ORACLE用户自动被锁解决方法

--1.
  --系统参数配置  connect sys/password@db_link as sysdba
  select * from dba_profiles where resource_name like 'FAILED_LOGIN_ATTEMPTS%';
  --1 DEFAULT FAILED_LOGIN_ATTEMPTS PASSWORD 10
  --连续错误连接10次用户被锁定
  --2.
  --查看被锁的用户
  select LOCK_DATE,username from dba_users where username='USERNAME';
  LOCK_DATE为空说明没有锁定,非空为锁定。
  -----
  SELECT S.USERNAME,
  DECODE(L.TYPE, 'TM', 'TABLE LOCK', 'TX', 'ROW LOCK', NULL) LOCK_LEVEL,
  O.OWNER,
  O.OBJECT_NAME,
  O.OBJECT_TYPE,
  S.SID,
  S.SERIAL#,
  S.TERMINAL,
  S.MACHINE,
  S.PROGRAM,
  S.OSUSER
  FROM V$SESSION S, V$LOCK L, DBA_OBJECTS O
  WHERE S.SID = L.SID
  AND O.OBJECT_ID = L.ID1
  AND S.USERNAME IS NOT NULL;
  --3.
  --解锁方法
  ALTER USER USER_NAME ACCOUNT UNLOCK;
  --值的注意,在升级过程中,被锁的用户,有可能不值一个
  --重新升级
  -----设置系统的默认登录次数
  alter profile DEFAULT limit FAILED_LOGIN_ATTEMPTS 10;
  alter profile DEFAULT limit FAILED_LOGIN_ATTEMPTS UNLIMITED;
  ------------
  数据管理员为这个用户单独设置了登录次数则要查找这个用户对应的profile,然后修改.可以查看用户的创建语名找到对应的设置。
  Oracle系统中的profile可以用来对用户所能使用的数据库资源进行限制,使用 Create Profile命令创建一个Profile,用它来实现对数据库资源的限制使用,如果把该profile分配给用户,则该用户所能使用的数据库资源都在该 profile的限制之内。
  二、条件:
  创建profile必须要有CREATE PROFILE的系统权限。
  为用户指定资源限制,必须:
  1.动态地使用alter system或使用初始化参数resource_limit使资源限制生效。该改变对密码资源无效,密码资源总是可用。
  SQL> show parameter resource_limit
  NAME                                 TYPE        VALUE
  ———————————— ———– ——————————
  resource_limit                       boolean     FALSE
  SQL> alter system set resource_limit=true;
  系统已更改。
  SQL> show parameter resource_limit;
  NAME                                 TYPE        VALUE
  ———————————— ———– ——————————
  resource_limit                      boolean     TRUE
  SQL>
  2.使用create profile创建一个定义对数据库资源进行限制的profile。
  3.使用create user 或alter user命令把profile分配给用户。
  三、语法:
  CREATE PROFILE profile LIMIT { resource_parameters | password_parameters } [ resource_parameters | password_parameters ]… ;    <resource_parameters>{{ SESSIONS_PER_USER | CPU_PER_SESSION | CPU_PER_CALL | CONNECT_TIME | IDLE_TIME | LOGICAL_READS_PER_SESSION | LOGICAL_READS_PER_CALL | COMPOSITE_LIMIT } { integer | UNLIMITED | DEFAULT }| PRIVATE_SGA { integer [ K | M ] | UNLIMITED | DEFAULT }}< password_parameters >
  {{ FAILED_LOGIN_ATTEMPTS | PASSWORD_LIFE_TIME | PASSWORD_REUSE_TIME | PASSWORD_REUSE_MAX | PASSWORD_LOCK_TIME | PASSWORD_GRACE_TIME } { expr | UNLIMITED | DEFAULT }| PASSWORD_VERIFY_FUNCTION { function | NULL | DEFAULT }}四、语法解释:
  profile:配置文件的名称。Oracle数据库以以下方式强迫资源限制:
  1.如果用户超过了connect_time或idle_time的会话资源限制,数据库就回滚当前事务,并结束会话。用户再次执行命令,数据库则返回一个错误,
  2.如果用户试图执行超过其他的会话资源限制的操作,数据库放弃操作,回滚当前事务并立即返回错误。用户之后可以提交或回滚当前事务,必须结束会话。
  提示:可以将一条分成多个段,如1小时(1/24天)来限制时间,可以为用户指定资源限制,但是数据库只有在参数生效后才会执行限制。
  Unlimited:分配该profile的用户对资源使用无限制,当使用密码参数时,unlimited意味着没有对参数加限制。
  Default:指定为default意味着忽略对profile中的一些资源限制,Default profile初始定义对资源不限制,可以通过alter profile命令来改变。
  Resource_parameter部分:
  Session_per_user:指定限制用户的并发会话的数目。
  Cpu_per_session:指定会话的CPU时间限制,单位为百分之一秒。
  Cpu_per_call:指定一次调用(解析、执行和提取)的CPU时间限制,单位为百分之一秒。
  Connect_time:指定会话的总的连接时间,以分钟为单位。
  Idle_time:指定会话允许连续不活动的总的时间,以分钟为单位,超过该时间,会话将断开。但是长时间运行查询和其他操作的不受此限制。
  Logical_reads_per_session:指定一个会话允许读的数据块的数目,包括从内存和磁盘读的所有数据块。
  Logical_read_per_call:指定一次执行SQL(解析、执行和提取)调用所允许读的数据块的最大数目。
  Private_sga:指定一个会话可以在共享池(SGA)中所允许分配的最大空间,以字节为单位。(该限制只在使用共享服务器结构时才有效,会话在SGA中的私有空间包括私有的SQL和PL/SQL,但不包括共享的SQL和PL/SQL)。
