Oracle enterprise manager database express как войти

Обновлено: 07.07.2024

При просмотре веб-интерфейса Oracle 12c EM Express время выхода страницы при использовании URL-адреса, например:

При использовании URL-адреса, содержащего IP-адрес или localhost, страница загружается, но очень медленно (до 5 минут).

При использовании имени хоста журнал прослушивателя показывает ошибки (несколько из них):

При использовании IP-адреса или локального хоста журнал прослушивателя не обнаруживает ошибок:

Эта проблема возникает во всем Интернете (см. ссылки в нижнем колонтитуле), и никто, похоже, не может найти причину этого. Я попробовал - все, что я мог найти, и привел результаты ниже. Я позволю этому большому сообществу трещины на нем, а затем он отправится в службу поддержки Oracle .

Информация о платформе

  • Windows Server 2012 R2 x64
  • Oracle 12.1.0.2.0
  • База данных контейнеров с несколькими баннерами (CDB) с двумя подключаемыми базами данных (PDB)
  • Автоматическое управление хранилищем (ASM) используется не
  • Выполнение тестов локально на сервере с полностью отключенным брандмауэром.

Выполненные тесты

emctl
Многие люди предлагали бы проверить «emctl» по привычке. Это не существует для 12c, поскольку он использует EM Express, а не контроль базы данных.

Браузер
Я тестировал это в установках с использованием ванили IE 11, хром и firefox. Дополнения не включены.

Доступ к базе данных
Доступ к CDB и PDB возможен и запросы через SQLPlus

Telnet
Открываются соединения telnet с портами (например, 5500).

Мои гипотезы

Подробная информация о платформе

Примечание. В этих фрагментах я всегда заменял фактическое имя хоста «HOSTNAME» и фактический домен «domain». Если используется «HOSTNAME», это означает, что он не был привязан к доменному имени. Случай представляет собой реальный случай, когда отображается имя хоста.

SYS_CONTEXT ( 'USERENV', 'server_host')
имя хоста

переменная hostname в CMD
HOSTNAME

SYS_CONTEXT ( 'USERENV', 'DB_DOMAIN')
домен

"lsnrctl status" output

вывод "lsnrctl services"

listener.ora

init.ora (Trimmed, также содержит другие настройки . )

netstat -a
(соответствующий выбор)

файл хостов Windows
(этот файл пуст)

Переменные окружения

  • PATH содержит C: \ ORACLE \ HOME \ bin
  • ORACLE_HOME = C: \ ORACLE \ HOME
  • ORACLE_SID = ecoomdb

Реестр HKEY_LOCAL_MACHINE \ SOFTWARE \ ORACLE \ KEY_OraDB12Home1

  • ORACLE_HOME = C: \ ORACLE \ HOME
  • ORACLE_SID = ecoomdb

Связанные и дублированные (без ответа) вопросы /документы

Интернет-ресурсы

Вопросы в Stackexchange

  • Невозможно открыть /подключиться к Oracle 12c Enterprise Manager Express
  • "Невозможно отобразить страницу" с Oracle 12c Enterprise Manager Database Express
  • Запустите Oracle 12c Enterprise Manager в Windows 7
  • Как запустить ORACLE 12C EM?
  • Oracle 12c Express Enterprise Manager на Centos 6.5 недоступен

Reddit threads

Сообщество Oracle

Что вы получаете, когда запускаете эти команды на хосте db

из командной строки ping host ping ipaddress (host ipaddress) tnsping tnsalias

и запустите службы lsnrctl и выясните, отклонено ли какое-либо соединение (ы)

если клиент оракула установлен на клиентской машине (откуда вы получаете доступ к oracle em express)

запустить из командной строки 1) ping ipaddress (db host ipaddress) ->>> если вы получите ошибку, добавьте ipaddress и имя домена в файл hosts 2) tnsping tnsalias

Диспетчер D000 показывает, что 21 соединение отказано. У вас проблема с сетью.

