Oracle Cloud Infrastructure-Dokumentation

Benutzerprofile mit Autonomous Database verwalten

Sie können Benutzerprofile in Autonomous Database erstellen und ändern. Nachdem Sie ein Profil erstellt oder geändert haben, können Sie die Profilklausel mit CREATE USER oder ALTER USER angeben. Mit Oracle Data Pump Import können Sie auch vorhandene Benutzerprofile aus einer anderen Umgebung importieren.

Hinweis

Für Autonomous Database gelten Einschränkungen für die Profilklausel. Informationen zu den Einschränkungen CREATE PROFILE und ALTER PROFILE finden Sie unter SQL-Befehle.

Um einen Kennwortparameter in einem Profil, einschließlich des Profils DEFAULT, hinzuzufügen, zu ändern oder zu entfernen, benötigen Sie die Systemberechtigung ALTER PROFILE.

  1. Um ein Profil hinzuzufügen oder zu ändern, führen Sie als ADMIN-Benutzer CREATE PROFILE oder ALTER PROFILE aus. Beispiel:
    CREATE PROFILE new_profile
  LIMIT PASSWORD_REUSE_MAX 10
  PASSWORD_LOCK_TIME 5;

    Wenn Sie nicht der ADMIN-Benutzer sind, benötigen Sie die Berechtigung CREATE PROFILE, um CREATE PROFILE auszuführen. Wenn Sie ALTER PROFILE ausführen, benötigen Sie die Berechtigung ALTER PROFILE.

  2. Verwenden Sie das neue oder geänderte Profil mit dem Befehl CREATE USER oder ALTER USER. Beispiel:
    CREATE USER new_user IDENTIFIED BY password PROFILE new_profile;
GRANT CREATE SESSION TO new_user;

Dadurch wird new_user mit Profil new_profile und Verbindungsberechtigungen erstellt. Die new_user kann jetzt eine Verbindung zur Datenbank herstellen und Abfragen ausführen. Informationen zum Erteilen zusätzlicher Berechtigungen für Benutzer finden Sie unter Benutzerberechtigungen in Autonomous Database verwalten - Verbindung mit einem Clienttool herstellen.

Informationen zur Verwendung von CREATE PROFILE oder ALTER PROFILE finden Sie unter CREATE PROFILE.

Mit Oracle Data Pump Import (impdp) können Sie vorhandene Profile importieren, die in anderen Umgebungen erstellt wurden. Jede vorhandene Profilverknüpfung mit Datenbankbenutzern wird nach dem Import in Autonomous Database beibehalten. Wenn ein neu erstellter Benutzer, der aus einem Oracle Data Pump-Import erstellt wurde, zum ersten Mal versucht, sich anzumelden, wird die Anmeldung wie folgt behandelt:

  • Die Einschränkungen der Kennwortkomplexität sind mit den Einschränkungen für jeden Benutzer in Autonomous Database identisch.

  • Wenn das Kennwort des Benutzers die Anforderungen an die Passwortkomplexität verletzt, ist der Account mit einer 30-tägigen Nachfrist abgelaufen. In diesem Fall muss der Benutzer sein Kennwort vor Ablauf der Nachfrist ändern.

Hinweis

Profilzuweisungen für Benutzer mit den Profilen ORA_PROTECTED_PROFILE und ORA_ADMIN_PROFILE können nicht geändert werden.

Die folgenden Benutzer verwenden das Profil ORA_PROTECTED_PROFILE gemeinsam, und die Profilzuweisung dieser Benutzer kann nicht geändert werden:

  • ADBSNMP
  • ADB_APP_STORE
  • DCAT_ADMIN
  • GGADMIN
  • RMAN$CATALOG

Der Benutzer ADMIN ist ORA_ADMIN_PROFILE zugewiesen.

Wenn Sie ein Profil erstellen oder ändern, können Sie eine Passwortverifizierungsfunktion (Password Verification Function, PVF) angeben, um die Passwortkomplexität zu verwalten. Weitere Informationen finden Sie unter Kennwortkomplexität in Autonomous Database verwalten.

