1.1、创建用户
Oracle 数据库中创建用户的语法有了显著增强,支持更多安全选项。
-- 基础创建用户 CREATE USER hr_user IDENTIFIED BY "Hr@2024!Secure" DEFAULT TABLESPACE users TEMPORARY TABLESPACE temp QUOTA 500M ON users ACCOUNT UNLOCK PASSWORD EXPIRE; -- 强制密码区分大小写 ALTER SYSTEM SET sec_case_sensitive_logon = TRUE; -- 创建用户时指定 Profile CREATE USER fin_user IDENTIFIED BY "Fin@2024!Strong" PROFILE fin_profile DEFAULT TABLESPACE fin_ts QUOTA UNLIMITED ON fin_ts; -- 创建时指定认证方式 -- OS 认证 CREATE USER os_user IDENTIFIED EXTERNALLY; -- LDAP 认证 CREATE USER ldap_user IDENTIFIED GLOBALLY AS 'CN=John,OU=Dev,DC=corp'; -- Kerberos 认证 CREATE USER kerb_user IDENTIFIED GLOBALLY AS 'john@CORP.EXAMPLE.COM';1.2、用户属性管理
Oracle 用户的关键属性包括:
属性 | 说明 |
USERNAME | 用户名,CDB 中公共用户需以 C## 开头 |
IDENTIFIED BY | 密码认证,12c 默认区分大小写 |
DEFAULT TABLESPACE | 默认表空间,存储用户创建的对象 |
TEMPORARY TABLESPACE | 临时表空间,用于排序和临时操作 |
QUOTA | 表空间配额,限制用户可使用的空间 |
PROFILE | 资源限制和密码策略配置文件 |
ACCOUNT STATUS | 账户状态:LOCKED/UNLOCKED/EXPIRED |
CONTAINER | ALL(公共用户)或 CURRENT(本地用户) |
1.3、用户认证方式
1.3.1、数据库认证(Database Authentication)
最常见的认证方式,用户密码存储在数据库中(12c 默认区分大小写)。
-- 查看密码大小写敏感设置 SELECT name, value FROM v$parameter WHERE name = 'sec_case_sensitive_logon'; -- 修改密码 ALTER USER hr_user IDENTIFIED BY "NewP@ss2024" REPLACE "OldP@ss2023"; -- 锁定/解锁账户 ALTER USER hr_user ACCOUNT LOCK; ALTER USER hr_user ACCOUNT UNLOCK; -- 密码过期 ALTER USER hr_user PASSWORD EXPIRE;1.3.2、操作系统认证(OS Authentication)
通过操作系统用户映射到数据库用户,常用于本地 DBA 管理。
-- 创建 OS 认证用户 CREATE USER ops$admin IDENTIFIED EXTERNALLY; -- 使用 OS 认证连接(无需输入密码) -- sqlplus /@orcl -- 12c+ 增强:支持区分大小写的 OS 用户名 ALTER SYSTEM SET os_authent_prefix = 'OPS$';1.3.3、目录服务认证(LDAP/Kerberos)
企业级环境中常用的集中认证方式。
-- 配置 LDAP 认证(需先配置 ldap.ora) CREATE USER enterprise_user IDENTIFIED GLOBALLY AS 'CN=Enterprise User,OU=Users,DC=corp,DC=com'; -- 配置 Kerberos 认证 -- sqlnet.ora 配置: -- SQLNET.AUTHENTICATION_SERVICES = (KERBEROS5) -- SQLNET.KERBEROS5_CONF = /etc/krb5.conf -- SQLNET.KERBEROS5_REALM = CORP.COM -- SQLNET.KERBEROS5_CONF_MIT = TRUE CREATE USER kerberos_user IDENTIFIED GLOBALLY AS 'user@CORP.COM';1.3.4、多因素认证(MFA)- 12c 新特性
Oracle 12c 开始支持与第三方 MFA 集成,如 RSA、Gemalto 等。
-- 配置 RADIUS 认证(用于 MFA 集成) -- sqlnet.ora 配置: -- SQLNET.AUTHENTICATION_SERVICES = (RADIUS) -- SQLNET.RADIUS_AUTHENTICATION = radius_server -- SQLNET.RADIUS_AUTHENTICATION_PORT = 1812 -- SQLNET.RADIUS_SECRET = /opt/oracle/radius_secret -- 创建 RADIUS 认证用户 CREATE USER mfa_user IDENTIFIED BY "InitP@ss" AUTHENTICATION USING 'radius';实例:制造业用户生命周期管理体系
S — Situation(场景):某大型制造企业有 200+ 个数据库用户,分布在 Oracle 的 8 个 PDB 中。用户使用简单密码,频繁出现暴力破解事件,且离职员工账户未及时清理。
T — Task(任务):建立一套完整的用户生命周期管理机制,包含强密码策略、账户自动锁定、定期审计。
A — Action(行动):
1、创建统一的密码验证函数,要求最少12位、大小写+数字+特殊字符、不能包含用户名。
2、创建 Profile 绑定到所有用户,设置密码历史10次、失败5次锁定30分钟。
3、编写 PL/SQL 脚本自动识别90天未登录的账户并锁定。
4、集成企业 LDAP,实现统一身份管理。
5、建立月度用户审计报告机制。
R — Result(结果):密码暴力破解事件降至零,90天未活跃账户自动锁定覆盖率达100%,离职员工账户平均清理时间从7天缩短到当天,安全审计报告自动生成并邮件通知安全团队。
:路由系统、中间件洋葱与 Pydantic 验证引擎)
