Hinweis:
- Dieses Tutorial erfordert Zugriff auf Oracle Cloud. Informationen zum Registrieren eines kostenlosen Accounts finden Sie unter Erste Schritte mit Oracle Cloud Infrastructure Free Tier.
- Es verwendet Beispielwerte für Oracle Cloud Infrastructure-Zugangsdaten, -Mandanten und -Compartments. Wenn Sie Ihre Übung abgeschlossen haben, ersetzen Sie diese Werte durch spezifische Werte für Ihre Cloud-Umgebung.
Schrittweise Kennwort-Rollover in Oracle Database auf Oracle Cloud Infrastructure einrichten
Einführung
Das schrittweise Kennwort-Rollover ist ein Feature in Oracle Database, mit dem Sie das Kennwort eines Datenbankbenutzers ändern können, ohne Anwendungen zu unterbrechen, die derzeit das alte Kennwort verwenden. Bei einem schrittweisen Kennwort-Rollover bleibt das alte Kennwort für einen bestimmten Zeitraum gültig, nach dem es nicht mehr akzeptiert wird, d.h. zwei verschiedene Kennwörter sind für einen Benutzer vorübergehend zulässig. Dadurch kann das neue Passwort ohne Ausfallzeit an alle Clientanwendungen weitergegeben werden. Der Rollover-Zeitraum für das Kennwort beginnt mit der Änderung des Kennworts.
Die schrittweise Kennwort-Rollover-Funktion wird als Benutzerprofil-Kennwortressourceneinstellung (Kennwortressourcenlimit) PASSWORD_ROLLOVER_TIME
angegeben, die auf die Benutzersessions angewendet wird. Benutzerprofile in Oracle Database sind eine Reihe von Limits für Datenbankressourcen - Konfiguration auf Benutzerebene. Mit dem Benutzerprofil können Sie die Ressourcenmenge regulieren, die von jedem Datenbankbenutzer verwendet wird. Eine Datenbank wird mit dem Standardprofil DEFAULT
erstellt, das allen Benutzern der Datenbank zugewiesen wird, sofern nicht anders angegeben. Sie können das Standardprofil verwenden oder ein neues Profil erstellen, um Ressourcenlimits für Kennwörter hinzuzufügen.
In diesem Tutorial konzentrieren wir uns nur auf PASSWORD_ROLLOVER_TIME
und durchlaufen eine Schritt-für-Schritt-Anleitung zur Verwendung dieses Features in einem Oracle Autonomous Transaction Processing-(ATP-)Datenbankservice. Zu diesem Zweck verwenden wir das Oracle SQL Developer Web-Tool von der OCI-Konsole.
Es gibt andere Dinge, die man wissen sollte, bevor man die Passwort-Rollover-Funktion verwendet.
-
Wenn das Kennwort innerhalb des Rollover-Zeitraums erneut geändert wird, bleiben nur das älteste und neueste Kennwort gültig. Beispiel: Wenn der anfängliche Benutzer das Kennwort p1 hatte, das mit dem Kennwort-Rollover in p2 geändert wurde, und es innerhalb des Rollover-Zeitraums der ersten Änderung erneut in p3 geändert wird, bleiben nur p1 und p3 gültig, und p2 wird ungültig. Außerdem ändert sich die Ablaufzeit der Kennwort-Rollover-Periode nicht, d.h. sie wird nicht für neue Kennwortänderungen aktualisiert. Dies ist sehr hilfreich, wenn das Kennwort innerhalb des Passwort-Rollover-Fensters mehrmals rotiert wird, da die Anwendungen das alte Kennwort weiterhin zum Erstellen von Verbindungen verwenden können.
-
Benutzer mit Administratorrechten können das Feature "Kennwort-Rollover" nicht verwenden, auch wenn sie einem Profil zugeordnet sind, für das der Parameter
PASSWORD_ROLLOVER_TIME
festgelegt ist. Benutzern, die einem Profil zugeordnet sind, für das der ParameterPASSWORD_ROLLOVER_TIME
festgelegt ist, können keine administrativen Berechtigungen erteilt werden.
Ziele
- Verwenden Sie das schrittweise Kennwort-Rollover-Feature in Oracle Database. Nutzen Sie diese Funktion, um Anwendungsausfallzeiten oder -koordination aufgrund von Passwortänderungen zu vermeiden.
Voraussetzungen
-
Ein aktiver OCI-Account.
-
Kenntnisse der Oracle Database.
-
Eine ATP-Datenbankinstanz.
-
Benutzerberechtigungen, um ein Profil erstellen und dem Benutzer in Oracle Cloud Infrastructure Database ein Profil zuweisen zu können.
Aufgabe 1: Standardprofil in Verfügbarkeitsprüfung prüfen
Das Standardprofil und der Wert der Ressource PASSWORD_ROLLOVER_TIME
werden in einer Verfügbarkeitsprüfung angezeigt.
