Benutzerprofile mit einer autonomen KI-Datenbank auf einer dedizierten Exadata-Infrastruktur verwalten

Sie können Benutzerprofile in der autonomen KI-Datenbank erstellen und ändern. Nachdem Sie ein Profil erstellt oder geändert haben, können Sie die Profilklausel mit CREATE USER oder ALTER USER angeben. Mit Oracle Data Pump Import können Sie auch vorhandene Benutzerprofile aus einer anderen Umgebung importieren.

Hinweis: Für die autonome KI-Datenbank gelten Einschränkungen für die Profilklausel. Informationen zu den Einschränkungen für CREATE PROFILE und ALTER PROFILE finden Sie unter Einschränkungen bei der Verwendung von SQL-Befehlen.

Um einen Kennwortparameter in einem Profil, einschließlich des Profils DEFAULT, hinzuzufügen, zu ändern oder zu entfernen, benötigen Sie die Systemberechtigung ALTER PROFILE.

1. Um ein Profil hinzuzufügen oder zu ändern, führen Sie als ADMIN-Benutzer CREATE PROFILE oder ALTER PROFILE aus. Beispiel:

    CREATE PROFILE new_profile
      LIMIT PASSWORD_REUSE_MAX 10
      PASSWORD_LOCK_TIME 5;
   

   Wenn Sie nicht der ADMIN-Benutzer sind, benötigen Sie die Berechtigung CREATE PROFILE, um CREATE PROFILE auszuführen. Wenn Sie ALTER PROFILE ausführen, benötigen Sie die Berechtigung ALTER PROFILE.

2. Verwenden Sie das neue oder geänderte Profil mit dem Befehl CREATE USER oder ALTER USER. Beispiel:

    CREATE USER new_user IDENTIFIED BY password PROFILE new_profile;
    GRANT CREATE SESSION TO new_user;
   

Dadurch wird new_user mit Profil new_profile und Verbindungsberechtigungen erstellt. Die new_user kann jetzt eine Verbindung zur Datenbank herstellen und Abfragen ausführen. Informationen zum Erteilen zusätzlicher Berechtigungen für Benutzer finden Sie unter Datenbankbenutzerberechtigungen verwalten.

Informationen zur Verwendung von CREATE PROFILE finden Sie unter CREATE PROFILE in der Oracle Database 19c SQL Language Reference oder in der Oracle Database 26ai SQL Language Reference.

Mit Oracle Data Pump Import (impdp) können Sie vorhandene Profile importieren, die in anderen Umgebungen erstellt wurden. Jede vorhandene Profilverknüpfung mit Datenbankbenutzern wird nach dem Import in eine autonome KI-Datenbank beibehalten. Wenn ein neu erstellter Benutzer, der aus einem Oracle Data Pump-Import erstellt wurde, zum ersten Mal versucht, sich anzumelden, wird die Anmeldung wie folgt behandelt:

• Die Einschränkungen der Passwortkomplexität sind mit den Einschränkungen für jeden Benutzer in einer autonomen KI-Datenbank identisch.

• Wenn das Kennwort des Benutzers die Anforderungen an die Passwortkomplexität verletzt, ist der Account mit einer 30-tägigen Nachfrist abgelaufen. In diesem Fall muss der Benutzer sein Kennwort vor Ablauf der Nachfrist ändern.

Hinweis: Profilzuweisungen für Benutzer mit Profil ORA_PROTECTED_PROFILE können nicht geändert werden.

Wenn Sie ein Profil erstellen oder ändern, können Sie eine Passwortverifizierungsfunktion (Password Verification Function, PVF) angeben, um die Passwortkomplexität zu verwalten. Weitere Informationen finden Sie unter Verwalten der Kennwortkomplexität in der autonomen KI-Datenbank.

Kennwortkomplexität in autonomer KI-Datenbank verwalten

Sie können eine Passwortverifizierungsfunktion (Password Verify Function, PVF) erstellen und die PVF mit einem Profil verknüpfen, um die Komplexität von Benutzerkennwörtern zu verwalten.

