Benutzerprofile mit Autonomous Database on Dedicated Exadata Infrastructure verwalten
Sie können Benutzerprofile in Autonomous Database erstellen und ändern. Nach dem Erstellen oder Ändern eines Profils können Sie die Profilklausel mit CREATE USER
oder ALTER USER
angeben. Mit dem Oracle Data Pump-Import können Sie auch vorhandene Benutzerprofile aus einer anderen Umgebung importieren.
Hinweis:
In Autonomous Database gelten Einschränkungen für die Profilklausel. Informationen zu den Einschränkungen für CREATE PROFILE
und ALTER PROFILE
finden Sie unter Einschränkungen für die Verwendung von SQL-Befehlen.
Um einen Kennwortparameter in einem Profil, einschließlich des DEFAULT
-Profils, hinzufügen, ändern oder entfernen zu können, benötigen Sie die Systemberechtigungen ALTER PROFILE
.
Dadurch wird new_user
mit Profil new_profile
und Verbindungsberechtigungen erstellt. Die new_user
kann jetzt eine Verbindung zur Datenbank herstellen und Abfragen ausführen. Informationen zum Erteilen zusätzlicher Berechtigungen für Benutzer finden Sie unter Datenbankbenutzerberechtigungen verwalten.
Informationen zur Verwendung von CREATE PROFILE
finden Sie unter CREATE PROFILE in der Oracle Database 19c SQL Language Reference oder in der Oracle Database 23ai SQL Language Reference.
Sie können vorhandene Profile, die in anderen Umgebungen erstellt wurden, mit dem Oracle Data Pump-Import (impdp
) importieren. Alle vorhandenen Profilverknüpfungen mit Datenbankbenutzern bleiben nach dem Import in Autonomous Database erhalten. Wenn ein neu erstellter Benutzer, der aus einem Oracle Data Pump-Import erstellt wurde, zum ersten Mal versucht, sich anzumelden, erfolgt die Anmeldung wie folgt:
- Die Einschränkungen für die Kennwortkomplexität sind gleich wie die Einschränkungen für alle Benutzer in Autonomous Database.
-
Wenn das Kennwort des Benutzers die Anforderungen an die Kennwortkomplexität verletzt, läuft das Konto mit einer Nachfrist von 30 Tagen ab. In diesem Fall muss der Benutzer sein Kennwort vor Ablauf der Verlängerungsfrist ändern.
Hinweis:
Profilzuweisungen für Benutzer mit ProfilORA_PROTECTED_PROFILE
können nicht geändert werden.
Wenn Sie ein Profil erstellen oder ändern, können Sie eine Kennwortverifizierungsfunktion zur Verwaltung der Kennwortkomplexität angeben. Weitere Informationen finden Sie unter Kennwortkomplexität in Autonomous Database verwalten.
Kennwortkomplexität in Autonomous Database verwalten
Sie können eine Kennwortverifizierungsfunktion erstellen und sie mit einem Profil verknüpfen, um die Komplexität von Benutzerkennwörtern zu verwalten.
Hinweis:
Die Mindestlänge des Kennworts für eine vom Benutzer angegebene PVF beträgt 8 Zeichen und muss mindestens einen Großbuchstaben, einen Kleinbuchstaben und ein numerisches Zeichen enthalten. Die Mindestkennwortlänge für das DEFAULT-Profil beträgt 12 Zeichen (das DEFAULT-Profil verwendet die KennwortverifizierungsfunktionCLOUD_VERIFY_FUNCTION
). Das Kennwort darf nicht den Benutzernamen enthalten.
Oracle empfiehlt eine Mindestkennwortlänge von 12 Zeichen. Wenn Sie die Kennwortverifizierungsfunktion eines Profils definieren und eine Mindestkennwortlänge von weniger als 12 Zeichen festlegen, melden Tools wie Oracle Database Security Assessment Tool (DBSAT) und Qualys dies als Datenbanksicherheitsrisiko.
Um beispielsweise eine Kennwortverifizierungsfunktion für ein Profil anzugeben, verwenden Sie den folgenden Befehl:
CREATE PROFILE example_profile LIMIT PASSWORD_VERIFY_FUNCTION ADMIN.EXAMPLE_PVF
Wenn das Profil von einem anderen Benutzer als dem ADMIN-Benutzer erstellt oder geändert wird, müssen Sie für die Kennwortverifizierungsfunktion die Berechtigung EXECUTE
erteilen. Wenn Sie eine Kennwortverifizierungsfunktion erstellen und die Kennwortprüfung nicht erfolgreich verläuft, meldet die Datenbank den Fehler ORA-28219
.
Sie können eine von Oracle bereitgestellte Kennwortverifizierungsfunktion aus einer der folgenden Quellen angeben:
CLOUD_VERIFY_FUNCTION
(dies ist die Standardfunktion zur Kennwortverifizierung für Autonomous Database):Diese Funktion prüft die folgenden Anforderungen, wenn Benutzer Kennwörter erstellen oder ändern:
-
Das Kennwort muss zwischen 12 und 30 Zeichen umfassen und mindestens einen Großbuchstaben, einen Kleinbuchstaben und ein numerisches Zeichen enthalten.
-
Das Kennwort darf nicht den Benutzernamen enthalten.
-
Das Kennwort darf keines der letzten vier Kennwörter sein, die für denselben Benutzernamen verwendet wurden.
-
Das Kennwort darf keine doppelten Anführungszeichen (") enthalten.
-
Das Kennwort darf nicht mit einem Kennwort übereinstimmen, das vor weniger als 24 Stunden festgelegt wurde.
