Datenintengrität
Contents Index

Password Security and Resources

Profile

Per Profile erfolgt die Passwortverwaltung (Länge, Alterung, ...). Das Default-Profile erhält jeder User nach dessen Erstellung. Das Default-Profile ist nicht löschbar.

Profile erstellen

create profile p_nutzer
  limit failed_login_attempts 3
  password_lock_time 2/24 
  password_life_time 30
  password_grace_time 5
  password_reuse_time 366 
  password_reuse_max 1
;

Beispiel: Ein User versucht sich fünf mal mit falschen Passwort einzuloggen. Wie lange muss er warten, bis er einen neuen Versuch starten kann?

ALTER PROFILE DEFAULT LIMIT
  PASSWORD_LIFE_TIME 60
  PASSWORD_GRACE_TIME 10
  PASSWORD REUSE TIME 1800
  PASSWORD_REUSE_MAX UNLIMITED
  FAILED_LOGIN_ATTEMPTS 5
  PASSWORD_LOCK_TIME 1/1440
  PASSWORD_VERIFY_FUNCTION verify_function
;

Er muss eine Minute warten. PASSWORD_LOCK_TIME wird in Tagen angegeben. Ein Tag hat 1440 Minuten (60*24).

Profile zuweisen

Profile können nicht anderen Profilen und Rollen zugewiesen werden. Eine Zuweisung hat keine Auswirkunge auf aktuelle Sessions.

alter user hans profile meister;

Ein Profile ändern

alter profile p_nutzer limit failed_login_attempts 4;

VERIFY_FUNCTION

/oracle/ora92/rdbms/admin/utlpwdmg.sql

Profile löschen

drop profile p_nutzer;

Resource Management

Das Resource Management dient zur Begrenzung von Ressourcen. Diese können auf Session Level, auf Call Level oder beiden zugewiesen werden.

Aktivieren des Resource Managements

alter system set resource_limit = true;

Session Level

CPU_PER_SESSION - Totale CPU-Zeit in hundertstel Sekunden.
SESSIONS_PER_USER - Maximale Anzahl von konkurierenden Session für einen User.
CONNECT_TIME - Verstrichende Connection-Zeit in Minuten.
IDLE_TIME - Inaktive Zeit in Minuten.
LOGICAL_READS_PER_SESSION - Maximale Anzahl der gelesenen Datenblöcke.
PRIVATE_SGA - Privater Speicherplatz im SGA in bytes (nur Shared Server).

create profile p_nutzer
  limit connect_time 1430 
  idle_time 30
  sessions_per_user 3
;

1/1440 = 1 Minute

Call Level

CPU_PER_CALL - CPU-Zeit pro Aufruf in hundertstel Sekunden.
LOGICAL_READS_PER_CALL - Maximale Anzahl der gelesenen Datenblöcke.

Anzeige User-Stati

(OPEN, EXPIRED & LOCKED, ...)

select username, password, account_status from dba_users
;
select * from dba_profiles
  where resource_type = 'Password' 
    and profile = 'default'
;

User

Fundamentals

Datenintengrität
Contents Index

Stefan Hietel dama.go GmbH, Robert Warnke http://rowa.giso.de