In Sammlung (en) In der gespeicherten
  1. Ingenieurwissenschaft
  2. Informatik
  3. Datenbank

Passwort-Sicherheit und Ressourcen verwalten

Werbung 
17
.................................
Passwort-Sicherheit und
Ressourcen verwalten
Lektion 17: Passwort-Sicherheit und Ressourcen verwalten
.....................................................................................................................................................
Ziele
Ziele
Nach dieser Lektion sollten Sie Folgendes können:
•
•
•
Passworter mit Profilen verwalten
•
Informationen über Profile, Passwort-Verwaltung
und Ressourcen ermitteln
17-2
Profile verwalten
Verwendung von Ressourcen mit Profilen
überwachen
Copyright  Oracle Corporation, 1999. All rights reserved.
.....................................................................................................................................................
17-2
Oracle8i Datenbankadministration Teil I
Überblick
.....................................................................................................................................................
Überblick
Profile
•
Benannte Menge von Passworteinstellungen und
Ressourcen-Begrenzungen
•
Werden Benutzern mit den
Befehlen CREATE USER
oder ALTER USER
zugewiesen
•
Können kollektiv aktiviert
oder deaktiviert werden
•
Können sich auf das
DEFAULT-Profil beziehen
17-3
Tablespace Default
tablespace
quotas
Authentication
mechanism
Security
domain
Role
privileges
Temporary
tablespace
Account
locking
Resource
Direct
privileges limits
Copyright  Oracle Corporation, 1999. All rights reserved.
Was ist ein Profil?
Ein Profil ist eine benannte Menge aus folgenden Passworteinstellungen und
Systemressourcen-Begrenzungen:
• Lebensdauer und Ablaufdatum des Passworts
• Passwort-Historie
• Überprüfung der Passwort-Komplexität
• Account-Sperre
• CPU-Zeit
• I/O-Operationen
• Leerlauf-Zeit
• Verbindungszeit
• Hauptspeicherbedarf (nur für MTS: privater SQL-Bereich)
• gleichzeitige Sessions
Die Datenbankadministration erstellt ein Profil und kann es dann einem Benutzer
zuordnen.Wenn die Ressourcengrenzen aktiviert sind, beschränkt der Oracle Server
Nutzung und Ressourcen der Datenbank auf das für den Benutzer definierte Profil.
.....................................................................................................................................................
Oracle8i Datenbankadministration Teil I
17-3
Lektion 17: Passwort-Sicherheit und Ressourcen verwalten
.....................................................................................................................................................
DEFAULT-Profil
Beim Erstellen der Datenbank erzeugt der Oracle Server automatisch ein DEFAULTProfil.
Für Benutzer, denen kein Profil explizit zugeordnet wurde, gilt das DEFAULT-Profil.
Alle Grenzwerte des DEFAULT-Profils sind anfangs auf unbegrenzt gesetzt. Die
Datenbankadministration kann jedoch die Werte ändern, so dass defaultmäßig gewisse
Einschränkungen für alle Benutzer gelten.
Verwendung von Profilen
• Ausführung von Operationen einschränken, die viele Ressourcen benötigen
• sicherstellen, dass Benutzer abgemeldet werden, die eine bestimmte Zeit in ihrer
Session nichts getan haben
• Gruppen-Grenzwerte für Benutzer festlegen, für die ähnliche Bedingungen gelten
• auf einfache Weise Benutzern Ressource-Beschränkungen zuweisen
• Ressourcen-Nutzung in großen, komplexen Mehrbenutzer-Datenbanksystemen
verwalten
• Verwendung von Passwörtern steuern
Profil-Eigenschaften
• Profil-Zuordnungen gelten nicht für aktuelle Sessions.
• Profile können nur Benutzern zugewiesen werden, aber nicht Rollen oder anderen
Profilen.
• Wenn ein Benutzer erzeugt wird, erhält er automatisch das DEFAULT-Profil,
außer ihm wird ein Profil zugewiesen.
.....................................................................................................................................................
17-4
Oracle8i Datenbankadministration Teil I
Passwörter verwalten
.....................................................................................................................................................
Passwörter verwalten
Passwort-Verwaltung
PasswortHistorie
AccountSperre
Benutzer
PasswortLebensdauer und
Ablaufdatum
17-4
Profile
einrichten
PasswortÜberprüfung
Copyright  Oracle Corporation, 1999. All rights reserved.
Funktionen der Passwort-Verwaltung
Zur besseren Kontrolle der Datenbanksicherheit steuert die Datenbankadministration
die Oracle Passwort-Verwaltung mit Profilen.
Diese Lektion beschreibt die verfügbaren Funktionen der Passwort-Verwaltung:
• Account-Sperre: ermöglicht automatisches Sperren eines Account nach einer
angegebenen Anzahl von misslungenen Anmeldeversuchen.
• Passwort-Lebensdauer und -Ablaufdatum: das Passwort erhält eine Lebenszeit,
nach der es abläuft und geändert werden muss.
• Passwort-Historie: prüft das neue Passwort, um sicherzustellen, dass das Passwort
nicht innerhalb des vorgegebenen Zeitraums bzw. unterhalb der eingestellten
Anzahl von Passwort-Änderungen erneut verwendet wird.
• Überprüfung der Passwort-Komplexität: führt eine Komplexitätsprüfung des
Passworts durch, um zu sehen, ob es sicher gegen Eindringlinge ist, die das
Passwort erraten könnten.
.....................................................................................................................................................
