Discussion :

[moisex]

Bonjour,

Je mène une réflexion sur la stratégie à adopter pour les gestions des comptes DBA.
Au cours de la vie d'une base plusieurs DBA sont amenés à intervenir.
Certains utilisent des comptes nominatifs d'autres des comptes génériques.

Les auditeurs apprécient guerre les comptes génériques.

Aussi, j'aimerai échangé avec vous sur le sujet. Je vous propose 2 questions mais n'hésitez pas à compléter.

Comment procédez-vous ?

Quelle stratégie avez-vous adopté pour gérer les comptes DBA ?

(Le sujet est transverse toute version bien entendu)

[a.presles]

Bonjour,
Pour des raisons de simplicité d utilisation gestion des droits) je conseil un seul compte oracle par serveur. Pour pouvoir tracer les dba il peut être intéressant d avoir un compte nominatif par dba qui peu faire un "su - " sur le compte oracle. Ici je parle des comptes unix. Je n ai encore jamais mis en place cette stratégie mais je vais le faire sur l architecture que je met en place.

[moisex]

Bonjour a.presles.

Merci beaucoup pour votre échange.
J'ai quelque chose de similaire pour les comptes OS.

Mon est plus il s'agit plus des comptes DBA dans la base de données.

D'autres avis peut-être ?

[a.presles]

on peu créer des users et leur attribuer le role DBA
cela leur permet de faire les opérations de DBA et d'accéder a toute la base. Cela me parait un peu lourd. sachant que les user sys et system existerrons quand même (garder leurs mot de passe secret au coffre ?)
en cas d'urgence si intervention d'un dba externe il faudra probablement le laisser utiliser system et sys pour qu'il ne soit pas perdu.
pour les mots de passe sensible (root, sys,system) j'ai utilisé la technique de les écrire sur papier dans une enveloppe cacheté mis au coffre. finalement ce n'était pas trop contraignant et sécurisant pour la hiérarchie.

[fouedgr]

Bonjour,
Pour des raisons de simplicité d utilisation gestion des droits) je conseil un seul compte oracle par serveur. Pour pouvoir tracer les dba il peut être intéressant d avoir un compte nominatif par dba qui peu faire un "su - " sur le compte oracle. Ici je parle des comptes unix. Je n ai encore jamais mis en place cette stratégie mais je vais le faire sur l architecture que je met en place.

Idem la ou je travaille : chacun son compte LDAP qui l'identifie niveau OS, ensuite un su vers user Oracle. Après c'est vrai que ca comporte des lacunes s'il n'y pas d'audit au niveau de la base, que plusieurs DBA sont actifs sur la même base simultanément ...