Benutzerprofile mit Autonomous Database on Dedicated Exadata Infrastructure verwalten

Sie können Benutzerprofile in Autonomous Database erstellen und ändern. Nach dem Erstellen oder Ändern eines Profils können Sie die Profilklausel mit CREATE USER oder ALTER USER angeben. Mit dem Oracle Data Pump-Import können Sie auch vorhandene Benutzerprofile aus einer anderen Umgebung importieren.

Hinweis:

In Autonomous Database gelten Einschränkungen für die Profilklausel. Informationen zu den Einschränkungen für CREATE PROFILE und ALTER PROFILE finden Sie unter Einschränkungen für die Verwendung von SQL-Befehlen.

Um einen Kennwortparameter in einem Profil, einschließlich des DEFAULT-Profils, hinzufügen, ändern oder entfernen zu können, benötigen Sie die Systemberechtigungen ALTER PROFILE.

Um ein Profil hinzuzufügen oder zu ändern, führen Sie als ADMIN-Benutzer CREATE PROFILE oder ALTER PROFILE aus. Beispiel:
```
CREATE PROFILE new_profile
  LIMIT PASSWORD_REUSE_MAX 10
  PASSWORD_LOCK_TIME 5;
```
Wenn Sie nicht der ADMIN-Benutzer sind, müssen Sie über die Berechtigung CREATE PROFILE verfügen, um CREATE PROFILE auszuführen. Wenn Sie ALTER PROFILE ausführen, benötigen Sie die Berechtigung ALTER PROFILE.

Verwenden Sie das neue oder geänderte Profil mit dem Befehl CREATE USER oder ALTER USER. Beispiel:

CREATE USER new_user IDENTIFIED BY password PROFILE new_profile;
GRANT CREATE SESSION TO new_user;

Dadurch wird new_user mit Profil new_profile und Verbindungsberechtigungen erstellt. Die new_user kann jetzt eine Verbindung zur Datenbank herstellen und Abfragen ausführen. Informationen zum Erteilen zusätzlicher Berechtigungen für Benutzer finden Sie unter Datenbankbenutzerberechtigungen verwalten.

Informationen zur Verwendung von CREATE PROFILE finden Sie unter CREATE PROFILE in der Oracle Database 19c SQL Language Reference oder in der Oracle Database 23ai SQL Language Reference.

Sie können vorhandene Profile, die in anderen Umgebungen erstellt wurden, mit dem Oracle Data Pump-Import (impdp) importieren. Alle vorhandenen Profilverknüpfungen mit Datenbankbenutzern bleiben nach dem Import in Autonomous Database erhalten. Wenn ein neu erstellter Benutzer, der aus einem Oracle Data Pump-Import erstellt wurde, zum ersten Mal versucht, sich anzumelden, erfolgt die Anmeldung wie folgt:

Die Einschränkungen für die Kennwortkomplexität sind gleich wie die Einschränkungen für alle Benutzer in Autonomous Database.
Wenn das Kennwort des Benutzers die Anforderungen an die Kennwortkomplexität verletzt, läuft das Konto mit einer Nachfrist von 30 Tagen ab. In diesem Fall muss der Benutzer sein Kennwort vor Ablauf der Verlängerungsfrist ändern.

Hinweis:

Profilzuweisungen für Benutzer mit Profil ORA_PROTECTED_PROFILE können nicht geändert werden.

Wenn Sie ein Profil erstellen oder ändern, können Sie eine Kennwortverifizierungsfunktion zur Verwaltung der Kennwortkomplexität angeben. Weitere Informationen finden Sie unter Kennwortkomplexität in Autonomous Database verwalten.

Verwandte Themen

Autonomous Database-Benutzer auf einer dedizierten Exadata-Infrastruktur verwalten

Kennwortkomplexität in Autonomous Database verwalten

Sie können eine Kennwortverifizierungsfunktion erstellen und sie mit einem Profil verknüpfen, um die Komplexität von Benutzerkennwörtern zu verwalten.