Попробуйте перезапустить прослушиватель и подключиться к em express и увидеть вывод служб lsnrctl, в идеале отказавшиеся соединения должны быть равны нулю.

При отключении дополнительных сетевых адаптеров все работает нормально.

По-видимому, эта проблема - не происходит, при просмотре веб-страницы с другого хоста. Кроме того, nslookup возвращает только правильный IP-адрес. Поэтому, похоже, это не проблема DNS, а проблема локальная. Я думаю, что это не полный ответ на проблему, так как отключение сетевых адаптеров не может быть окончательным решением, но я надеюсь, что кто-то, кто столкнулся с этой проблемой в будущем, теперь «будет больше» .

Где возникает несоответствие между IP-адресом, возвращаемым DNS-сервером, и IP-адресами, используемыми веб-браузерами?

Я также внес некоторые дополнительные изменения, которые могли повлиять на конечное решение, поэтому для полноты я их включу. Не уверен, если уместно .

  • Увеличенный параметр процесса базы данных от 300 до 1000
  • Изменен параметр «диспетчеры», добавив «(DISPATCHERS = 5)»

Попробуйте использовать IP-адрес:

Таким образом, вы обязательно столкнетесь с привязкой сетевой карты к ip.

У меня была такая же проблема после установки Oracle 12.2.0.1 в Windows 2016.

Сначала я обнаружил, что TCP /IPv6 включен, поэтому я отключил его.

Затем пробовал следующий номер примечания Oracle (Doc ID 1608258.1) - 12c EM Express показывает неверную ошибку сертификата в веб-браузере.

Также не работал.

Я исправил его по старой школе . )

1- Я изменил права собственности на папку «xdb_wallet» из того, что было в Oracle_DBA:

Я не знаю с точки зрения безопасности, что это означает (шаги 1-3) или какие угрозы могут произойти из-за этих изменений.

Материал посвящен системе управления базами данных от компании Oracle, а именно бесплатной версии Oracle Database Express Edition 11g Release 2, сегодня мы узнаем, что это за СУБД, какие ограничения у Express версии и как ее можно установить.

Последнее время мы с Вами стали очень часто затрагивать тему баз данных, но если говорить конкретней в основном мы касались СУБД от компании Microsoft, а именно Microsoft SQL Server Express, например, рассматривали Microsoft SQL Server Express 2008, а так как это далеко не последняя версия, мы также рассматривали возможность обновления 2008 версии до Microsoft SQL Server Express 2014. Теперь предлагаю познакомиться с одной из лучших СУБД (по мнению многих специалистов лучшей), а именно с Oracle Database. И естественно, что рассматривать данный продукт мы будем на бесплатной версии Oracle Database Express Edition 11g Release 2, на момент написания статьи это последняя версия Oracle Database Express Edition.

Предлагаю сначала сделать небольшой обзор Oracle Database, затем плавно перейти к Express версии, и в заключение, конечно же, подробно рассмотреть процесс установки Oracle Database Express Edition 11g Release 2 на операционную систему Windows 7.

Что такое Oracle Database?

Oracle

Oracle – это крупнейшая в мире компания по разработке программного обеспечения для предприятий. Специализация Oracle является разработка систем управления базами данных, таких как Oracle Database, а также других бизнес-приложений.

В названии каждой версий мы наблюдаем номер версии и букву, например 11g, где g – это «grid» или сеть, символизируя тем самым поддержку grid-вычислений.

В 2013 году вышла версия 12c, где c означает cloud (облако).

Данная СУБД поддерживает много платформ, например: Linux x86, Linux x86-64, как 32 разрядные Windows так и 64, Solaris x86, Solaris SPARC (64-бит), Mac OS X Server и еще много других.

Oracle Database поставляется в следующих редакциях:

  • Oracle Database Enterprise Edition;
  • Oracle Database Standard Edition;
  • Oracle Database Standard Edition One;
  • Oracle Database Personal Edition;
  • Oracle Cloud File System;
  • Oracle Database Mobile Server;
  • Oracle Database Express Edition.