-
ORA12C_STIG_VERIFY_FUNCTION
Diese Funktion prüft die folgenden Anforderungen, wenn Benutzer Kennwörter erstellen oder ändern:
-
Das Kennwort enthält mindestens 15 Zeichen.
-
Das Kennwort enthält mindestens 1 Kleinbuchstaben und mindestens 1 Großbuchstaben.
-
Das Kennwort enthält mindestens 1 Ziffer.
-
Das Kennwort enthält mindestens 1 Sonderzeichen.
-
Das Kennwort unterscheidet sich vom vorherigen Kennwort durch mindestens 8 Zeichen.
Weitere Informationen finden Sie unter ora12c_stig_verify_function Password Requirements im Oracle Database 19c Security Guide oder im Oracle Database 23ai Security Guide.
-
Beachten Sie die folgenden Einschränkungen, wenn Sie eine Kennwortverifizierungsfunktion erstellen und einem Profil zuweisen:
-
Wenn Sie ein Benutzerprofil angeben, hängt die Mindestkennwortlänge wie folgt von der Definition der zugehörigen Kennwortverifizierungsfunktion ab:
-
Wenn eine PVF definiert ist, beträgt die erzwungene Mindestlänge des Kennworts 8 Zeichen mit mindestens einem Großbuchstaben, einem Kleinbuchstaben und einem numerischen Zeichen. Das Kennwort darf nicht den Benutzernamen enthalten.
-
Wenn die PVF als
NULL
definiert ist, besteht die erzwungene Mindestlänge für das Kennwort aus 8 Zeichen mit mindestens einem Großbuchstaben, einem Kleinbuchstaben und einem numerischen Zeichen. Das Kennwort darf nicht den Benutzernamen enthalten. -
Wenn für das Profil keine PVF definiert ist, wird die PVF (
CLOUD_VERIFY_FUNCTION
) des DEFAULT-Profils zugewiesen, und die erzwungene Mindestkennwortlänge beträgt 12 Zeichen.
-
- Wenn Sie eine Kennwortverifizierungsfunktion angeben, die strenger ist als die Standardfunktion
CLOUD_VERIFY_FUNCTION
, wird die neue Verifizierungsfunktion verwendet. -
Wenn Sie eine Kennwortverifizierungsfunktion erstellen, muss diese als PL/SQL-Funktion
DEFINER RIGHTS
erstellt werden. Wenn eine Kennwortverifizierungsfunktion mitINVOKER
-Rechten als Eingabe fürCREATE
oderALTER
PROFILE
bereitgestellt wird, wird der FehlerORA-28220
ausgelöst. -
Alle von Ihnen erstellten Kennwortverifizierungsfunktionen müssen im ADMIN-Benutzerschema erstellt werden. Wenn eine Kennwortverifizierungsfunktion, die nicht dem ADMIN-Benutzer gehört, als Eingabe für
CREATE
oderALTER
PROFILE
bereitgestellt wird, wird der FehlerORA-28220
ausgelöst. -
Eine Kennwortverifizierungsfunktion kann nur von einem ADMIN-Benutzer geändert oder gelöscht werden. Das heißt, ein Benutzer mit der Berechtigung
CREATE
oderDROP
ANY PROCEDURE
kann keine Kennwortverifizierungsfunktion ändern oder löschen. -
Wenn die mit einem Profil verknüpfte Kennwortverifizierungsfunktion gelöscht wird, löst jeder Versuch, das Kennwort für einen Benutzer zu ändern, der die Kennwortverifizierungsfunktion in seinem Profil verwendet, den Fehler
ORA-7443
aus. Benutzer können sich weiterhin anmelden, wenn die mit ihrem Profil verknüpfte Kennwortverifizierungsfunktion gelöscht wird. Wenn jedoch das Kennwort eines Benutzers abgelaufen ist und die Kennwortverifizierungsfunktion gelöscht wird, kann sich der Benutzer nicht anmelden.Um den Fehler
ORA-7443
zu beheben, muss der ADMIN-Benutzer die gelöschte PVF neu erstellen und dem Profil zuweisen oder dem Profil eine vorhandene PVF zuweisen. Dadurch kann ein Benutzer sein Kennwort und seine Anmeldung ändern. -
Die Systemberechtigung
CREATE ANY PROCEDURE
und die SystemberechtigungDROP ANY PROCEDURE
werden auf PVF-Sicherheit geprüft. Weitere Informationen finden Sie in der ListePROCEDURES
unter Listings of System and Object Privileges in der Oracle Database 19c SQL Language Reference oder in der Oracle Database 23ai SQL Language Reference.
Weitere Informationen finden Sie unter Managing the Complexity of Passwords in Oracle Database 19c Security Guide oder im Oracle Database 23ai Security Guide.
Stufenweises Rollover von Datenbankkennwörtern für Anwendungen
Eine Anwendung kann ihre Datenbankkennwörter ändern, ohne dass ein Administrator Ausfallzeiten planen muss.
Dazu können Sie ein Profil mit einem Grenzwert ungleich null für den Kennwortprofilparameter PASSWORD_ROLLOVER_TIME
mit einem Anwendungsschema verknüpfen. Dadurch kann das Datenbankkennwort des Anwendungsbenutzers geändert werden, während das ältere Kennwort noch bis zum Ablauf der durch den Grenzwert PASSWORD_ROLLOVER_TIME
angegebenen Zeit gültig bleibt. Während des Rollover-Zeitraums kann die Anwendungsinstanz entweder das alte oder das neue Kennwort für die Verbindung mit dem Datenbankserver verwenden. Nach Ablauf der Rollover-Zeit ist nur das neue Kennwort zulässig.
Weitere Informationen finden Sie unter Stufenweises Rollover von Datenbankkennwörtern für Anwendungen verwalten.