首页 » ORACLE » ORA-01031:insufficient privileges淡oracle登录认证

ORA-01031:insufficient privileges淡oracle登录认证

有时大家会有疑惑,为什么有是sqlplus / as sysdba无法登录?又是什么时候应该密码文件?什么时候应该数据库验证?为什么远程不能登录?首先你得了解下面两个选项

关于oracle os认证和口令文件认证的简要解析(转载:南非蚂蚁社区)
环境 
windows2000+sp4,oracle9.201 
oracle软件以oracle帐户安装 

一、sysdba的权限 
sysdba(sysoper和normal)是登录数据库的身份,与角色(dba、resource)、对象权限及系统权限有所区别,登录身份表明了可对数据库的整体进行哪些操作,sysdba有些类似unix下的root帐户。 
sysdba的权限或可对数据库进行的操作: 
startup,shutdown 
alter database open|mount 
alter database backup controlfile 
alter tablespace begin/end backup 
recover database 
alter database archivelog,restricted session 
create database 
recover database until 

二、os认证和口令文件认证 

1、os认证和口令文件认证其实质是对oracle数据库采取何种管理方式,是本地管理还是通过一台管理服务器统一管理。 
本地管理采用的就是os认证方式,统一管理采用的就是口令文件认证方式 
2、两种认证的实现 
oracle数据库通过sqlnet.ora文件中的参数SQLNET.AUTHENTICATION_SERVICES,PFILE(或SPFILE)文件中的参数REMOTE_LOGIN_PASSWORDFILE和口令文件PWDsid.ora三者协同作用实现身份认证。 
 
SQLNET.AUTHENTICATION_SERVICES=(NTS)|(NONE) 
SQLNET.AUTHENTICATION_SERVICES=(NTS): 操作系统认证方式,不使用口令文件 
SQLNET.AUTHENTICATION_SERVICES=(NONE):口令文件认证方式 
 
REMOTE_LOGIN_PASSWORDFILE=(NONE)|(EXCLUSIVE)|(SHARED) 
REMOTE_LOGIN_PASSWORDFILE=(NONE):不使用口令文件,操作系统认证 
REMOTE_LOGIN_PASSWORDFILE=(EXCLUSIVE):口令文件认证方式,但只有一个数据库实例可以使用此文件, 
系统允许将SYSOPER/SYSDBA授予除INTERNAL/SYS以外的其他用户,且以具有这类身份的其他用户登录是有效的 
REMOTE_LOGIN_PASSWORDFILE=(SHARED):口令文件认证方式,可有多个数据库实例使用此文件,但是此设置下 
只有INTERNAL/SYS帐号能被识别,即使文件中存有其他用户的信息,也不允许他们以SYSOPER/SYSDBA登录 
 
1)SQLNET.AUTHENTICATION_SERVICES=(NTS)同时REMOTE_LOGIN_PASSWORDFILE=(NONE),此时为操作系统认证方式。 
当以oracle_dba组下的用户登录进入本地windows2000后进行下边的操作: 
sqlplus /nolog 
sql>conn /as sysdba 
或 
sqlplus /nolog 
sql>conn 任意用户名/密码 as sysdba 
均可以sysdba身份登录成功,进行数据库方面的操作 
当以远程进行登录时,执行 
sqlplus /nolog 
sql>conn /as sysdba 
或 
sqlplus /nolog 
sql>conn sys/密码 as sysdba 
均显示 
“ERROR: 
ORA-01031: insufficient privileges 
” 
也就是不允许以sysdba身份远程登录系统,这也是os认证之所以也称为本地认证方式的原因 
 
2)SQLNET.AUTHENTICATION_SERVICES=(NONE)同时REMOTE_LOGIN_PASSWORDFILE=(EXCLUSIVE)或(SHARED),配合口令文件 
PWDsid.ora,此时为口令文件认证方式 
当在本地以oracle_dba组下的用户登录进入windows2000后进行下边的操作: 
sqlplus /nolog 
sql>conn /as sysdba 
显示 
“ERROR: 
ORA-01031: insufficient privileges 
” 
实质上是要求提供拥有sysdba身份的用户名和密码 
在本地或远程进行下边的操作 
sqlplus “sys/密码@服务名 as sysdba” 
可进入系统 
也就是说口令文件认证方式允许用户从本地或远程以sysdba身份登录,但必须提供口令字 
 
3)SQLNET.AUTHENTICATION_SERVICES=(NTS)同时REMOTE_LOGIN_PASSWORDFILE=(EXCLUSIVE)或(SHARED),配合口令文件PWDsid.ora,此时操作系统认证和口令文件认证同时起作用 
当在本地以oracle_dba组下的用户登录进入windows2000后进行下边的操作: 
sqlplus /nolog 
sql>conn /as sysdba 
可进入系统 
当在远程执行 
sqlplus “sys/密码@服务名 as sysdba” 
同样可正常登录到数据库系统上 
上边的参数配置容易令人迷惑、混淆,造成假象。我推测网上有些朋友所以对身份认证产生费解可能就是因为这么 
配置参数的! 

三、其他
 
从前边的讨论可以知道,我们能够对sys以外的用户赋予sysdba身份,具体方法就是 
SQLNET.AUTHENTICATION_SERVICES=(NONE) 
REMOTE_LOGIN_PASSWORDFILE=(EXCLUSIVE) 
口令文件PWDsid.ora 
SQL>grant sysdba to 用户名 
这样,其他具有sysdba身份的用户就加入到PWDsid.ora中,并可以被PWDsid.ora识别,我们可以用这个被赋予sysdba身份的用户登录并进行类似sys用户下所能执行的操作。

打赏

目前这篇文章有1条评论(Rss)评论关闭。

  1. Floria Voedisch | #1
    2011-12-21 at 03:54

    i found your site on yahoo, thanks for putting up such a beautifu blog.