Oracle Database Express Edition

Oracle Database Express Edition (Oracle Database XE) – это бесплатная версия базы данных Oracle Database для начинающих разработчиков и администраторов, которые если освоят данную СУБД, смогут легко перейти на полноценную версию.

Так как это версия бесплатная она естественно имеет ограничения:

  • Она будет использовать не более 1 гигабайта оперативной памяти;
  • Также будет использовать только один процессор;
  • Всего одна база данных размером не более 11 гигабайт;
  • Может быть установлена только на ОС Windows x32, Windows x64 и Linux x86-64.

На данный момент последней версией является Oracle Database Express Edition 11g Release 2, поэтому именно ее мы и будем устанавливать, но прежде давайте узнаем, где же взять данное программное обеспечение.

Где скачать Oracle Database Express Edition 11g Release 2?

Конечно, скачать данную СУБД можно с официального сайта компании Oracle, а конкретно на странице посвященной Oracle Database Express Edition

После этого начнется загрузка файла, в нашем случае это OracleXE112_Win32.zip (сжатый архив) размером 312 мегабайт.

Установка Oracle Database Express Edition 11g Release 2 на Windows 7

После скачивания файла его необходимо разархивировать, как это делается мы говорили в материале Как заархивировать и разархивировать файл.

Примечание! Вся установка и интерфейс программного обеспечения входящего в состав Oracle Database Express на английском языке.

Шаг 1

Для установки переходим в распакованный каталог, открываем папку DISK1 и запускаем setup.exe, в последствие будет выполнена подготовка к установке

Скриншот 2

Шаг 2

Затем откроется окно приветствия, жмем «Next».

Скриншот 3

Шаг 3

Далее нам необходимо прочитать и согласиться с лицензионным соглашением, выбираем «I accept the terms in the license agreement» и жмем «Next».

Скриншот 4

Шаг 4

Далее нужно будет указать путь установки, я оставляю все по умолчанию и жму «Next». Также на данном окне будет показано свободное место на выбранном диске и сколько места необходимо для установки, как видите, у меня места хватает.

Скриншот 5

Шаг 5

Далее придумываем и вводим пароль для системной учетной записи SYSTEM, это своего рода учетка главного администратора, жмем «Next».

Скриншот 6

Шаг 6

В заключение проверяем введенные параметры и нажимаем «Next».

Скриншот 7

Вот и началась установка Oracle Database Express Edition 11g Release 2

Скриншот 8

Установка будет завершена после появления следующего окна, в котором нажимаем «Finish».

Скриншот 9

Скриншот 10

Например, для подключения к серверу откройте «Run SQL Command Line», введите команду connect, на вопрос «Enter user-name:» введите system (название учетной записи), а на вопрос «Enter password:» вводим пароль, который мы придумали и ввели в ходе установки, и если Вы увидели Connected, то это значит, Вы подключились и можете писать свои sql запросы, например:

Скриншот 11

Но для этих целей лучше использовать Oracle SQL Developer, но об этом чуть ниже.

Скриншот 12

Скриншот 13

Заметка! Если Вы начинающий программист и у Вас нет базовых знаний языка SQL, то я Вам рекомендую почитать книгу «SQL код» это самоучитель по данному языку. Книга написана мной, в ней я очень подробно рассказываю о языке SQL.

Если Вы запустили и увидели данное окно, то значит, установка прошла успешно.

На этом предлагаю заканчивать, так как данную СУБД мы установили, в следующем материале мы подробно разберем инструмент разработчика приложений на базе Oracle Database это, конечно же, SQL Developer, так как материал обширный, и он заслуживает отдельной статьи.

image_thumb2

2. На экранее Apps выберите иконку Database Configuration Assistant.

