Oracle Cloud Infrastructure-Dokumentation

Benutzerprofile mit Autonomous Database verwalten

Sie können Benutzerprofile in Autonomous Database erstellen und ändern. Nach dem Erstellen oder Ändern eines Profils können Sie die Profilklausel mit CREATE USER oder ALTER USER angeben. Mit dem Oracle Data Pump-Import können Sie auch vorhandene Benutzerprofile aus einer anderen Umgebung importieren.

Hinweis

In Autonomous Database gelten Einschränkungen für die Profilklausel. Informationen zu den Einschränkungen für CREATE PROFILE und ALTER PROFILE finden Sie unter SQL-Befehle.

Um einen Kennwortparameter in einem Profil, einschließlich DEFAULT-Profil, hinzufügen, ändern oder entfernen zu können, benötigen Sie die Systemberechtigung ALTER PROFILE.

  1. Um ein Profil hinzuzufügen oder zu ändern, führen Sie als ADMIN-Benutzer CREATE PROFILE oder ALTER PROFILE aus. Beispiele:
    CREATE PROFILE new_profile
  LIMIT PASSWORD_REUSE_MAX 10
  PASSWORD_LOCK_TIME 5;

    Wenn Sie nicht der ADMIN-Benutzer sind, müssen Sie über die Berechtigung CREATE PROFILE verfügen, CREATE PROFILE auszuführen. Wenn Sie ALTER PROFILE ausführen, benötigen Sie die Berechtigung ALTER PROFILE.

  2. Verwenden Sie das neue oder geänderte Profil mit dem Befehl CREATE USER oder ALTER USER. Beispiele:
    CREATE USER new_user IDENTIFIED BY password PROFILE new_profile;
GRANT CREATE SESSION TO new_user;

Dadurch wird new_user mit Profil new_profile und mit Verbindungsberechtigungen erstellt. Der new_user kann sich jetzt bei der Datenbank anmelden und Abfragen ausführen. Informationen zum Erteilen zusätzlicher Berechtigungen für Benutzer finden Sie unter Benutzerberechtigungen auf Autonomous Database verwalten.

Informationen zur Verwendung von CREATE PROFILE oder ALTER PROFILE finden Sie unter CREATE PROFILE.

Sie können vorhandene Profile, die in anderen Umgebungen erstellt wurden, mit dem Oracle Data Pump-Import (impdp) importieren. Alle vorhandenen Profilverknüpfungen mit Datenbankbenutzern bleiben nach dem Import in Autonomous Database erhalten. Wenn ein neu erstellter Benutzer, der aus einem Oracle Data Pump-Import erstellt wurde, zum ersten Mal versucht, sich anzumelden, erfolgt die Anmeldung wie folgt:

  • Die Einschränkungen der Kennwortkomplexität sind gleich wie die Einschränkungen für alle Benutzer in Autonomous Database.

  • Wenn das Kennwort des Benutzers die Anforderungen an die Passwortkomplexität verletzt, ist der Account mit einer Nachfrist von 30 Tagen abgelaufen. In diesem Fall muss der Benutzer sein Kennwort ändern, bevor die Verlängerungsfrist endet.

Hinweis0

Profilzuweisungen für Benutzer mit Profil ORA_PROTECTED_PROFILE und ORA_ADMIN_PROFILE können nicht geändert werden.

Die folgenden Benutzer teilen das Profil ORA_PROTECTED_PROFILE, und die Profilzuweisung dieser Benutzer kann nicht geändert werden:

  • ADBSNMP
  • ADB_APP_STORE
  • DCAT_ADMIN
  • GGADMIN
  • RMAN$CATALOG

Der Benutzer ADMIN ist ORA_ADMIN_PROFILE zugewiesen.

Wenn Sie ein Profil erstellen oder ändern, können Sie eine Kennwortverifizierungsfunktion zur Verwaltung der Kennwortkomplexität angeben. Weitere Informationen finden Sie unter Kennwortkomplexität in Autonomous Database verwalten.

