最近安装了一套RHEL 6.9x86的Oracle12.2.0.1单机测试库,装完之后,使用plsql连接时,发现报ora-28040 No matching authentication protocol
赶紧查了查MOS,原来在默认情况下Oracle12.2对客户端版本有限制,主要是由sqlnet.ora中的以下两个参数控制:
SQLNET.ALLOWED_LOGON_VERSION_SERVER=n
SQLNET.ALLOWED_LOGON_VERSION_CLIENT=n
补充:
SQLNET.ALLOWED_LOGON_VERSION_SERVER:控制可以连接到12c数据库的客户端版本(client--->orace 12c db )
SQLNET.ALLOWED_LOGON_VERSION_CLIENT:控制12c数据库可以连到哪些版本的数据库(orace 12cdb --->其它版本的oracle db),例如:控制通过DB LINK可连接到哪些版本的oracle库。
所以,该案例中主要起作用的是需要配置SQLNET.ALLOWED_LOGON_VERSION_SERVER。
特别需要注意:
(1)如果是RAC,因为RAC是使用grid的监听器,因此很多人以为是在“/u02/app/12.1.0/grid/network/admin/sqlnet.ora”加“SQLNET.ALLOWED_LOGON_VERSION_SERVER=8”,其实这是错的,而是仍然在$ORACLE_HOME/network/admin/sqlnet.ora加“SQLNET.ALLOWED_LOGON_VERSION_SERVER=8”
(2)上面所说的版本,是指dba_users.password_versions的版本。
这两个参数默认是11,表明默认只允许11g的客户端进行连接,考虑到很多PC端 plsqldeveloper用的客户端都是10g,把这两个参数改为10:
SQLNET.ALLOWED_LOGON_VERSION_SERVER=10
SQLNET.ALLOWED_LOGON_VERSION_CLIENT=10
SQLNET.ALLOWED_LOGON_VERSION_CLIENT参数主要是当数据库作为dblink的客户端时使用,设置后无需重启监听和数据库就可以生效。对于RAC,Oracle读取的这两个参数是在RDBMS的ORACLE_HOME里,而不是GRID的ORACLE_HOME里。
解决完这个问题,发现不报这个错误了,又报:ORA-01017:invalidusername/password。于是我做了一些测试,发现在10.2.0.4版本的客户端连接会报ORA-01017,而10.2.0.5的版本可以正常连接,11.2.0.3、11.2.0.4和12.2.0.1的客户端也都没有问题,其它版本没有找到相关客户端,也就没有测试。
这里已经设置了10g客户端可以连接12.2的数据库,但为什么10.2.0.4的客户端还会报ORA-01017口令错误,而10.2.0.5客户端就可以连接。
经过检查,在Oracle12c的数据库中(其实从11g开始就有了),dba_users视图上有个字段是password_versions,该值情况如下:
SQL> set linesize 200
SQL> col username for a15
SQL> col account_status for a18
SQL> col default_tablespace for a25
SQL> col password_versions for a20
SQL> select username, account_status, default_tablespace, created, password_versionsfrom dba_users where username = 'SCOTT';
USERNAME ACCOUNT_STATUS DEFAULT_TABLESPACECREATED PASSWORD_VERSIONS
-------- -------------- ------------------------------------- --------------------
SCOTT OPEN TBS_CRM_TS_S1 08-MAY-18 11G 12C
password_versions表明当前CRM用户口令的认证方式是11g和12c,所以10.2.0.4客户端连接出现了问题。那如何支持10g的认证方式呢,其实很简单,只要确认sqlnet.ora中的SQLNET.ALLOWED_LOGON_VERSION_SERVER和SQLNET.ALLOWED_LOGON_VERSION_CLIENT已经设置为10,然后使用alertuser xxx identified by xxxxxx后,PASSWORD_VERSIONS就支持10g的认证方式了,如下:
SQL> select username, account_status, default_tablespace, created, password_versions from dba_users where username = 'SCOTT';
USERNAME ACCOUNT_STATUS DEFAULT_TABLESPACE CREATED PASSWORD_VERSIONS
--------------- ------------------ ------------------------- ------------ --------------------
SCOTT OPEN USERS 08-MAY-18 10G 11G 12C
所以整个问题的过程如下:在Oracle 12c上安装建库并迁移数据后,由于前期未设置SQLNET.ALLOWED_LOGON_VERSION_SERVER和SQLNET.ALLOWED_LOGON_VERSION_CLIENT为10,导致创建的用户不支持10g的口令认证方式。而修改这两个sqlnet参数后,数据库里用户的口令认证方式未发生变化,所以10.2.0.4客户端连接不上服务器,报ORA-01017。使用alertuser xxx identifiedbyxxxxxx修改口令后,由于sqlnet中的这两个参数已经修改为支持10g客户端的连接,所以dba_user中的password_versions也相应地修改为支持10g的认证方式,所以10.2.0.4版本的客户就可以连接数据库了。
所以当一些客户端是10.2.0.4的应用需要注意了,如果数据库服务器使用数据迁移的方式升级到Oracle12c,需要注意在Oracle 12c中用户口令是否支持10g的认证方式,否则迁移后就报默名其妙的口令错误,10.2.0.5版本的客户端测试没有问题。
转载:http://blog.itpub.net/26736162/viewspace-2131338/