SNAGHTML5ed3c43

image

image

image

image

image

image

image

Задайте опции восстановления базы (в данном примере опции восстановления не используются). Установите галочку Specify Fast Recovery Area. В эту папку по умолчанию делается резервное копирование с помощью RMAN, и сохраняются архивные копии журнальных файлов. По умолчанию папка располагается в \fast_recovery_area. В поле Fast Recovery Area вы можете изменить этот путь и явно задать папку для резервного копирования. В параметре Fast Recovery Area Size задаётся лимит на размер этой папки (лучше сделать его равным объёму всего жёсткого диска). Параметр Enable Archiving включает режим архивирования журнальных файлов. Если нажать кнопку Edit Archive Mode Paramets то можно изменить шаблон для имён архивов журнальных файлов, а также дополнительные пути для мультиплицирования архивных копий. Оставьте всё по умолчанию.

ВНИМАНИЕ: Для промышленной базы нужно обязательно включать режим архивирования журнальных файлов. Однако, при достижении лимита папки Fast Recovery Area (т.е. при её полном заполнении) база данных остановиться, и будет ждать свободного места. Поэтому, если вы не можете следить за заполнением этой папки – НЕ включайте режим архивирования журнальных файлов, т.е. не ставьте галочку в поле Enable Archiving.

Нажмите Следующий.

image

image

image

Обязательные параметры (обязательно изменить!).

Рекомендованные параметры (можно не трогать).

; Для большого количества активных пользователей (более 70-80).

; Считайте РЕАЛЬНЫХ ПОЛЬЗОВАТЕЛЕЙ,

; а не количество компьютеров в сети.

; Если пользователей меньше 70-80 – не трогайте эти параметры.

; Если пользователей больше 100-200 возможно более эффективно

; использовать режим разделяемого сервера (Shared Server Mode).

sessions = 1,1*processes +5

image

image

image

image

image

image

image

18. Окно Database Configuration Assistant. Создание базы данных завершено. Запишите WEB-адрес для Database Control. Нажмите Закрыть.

image

19. БД создана и уже запущена. Для соединения с БД из других ORACLE_HOME, необходимо настроить сетевую среду Oracle для них.

20. После создания БД можно изменить некоторые настройки для БД. Для нужно выполнить несколько sql-команд в sqlplus (или TOAD) под SYS и перезапустить БД.

Запустите sqlplus /nolog.

C:\> sqlplus /nolog

соединитесь с БД под пользователем sys as sysdba

SQL> conn sys/sys as sysdba

отключить использование корзины в БД

SQL> alter system set recyclebin=off scope=spfile;

отключить регистрозависимость пароля

SQL> alter system set sec_case_sensitive_logon=FALSE scope=both;

(по желанию) чтобы не менять пароль пользователям каждые 60 дней

вместо unlimited можно поставить число = количеству дней

SQL> alter profile DEFAULT limit password_life_time unlimited;

SQL> shutdown immediate

SQL> startup

21. Старые версии клиентов 8, 9, 10, 11 не могут соединиться с Oracle 12c с ошибками:

Для решения проблемы нужно добавить в sqlnet.ora на сервере

22. Некоторые клиенты oracle 10 и 11 падают с ORA-01031: insufficient privileges при попытке выполнить

Starting 12c, the SELECT ANY DICTIONARY privilege no longer permits access to security sensitive data dictionary tables DEFAULT_PWD$, ENC$, LINK$, USER$, USER_HISTORY$, and XS$VERIFIERS. This change increases the default security of the database by not allowing access to a subset of data dictionary tables through the SELECT ANY DICTIONARY privilege.

Oracle рекомендует следующий порядок действий для запуска БД: запуск Database Control, запуск listener-а, запуск БД. Запуск БД также является составным процессом. При запуске более сложного окружения, такого как cluster system или любого другого управляемого Enterprise Manager Grid Control могут быть дополнительные этапы, однако для Single Instance архитектуры этой последовательности вполне достаточно.

