浅谈Oracle外部身份认证研究

一、服务器上使用操作系统验证
    1.配置SQLNET.ORA文件

    参数NAMES.DIRECTORY_PATH= (TNSNAMES, ONAMES, HOSTNAME)表明解析客户端连接时所用的主机字符串的方式
    TNSNAMES表示采用TNSNAMES.ORA文件来解析;
    ONAMES表示Oracle使用自己的名称服务器(Oracle Name Server)来解析,目前Oracle建议使用轻量目录访问协议LDAP来取代ONAMES;
    HOSTNAME表示使用host文件,DNS,NIS等来解析;

    参数SQLNET.AUTHENTICATION_SERVICES= (NONE,NTS)表明用户连接Oracle服务器时使用哪种验证方式NONE表示Oracle数据库身份验证,NTS表示操作系统身份验证,两种方式可以并用。

    2.建立相应的操作系统组及用户加入该组

    ORA_DBA组中的域用户和本地用户不需要Oracle用户名和密码就可以登录Oracle而且该组的用户登录数据库后都具有SYSDBA权限(多个实例时,可以建立类似这样的组ORA_SID_DBA,其中SID指实例名)同理:ORA_OPER组中的成员具有SYSOPER角色的权限。

    3.登录方式

    C:\>sqlplus “/ as sysdba”
    或者C:\>sqlplus nolog,然后SQL>connect / as sysdba

    4.init.ora中的Remote_Login_Passwordfile对身份验证的影响

    三个可选值:

    NONE:默认值,指示Oracle系统不使用密码文件,通过操作系统进行身份验证的特权用户拥有SYSORA和SYSOPER权限EXCLUSIVE:
    1.表示只有一个数据库实例可以使用密码文件
    2.允许将SYSORA和SYSOPER权限赋值给SYS以外的其它用户
    SHARED:
    1.表示可以有多个数据库实例可以使用密码文件
    2.不允许将SYSORA和SYSOPER权限赋值给SYS以外的其它用户
    所以,如果要以操作系统身份登录,Remote_Login_Passwordfile应该设置为NONE

    5.当登录用户不是ORA_DBA组和ORA_OPER组成员时,登录数据库需要在Oracle中创建当前操作系统用户相同的用户名,如果当前用户是域用户,则名称为:domainname\yourname,如果是本地计算机用户,则名称为:computername\yourname

    创建方法:

    create "domainname\yourname" identified externally;
    grant connect to "domainname\yourname";

    Windows操作系统,修改注册表HKEY_LOCAL_MACHINE\SOFTWARE\ORACLE\HOME0下面添加AUTH_PREFIX_DOMAIN,值设为FALSE,在创建Oracle用户时可以忽略掉域名

    这种方式下,init.ora中有一个参数将影响数据库如何匹配一个windows用户和Oracle用户os_authent_prefix = ""
    缺省为空,Oracle8i以前,无该参数,而使用OPS$作为用户名前缀.(Oracle用户名最大长度限制为30个字符)

    二、远程客户端使用操作系统验证

    首先需要在init.ora文件中设置如下参数:REMOTE_OS_AUTHENT=TRUE

    Oracle不推荐在远程客户端上使用操作系统验证,因为客户端验证时不是通过服务器上的操作系统用户来验证,而是使用客户端自己怕操作系统来进行windows验证,这样,客户端可以采用建立对应的windows机器名和用户名的方式来欺骗Oracle的操作系统验证.
    例如:创建了如下Oracle用户

    create "zl\zyk" identified externally;
    grant connect to "zl\zyk";

    如果有一台名为ZL的机器,创建了一个名为zyk的用户,并以此登录连接Oracle服务器(连接时使用\@OracleSTR),无需用户名和密码造成此问题的原因是,Oracle使用客户端操作系统进行验证,它无法区别zl是域名还是机器名.

    Oracle数据库服务器上的windows身份认证很容易实施,并且使已登录的用户访问数据库很方便但是,这种验证模型并不适合远程客户端,因为安全隐患太大。

    三、Oracle 9i对操作系统身份认证支持的增强

    Oracle 9i可以与活动目录集成,通过Oracle Enterprise Security Manager 管理用户权限Enterprise user authentication做为一种新的外部集中认证模式(也叫 global user authentication,Oracle 9i以前的External user authentication仅仅采用了客户端操作系统本地认证)

    Oracle9i运行在一个win2000及以上的域中,注册表HKEY_LOCAL_MACHINE\SOFTWARE\ORACLE\HOMEID,参数OSAUTH_X509_NAME设置为true(默认为false,如果该参数不存在,则新增为REG_EXPAND_SZ类型)

    注意:Windows NT 4.0 domain 不支持这种方式

时间: 2024-08-01 07:21:33

浅谈Oracle外部身份认证研究的相关文章

浅谈php用户身份认证(四)

