Comment savoir si un compte est authentifié EXTERNALLY

**Pomalaix** · 23/03/2006, 15h13

Bonjour à tous

Je bute sur une question que je pensais toute simple :
comment savoir si un compte Oracle (9i) a été déclaré comme "IDENTIFIED EXTERNALLY" ?

Le champ EXTERNAL_NAME de DBA_USERS n'est pas renseigné dans ce cas (il me semble qu'il ne l'est que pour les comptes IDENTIFIED GLOBALLY, c'est à dire pour l'authentification par un annuaire LDAP)

Le champ PASSWORD ne contient pas non plus systématiquement EXTERNAL.

Et si OS_AUTHENT_PREFIX est vide (''), on n'a pas de distinction non plus par le USERNAME.

Alors comment savoir sans ambiguïté quels comptes sont authentifiés par l'OS ?

Celui qui saura répondre gagne ma considération et un carambar virtuel !

**Pomalaix** · 24/03/2006, 11h40

On dirait bien que je ne suis pas le seul que ça laisse perplexe, si j'en juge par les nombreuses réponses...

**orafrance** · 24/03/2006, 11h49

j'ai eu beau cherché je suis aussi arrivé à une impasse

**laurentschneider** · 24/03/2006, 12h17

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

select username from dba_users where password='EXTERNAL';

**laurentschneider** · 24/03/2006, 12h18

Envoyé par Pomalaix

ne contient pas non plus systématiquement EXTERNAL.

pourquoi pas?

**Pomalaix** · 24/03/2006, 13h13

Envoyé par laurentschneider

Envoyé par Pomalaix

ne contient pas non plus systématiquement EXTERNAL.

pourquoi pas?

Le pourquoi, je l'ignore !
Mais je constate le fait dans une base d'un client.
Sur un échantillon de 10 comptes commençant par OPS$ (donc a priori authentifiés EXTERNALLY), 2 ont "EXTERNAL" dans la colonne PASSWORD, les autres ont une valeur cryptée classique du type 906D6BB9CBBC70F8, bien entendu différente d'un compte à l'autre.

**pifor** · 24/03/2006, 13h17

Je crois que c'est parce qu'un utilisateur "externe" peut quand même changer son mot de passe Oracle ... même s'il ne l'utilise pas

**orafrance** · 24/03/2006, 14h05

En effet, le préfixe ne veut rien dire puisqu'un compte identifié par l'OS peut devenir un compte "classique" si on change le password

**laurentschneider** · 24/03/2006, 14h09

c'est aussi mon avis, si un utiliseur a une valeur cryptée, alors il ne peut pas se logger "externe".

**bouyao** · 24/03/2006, 14h25

Et la table system : sys.user$

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

select name,password from sys.user$;

SQL> desc sys.user$
Name Null? Type
----------------------------------------- -------- ----------------
USER# NOT NULL NUMBER
NAME NOT NULL VARCHAR2(30)
TYPE# NOT NULL NUMBER
PASSWORD VARCHAR2(30)
DATATS# NOT NULL NUMBER
TEMPTS# NOT NULL NUMBER
CTIME NOT NULL DATE
PTIME DATE
EXPTIME DATE
LTIME DATE
RESOURCE$ NOT NULL NUMBER
AUDIT$ VARCHAR2(38)
DEFROLE NOT NULL NUMBER
DEFGRP# NUMBER
DEFGRP_SEQ# NUMBER
ASTATUS NOT NULL NUMBER
LCOUNT NOT NULL NUMBER
DEFSCHCLASS VARCHAR2(30)
EXT_USERNAME VARCHAR2(4000)
SPARE1 NUMBER
SPARE2 NUMBER
SPARE3 NUMBER
SPARE4 VARCHAR2(1000)
SPARE5 VARCHAR2(1000)
SPARE6 DATE

**laurentschneider** · 24/03/2006, 14h32

Envoyé par bouyao

Et la table system : sys.user$

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

select name,password from sys.user$;

quelle différence ? dba_users est une vue sur sys.user$

**bouyao** · 24/03/2006, 14h36

La difference c'est ca

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
 
SQL> select count(*) from dba_users;
 