Запуск и подключение к Database Control

Для запуска Database Control необходимо запустить программу emctl, расположенную в папке $ORACLE_HOME/bin. Ниже перечислены команды для запуска, остановки и проверки состояния Database Control

emctl start dbconsole

emctl stop dbconsole

ecmtl status dbconsole

Для успешного выполнения этих команд должны быть установлены следующие системные переменные: PATH, ORACLE_HOME и ORACLE_SID. PATH используется операционной системой для поиска пути к программе emctl. ORACLE_HOME и ORACLE_SID используются для поиска командой emctl файлов конфигурации. Эти файлы расположены в трёх местах: папка ORACLE_HOME/sysman/config содержит общие настройки для всех экземпляров Database Control работающих с текущей домашней директорией Oracle. ORACLE_HOME/hostname_sid/sysman/config и ORACLE_HOME/oc4j/j2ee/ OC4J_DBConsole_ hostname_sid/config содержат дополнительные расширенные настройки для каждой БД(hostname – имя компьютера, sid – значение переменной ORACLE_SID).

На рисунке 3-3 показан результат выполнения команды запуска Database Control

16

Первая попытка запуска была неудачной так как не была установлена переменная ORACLE_SID. Без корректного значения этой переменной emctl не может найти необходимые файлы конфигурации (значение используется в названии папок). Команда проверки состояния ни что иное как запрос по адресу URL; доступность этого URL так же можно проверить в браузере

где hostname – это сетевое имя компьютера на котором запущен Database Control и port – это порт ответственный за входящие подключения. Если у вашего сервера несколько сетевых имён или несколько сетевых интерфейсов – можно использовть любой. Для определения порта можно использовать команду emctl либо посмотреть конфигурационный файл ORACLE_HOME/install/portlist.ini где указаны все порты настроенные OUI и DBCA. При незапущенном listener-е при подключении к Database Control вы увидите окно изображенное на рисунке 3-4.

Запуск listener-а БД

Listener – это процесс который следит за запросами к порту для подключения к базе данных. Запросы к БД (и весь остальной трафик после создания сессии) использует Oracle Net, закрытый протокол Oracle. Oracle Net – это прокотор который работает над любым низлежащим сетевым протоколом, обычно над TCP/IP. Управление listener-ом более детально расммотрим в главе 4, сейчас же рассмотрим как запустить listener. Это можно сделать двумя (в windows тремя) способами: используя программу lsnrctl, с помощью Database Control, запустить windows сервис.

Программа lsnrctl расположена в каталоге ORACLE_HOME/bin. Параметрами могут быть

lsnrctl start [listener name]

lsnrctl status [listener name]

17

Обратите внимание на первую строчку – там указаны сетевое имя и порт listener-а, а также на пятую снизу строку, которая обозначает что listener будет принимать подключения для сервиса ocp11g который создан для экземпляра ocp11g. Это критически важная информация для подключения к БД. Если БД была успешна создана с помощью DBCA значит listener настроен и запущен. Если нет вы увидите другой ответ команды lsnrctl status, тогда используйте команду lsnrctl для запуска или нажмите кнопку START LISTENER в окне Database Control показанном на рисунке 3-4.

Запуск SQL *Plus

В результате выполнения команды вы подключитесь к командной строке SQL, откуда можно подключиться используя различные параметры.

Запуск и остановка БД

Если быть точным – нельзя запустить и остановить БД: только экземпляр может быть запущен и остановлен, а база данны может быть подключена, открыта, отключена и закрыта. Данные операции можно совершить с помощью SQL *Plus выполнив команды STARTUP и SHUTDOWN или используя Database Control. В Windows это можно сделать также с помощью управления сервисом созданным для экземпляра БД. Системный журнал содержит подробную информацию об этих операциях когда бы они не были вызваны. Запуск и остановка – очень важные операции, информация об их выполнении всегда записывается и они могут быть инициированы только пользователями с особым уровнем доступа.