Übergeordnetes Thema: Benutzer verwalten

Kennwortkomplexität in Autonomous Database verwalten

Sie können eine Passwortverifizierungsfunktion (Password Verify Function, PVF) erstellen und die PVF mit einem Profil verknüpfen, um die Komplexität von Benutzerkennwörtern zu verwalten.

Hinweis

Die Mindestkennwortlänge für einen benutzerdefinierten PVF beträgt 8 Zeichen und muss mindestens einen Großbuchstaben, einen Kleinbuchstaben und ein numerisches Zeichen enthalten. Die Mindestkennwortlänge für das DEFAULT-Profil beträgt 12 Zeichen (das DEFAULT-Profil verwendet CLOUD_VERIFY_FUNCTION PVF). Das Kennwort darf den Benutzernamen nicht enthalten.

Oracle empfiehlt die Verwendung einer Mindestpasswortlänge von 12 Zeichen. Wenn Sie die PVF eines Profils definieren und die Mindestkennwortlänge auf weniger als 12 Zeichen festlegen, melden Tools wie Oracle Database Security Assessment Tool (DBSAT) und Qualys dies als Datenbanksicherheitsrisiko.

Beispiel: Um eine PVF für ein Profil anzugeben, verwenden Sie den folgenden Befehl:

CREATE PROFILE example_profile LIMIT PASSWORD_VERIFY_FUNCTION ADMIN.EXAMPLE_PVF

Wenn das Profil von einem anderen Benutzer als dem ADMIN-Benutzer erstellt oder geändert wird, müssen Sie die Berechtigung EXECUTE für die PVF erteilen. Wenn Sie eine PVF erstellen und die Kennwortprüfung nicht erfolgreich verläuft, meldet die Datenbank den Fehler ORA-28219.

Sie können eine von Oracle bereitgestellte PVF wie folgt angeben:

  • CLOUD_VERIFY_FUNCTION (dies ist die Standardkennwortverifizierungsfunktion für Autonomous Database):

    Diese Funktion prüft die folgenden Anforderungen, wenn Benutzer Kennwörter erstellen oder ändern:

    • Das Kennwort muss zwischen 12 und 30 Zeichen umfassen und mindestens einen Großbuchstaben, einen Kleinbuchstaben und ein numerisches Zeichen enthalten.

    • Das Kennwort darf den Benutzernamen nicht enthalten.

    • Das Kennwort darf keines der letzten vier Kennwörter sein, die für denselben Benutzernamen verwendet wurden.

    • Das Kennwort darf keine doppelten Anführungszeichen (") enthalten.

    • Das Kennwort darf nicht mit einem Kennwort übereinstimmen, das vor weniger als 24 Stunden festgelegt wurde.

  • ORA12C_STIG_VERIFY_FUNCTION

    Diese Funktion prüft die folgenden Anforderungen, wenn Benutzer Kennwörter erstellen oder ändern:

    • Das Kennwort enthält mindestens 15 Zeichen.

    • Das Passwort hat mindestens 1 Kleinbuchstaben und mindestens 1 Großbuchstaben.

    • Das Passwort hat mindestens 1 Ziffer.

    • Das Passwort hat mindestens 1 Sonderzeichen.

    • Das Passwort unterscheidet sich von dem vorherigen Passwort um mindestens 8 Zeichen.

    Weitere Informationen finden Sie unter ora12c_stig_verify_function Password Requirements.

Beachten Sie die folgenden Einschränkungen für eine Passwortverifizierungsfunktion (PVF), die Sie erstellen und einem Profil zuweisen:

  • Wenn Sie ein Benutzerprofil angeben, hängt die Mindestlänge des Kennworts wie folgt davon ab, wie Sie die zugehörige PVF definieren:

    • Wenn eine PVF definiert ist, beträgt die erzwungene Mindestpasswortlänge 8 Zeichen mit mindestens einem Großbuchstaben, einem Kleinbuchstaben und einem numerischen Zeichen. Das Kennwort darf den Benutzernamen nicht enthalten.