Oracle8i Datenbankadministration Teil I
17-5
Lektion 17: Passwort-Sicherheit und Ressourcen verwalten
.....................................................................................................................................................
Passwort-Verwaltung aktivieren
•
Richten Sie die Passwort-Vewaltung ein, indem Sie
Profile definieren und an Benutzer zuweisen.
•
Mit den Befehlen CREATE USER und ALTER USER
können Sie Accounts sperren, freigeben und
ungültig werden lassen.
•
Passwort-Beschränkungen sind immer aktiviert.
17-5
Copyright  Oracle Corporation, 1999. All rights reserved.
So aktivieren Sie die Passwort-Verwaltung
Definieren Sie Profile, um die Passwort-Einstellungen einzugrenzen, und weisen Sie
diese mit dem Befehl CREATE oder ALTER USER Benutzern zu.
Passwort-Beschränkungen in Profilen sind immer aktiviert.
Ist die Passwort-Verwaltung aktiviert, kann der Benutzer-Account mit dem Befehl
CREATE USER oder ALTER USER gesperrt bzw. freigegeben werden.
Hinweis: Der Befehl CREATE USER wird in der Lektion „Benutzer verwalten“
behandelt.
.....................................................................................................................................................
17-6
Oracle8i Datenbankadministration Teil I
Passwörter verwalten
.....................................................................................................................................................
Password Account Locking
Parameter
Beschreibung
FAILED_LOGIN_ATTEMPTS
Anzahl fehlgeschlagener AnmeldeVersuche bevor der Account gesperrt wird
PASSWORD_LOCK_TIME
Anzahl von Tagen, für die der Account
nach einem automatischem Sperren
gesperrt bleibt
17-6
Copyright  Oracle Corporation, 1999. All rights reserved.
Account-Sperre
Der Oracle-Server sperrt einen Account automatisch, wenn der Grenzwert
FAILED_LOGIN_ATTEMPTS erreicht wird. Der Account wird entweder nach einer
vorgegebenen Zeit (PASSWORD_LOCK_TIME) automatisch freigegeben oder die
Datenbankadministration muss den Account mit dem Befehl ALTER USER freigeben.
Ein Datenbank-Account kann auch explizit mit dem Befehl ALTER USER gesperrt
werden. Ein auf diese Weise gesperrter Account wird nicht automatisch freigegeben.
Hinweis: Der Befehl ALTER USER wird später in dieser Lektion beschrieben.
.....................................................................................................................................................
Oracle8i Datenbankadministration Teil I
17-7
Lektion 17: Passwort-Sicherheit und Ressourcen verwalten
.....................................................................................................................................................
Password-Lebensdauer und
Ablaufdatum
Parameter
Beschreibung
PASSWORD_LIFE_TIME
Lebensdauer des Passworts in Tagen,
nach denen das Passwort abläuft
PASSWORD_GRACE_TIME Toleranzperiode in Tagen, um das
Passwort nach der ersten erfolgreichen
Anmeldung nach Ablauf des Passworts
zu ändern
17-7
Copyright  Oracle Corporation, 1999. All rights reserved.
Passwort-Lebensdauer und -Ablaufdatum
Der Parameter PASSWORD_LIFE_TIME gibt die maximale Lebensdauer eines
Passworts an, danach muss es geändert werden.
Die Datenbankadministration kann einen Toleranzbereich
(PASSWORD_GRACE_TIME) definieren. Dieser beginnt nach dem ersten
Anmeldeversuch bei der Datenbank nach Ablauf des Passworts. Innerhalb dieses
Toleranzbereichs wird bei jedem Anmeldeversuch eine Warnung ausgegeben. Es wird
angenommen, dass der Benutzer sein Passwort innerhalb des Toleranzbereichs ändert.
Wird das Passwort nicht geändert, wird der Account gesperrt.
Der Status eines Benutzer-Account wechselt auf EXPIRED, wenn das Passwort
explizit auf abgelaufen gesetzt wird. Meldet sich dann der Benutzer an, beginnt die
Toleranzperiode für den Account. Diese Einstellung ist zum Beispiel sinnvoll, wenn
ein neuer Account erzeugt wird.
.....................................................................................................................................................
17-8
Oracle8i Datenbankadministration Teil I
Passwörter verwalten
.....................................................................................................................................................
Account-Sperre und Passwort
überwachen
ALTER USER lukas
IDENTIFIED BY my2ndson
ACCOUNT UNLOCK;
17-8
Copyright  Oracle Corporation, 1999. All rights reserved.
Account-Sperre und Passwort überwachen
Sie können mit dem Befehl ALTER USER das Passwort ändern und die AccountSperre steuern. In einigen der folgenden Situationen kann das nützlich sein:
• um das Passwort zurückzusetzen, wenn der Benutzer das Passwort vergessen hat
• um den Account des Benutzers freizugeben, wenn er vom System gesperrt wurde
• um den Account explizit zu sperren
• um ein Passwort manuell ablaufen zu lassen (Dies ist nützlich beim Zurücksetzen
von Benutzer-Passwörtern.)
Syntax
Verwenden Sie den Befehl:
ALTER USER user
[ IDENTIFIED {BY password | EXTERNALLY }]
[ PASSWORD EXPIRE]
[ ACCOUNT {LOCK | UNLOCK }] ;
Passwort-Änderungen, Passwort-Ablauf und -Sperren beeinflussen die aktuelle
Session nicht, wenn der Benutzer bereits angemeldet ist. Sie gelten nur für
nachfolgende Sessions.