Подключение с повышенными правами доступа

Обычный пользователь не может запустить или остановить БД – потому что он авторизуется используя словарь данных. Это логически невозможно поскольку в момент запуска словарь данных ещё не доступен. Таким образом для запуска необходимо подключаться к серверу используя механизм внешней авторизации: системная авторизация пользователя как члена группы Oracle, или авторизация с использованием файла паролей. Тип авторизации указывается при выполнении команды CONNECT. Ниже представлены различные комбинации команды CONNECT после подключения к серверу используя программу SQL *Plus с параметром /NOLOG

connect user/pwd[@connect_alias] as sysdba

connect user/pwd[@connect_alias] as sysoper

connect / as sysdba

connect / as sysoper

где user – имя пользователя, pwd – пароль, connect_alias – сетевой идентификатор (рассмотрим в главе 4). Первый пример использует авторизацию с помощью словаря данных, база данных должны быть открыта или команда вернёт ошибку. Любой пользователь после подключения к БД используя данный синтаксис не сможет выполнить команды запуска и остановки базы данных. Два следующих примеры указывают Oracle использовать авторизацию с помощью файла паролей. Последние команды используют авторизацию операционной системы: Oracle проверяет является ли текущий пользователь членом группы Oracle, и если проверка успешна – пользователь подключается к БД как SYSOPER или SYSDBA. Пользователь подключившийся к базе данных любым способом из последних четырёх может выполнить команды запуска и остановки БД вне зависимости от состояния базы данных – она может быть даже не создана на этом этапе.

Если Database Control обнаруживает запущенный listener – то он использует авторизацию через словарь данных или файл паролей (в зависимости от выбора пользователя – рисунок 3-6). Если же listener не запущен (рисунок 3-4) при нажатии на кнопку STARTUP Database Control запрашивает системные имя пользователя и пароль для подключения к серверу.

19

SYSOPER и SYSDBA

SYSOPER и SYSDBA – это уровни доступа с повышенными полномочиями. Они доступны только при системной авторизации или авторизации с помощью файла паролей. Уровень доступа SYSOPER может выполнять команды

ALTER DATABASE [MOUNT|OPEN|CLOSE|DISMOUNT]

ALTER [DATABASE|TABLESPACE][BEGIN|END] BACKUP

Уровень доступа SYSDBA также может выполнять эти команды, плюс возможность создавать БД, запускать неполное восстановление и давать полномочия SYSOPER и SYSDBA другим пользователям.

Вам может быть интерестно под каким пользователем вы подключаетесь к БД когда используется системная авторизация. Чтобы это выяснить, после подключения к базе данных выполните команду show user (эту команду можно вызвать набрав sho user – не стоит недооценивать сокращения, они могут ускорить время набора команд) – результат показан на рисунке 3-7.

Уровень доступа SYSDBA использует пользоватля SYS – суперпользователя в системе и владельца словаря данных. Уровень доступа SYSOPER подключается как пользователь PUBLIC. PUBLIC – не пользователь в нормальном смысле, это пользователь который используется для задач администрирования, но (по умолчанию) не может просматривать или изменять данные. Подключаться с данными уровнями доступа стоит только для выполнения задач, которые не могут быть выполнены обычными пользователями.

20

Запуск: NOMOUNT, MOUNT и OPEN

Необходимо помнить что экземпляр БД и база данных это два разных объекта которые могут существовать независимо друг от друга. Когда останавливается экземпляр БД то структуры в памяти и фоновые процессы перестают существовать, однако база данных (содержимое файлов) продолжает. В архитектуре RAC другие экземпляры могут продолжать работать с базой.

Процесс запуска базы данных разбит на шаги: вначале запускается экземпляр БД, затем база данных подключается (mount) и открывается (open) для использования. В любой момент времени база данных может быть в одном из следующих состояний

Когда база данных остановлена (SHUTDOWN) все файлы закрыты и экземпляр не существует. В отключенном состоянии (NOMOUNT) – экземпляр БД построен в памяти (SGA создана и фоновые процессы запущены согдасно файлу параметров), но база данных недоступна и может быть даже ещё не создана. В подключенном состоянии (MOUNT) экземпляр находит и читает файл контроля. В открытом состоянии (OPEN) все файлы найдены и открыты – т.е. база данных доступна для пользователей. Когды вы запускаете команду STARTUP – будут выполнены все шаги, однако команда может быть разбиты на этапы. Напирмер если файл контроля испорчен или копия недоступна – вы не сможете подключить базу данных. Однако вы можете запустить базу в неподключенном режиме (NOMOUNT) и восстановить файл контроля. Точно так же если у вас возникли проблемы с файлами данных или логовов, вы можете попробовать восстановить данные в MOUNT состоянии, перед тем как открывать БД.

