oracle密码文件丢失的恢复

ph033378

　　oracle密码文件丢失的恢复
　　Oracle数据库的口令文件PWDSID.ora（本机参考文件为PWDORCL.ora）是由orapwd.exe 生成的。当密码文件意外丢失后，会出现登陆报错问题。
　　（本机参考目录C:\app\Administrator\product\11.2.0\dbhome_1\bin\orapwd.exe）
　　现在我们模拟一下恢复环境。Shutdown 数据库，然后删除密码文件。重启数据库。
　　提示如下：
　　C:\Documentsand Settings\Administrator>sqlplus /nolog
　　SQL>conn  / as sysdba;
　　已连接。
　　SQL> connsys/1 as sysdba;
　　已连接。
　　SQL> connsys/oracle as sysdba;
　　已连接。
　　SQL>select * from global_name;
　　GLOBAL_NAME
　　--------------------------------------------------------------------------------
　　ORCL
　　发现即使没有密码文件，sys账户依然可以以任何密码或者无密码登陆数据库。问题出在哪呢？其实问题出在数据库默认配置下是开启了OS认证，即默认允许操作系统认证，上述登陆使用的即是操作系统认证。
　　要做相关实验，需要先关闭OS认证，方法是修改C:\app\Administrator\product\11.2.0\dbhome_1\NETWORK\ADMIN\sqlnet.ora
　　将其配置中的SQLNET.AUTHENTICATION_SERVICES= (NTS)修改为SQLNET.AUTHENTICATION_SERVICES=(NONE)即可。
　　此时在登陆数据库时会提示：
　　SQL> conn sys/oracle as sysdba;
　　ERROR:
　　ORA-01031: insufficient privileges
　　我们知道密码文件是由orapwd.exe程序生成的，那么重新生成一个即可。方法如下：
　　C:\app\Administrator\product\11.2.0\dbhome_1\bin\orapwd.exefile=C:\app\Administrator\product\11.2.0\dbhome_1\database\PWDorcl.ora password=oracleforce=y
　　执行上面的命令，重新建立一个sys账户口令为oracle的密码文件。
　　重新连接数据库测试：
　　SQL> connsys/1 as sysdba;
　　ERROR:
　　ORA-01017:invalid username/password; logon denied
　　警告: 您不再连接到ORACLE。
　　SQL> connsys/oracle as sysdba;
　　已连接。
　　SQL>select * from global_name;
　　GLOBAL_NAME
　　--------------------------------------------------------------------------------
　　ORCL
　　由此可发现，只有sys/oracle才可以正常登陆数据库。
　　小结：
　　1.本测试的前提是先关闭OS认证，不然测试必将失败。在风险评估对oracle数据库的检查中也要求关闭OS认证，因为默认开启的OS认证，不能实现系统管理员和数据库管理员的权限分离。系统管理员不应该具有数据库的SYSDBA角色的这一超级权限。
　　2.明白密码文件生成的原理。它是由bin目录下的orapwd.exe执行命令生成的。密码文件只记录了密码的信息。他的丢失与生成均与重做日志和归档日志无关，直接执行命令生成即可立即生效。