Comment désactiver l'expiration du mot de passe Oracle?

177

J'utilise Oracle pour le développement. Le mot de passe d'un compte bootstrap que j'utilise toujours pour reconstruire ma base de données a expiré.

Comment désactiver définitivement l'expiration du mot de passe pour cet utilisateur (et tous les autres utilisateurs)?

J'utilise Oracle 11g, dont les mots de passe expirent par défaut.

oracle security Josh Kodroff
la source
Je pense que vous feriez mieux de demander cela sur serverfault.com. Je ne vais pas le forcer parce que vous avez dit que vous l'utilisez pour le développement, et je pense qu'il y a encore une chance que quelqu'un ici le sache et / ou que d'autres ici puissent bénéficier de cette information.
Bill the Lizard
Je pense que je vais le faire. Je me demandais pour quel site il était le plus approprié, car c'est une question de base de données et pas tellement une question de DBA.
Josh Kodroff
Je ne sais pas quelle est la politique de dupe pour les questions intersites
Josh Kodroff

Réponses:

313

Pour modifier la politique d'expiration de mot de passe pour un certain profil utilisateur dans Oracle, vérifiez d'abord quel profil l'utilisateur utilise:

select profile from DBA_USERS where username = '<username>';

Ensuite, vous pouvez modifier la limite pour qu'elle n'expire jamais en utilisant:

alter profile <profile_name> limit password_life_time UNLIMITED;

Si vous souhaitez vérifier au préalable la limite, vous pouvez utiliser:

select resource_name,limit from dba_profiles where profile='<profile_name>';
Pedro Carriço
la source
5
Cela a modifié le profil. Cependant, j'ai des utilisateurs dont les mots de passe expirent parce que le profil par défaut l'avait en tant que tel lors de leur création. Comment modifier ces comptes utilisateurs pour que le mot de passe n'expire pas?
Jay Imerman
14
select username,expiry_date,account_status from dba_users; pour afficher le account_status. pour ces comptes expirant, vous devrez peut-être réinitialiser le mot de passe une fois pour la dernière fois.
Will Wu
6
modifier le déverrouillage du compte aaa utilisateur;
Kalpesh Soni
1
Pour être complet, si vous avez besoin de changer un utilisateur à un autre profil: ALTER USER Bob PROFILE MyNonExpiringProfile;.
aucune ligne sélectionnée sur la requête "sélectionner le profil de DBA_USERS où username = '<username>';"
gaurav
90

Pour le développement, vous pouvez désactiver la politique de mot de passe si aucun autre profil n'a été défini (c'est-à-dire désactiver l'expiration du mot de passe par défaut):

ALTER PROFILE "DEFAULT" LIMIT PASSWORD_VERIFY_FUNCTION NULL;

Ensuite, réinitialisez le mot de passe et déverrouillez le compte utilisateur. Il ne devrait plus jamais expirer:

alter user user_name identified by new_password account unlock;
Shimon
la source
40

Comme l'état des autres réponses, changer le profil de l'utilisateur (par exemple le profil «DEFAULT») de manière appropriée conduira à des mots de passe qui, une fois définis, n'expireront jamais.

Cependant, comme le souligne un commentateur, les mots de passe définis sous les anciennes valeurs du profil peuvent déjà être expirés et (si après la période de grâce spécifiée par le profil) le compte est verrouillé.

La solution pour les mots de passe expirés avec des comptes verrouillés (comme indiqué dans un commentaire de réponse) consiste à utiliser une version de la commande ALTER USER:

ALTER USER xyz_user ACCOUNT UNLOCK;

Cependant, la commande de déverrouillage ne fonctionne que pour les comptes où le compte est réellement verrouillé, mais pas pour les comptes qui sont dans la période de grâce, c'est-à-dire où le mot de passe a expiré mais le compte n'est pas encore verrouillé. Pour ces comptes, le mot de passe doit être réinitialisé avec une autre version de la commande ALTER USER:

ALTER USER xyz_user IDENTIFIED BY new_password;

Vous trouverez ci-dessous un petit script SQL * Plus qu'un utilisateur privilégié (par exemple, l'utilisateur «SYS») peut utiliser pour réinitialiser le mot de passe d'un utilisateur à la valeur hachée actuelle stockée dans la base de données.

EDIT: les anciennes versions d'Oracle stockent le mot de passe ou le mot de passe-hachage dans la colonne pword, les versions plus récentes d'Oracle stockent le mot de passe-hachage dans la colonne spare4. Le script ci-dessous a changé pour collecter les colonnes pword et spare4, mais pour utiliser la colonne spare4 pour réinitialiser le compte de l'utilisateur; modifier au besoin.

