配置文件是下列口令和资源限制的指定集合:
•
口令过期和失效
•
口令历史记录
•
口令复杂性校验
•
帐户锁定
• CPU
时间
•
输入
/
输出
(I/O)
操作
•
空闲时间
•
连接时间
•
内存空间(仅用于共享服务器的
SQL
专用区)
•
并发会话
创建配置文件后,数据库管理员可以将它分配给各个用户。如果启用了资源限制,则
Oracle
服务器将数据库的使用和资源限制在定义的用户配置文件所允许的范围内。
创建数据库时,
Oracle
服务器自动创建
DEFAULT
配置文件。没有被显式分配特定配置文件的用户遵从
DEFAULT
配置文件的所有限制。
DEFAULT
配置文件的所有限制最初为无限制。不过,数据库管理员可以更改这些值,让这些限制在缺省情况下适用于所有用户。
配置文件的用途:
•
限制用户执行某些需要大量资源的操作。
•
确保在用户会话空闲一段时间后,将用户从数据库注销。
•
对相似的用户启用组资源限制。
•
便于为用户分配资源限制。
•
管理大型、复杂的多用户数据库系统中的资源使用。
•
控制口令的使用
配置文件的特点:
•
配置文件的分配不影响当前会话。
•
配置文件只能分配给用户,而不能分配给角色或其它配置文件。
•
如果创建用户时未分配配置文件,则系统将
DEFAULT
配置文件自动分配给用户。
启用口令管理
创建配置文件以限制口令设置,然后使用
CREATE USER
或
ALTER USER
命令将配置文件分配给用户。始终执行配置文件中的口令限制设置。如果启用了口令管理,则可以使用
CREATE USER
或
ALTER USER
命令锁定或解除锁定用户帐户
.
要启用口令管理,请以用户
SYS
的身份运行
utlpwdmg.sql
脚本。
图
1
•PASSWORD_REUSE_TIME
、
PASSWORD_REUSE_MAX:
如果一个参数设置成
DEFAULT
或
UNLIMITED
以外的值,则另一个参数必须设置为
UNLIMITED
。
用户提供的口令函数
添加新的口令校验函数时,数据库管理员必须考虑下列限制:
•
此过程必须使用以下显示的说明:
function_name(
userid_parameter IN VARCHAR2(30),
password_parameter IN VARCHAR2(30),
old_password_parameter IN VARCHAR2(30))
RETURN BOOLEAN
•
成功时此过程返回
TRUE
值,失败时返回
FALSE
值。
•
如果口令函数产生异常错误,将返回错误消息并终止
ALTER USER
或
CREATE USER
命令。
•
口令函数由
SYS
所有。
•
如果口令函数无效,则返回错误消息并终止
ALTER USER
或
CREATE USER
命令。
•
默认密码
验证函数(
verify_function
)规则:最短为四个字符;
口令不应与用户名相同;口令至少应该包含一个字母、一个数字和一个特殊字符;
新口令与旧口令相比,应至少有三个字母不同。
$ORACLE_HOME/rdbms/admin/utlpwdmg
脚本
:
ALTER PROFILE DEFAULT LIMIT
PASSWORD_LIFE_TIME 60
PASSWORD_GRACE_TIME 10
PASSWORD_REUSE_TIME 1800
PASSWORD_REUSE_MAX UNLIMITED
FAILED_LOGIN_ATTEMPTS 3
PASSWORD_LOCK_TIME 1/1440
PASSWORD_VERIFY_FUNCTION verify_function;
创建配置文件
使用下面的
CREATE PROFILE
命令可以管理口令:
CREATE PROFILE profile LIMIT
[FAILED_LOGIN_ATTEMPTS max_value]
[PASSWORD_LIFE_TIME max_value]
[ {PASSWORD_REUSE_TIME
|PASSWORD_REUSE_MAX} max_value]
[PASSWORD_LOCK_TIME max_value]
[PASSWORD_GRACE_TIME max_value]
[PASSWORD_VERIFY_FUNCTION
{function|NULL|DEFAULT} ]
若要将口令参数设置为不超过一天:
1
小时:
PASSWORD_LOCK_TIME = 1/24
10
分钟:
PASSWORD_LOCK_TIME = 10/1400
5
分钟:
PASSWORD_LOCK_TIME = 5/1440
例:
CREATE PROFILE grace_5 LIMIT
FAILED_LOGIN_ATTEMPTS 3
PASSWORD_LOCK_TIME UNLIMITED
PASSWORD_LIFE_TIME 30
PASSWORD_REUSE_TIME 30
