profile:作为用户配置文件,它是密码限制,资源限制的命名集合
在安装数据库时,Oracle自动会建立名为default的默认配置文件
使用profile文件时,要注意以下几点:
建立用户时,如果不指定profile选项,Oralce会自动将default分配给相应的数据库用户
建立profile文件时,如果只设置了部分密码和资源限制,其他选项会自动使用默认值
使用profile管理密码时,密码管理选项总是处于被激活状态;而如果使用profile管理资源,必须激活资源限制
一个用户只能分配一个profile文件。如果要同时管理用户的密码和资源,那么在建立profile时应该同时指定密码和资源选项
使用profile管理密码
可以实现账户锁定、密码的过期时间、密码历史和密码的复杂度
账户锁定
当用户连续输入多少次错误密码后,Oracle会自动锁定用户的账户,并且可以规定账户的锁定时间,由以下参数
--failed_login_atempts:该参数限制用户在登录到Oracle数据库时允许失败的次数。
--password_login_time:该参数用于指定账户被锁定的天数
如:创建的profile文件,要求设置连续失败次数为5,超过该次数后,账户被锁定7天,用alter user 将profile文件指定给dongfang
create profile lock_account limit
failed_login_attempts 5
password_lock_time 7
/
alter user dongfang profile lock_account
如果建立profile文件时没有提供这些参数,那么会使用默认值unlimited,这种情况下,需要DBA手动解锁用户账户
密码过期时间
--password_life_time:该参数用于设置口令的有效时间,单位为天数
--password_grace_time:该参数用于设置口令失效的“宽限时间”
如:下面创建一个profile文件(password_lift_time),并设置用户的密码有效期为30天,密码宽限3天,然后使用alter user 语句将profile分配给用户dongfang
create profile password_lift_time limit
password_life_time 30
password_grace_time 3;
alter user dongfang profile password_lift_time;
密码历史
控制账户密码的可重复使用次数或可重用时间
--password_reuse_time:该参数指定密码可重用的时间,单位为天
--password_reuse_max:该参数设置口令在能够重新使用之前,必须改变的次数。
在使用密码历史选项时,只能使用其中一个参数,并将另外一个参数设置为unlimited
密码的复杂度
强制用户的密码必须具有一定的复杂度。使用验证函数验证用户的复杂度,只需要将这个函数的名称指定给profile文件中的password_verify_function参数,Oracle就会自动使用该函数对用户的密码和格式进行验证。
11g中有所改进,$oracle_home dbmsadmin目录下创建一个新的密码验证文件utlpwdmgsql,其中,不仅提供了验证函数verify_function,还提供了一个新建的verify_function_11g函数。
使用profile管理资源
如果使用profile管理资源,必须将resource_limit参数设置为true,以激活资源限制。由于该参数是动态参数,所以可以使用alter system语句进行修改
如:首先使用show命令查看resource_limit参数值,然后使用alter system命令修改该参数的值为true,从而激活资源限制
show parameter resource_limit;
alter system set resource_limit=true;
利用profile配置文件,可以对以下系统资源进行限制:
CPU时间:为了防止无休止地使用CPU时间,限制用户每次调用使用的CPU时间以及在一次会话期间所使用的CPU时间
逻辑读:为了防止过多使用系统的I/O操作,限制每次会话时读取的逻辑数据块数目。
用户的并发会话数
会话空闲的限制:当一个会话空闲的时间达到了限制值时,当前事物被回滚,会话被终止并且所占用的资源被释放
会话可持续的时间:如果一个会话的总计连接时间达到了该限制值,当前事物被回滚,会话被终止并释放所占用的资源
会话所使用的SGA空间限制
当一个会话或SQL语句占用的资源超过profile文件中的限制时,Oracle将终止并回滚当前的事务,然后向用户返回错误的信息。如果受到的限制时会话级的,在提交或回滚事务后,用户会话将被终止;而受到调用级限制时,用户会话还能继续进行,只是当前执行的SQL语句将被终止。
参数如下:
--session_per_user:用户可以同时连接的会话数量
--cpu_per_session:限制用户在一次进行数据库会话期间可以使用的CPU时间,单位为百分之一秒。
--cpu_per_call:限制用户每条SQL语句所使用的CPU时间
--logical_reads_per_session:限制每个会话所能读取的数据块数量,包括从内存中读取的数据块和从磁盘中读取的数据块
--connect_time:限制每个用户连接到数据库的最长时间,单位为分钟
--idle_time:该参数限制每个用户会话连接到数据库的最长时间。超过该空闲时间的会话,系统会终止该会话。
维护profile文件
1.修改profile文件
如:对password_lift_time文件(profile)的资源文件的资源限制参数进行修改:
alter profile password_lift_time limit
cpu_per_session 20000
sessions_per_user 10
cpu_per_call 500
password_life_time 180
failed_login_attempts 10
/
对配置文件所做的修改只有在用户开始新的会话时才会有效
2.删除profile文件
如:删除分配给dongfang这个用户的password_lift_time配置文件
drop profile password_lift_time cascade
如果指定的profile,已经分配给某个用户,那么必须在删除时使用cascade,为用户指定的配置文件被删除时,Oracle会指定为用户指定default配置文件
3.显示profile
DD--dba_users
DD--dba_profiles