Discussion :

[tibal]

Bonsoir,
Je souhaite savoir s'il est possible d'interdire les connections locales en
"/AS SYSDBA". Je possède un fichier "orapw<ORACLE_SID>" pour me connecter en SYSDBA au travers du réseau ainsi que le paramètre remote_login_passwordfile à EXCLUSIVE.
Merci pour votre aide.

[pifor]

Pour interdire les connections locales avec les droits SYSDBA, il faut
interdire la connection:

• pour Unix des comptes qui appartiennent au groupe "dba"
• pour Windows des comptes qui appartiennent au groupe ORA_DBA.

[smaildba]

Pour interdire les connections locales avec les droits SYSDBA, il faut
interdire la connection:

• pour Unix des comptes qui appartiennent au groupe "dba"
• pour Windows des comptes qui appartiennent au groupe ORA_DBA.

bonjour :
En fait c'est simple à faire, tu n as que modifier le fichier SQLNET.ORA, em commentant la ligne "SQLNET.AUTHENTICATION_SERVICES= (NTS)" 'en ajoutant un # en début de la ligne .le fichier SQLNET.ORA situé dans $ORACLE_HOME/network/admin.

merci de me confirmer.

[orafrance]

Non, ça c'est pour interdire SYSDBA via SQL*Net, en local il faut, comme le dit Pifor, sortir le user du groupe dba ou ORA_DBA.

[Pomalaix]

Pour effectuer certaines opérations, telles que le démarrage d'une base, il faut se connecter avec un privilège particulier : SYSDBA.
Mais comment savoir qui possède le privilège SYSDBA alors que la base est fermée ? Pour cela, il y a deux possibilités principales, qui peuvent éventuellement être activées simultanément : la validation par le système d'exploitation, et la validation par un fichier de mots de passe, externe à la base.

Dans le cadre de la validation par l'OS, tous les membres du groupe OS "ORA_DBA" (sous Windows) et "DBA" (sous Unix) sont considérés comme titulaires du privilège SYSDBA.
On pourra alors se connecter sans préciser le mot de passe : CONNECT / AS SYSDBA.

Dans le cadre de la validation par fichier de mots de passe, il faudra impérativement préciser le mot de passe : CONNECT SYS/mot_de_passe AS SYSDBA.

La question est donc "comment désactiver la validation par l'OS ? "
Il suffit pour cela, dans le fichier SQLNET.ORA, de mettre
SQLNET.AUTHENTICATION_SERVICES=NONE
Les groupes ORA_DBA ou DBA seront alors ignorés, quel que soit leur contenu, et toute connexion SYSDBA sera validée par le fichier de mots de passe, qui devra bien entendu exister.

Ceci fonctionne pour les différents OS, et s'applique tout à fait aux connexions locales (directement sur le serveur Oracle).

Si au contraire on veut activer la validation OS, il y a une petite variante suivant l'OS concerné.
Pour Windows, on devra impérativement avoir SQLNET.AUTHENTICATION_SERVICES=NTS (NTS signifiant quelque chose comme Windows NT Security)
Pour Unix, il faudra juste s'assurer qu'on n'ait pas NONE comme valeur.

J'espère que ceci jettera un peu de lumière sur les connexions SYSDBA.

[pifor]

bonjour :
En fait c'est simple à faire, tu n as que modifier le fichier SQLNET.ORA, em commentant la ligne "SQLNET.AUTHENTICATION_SERVICES= (NTS)" 'en ajoutant un # en début de la ligne .le fichier SQLNET.ORA situé dans $ORACLE_HOME/network/admin.

merci de me confirmer.

Je confirme qu'effectivement sous Windows, c'est bien le cas pour une connexion locale SYSDBA:
Avec SQLNET.AUTHENTICATION_SERVICES= (NTS) dans sqlnet.ora,
la commande "sqlplus / as sysdba" fonctionne si le compte Windows appartient à ORA_DBA.
S'il n'y a pas SQLNET.AUTHENTICATION_SERVICES= (NTS) dans le sqlnet.ora,
la commande "sqlplus / as sysdba" ne fonctionne pas même si le compte Windows appartient à ORA_DBA:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
>sqlplus / as sysdba
 
SQL*Plus: Release 10.2.0.1.0 - Production on Ven. Déc. 12 13:20:42 2008
 
Copyright (c) 1982, 2005, Oracle.  All rights reserved.
 
ERROR:
ORA-01031: insufficient privileges

Par contre, ceci est spécifique à Windows et ne concerne pas Unix.

[tibal]

Merci à tous pour votre aide. Ca marche nickel.

[olivier131]

Pour Unix, il faudra juste s'assurer qu'on n'ait pas NONE comme valeur.

Je ne suis pas d’accord à 100% sur ce point. Sur Unix, j’ai testé différentes valeur du SQLNET.AUTHENTICATION_SERVICES.

SQLNET.AUTHENTICATION_SERVICES=NONE => authentification par OS refusée
SQLNET.AUTHENTICATION_SERVICES=NTS => authentification par OS refusée
SQLNET.AUTHENTICATION_SERVICES=ALL => authentification par OS ok
SQLNET.AUTHENTICATION_SERVICES en commentaire => authentification par OS ok

Donc j’en conclu que pour activer l’authentification par OS sur Unix il ne suffit pas de mettre autre chose que NONE, mais plutôt autre chose que NONE et NTS au moins…

Ou alors j'ai loupé quelquechose ?

[NGasparotto]

J'ajouterais que modifier SQLNET.ORA pour limiter la connection SYSDBA en locale et limite... Si tu as acces au user du group DBA, alors tu es souvent a meme de modifier correctement ce fichier pour t'autoriser la connection en tant que SYSDBA...

Nicolas.