  Composite_limit:指定一个会话的总的资源消耗,以service units单位表示。Oracle数据库以有利的方式计算cpu_per_session,connect_time, logical_reads_per_session和private-sga总的service units
  Password_parameter部分:
  Failed_login_attempts:指定在帐户被锁定之前所允许尝试登陆的的最大次数。
  Password_life_time:指定同一密码所允许使用的天数。如果同时指定了 password_grace_time参数,如果在grace period内没有改变密码,则密码会失效,连接数据库被拒绝。如果没有设置password_grace_time参数,默认值unlimited将引 发一个数据库警告,但是允许用户继续连接。
  Password_reuse_time和password_reuse_max:这两个参数必须互相关联设置,password_reuse_time指定了密码不能重用前的天数,而password_reuse_max则指定了当前密码被重用之前密码改变的次数。两个参数都必须被设置为整数。
  1.如果为这两个参数指定了整数,则用户不能重用密码直到密码被改变了password_reuse_max指定的次数以后在password_reuse_time指定的时间内。
  如:password_reuse_time=30,password_reuse_max=10,用户可以在30天以后重用该密码,要求密码必须被改变超过10次。
  2.如果指定了其中的一个为整数,而另一个为unlimited,则用户永远不能重用一个密码。
  3.如果指定了其中的一个为default,Oracle数据库使用定义在profile中的默认值,默认情况下,所有的参数在profile中都被设置为unlimited,如果没有改变profile默认值,数据库对该值总是默认为unlimited。
  4.如果两个参数都设置为unlimited,则数据库忽略他们。
  Password_lock_time:指定登陆尝试失败次数到达后帐户的缩定时间,以天为单位。
  Password_grace_time:指定宽限天数,数据库发出警告到登陆失效前的天数。如果数据库密码在这中间没有被修改,则过期会失效。
  Password_verify_function:该字段允许将复杂的PL/SQL密码验证脚本做 为参 数传递到create profile语句。Oracle数据库提供了一个默认的脚本,但是自己可以创建自己的验证规则或使用第三方软件验证。 对Function名称,指定的是密码验证规则的名称,指定为Null则意味着不使用密码验证功能。如果为密码参数指定表达式,则该表达式可以是任意格 式,除了数据库标量子查询。
  五、举例:
  1.创建一个profile:
  create profile new_profile limit password_reuse_max 10 password_reuse_time 30;
  2.设置profile资源限制:
  create profile app_user limit sessions_per_user unlimited cpu_per_session unlimited cpu_per_call 3000 connect_time 45 logical_reads_per_session default logical_reads_per_call 1000 private_sga 15k composite_limit 5000000;
  总的resource cost不超过五百万service units。计算总的resource cost的公式由alter resource cost语句来指定。
  3.设置密码限制profile:
  create profile app_users2 limit failed_login_attempts 5 password_life_time 60 password_reuse_time 60 password_reuse_max 5 password_verify_function verify_function password_lock_time 1/24 password_grace_time 10;
  4.将配置文件分配给用户:
  SQL> alter user dinya profile app_user;
  用户已更改。
  SQL> alter user dinya profile default;
  用户已更改。
  Oracle用户被锁原因及办法
  在登陆时被告知test用户被锁
  1、用dba角色的用户登陆,进行解锁,先设置具体时间格式,以便查看具体时间
  SQL> alter session set nls_date_format=’yyyy-mm-dd hh24:mi:ss’;
  Session altered.
  2、查看具体的被锁时间
  SQL> select username,lock_date from dba_users where username=’TEST’;
  USERNAME LOCK_DATE
  ------------------------------ -------------------
  TEST 2009-03-10 08:51:03
  3、解锁
  SQL> alter user test account unlock;
  User altered.
  4、查看是那个ip造成的test用户被锁
  查看$ORACLE_HOME/network/admin/log/listener.log日志
  10-MAR-2009 08:51:03 * (CONNECT_DATA=(SID=lhoms)(SERVER=DEDICATED)(CID=(PROGRAM=oracle)(HOST=omstestdb)(USER=oraoms))) * (ADDRESS=(PROTOCOL=tcp)(HOST=10.69.1.11)(PORT=49434)) * establish * lhoms * 0
  10-MAR-2009 08:51:03 * (CONNECT_DATA=(SID=lhoms)(SERVER=DEDICATED)(CID=(PROGRAM=oracle)(HOST=omstestdb)(USER=oraoms))) * (ADDRESS=(PROTOCOL=tcp)(HOST=10.69.1.11)(PORT=49435)) * establish * lhoms * 0考试就到考试大
  这样可知是上面10.69.1.11的ip尝试多次失败登陆造成的被锁
  注:
  一般数据库默认是10次尝试失败后锁住用户
  1、查看FAILED_LOGIN_ATTEMPTS的值
  select * from dba_profiles
  2、修改为30次
  alter profile default limit FAILED_LOGIN_ATTEMPTS 30;
  3、修改为无限次(为安全起见,不建议使用)
  alter profile default limit FAILED_LOGIN_ATTEMPTS unlimited;

posted on 2012-12-06 17:15  奋进的菜鸟  阅读(842)  评论(0编辑  收藏  举报