首页 > 数据库 > Oracle > 正文

浅谈Oracle外部身份认证研究

2024-08-29 13:31:51
字体:
来源:转载
供稿:网友
一、服务器上使用操作系统验证

    1.配置sqlnet.ora文件

    参数names.directory_path= (tnsnames, onames, hostname)表明解析客户端连接时所用的主机字符串的方式
    tnsnames表示采用tnsnames.ora文件来解析;
    onames表示oracle使用自己的名称服务器(oracle name server)来解析,目前oracle建议使用轻量目录访问协议ldap来取代onames;
    hostname表示使用host文件,dns,nis等来解析;

    参数sqlnet.authentication_services= (none,nts)表明用户连接oracle服务器时使用哪种验证方式none表示oracle数据库身份验证,nts表示操作系统身份验证,两种方式可以并用。

    2.建立相应的操作系统组及用户加入该组

    ora_dba组中的域用户和本地用户不需要oracle用户名和密码就可以登录oracle而且该组的用户登录数据库后都具有sysdba权限(多个实例时,可以建立类似这样的组ora_sid_dba,其中sid指实例名)同理:ora_oper组中的成员具有sysoper角色的权限。

    3.登录方式

    c:/>sqlplus “/ as sysdba”
    或者c:/>sqlplus nolog,然后sql>connect / as sysdba

    4.init.ora中的remote_login_passwordfile对身份验证的影响

    三个可选值:

    none:默认值,指示oracle系统不使用密码文件,通过操作系统进行身份验证的特权用户拥有sysora和sysoper权限exclusive:
    1.表示只有一个数据库实例可以使用密码文件
    2.允许将sysora和sysoper权限赋值给sys以外的其它用户
    shared:
    1.表示可以有多个数据库实例可以使用密码文件
    2.不允许将sysora和sysoper权限赋值给sys以外的其它用户
    所以,如果要以操作系统身份登录,remote_login_passwordfile应该设置为none

    5.当登录用户不是ora_dba组和ora_oper组成员时,登录数据库需要在oracle中创建当前操作系统用户相同的用户名,如果当前用户是域用户,则名称为:domainname/yourname,如果是本地计算机用户,则名称为:computername/yourname

    创建方法:

    create "domainname/yourname" identified externally;
    grant connect to "domainname/yourname";

    windows操作系统,修改注册表hkey_local_machine/software/oracle/home0下面添加auth_prefix_domain,值设为false,在创建oracle用户时可以忽略掉域名

    这种方式下,init.ora中有一个参数将影响数据库如何匹配一个windows用户和oracle用户os_authent_prefix = ""
    缺省为空,oracle8i以前,无该参数,而使用ops$作为用户名前缀.(oracle用户名最大长度限制为30个字符)

    二、远程客户端使用操作系统验证

    首先需要在init.ora文件中设置如下参数:remote_os_authent=true

    oracle不推荐在远程客户端上使用操作系统验证,因为客户端验证时不是通过服务器上的操作系统用户来验证,而是使用客户端自己怕操作系统来进行windows验证,这样,客户端可以采用建立对应的windows机器名和用户名的方式来欺骗oracle的操作系统验证.
    例如:创建了如下oracle用户

    create "zl/zyk" identified externally;
    grant connect to "zl/zyk";

    如果有一台名为zl的机器,创建了一个名为zyk的用户,并以此登录连接oracle服务器(连接时使用/@oraclestr),无需用户名和密码造成此问题的原因是,oracle使用客户端操作系统进行验证,它无法区别zl是域名还是机器名.

    oracle数据库服务器上的windows身份认证很容易实施,并且使已登录的用户访问数据库很方便但是,这种验证模型并不适合远程客户端,因为安全隐患太大。

    三、oracle 9i对操作系统身份认证支持的增强

    oracle 9i可以与活动目录集成,通过oracle enterprise security manager 管理用户权限enterprise user authentication做为一种新的外部集中认证模式(也叫 global user authentication,oracle 9i以前的external user authentication仅仅采用了客户端操作系统本地认证)

    oracle9i运行在一个win2000及以上的域中,注册表hkey_local_machine/software/oracle/homeid,参数osauth_x509_name设置为true(默认为false,如果该参数不存在,则新增为reg_expand_sz类型)

    注意:windows nt 4.0 domain 不支持这种方式

发表评论 共有条评论
用户名: 密码:
验证码: 匿名发表