Hinweis:

Die Mindestlänge des Kennworts für eine vom Benutzer angegebene PVF beträgt 8 Zeichen und muss mindestens einen Großbuchstaben, einen Kleinbuchstaben und ein numerisches Zeichen enthalten. Die Mindestkennwortlänge für das DEFAULT-Profil beträgt 12 Zeichen (das DEFAULT-Profil verwendet die Kennwortverifizierungsfunktion CLOUD_VERIFY_FUNCTION). Das Kennwort darf nicht den Benutzernamen enthalten.

Oracle empfiehlt eine Mindestkennwortlänge von 12 Zeichen. Wenn Sie die Kennwortverifizierungsfunktion eines Profils definieren und eine Mindestkennwortlänge von weniger als 12 Zeichen festlegen, melden Tools wie Oracle Database Security Assessment Tool (DBSAT) und Qualys dies als Datenbanksicherheitsrisiko.

Um beispielsweise eine Kennwortverifizierungsfunktion für ein Profil anzugeben, verwenden Sie den folgenden Befehl:

CREATE PROFILE example_profile LIMIT PASSWORD_VERIFY_FUNCTION ADMIN.EXAMPLE_PVF

Wenn das Profil von einem anderen Benutzer als dem ADMIN-Benutzer erstellt oder geändert wird, müssen Sie für die Kennwortverifizierungsfunktion die Berechtigung EXECUTE erteilen. Wenn Sie eine Kennwortverifizierungsfunktion erstellen und die Kennwortprüfung nicht erfolgreich verläuft, meldet die Datenbank den Fehler ORA-28219.

Sie können eine von Oracle bereitgestellte Kennwortverifizierungsfunktion aus einer der folgenden Quellen angeben:

CLOUD_VERIFY_FUNCTION (dies ist die Standardfunktion zur Kennwortverifizierung für Autonomous Database):
Diese Funktion prüft die folgenden Anforderungen, wenn Benutzer Kennwörter erstellen oder ändern:
- Das Kennwort muss zwischen 12 und 30 Zeichen umfassen und mindestens einen Großbuchstaben, einen Kleinbuchstaben und ein numerisches Zeichen enthalten.
- Das Kennwort darf nicht den Benutzernamen enthalten.
- Das Kennwort darf keines der letzten vier Kennwörter sein, die für denselben Benutzernamen verwendet wurden.
- Das Kennwort darf keine doppelten Anführungszeichen (") enthalten.
- Das Kennwort darf nicht mit einem Kennwort übereinstimmen, das vor weniger als 24 Stunden festgelegt wurde.
ORA12C_STIG_VERIFY_FUNCTION
Diese Funktion prüft die folgenden Anforderungen, wenn Benutzer Kennwörter erstellen oder ändern:
- Das Kennwort enthält mindestens 15 Zeichen.
- Das Kennwort enthält mindestens 1 Kleinbuchstaben und mindestens 1 Großbuchstaben.
- Das Kennwort enthält mindestens 1 Ziffer.
- Das Kennwort enthält mindestens 1 Sonderzeichen.
- Das Kennwort unterscheidet sich vom vorherigen Kennwort durch mindestens 8 Zeichen.
Weitere Informationen finden Sie unter ora12c_stig_verify_function Password Requirements im Oracle Database 19c Security Guide oder im Oracle Database 23ai Security Guide.

Beachten Sie die folgenden Einschränkungen, wenn Sie eine Kennwortverifizierungsfunktion erstellen und einem Profil zuweisen:

Wenn Sie ein Benutzerprofil angeben, hängt die Mindestkennwortlänge wie folgt von der Definition der zugehörigen Kennwortverifizierungsfunktion ab:
- Wenn eine PVF definiert ist, beträgt die erzwungene Mindestlänge des Kennworts 8 Zeichen mit mindestens einem Großbuchstaben, einem Kleinbuchstaben und einem numerischen Zeichen. Das Kennwort darf nicht den Benutzernamen enthalten.
- Wenn die PVF als NULL definiert ist, besteht die erzwungene Mindestlänge für das Kennwort aus 8 Zeichen mit mindestens einem Großbuchstaben, einem Kleinbuchstaben und einem numerischen Zeichen. Das Kennwort darf nicht den Benutzernamen enthalten.
- Wenn für das Profil keine PVF definiert ist, wird die PVF (CLOUD_VERIFY_FUNCTION) des DEFAULT-Profils zugewiesen, und die erzwungene Mindestkennwortlänge beträgt 12 Zeichen.
Wenn Sie eine Kennwortverifizierungsfunktion angeben, die strenger ist als die Standardfunktion CLOUD_VERIFY_FUNCTION, wird die neue Verifizierungsfunktion verwendet.
Wenn Sie eine Kennwortverifizierungsfunktion erstellen, muss diese als PL/SQL-Funktion DEFINER RIGHTS erstellt werden. Wenn eine Kennwortverifizierungsfunktion mit INVOKER-Rechten als Eingabe für CREATE oder ALTER PROFILE bereitgestellt wird, wird der Fehler ORA-28220 ausgelöst.
Alle von Ihnen erstellten Kennwortverifizierungsfunktionen müssen im ADMIN-Benutzerschema erstellt werden. Wenn eine Kennwortverifizierungsfunktion, die nicht dem ADMIN-Benutzer gehört, als Eingabe für CREATE oder ALTER PROFILE bereitgestellt wird, wird der Fehler ORA-28220 ausgelöst.
Eine Kennwortverifizierungsfunktion kann nur von einem ADMIN-Benutzer geändert oder gelöscht werden. Das heißt, ein Benutzer mit der Berechtigung CREATE oder DROP ANY PROCEDURE kann keine Kennwortverifizierungsfunktion ändern oder löschen.
Wenn die mit einem Profil verknüpfte Kennwortverifizierungsfunktion gelöscht wird, löst jeder Versuch, das Kennwort für einen Benutzer zu ändern, der die Kennwortverifizierungsfunktion in seinem Profil verwendet, den Fehler ORA-7443 aus. Benutzer können sich weiterhin anmelden, wenn die mit ihrem Profil verknüpfte Kennwortverifizierungsfunktion gelöscht wird. Wenn jedoch das Kennwort eines Benutzers abgelaufen ist und die Kennwortverifizierungsfunktion gelöscht wird, kann sich der Benutzer nicht anmelden.

Um den Fehler ORA-7443 zu beheben, muss der ADMIN-Benutzer die gelöschte PVF neu erstellen und dem Profil zuweisen oder dem Profil eine vorhandene PVF zuweisen. Dadurch kann ein Benutzer sein Kennwort und seine Anmeldung ändern.
Die Systemberechtigung CREATE ANY PROCEDURE und die Systemberechtigung DROP ANY PROCEDURE werden auf PVF-Sicherheit geprüft. Weitere Informationen finden Sie in der Liste PROCEDURES unter Listings of System and Object Privileges in der Oracle Database 19c SQL Language Reference oder in der Oracle Database 23ai SQL Language Reference.

Weitere Informationen finden Sie unter Managing the Complexity of Passwords in Oracle Database 19c Security Guide oder im Oracle Database 23ai Security Guide.

Stufenweises Rollover von Datenbankkennwörtern für Anwendungen

Eine Anwendung kann ihre Datenbankkennwörter ändern, ohne dass ein Administrator Ausfallzeiten planen muss.

Dazu können Sie ein Profil mit einem Grenzwert ungleich null für den Kennwortprofilparameter PASSWORD_ROLLOVER_TIME mit einem Anwendungsschema verknüpfen. Dadurch kann das Datenbankkennwort des Anwendungsbenutzers geändert werden, während das ältere Kennwort noch bis zum Ablauf der durch den Grenzwert PASSWORD_ROLLOVER_TIME angegebenen Zeit gültig bleibt. Während des Rollover-Zeitraums kann die Anwendungsinstanz entweder das alte oder das neue Kennwort für die Verbindung mit dem Datenbankserver verwenden. Nach Ablauf der Rollover-Zeit ist nur das neue Kennwort zulässig.

Weitere Informationen finden Sie unter Stufenweises Rollover von Datenbankkennwörtern für Anwendungen verwalten.

Titel und Copyright-Informationen

Oracle und/oder verbundene Unternehmen.