oracle 用户密码和资源管理

oracle 用户密码和资源管理

oracle中使用profile对用户密码和资源进行管理。

SQL> select * from dba_profiles order by resource_name;

PROFILE                        RESOURCE_NAME                    RESOURCE_TYPE LIMIT
------------------------------ -------------------------------- ------------- ----------
DEFAULT                        COMPOSITE_LIMIT                  KERNEL        UNLIMITED
DEFAULT                        CONNECT_TIME                     KERNEL        UNLIMITED
DEFAULT                        CPU_PER_CALL                     KERNEL        UNLIMITED
DEFAULT                        CPU_PER_SESSION                  KERNEL        UNLIMITED
DEFAULT                        FAILED_LOGIN_ATTEMPTS            PASSWORD      3
DEFAULT                        IDLE_TIME                        KERNEL        UNLIMITED
DEFAULT                        LOGICAL_READS_PER_CALL           KERNEL        UNLIMITED
DEFAULT                        LOGICAL_READS_PER_SESSION        KERNEL        UNLIMITED
DEFAULT                        PASSWORD_GRACE_TIME              PASSWORD      10
DEFAULT                        PASSWORD_LIFE_TIME               PASSWORD      60
DEFAULT                        PASSWORD_LOCK_TIME               PASSWORD      .0006
DEFAULT                        PASSWORD_REUSE_MAX               PASSWORD      UNLIMITED
DEFAULT                        PASSWORD_REUSE_TIME              PASSWORD      1800
DEFAULT                        PASSWORD_VERIFY_FUNCTION         PASSWORD      VERIFY_FUNCTION
DEFAULT                        PRIVATE_SGA                      KERNEL        UNLIMITED
DEFAULT                        SESSIONS_PER_USER                KERNEL        UNLIMITED

16 rows selected

SQL>

如果在创建用户时没指定profile,哪么用户使用默认的profile。

新建profile:

SQL> create profile test_profile limit
2    COMPOSITE_LIMIT    default
3    CONNECT_TIME       6000
4    CPU_PER_CALL       default
5    CPU_PER_SESSION    default
6    FAILED_LOGIN_ATTEMPTS  default
7    IDLE_TIME          10
8    LOGICAL_READS_PER_CALL  default
9    LOGICAL_READS_PER_SESSION default
10    PASSWORD_GRACE_TIME 2
11    PASSWORD_LIFE_TIME  30
12    PASSWORD_LOCK_TIME  5
13    PASSWORD_REUSE_MAX  3
14    PASSWORD_REUSE_TIME 3
15    PASSWORD_VERIFY_FUNCTION verify_function
16    PRIVATE_SGA default
17    SESSIONS_PER_USER  default
18  /

Profile created

SQL>

其他resource_name的各项解释：http://blog.163.com/hoh_na@126/blog/static/1336735842009103022124208/

KERNEL RESOURCE(默认：UNLIMITED):
COMPOSITE_LIMIT：指定一个会话的总的资源消耗，以service units单位表示。Oracle数据库以有利的方式计算cpu_per_session，connect_time，logical_reads_per_session和private-sga总的service units　　

SESSIONS_PER_USER：指定限制用户的并发会话的数目　　

CPU_PER_SESSION：定义了每个SESSION占用的CPU的时间。（单位：1/100 秒）

CPU_PER_CALL：指定一次调用（解析、执行和提取）的CPU时间限制。（单位：1/100 秒）

LOGICAL_READS_PER_SESSION：指定一个会话允许读的数据块的数目，包括从内存和磁盘读的所有数据块。

LOGICAL_READS_PER_CALL：指定一次执行SQL（解析、执行和提取）调用所允许读的数据块的最大数目。

IDLE_TIME：指定会话允许连续不活动的总的时间（单位：分钟）。超过该时间，会话将断开。但是长时间运行查询和其他操作的不受此限制。　　

CONNECT_TIME：指定会话的总的连接时间。（单位：分钟）

PRIVATE_SGA：指定一个会话可以在共享池（SGA）中所允许分配的最大空间（单位：字节）。
注：该限制只在使用共享服务器结构时才有效，会话在SGA中的私有空间包括私有的SQL和PL/SQL，但不包括共享的SQL和PL/SQL

PASSWORD RESOURCE(默认：UNLIMITED):
FAILED_LOGIN_ATTEMPTS:指定在帐户被锁定之前所允许尝试登陆的的最大次数。

PASSWORD_LIFE_TIME:指定同一密码所允许使用的天数。如果同时指定了password_grace_time参数，如果在grace period内没有改变密码，则密码会失效，连接数据库被拒绝。如果没有设置password_grace_time参数，默认值unlimited将引发一个数据库警告，但是允许用户继续连接。

PASSWORD_REUSE_TIME和PASSWORD_REUSE_MAX:这两个参数必须互相关联设置，password_reuse_time指定了密码不能重用前的天数，而password_reuse_max则指定了当前密码被重用之前密码改变的次数。两个参数都必须被设置为整数。
注：
1．如果为这两个参数指定了整数，则用户不能重用密码直到密码被改变了password_reuse_max指定的次数以后在password_reuse_time指定的时间内。如：password_reuse_time=30，password_reuse_max=10，用户可以在30天以后重用该密码，要求密码必须被改变超过10次。
2．如果指定了其中的一个为整数，而另一个为unlimited，则用户永远不能重用一个密码。
3．如果指定了其中的一个为default，Oracle数据库使用定义在profile中的默认值，默认情况下，所有的参数在profile中都被设置为unlimited，如果没有改变profile默认值，数据库对该值总是默认为unlimited。
4．如果两个参数都设置为unlimited，则数据库忽略他们。

PASSWORD_LOCK_TIME:指定登陆尝试失败次数到达后，帐户的锁定时间（单位：天）。　　

PASSWORD_GRACE_TIME:指定宽限天数，数据库发出警告到登陆失效前的天数。如果数据库密码在这中间没有被修改，则过期会失效。

PASSWORD_VERIFY_FUNCTION:该字段允许将复杂的PL/SQL密码验证脚本做为参数传递到create profile语句。Oracle数据库提供了一个默认的脚本，但是自己可以创建自己的验证规则或使用第三方软件验证。 对Function名称，指定的是密码验证规则的名称，指定为Null则意味着不使用密码验证功能。如果为密码参数指定表达式，则该表达式可以是任意格式，除了数据库标量子查询。

注意: PASSWORD_VERIFY_FUNCTION verify_function必须先使用脚本$ORACLE_HOME/rdbms/admin/utlpwdmg.sql建立verify_function函数。虽然profile开始使用了但是如果系统resource_limit参数为FALSE则也不能生效，需使用alter system set 命令该为true才能生效。

然后可以使用create user 命令 附加参数profile test_profile来规定用户使用test_profile。也可以使用alter user xxx profile test_profile来该表用户使用的profile。