.....................................................................................................................................................
Oracle8i Datenbankadministration Teil I
17-9
Lektion 17: Passwort-Sicherheit und Ressourcen verwalten
.....................................................................................................................................................
Syntax (Fortsetzung)
Ist ein Benutzer-Account gesperrt und der Benutzer versucht sich anzumelden, wird
folgende Meldung ausgegeben:
ERROR: ORA-28000: the account is locked
Warning: You are no longer connected to ORACLE.
.....................................................................................................................................................
17-10
Oracle8i Datenbankadministration Teil I
Passwörter verwalten
.....................................................................................................................................................
So überprüfen Sie mit dem Oracle Enterprise Manager Account-Sperren
und Passwörter
1 Starten Sie den Security Manager und melden Sie sich direkt bei der Datenbank
an:
Start—>Programs—>Oracle - EMV2 Home—>DBA Management Pack
—>Security Manager
2 Geben Sie die Anmelde-Informationen ein und klicken Sie OK.
3 Erweitern Sie den Ordner Users im Navigator-Baum.
4 Wählen Sie den Benutzernamen.
Wenn Sie eine Account-Sperre oder ein abgelaufenes Passwort ändern:
5 Wählen Sie Object—>Change Account Status.
6 Wählen Sie Unlock, Lock oder Expire Password.
Wenn Sie das Passwort oder die Art der Berechtigungsprüfung ändern:
7 Geben Sie die Einzelheiten im Register General des Eigenschaftenfensters ein.
8 Klicken Sie Apply.
.....................................................................................................................................................
Oracle8i Datenbankadministration Teil I
17-11
Lektion 17: Passwort-Sicherheit und Ressourcen verwalten
.....................................................................................................................................................
Passwort-Historie
Parameter
Beschreibung
PASSWORD_REUSE_TIME
Anzahl von Tagen, bevor ein Passwort
wieder verwendet werden kann
PASSWORD_REUSE_MAX
Anzahl von Passwortänderungen, bevor
ein Passwort wiederverwendet werden
kann
17-9
Copyright  Oracle Corporation, 1999. All rights reserved.
Passwort-Historie
Die Überprüfung der Passwort-Historie stellt sicher, dass innerhalb eines
vorgegebenen Zeitraums ein Passwort nicht wiederverwendet wird. Die Überprüfung
kann durch einen der folgenden Parameter implementiert werden:
• PASSWORD_REUSE_TIME gibt an, dass ein Passwort für eine vorgegebene
Anzahl von Tagen nicht wiederverwendet werden kann.
• PASSWORD_REUSE_MAX erzwingt eine Anzahl von Passwortänderungen, bis
ein Passwort wiederverwendet werden kann.
Wird einer der beiden Parameter auf einen anderen Wert als DEFAULT oder
UNLIMITED gesetzt, muss der andere Parameter auf UNLIMITED gesetzt werden.
.....................................................................................................................................................
17-12
Oracle8i Datenbankadministration Teil I
Passwörter verwalten
.....................................................................................................................................................
Passwort-Überprüfung
Parameter
Beschreibung
PASSWORD_VERIFY_FUNCTION
PL/SQL-Funktion, die die PasswortKomplexität prüft, bevor ein
Passwort akzeptiert wird
17-10
Copyright  Oracle Corporation, 1999. All rights reserved.
Passwort-Überprüfung
Bevor einem Benutzer ein neues Passwort zugewiesen wird, kann eine PL/SQLFunktion aufgerufen werden, um die Gültigkeit des Passworts zu überprüfen.
Der Oracle Server bietet eine Default-Überprüfungsroutine oder der
Datenbankadministrator kann eine PL/SQL-Funktion schreiben.
.....................................................................................................................................................
Oracle8i Datenbankadministration Teil I
17-13
Lektion 17: Passwort-Sicherheit und Ressourcen verwalten
.....................................................................................................................................................
Vom Benutzer bereitgestellte
Passwort-Funktion
Die Funktion muss im SYS-Schema erstellt werden
und muss der folgenden Spezifikation genügen:
function_name(
userid_parameter IN VARCHAR2(30),
password_parameter IN VARCHAR2(30),
old_password_parameter IN VARCHAR2(30))
RETURN BOOLEAN
17-11
Copyright  Oracle Corporation, 1999. All rights reserved.
So wird eine Funktion zur Passwort-Überprüfung definiert
Beim Hinzufügen einer neuen Passwort-Überprüfungsfunktion muss die
Datenbankadministration folgende Einschränkungen berücksichtigen:
• Die Funktion muss wie in der Folie angegeben spezifiziert werden.
• Die Funktion liefert TRUE bei erfolgreicher Ausführung und FALSE bei nicht
erfolgreicher Ausführung.
• Löst die Passwortfunktion eine Exception aus, wird ein Fehler zurückgemeldet
und der Befehl ALTER USER bzw. CREATE USER wird beendet.
• The Passwortfunktion hat den Eigentümer SYS.
• Wird die Passwortfunktion ungültig, wird ein Fehler zurückgemeldet und der
Befehl ALTER USER bzw. CREATE USER wird beendet.
Hinweis: Der Befehl CREATE USER wird in der Lektion „Benutzer verwalten“
behandelt.
.....................................................................................................................................................
17-14
Oracle8i Datenbankadministration Teil I
Passwörter verwalten
.....................................................................................................................................................
Passwort-Prüffunktion
VERIFY_FUNCTION
•
•
Minimale Länge von vier Zeichen.
