翻译：Oracle9i管理员指南第一章

1 数据库管理员

这部分介绍数据库管理员的责任，包含以下内容：

1.       oracle用户类型

2.       数据库管理员的任务

3.       认清你的oracle数据库软件版本

4.       数据库管理员的安全和权限

5.       数据库管理员的认证

6.       创建和维护密码文件

7.       数据库管理员工具

1.1 oracle用户类型

一个站点上的用户类型，它们的角色和责任都是可以改变的。一个小的站点可以只有一个管理员，管理数据库的开发和其他用户。而一个大的站点，就很有必要将数据库管理工作分给几个人，负责不同的区域或专业领域，主要包括：

1.         数据库管理员

2.         安全负责人

3.         网络管理员

4.         应用程序开发人员

5.         应用程序管理者

6.         数据库用户

 

略

1.2 数据库管理员的任务

略

1.3 认清oracle数据库软件的版本号

SELECT * FROM PRODUCT_COMPONENT_VERSION;

PRODUCT VERSION STATUS

----------------------------------- --------------- ---------------

NLSRTL 9.2.0.1.0 Production

Oracle9i Enterprise Edition 9.2.0.1.0 Production

PL/SQL 9.2.0.1.0 Production

TNS for Solaris: 9.2.0.1.0 Production

 

 

1.4 数据库管理员的操作系统帐户

为了执行管理型的责任，你必须能够执行操作系统命令，要有能够访问oracle文件的权限。

有两个用户是自动创建的

Sys（默认密码：change_on_install）

System（默认密码：manager）

不推荐使用上面两个用户进行日常的管理工作，而应该再创建一个用户，并赋予dba权限，进行日常管理工作。

Sys模式下，保存了很多基本表和基本视图，这些表和视图保存了数据字典的数据，因此，任何用户都不应该修改这些表和视图。任何用户都不能在sys模式下创建表。

System模式下，保存了很多与oracle工具有关的内部表和视图，还有一些管理性的表和视图，因此也不应该修改，也不能在system模式下创建表。

由于以上安全性的考虑，创建数据库之后，应立刻修改sys和system的密码。

Dba角色是每个数据库创建时，自动具有的角色，它拥有绝大多数的系统权限。但dba角色没有SYSDBA和 SYSOPER权限。这两个权限能够进行一些基本的数据库操作，如创建表，启动关闭实例等。

1.5 数据库管理员认证

任何管理员要进行管理操作，都必须具有SYSDBA和 SYSOPER两种权限中的一种。这两种权限允许你在数据未打开的条件下，仍然可以访问数据库，也就是说，这两种权限是在数据库之外的。也可以将这两种权限看作两种连接方式。通过connect as sysdba连接到数据库，可以进行启动关闭实例等等的基本数据库操作，而其他的连接方式则不行。

当你通过SYSDBA和 SYSOPER连接到数据库时，你会连接到它们各自对应的模式。Sysdba对应sys模式，sysoper对应system模式。

CONNECT scott/password

CREATE TABLE admin_test(name VARCHAR2(20));

Later, scott issues these statements:

CONNECT scott/password AS SYSDBA

SELECT * FROM admin_test;

User scott now receives the following error:

ORA-00942: table or view does not exist

这个错误的原因是，用户当前是sys模式，而admin_test表不在sys模式下。

1.5.1 两种认证方法

有两种方法可以对管理员进行认证：操作系统认证和密码文件。你对数据库的管理方式（在本地进行管理还是在远程的一个客户端对数据库进行管理），将会影响到你的认证方式。

1.5.2 使用操作系统认证

在使用操作系统认证之前，必须要做准备工作：

1.       创建一个系统帐户

2.       将该帐户加入系统的OSDBA或者OSOPER组中

3.       确认初始化参数REMOTE_LOGIN_PASSWORDFILE是none。

可以使用下面两条语句的任意一个连接到本地数据库：

CONNECT / AS SYSDBA

CONNECT / AS SYSOPER

可以使用下面两条语句的任意一个连接到远程数据库：

CONNECT /@net_service_name AS SYSDBA

CONNECT /@net_service_name AS SYSOPER

1.5.3 使用密码文件验证

管理员用户要连接远程或者本地数据库，可以使用用户名，密码加上AS SYSDBA 或者 AS SYSOPER。比如用户scott有SYSDBA权限，所以它可以如此：

CONNECT scott/tiger AS SYSDBA

然而，scott没有SYSOPER因此CONNECT scott/tiger AS SYSOPER将会失败。

操作系统验证优先于密码文件验证，如果你是OSDBA或者OSOPER组的成员，而你又使用了SYSDBA或者SYSOPER，则会使用操作系统验证，而忽略所输入的用户名和密码。

1.6 创建和使用密码文件

下面的例子演示了使用ORAPWD创建一个名为acct.pwd的密码文件，它允许多大30个，拥有不同密码的授权用户。

ORAPWD FILE=acct.pwd PASSWORD=secret ENTRIES=30

FILE参数指定密码文件的全路径文件名，这个名字被加密过，不能被直接读取，该参数不能为空。如果有多个数据库实例同时运行，每个实例的环境变量，都要指向相同的密码文件。

PASSWORD参数，指定了sys用户的密码，如果在进入数据库后，通过alter user修改了sys的密码，那么数据字典里的密码和密码文件中的密码会同时更新。该参数也不能为空。

ENTRIES参数指定密码文件可以接受的连接数。如果你设定 REMOTE_LOGON_PASSWORDFILE=EXCLUSIVE，又允许SYSDBA和SYSOPER权限的用户连接，那么这个参数是需要的。REMOTE_LOGON_PASSWORDFILE可以取得的参数如下：