 的注冊(cè)信息很多,Oracle_sid 表示缺省的oracle sid, 注冊(cè)到oracle 數(shù)據(jù)庫時(shí) Sqlplus scott/tiger Connect scott/tiger 表示注冊(cè)到 oracle_sid指定的數(shù)據(jù)庫，而且不用啟動(dòng)監(jiān)聽程序。,如果要注冊(cè)到服務(wù)器中的其他的數(shù)據(jù)庫，且不需要啟動(dòng)監(jiān)聽程序 Set oracle_sid=newdb Connect scott/tiger 如果想啟動(dòng)監(jiān)聽，則 Connect scott/tig

2、ernewdb,Oracle 用戶身份驗(yàn)證,Oracle 用戶身份驗(yàn)證有三種方式： 1、數(shù)據(jù)庫服務(wù)器驗(yàn)證（普通用戶） 2、操作系統(tǒng)驗(yàn)證 3、口令文件驗(yàn)證,數(shù)據(jù)庫服務(wù)器驗(yàn)證只有在數(shù)據(jù)庫服務(wù)器開啟的狀體下 進(jìn)行，如果服務(wù)器沒有開啟，則進(jìn)行啟動(dòng)的用戶要通過 操作系統(tǒng)驗(yàn)證和口令文件驗(yàn)證,如何以系統(tǒng)管理員的權(quán)限注冊(cè)到數(shù)據(jù)庫,啟動(dòng)和關(guān)閉數(shù)據(jù)庫是很強(qiáng)的數(shù)據(jù)庫管理權(quán)限，該權(quán)限只限于 sysdba和sysoper權(quán)限連接數(shù)據(jù)庫的用戶。 在下面任何一種情況用戶即可以以管理員的權(quán)限連接oracle,1、操作系統(tǒng)用戶被允許以數(shù)據(jù)庫管理員的權(quán)限注冊(cè)到數(shù)據(jù)庫中。 例如：windows下安裝了oracle ，就會(huì)出現(xiàn)ora

3、_dba組,該組中的用戶可以無需口令地以oracle 管理員的權(quán)限注冊(cè)到oracle,沒有使用用戶名和口令，以系統(tǒng)管理員sysdba的身份進(jìn)行了數(shù)據(jù)庫的啟動(dòng),2、如果不允許操作系統(tǒng)認(rèn)證，且數(shù)據(jù)庫為關(guān)閉狀態(tài)，要想啟動(dòng)數(shù)據(jù)庫，要利用數(shù)據(jù)庫外的文件，口令文件。,口令文件,當(dāng)用戶被授予sysdba/sysoper權(quán)限時(shí)，用戶被加入 了一個(gè)口令文件中， oracle 利用口令文件來驗(yàn)證這些權(quán)限。,系統(tǒng)管理員的兩種驗(yàn)證方式,Oracle 的系統(tǒng)管理員認(rèn)證方式分為操作系統(tǒng)認(rèn)證和口令文件認(rèn)證兩種方式。 操作系統(tǒng)認(rèn)證也成稱為本地認(rèn)證，在安裝有oracle的機(jī)器上管理數(shù)據(jù)庫系統(tǒng)，使用操作系統(tǒng)認(rèn)證是合理的。 如果管

4、理員通過網(wǎng)絡(luò)注冊(cè)到數(shù)據(jù)庫，無法使用操作系統(tǒng)認(rèn)證，則使用口令文件。,操作系統(tǒng)認(rèn)證的優(yōu)先級(jí)高于口令文件,操作系統(tǒng)認(rèn)證,當(dāng) windows的用戶安裝oracle數(shù)據(jù)庫時(shí)，他會(huì)自動(dòng)地加入到ora_dba中 該組的特點(diǎn)： 在安裝時(shí)自動(dòng)產(chǎn)生 ora_dba組的成員,操作系統(tǒng)認(rèn)證,當(dāng) windows的用戶安裝oracle數(shù)據(jù)庫時(shí)，他會(huì)自動(dòng)地加入到ora_dba中 該組的特點(diǎn)： 在安裝時(shí)自動(dòng)產(chǎn)生 ora_dba組的成員自動(dòng)獲得sysdba的權(quán)限，從而可以在本地?zé)o需口令地進(jìn)行注冊(cè)。 可以將其他的windows用戶加入到 ora_dba組中，從而使其他用戶也具有 sysdba的權(quán)限。,可以通過該工具給window