               浅谈php用户身份认证(四)                           爆米花 2001 12,28 www.westxj.net   大家好,前面几节讲了这个基于http单用户和多用户的密码验证的编写程序的方法,这种方法对于需要身份验证的页面,是最好不过的了.但是,这种验证不能在cgi模式的php,iis下的php使用.所以,我们就可以利用session在不同页面之间来保存用户信息,达到验证的目的.   session是指一个终端用户与交互系统进行通信的

浅谈php用户身份认证(二)

                  浅谈php用户身份认证(二)                              爆米花 2001年12月28日 www.westxj.net(二)基于http的多用户验证    上次给大家介绍了基于http的单用户验证,这次利用mysql数据库储存多用户数据,进行多用户验证.1.首先建立mysql数据库mysql>create database user;        //建立数据库usermysql>use user;              

浅谈php用户身份认证(一)

                 浅谈php用户身份认证(一)                             爆米花2001年9月25日 www.westxj.net    大家在浏览网站的时候,常常会遇到某些网页会需要用户和密码的验证,这就需要我们编写相应的身份验证程序来实现此功能.以下是我的一些学习过程和体会,希望对大家有所帮助.(一).基于HTTP验证的单用户身份验证:    我们利用函数header()发送HTTP标头强制进行验证,客户端浏览器则弹出要输入用户名和密码的对话框,

浅谈php用户身份认证(三)

            浅谈php用户身份认证(三)                           爆米花 2001 12,28 www.westxj.net  前面讲了基于http多用户验证,我们采用的mysql数据库,在密码验证方面孤狼大哥建议非常好,密码验证的时候,最好在数据库中进行,所以程序为:select id from user where user='$PHP_AUTH_USER' and password='$PHP_AUTH_USER'. 

浅谈Oracle数据库外部身份认证研究

以下的文章主要是浅谈Oracle数据库的外部身份认证实际研究,我在一个信誉度很好的网站,找到了一个关于浅谈Oracle数据库外部身份认证的一些实用性很强的相关资料,拿出来供大家分享. 一.服务器上使用操作系统验证 1.配置SQLNET.ORA文件 参数NAMES.DIRECTORY_PATH= (TNSNAMES, ONAMES, HOSTNAME)表明解析客户端连接时所用的主机字符串的方式.TNSNAMES表示采用TNSNAMES.ORA文件来解析:ONAMES表示Oracle使用自己的名称服

浅谈HTTP使用BASIC认证的原理及实现方法_java

一.BASIC认证概述 在HTTP协议进行通信的过程中,HTTP协议定义了基本认证过程以允许HTTP服务器对WEB浏览器进行用户身份证的方法,当一个客户端向HTTP服务 器进行数据请求时,如果客户端未被认证,则HTTP服务器将通过基本认证过程对客户端的用户名及密码进行验证,以决定用户是否合法.客户端在接收到HTTP服务器的身份认证要求后,会提示用户输入用户名及密码,然后将用户名及密码以BASE64加密,加密后的密文将附加于请求信息中, 如当用户名为anjuta,密码为:123456时,客户端将用

浅谈Oracle数据库的建模与设计_oracle

正在看的ORACLE教程是:浅谈Oracle数据库的建模与设计.要开发一个基于数据库的应用系统,其中最关键的一步就是整个系统所依据的数据库的建模设计,从逻辑的到物理的,一个环节疏于设计,整个的应用系统便似建立在危房之上,随着开发过程的不断深入,它要随时面临着各种难  以预料的风险,开发者要为修改或重新设计没有设计好的数据库系统而付出难以预料的代价.所以,一个良好的数据库设计是高效率的系统所必须的.  一.逻辑建模  数据库设计的方法因具体数据库而异,但是建模阶段的相同的,所以可以用一些通用的工具

浅谈django中的认证与登录_python

认证登录 django.contrib.auth中提供了许多方法,这里主要介绍其中的三个: 1  authenticate(**credentials)    提供了用户认证,即验证用户名以及密码是否正确 一般需要username  password两个关键字参数 如果认证信息有效,会返回一个  User  对象.authenticate()会在User 对象上设置一个属性标识那种认证后端认证了该用户,且该信息在后面的登录过程中是需要的.当我们试图登陆一个从数据库中直接取出来不经过authent

浅谈oracle中SYS_CONTEXT上下文关系以及TCP和IPC两种连接方式

前天维护数据库,在执行某个的脚本时,发现结果与实际情况有所出入.对该脚本进行检查,发现其中包含有一条子查询语句: SELECT sys_context('userenv','ip_address') from DUAL; 在sqlplus内执行,返回结果为空.经翻阅资料,发现该语句的作用是返回一个上下文的参数值.其中sys_context是一个oracle关键字,用于查询一个命名空间(namespace)中某个参数(parameter)的值.Oracle默认建立的命名空间为"userenv&qu