•
Passwort sollte mindestens einen Buchstaben,
eine Ziffer und ein Spezialzeichen enthalten.
•
Passwort sollte sich vom letzen Passwort um
mindestens drei Zeichen unterscheiden.
Passwort sollte nicht gleich dem Benutzernamen
sein.
PasswortÜberprüfung
17-12
Copyright  Oracle Corporation, 1999. All rights reserved.
Default-Überprüfungsfunktion
Der Oracle Server stellt eine Funktion zur Komplexitätsüberprüfung bereit.
Das Skript utlpwdmg.sql, das im Schema SYS ausgeführt werden muss,
liefert als Default-PL/SQL-Funktion die Funktion VERIFY_FUNCTION.
Bei Ausführung des Skripts utlpwdmg.sql erzeugt der Oracle Server die
Funktion VERIFY_FUNCTION und ändert das DEFAULT-Profil mit
folgendem ALTER PROFILE-Befehl:
ALTER PROFILE DEFAULT LIMIT
PASSWORD_LIFE_TIME 60
PASSWORD_GRACE_TIME 10
PASSWORD_REUSE_TIME 1800
PASSWORD_REUSE_MAX UNLIMITED
FAILED_LOGIN_ATTEMPTS 3
PASSWORD_LOCK_TIME 1/1440
PASSWORD_VERIFY_FUNCTION verify_function;
.....................................................................................................................................................
Oracle8i Datenbankadministration Teil I
17-15
Lektion 17: Passwort-Sicherheit und Ressourcen verwalten
.....................................................................................................................................................
Profil erstellen:
Passwort-Einstellungen
CREATE PROFILE grace_5 LIMIT
FAILED_LOGIN_ATTEMPTS 3
PASSWORD_LOCK_TIME UNLIMITED
PASSWORD_LIFE_TIME 30
PASSWORD_REUSE_TIME 30
PASSWORD_VERIFY_FUNCTION verify_function
PASSWORD_GRACE_TIME 5;
17-13
Copyright  Oracle Corporation, 1999. All rights reserved.
So wird ein Profil erzeugt
Mit dem folgenden Befehl CREATE PROFILE verwalten Sie Passwörter:
CREATE PROFILE profile LIMIT
[FAILED_LOGIN_ATTEMPTS
max_value]
[PASSWORD_LIFE_TIME
max_value]
[ {PASSWORD_REUSE_TIME
|PASSWORD_REUSE_MAX}
max_value]
[ACCOUNT_LOCK_TIME
max_value]
[PASSWORD_GRACE_TIME
max_value]
[PASSWORD_VERIFY_FUNCTION
{function|NULL|DEFAULT} ]
mit:
profile
Name des Profils
FAILED_LOGIN_ATTEMPTS
gibt die maximale Anzahl der Fehlversuche
beim Anmelden des Benutzers-Accounts
an, bevor der Account gesperrt wird
.....................................................................................................................................................
17-16
Oracle8i Datenbankadministration Teil I
Passwörter verwalten
.....................................................................................................................................................
So wird ein Profil erzeugt (Fortsetzung)
PASSWORD_LIFE_TIME
gibt die Anzahl Tage an, an denen das
gleiche Passwort zur Berechtigungsprüfung
verwendet werden kann. Das Passwort läuft
ab, wenn es in diesem Zeitraum nicht
geändert wird und weitere Anmeldungen
werden zurückgewiesen.
PASSWORD_REUSE_TIME
gibt die Anzahl Tage an, vor deren Ablauf
das Passwort nicht wieder verwendet
werden kann. Wenn Sie die
PASSWORD_REUSE_TIME auf einen
Integer-Wert setzen, müssen Sie
PASSWORD_REUSE_MAX auf
UNLIMITED setzen.
PASSWORD_REUSE_MAX
gibt die Anzahl von erforderlichen
Passwort-Änderungen an, bevor das
aktuelle Passwort wieder verwendet werden
kann. Wenn Sie
PASSWORD_REUSE_MAX auf einen
Integer-Wert setzen, müssen Sie
PASSWORD_REUSE_TIME auf
UNLIMITED setzen.
PASSWORD_LOCK_TIME
gibt die Anzahl Tage an, die der Account
gesperrt wird, nachdem die angegebene
Anzahl von aufeinander folgenden
Anmeldeversuchen fehlschlug
PASSWORD_GRACE_TIME
gibt die Anzahl Tage der Toleranzperiode
an, in der eine Warnung ausgegeben wird
und das Anmelden erlaubt ist. Wird das
Passwort nicht während der
Toleranzperiode geändert, läuft das
Passwort ab.
PASSWORD_VERIFY_FUNCTION
ermöglicht die Angabe einer PL/SQLFunktion zur PasswortKomplexitätsüberprüfung, die als
Argument an die Anweisung CREATE
PROFILE übergeben wird
.....................................................................................................................................................
Oracle8i Datenbankadministration Teil I
17-17
Lektion 17: Passwort-Sicherheit und Ressourcen verwalten
.....................................................................................................................................................
So erzeugen Sie mit dem Oracle Enterprise Manager ein Profil
1 Starten Sie den Security Manager und melden Sie sich direkt bei der Datenbank
an:
Start—>Programs—>Oracle - EMV2 Home—>DBA Management Pack
—>Security Manager
2 Geben Sie die Anmelde-Informationen ein und klicken Sie OK.
3 Wählen Sie den Ordner Profiles und wählen Sie Object—>Create.
4 Wählen Sie Profile in der Liste und klicken Sie Create.
5 Wählen Sie das Register Password und geben Sie die Parameter für das Passwort
des Accounts ein.
