home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #30 / NN_1992_30.iso / spool / comp / database / oracle / 2565 < prev    next >
Encoding:
Internet Message Format  |  1992-12-18  |  2.1 KB
  1. Path: sparky!uunet!gossip.pyramid.com!pyramid!oracle!unrepliable!bounce
  2. From: dave@us.oracle.com (Dave Dargo)
  3. Newsgroups: comp.databases.oracle
  4. Subject: Re: Question about OPS$LOGIN and Oracle Passwords
  5. Message-ID: <dave.724627865@base>
  6. Date: 17 Dec 92 21:31:05 GMT
  7. References: <1992Dec14.200952.22697@netcom.com> <24727@suned1.Nswses.Navy.MIL>
  8. Sender: usenet@oracle.us.oracle.com (Oracle News Poster)
  9. Organization: Oracle Corp., Redwood Shores CA
  10. Lines: 53
  11. Nntp-Posting-Host: base.us.oracle.com
  12. X-Disclaimer: This message was written by an unauthenticated user
  13.               at Oracle Corporation.  The opinions expressed are those
  14.               of the user and not necessarily those of Oracle.
  15.  
  16. lev@ipxed5.nswses.navy.mil (Lloyd E Vancil) writes:
  17.  
  18. >In article <1992Dec14.200952.22697@netcom.com> sjs@netcom.com (Stephen Schow) writes:
  19. >>We routinely use the OPS$LOGIN feature of Oracle for all of our users.  This
  20. >>way they don't have to worry about anything once they are logged onto the
  21. >>UNIX machine.  They just type program / to run it with their UNIX login info.
  22. >>
  23. >>Question:  
  24. >>
  25.  
  26. >>Could a user go into sql*plus with any convienient name and type
  27. >>
  28. >>    connect ops$user/bogus
  29. >>
  30. >>to get into that user's oracle accoun
  31.  
  32.  
  33. >Emphatically YES
  34.  
  35.  
  36. >This is a known security hole in the OPS$ user under oracle 6.. 
  37. >I am not aware of the fix if any in trusted oracle or in
  38. >oracle7.  
  39.  
  40. The syntax in ORACLE7 would be:
  41.  
  42.     create user <user_name> identified externally;
  43.  
  44. The <user_name> would be something of the order OPS$DAVE, i.e.
  45.  
  46.     create user ops$dave identified externally;
  47.  
  48. This would create a database user called ops$dave identified by
  49. the operating system userid of dave.
  50.  
  51. However, you could specify
  52. os_authent_prefix=""
  53. in the init.ora file so that OPS$ would not be necessary, the same
  54. definition would then be
  55.  
  56.     create user dave identified externally;
  57.  
  58. This would create a database user called dave identified by the
  59. operating system userid of dave.
  60.  
  61. To prevent these accounts from being used over a network, set the
  62. following init.ora parameter
  63.  
  64. remote_os_authent=false  (I'm not sure that I remember the name
  65.                 exactly)
  66.  
  67. Hope this helps,
  68. Dave Dargo  (ddargo@oracle.com)
  69.