Administración de Profiles de Oracle

Verificar que profile tienen asignados los usuarios

select username, profile, password_versions from dba_users;

USERNAME PROFILE PASSWORD_VERSIONS SAPSCP SAPUPROF 10G SYSTEM DEFAULT 10G 11G SYS DEFAULT 10G OPS$ORAPRD DEFAULT EXITO_EAI_SAP DEFAULT 10G SAPSCPSHD DEFAULT 10G PERFSTAT DEFAULT 10G DBSNMP DEFAULT 10G 11G OPS$PRDADM DEFAULT OUTLN DEFAULT 10G OAI DEFAULT 10G APPQOSSYS DEFAULT 10G 11G ORACLE_OCM DEFAULT 10G DIP DEFAULT 10G

La columna PASSWORD_VERSIONS define el formato con el que se encuentra configurada la contraseña de cada usuario, 10G para formato 10G solamente y 10G 11G para definir que ya fue modificada con el nuevo formato y que la aplicación debe funcionar con dicho formato si va a enviar la contraseña encriptada (esto lo define más fácil los diseñadores de la aplicación o administradores de aplicativos)

La contraseña encriptada 10g se puede encontrar de la siguiente forma:

Set long 9999999

select dbms_metadata.get_ddl('USER', 'EXITO_EAI_SAP') from dual;

CREATE USER "EXITO_EAI_SAP" IDENTIFIED BY VALUES 'CE36717P27BZ9ADE'

TEMPORARY TABLESPACE "PSAPTEMP"

En este ejemplo el valor de la contraseña fue modificado, no corresponde al real.

Cuando la columna PASSWORD_VERSIONS tiene el valor 10G 11G la salida del anterior sentencia es la siguiente:

CREATE USER "DBSNMP" IDENTIFIED BY VALUES 'S:DB6691EFF169350A771CA9EB8F3DABD3 767720102CFB3P410A004B4F3FD4;11A7F13P29U84742' TEMPORARY TABLESPACE "PSAPTEMP"

El valor más corto corresponde a la contraseña encriptada formato 10g, para este ejemplo fueron modificadas, no corresponden a la contraseña real.

Para establecer la contraseña encriptada en formato 10g se ejecuta la siguiente instrucción: alter user DBSNMP identified by values '11A7F13P29U84742'; alter user DBSNMP account unlock;

Verificar las propiedades de cada profile

select * from dba_profiles order by profile;

(No estoy mostrando las propiedades en este caso del profile SAPSCP)

PROFILE RESOURCE_NAME RESOURCE LIMIT DEFAULT COMPOSITE_LIMIT KERNEL UNLIMITED DEFAULT PASSWORD_LOCK_TIME PASSWORD UNLIMITED DEFAULT PASSWORD_VERIFY_FUNCTION PASSWORD NULL DEFAULT PASSWORD_REUSE_MAX PASSWORD UNLIMITED DEFAULT PASSWORD_REUSE_TIME PASSWORD UNLIMITED DEFAULT PASSWORD_LIFE_TIME PASSWORD 180 DEFAULT FAILED_LOGIN_ATTEMPTS PASSWORD 10 DEFAULT PRIVATE_SGA KERNEL UNLIMITED DEFAULT CONNECT_TIME KERNEL UNLIMITED DEFAULT IDLE_TIME KERNEL UNLIMITED DEFAULT LOGICAL_READS_PER_CALL KERNEL UNLIMITED DEFAULT LOGICAL_READS_PER_SESSION KERNEL UNLIMITED DEFAULT CPU_PER_CALL KERNEL UNLIMITED DEFAULT CPU_PER_SESSION KERNEL UNLIMITED DEFAULT SESSIONS_PER_USER KERNEL UNLIMITED DEFAULT PASSWORD_GRACE_TIME PASSWORD UNLIMITED

En este ejemplo el recurso PASSWORD_LIFE_TIME se encuentra configurado a 180 (valor en días).

Para cambiar el recurso PASSWORD_LIFE_TIME que define por cuanto tiempo va a durar la contraseña se debe modificar de la siguiente forma:

alter profile default limit PASSWORD_LIFE_TIME UNLIMITED;

La sintaxis de la instrucción es así:

ALTER PROFILE profile_name LIMIT resource_parameter value;

Configurando este recurso al valor UNLIMITED, la contraseña de usuario nunca va expirar y no hay que resetearla, a menos que la compañía tenga como política realizarlo cada X tiempo.

Nota: Cambios realizados al profile con la sentencia ALTER PROFILE afecta solo los usuarios en las siguientes sesiones, no en las sesiones actuales.

Es decir, si después de realizar el cambio, el usuario de una aplicación ya se encontraba conectado y continúa conectado durante 180 días seguidos, este no tomará el cambio y el comportamiento será como estaba el profile anteriormente y no como se cambio.

Para que el usuario tome los cambios debe desconectarse y volverse a conectar.

Recomendación

Tener conocimiento de como está configurada la contraseña de los usuarios de los aplicativos, tener el valor desencriptado de la contraseña y el formato que la aplicación utiliza, con las instrucciones en este documento la pueden obtener. E investigar con los desarrolladores de las aplicaciones que formato está utilizando y ya no les pueden meter mentiras porque ustedes ya lo conocen con las consultas que tienen en este documento.

Cordialmente,

William Muñoz Rodas

Consultor DBA

Seti S.A.