전용 Exadata 인프라의 자율운영 AI 데이터베이스로 사용자 프로파일 관리

자율운영 AI 데이터베이스에서 사용자 프로파일을 생성하고 변경할 수 있습니다. 프로파일을 생성하거나 변경한 후 CREATE USER 또는 ALTER USER를 사용하여 프로파일 절을 지정할 수 있습니다. Oracle Data Pump 임포트를 사용하여 다른 환경에서 기존 사용자 프로파일을 임포트할 수도 있습니다.

참고: 자율운영 AI 데이터베이스에는 프로파일 절에 대한 제한 사항이 있습니다. CREATE PROFILE 및 ALTER PROFILE 제한 사항에 대한 자세한 내용은 SQL 명령 사용에 대한 제한 사항을 참조하십시오.

DEFAULT 프로파일을 포함하여 프로파일에서 암호 매개변수를 추가, 수정 또는 제거하려면 ALTER PROFILE 시스템 권한이 있어야 합니다.

1. 프로파일을 추가하거나 변경하려면 ADMIN 사용자가 CREATE PROFILE 또는 ALTER PROFILE를 실행하면 됩니다. 예:

    CREATE PROFILE new_profile
      LIMIT PASSWORD_REUSE_MAX 10
      PASSWORD_LOCK_TIME 5;
   

   ADMIN 사용자가 아닌 경우 CREATE PROFILE를 실행하려면 CREATE PROFILE 권한이 있어야 합니다. ALTER PROFILE를 실행하는 경우 ALTER PROFILE 권한이 있어야 합니다.

2. CREATE USER 또는 ALTER USER 명령을 사용하여 새 프로파일 또는 변경된 프로파일을 사용합니다. 예:

    CREATE USER new_user IDENTIFIED BY password PROFILE new_profile;
    GRANT CREATE SESSION TO new_user;
   

그러면 new_profile 프로파일과 연결 권한을 가진 new_user가 생성됩니다. 이제 new_user가 데이터베이스에 접속하여 질의를 실행할 수 있습니다. 사용자에게 추가 권한을 부여하려면 데이터베이스 사용자 권한 관리를 참조하십시오.

CREATE PROFILE 사용에 대한 자세한 내용은 Oracle Database 19c SQL Language Reference의 CREATE PROFILE 또는 Oracle Database 26ai SQL Language Reference를 참조하십시오.

Oracle Data Pump 임포트(impdp)를 사용하여 다른 환경에서 생성된 기존 프로파일을 임포트할 수 있습니다. 데이터베이스 사용자와의 기존 프로파일 연관은 자율운영 AI 데이터베이스로 임포트한 후 보존됩니다. Oracle Data Pump 임포트에서 생성된 새로 생성된 유저가 처음 로그인을 시도하면 로그인이 다음과 같이 처리됩니다.

• 비밀번호 복잡성 제한은 자율운영 AI 데이터베이스의 모든 사용자에 대한 제한과 동일합니다.

• 사용자 암호가 암호 복잡성 요구 사항을 위반하는 경우 계정은 30일 유예 기간과 함께 만료됩니다. 이 경우 유예 기간이 종료되기 전에 암호를 변경해야 합니다.

주: 프로파일이 ORA_PROTECTED_PROFILE인 사용자에 대한 프로파일 지정은 수정할 수 없습니다.

프로파일을 만들거나 변경할 때 PVF(암호 확인 함수)를 지정하여 암호 복잡성을 관리할 수 있습니다. 자세한 내용은 자율운영 AI 데이터베이스에서 비밀번호 복잡성 관리를 참조하십시오.

자율운영 AI 데이터베이스에서 비밀번호 복잡성 관리

PVF(암호 확인 기능)를 만들고 PVF를 프로파일에 연결하여 사용자 암호의 복잡성을 관리할 수 있습니다.

참고:

사용자 지정 PVF의 최소 암호 길이는 8자이며 대문자, 소문자 및 숫자를 하나 이상 포함해야 합니다. DEFAULT 프로파일의 최소 암호 길이는 12자입니다. DEFAULT 프로파일은 CLOUD_VERIFY_FUNCTION PVF를 사용합니다. 비밀번호에는 사용자 이름이 포함될 수 없습니다.

Oracle은 최소 암호 길이인 12자를 사용할 것을 권장합니다. 프로파일의 PVF를 정의하고 최소 암호 길이를 12자 미만으로 설정하면 Oracle Database Security Assessment Tool(DBSAT) 및 Qualys와 같은 도구가 이를 데이터베이스 보안 위험으로 보고합니다.

예를 들어, 프로파일에 대한 PVF를 지정하려면 다음 명령을 사용합니다.

CREATE PROFILE example_profile LIMIT PASSWORD_VERIFY_FUNCTION ADMIN.EXAMPLE_PVF

ADMIN 사용자 이외의 사용자가 프로파일을 만들거나 변경한 경우 PVF에 대해 EXECUTE 권한을 부여해야 합니다. PVF를 만들고 암호 검사를 실패하면 데이터베이스가 ORA-28219 오류를 보고합니다.

다음 중 하나에서 Oracle 제공 PVF를 지정할 수 있습니다.

• CLOUD_VERIFY_FUNCTION(자율운영 AI 데이터베이스의 기본 비밀번호 확인 함수):

  이 함수는 사용자가 암호를 만들거나 수정할 때 다음 요구 사항을 확인합니다.

  • 비밀번호는 12자에서 30자 사이이어야 하고 대문자, 소문자 및 숫자를 하나 이상 포함해야 합니다.

