環境：centos7.6.1810
歸類：database/oracle/11.2.0.4.0/users
簡介：整理記錄一些與Oracle用戶密碼相關的知識。如密碼過期、密碼存儲、dblink復制等

1.安裝完數據庫后

1.1.PROFILE文件

• 安裝完Oracle11G數據庫后，由于忘記更改數據庫用戶密碼策略，180天后用戶密碼被鎖，導致數據庫訪問異常

  --查看用戶使用的profile文件
  select du.profile from dba_users du where du.username = 'SYS';
  --查看profile文件中關于密碼的管理策略
  select *
    from dba_profiles dp
   where dp.profile = 'DEFAULT'
     and dp.resource_name like 'PASSWORD_%';
  

  20210825&001
  
  

  其中：
  PASSWORD_LIFE_TIME：該參數設定密碼過期時間。
  PASSWORD_REUSE_TIME：該參數設定指定了密碼不能重用前的天數。
  PASSWORD_REUSE_MAX：該參數設定為相同密碼被重用之前密碼改變的次數。
  三者的關系：

1. PASSWORD_REUSE_TIME=UNLIMITED
   PASSWORD_REUSE_MAX=UNLIMITED
   密碼可以隨意重用，沒有任何限制。
2. PASSWORD_REUSE_TIME=值
   PASSWORD_REUSE_MAX=值
   必須同時滿足兩者的條件時才可以重用密碼
3. PASSWORD_REUSE_TIME=UNLIMITED
   PASSWORD_REUSE_MAX=值
   或
   PASSWORD_REUSE_TIME=值
   PASSWORD_REUSE_MAX=UNLIMITED
   密碼永遠不能重用

PASSWORD_VERIFY_FUNCTION：認證函數
FAILED_LOGIN_ATTEMPTS：錯誤口令登錄的次數，達到這個次數之后賬戶被自動鎖定
PASSWORD_LOCK_TIME：接著FAILED_LOGIN_ATTEMPTS參數，口令被自動鎖定的天數，達到這個時間之后，下次登錄時系統自動解除對這個賬戶的鎖定
PASSWORD_GRACE_TIME：對口令生命周期的一個grace(寬限或者延續)，口令到期之后，繼續可以使用的天數，在這段時間內如果我們登錄系統，會有提示，提示系統在幾天內過期

• 安裝完Oracle11G數據庫創建完用戶，建議調整密碼過期策略，取消180天過期

  --將default對應的profile中的密碼過期策略調整為永不過期，不用重啟數據庫，自動生效
  alter profile default limit password_life_time unlimited;
  

1.2.登錄報警

• 如果登錄用戶，提示ORA-28002: the password will expire within 7 days。此時能夠正常登錄，但是需要盡快修改密碼或者調整profile文件中password_life_time。如果提示ORA-28001: the password has expired，則需要重新設置密碼后才能登錄。如果提示ORA-28000: the account is locked，則密碼已經被鎖定了，不允許登錄。需要管理員對用戶賬戶解鎖，才能正常登錄。

  --修改用戶密碼
  alter user scott identified by tiger1;
  --解鎖用戶，使用原密碼
  alter user scott account unlock; --密碼為原密碼
  --解鎖用戶，使用新設置的密碼
  alter user scott identified by tiger2 account unlock; --修改密碼為tiger2
  

1.3.賬戶的幾種狀態

dba_users中的account_status表示用戶賬戶的狀態，具體有9種，通過查看user_astatus_map，其中分為基礎狀態和組合狀態。
從要實現的效果上看主要有3種，分別是正常狀態、過期狀態、鎖定狀態。

select * from user_astatus_map;
/*
0   OPEN
1   EXPIRED
2   EXPIRED(GRACE)
4   LOCKED(TIMED)
8   LOCKED
5   EXPIRED & LOCKED(TIMED)
6   EXPIRED(GRACE) & LOCKED(TIMED)
9   EXPIRED & LOCKED
10  EXPIRED(GRACE) & LOCKED
*/

• OPEN：正常狀態
• EXPIRED/EXPIRED(GRACE)：后者是profile中密碼到期后，處于PASSWORD_GRACE_TIME寬限日期時的賬戶狀態。等PASSWORD_GRACE_TIME過后，賬戶狀態變更為前者的狀態。同時前者可以被管理員手動設置。
• LOCKED/LOCKED(TIMED)：后者是profile中超過登錄口令錯誤重試次數（FAILED_LOGIN_ATTEMPTS）后，處于PASSWORD_LOCK_TIME密碼鎖定時的賬戶狀態，等PASSWORD_LOCK_TIME時間過后會自動解鎖。前者可以被管理員手動設置。

--設置用戶賬戶密碼過期狀態
alter user testa password expire;
--設置用戶賬戶鎖定狀態
alter user testa account lock;
--解鎖用戶賬戶鎖定
alter user testa account unlock;