Hinweis:

Die Mindestpasswortlänge für einen vom Benutzer angegebenen PVF beträgt 8 Zeichen und muss mindestens einen Großbuchstaben, einen Kleinbuchstaben und ein numerisches Zeichen enthalten. Die Mindestkennwortlänge für das DEFAULT-Profil beträgt 12 Zeichen (das DEFAULT-Profil verwendet CLOUD_VERIFY_FUNCTION PVF). Das Kennwort darf den Benutzernamen nicht enthalten.

Oracle empfiehlt die Verwendung einer Mindestpasswortlänge von 12 Zeichen. Wenn Sie die PVF eines Profils definieren und die Mindestkennwortlänge auf weniger als 12 Zeichen festlegen, melden Tools wie Oracle Database Security Assessment Tool (DBSAT) und Qualys dies als Datenbanksicherheitsrisiko.

Beispiel: Um eine PVF für ein Profil anzugeben, verwenden Sie den folgenden Befehl:

CREATE PROFILE example_profile LIMIT PASSWORD_VERIFY_FUNCTION ADMIN.EXAMPLE_PVF

Wenn das Profil von einem anderen Benutzer als dem ADMIN-Benutzer erstellt oder geändert wird, müssen Sie die Berechtigung EXECUTE für die PVF erteilen. Wenn Sie eine PVF erstellen und die Kennwortprüfung nicht erfolgreich verläuft, meldet die Datenbank den Fehler ORA-28219.

Sie können eine von Oracle bereitgestellte PVF wie folgt angeben:

• CLOUD_VERIFY_FUNCTION (dies ist die Standardkennwortverifizierungsfunktion für autonome KI-Datenbank):

  Diese Funktion prüft die folgenden Anforderungen, wenn Benutzer Kennwörter erstellen oder ändern:

  • Das Kennwort muss zwischen 12 und 30 Zeichen umfassen und mindestens einen Großbuchstaben, einen Kleinbuchstaben und ein numerisches Zeichen enthalten.

  • Das Kennwort darf den Benutzernamen nicht enthalten.

  • Das Kennwort darf keines der letzten vier Kennwörter sein, die für denselben Benutzernamen verwendet wurden.

  • Das Passwort darf keine doppelten Anführungszeichen (") enthalten.

  • Das Kennwort darf nicht mit einem Kennwort übereinstimmen, das vor weniger als 24 Stunden festgelegt wurde.

• ORA12C_STIG_VERIFY_FUNCTION

  Diese Funktion prüft die folgenden Anforderungen, wenn Benutzer Kennwörter erstellen oder ändern:

  • Das Kennwort enthält mindestens 15 Zeichen.

  • Das Passwort hat mindestens 1 Kleinbuchstaben und mindestens 1 Großbuchstaben.

  • Das Passwort hat mindestens 1 Ziffer.

  • Das Passwort hat mindestens 1 Sonderzeichen.

  • Das Passwort unterscheidet sich von dem vorherigen Passwort um mindestens 8 Zeichen.

  Weitere Informationen finden Sie unter ora12c_stig_verify_function Password Requirements in der Dokumentation Oracle Database 19c Security Guide oder im Oracle Database 26ai Security Guide.

Beachten Sie die folgenden Einschränkungen für eine Passwortverifizierungsfunktion (PVF), die Sie erstellen und einem Profil zuweisen:

• Wenn Sie ein Benutzerprofil angeben, hängt die Mindestlänge des Kennworts wie folgt davon ab, wie Sie die zugehörige PVF definieren:

  • Wenn eine PVF definiert ist, beträgt die erzwungene Mindestpasswortlänge 8 Zeichen mit mindestens einem Großbuchstaben, einem Kleinbuchstaben und einem numerischen Zeichen. Das Kennwort darf den Benutzernamen nicht enthalten.

  • Wenn PVF als NULL definiert ist, beträgt die durchgesetzte Mindestkennwortlänge 8 Zeichen mit mindestens einem Großbuchstaben, einem Kleinbuchstaben und einem numerischen Zeichen. Das Kennwort darf den Benutzernamen nicht enthalten.

