Home  >  Article  >  Database  >  Oracle用户密码问题

Oracle用户密码问题

WBOY
WBOYOriginal
2016-06-07 15:21:151164browse

关于Oracle用户的密码很少去关注,一般都只在安装完数据库后将密码过期时间设置为永不过期,但是一次在开启autotrace时遇到了错误

关于Oracle用户的密码很少去关注,一般都只在安装完数据库后将密码过期时间设置为永不过期,但是一次在开启autotrace时遇到了错误,引起我对用户密码的关注。我们在工作中遇到的环境是千差万别的,你不可能知道下一个客户的环境是什么样子,不可能知道安装你所使用的库的DBA是按什么套路安装的数据库,这是实际工作的一个难点所在,当然也是乐趣所在。生产环境的千差万别也是催促我们学习的动力之一。下面介绍三点关于Oracle用户密码的注意点:

一、用户密码即将过期,导致autotrace无法打开

如果用户密码即将过期,在登录数据库时会收到如下提示:

ERROR:

ORA-28002: the password will expire within 7 days

当然,此时密码还未真正过期,用户在收到错误提示后依然可以登录数据库。但是,如果当收到密码即将过期的提示,想要开启autotrace就会有问题。

SQL> conn darren/darren

        SP2-0619: Error while connecting
       SP2-0611: Error enabling STATISTICS report

           既然出现了密码即将过期的提示,说明profile中的PASSWORD_LIFE_TIME参数肯定没有设置成unlimited,可以查看dba_profiles进行验证:
           

            如果生产环境没有对密码过期的特殊限制,可以把该参数修改为unlimitd:

  • ALTER PROFILE DEFAULT LIMIT PASSWORD_LIFE_TIME UNLIMITED
  •             此时再尝试打开autotrace:

              还是同样的错误,说明在用户密码即将过期时,再修改profile是不会对密码即将过期的用户生效的。应该采用重设用户密码(密码可以与之前的密码一样)的方法。

             此时成功开启autotrace功能。
            再尝试另外一种情景,在用户登录后修改用户密码,但不重新登录,尝试开启autotrace。

            同样的错误又出现了。
           到此,我们得出一个结论,在开启autotrace功能的时候,数据库会再创建一个会话,,用新创建的会话来跟踪当前会话。所以,当用户密码即将过期时,开启autotrace功能时,创建新的会话时会因为返回ORA-2802而产生异常。

         二、11g新特性,密码延迟认证

            11g中,加入了用户密码延迟认证的特性,即用户如果在登录是输入了错误的密码,那么这个用户的登录验证会随着输入错误密码的次数的增加而增加,直到正确登录后重新计数。如下:

           可以看到,验证的时间越来越长,如果继续增加错误的登录次数,验证的时间还会继续加长。如果是多个会话同时不断的用错误的密码来连接数据库,那么将会导致该用户的登录HANG住。如果想关闭这个特性,可以设置如下事件:

  • 1’ SCOPE = SPFILE;
  •         三、sys用户是不受PASSWORD_LIFE_TIME参数限制的
            四、在用户密码过期后,用户的状态(dba_user.account_status)不会立即更新为expired,只有当用户尝试连接到数据库的时候,才会对用户状态进行更新
            五、用户密码相关的一些参数

                   PASSWORD_LIFE_TIME:
                   设定口令的有效时间(天数),一旦超过这一时间,必须重新设口令。缺省为180天(11g,10gUNLIMITED).
                   PASSWORD_REUSE_TIME:
                   许多系统不许用户重新启用过去用过的口令。该资源项设定了一个失效口令要经过多少天,用户才可以重新使用该口令。缺省为UNLIMITED.
                   PASSWORD_REUSE_MAX:
                   重新启用一个先前用过的口令前必须对该口令进行重新设置的次数(重复用的次数)。
                   PASSWORD_LOCK_TIME:
                   设定帐户被锁定的天数(当登录失败达到FAILED_LOGIN_ATTEMPTS时)。
                   PASSWORD_GRACE_TIME:
                   设定在口令失效前,给予的重新设该口令的宽限天。当口令失效之后回,在登录时会出现警告信息显示该天数。如果没有在宽限天内修改口令,口令将失效。
                   PASSWORD_VERITY_FUNCTION:
                   该资源项允许调用一个PL/SQL 来验证口令。Oracle公司已提供该应用 的脚本,但是只要愿意的话,用户可以制定自己的验证脚本。该参数的设定就是PL/SQL函数的名称。缺省为NULL.
                   FAILED_LOGIN_ATTEMPTS:
                   设定登录到Oracle 数据库时可以失败的次数。一旦某用户尝试登录数据库的达到该值时,该用户的帐户就被锁定,只能由DBA能解锁。

    本文永久更新链接地址

    Statement:
    The content of this article is voluntarily contributed by netizens, and the copyright belongs to the original author. This site does not assume corresponding legal responsibility. If you find any content suspected of plagiarism or infringement, please contact admin@php.cn