전용 Exadata 인프라에서 Autonomous Database로 사용자 프로파일 관리

Autonomous Database에서 사용자 프로파일을 생성하고 변경할 수 있습니다. 프로파일을 생성하거나 변경한 후 CREATE USER 또는 ALTER USER를 사용하여 프로파일 절을 지정할 수 있습니다. Oracle Data Pump 임포트를 사용하여 다른 환경에서 기존 유저 프로파일을 임포트할 수도 있습니다.

주:

Autonomous Database에는 프로파일 절에 대한 제한 사항이 있습니다. CREATE PROFILEALTER PROFILE 제한 사항에 대한 자세한 내용은 SQL 명령 사용에 대한 제한 사항을 참조하십시오.

DEFAULT 프로파일을 포함하여 프로파일에서 암호 매개변수를 추가, 수정 또는 제거하려면 ALTER PROFILE 시스템 권한이 있어야 합니다.

  1. 프로파일을 추가하거나 변경하려면 ADMIN 사용자로 CREATE PROFILE 또는 ALTER PROFILE를 실행합니다. 예를 들면, 다음과 같습니다.
    CREATE PROFILE new_profile
      LIMIT PASSWORD_REUSE_MAX 10
      PASSWORD_LOCK_TIME 5;

    ADMIN 사용자가 아닌 경우 CREATE PROFILE를 실행하려면 CREATE PROFILE 권한이 있어야 합니다. ALTER PROFILE를 실행하는 경우 ALTER PROFILE 권한이 있어야 합니다.

  2. CREATE USER 또는 ALTER USER 명령과 함께 새 프로파일 또는 변경된 프로파일을 사용합니다. 예를 들면, 다음과 같습니다.
    CREATE USER new_user IDENTIFIED BY password PROFILE new_profile;
    GRANT CREATE SESSION TO new_user;

This creates new_user with profile new_profile and with connect privileges. The new_user can now connect to the database and run queries. To grant additional privileges to users, see Manage Database User Privileges.

CREATE PROFILE 사용에 대한 자세한 내용은 Oracle Database 19c SQL Language ReferenceCREATE PROFILE 또는 Oracle Database 23ai SQL Language Reference를 참조하십시오.

Oracle Data Pump 임포트(impdp)를 사용하여 다른 환경에서 생성된 기존 프로파일을 임포트할 수 있습니다. 데이터베이스 사용자와의 기존 프로파일 연관은 Autonomous Database로 임포트한 후 보존됩니다. Oracle Data Pump 임포트에서 새로 생성한 유저가 처음으로 로그인을 시도하면 다음과 같이 로그인이 처리됩니다.

  • 암호 복잡성 제한은 Autonomous Database의 모든 사용자에 대한 제한 사항과 동일합니다.
  • 사용자 암호가 암호 복잡성 요구 사항을 위반하는 경우 계정이 30일의 유예 기간으로 만료됩니다. 이 경우 유예 기간이 종료되기 전에 사용자가 암호를 변경해야 합니다.

주:

프로파일이 ORA_PROTECTED_PROFILE인 사용자에 대한 프로파일 지정은 수정할 수 없습니다.

프로파일을 만들거나 변경할 때 암호 복잡성을 관리하기 위해 PVF(암호 확인 함수)를 지정할 수 있습니다. 자세한 내용은 Autonomous Database에서 비밀번호 복잡성 관리를 참조하십시오.

Autonomous Database에서 비밀번호 복잡성 관리

PVF(암호 확인 함수)를 만들고 PVF를 프로파일과 연관시켜 사용자 암호의 복잡성을 관리할 수 있습니다.

주:

사용자 지정 PVF의 최소 암호 길이는 8자이며 대문자, 소문자 및 숫자를 각각 하나 이상 포함해야 합니다. DEFAULT 프로파일의 최소 암호 길이는 12자입니다. DEFAULT 프로파일은 CLOUD_VERIFY_FUNCTION PVF를 사용합니다. 비밀번호에는 사용자 이름이 포함될 수 없습니다.

Oracle은 최소 암호 길이는 12자를 사용할 것을 권장합니다. 프로파일의 PVF를 정의하고 최소 비밀번호 길이를 12자 미만으로 설정하면 Oracle Database DBSAT(Security Assessment Tool) 및 Qualys와 같은 툴에서 이를 데이터베이스 보안 위험으로 보고합니다.

예를 들어, 프로파일에 대해 PVF를 지정하려면 다음 명령을 사용합니다.

CREATE PROFILE example_profile LIMIT PASSWORD_VERIFY_FUNCTION ADMIN.EXAMPLE_PVF

ADMIN 사용자 이외의 다른 사용자가 프로파일을 만들거나 변경한 경우 PVF에 대한 EXECUTE 권한을 부여해야 합니다. PVF를 만들면 암호 검사가 실패하면 데이터베이스에서 ORA-28219 오류를 보고합니다.

다음 중 하나에서 Oracle 제공 PVF를 지정할 수 있습니다.

  • CLOUD_VERIFY_FUNCTION(Autonomous Database의 기본 비밀번호 확인 함수):

    이 기능은 사용자가 암호를 만들거나 수정할 때 다음 요구 사항을 확인합니다.

    • 비밀번호는 12 - 30자여야 하며 하나 이상의 대문자, 소문자 및 숫자를 포함해야 합니다.

    • 비밀번호에는 사용자 이름이 포함될 수 없습니다.

