Jako DBA budete k serveru nejčastěji přistupovat vzdáleně pomocí nějakého ssh klienta. Nejrozšířenější a dle mého i nejkomfortnější je putty klient. Umožňuje ukládat šifrované klíče, můžete tunelovat i X windows na vlastní počítač nemůžete-li spouštět grafické rozhraní na serveru a plno dalších možností. Abyste mohli činnost DBA vykonávat vzdáleně je potřeba povolit vzdálené připojení.Během vzdáleného startu nebo zastavení databáze nemůžete ověřovat uživatele v databázi, tudíž musíte nastavit jiný způsob ověření. Máte volby mezi ověření pomocí operačního systému nebo pomocí souboru hesel. Nás bude zajímat možnost použití souboru hesel.Standardní uložení souboru je v adresáři ORACLE_HOME/dbs. Jmenná konvence je pevně daná. Jestli máte databázi vytvořenou pomocí nástroje dbca (database configuration assistant), pak soubor hesel máte již vytvořený.
[oracle@centos53 dbs]$ pwd/u01/app/oracle/product/11.1.0/db_1/dbs[oracle@centos53 dbs]$ ls -ltr orapw*-rw-r—– 1 oracle oinstall 1536 Oct 15 08:16 orapworcl11gKde jméno souboru se skládá ze zkratky orapw a jména instance. (orapw)Soubor můžete jednoduše vytvořit utilitou orapwd.[oracle@centos53 dbs]$ orapwd file=orapworcl11g password=oracle entries=3Parametr file určuje jméno souboru, password heslo uživatele sys a entries udává maximální počet uživatelů, kteří budou schopni nastartovat a zastavit databázi. Zadáte-li nízké číslo a budete chtít přidat uživatele pak nemáte na výběr a musíte celý soubor hesel vytvořit znovu.Aby soubor hesel vzešel v platnost musí být parametr remote_login_passwordfile nastaven na hodnotu exclusive nebo shared. Exclusive je používáno u samostatných databází a shared u RAC. (real application cluster.)SQL> show parameter REMOTE_LOGIN_PASSWORDFILENAME TYPE VALUE———————————— ———– —————-remote_login_passwordfile string EXCLUSIVEV souboru hesel jsou uloženi všichni uživatelé kteří mají oprávnění SYSDBA. Zkontrolovat to můžete dotazem do pohledu v$pwfile_users.SQL> select * from v$pwfile_users;USERNAME SYSDB SYSOP SYSAS—————————— —– —– —–SYS TRUE TRUE FALSEPřihlásíte-li se nyní jako uživatel scott nebudete moci zastavit databázi, neboť nemáte dostatečné oprávnění. Jakmile uživateli scott přiřadíte oprávnění SYSDBA je automaticky přidán do souboru hesel a získá veškerá oprávnění v databázi. Od této chvíle může databázi i zastavit a opět nastartovat.SQL> grant sysdba to scott;Grant succeeded.SQL> select * from v$pwfile_users;USERNAME SYSDB SYSOP SYSAS—————————— —– —– —–SYS TRUE TRUE FALSESCOTT TRUE FALSE FALSEPoznámka: Odejmout oprávnění můžete příkazem revoke.SQL> revoke sysdba from scott;Revoke succeeded.Metalink:207959.1 All About Security: User, Privilege, Role, SYSDBA, O/S Authentication, Audit, Encryption, OLS, Database Vault, Audit Vault1029539.6 How to Set up the Oracle Password File1016540.6 How to enable remote password with ORAPWD and Parallel Server470832.1 ORA-1031 When Connecting Remotely AS SYSDBA431374.1 How to reset the password for the administrative login ‘AS SYSDBA’ if it is lost?50507.1 SYSDBA and SYSOPER Privileges in Oracle
Komentáře