PASSWORD_VERIFY_FUNCTION verify_function
PASSWORD_GRACE_TIME 5;
改变配置文件
使用
ALTER PROFILE
命令可更改对配置文件指定的口令限制:
ALTER PROFILE profile LIMIT
[FAILED_LOGIN_ATTEMPTS max_value]
[PASSWORD_LIFE_TIME max_value]
[ {PASSWORD_REUSE_TIME
|PASSWORD_REUSE_MAX} max_value]
[PASSWORD_LOCK_TIME max_value]
[PASSWORD_GRACE_TIME max_value]
[PASSWORD_VERIFY_FUNCTION
{function|NULL|DEFAULT} ]
删除配置文件:口令设置
使用
DROP PROFILE
命令删除配置文件:
DROP PROFILE profile [CASCADE]
其中:
profile
:是要删除的配置文件的名称
CASCADE
:从分配有配置文件的用户处撤消配置文件(
Oracle
服务器自动将
DEFAULT
配置文件分配给这些用户。指定此选项可以删除当前分配给用户的配置文件。)
原则:
•
不能删除
DEFAULT
配置文件。
•
删除配置文件后,此更改仅适用于此后创建的会话,而不适用于当前会话。
启用资源限制
•
将初始化参数
RESOURCE_LIMIT
设置为
TRUE
。
•
或执行
ALTER SYSTEM SET RESOURCE_LIMIT=TRUE;
在会话级设置资源限制
原则:
可以在会话级、调用级或同时在这两个级别上执行配置文件限制。每一个连接都要执行会话级限制。
如果超出了会话级限制,则:
•
返回错误消息;例如:
ORA-02391: exceeded simultaneous SESSION_PER_USER limit
• Oracle
服务器断开与用户的连接。
图2
注:
•
仅计算服务器进程的
IDLE_TIME
。不考虑应用程序活动。长时间运行的查询和其它操作不影响
IDLE_TIME
限制。
• LOGICAL_READS_PER_SESSION
是对从内存和磁盘的读取总数的限制。它可以确保
I/O
密集型语句不会占据内存及冻结磁盘。
•
只有运行共享服务器体系结构时,
PRIVATE_SGA
才适用,可以用
MB
或
KB
为单位指定该参数。
在调用级设置资源限制
对于执行
SQL
语句时执行的每次调用,均适用调用级限制。
如果超出了调用级限制,则:
•
暂停处理语句
•
语句被退回
•
前面所有的语句保持原样
•
用户会话仍保持连接
创建配置文件:资源限制
使用下列
CREATE PROFILE
命令创建配置文件:
CREATE PROFILE profile LIMIT
[SESSIONS_PER_USER max_value]
[CPU_PER_SESSION max_value]
[CPU_PER_CALL max_value]
[CONNECT_TIME max_value]
[IDLE_TIME max_value]
[LOGICAL_READS_PER_SESSION max_value]
[LOGICAL_READS_PER_CALL max_value]
[COMPOSITE_LIMIT max_value]
[PRIVATE_SGA max_bytes]
其中:
profile
:是配置文件的名称
max_value
:是一个整数、
UNLIMITED
或
DEFAULT
max_bytes
:是一个整数,后面可以跟
KB
或
MB
、
UNLIMITED
或者
DEFAULT
UNLIMITED
:表示分配了此配置文件的用户可以不受限制地使用此资源
DEFAULT
:表示此配置文件要遵从
DEFAULT
配置文件中对此资源的限制
COMPOSITE_LIMIT
:对一个以服务单元表示的会话限制其资源总成本;
Oracle
计算的资源成本是以下各项的总和:
– CPU_PER_SESSION
– CONNECT_TIME
– LOGICAL_READS_PER_SESSION
– PRIVATE_SGA
数据字典视图
RESOURCE_COST
可以提供为不同资源指定的资源限制。
例:
CREATE PROFILE developer_prof LIMIT
SESSIONS_PER_USER 2
CPU_PER_SESSION 10000
IDLE_TIME 60
CONNECT_TIME 480;
使用
DBMS_RESOURCE_MANAGER
程序包可更细化管理资源。
获取信息:
• DBA_USERS
• DBA_PROFILES
本文转自 d185740815 51CTO博客,原文链接:http://blog.51cto.com/luotaoyang/294421,如需转载请自行联系原作者