전용 Exadata 인프라에서 Autonomous Database로 사용자 프로파일 관리
Autonomous Database에서 사용자 프로파일을 생성하고 변경할 수 있습니다. 프로파일을 생성하거나 변경한 후 CREATE USER
또는 ALTER USER
를 사용하여 프로파일 절을 지정할 수 있습니다. Oracle Data Pump 임포트를 사용하여 다른 환경에서 기존 유저 프로파일을 임포트할 수도 있습니다.
주:
Autonomous Database에는 프로파일 절에 대한 제한 사항이 있습니다. CREATE PROFILE
및 ALTER PROFILE
제한 사항에 대한 자세한 내용은 SQL 명령 사용에 대한 제한 사항을 참조하십시오.
DEFAULT
프로파일을 포함하여 프로파일에서 암호 매개변수를 추가, 수정 또는 제거하려면 ALTER PROFILE
시스템 권한이 있어야 합니다.
This creates new_user
with profile new_profile
and with connect privileges. The new_user
can now connect to the database and run queries. To grant additional privileges to users, see Manage Database User Privileges.
CREATE PROFILE
사용에 대한 자세한 내용은 Oracle Database 19c SQL Language Reference의 CREATE PROFILE 또는 Oracle Database 23ai SQL Language Reference를 참조하십시오.
Oracle Data Pump 임포트(impdp
)를 사용하여 다른 환경에서 생성된 기존 프로파일을 임포트할 수 있습니다. 데이터베이스 사용자와의 기존 프로파일 연관은 Autonomous Database로 임포트한 후 보존됩니다. Oracle Data Pump 임포트에서 새로 생성한 유저가 처음으로 로그인을 시도하면 다음과 같이 로그인이 처리됩니다.
- 암호 복잡성 제한은 Autonomous Database의 모든 사용자에 대한 제한 사항과 동일합니다.
-
사용자 암호가 암호 복잡성 요구 사항을 위반하는 경우 계정이 30일의 유예 기간으로 만료됩니다. 이 경우 유예 기간이 종료되기 전에 사용자가 암호를 변경해야 합니다.
주:
프로파일이ORA_PROTECTED_PROFILE
인 사용자에 대한 프로파일 지정은 수정할 수 없습니다.
프로파일을 만들거나 변경할 때 암호 복잡성을 관리하기 위해 PVF(암호 확인 함수)를 지정할 수 있습니다. 자세한 내용은 Autonomous Database에서 비밀번호 복잡성 관리를 참조하십시오.
Autonomous Database에서 비밀번호 복잡성 관리
PVF(암호 확인 함수)를 만들고 PVF를 프로파일과 연관시켜 사용자 암호의 복잡성을 관리할 수 있습니다.
주:
사용자 지정 PVF의 최소 암호 길이는 8자이며 대문자, 소문자 및 숫자를 각각 하나 이상 포함해야 합니다. DEFAULT 프로파일의 최소 암호 길이는 12자입니다. DEFAULT 프로파일은CLOUD_VERIFY_FUNCTION
PVF를 사용합니다. 비밀번호에는 사용자 이름이 포함될 수 없습니다.
Oracle은 최소 암호 길이는 12자를 사용할 것을 권장합니다. 프로파일의 PVF를 정의하고 최소 비밀번호 길이를 12자 미만으로 설정하면 Oracle Database DBSAT(Security Assessment Tool) 및 Qualys와 같은 툴에서 이를 데이터베이스 보안 위험으로 보고합니다.
예를 들어, 프로파일에 대해 PVF를 지정하려면 다음 명령을 사용합니다.
CREATE PROFILE example_profile LIMIT PASSWORD_VERIFY_FUNCTION ADMIN.EXAMPLE_PVF
ADMIN 사용자 이외의 다른 사용자가 프로파일을 만들거나 변경한 경우 PVF에 대한 EXECUTE
권한을 부여해야 합니다. PVF를 만들면 암호 검사가 실패하면 데이터베이스에서 ORA-28219
오류를 보고합니다.
다음 중 하나에서 Oracle 제공 PVF를 지정할 수 있습니다.
CLOUD_VERIFY_FUNCTION
(Autonomous Database의 기본 비밀번호 확인 함수):이 기능은 사용자가 암호를 만들거나 수정할 때 다음 요구 사항을 확인합니다.
-
비밀번호는 12 - 30자여야 하며 하나 이상의 대문자, 소문자 및 숫자를 포함해야 합니다.
-
비밀번호에는 사용자 이름이 포함될 수 없습니다.
-
비밀번호는 동일한 사용자 이름에 사용되는 마지막 네 개의 비밀번호 중 하나일 수 없습니다.
-
비밀번호에 큰 따옴표(")를 포함할 수 없습니다.
-
비밀번호는 24시간 전 이내에 설정된 것과 동일하지 않아야 합니다.
-
ORA12C_STIG_VERIFY_FUNCTION
이 기능은 사용자가 암호를 만들거나 수정할 때 다음 요구 사항을 확인합니다.
