OracleOS认证口令文件密码丢失处理

本文主要是介绍OracleOS认证口令文件密码丢失处理，希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

原 Oracle OS认证口令文件密码丢失处理https://blog.csdn.net/tianlesoftware/article/details/4698293版权声明： https://blog.csdn.net/tianlesoftware/article/details/4698293
一. OS认证
1.1 OS认证介绍
Oracle安装之后默认情况下是启用了OS认证的，这里提到的OS认证是指服务器端OS认证。OS认证的意思把登录数据库的用户和口令校验放在了操作系统一级。如果以安装Oracle时的用户登录OS，那么此时在登录Oracle数据库时不需要任何验证，如：
SQL> connect /as sysdba
已连接。
SQL> connect sys/aaa@test as sysdba
已连接。
SQL> connect sys/bbb as sysdba
已连接。
SQL> connect aaa/bbb as sysdba
已连接。
SQL> show user
SYS
SQL>
不论输入什么用户（哪怕这个用户如aaa在数据库中根本不存在），只要以sysdba权限连接数据库，都可以连接上，并且连接用户是sys，这样很方便，有时候，如果忘记了数据库的密码，而又想登录数据库，可以通过这种方式，前提是在数据库服务器上.
1.2 OS 认证相关的参数
Oracle数据库通过如下3个参数来实现OS 认证：
（1）sqlnet.ora中的 SQLNET.AUTHENTICATION_SERVICES参数。
（2）PFILE（或SPFILE）文件中的参数REMOTE_LOGIN_PASSWORDFILE
（3）口令文件PWDsid.ora（windows）或者 orapwSID(linux，大小写敏感）。
1.2.1 sqlnet.ora 文件参数
文件位置：$ORACLE_HOME/network/admin/sqlnet.ora
SQLNET.AUTHENTICATION_SERVICES= (NTS)
NAMES.DIRECTORY_PATH= (TNSNAMES, EZCONNECT)
参数可以有如下值：
SQLNET.AUTHENTICATION_SERVICES＝(NTS)|(NONE)
其中：
(NTS): 表示操作系统认证方式，不使用口令文件，默认值。
(NONE)：口令文件认证方式
1.2.2 REMOTE_LOGIN_PASSWORDFILE 参数
该参数可以有如下值：
REMOTE_LOGIN_PASSWORDFILE ='NONE'|'EXCLUSIVE'|'SHARED'
（1）NONE：不使用密码文件登录、不允许远程用户用sys登录系统、可以在线修改sys的密码；
（2）EXCLUSIVE：默认值。只允许一个数据库使用该密码文件、允许远程登录、允许非sys用户以sysdba身份管理数据库、可以在线修改sys的密码。在这种模式下，口令文件可以包含用于多个特许的Oracle账户的口令。这是推荐的操作模式，特别是在运行RMAN时。如果希望将RMAN与来自于远程客户端的数据库连接，则必须使用该参数设置。
（3）SHARE：可以多个数据库使用密码文件。实际上是这样的: Oracle数据库在启动时,首先查找的是orapw<sid>的口令文件,如果该文件不存在,则开始查找,orapw的口令文件如果口令文件命名为orapw,多个数据库就可以共享、允许远程登录、只能用sys进行sysdba管理、可以在线修改sys的密码。在此设置下只有INTERNAL／SYS帐号能被识别，即使文件中存有其它用户的信息，也不允许他们以SYSOPER／SYSDBA登录。
修改：
SQL>ALTER SYSTEM SET REMOTE_LOGIN_PASSWORDFILE=EXCLUSIVE SCOPE=SPFILE;
需要注意的是：这个参数不是动态参数。需要在数据库加载到MOUNT状态下修改，另外改变以后需要重新启动数据库，参数的设置才能够生效。
1.3 禁用OS认证
OS 认证存在一定的安全隐患，我们可以屏蔽OS认证。
1.3.1 windows下
在win下只要把oracle_home/NETWORK/admin/sqlnet.ora中的SQLNET.AUTHENTICATION_SERVICES= (nts)nts改成none或者注释掉这句话(在前面加上#)，就可以屏蔽os功能，要想以sys用户连上数据库必须输入正确的sys口令，或者可以把oracle的安装用户从组ora_dba中删除掉，当然也可以直接把ora_dba这个组也删除，都可以屏蔽os功能.
如：
SQL> connect /as sysdba
ERROR:
ORA-01031: 权限不足
SQL> connect sys/aaa as sysdba
ERROR:
ORA-01017: 用户名/口令无效; 登录被拒绝
SQL> connect aaa/bbb as sysdba
ERROR:
ORA-01031: 权限不足
SQL> connect sys/system as sysdba
已连接。
SQL>
1.3.2 LINUX/UNIX 下
在文件sqlnet.ora中增加SQLNET.AUTHENTICATION_SERVICES=(none)以及删除dba(groupdel dba)组或者把oracle用户从dba组中删除都可以屏蔽os认证。
注意：
使用这种屏蔽方法，系统管理员还是可以创建ora_dba or dba组以及修改sqlnet.ora文件。
二. 口令文件
2.1 口令文件说明
Oracle的口令文件的作用是存放所有以sysdba或者sysoper权限连接数据库的用户的口令，如果想以sysdba权限远程连接数据库，必须使用口令文件，否则不能连上，由于sys用户在连接数据库时必须以sysdba or sysoper方式，也就是说sys用户要想连接数据库必须使用口令文件，因此我认为在数据库中存放sys用户的口令其实没有任何意义！使用口令文件的好处是即使数据库不处于open状态，依然可以通过口令文件验证来连接数据库。开始安装完oracle，没有给普通用户授予sysdba权限，口令文件中只存放了sys的口令，如果之后把sysdba权限授予了普通用户，那么此时会把普通用户的口令从数据库中读到口令文件中保存下来，当然这时必须要求数据库处于open状态。如：
SQL> grant sysdba to test;
授权成功。
SQL> connect test/aaa@orcl as sysdba
ERROR:
ORA-01017: 用户名/口令无效; 登录被拒绝
警告: 您不再连接到 ORACLE。
SQL> connect test/test@orcl as sysdba
已连接。
SQL> alter database close;
数据库已更改。
SQL> grant sysdba , sysoper to test;
grant sysdba , sysoper to test
*
第 1 行出现错误:
ORA-01109: 数据库未打开
2.2 查看具有sysdba 权限的用户
可以通过查询v$pwfile_users视图来查看有几个用户被授予了sysdba或者sysoper权限， v$pwfile_users的信息就是源于口令文件.
SQL> select * from v$pwfile_users;
USERNAME SYSDB SYSOP
------------------------------ ----- -----
SYS TRUE TRUE
TEST TRUE FALSE
到底可以有几个用户被授予sysdba或者sysoper权限，是由创建口令文件时指定的entries数决定的，准确的说还不完全是，最终还和os block的大小有关，如果entries指定了5，一个os block可以存放8个用户的口令，那么可以由8个用户被授予sysdba或者sysoper。
注意：事实是口令多长，加密之后的长度几乎都是相同的，也就是说口令文件占用的大小和口令指定的长度几乎关系不大。
C:>orapwd file=databasepwd.ora password=system entries=5
OPW-00005: 存在相同名称的文件 - 请删除或重命名
C:>orapwd file=databasepwd.ora password=system entries=5 force=y
创建口令文件需要注意的是=前后没有空格。在10g增加了一个新的参数force default值n，它的作用类似于创建表空间时的reuse功能，当同名文件存在时是否覆盖。
是否使用口令文件，由remote_login_passwordfile参数控制。这个参数在上面有说明。
2.3 口令文件格式
win下口令文件的格式是pwdsid.ora(大小写敏感）。
unix下的格式是orapwSID(大小写敏感），
Oracle数据库在启动时,首先查找的是orapw<sid>的口令文件,如果该文件不存在,则开始查找,orapw的口令文件,如果口令文件命名为orapw,多个数据库就可以共享。口令文件创建完后，数据库需要重启动，新的口令文件才能生效。
2.4 sys/system 密码丢失的处理方法
（1）.查询视图V$PWFILE_USERS，select * from V$PWFILE_USERS;
记录下拥有 SYSOPER／SYSDBA 系统权限的用户信息。
（2）关闭数据库 shutdown immediate
（3）将密码文件重命名
（4）用orapwd 命令重建创建密码文件
orapwd file=/u01/app/oracle/product/10.2.0/db_1/dbs/orapworcl password=admin
entries=5 force=y
（5）将第一步查出来的用户添加到密码文件
grant sysdba , sysoper to user;
------------------------------------------------------------------------------
QQ:492913789
Email:ahdba@qq.com
Blog: http://www.cndba.cn/dave

