Grer la scurit des mots de passe et les ressources

Objectifs

A la fin de ce chapitre, vous pourrez : grer les mots de passe l'aide de profils administrer des profils contrler l'utilisation des ressources l'aide de profils obtenir des informations sur les profils, la gestion des mots de passe et les ressources

7-2

Profils
Un profil est un ensemble nomm contenant les limites relatives aux mots de passe et aux ressources. La commande CREATE USER ou ALTER USER permet d'affecter des profils aux utilisateurs. Les profils peuvent tre activs ou dsactivs. Par dfaut, affectation du profil DEFAULT.

7-3

Gestion des mots de passe

Historique des mots de passe

Verrouillage d'un compte

Utilisateur

Configurer des profils

Dure de vie et expiration des mots de passe

Vrification des mots de passe

7-5

Activer la gestion des mots de passe

Configurez la gestion des mots de passe l'aide de profils que vous affecterez aux utilisateurs. Verrouillez, dverrouillez et faites expirer des comptes l'aide de la commande CREATE USER ou ALTER USER.

Les limites relatives aux mots de passe sont toujours appliques. Pour activer la gestion des mots de passe, excutez le script utlpwdmg.sql sous le nom utilisateur SYS.

7-6

Verrouillage d'un compte

Paramtre FAILED_LOGIN_ATTEMPTS

Description Nombre d'checs de connexion avant verrouillage du compte Dure, en jours, de verrouillage du compte aprs le nombre d'checs de connexion dfini

PASSWORD_LOCK_TIME

7-7

Dure de vie et expiration des mots de passe

Paramtre Paramtre

PASSWORD_LIFE_TIME

Dure de vie, en jours, du mot de passe avant expiration

Priode de grce, en jours, pendant laquelle l'utilisateur peut changer de mot de passe aprs la premire connexion tablie une fois le mot de passe expir

PASSWORD_GRACE_TIME

7-8

Historique des mots de passe

Paramtre PASSWORD_REUSE_TIME

Description Priode, en jours, pendant laquelle un mot de passe ne peut pas tre rutilis

PASSWORD_REUSE_MAX

Nombre maximum de rutilisations d'un mot de passe

7-9

Vrifier les mots de passe

Paramtre PASSWORD_VERIFY_FUNCTION

Description Fonction PL/SQL qui vrifie la complexit d'un mot de passe avant que celui-ci ne soit affect

7-10

Fonction de mot de passe fournie par l'utilisateur

Cette fonction doit tre cre dans le schma SYS et respecter la spcification suivante :
function_name( userid_parameter IN VARCHAR2(30), password_parameter IN VARCHAR2(30), old_password_parameter IN VARCHAR2(30)) RETURN BOOLEAN

7-11

Fonction de vrification de mot de passe VERIFY_FUNCTION

Longueur minimale de quatre caractres Le mot de passe doit tre diffrent du nom utilisateur. Il doit comporter au moins une lettre, un caractre numrique et un caractre spcial. Il doit comporter au moins trois lettres diffrentes par rapport l'ancien mot de passe.

7-12

Crer un profil : paramtres de mot de passe

CREATE PROFILE grace_5 LIMIT FAILED_LOGIN_ATTEMPTS 3 PASSWORD_LOCK_TIME UNLIMITED PASSWORD_LIFE_TIME 30 PASSWORD_REUSE_TIME 30 PASSWORD_VERIFY_FUNCTION verify_function PASSWORD_GRACE_TIME 5;

7-13

Modifier un profil : paramtres de mot de passe

La commande ALTER PROFILE permet de modifier les limites relatives aux mots de passe
ALTER PROFILE default LIMIT

FAILED_LOGIN_ATTEMPTS 3 PASSWORD_LIFE_TIME 60 PASSWORD_GRACE_TIME 10;

7-15

Supprimer un profil : paramtres de mot de passe

La commande DROP PROFILE permet de supprimer un profil. Vous ne pouvez pas supprimer le profil DEFAULT. L'option CASCADE retire le profil l'utilisateur auquel il a t affect.
DROP PROFILE developer_prof;
DROP PROFILE developer_prof CASCADE;

7-16

Gestion des ressources

Les limites relatives la gestion des ressources peuvent s'appliquer au niveau session, au niveau appel ou aux deux. Les limites peuvent tre dfinies par des profils via la commande CREATE PROFILE.

Vous pouvez activer les limites relatives aux ressources l'aide :

du paramtre d'initialisation RESOURCE_LIMIT, de la commande ALTER SYSTEM.

7-17

Activer les limites relatives aux ressources

Affectez la valeur TRUE au paramtre d'initialisation RESOURCE_LIMIT. Activez le paramtre l'aide de la commande ALTER SYSTEM pour appliquer les limites relatives aux ressources.
ALTER SYSTEM SET RESOURCE_LIMIT=TRUE;

7-18

Dfinir des limites relatives aux ressources au niveau session

Ressource CPU_PER_SESSION Description Temps CPU total calcul en centimes de secondes

SESSIONS_PER_USER

Nombre de sessions simultanes autorises pour chaque nom utilisateur

Temps de connexion calcul en minutes Priodes d'inactivit calcules en minutes Nombre de blocs de donnes (lectures physiques et logiques) Espace priv de la mmoire SGA mesur en octets (dans le cas d'un serveur partag uniquement)

CONNECT_TIME IDLE_TIME LOGICAL_READS_PER _SESSION PRIVATE_SGA

7-19

Dfinir des limites relatives aux ressources au niveau appel

Ressource CPU_PER_CALL Description Temps CPU par appel en centimes de secondes Nombre de blocs de donnes pouvant tre lus par appel

LOGICAL_READS_PER _CALL

7-20

Crer un profil : limites relatives aux ressources

CREATE PROFILE developer_prof LIMIT SESSIONS_PER_USER 2 CPU_PER_SESSION 10000 IDLE_TIME 60 CONNECT_TIME 480;

7-21

Obtenir des informations sur les limites relatives aux mots de passe et aux ressources
Vous pouvez interroger les vues suivantes pour obtenir des informations sur les limites relatives aux mots de passe et aux ressources : DBA_USERS DBA_PROFILES

7-23

Synthse

Ce chapitre vous a permis d'apprendre : administrer des mots de passe administrer des profils

7-25

Prsentation de l'exercice 7

Dans cet exercice, vous allez : activer la gestion des mots de passe dfinir des profils et les affecter aux utilisateurs dsactiver la gestion des mots de passe

7-26

7-28