REM Tell SQL*Plus to show before and after versions of variable substitutions.
SET VERIFY ON
SHOW VERIFY

REM Tell SQL*Plus to use the ampersand '&' to indicate variables in substitution/expansion.
SET DEFINE '&'
SHOW DEFINE

REM Specify in a SQL*Plus variable the account to 'reset'.
REM Note that user names are case sensitive in recent versions of Oracle.
REM DEFINE USER_NAME = 'xyz_user'

REM Show the status of the account before reset.
SELECT
  ACCOUNT_STATUS,
  TO_CHAR(LOCK_DATE, 'YYYY-MM-DD HH24:MI:SS') AS LOCK_DATE,
  TO_CHAR(EXPIRY_DATE, 'YYYY-MM-DD HH24:MI:SS') AS EXPIRY_DATE
FROM
  DBA_USERS
WHERE
  USERNAME = '&USER_NAME';

REM Create SQL*Plus variable to hold the existing values of the password and spare4 columns.
DEFINE OLD_SPARE4 = ""
DEFINE OLD_PASSWORD = ""

REM Tell SQL*Plus where to store the values to be selected with SQL.
REM Note that the password hash value is stored in spare4 column in recent versions of Oracle,
REM   and in the password column in older versions of Oracle.
COLUMN SPARE4HASH NEW_VALUE OLD_SPARE4
COLUMN PWORDHASH NEW_VALUE OLD_PASSWORD

REM Select the old spare4 and password columns as delimited strings 
SELECT 
  '''' || SPARE4 || '''' AS SPARE4HASH,
  '''' || PASSWORD || '''' AS PWORDHASH
FROM 
  SYS.USER$ 
WHERE 
  NAME = '&USER_NAME';

REM Show the contents of the SQL*Plus variables
DEFINE OLD_SPARE4
DEFINE OLD_PASSWORD

REM Reset the password - Older versions of Oracle (e.g. Oracle 10g and older) 
REM ALTER USER &USER_NAME IDENTIFIED BY VALUES &OLD_PASSWORD;

REM Reset the password - Newer versions of Oracle (e.g. Oracle 11g and newer) 
ALTER USER &USER_NAME IDENTIFIED BY VALUES &OLD_SPARE4;

REM Show the status of the account after reset
SELECT
  ACCOUNT_STATUS,
  TO_CHAR(LOCK_DATE, 'YYYY-MM-DD HH24:MI:SS') AS LOCK_DATE,
  TO_CHAR(EXPIRY_DATE, 'YYYY-MM-DD HH24:MI:SS') AS EXPIRY_DATE
FROM
  DBA_USERS
WHERE
  USERNAME = '&USER_NAME';
Kieron Hardy
la source
2
Merci pour l'aide. Il est si difficile de trouver une réponse pertinente. Toute autre réponse fait uniquement référence à PASSWORD_LIFE_TIME.
sabertiger
La colonne SYS.USER $ .PASSWORD contient uniquement le hachage de la version NON sensible à la casse (majuscule?) Du mot de passe. Dans Oracle 11, sauf si vous définissez le paramètre système SEC_CASE_SENSITIVE_LOGON = FALSE, il y aura un hachage beaucoup plus long du mot de passe sensible à la casse dans la colonne SYS.USER $ .SPARE4.
Morbo
16

Je crois que le comportement d'expiration du mot de passe, par défaut, est de ne jamais expirer. Cependant, vous pouvez configurer un profil pour votre ensemble d'utilisateurs de développement et définir le fichier PASSWORD_LIFE_TIME. Voir l' orafaq pour plus de détails. Vous pouvez voir ici un exemple de la perspective et de l'utilisation d'une personne.

akf
la source
7
Je pense que dans une nouvelle installation 11g (par opposition à une mise à niveau) avec la sécurité améliorée recommandée, les mots de passe expireront par défaut après 30 jours.
Gary Myers
1
Le 11g c'est 180 jours: docs.oracle.com/cd/E38689_01/pt853pbr0/eng/pt/tadm
Nicolas Mommaerts
0

Je suggérerai que ce n'est pas une bonne idée de désactiver l'expiration du mot de passe car cela peut conduire à des menaces possibles pour la confidentialité, l'intégrité et la disponibilité des données.

Cependant, si vous le souhaitez.

Si vous avez un accès approprié, utilisez SQL suivant

SELECT nom d'utilisateur, account_status FROM dba_users;

Cela devrait vous donner un résultat comme celui-ci.

   USERNAME                       ACCOUNT_STATUS
------------------------------ -----------------

SYSTEM                         OPEN
SYS                            OPEN
SDMADM                         OPEN
MARKETPLACE                    OPEN
SCHEMAOWNER                    OPEN
ANONYMOUS                      OPEN
SCHEMAOWNER2                   OPEN
SDMADM2                        OPEN
SCHEMAOWNER1                   OPEN
SDMADM1                        OPEN
HR                             EXPIRED(GRACE)

USERNAME                       ACCOUNT_STATUS
------------------------------ -----------------

APEX_PUBLIC_USER               LOCKED
APEX_040000                    LOCKED
FLOWS_FILES                    LOCKED
XS$NULL                        EXPIRED & LOCKED
OUTLN                          EXPIRED & LOCKED
XDB                            EXPIRED & LOCKED
CTXSYS                         EXPIRED & LOCKED
MDSYS                          EXPIRED & LOCKED

Vous pouvez maintenant utiliser la réponse de Pedro Carriço https://stackoverflow.com/a/6777079/2432468

Pawan Kumar
la source
Bien que je sois d'accord, il est imprudent de désactiver l'expiration des mots de passe dans les environnements de production, nous pourrions vouloir le désactiver dans le développement ou les tests.
APC