6 Klicken Sie Create.
Profil zuweisen
Mit dem Befehl CREATE USER oder ALTER USER können Sie ein Profil zuweisen.
Jedem Benutzer kann gleichzeitig nur ein Profil zugewiesen sein.
Hinweis: Der Befehl CREATE USER wird in der Lektion „Benutzer verwalten“
behandelt.
.....................................................................................................................................................
17-18
Oracle8i Datenbankadministration Teil I
Passwörter verwalten
.....................................................................................................................................................
So weisen Sie mit dem Enterprise Manager einem Benutzer ein Profil zu
Mit den folgenden Schritten erzeugen Sie den Befehl ALTER USER mit dem Oracle
Enterprise Manager:
1 Starten Sie den Security Manager und melden Sie sich direkt bei der Datenbank an
Start—>Programs—>Oracle - EMV2 Home—>DBA Management Pack
—>Security Manager
2 Geben Sie die Anmelde-Informationen ein und klicken Sie OK.
3 Erweitern Sie den Ordner Profiles.
4 Wählen Sie ein Profil.
5 Wählen Sie Object—>Assign a Profile to User(s).
6 Wählen Sie den Benutzer in der Liste Assign Profile.
7 Klicken Sie Ok.
.....................................................................................................................................................
Oracle8i Datenbankadministration Teil I
17-19
Lektion 17: Passwort-Sicherheit und Ressourcen verwalten
.....................................................................................................................................................
Profil ändern und löschen
Profil ändern
ALTER PROFILE default
FAILED_LOGIN_ATTEMPTS 3
PASSWORD_LIFE_TIME 60
PASSWORD_GRACE_TIME 10;
17-14
Copyright  Oracle Corporation, 1999. All rights reserved.
Profil ändern
Mit dem Befehl ALTER PROFILE können Sie die Passwort-Einschränkungen eines
Profils ändern:
ALTER PROFILE profile LIMIT
[FAILED_LOGIN_ATTEMPTS
max_value]
[PASSWORD_LIFE_TIME
max_value]
[ {PASSWORD_REUSE_TIME
|PASSWORD_REUSE_MAX}
max_value]
[ACCOUNT_LOCK_TIME
max_value]
[PASSWORD_GRACE_TIME
max_value]
[PASSWORD_VERIFY_FUNCTION
{function|NULL|DEFAULT} ]
Wenn Sie die Passwort-Parameter auf weniger als einen Tag setzen wollen:
1 Stunde:
PASSWORD_LOCK_TIME = 1/24
10 Minuten PASSWORD_LOCK_TIME = 10/1400
.....................................................................................................................................................
17-20
Oracle8i Datenbankadministration Teil I
Profil ändern und löschen
.....................................................................................................................................................
5 Minuten
PASSWORD_LOCK_TIME = 5/1440
.....................................................................................................................................................
Oracle8i Datenbankadministration Teil I
17-21
Lektion 17: Passwort-Sicherheit und Ressourcen verwalten
.....................................................................................................................................................
So ändern Sie mit dem Oracle Enterprise Manager ein Profil
1 Starten Sie den Security Manager und melden Sie sich direkt bei der Datenbank
an:
Start—>Programs—>Oracle - EMV2 Home—>DBA Management Pack
—>Security Manager
2 Geben Sie die Anmelde-Informationen ein und klicken Sie OK.
3 Erweitern Sie den Ordner Profiles.
4 Wählen Sie das Profil.
5 Ändern Sie im Register Password die Einzelheiten für die Passwort-Parameter.
6 Klicken Sie Apply.
Richtlinien
Änderungen eines Profils beeinflussen nicht die aktuelle Sessions. Die Änderungen
gelten nur für nachfolgende Sessions.
.....................................................................................................................................................
17-22
Oracle8i Datenbankadministration Teil I
Profil ändern und löschen
.....................................................................................................................................................
Profil löschen
DROP PROFILE developer_prof;
DROP PROFILE developer_prof CASCADE;
17-15
Copyright  Oracle Corporation, 1999. All rights reserved.
Profil löschen
Sie löschen ein Profil mit dem Befehl DROP PROFILE:
DROP PROFILE profile [CASCADE]
mit:
profile
CASCADE
Name des zu löschenden Profils
entzieht das Profil Benutzern, denen es
zugewiesen ist. Der Oracle Server weist
automatisch das DEFAULT-Profile an diese
Benutzer zu. Geben Sie diese Option an, um
ein Profil zu löschen, das aktuellen
Benutzern zugewiesen ist.
Richtlinien
• Das DEFAULT-Profil kann nicht gelöscht werden.
• Wird ein Profil gelöscht, beeinflusst diese Änderung nur nachfolgende Sessions
und nicht die aktuellen Sessions.
.....................................................................................................................................................
Oracle8i Datenbankadministration Teil I
17-23
Lektion 17: Passwort-Sicherheit und Ressourcen verwalten
.....................................................................................................................................................
So löschen Sie mit dem Oracle Enterprise Manager ein Profil
1 Starten Sie den Security Manager und melden Sie sich direkt bei der Datenbank an
Start—>Programs—>Oracle - EMV2 Home—>DBA Management Pack
—>Security Manager
2 Geben Sie die Anmelde-Informationen ein und klicken Sie OK.
3 Erweitern Sie den Ordner Profiles.
4 Wählen Sie das Profil.
5 Wählen Sie Object—>Remove.
6 Klicken Sie OK.
.....................................................................................................................................................