  • 비밀번호에 사용자 이름을 포함할 수 없습니다.

  • 비밀번호는 동일한 사용자명에 사용되는 마지막 네 개의 비밀번호 중 하나일 수 없습니다.

  • 비밀번호에 큰따옴표(")를 포함할 수 없습니다.

  • 암호는 24시간 전에 설정된 암호와 같지 않아야 합니다.

• ORA12C_STIG_VERIFY_FUNCTION

  이 함수는 사용자가 암호를 만들거나 수정할 때 다음 요구 사항을 확인합니다.

  • 비밀번호는 15자 이상입니다.

  • 비밀번호에 소문자가 하나 이상 있고 대문자가 하나 이상 있습니다.

  • 비밀번호가 1자리 이상입니다.

  • 비밀번호에 특수 문자가 1개 이상 있습니다.

  • 비밀번호가 이전 비밀번호와 8자 이상 달라집니다.

  자세한 내용은 Oracle Database 19c 보안 설명서의 ora12c_stig_verify_function 암호 요구 사항 또는 Oracle Database 26ai 보안 설명서를 참조하십시오.

프로파일을 만들고 프로파일에 지정하는 PVF(암호 확인 함수)에 대해 다음 제한 사항을 확인합니다.

• 사용자 프로파일을 지정하는 경우 최소 암호 길이는 다음과 같이 연관된 PVF를 정의하는 방법에 따라 달라집니다.

  • PVF가 정의된 경우 적용되는 최소 비밀번호 길이는 8자이고 대문자, 소문자 및 숫자가 각각 하나 이상이어야 합니다. 비밀번호에 사용자 이름을 포함할 수 없습니다.

  • PVF가 NULL로 정의된 경우 적용되는 최소 비밀번호 길이는 8자이고 대문자, 소문자 및 숫자를 각각 하나 이상 포함합니다. 비밀번호에 사용자 이름을 포함할 수 없습니다.

  • 프로파일에 PVF가 정의되지 않은 경우 DEFAULT 프로파일의 PVF(CLOUD_VERIFY_FUNCTION)가 지정되고 최소 암호 길이가 12자입니다.

• 기본 CLOUD_VERIFY_FUNCTION보다 엄격한 PVF(암호 확인 함수)를 지정하면 새 확인 함수가 사용됩니다.

• 생성하는 PVF는 DEFINER RIGHTS PL/SQL 함수로 생성되어야 합니다. INVOKER 권한 PVF가 CREATE 또는 ALTER PROFILE에 대한 입력으로 제공된 경우 ORA-28220 오류가 발생합니다.

• 생성한 PVF는 ADMIN 사용자 스키마에 생성해야 합니다. 비ADMIN 사용자 소유의 PVF가 CREATE 또는 ALTER PROFILE에 대한 입력으로 제공된 경우 ORA-28220 오류가 발생합니다.

• 비ADMIN 사용자는 PVF를 변경하거나 삭제할 수 없습니다. 즉, CREATE 또는 DROP ANY PROCEDURE 권한이 있는 사용자는 PVF를 변경하거나 삭제할 수 없습니다.

• 프로파일과 연관된 PVF가 삭제된 경우 프로파일에서 PVF를 사용하는 사용자에 대한 암호를 변경하려고 하면 ORA-7443 오류가 발생합니다. 사용자는 프로파일과 연관된 PVF를 삭제할 때 계속 로그인할 수 있습니다. 그러나 사용자 암호가 만료되고 PVF가 삭제되면 사용자가 로그인할 수 없습니다.

  ORA-7443 오류에서 복구하려면 ADMIN 사용자가 삭제된 PVF를 다시 만들어 프로파일에 지정하거나 기존 PVF를 프로파일에 지정해야 합니다. 이렇게 하면 유저가 암호를 변경하고 로그인할 수 있습니다.

• CREATE ANY PROCEDURE 시스템 권한 및 DROP ANY PROCEDURE 시스템 권한은 PVF 보안에 대해 감사됩니다. 자세한 내용은 Oracle Database 19c SQL Language Reference의 Listings of System and Object Privileges 또는 Oracle Database 26ai SQL Language Reference의 PROCEDURES 목록을 참조하십시오.

자세한 내용은 Oracle Database 19c 보안 설명서의 암호 복잡성 관리 또는 Oracle Database 26ai 보안 설명서를 참조하십시오.

응용 프로그램에 대한 점진적 데이터베이스 암호 롤오버

응용 프로그램은 관리자가 작동 중지 시간을 예약하지 않고도 데이터베이스 암호를 변경할 수 있습니다.

이를 위해 PASSWORD_ROLLOVER_TIME 비밀번호 프로파일 매개변수에 대해 0이 아닌 제한이 있는 프로파일을 애플리케이션 스키마와 연관시킬 수 있습니다. 이렇게 하면 이전 암호가 PASSWORD_ROLLOVER_TIME 제한으로 지정된 시간 동안 유효한 상태로 유지되도록 허용하면서 응용 프로그램 사용자의 데이터베이스 암호를 변경할 수 있습니다. 롤오버 기간 동안 응용 프로그램 인스턴스는 이전 암호 또는 새 암호를 사용하여 데이터베이스 서버에 연결할 수 있습니다. 롤오버 시간이 만료되면 새 암호만 허용됩니다.

자세한 내용은 애플리케이션에 대한 점진적 데이터베이스 비밀번호 롤오버 관리를 참조하십시오.

관련 콘텐츠

전용 Exadata 인프라에서 자율운영 AI 데이터베이스 사용자 관리