Oracle数据库的外部身份认证研究的描述

数据库 Oracle
以下的文章主要介绍的是Oracle数据库的外部身份认证研究,其中包括服务器上使用操作系统验证 ,以及远程客户端使用操作系统验证等相关内容的描述。

以下的文章主要是对Oracle数据库的外部身份认证研究的介绍,如果你对Oracle数据库的外部身份认证研究相关的实际操作有兴趣了解的话,以下的文章将会给你提供相关的知识。希望会给你带来一些帮助在此方面。

 一、服务器上使用操作系统验证

1.配置SQLNET.ORA文件

 

参数NAMES.DIRECTORY_PATH= (TNSNAMES, ONAMES, HOSTNAME)表明解析客户端连接时所用的主机字符串的方式。TNSNAMES表示采用TNSNAMES.ORA文件来解析;ONAMES表示Oracle使用自己的名称服务器(Oracle Name Server)来解析,目前Oracle建议使用轻量目录访问协议LDAP来取代ONAMES; HOSTNAME表示使用host文件,DNS,NIS等来解析;

参数SQLNET.AUTHENTICATION_SERVICES= (NONE,NTS)表明用户连接Oracle服务器时使用哪种验证方式NONE表示Oracle数据库身份验证,NTS表示操作系统身份验证,两种方式可以并用。

 

2.建立相应的操作系统组及用户加入该组

ORA_DBA组中的域用户和本地用户不需要Oracle用户名和密码就可以登录Oracle而且该组的用户登录数据库后都具有SYSDBA权限(多个实例时,可以建立类似这样的组ORA_SID_DBA,其中SID指实例名)同理:ORA_OPER组中的成员具有SYSOPER角色的权限。

 

3.登录方式

C:>sqlplus “/ as sysdba” 或者C:>sqlplus nolog,然后SQL>connect / as sysdba

 

4.init.ora中的Remote_Login_Passwordfile对身份验证的影响。

 

三个可选值:

NONE:

 

默认值,指示Oracle系统不使用密码文件,通过操作系统进行身份验证的特权用户拥有SYSORA和SYSOPER权限.

 

EXCLUSIVE:

1).表示只有一个数据库实例可以使用密码文件;

 

2).允许将SYSORA和SYSOPER权限赋值给SYS以外的其它用户。

 

SHARED:

1).表示可以有多个数据库实例可以使用密码文件;

 

2).不允许将SYSORA和SYSOPER权限赋值给SYS以外的其它用户。

 

所以,如果要以操作系统身份登录,Remote_Login_Passwordfile应该设置为NONE

 

5.当登录用户不是ORA_DBA组和ORA_OPER组成员时,登录数据库需要在Oracle中创建当前操作系统用户相同的用户名,如果当前用户是域用户,则名称为:domainnameyourname,如果是本地计算机用户,则名称为:computernameyourname

 

创建方法:

 

  1. create "domainnameyourname" identified externally;   
  2. grant connect to "domainnameyourname"; 

 

 

Windows操作系统,修改注册表HKEY_LOCAL_MACHINESOFTWAREORACLEHOME0下面添加AUTH_PREFIX_DOMAIN,值设为FALSE,在创建Oracle用户时可以忽略掉域名。这种方式下,init.ora中有一个参数将影响Oracle数据库如何匹配一个windows用户和Oracle用户os_authent_prefix = ""缺省为空,Oracle8i以前,无该参数,而使用OPS$作为用户名前缀.(Oracle用户名***长度限制为30个字符)。

二、远程客户端使用操作系统验证

首先需要在init.ora文件中设置如下参数:REMOTE_OS_AUTHENT=TRUE。Oracle不推荐在远程客户端上使用操作系统验证,因为客户端验证时不是通过服务器上的操作系统用户来验证,而是使用客户端自己怕操作系统来进行windows验证,这样,客户端可以采用建立对应的windows机器名和用户名的方式来欺骗Oracle的操作系统验证。

 

例如:创建了如下Oracle用户

 

  1. create "domainnameyourname" identified externally;   
  2. grant connect to "domainnameyourname"; 

 

 

如果有一台名为ZL的机器,创建了一个名为zyk的用户,并以此登录连接Oracle服务器(连接时使用@OracleSTR),无需用户名和密码造成此问题的原因是,Oracle使用客户端操作系统进行验证,它无法区别zl是域名还是机器名。

 

Oracle数据库服务器上的windows身份认证很容易实施,并且使已登录的用户访问Oracle数据库很方便但是,这种验证模型并不适合远程客户端,因为安全隐患太大。

三、Oracle 9i对操作系统身份认证支持的增强

Oracle 9i可以与活动目录集成,通过Oracle Enterprise Security Manager 管理用户权限Enterprise user authentication做为一种新的外部集中认证模式(也叫 global user authentication,Oracle 9i以前的External user authentication仅仅采用了客户端操作系统本地认证)。

 

Oracle9i运行在一个win2000及以上的域中,注册表HKEY_LOCAL_MACHINESOFTWAREORACLEHOMEID,参数OSAUTH_X509_NAME设置为true(默认为false,如果该参数不存在,则新增为REG_EXPAND_SZ类型)。注意:Windows NT 4.0 domain 不支持这种方式。

文章出自:http://database.csdn.net/page/034915c4-1873-489c-b0df-e812ad2ec8ab

【编辑推荐】

  1. Oracle屏蔽英文提示信息的2个好办法
  2. 探讨Oracle中rownum的用法
  3. Oracle细粒度的访问控制的基本工作方式
  4. Oracle数据库的异构服务原理描述
  5. Oracle 10g数据库的相关内容描述

 

责任编辑:佚名 来源: csdn
相关推荐

2010-04-14 13:04:08

Oracle数据库

2010-04-22 15:42:34

Oracle数据库

2010-04-22 15:53:06

Oracle数据库

2010-04-09 10:32:03

Oracle 数据库

2010-04-26 09:10:09

Oracle数据库

2010-04-14 15:45:49

Oracle 数据库

2010-04-16 12:29:13

Oracle数据库远程

2010-04-15 08:57:29

Oracle数据库

2010-04-22 16:16:35

Oracle数据库

2010-04-14 10:56:07

Oracle数据库

2010-04-16 16:09:41

Oracle数据库

2010-04-15 10:51:52

2011-03-07 17:51:00

Oracle数据库优缺点

2010-04-08 18:54:32

Oracle数据库

2010-04-09 13:59:48

Oracle数据库索引

2011-04-08 16:00:11

Oracle数据库外部表

2010-08-10 15:02:18

Oracle认证数据库

2010-04-13 10:55:35

Oracle数据库

2009-04-17 11:28:16

Oracle备份恢复

2010-04-14 17:57:52

Oracle数据库
点赞
收藏

51CTO技术栈公众号