Öffnen Sie das Oracle SQL Developer Web-Tool, und führen Sie die folgende SQL-Abfrage aus, um die Limits des DEFAULT
-Profils zu prüfen.
select * from dba_profiles where profile = 'DEFAULT';
In der folgenden Abbildung wird dargestellt, dass das DEFAULT
-Profil viele Ressourcen enthält und der Grenzwert (Wert) von PASSWORD_ROLLOVER_TIME
0 ist. Das bedeutet, dass der schrittweise Kennwort-Rollover für das DEFAULT
-Profil deaktiviert ist. Der Ressourcengrenzwert im Profil DEFAULT
kann geändert werden. Wir erstellen jedoch ein neues Profil, um dieses Feature zu demonstrieren.
Aufgabe 2: Neues Benutzerprofil erstellen
Erstellen Sie ein Profil, bei dem FAILED_LOGIN_ATTEMPTS
auf 10 und PASSWORD_ROLLOVER_TIME
auf 1 Stunde (1/24 Tag) gesetzt ist.
-
Führen Sie die folgende SQL-Abfrage aus, um ein Profil mit dem Namen
PW_ROLLOVER_TIME_1HR_PROF
zu erstellen.create profile PW_ROLLOVER_TIME_1HR_PROF limit FAILED_LOGIN_ATTEMPTS 10 PASSWORD_ROLLOVER_TIME 1/24;
-
Führen Sie die folgende SQL-Abfrage aus, um den Grenzwert von
PASSWORD_ROLLOVER_TIME
zu prüfen.select * from dba_profiles where profile = 'PW_ROLLOVER_TIME_1HR_PROF';
Der Ressourcengrenzwert für
PASSWORD_ROLLOVER_TIME
ist0.416
(1/24 Tage), und nicht erfolgreiche Anmeldeversuche werden auf10
gesetzt.
Aufgabe 3: Benutzeraccount erstellen
Wir erstellen einen Benutzeraccount und weisen dem Benutzer das erstellte Profil PW_ROLLOVER_TIME_1HR_PROF
zu.
-
Führen Sie die folgende SQL-Abfrage aus, um einen Benutzer mit dem Namen
db_test
zu erstellen.create user db_test identified by "Pass_Rollover@2023" profile = 'PW_ROLLOVER_TIME_1HR_PROF';
Ein vorhandener Benutzer kann mit dem folgenden Befehl auch an ein Profil angehängt werden.
alter user <user_name> profile <profile_name>;
-
Führen Sie die folgende SQL-Abfrage aus, um die Berechtigung
CREATE SESSION
zum Testen der Datenbankverbindung zu erteilen.GRANT CREATE SESSION TO DB_TEST;
-
Der Accountstatus wird mit der folgenden SQL-Abfrage geprüft.
select user_name, profile, account_status from dba_users where user_name = 'DB_TEST';
Aufgabe 4: Benutzerkennwort ändern
Ändern Sie das Benutzerkennwort, und zeigen Sie den Accountstatus an.
-
Führen Sie die folgende SQL-Abfrage aus, um das Benutzerkennwort zu ändern.
alter user DB_TEST identified by "New_Pass@2023";
-
Prüfen Sie den Accountstatus.
Der Accountstatus zeigt jetzt
IN ROLLOVER
an. Das bedeutet, dass sich derDB_TEST
-Benutzeraccount derzeit im Rollover befindet. Sowohl das alte als auch das neue Kennwort können 1 Stunde lang mit dem Benutzer verbunden werden. Nach 1 Stunde wird das alte Kennwort nicht mehr akzeptiert, und Verbindungen können nur mit einem neuen Kennwort hergestellt werden.
Aufgabe 5: Rollover-Periode zwangsweise ablaufen lassen
Mit der Funktion "Kennwort-Rollover" können wir das Rollover zwangsweise ablaufen lassen, wenn das alte Kennwort nicht für die verbleibende Rollover-Periode gültig sein soll.
-
Führen Sie die folgende SQL-Abfrage aus, um das Kennwort-Rollover für den Benutzer ablaufen zu lassen.
alter user DB_TEST expire password rollover period;
-
Prüfen Sie den Accountstatus.
Der Accountstatus wurde in
OPEN
geändert, und eine Verbindung zur Datenbank kann nicht mehr mit dem alten Kennwort hergestellt werden. Wenn ein Benutzer sich also im Rollover befindet, z.B. neue und alte Kennwörter funktionsfähig sind, lautet der Accountstatus in der TabelleDBA_USERS
OPEN & IN ROLLOVER
, und der Accountstatus ändert sich inOPEN
, nachdem der Rollover-Zeitraum abgelaufen ist.
Verwandte Links
Danksagungen
- Autor - Satyam Kumar (Mitglied des technischen Personals)
Weitere Lernressourcen
Lernen Sie andere Übungen auf docs.oracle.com/learn kennen, oder greifen Sie auf weitere kostenlose Lerninhalte im Oracle Learning YouTube Channel zu. Außerdem können Sie education.oracle.com/learning-explorer besuchen, um Oracle Learning Explorer zu werden.
Die Produktdokumentation finden Sie im Oracle Help Center.
Set up Gradual Password Rollover in Oracle Database on Oracle Cloud Infrastructure
F93092-01
February 2024
Copyright © 2024, Oracle and/or its affiliates.