[Oracle]Oracle数据库任何用户密码都能以sysdba角色登入

 

* 本文相关环境：Windows 10，64位操作系统；Oracle 11gR2；toad for Oracle12.1

      最近在学习Oracle数据库，使用Toad for Oracle来查看数据库的信息，发现在以sysdba角色登录数据库时，无论输入什么密码，均可以连接到数据库，以为是数据库又出故障了，带着疑问，查找资料。发现里面有很多的学问，下面简单记述一下。

      Oracle认证用户有两种方式：操作系统认证与口令认证。操作系统认证也叫本地认证。

• 操作系统认证：Oracle认为操作系统用户是可靠的，那么既然你能登录到操作系统，必然也能登录到数据库；
• 口令文件认证：Oracle认为操作系统用户是不可靠的，如果要访问数据库，必须再次使用密码认证。

（一）操作系统认证

要使用操作系统认证，需要设置两处：

（1）在sqlnet.ora文件中设置：

SQLNET.AUTHENTICATION_SERVICES= (NTS)

如下图（第8行）：

NTS特指的是windows系统。

（2）在windows中建立ora_dba组，然后把需要使用操作系统认证的用户加到这个组中，组的打开方式为：

控制面板->管理工具->计算机管理->本地用户和组->组。打开后我们可以看到相关信息：

点开Ora_dba用户组，可以看到：

这就可以解释为什么我们在使用Toad for Oracle或sqlplus等客户端工具登录数据库时，密码错误仍然可以登入：我们在安装数据库时，采用了默认的安装方式，使用操作系统认证登录到数据库，所以在使用sysdba方式认证登录时，无论密码对错，均可以登录到数据库。这里要注意的一点是，在使用了操作系统用户组ora_dba里面的用户登录才会采用操作系统用户登录，如果用户不在ora_dba里面，则无法使用操作系统用户登录。

登陆后，可以在 SQL Plus中执行下面语句 select user from dual来查看当前用户：

发现数据库的用户为SYS而不是SCOTT。经过多次测试，发现从CMD以sqlplus / as sysdba登录也是相同的结果。最后发现，无论使用哪个账户，只要以as sysdba登录到数据库，最终数据库的user均为SYS。

 

（二）口令文件认证

Oracle的密码文件包含了被授予SYSDBA和SYSOPER权限的用户的用户名和密码，如果要使用用户名和密码登录，则把sqlnet.ora文件的AUTHENTICATION_SERVICES=none，或者将这句删除或屏蔽（前面加“#”号）。使用操作系统登录数据库的方式就会失去作用，只有给出正确的用户名和密码才能登录。

SQL*Plus: Release 11.2.0.1.0 Production on 星期日 12月 18 23:01:31 2016

Copyright (c) 1982, 2010, Oracle.  All rights reserved.

请输入用户名:  scott as sysdba      /*以管理员方式登录*/
输入口令:           /*输入错误的口令*/   
ERROR:
ORA-01031: insufficient privileges


请输入用户名:  scott as sysdba     /*以管理员方式登录*/ 
输入口令:     /*输入正确的口令*/ 
ERROR:
ORA-01031: insufficient privileges


请输入用户名:  scott       /*以normal方式登录*/ 
输入口令:    /*输入正确的口令*/ 

连接到:
Oracle Database 11g Enterprise Edition Release 11.2.0.1.0 - 64bit Production
With the Partitioning, OLAP, Data Mining and Real Application Testing options

SQL>

 

-完-