17-24
Oracle8i Datenbankadministration Teil I
Ressource-Nutzung steuern
.....................................................................................................................................................
Ressource-Nutzung steuern
Ressourcen mit Profilen verwalten
1. Erstellen Sie Profile mit dem Befehl CREATE
PROFILE.
2. Weisen Sie Benutzern Profile mit den Befehlen
CREATE und ALTER USER zu.
3. Aktivieren Sie die Ressourcengrenzen mit:
– dem Initialisierungsparameter
RESOURCE_LIMIT
– dem Befehl ALTER SYSTEM
17-16
Copyright  Oracle Corporation, 1999. All rights reserved.
Verwenden von Ressourcengrenzen
So steuern Sie die Ressource-Nutzung über Profile:
1 Erzeugen Sie mit dem Befehl CREATE PROFILE ein Profil und legen Sie die
Ressourcen- und Passwort-Einschränkungen fest.
2 Weisen Sie das Profil mit dem Befehl CREATE USER oder ALTER USER zu.
3 Aktivieren Sie die Überprüfung der Ressourcengrenzen mit dem Befehl ALTER
SYSTEM oder indem Sie die Datei mit dem Initialisierungsparameter ändern,
dann die Instanz beenden und wieder neu starten.
Diese Schritte werden im folgenden Abschnitt ausführlich beschrieben.
Hinweis: Für die Oracle Passwort-Verwaltung muss die Überprüfung der
Ressourcengrenzen nicht aktiviert werden.
.....................................................................................................................................................
Oracle8i Datenbankadministration Teil I
17-25
Lektion 17: Passwort-Sicherheit und Ressourcen verwalten
.....................................................................................................................................................
Ressourcengrenzen auf Session-Ebene
setzen
Ressource
Beschreibung
CPU_PER_SESSION
Gesamt-CPU-Zeit in 1/100 Sekunden
SESSIONS_PER_USER
Anzahl von Sessions, die gleichzeitig
für einen Benutzer möglich sind
CONNECT_TIME
Verbindungszeit in Minuten
IDLE_TIME
Zeitraum in Minuten für inaktive Zeiten
LOGICAL_READS_PER
_SESSION
Anzahl Datenblöcke (physikalisches
und logisches Lesen)
PRIVATE_SGA
Privater Speicherplatz in der SGA in
Bytes (nur für MTS)
17-17
Copyright  Oracle Corporation, 1999. All rights reserved.
Grenzwerte auf Aufruf- und Session-Ebene
Profil-Grenzwerte können auf Session- und/oder Aufrufebene überprüft werden.
Session-Grenzwerte werden für jede Verbindung überprüft.
Ist eine Session-Grenze überschritten, gilt:
• Eine Fehlermeldung wird ausgegeben, zum Beispiel:
ORA-02391: exceeded simultaneous SESSION_PER_USER limit.
• Der Oracle Server meldet den Benutzer ab.
Grenzwerte auf Aufrufebene werden bei jedem Aufruf einer SQL-Anweisung
überprüft.
Ist eine Aufruf-Grenze überschritten, gilt:
• Die Bearbeitung der Anweisung wird angehalten.
• Die Anweisung wird zurückgerollt.
• Alle vorangegangenen Anweisungen sind noch intakt.
• Die Session des Benutzers bleibt erhalten.
.....................................................................................................................................................
17-26
Oracle8i Datenbankadministration Teil I
Ressource-Nutzung steuern
.....................................................................................................................................................
Ressourcengrenzen auf Aufruf-Ebene
setzen
Ressource
Beschreibung
CPU_PER_CALL
CPU-Zeit pro Aufruf in 1/100
Sekunden
LOGICAL_READS_PER _CALL Anzahl Datenblöcke, die pro
Aufruf gelesen werden können
17-18
Copyright  Oracle Corporation, 1999. All rights reserved.
Richtlinien
• IDLE_TIME wird nur für den Server-Prozess berechnet. Anwendungsaktivitäten
werden nicht berücksichtigt. Lang laufende Abfragen und andere Operationen
wirken sich nicht auf die IDLE_TIME-Grenze aus.
• LOGICAL_READS_PER_SESSION ist ein Grenzwert für die Gesamtanzahl von
Leseoperationen sowohl vom Speicher als auch von Platte. Dieser Grenzwert kann
gesetzt werden, um zu verhindern, dass I/O-intensive Anweisungen Speicher oder
Platte blockieren.
• PRIVATE_SGA gilt nur für Multithreaded Server (MTS) Architektur und kann mit
M oder K angegeben werden.
Hinweis: Die MTS Architektur wird im Kurs Oracle 8i: Net8 behandelt.
.....................................................................................................................................................
Oracle8i Datenbankadministration Teil I
17-27
Lektion 17: Passwort-Sicherheit und Ressourcen verwalten
.....................................................................................................................................................
Profil erstellen:
Ressourcengrenzen
CREATE PROFILE developer_prof LIMIT
SESSIONS_PER_USER 2
CPU_PER_SESSION 10000
IDLE_TIME 60
CONNECT_TIME 480;
17-19
Copyright  Oracle Corporation, 1999. All rights reserved.