• 組合狀態，就是過期和鎖定兩種狀態組合，共有2×2=4種。例如：EXPIRED & LOCKE：用戶賬戶密碼過期并且被管理員手動鎖定后，再次登錄將會產生報錯，用戶被鎖定。通過賬戶解鎖后變成EXPIRED，還是不能連接，需要重新設置密碼。

2.密碼存儲方式

在Oracle10g中，對于密碼的管理相對較松。

--查詢密碼的hash值
select username,account_status,password from dba_users where username = 'TESTA';

但是在Oracle11g中，用戶安全得到加強，隱藏了密碼，不過還是可以查詢到：

--查詢密碼的hash值
select USER#,name,PASSWORD from user$ where name = 'TESTA';

這里密碼的hash值應用場景，比如應用連接了數據庫，等發現密碼過期時，想要重新設置密碼，但是為了對應用影響較小，還需要應用以前的密碼，直接通過查詢密碼的hash值，然后就可以重新設置原有密碼：

--設置用戶
create user testa identified by testa;
grant connect to testa;
--查詢密碼testa的hash值，Oracle11g中hash值為：EE65C0E0B6E5C4B7
select USER#,name,PASSWORD from user$ where name = 'TESTA';
--設置密碼
alter user testa identified by values 'EE65C0E0B6E5C4B7';

更進一步，分析dba_users視圖中用戶狀態與user$表的關系，我們發現user$的astatus會影響dba_users中的account_status，從而影響用戶賬戶狀態：

--讓用戶testa密碼過期
alter user testa password expire;
--此時查詢dba_users，testa用戶的account_status='EXPIRED'
select * from dba_users t where t.username = 'TESTA';
--查詢user$時，testa用戶的astatus='1'
select * from user$ t where t.name ='TESTA';
--變更user$的astatus，會直接影響dba_users
update user$ t set t.astatus = '0' where t.name ='TESTA';
--此時再看dba_users，account_status='OPEN'
select * from dba_users t where t.username = 'TESTA';

3.DBLINK復制

有時候忘記了dblink的密碼，但是又想在別的地方重建此dblink，該如何做，按照下列步驟操作即可：

• Oracle10g

  --get_ddl中第一個參數'DB_LINK'，第二個參數是 DBLINK的名稱，第三個是創建此DBLINK的用戶，全部大寫
  select dbms_metadata.get_ddl('DB_LINK','TO130TESTA','SCOTT') from sys.dual;
  --如果沒有權限，需要管理員賦予以下權限
  grant select_catalog_role to scott;
  

  獲得的是一個CLOB字段，將中間的dblink創建腳本復制粘貼到別的數據庫即可重建成功。identified by values '0547D8.....'中顯示的是dblink遠程連接用戶的密碼的密文，不用修改，原樣復制即可。

• Oracle11g
  oracle11g加強了安全，此時執行上面的dbms_metadata.get_ddl獲取的遠程用戶密碼密文已經隱藏，變成了IDENTIFIED BY VALUES ':1'，需要借助sys.link$中passwordx

--先使用上面的clob中dblink創建sql
/*需要注意的是，需要將DENTIFIED BY VALUES ':1'中的':1'換成'1'*/
CREATE DATABASE LINK "TO130TESTA"
   CONNECT TO "TESTA" IDENTIFIED BY VALUES '1'
   USING '(DESCRIPTION =
    (ADDRESS = (PROTOCOL = TCP)(HOST = "192.168.20.130")(PORT = 1521))
    (LOAD_BALANCE = yes)
    (CONNECT_DATA =
      (SERVER = DEDICATED)
      (SERVICE_NAME = "master")
    )
  )'

--查詢當前數據庫中sys.link$，獲取dblink遠程用戶的flag,passwordx
select * from sys.link$ s where s.name = 'TO130TESTA';
--獲取的 flag=2,passwordx=06E077A0010ED4C81E4F3BFB5A055CB23A1CDAE24214E4E3B206D4515F38152E2F3E664534D864C8AA2B950E9617EABC7657326427F88FF1077CE19283D95BC08A14F6B9A3F9DF6A8283B4180AF7A691B0E2EBC562DE0858CEF051001F891E4C2C8D54AC5DDC827117B1648E7088DC84209D41870E174F657F8C88D23AFB741B
--將復制端的數據庫的sys.link$也進行變更
update sys.link$ s set s.flag ='2',s.passwordx = '06E077A0010ED4C81E4F3BFB5A055CB23A1CDAE24214E4E3B206D4515F38152E2F3E664534D864C8AA2B950E9617EABC7657326427F88FF1077CE19283D95BC08A14F6B9A3F9DF6A8283B4180AF7A691B0E2EBC562DE0858CEF051001F891E4C2C8D54AC5DDC827117B1648E7088DC84209D41870E174F657F8C88D23AFB741B'
where s.name = 'TO130TESTA';
--此時訪問即可正常訪問