Übergeordnetes Thema: Benutzer verwalten

Kennwortkomplexität in Autonomous Database verwalten

Sie können eine Kennwortüberprüfungsfunktion erstellen und sie mit einem Profil verknüpfen, um die Komplexität von Benutzerpasswörtern zu verwalten.

Hinweis

Die Mindestkennwortlänge für eine benutzerdefinierte Felder (PVF) beträgt 8 Zeichen und muss mindestens einen Großbuchstaben, einen Kleinbuchstaben und ein numerisches Zeichen enthalten. Die Mindestkennwortlänge für das DEFAULT-Profil beträgt 12 Zeichen (das DEFAULT-Profil verwendet die Kennwortverifizierungsfunktion CLOUD_VERIFY_FUNCTION). Das Kennwort darf nicht den Benutzernamen enthalten.

Oracle empfiehlt eine Mindestkennwortlänge von 12 Zeichen. Wenn Sie die PVF eines Profils definieren und eine Mindestkennwortlänge von weniger als 12 Zeichen festlegen, melden Tools wie Oracle Database Security Assessment Tool (DBSAT) und Qualys dies als Datenbanksicherheitsrisiko.

Um beispielsweise eine PFF für ein Profil anzugeben, verwenden Sie den folgenden Befehl:

CREATE PROFILE example_profile LIMIT PASSWORD_VERIFY_FUNCTION ADMIN.EXAMPLE_PVF

Wenn das Profil von einem anderen Benutzer als dem ADMIN-Benutzer erstellt oder geändert wird, müssen Sie der PVF die Berechtigung EXECUTE erteilen. Wenn Sie eine PVF erstellen und die Kennwortprüfung nicht erfolgreich verläuft, meldet die Datenbank den Fehler ORA-28219.

Sie können eine von Oracle bereitgestellte Kennwortverifizierungsfunktion aus einer der folgenden Quellen angeben:

  • CLOUD_VERIFY_FUNCTION (dies ist die Standardfunktion zur Kennwortverifizierung für Autonomous Database):

    Diese Funktion prüft die folgenden Anforderungen, wenn Benutzer Kennwörter erstellen oder ändern:

    • Das Kennwort muss zwischen 12 und 30 Zeichen umfassen und mindestens einen Großbuchstaben, einen Kleinbuchstaben und ein numerisches Zeichen enthalten.

    • Das Kennwort darf nicht den Benutzernamen enthalten.

    • Das Kennwort darf keines der letzten vier Kennwörter sein, die für denselben Benutzernamen verwendet wurden.

    • Das Kennwort darf keine doppelten Anführungszeichen (") enthalten.

    • Das Kennwort darf nicht mit einem Kennwort übereinstimmen, das vor weniger als 24 Stunden festgelegt wurde.

  • ORA12C_STIG_VERIFY_FUNCTION

    Diese Funktion prüft die folgenden Anforderungen, wenn Benutzer Kennwörter erstellen oder ändern:

    • Das Kennwort enthält mindestens 15 Zeichen.

    • Das Kennwort enthält mindestens 1 Kleinbuchstabe und mindestens 1 Großbuchstaben.

    • Das Kennwort enthält mindestens 1 Ziffer.

    • Das Kennwort enthält mindestens 1 Sonderzeichen.

    • Das Kennwort unterscheidet sich vom vorherigen Kennwort durch mindestens 8 Zeichen.

    Weitere Informationen finden Sie unter ora12c_stig_verify_function-Kennwortanforderungen.

Beachten Sie die folgenden Einschränkungen, wenn Sie eine Kennwortverifizierungsfunktion erstellen und einem Profil zuweisen:

  • Wenn Sie ein Benutzerprofil angeben, hängt die minimale Kennwortlänge wie folgt von der Definition der zugehörigen Kennwortverifizierungsfunktion ab:

    • Wenn eine Kennwortverifizierungsfunktion definiert ist, beträgt die erzwungene Mindestkennwortlänge 8 Zeichen mit mindestens einem Großbuchstaben, einem Kleinbuchstaben und einem numerischen Zeichen. Das Kennwort darf nicht den Benutzernamen enthalten.

