1.1.4 管理员验证

数据库管理员能够执行普通数据库用户不该执行的特殊操作（例如启动或关闭数据库）。Oracle 为数据库管理员用户提供更为安全的身份验证方式。

1.1.4.1操作系统安全性

在UNIX 和Linux 中，默认情况下，DBA 属于install 操作系统组。该组具有创建和

删除数据库文件所需的权限。

● DBA 必须具有创建或删除文件的操作系统权限。

● 普通数据库用户不应具有创建或删除数据库文件的操作系统权限。

1.1.4.2管理员安全性

只在使用口令文件或操作系统特权与权限完成验证后，才授权建立SYSDBA 和

SYSOPER 连接。如果使用操作系统验证，那么数据库就不使用提供的用户名和口令。当口

令文件不存在，或者该文件中不存在提供的用户名和口令，或者未提供用户名和口令时，就

使用操作系统验证。

但是，如果使用口令文件成功完成了验证，则使用用户名记录连接。如果使用操作系统

成功完成了验证，则表示这是一个CONNECT/连接，这种连接不记录具体用户。

注：操作系统验证优先于口令文件验证。特别是，如果您是操作系统中OSDBA 或

OSOPER 组的成员，而且以SYSDBA 或SYSOPER 身份进行连接，则会使用关联的管理

权限为您建立连接，不管您指定的用户名和口令是什么。

● 通过口令文件或操作系统验证SYSDBA 和SYSOPER 连接。

• – 口令文件验证会按名称记录DBA 用户。
• – 操作系统验证并不记录具体用户。
• – 对于SYSDBA 和SYSOPER，操作系统验证优先于口令文件验证。

要为账户启用操作系统和口令身份验证（二者是相配的），必须为用户授予SYSDBA 或者SYSOPER 权限：

GRANT [ sysdba | sysoper ] TO username ;

如果向用户授予这些权限之一或者所有权限，则会将用户口令从数据字典复制到外部口令文件中，此时，即使数据库未处于打开状态，实例也可以读取口令。

要使用口令文件身份验证，用户可以在使用 SQL*Plus 时通过以下语法连接：

CONNECT username / password[ @db_alias] AS [ SYSOPER | SYSDBA ] ; 

注意，可使用口令文件身份验证，通过 Oracle Net 连接到远程数据库。

要使用操作系统身份验证，用户必须被确认为有权限访问 Oracle 二进制文件的操作

系统用户之后，且在使用 SQL*Plus 时通过以下语法连接之前首先登陆到数据库服务器：

CONNECT / AS [ SYSOPER | SYSDBA ] ; 

与 SYSDBA 和 SYSOPER 以同一种方式运行的第三种权限是 SYSASM，此权限仅适

用于 ASM 实例。

Oracle 数据库在密码文件（password file）中记录被授予了 SYSDBA 及 SYSOPER 权

限的数据库用户，这些权限能够执行以下操作：

具备 SYSOPER 权限的数据库管理员能够执行 STARTUP，SHUTDOWN，ALTER

DATABASE OPEN/MOUNT，ALTER DATABASE BACKUP，ARCHIVE LOG，及 RECOVER

命令，并具备 RESTRICTED SESSION 权限。

具备 SYSDBA 权限的数据库管理员拥有所有系统权限（system privilege）及权限的

ADMIN OPTION 选项，还拥有 SYSOPER 所拥有的全部系统权限。此外，能够执行

CREATE DATABASE 命令，并能够执行基于时间的恢复操作（time-based recovery）。

1.1.5 身份验证的几个相关参数和配置

● remote_login_passwordfile

查看是否允许远程登录使用口令文件进行身份验证

• SHARED 一个或多个数据库可以使用口令文件。可以包含 SYS 或者非 SYS 的口令文件。
• EXCLUSIVE 新版本和 SHARED 功能一致。
• NONE 不允许远程使用口令文件验证，如远程用 SYS 账号连接 Oracle 将会报错。

SQL> show parameter remote_login_passwordfile 
NAME TYPE VALUE 
------------------------------------ ----------- -------------------- 
remote_login_passwordfile string EXCLUSIVE 
SQL> alter system set remote_login_passwordfile='NONE' scope=spfile 
SQL> startup force 
进行远程连接，报错，实际是参数值被更改： 
SQL> conn sys / oracle@orcl as sysdba 
ERROR: 
ORA-01017: invalid username/password; logon denied 

● 查看使用口令文件进行身份验证的用户列表：

SQL> select * from v$pwfile_users; 
USERNAME SYSDB SYSOP 
------------------------------ ----- ----- 
SYS TRUE TRUE 

● SQLNET.AUTHENTICATION_SERVICES

$ORACLE_HOME/network/admin/sqlnet.ora 配置文件中

SQLNET.AUTHENTICATION_SERVICES 参数，有三个取值：

• NONE：作用是不允许通过 OS 系统用户登录数据库，需要提供用户名及密码；
• ALL：作用是允许所有的登录方式；
• NTS：作用是允许本地操作系统用户认证；

1.1.6 数据库模式对象

Schema 模式是一系列对象的集合。一个模式只能够被一个数据库用户所拥有，并且模

式的名称与这个用户的名称相同。ORACLE 数据库中的每个用户都拥有一个唯一的模式，

他所创建的所有模式对象都保存在自己的模式中。模式对象的类型有表、索引、簇、触发器、

PL/SQL、序列、同义词、视图、存储过程和存储函数等，当然，Oracle 中并不是所有的对

象都是模式对象，非模式对象有：

• ? 表空间
• ? 用户
• ? 角色
• ? 回滚段
• ? 概要文件

当用户在数据库中创建一个模式对象后，这个模式对象默认地属于这个用户的模式。一

个用户可以访问其模式的所有对象，但其它用户要访问另一个模式的对象时，必须在对象名

前加上它所属的模式名。例如用户 SCOTT 检索其模式的表 EMP 时，可以直接执行语句：

SELECT * FROM EMP； 

但是，如果要访问 SMITH 模式的 CLASS 表时，则必须执行语句：

SELECT * FROM SMITH.CLASS。 

初学者在刚刚接触模式概念时，常常不清楚数据库用户与模式之间的区别。造成这种情

况的原因是因为在 Oracle 数据库中，模式与数据库用户是一一对应，每个数据库用户都拥

有一个与他的用户名相同的模式。因此，在 Oracle 数据库中，模式与用户两个概念的差别

很小，经常可以替换。例如“用户 A 拥有 TEMP 表”和“模式 A 拥有 TEMP 表”两句话的意义是相同的。因此不必在语言上完全区分模式与用户，但是，一定要清楚模式与用户是两个完

全不同的概念。

写在最后的话

感谢各位的支持与阅读，后续会继续推送相关知识和交流，欢迎交流、转发和关注，感谢！