  COUNT(*)
----------
        20
 
SQL> select count(*) from sys.user$;
 
  COUNT(*)
----------
        54

Il y'a des utilisateurs qu'on le vois dans sys.user$ et non pas dans dba_users

**laurentschneider** · 24/03/2006, 14h40

Envoyé par bouyao

Et la table system : sys.user$

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

select name,password from sys.user$;

SQL> desc sys.user$
Name Null? Type
----------------------------------------- -------- ----------------
USER# NOT NULL NUMBER
NAME NOT NULL VARCHAR2(30)
TYPE# NOT NULL NUMBER
PASSWORD VARCHAR2(30)
DATATS# NOT NULL NUMBER
TEMPTS# NOT NULL NUMBER
CTIME NOT NULL DATE
PTIME DATE
EXPTIME DATE
LTIME DATE
RESOURCE$ NOT NULL NUMBER
AUDIT$ VARCHAR2(38)
DEFROLE NOT NULL NUMBER
DEFGRP# NUMBER
DEFGRP_SEQ# NUMBER
ASTATUS NOT NULL NUMBER
LCOUNT NOT NULL NUMBER
DEFSCHCLASS VARCHAR2(30)
EXT_USERNAME VARCHAR2(4000)
SPARE1 NUMBER
SPARE2 NUMBER
SPARE3 NUMBER
SPARE4 VARCHAR2(1000)
SPARE5 VARCHAR2(1000)
SPARE6 DATE

ext_username? cela ne concerne pas les utilisateurs externes mais les utilisateurs "globaux"

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
 
SQL> create user u identified externally;
 
User created.
 
SQL> create user g identified globally as 'GUGUS';
 
User created.
 
SQL> select userNAME,EXTernal_NAME from dba_users where username in ('G','U');
 
USERNAME                       EXTERNAL_NAME
------------------------------ --------------------
U
G                              GUGUS

**laurentschneider** · 24/03/2006, 14h50

Envoyé par bouyao

La difference c'est ca

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
 
SQL> select count(*) from dba_users;
 
  COUNT(*)
----------
        20
 
SQL> select count(*) from sys.user$;
 
  COUNT(*)
----------
        54

Il y'a des utilisateurs qu'on le vois dans sys.user$ et non pas dans dba_users

évidemment, dans user$ il y a les roles et PUBLIC

**bouyao** · 24/03/2006, 15h01

Oui Laurent, dans user$ il faut tenir compte du type#=1.

**bouyao** · 24/03/2006, 15h40

Une question.
Ca sert à quoit de changer le mot de passe si l'utilisateur est identifié en externe (puisque il n a pas besoin de mot de passe Oracle).
comme je n'ai pas testé : peut être en changeant le mot de passe, l'utilisateur ne sera plus identifié en externe (puisque la colonne password de la vue ne contient plus EXTERNAL)..

**orafrance** · 24/03/2006, 15h42

Envoyé par bouyao

Une question.
Ca sert à quoit de changer le mot de passe si l'utilisateur est identifié en externe (puisque il n a pas besoin de mot de passe Oracle).
comme je n'ai pas testé : peut être en changeant le mot de passe, l'utilisateur ne sera plus identifié en externe (puisque la colonne password de la vue ne contient plus EXTERNAL)..

changement de politique par exemple... ça t'évite de dropper le shéma

**bouyao** · 24/03/2006, 16h21

Donc, on ne peut pas savoir si un utilisateur à été crée par identified externally si son mot de passe à été modifié. Oracle ne garde pas les traces de toutes les modifications effectués sur le mot de passe d'un utilisateur.

**Pomalaix** · 28/03/2006, 22h55

Bon, je retiens donc que dès qu'on modifie le mot de passe, on n'est plus authentifié par l'OS.

Au final, il faut donc bien rechercher les comptes ayant comme mot de passe "EXTERNAL".

Merci pour vos réponses !

Comment savoir si un compte est authentifié EXTERNALLY

Oracle

Vue hybride

Discussions similaires

Partager

Partager