问:我在Linux RH 5.3上安装了Oracle数据库。我想有一个确定的外部Oracle用户,其中os_roles=true.但是我经常收到下面的错误信息: ORA-01045: user lacks CREATE SESSION privilege; logon denied 是不是这样的效果只能在Windows平台下实现,在其它的OS中貌似无法实现? 答:对于Oracle,无论是Windows还是Linux,你都可以通过操作系统认证证书来授予用户权限。当使用OS认证时,你要记住你的数据库只能同底层OS的安全级别相同。 在微软的Windows中,Kerberos网络认证协……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
问:我在Linux RH 5.3上安装了Oracle数据库。我想有一个确定的外部Oracle用户,其中os_roles=true.但是我经常收到下面的错误信息:
ORA-01045: user lacks CREATE SESSION privilege; logon denied
是不是这样的效果只能在Windows平台下实现,在其它的OS中貌似无法实现?
答:对于Oracle,无论是Windows还是Linux,你都可以通过操作系统认证证书来授予用户权限。当使用OS认证时,你要记住你的数据库只能同底层OS的安全级别相同。
在微软的Windows中,Kerberos网络认证协议通常使得客户端可以通过OS认证连接Oracle数据库。在执行的时候,你需要添加下面一行到sqlnet.ora中:
SQLNET.AUTHENTICATION_SERVICES=(NTS)
在完成添加之后,你可以通过'OS_ROLES'开关来进行外部角色授权,这是非常简便的方法,但是需要你的DBA与系统管理员直接默契的配合才能到达高效的用户管理。
在Linux中,本地OS授权在默认情况下是已经启动的,而且应用比较广泛。相反地,远程授权认证的应用就比较少了,因为它会造成系统漏洞,危险性比较高。
要在Linux下设置Oracle远程认证,你需要将REMOTE_OS_AUTHENT参数值设为TRUE,在外部识别用户,并且用OS_AUTHENT_PREFIX作为用户名的前缀(我认为这可能就是造成你上述错误的真正原因)。尽管通过配置监听或者IP过滤可以降低远程认证的风险,但我依然强烈建议用户最好不要进行这一工作。
在迫不得已的情况下,非常重要的一点就是千万别使用默认 OS_AUTHENT_PREFIX。在大多数设置中,只要OS用户名同Oracle用户名匹配,那么执行远程认证可以令任何客户端以任意用户身份连接到数据库服务器。