5、s增加ora_dba組,口令文件,Oracle另外一種驗(yàn)證管理員的方法是口令文件，并可以將允許數(shù)據(jù)庫管理的用戶和口令放在該文件中。,口令文件的名稱為PWDSID.ora,一般情況下，口令文件會(huì)在安裝數(shù)據(jù)庫軟件時(shí)產(chǎn)生，但如果沒有產(chǎn)生，可以由命令orapwd 產(chǎn)生,命令為Ordpwd file= 口令文件名 password=口令 entries=數(shù)量,注意： 1、file 是指口令文件的包含路徑的名稱 2、password 口令是 sys的口令 該口令的設(shè)置會(huì)把數(shù)據(jù)庫用戶sys的口令也進(jìn)行了修改， 如果在數(shù)據(jù)庫中使用 alter user sys identified by 新口令，則口令文件中

6、的口令都會(huì)更改。 3、數(shù)量參數(shù)指的是允許sysdba和sysoper系統(tǒng)權(quán)限的用戶個(gè)數(shù) 注意： 創(chuàng)建完成 后一定要重新啟動(dòng)數(shù)據(jù)庫，否則不起作用,查看口令文件中管理員的情況，只要用戶被授予了 Sysdba和sysoper,則被加入了口令文件中。 該文件必須是允許使用口令文件的前提下才可以進(jìn)行查詢的,如果只想使用口令文件，而不用操作系統(tǒng)認(rèn)證，如何設(shè)置 將sqlnet.ora中的設(shè)置,Sqlnet.authentication.services=nts表示使用操作系統(tǒng)認(rèn)證 將sqlnet.authentication.services=none表示禁用操作系統(tǒng)認(rèn)證,操作系統(tǒng)驗(yàn)證和口令文件驗(yàn)證兩個(gè)至少

7、保留一個(gè)驗(yàn)證方式， 如果禁用的操作系統(tǒng)驗(yàn)證，則必須保留口令文件 保留口令文件的設(shè)置： 系統(tǒng)參數(shù)： Remote_login_passwordfile=(exclusive|shared),系統(tǒng)允許口令文件驗(yàn)證,修改sqlnet.ora文件,不輸入口令不允許了,使用用戶名加密碼可以登陸,禁用口令文件驗(yàn)證,如果禁用口令文件，則操作系統(tǒng)驗(yàn)證一定要開啟 1、首先設(shè)定操作系統(tǒng)驗(yàn)證,2、將remote_login_passwordfile=none,設(shè)定該參數(shù)后，必須將實(shí)例關(guān)閉，然后啟動(dòng)，才會(huì)有效,啟動(dòng)實(shí)例后，參數(shù)發(fā)生變化,總結(jié),操作系統(tǒng)認(rèn)證的具體設(shè)置： 在sqlnet.ora文件下設(shè)置： Sqlnet.

8、authentication_services=nts Spfile(pfile)文件參數(shù)remote_login_passwordfile=none,本地操作系統(tǒng)用戶可以登陸 遠(yuǎn)程SYSDBA不能登陸,口令文件設(shè)置： 再sqlnet.ora文件下設(shè)置： Sqlnet.authentication_services=none Spfile(pfile)文件參數(shù)remote_login_passwordfile=exclusive或shared,這時(shí)候需要配置pwdsid.ora,本地操作系統(tǒng)用戶不能登陸 遠(yuǎn)程SYSDBA可以登陸,如果REMOTE_LOGIN_PASSWORDFILE=none

9、 且 SQLNET.AUTHENTICATION_SERVICES= none 這個(gè)時(shí)候數(shù)據(jù)庫是無法登錄的。,若Sqlnet.authentication_services=nts remote_login_passwordfile=exclusive OS認(rèn)證優(yōu)先于密碼文件認(rèn)證：只要OS用戶屬于OSDBA OR OROPER組，并且使用connect as sysdba / sysoper登錄,則可以忽略輸入的username/password.,該情況屬于操作系統(tǒng)認(rèn)證,操作系統(tǒng)用戶可以登陸 遠(yuǎn)程SYSDBA可以登陸,在數(shù)據(jù)庫沒有啟動(dòng)之前，數(shù)據(jù)庫內(nèi)建用戶是無法通過數(shù)據(jù)庫來驗(yàn)證身份的口令文件中存放sysdba/sysoper用戶的用戶名及口令，允許用戶通過口令文件驗(yàn)證，在數(shù)據(jù)庫未啟動(dòng)之前登陸，從而啟動(dòng)數(shù)據(jù)庫。 口令文件在數(shù)據(jù)庫之外如果沒有口令文件，在數(shù)據(jù)庫未啟動(dòng)之前就只能通過操作系統(tǒng)認(rèn)證.,Remote_login_password為靜態(tài)參數(shù)，不能scope=both，只能修改文件，重新啟動(dòng)可以設(shè)置,操作系統(tǒng)認(rèn)證,若remote_login_passwordfile=none 以操作系統(tǒng)認(rèn)證后， Select * from v$pwfile_users;結(jié)果為空 當(dāng)remot