    • 비밀번호는 동일한 사용자 이름에 사용되는 마지막 네 개의 비밀번호 중 하나일 수 없습니다.

    • 비밀번호에 큰 따옴표(")를 포함할 수 없습니다.

    • 비밀번호는 24시간 전 이내에 설정된 것과 동일하지 않아야 합니다.

  • ORA12C_STIG_VERIFY_FUNCTION

    이 기능은 사용자가 암호를 만들거나 수정할 때 다음 요구 사항을 확인합니다.

    • 비밀번호가 15자 이상입니다.

    • 비밀번호에 1개 이상의 소문자와 1개 이상의 대문자가 있습니다.

    • 비밀번호가 1자리 이상입니다.

    • 비밀번호에는 1개 이상의 특수 문자가 있습니다.

    • 비밀번호가 이전 비밀번호와 8자 이상 다릅니다.

    자세한 내용은 Oracle Database 19c Security Guideora12c_stig_verify_function Password Requirements 또는 Oracle Database 23ai Security Guide를 참조하십시오.

생성하여 프로파일에 지정하는 PVF(암호 확인 함수)에 대한 다음 제한 사항에 유의하십시오.

  • 사용자 프로파일을 지정하는 경우 최소 암호 길이는 다음과 같이 연관된 PVF를 정의하는 방법에 따라 달라집니다.

    • PVF가 정의된 경우 강제 적용되는 최소 암호 길이는 8자이고 대문자, 소문자 및 숫자가 하나 이상 있어야 합니다. 비밀번호에는 사용자 이름이 포함될 수 없습니다.

    • PVF가 NULL로 정의된 경우 강제 적용되는 최소 암호 길이는 8자이고 대문자, 소문자 및 숫자가 하나 이상 있어야 합니다. 비밀번호에는 사용자 이름이 포함될 수 없습니다.

    • 프로파일에 PVF가 정의되어 있지 않으면 DEFAULT 프로파일의 PVF(CLOUD_VERIFY_FUNCTION)가 지정되고 적용되는 최소 암호 길이는 12자입니다.

  • 기본 CLOUD_VERIFY_FUNCTION보다 엄격한 PVF(암호 확인 함수)를 지정하면 새 확인 함수가 사용됩니다.
  • 생성한 PVF는 DEFINER RIGHTS PL/SQL 함수로 생성해야 합니다. INVOKER 권한 PVF가 CREATE 또는 ALTER PROFILE에 대한 입력으로 제공된 경우 ORA-28220 오류가 발생합니다.

  • 만드는 모든 PVF는 ADMIN 사용자 스키마에서 만들어야 합니다. ADMIN이 아닌 사용자 소유 PVF가 CREATE 또는 ALTER PROFILE에 입력으로 제공된 경우 ORA-28220 오류가 발생합니다.

  • PVF는 비ADMIN 사용자가 변경하거나 삭제할 수 없습니다. 즉, CREATE 또는 DROP ANY PROCEDURE 권한이 있는 사용자는 PVF를 변경하거나 삭제할 수 없습니다.

  • 프로파일과 연관된 PVF를 삭제하면 프로파일에서 PVF를 사용하는 사용자의 암호를 변경하려고 시도하면 ORA-7443 오류가 발생합니다. 프로파일과 연관된 PVF가 삭제된 경우에도 사용자가 로그인할 수 있습니다. 그러나 사용자 암호가 만료되고 PVF가 삭제되면 사용자가 로그인할 수 없습니다.

    ORA-7443 오류에서 복구하려면 ADMIN 사용자가 삭제된 PVF를 다시 만들어 프로파일에 지정하거나 기존 PVF를 프로파일에 지정해야 합니다. 이렇게 하면 사용자가 비밀번호를 변경하고 로그인할 수 있습니다.

  • CREATE ANY PROCEDURE 시스템 권한 및 DROP ANY PROCEDURE 시스템 권한은 PVF 보안에 대해 감사됩니다. 자세한 내용은 Oracle Database 19c SQL Language ReferenceListings of System and Object Privileges 또는 Oracle Database 23ai SQL Language ReferencePROCEDURES 목록을 참조하십시오.

자세한 내용은 Oracle Database 19c Security GuideManaging the Complexity of Passwords 또는 Oracle Database 23ai Security Guide를 참조하십시오.

애플리케이션에 대한 점진적 데이터베이스 비밀번호 롤오버

관리자는 다운타임 일정을 잡지 않아도 응용 프로그램에서 데이터베이스 암호를 변경할 수 있습니다.

이를 위해 PASSWORD_ROLLOVER_TIME 암호 프로파일 매개변수에 대해 0이 아닌 제한이 있는 프로파일을 응용 프로그램 스키마와 연관시킬 수 있습니다. 이렇게 하면 PASSWORD_ROLLOVER_TIME 제한으로 지정된 시간 동안 이전 암호를 유효하게 유지하면서 응용 프로그램 사용자의 데이터베이스 암호를 변경할 수 있습니다. 롤오버 기간 동안 응용 프로그램 인스턴스는 이전 암호 또는 새 암호를 사용하여 데이터베이스 서버에 연결할 수 있습니다. 롤오버 시간이 만료되면 새 암호만 허용됩니다.

자세한 내용은 애플리케이션에 대한 점진적 데이터베이스 비밀번호 롤오버 관리를 참조하십시오.