Befehlssyntax von CREATE PROFILE
Erzeugen Sie ein Profil mit dem folgenden Befehl CREATE PROFILE:
CREATE PROFILE profile LIMIT
[SESSIONS_PER_USER
max_value]
[CPU_PER_SESSION
max_value]
[CPU_PER_CALL
max_value]
[CONNECT_TIME
max_value]
[IDLE_TIME
max_value]
[LOGICAL_READS_PER_SESSION max_value]
[LOGICAL_READS_PER_CALL
max_value]
[COMPOSITE_LIMIT
max_value]
[PRIVATE_SGA
max_bytes]
mit:
profile
max_value
max_bytes
Name des Profils
Integer-Wert, UNLIMITED oder
DEFAULT
Integer-Wert (optional von K oder M
gefolgt), UNLIMITED oder DEFAULT
.....................................................................................................................................................
17-28
Oracle8i Datenbankadministration Teil I
Ressource-Nutzung steuern
.....................................................................................................................................................
Befehlssyntax von CREATE PROFILE (Fortsetzung)
UNLIMITED
gibt an, dass ein Benutzer mit diesem Profil
diese Ressource unbegrenzt nutzen kann
DEFAULT
setzt für diese Ressource den Grenzwert wie
im DEFAULT-Profil
COMPOSITE_LIMIT
begrenzt die Gesamt-Ressource-Kosten
einer Session in Service-Einheiten. Oracle
berechnet die Ressource-Kosten als
gewichtete Summe aus:
CPU_PER_SESSION
CONNECT_TIME
LOGICAL_READS_PER_SESSION
PRIVATE_SGA
Hinweis: Die Data Dictionary-View RESOURCE_COST zeigt die Gewichtung der
einzelnen Ressourcen.
Informationen, wie Sie die Gewichtung für eine Session-Ressource angeben, finden
Sie beim Befehl ALTER RESOURCE COST im SQL Reference Guide.
.....................................................................................................................................................
Oracle8i Datenbankadministration Teil I
17-29
Lektion 17: Passwort-Sicherheit und Ressourcen verwalten
.....................................................................................................................................................
So erzeugen Sie mit dem Oracle Enterprise Manager ein Profil
1 Starten Sie den Security Manager und melden Sie sich direkt bei der Datenbank
an:
Start—>Programs—>Oracle - EMV2 Home—>DBA Management Pack
—>Security Manager
2 Geben Sie die Anmelde-Informationen ein und klicken Sie OK.
3 Wählen Sie den Ordner Profiles und wählen Sie Object—>Create.
4 Wählen Sie Profile in der Liste und klicken Sie Create.
5 Geben Sie die Ressourcen-Parameter ein.
6 Klicken Sie Create.
.....................................................................................................................................................
17-30
Oracle8i Datenbankadministration Teil I
Ressource-Nutzung steuern
.....................................................................................................................................................
Ressourcengrenzen aktivieren
•
Setzen Sie den Initialisierungsparamter
RESOURCE_LIMIT auf TRUE.
•
Überwachen Sie die Ressourcengrenzen, indem
Sie den Parameter mit dem Befehl ALTER SYSTEM
aktivieren.
ALTER SYSTEM SET RESOURCE_LIMIT=TRUE;
17-20
Copyright  Oracle Corporation, 1999. All rights reserved.
Einhaltung der Ressourcengrenzen überwachen
Sie können die Überprüfung der Ressourcengrenzen mit dem Befehl ALTER
SYSTEM ein- bzw. ausschalten oder indem Sie den Initialisierungsparameter
RESOURCE_LIMIT ändern.
Initialisierungsparameter RESOURCE_LIMIT
• Um die Überprüfung der Ressourcengrenzen ein- bzw. auszuschalten, ändern Sie
diesen Parameter in der Initialisierungsdatei und starten die Instanz neu.
• Der Wert TRUE schaltet die Überprüfung ein.
• Der Wert FALSE schaltet die Überprüfung aus (Default).
• Verwenden Sie diesen Parameter zum Ein- bzw. Ausschalten der Überprüfung,
wenn die Datenbank heruntergefahren werden kann.
Befehl ALTER SYSTEM
• Um die Überprüfung der Ressourcengrenzen für eine Instanz ein- bzw.
auszuschalten, verwenden Sie den Befehl ALTER SYSTEM.
• Die mit dem Befehl ALTER SYSTEM vorgenommene Einstellung gilt, bis sie
entweder nochmals geändert oder die Datenbank heruntergefahren wird.
• Verwenden Sie diesen Parameter zum Ein- bzw. Ausschalten der Überprüfung,
.....................................................................................................................................................
Oracle8i Datenbankadministration Teil I
17-31
Lektion 17: Passwort-Sicherheit und Ressourcen verwalten
.....................................................................................................................................................
wenn die Datenbank nicht heruntergefahren werden kann.
.....................................................................................................................................................
17-32
Oracle8i Datenbankadministration Teil I
Informationen über Passwörter und Ressourcengrenzen ausgeben
.....................................................................................................................................................
Informationen über Passwörter und Ressourcengrenzen
ausgeben
Informationen über Passwörter und
Ressourcengrenzen ausgeben
•
DBA_USERS
– profile
– username
– account_status
– lock_date
– expiry_date
•
DBA_PROFILES
– profile
– resource_name
– resource_type (PASSWORD, KERNEL)
– limit
Copyright  Oracle Corporation, 1999. All rights reserved.
17-21
Benutzer-Informationen ausgeben
Aus der View DBA_USERS erhalten Sie Informationen über Ablaufdatum,
Sperrdatum und Account-Status.
