Compte system qui se verrouille tout seul et autorisations pour le deverrouiller

[julienkim]

Bonjour à tous,

Architecture :
Machine virtuelle en Windows Server 2003 x64 SP2
Oracle 11g (11.2.0)

Pour se connecter à ce serveur, mes utilisateurs utilisent le Bureau à distance avec un login spécifique (disons "DB"). Ce login est utilisateur membre d'Active Directory et est dans le groupe Administrateurs locaux de la VM en question.

Problème :
Il arrive parfois que l'utilisateur system se bloque, sans faire d'opérations spéciales.


Pour le débloquer, je fais :
- Se connecter en Administrateur du domaine
- Ouvrir un Invite de commandes

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
sqlplus / AS sysdba
ALTER USER system ACCOUNT UNLOCK ;
ALTER USER system IDENTIFIED BY motdepasse ;

(je ne sais pas si c'est la meilleure méthode)
Mais je dois me connecter en Administrateur du domaine pour que ça fonctionne, mon login "DB" n'a pas les droits pour déverrouiller le compte system.

Est-ce parce qu'il faut utiliser le login qui exécute les services Oracle ?
Auriez-vous une autre procédure pour que mes utilisateurs puissent eux-mêmes déverrouiller le compte ? (bien sûr sans leur donner le mot de passe Administrateur du domaine)

En vous remerciant.

[Pomalaix]

Ca fait plaisir de lire une question claire, bien posée et avec les détails utiles !

Ce verrouillage du compte SYSTEM (est-ce le seul concerné ?) est bizarre.

Quel est le résultat de la requête suivante ?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
SELECT profile, resource_name, LIMIT
FROM dba_profiles
WHERE resource_type='PASSWORD'
AND profile=(SELECT profile FROM dba_users WHERE username='SYSTEM')
ORDER BY 2;

Et de :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

SHOW parameter SEC_MAX_FAILED_LOGIN_ATTEMPTS

Un utilisateur ne pourra pas déverrouiller son compte lui-même, car ça exigerait qu'il puisse se connecter (ou qu'il y ait un mécanisme extérieur à la base pour le faire, ce qui n'est pas le cas).

La connexion "/ AS SYSDBA" n'est possible que sous un compte Windows membre du groupe ORA_DBA. Si nécessaire, ajoutez un compte ordinaire dans ce groupe.

[julienkim]

Bonjour et merci pour votre réactivité !

Les utilisateurs n'utilisent que le compte SYSTEM, il n'y en a pas d'autre sur le serveur.

Résultat de votre première requête :



Ce résultat donne donc des restrictions liées à ceci ?



La seconde ne donne rien, rien ne s'affiche (?)
Les deux ont été exécutées via Oracle SQL Developer.

J'ai ajouté mon login "DB" au groupe ORA_DBA, à voir au prochain lock si l'utilisateur pourra déverrouiller lui-même le compte SYSTEM.

[Pomalaix]

Au vu des résultats, vous avez le paramétrage par défaut :
- Les mots de passe ont une validité de 180 jours (au delà ACCOUNT_STATUS dans DBA_USERS passe à EXPIRED)
- 10 erreurs de mot de passe consécutives sont tolérées (au delà, ACCOUNT_STATUS passe à LOCKED)

La deuxième "requête" ne ramène rien, mais c'est normal car ce paramètre est nul par défaut.
Et oui, l'expiration dans 11 jours que vous voyez est bien liée à ces paramètres.

En relisant votre question initiale, je me rends compte que j'avais mal compris ce point : je croyais que DB était un compte déclaré dans la base.

Citation:

Envoyé par julienkim

mon login "DB" n'a pas les droits pour déverrouiller le compte system.

Un compte Windows, s'il est membre de ORA_DBA, permet de se connecter à la base AS SYSDBA, c'est à dire avec tous les droits.
S'il n'est pas membre d'ORA_DBA, ce compte Windows ne permet même pas de se connecter à la base, et dans ce cas la notion de "droit de déverrouiller" n'a évidemment plus aucun sens.
Du coup, je ne comprends pas ce que vous voulez dire.

[IndianaAngus]

Citation:

Envoyé par julienkim

Les utilisateurs n'utilisent que le compte SYSTEM, il n'y en a pas d'autre sur le serveur.

Les utilisateurs ont ils besoins de se connecter en tant que SYSTEM? C'est assez dangereux de faire cela.
L'utilisateur SYSTEM se bloque peut être parce que les utilisateurs se trompent trop souvent dans le mot de passe?

[julienkim]

Non en effet, "DB" n'est pas un compte Oracle mais juste un compte Active Directory utilisé pour la connexion de Bureau à distance. Les trois personnes utilisent le compte SYSTEM pour Oracle. Ils utilisent ce login par défaut par simplicité à l'installation initiale (serveur de tests, donc il arrive souvent de le réinitialiser) et pour être sûr d'avoir tous les droits.

Parfois, il arrive que ce compte SYSTEM (Oracle) se verrouille. A priori ça ne vient pas des 10 échecs de mot de passe car les utilisateurs connaissent très bien le password aussi utilisé sur deux autres serveurs Oracle (9i et 10g).

Avec leur login Windows "DB", ils n'arrivent pas à déverrouiller par la requête que j'indique dans mon premier message, il me faut l'appliquer en Administrateur de la machine.
Le problème ne s'est pas reproduit depuis votre conseil d'ajouter "DB" au groupe ORA_DBA de mon serveur Windows 2003.
D'ailleurs, j'ai remarqué le groupe d'utilisateurs Windows ORA_ORCL_DBA mais je n'y ai pas touché.

Ai-je mieux explicité mon problème ?

[Pomalaix]

Citation:

Envoyé par julienkim

D'ailleurs, j'ai remarqué le groupe d'utilisateurs Windows ORA_ORCL_DBA mais je n'y ai pas touché.

Ah, ça c'est une précision importante !
ORA_ORCL_DBA regroupe les comptes Windows pouvant se connecter "/ as sysdba" uniquement sur l'instance ORCL.
ORA_DBA regroupe les comptes Windows pouvant se connecter "/ as sysdba" sur n'importe quelle instance du serveur pour laquelle il n'existe pas de groupe dédié.

Donc si vous devez ajouter DB, c'est dans le groupe ORA_ORCL_DBA (en supposant que votre base s'appelle bien ORCL).

[julienkim]

Je viens d'ajouter le login DB au groupe ORA_ORCL_DBA car effectivement, la base s'appelle ORCL.

Je vous tiens informé lors du prochain verrouillage de compte, si mon utilisateur Active Directory arrive à délocker le compte SYSTEM.
Encore merci