网上资源： http://tianlesoftware.download.csdn.net
相关视频：http://blog.csdn.net/tianlesoftware/archive/2009/11/27/4886500.aspx
DBA1 群：62697716(满); DBA2 群：62697977(满)
DBA3 群：62697850 DBA 超级群：63306533;
聊天群：40132017
--加群需要在备注说明Oracle表空间和数据文件的关系，否则拒绝申请
https://img-blog.csdnimg.cn/20190217105710569.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3UwMTEwNzgxNDE=,size_16,color_FFFFFF,t_70《算法导论第三版英文版》_高清中文版.pdf
https://pan.baidu.com/s/17D1kXU6dLdU0YwHM2cvNMw
《深度学习入门：基于Python的理论与实现》_高清中文版.pdf
https://pan.baidu.com/s/1IeVs35f3gX5r6eAdiRQw4A
《深入浅出数据分析》_高清中文版.pdf
https://pan.baidu.com/s/1GV-QNbtmjZqumDkk8s7z5w
《Python编程：从入门到实践》_高清中文版.pdf
https://pan.baidu.com/s/1GUNSg4mdpeOf1LC_MjXunQ
《Python科学计算》_高清中文版.pdf
https://pan.baidu.com/s/1-hDKhK-7rDDFll_UFpKmpw

这篇关于OracleOS认证口令文件密码丢失处理的文章就介绍到这儿，希望我们推荐的文章对编程师们有所帮助！