SQL> SELECT username, password, account_status,
2
lock_date, expiry_date
3
FROM dba_users;
USERNAME PASSWORD
ACCOUNT_STATUS
LOCK_DATE
EXPIRY_DA
-------- ------------------- --------------- ---------- ------SYS
8A8F025737A9097A
OPEN
SYSTEM
D4DF7931AB130E37
OPEN
BOB
3B2BC8EE81975F69
OPEN
OUTLN
4A3BA55E08595C81
OPEN
DBSNMP
E066D214D5421CCC
OPEN
TODD
BB69FBB77CFA6B9A
OPEN
.....................................................................................................................................................
Oracle8i Datenbankadministration Teil I
17-33
Lektion 17: Passwort-Sicherheit und Ressourcen verwalten
.....................................................................................................................................................
KAY
957C7EF29CC223FC
LOCKED
SCOTT
F894844C34402B67
OPEN
24-JUN-99
10-JUL-99
Profil-Informationen ausgeben
Aus der View DBA_PROFILES erhalten Sie Informationen über PasswortEinstellungen:
SQL> SELECT * FROM dba_profiles
2
WHERE resource_type='PASSWORD'
3
AND profile=’GRACE_5’;
PROFILE RESOURCE_NAM
RESOURCE
------- ------------------------
--------
GRACE_5 FAILED_LOGIN_ATTEMPTS
PASSWORD
3
GRACE_5 PASSWORD_LIFE_TIME
PASSWORD
30
GRACE_5 PASSWORD_REUSE_TIME
PASSWORD
GRACE_5 PASSWORD_REUSE_MAX
PASSWORD
GRACE_5 PASSWORD_VERIFY_FUNCTION
PASSWORD
GRACE_5 PASSWORD_LOCK_TIME
PASSWORD
GRACE_5 PASSWORD_GRACE_TIME
PASSWORD
LIMIT
---------
30
UNLIMITED
DEFAULT
UNLIMITED
5
Verknüpfen Sie die Data Dictionary-Views DBA_USERS und DBA_PROFILES über
einen Join, um die Ressourcengrenzen für den Benutzer SCOTT abzufragen.
SQL> SELECT p.profile, p.resource_name, p.limit
2 FROM dba_users u, dba_profiles p
3 WHERE p.profile=u.profile AND
4 username=’SCOTT’ AND
5 p.resource_type=’KERNEL’;
PROFILE
RESOURCE_NAME
LIMIT
---------------
--------------------------
DEVELOPER_PROF
COMPOSITE_LIMIT
DEVELOPER_PROF
SESSIONS_PER_USER
DEVELOPER_PROF
CPU_PER_SESSION
DEVELOPER_PROF
CPU_PER_CALL
DEFAULT
DEVELOPER_PROF
LOGICAL_READS_PER_SESSION
DEFAULT
DEVELOPER_PROF
LOGICAL_READS_PER_CALL
DEFAULT
DEVELOPER_PROF
IDLE_TIME
DEVELOPER_PROF
CONNECT_TIME
DEVELOPER_PROF
PRIVATE_SGA
-------DEFAULT
2
10000
60
480
DEFAULT
.....................................................................................................................................................
17-34
Oracle8i Datenbankadministration Teil I
Zusammenfassung
.....................................................................................................................................................
Zusammenfassung
Zusammenfassung
In dieser Lektion sollten Sie Folgendes gelernt haben:
• Passwörter verwalten
•
•
Profile verwalten
Ressourcengrenzen verwalten
17-22
Copyright  Oracle Corporation, 1999. All rights reserved.
Kurzreferenz
Kontext
Initialisierungsparameter
Dynamische PerformanceViews
Data Dictionary-Views
Befehle
Gespeicherte Prozeduren und
Funktionen
Referenz
RESOURCE_LIMIT
keine
DBA_PROFILES
DBA_USERS
CREATE PROFILE
ALTER PROFILE
DROP PROFILE
ALTER USER
VERIFY_FUNCTION
.....................................................................................................................................................
Oracle8i Datenbankadministration Teil I
17-35
Lektion 17: Passwort-Sicherheit und Ressourcen verwalten
.....................................................................................................................................................
.....................................................................................................................................................
17-36
Oracle8i Datenbankadministration Teil I
Zugehörige Unterlagen
Oracle Application Express: Entwickeln von
Oracle Application Express: Entwickeln von
Verwalten Lösungen für Anleger und
Verwalten Lösungen für Anleger und
Einladung Hiermit lädt Euch der Bereich BME Young Professional
Einladung Hiermit lädt Euch der Bereich BME Young Professional
Oracle Datenbank Administrator (m/w)
Oracle Datenbank Administrator (m/w)
Datenbank durchcheken, analysieren (Tuninghinweise)
Datenbank durchcheken, analysieren (Tuninghinweise)
Oracle Database 12c: Admin, Install and Upgrade
Oracle Database 12c: Admin, Install and Upgrade
Oracle Fusion Middleware Migration | Fact Sheet von OPITZ
Oracle Fusion Middleware Migration | Fact Sheet von OPITZ
SAP TM Senior Berater
SAP TM Senior Berater
Stellenausschreibung
Stellenausschreibung
Curriculum Vitae (PDF 242 KB)
Curriculum Vitae (PDF 242 KB)
Flyer - Informatik Aktuell
Flyer - Informatik Aktuell
Drucken - Opitz Consulting
Drucken - Opitz Consulting
Herunterladen
Werbung