-
비밀번호가 15자 이상입니다.
-
비밀번호에 1개 이상의 소문자와 1개 이상의 대문자가 있습니다.
-
비밀번호가 1자리 이상입니다.
-
비밀번호에는 1개 이상의 특수 문자가 있습니다.
-
비밀번호가 이전 비밀번호와 8자 이상 다릅니다.
자세한 내용은 Oracle Database 19c Security Guide의 ora12c_stig_verify_function Password Requirements 또는 Oracle Database 23ai Security Guide를 참조하십시오.
-
생성하여 프로파일에 지정하는 PVF(암호 확인 함수)에 대한 다음 제한 사항에 유의하십시오.
-
사용자 프로파일을 지정하는 경우 최소 암호 길이는 다음과 같이 연관된 PVF를 정의하는 방법에 따라 달라집니다.
-
PVF가 정의된 경우 강제 적용되는 최소 암호 길이는 8자이고 대문자, 소문자 및 숫자가 하나 이상 있어야 합니다. 비밀번호에는 사용자 이름이 포함될 수 없습니다.
-
PVF가
NULL
로 정의된 경우 강제 적용되는 최소 암호 길이는 8자이고 대문자, 소문자 및 숫자가 하나 이상 있어야 합니다. 비밀번호에는 사용자 이름이 포함될 수 없습니다. -
프로파일에 PVF가 정의되어 있지 않으면 DEFAULT 프로파일의 PVF(
CLOUD_VERIFY_FUNCTION
)가 지정되고 적용되는 최소 암호 길이는 12자입니다.
-
- 기본
CLOUD_VERIFY_FUNCTION
보다 엄격한 PVF(암호 확인 함수)를 지정하면 새 확인 함수가 사용됩니다. -
생성한 PVF는
DEFINER RIGHTS
PL/SQL 함수로 생성해야 합니다.INVOKER
권한 PVF가CREATE
또는ALTER
PROFILE
에 대한 입력으로 제공된 경우ORA-28220
오류가 발생합니다. -
만드는 모든 PVF는 ADMIN 사용자 스키마에서 만들어야 합니다. ADMIN이 아닌 사용자 소유 PVF가
CREATE
또는ALTER
PROFILE
에 입력으로 제공된 경우ORA-28220
오류가 발생합니다. -
PVF는 비ADMIN 사용자가 변경하거나 삭제할 수 없습니다. 즉,
CREATE
또는DROP
ANY PROCEDURE
권한이 있는 사용자는 PVF를 변경하거나 삭제할 수 없습니다. -
프로파일과 연관된 PVF를 삭제하면 프로파일에서 PVF를 사용하는 사용자의 암호를 변경하려고 시도하면
ORA-7443
오류가 발생합니다. 프로파일과 연관된 PVF가 삭제된 경우에도 사용자가 로그인할 수 있습니다. 그러나 사용자 암호가 만료되고 PVF가 삭제되면 사용자가 로그인할 수 없습니다.ORA-7443
오류에서 복구하려면 ADMIN 사용자가 삭제된 PVF를 다시 만들어 프로파일에 지정하거나 기존 PVF를 프로파일에 지정해야 합니다. 이렇게 하면 사용자가 비밀번호를 변경하고 로그인할 수 있습니다. -
CREATE ANY PROCEDURE
시스템 권한 및DROP ANY PROCEDURE
시스템 권한은 PVF 보안에 대해 감사됩니다. 자세한 내용은 Oracle Database 19c SQL Language Reference의 Listings of System and Object Privileges 또는 Oracle Database 23ai SQL Language Reference의PROCEDURES
목록을 참조하십시오.
자세한 내용은 Oracle Database 19c Security Guide의 Managing the Complexity of Passwords 또는 Oracle Database 23ai Security Guide를 참조하십시오.
애플리케이션에 대한 점진적 데이터베이스 비밀번호 롤오버
관리자는 다운타임 일정을 잡지 않아도 응용 프로그램에서 데이터베이스 암호를 변경할 수 있습니다.
이를 위해 PASSWORD_ROLLOVER_TIME
암호 프로파일 매개변수에 대해 0이 아닌 제한이 있는 프로파일을 응용 프로그램 스키마와 연관시킬 수 있습니다. 이렇게 하면 PASSWORD_ROLLOVER_TIME
제한으로 지정된 시간 동안 이전 암호를 유효하게 유지하면서 응용 프로그램 사용자의 데이터베이스 암호를 변경할 수 있습니다. 롤오버 기간 동안 응용 프로그램 인스턴스는 이전 암호 또는 새 암호를 사용하여 데이터베이스 서버에 연결할 수 있습니다. 롤오버 시간이 만료되면 새 암호만 허용됩니다.
자세한 내용은 애플리케이션에 대한 점진적 데이터베이스 비밀번호 롤오버 관리를 참조하십시오.