Connexion system avec sqlplus

**grome** · 19/05/2008, 13h15

Bonjour à tous

je ne comprends pas un truc avec sqlplus mais peut être s'agit il d'un problème de sécurité liée à mon installation Oracle.
Les commandes suivantes sont celles que j'utilise pour me connecter à ma base avec sqlplus.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
c:\> set oracle_sid=mabase
c:\> sqlplus /nolog
sql> connect system as sysdba

Lorsque je tape le mot de passe je peux mettre n'importe quoi, il l'acepte !!! Je me suis aperçu de çà par hasard. Voilà je ne comprends pas pourquoi. Pourriez vous me donner une piste à creuser si vous pensez savoir de quoi il s'agit.

Merci d'avance.

**philcero** · 19/05/2008, 13h19

Je ne suis pas spécialiste du monde microsoft, mais sous UNIX à partir du moment que ton compte utilisateur UNIX fait partie intégrante d'un groupe identifié à l'installation du produit comme DBA, celui-ci peut se connecter sans mot de passe à la base (connect / as sysdba).

Maintenant ce qui m'étonne c'est qu'il te demande un mot de passe et que cela fonctionne, quoi que tu entres.

Afin de chercher une piste tu peux essayer :

Vérifier que ton compte SYSTEM à bel et bien un mot de passe.
Tester une connexion en ligne de commande avec un autre compte utilisateur.
Tester une connexion en ligne de commande en mode client/serveur (sqlplus system/motdepasse@mabase).
Tester une connexion client/serveur depuis une autre machine.

**grome** · 19/05/2008, 16h58

Bon j'ai testé tout çà.
le problème se présente dès lors que j'utilise le rôle sysdba
exemple
l'ordre suivant fonctionne

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

sql> connect system/n importe quoi@mabase as sysdba

l'ordre suivant ne fonction pas

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

sql> connect system/n importe quoi@mabase

l'ordre suivant fonctionne malgré un mauvais passe lorsqu'il le demande

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
 
sql> host set oracle_sid=mabase
sql> connect system as sysdba

l'ordre suivant ne fonctionne pas si je fourni un mauvais mot de passe

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

sql> connect system

A part çà si je me connecte avec l'authentification système (connect / as sysdba), çà fonctionne aussi.

**philcero** · 20/05/2008, 10h21

Question bête, as-tu un PASSWORD FILE pour ta base ?

Si non, on peut imaginer que n'ayant pas de PASSWORD FILE l'authentification AS SYSDBA switche automatiquement en mode OS et donc quoi que tu entres cela fonctionne étant donné que c'est le fait que ton compte système appartienne au groupe DBA associé et les éléments compte/mot de passes seraient ignorés...

**orafrance** · 20/05/2008, 11h12

Bon, d'abord c'est pas très malin de donner le rôle SYSDBA à SYSTEM. Ensuite en SYSDBA c'est effectivement l'appartenance au groupe ORA_DBA et le fichier de password qui permet de se connecter sans le mot de passe.

**grome** · 20/05/2008, 12h35

Pourquoi est ce que le user system ne doit pas avoir les droits sysdba. n'est ce pas le super utilisateur ? Je ne comprends pas. J'ai pas trop compris non plus ces notions de sys, public etc ... Tout çà n'est pas traité dans mon manuel je vais donc devoir me replonger dans la doc oracle qui traite du sujet.

Mais si vous me donnez quelques infos pour débroussailler le terrain je suis preneur.

je viens de remarquer que tous mes serveurs Oracle ne se comportent pas de la même manière sur ce sujet. Je fais le tour, je vous communique les infos ...

**orafrance** · 20/05/2008, 12h39

http://fadace.developpez.com/oracle/securite/#LIV-C

C'est SYS qui est et doit rester le seul super-admin de la base. PUBLIC c'est pour les synonymes par exemple et c'est un schéma qui signifie "Tout le monde" autrement dit si le synonyme appartient à PUBLIC alors il appartient à tous les schémas.

**grome** · 20/05/2008, 12h54

Bon j'ai pris 4 serveurs Oracle.
Ils sont tous sous windows. A chaque fois je me connecte sur le poste en TSE pour faire les manipulations qui vont suivre. L'utilisateur de cette session tse est l'administrateur du poste. C'est lui qui a été utilisé pour l'installation d'ORACLE.
L'administrateur local fait parti du groupe ora_dba sur chacun des serveurs.
le paramètre REMOTE_LOGIN_PASSWORDFILE à la valeur EXCLUSIVE sur ces 4 serveurs.

Ci dessous le résultat des commandes suivantes sur les 4 serveurs. La variable ORACLE_SID est bien valorisée.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

select * from v$pwfile_users;

suivi d'un

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

connect system/nimportequoi as sysdba

(evidemment le connect system/vrai_mot_de_passe @ sysdba fonctionne)

serveur 1

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

aucune ligne sÚlectionnÚe

et

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

ConnectÚ.

serveur 2

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
USERNAME                       SYSDB SYSOP
------------------------------ ----- -----
SYS                            TRUE  TRUE
SYSTEM                         TRUE  FALSE

et

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
ERROR:
ORA-01031: insufficient privileges
Warning: You are no longer connected to ORACLE.

serveur 3

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
USERNAME                       SYSDB SYSOP
------------------------------ ----- -----
SYS                            TRUE  TRUE
SYSTEM                         TRUE  TRUE

et

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

ConnectÚ.

serveur 4

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
USERNAME                       SYSDB SYSOP
------------------------------ ----- -----
SYS                            TRUE  TRUE
SYSTEM                         TRUE  FALSE

et

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
ERROR:
ORA-01031: insufficient privileges
Avertissement : vous n'Ûtes plus connectÚ Ó ORACLE.

bref voilà si vous pouviez éclairer ma lanterne, siouplait parce que là je crois que quelque chose m'échappe. Est ce que je dis une bêtise si je dis que le fichier de mot de passe ne me sers pas puisque je fais tout en tse. Auquel cas la valeur de REMOTE_LOGIN_PASSWORDFILE devrait être NONE. Non ?

je nage... je coule...