    • Wenn PVF als NULL definiert ist, beträgt die durchgesetzte Mindestkennwortlänge 8 Zeichen mit mindestens einem Großbuchstaben, einem Kleinbuchstaben und einem numerischen Zeichen. Das Kennwort darf den Benutzernamen nicht enthalten.

    • Wenn für das Profil keine PVF definiert ist, wird die PVF (CLOUD_VERIFY_FUNCTION) des DEFAULT-Profils zugewiesen, und die durchgesetzte Mindestkennwortlänge beträgt 12 Zeichen.

  • Wenn Sie eine Kennwortverifizierungsfunktion (PVF) angeben, die strenger ist als die Standardfunktion CLOUD_VERIFY_FUNCTION, wird die neue Verifizierungsfunktion verwendet.

  • Eine PVF, die Sie erstellen, muss als PL/SQL-Funktion DEFINER RIGHTS erstellt werden. Wenn eine INVOKER-Rechte-PVF als Eingabe für CREATE oder ALTER PROFILE angegeben wird, wird der ORA-28220-Fehler ausgelöst.

  • Jede PVF, die Sie erstellen, muss im ADMIN-Benutzerschema erstellt werden. Wenn eine PVF, die nicht dem ADMIN-Benutzer gehört, als Eingabe für CREATE oder ALTER PROFILE angegeben wird, wird der Fehler ORA-28220 ausgelöst.

  • Eine PVF kann nicht von einem Nicht-ADMIN-Benutzer geändert oder gelöscht werden. Das heißt, dass jeder Benutzer mit der Berechtigung CREATE oder DROP ANY PROCEDURE nicht berechtigt ist, eine PVF zu ändern oder zu löschen.

  • Wenn die mit einem Profil verknüpfte PVF gelöscht wird, wird bei jedem Versuch, das Kennwort für einen Benutzer zu ändern, der die PVF in seinem Profil verwendet, der Fehler ORA-7443 ausgegeben. Benutzer können sich weiterhin anmelden, wenn die PVF, die ihrem Profil zugeordnet ist, gelöscht wird. Wenn jedoch das Kennwort eines Benutzers abgelaufen ist und die PVF gelöscht wird, kann sich der Benutzer nicht anmelden.

    Um den Fehler ORA-7443 zu beheben, muss der ADMIN-Benutzer die gelöschte PVF neu erstellen und dem Profil zuweisen oder dem Profil eine vorhandene PVF zuweisen. Dadurch kann ein Benutzer sein Kennwort und seine Anmeldung ändern.

  • Die Systemberechtigung CREATE ANY PROCEDURE und die Systemberechtigung DROP ANY PROCEDURE werden auf PVF-Sicherheit geprüft. Weitere Informationen finden Sie in der Liste PROCEDURES unter Listings of System and Object Privileges.

Weitere Informationen finden Sie unter Komplexität von Passwörtern verwalten.

Schrittweise Datenbankkennwort-Rollover für Anwendungen

Eine Anwendung kann ihre Datenbankkennwörter ändern, ohne dass ein Administrator Ausfallzeiten planen muss.

Dazu können Sie ein Profil mit einem Grenzwert ungleich Null für den Kennwortprofilparameter PASSWORD_ROLLOVER_TIME mit einem Anwendungsschema verknüpfen. Dadurch kann das Datenbankkennwort des Anwendungsbenutzers geändert werden, während das ältere Kennwort für die durch den Grenzwert PASSWORD_ROLLOVER_TIME angegebene Zeit gültig bleibt. Während des Rollover-Zeitraums kann die Anwendungsinstanz entweder das alte oder das neue Kennwort für die Anmeldung beim Datenbankserver verwenden. Wenn die Rollover-Zeit abläuft, ist nur das neue Kennwort zulässig.

Weitere Informationen finden Sie unter Rollover für graduelle Datenbankkennwörter für Anwendungen verwalten.