    • Wenn die Kennwortverifizierungsfunktion als NULL definiert ist, ist die durchgesetzte Mindestkennwortlänge 8 Zeichen mit mindestens einem Großbuchstaben, einem Kleinbuchstaben und einem numerischen Zeichen. Das Kennwort darf nicht den Benutzernamen enthalten.

    • Wenn für das Profil keine PVF definiert ist, wird die PVF (CLOUD_VERIFY_FUNCTION) des DEFAULT-Profils zugewiesen, und die erzwungene Mindestkennwortlänge beträgt 12 Zeichen.

  • Wenn Sie eine PVF (Password Verify Function) angeben, die strenger ist als die Standardfunktion CLOUD_VERIFY_FUNCTION, wird die neue Verifizierungsfunktion verwendet.

  • Sie müssen eine Kennwortverifizierungsfunktion als DEFINER RIGHTS-PL/SQL-Funktion erstellen. Wenn eine PVF mit INVOKER-Berechtigungen als Eingabe für CREATE oder ALTER PROFILE bereitgestellt wird, wird der Fehler ORA-28220 ausgelöst.

  • Alle von Ihnen erstellten PVFs müssen im ADMIN-Benutzerschema erstellt werden. Wenn eine Nicht-ADMIN-Benutzer-PVF als Eingabe für CREATE oder ALTER PROFILE bereitgestellt wird, wird der Fehler ORA-28220 ausgelöst.

  • Eine Kennwortverifizierungsfunktion kann nicht von einem Nicht-ADMIN-Benutzer geändert oder gelöscht werden. Dies bedeutet, dass ein Benutzer mit der Berechtigung CREATE oder DROP ANY PROCEDURE nicht berechtigt ist, eine PVF zu ändern oder zu löschen.

  • Wenn die mit einem Profil verknüpfte PVF gelöscht wird, löst jeder Versuch, das Kennwort für einen Benutzer zu ändern, der die PVF in seinem Profil verwendet, den Fehler ORA-7443 aus. Benutzer können sich weiterhin anmelden, wenn die mit ihrem Profil verknüpfte Kennwortverifizierungsfunktion gelöscht wird. Wenn jedoch das Kennwort eines Benutzers abgelaufen ist und die PVF gelöscht wird, kann sich der Benutzer nicht anmelden.

    Um den Fehler ORA-7443 zu beheben, muss der ADMIN-Benutzer die gelöschte PVF neu erstellen und dem Profil zuweisen oder dem Profil eine vorhandene PVF zuweisen. Dadurch kann ein Benutzer sein Kennwort und seine Anmeldung ändern.

  • Die CREATE ANY PROCEDURE-Systemberechtigungen und DROP ANY PROCEDURE-Systemberechtigungen werden auf die PF-Sicherheit auditiert. Weitere Informationen finden Sie in der Liste PROCEDURES unter Listen von System- und Objektberechtigungen.

Weitere Informationen finden Sie unter Managing the Complexity of Passwords.

Stufenweises Rollover von Datenbankpasswörtern für Anwendungen

Eine Anwendung kann ihre Datenbankkennwörter ändern, ohne dass ein Administrator Ausfallzeiten planen muss.

Dazu können Sie ein Profil mit einem Grenzwert ungleich null für den Kennwortprofilparameter PASSWORD_ROLLOVER_TIME mit einem Anwendungsschema verknüpfen. Dadurch kann das Datenbankkennwort des Anwendungsbenutzers geändert werden, während das ältere Kennwort für die durch den Grenzwert PASSWORD_ROLLOVER_TIME angegebene Zeit gültig bleibt. Während des Rollover-Zeitraums kann die Anwendungsinstanz entweder das alte oder das neue Kennwort für die Verbindung mit dem Datenbankserver verwenden. Nach Ablauf der Rollover-Zeit ist nur das neue Kennwort zulässig.

Weitere Informationen finden Sie unter Stufenweises Rollover von Datenbankkennwörtern für Anwendungen verwalten.