  • Wenn für das Profil keine PVF definiert ist, wird die PVF (CLOUD_VERIFY_FUNCTION) des DEFAULT-Profils zugewiesen, und die durchgesetzte Mindestkennwortlänge beträgt 12 Zeichen.

• Wenn Sie eine Kennwortverifizierungsfunktion (PVF) angeben, die strenger ist als die Standardfunktion CLOUD_VERIFY_FUNCTION, wird die neue Verifizierungsfunktion verwendet.

• Eine PVF, die Sie erstellen, muss als PL/SQL-Funktion DEFINER RIGHTS erstellt werden. Wenn eine INVOKER-Rechte-PVF als Eingabe für CREATE oder ALTER PROFILE angegeben wird, wird der ORA-28220-Fehler ausgelöst.

• Jede PVF, die Sie erstellen, muss im ADMIN-Benutzerschema erstellt werden. Wenn eine PVF, die nicht dem ADMIN-Benutzer gehört, als Eingabe für CREATE oder ALTER PROFILE angegeben wird, wird der Fehler ORA-28220 ausgelöst.

• Eine PVF kann nicht von einem Nicht-ADMIN-Benutzer geändert oder gelöscht werden. Das heißt, dass jeder Benutzer mit der Berechtigung CREATE oder DROP ANY PROCEDURE nicht berechtigt ist, eine PVF zu ändern oder zu löschen.

• Wenn die mit einem Profil verknüpfte PVF gelöscht wird, wird bei jedem Versuch, das Kennwort für einen Benutzer zu ändern, der die PVF in seinem Profil verwendet, der Fehler ORA-7443 ausgegeben. Benutzer können sich weiterhin anmelden, wenn die PVF, die ihrem Profil zugeordnet ist, gelöscht wird. Wenn jedoch das Kennwort eines Benutzers abgelaufen ist und die PVF gelöscht wird, kann sich der Benutzer nicht anmelden.

  Um den Fehler ORA-7443 zu beheben, muss der ADMIN-Benutzer die gelöschte PVF neu erstellen und dem Profil zuweisen oder dem Profil eine vorhandene PVF zuweisen. Dadurch kann ein Benutzer sein Kennwort und seine Anmeldung ändern.

• Die Systemberechtigung CREATE ANY PROCEDURE und die Systemberechtigung DROP ANY PROCEDURE werden auf PVF-Sicherheit geprüft. Weitere Informationen finden Sie in der Liste PROCEDURES in Listings of System and Object Privileges in Oracle Database 19c SQL Language Reference oder Oracle Database 26ai SQL Language Reference.

Weitere Informationen finden Sie unter Managing the Complexity of Passwords im Oracle Database 19c Security Guide oder im Oracle Database 26ai Security Guide.

Schrittweise Datenbankkennwort-Rollover für Anwendungen

Eine Anwendung kann ihre Datenbankkennwörter ändern, ohne dass ein Administrator Ausfallzeiten planen muss.

Dazu können Sie ein Profil mit einem Grenzwert ungleich Null für den Kennwortprofilparameter PASSWORD_ROLLOVER_TIME mit einem Anwendungsschema verknüpfen. Dadurch kann das Datenbankkennwort des Anwendungsbenutzers geändert werden, während das ältere Kennwort für die durch den Grenzwert PASSWORD_ROLLOVER_TIME angegebene Zeit gültig bleibt. Während des Rollover-Zeitraums kann die Anwendungsinstanz entweder das alte Kennwort oder das neue Kennwort für die Anmeldung beim Datenbankserver verwenden. Wenn die Rollover-Zeit abläuft, ist nur das neue Kennwort zulässig.

Weitere Informationen finden Sie unter Rollover für graduelle Datenbankkennwörter für Anwendungen verwalten.

Verwandte Inhalte

Autonome KI-Datenbankbenutzer auf dedizierter Exadata-Infrastruktur verwalten