En dehors de l’annonce de Flex ASM, ASM évolue peu dans Oracle 12c. La plus intéressante des améliorations pour les administrateurs de bases de données en cluster est l’introduction de la gestion des “Password Files” dans ASM. C’est l’objet de ce posting.
Rappel
Tout d’abord, un retour sur l’utilité du Password File et des éléments de configuration: Orapwd est l’outil pour créer un fichier de mots de passe pour authentifier les utilisateurs Oracle à qui l’on veut octroyer des droits de haut niveau comme sysdba et des possibilités de connexion à distance.
La condition étant qu’une fois ce fichier orapwdcrée et posé dans le répertoire $ORACLE_HOME/dbs, le paramètre d’instance REMOTE_PASSWORD_FILE doit être mis sur EXCLUSIVE ou SHARED.
Il est alors possible de se connecter à distance. La modification du mot de passe dans le fichier est assuré par l’instance elle même lors de la commande alter user est executée pour le modifier. Cela à des conséquences dans le cas d’une installation en cluster.
Nous allons donc voir comment, avec la version Oracle 12c, il est possible de partager le Password File d’une instance en le créant dans ASM et comment les nouvelles commandes d’ASM relatives à la gestion de ce mot de passe vont être utilisables.
Démonstration
Connexion à distance:
Sur le host où se trouve la base, nous vérifions la présence du fichier orapwSOUK dans le répertoire ORACLE_HOME/dbs de l’instance:
1 2 3 4 5 6 7 8 9 | oracle@vmtestoel01:/u00/app/oracle/product/12.1.0/db_1_0/dbs/ [SOUK]ls -la orapw* -rw-r----- 1 oracle oinstall 2560 Jul 31 13:46 orapwSOUKsur la machine distante une connexion fonctionne. oracle@vmtestoradg1:/home/oracle/ [DBITEST] sqlplus /nologSQL*Plus: Release 11.2.0.3.0 Production on Fri Sep 21 10:29:47 2012 Copyright (c) 1982, 2010, Oracle. All rights reserved.> connect <a href="mailto:sys/xxxxxmanager@SOUK">sys/xxxxxmanager@SOUK</a> as sysdba Connected.SYS> exitoracle@vmtestoradg1:/home/oracle/ [DBITEST] |
La suppression du fichier orapwSOUK entraîne l’impossibilité de ce connecter.
1 2 3 4 | oracle@vmtestoradg1:/home/oracle/ [DBITEST] sqlplus /nologSQL*Plus: Release 11.2.0.3.0 Production on Fri Sep 21 10:34:10 2012 Copyright (c) 1982, 2010, Oracle. All rights reserved.> connect <a href="mailto:sys/xxxxxmanager@SOUK">sys/xxxxxmanager@SOUK</a> as sysdbaERROR: ORA-01031: insufficient privileges |
Création d’un fichier password dans ASM:
N’ayant plus de fichier password dans le répertoire $ORACLE_HOME/dbs, nous allons utiliser la commande orapwd pour en créer un nouveau dans ASM:
1 2 | /u00/app/oracle/product/12.1.0/db_1_0/dbs/ [SOUK] orapwd FILE='+DATA' ENTRIES=10 DBUNIQUENAME='SOUK' Enter password for SYS: |
Cette action à pour conséquence immédiate :
- La creation d’un fichier dans ASM
- L’enregistrement au niveau de la resource database de l’accés à ce fichier
- la réactivation de la possibilité de se connecter
Nous pouvons vérifier ces trois conséquences par les commandes suivantes.
- La première nous retourne où a été créé le fichier:
1 2 | ASMCMD> pwget --dbuniquename SOUK+DATA/SOUK/PASSWORD/pwdsouk.275.794572995 |
- La deuxième commande vérifie l’enregistrement au niveau de la resource:
1 2 | grid@vmtestoel01:/home/grid/pwdfile/ [+ASM] crsctl status res ora.souk.db -p | grep PWFILEPWFILE=+DATA/SOUK/PASSWORD/pwdsouk.275.794572995 |
- La troisieme commande démontre que la connexion à distance est de nouveau active:
1 2 3 4 | oracle@vmtestoradg1:/home/oracle/ [DBITEST] sqlplus /nolog SQL*Plus: Release 11.2.0.3.0 Production on Fri Sep 21 10:43:58 2012 Copyright (c) 1982, 2010, Oracle. All rights reserved.> connect <a href="mailto:sys/xxxxxmanager@SOUK">sys/xxxxxmanager@SOUK</a> as sysdbaConnected. |
Parmi les commandes relatives au Password File dans ASM, la commande pwcopy permet de transférer le Password File dans ASM ou vers l’OS:
1 2 | ASMCMD> pwcopy --dbuniquename SOUK +DATA/SOUK/PASSWORD/pwdsouk.275.794572995 /home/grid/pwdfile/soukpwd copying +DATA/SOUK/PASSWORD/pwdsouk.275.794572995 -> /home/grid/pwdfile/soukpwd |
Conclusion
Cette nouvelle fonctionnalité de gestion des Password Files dans ASM sera grandement appréciée des administrateurs de bases de données en cluster, car elle évite quelques incidents lors de la mise à jour des mots de passe du user “sys”.
Au passage, on notera que le nombre d’attributs gérés a doublé: En plus de SYSDBA, SYSOPER et SYSASM, nous avons maintenant SYSBACKUP, SYSDG et SYSKM.
![Thumbnail [60x60]](https://www.dbi-services.com/blog/wp-content/uploads/2022/12/oracle-square.png)
![Thumbnail [90x90]](https://www.dbi-services.com/blog/wp-content/uploads/2022/08/DWE_web-min-scaled.jpg)
![Thumbnail [90x90]](https://www.dbi-services.com/blog/wp-content/uploads/2024/03/AHI_web.jpg)