Как же экземпляр находит файлы которые ему нужны на каждом из шагов? Начнём с NOMOUNT. Когда вы запускаете команду STARTUP, Oracle будет искать файл параметров в определённом порядке как отображено на рисунке 3-8.

Всего существует три пути и имени файла. На Unix подобных системах это

21

Во всех случаях – SID это имя экземпляра. Порядок поиска очень важен. Oracle будет использовать первый найденный файл вне зависимости от наличия остальных. Если ни одного файла не существует – экземпляр не будет запущен. В режиме NOMOUNT используются только файл параметров и системный журнал. Значения параметров из файла параметров используются для создания SGA в памяти и запуска фоновых процессов. В системный журнал записывается информация об этот процессе. Где находится системный журнал? Путь можно узнать посмотрев параметр BACKGROUND_DUMP_DEST в файле параметров или выполнив команду

sho parameter background_dump_dest

Если системный журнал существует во время выполнения команды STARTUP то новые данные будут добавляться, иначе будет созда новый файл. Если возникнут какие-либо проблемы во время выполнения команды – так же будут созданы файлы трассировки.

Когда экземпляр запущен в режиме NOMOUNT, переход в состояние MOUNT будет осуществляться путём чтения файла контроля. Oracle находит эти файлы используя параметр CONTROL_FILES, прочитанный во время запуска экземпляра. Если файл контроля (или хотя бы одна копия) не найдены или повреждены, база данных не будет подключена и вы обязаны восстановить их перед подключением. Все копии должны быть доступны и одинаковы для успешного подключения БД.

Как часть процесса подключения, все именя файлов данных и логов и пути к ним считываются из файла контроля, но Oracle просто запоминает эти значения, не пытаясь найти файлы. Поиск и чтение файлов происходит во время открытия базы данных (OPEN). Если какой-либо файл поврежден или отсутствует база данных останется в режиме MOUNT пока вы не исправите ошибки. Более того, все файлы должны быть синхронизированы перед тем как база данных будет открыта. Если последнее выключение было выполнено в определённом порядке, то все буферы из буфера кэша БД записаны на диск процессом DBWn и файлы синхронизированы, и Oracle будет знать при запуске что все подтверждённые транзакции сохранены в файлах данных и нет неподтвержденных транзакций ожидающих отмены. Если же последнее выключение было не запланированным (к примеру от потери питания или системной перезагрузке сервера без правильного выключения экземпляра) то Oracle должен синхроинизировать файлы данных и файлы логов (отменив неподтверждённые транзакции). Процесс который подключает и открывает БД (и синхронизирует данные) называется SMON. Только когда база данных успешно открыта будет возможно подключение пользователей. Процесс запуска графически представлен на рисунке 3-9.

Остановка процесс зеркальный запуску. Вначале закрывается БД (CLOSE), затем отключается (DISMOUNT) и далее останавливается экземпляр. Во время закрытия БД все сессии отключаются: текущие транзакции отменяются процессом PMON, подтверждённые транзакции записываются в файлы данных DBWn и файлы данных и логов закрываются. Во время отключения закрывается файл контроля. И экземпляр останавливается с освобождением памяти и остановкой фоновых процессов.

22

Выключение: NORMAL, TRANSACTIONAL, IMMEDIATE и ABORT

Существуют параметры которые используются с командой SHUTDOWN – вызов SHUTDOWN команды требует уровня доступа SYSDBA или SYSOPER

NORMAL: это значение по умолчанию. Новые подключения нельзя создать, но все текущие сессии могут работать до конца сессии. Когда все пользователю отключатся база данных будет выключена.

TRANSACTIONAL: новые подключения недоступны; существующие сессии которые не выполняют транзакции отключаются; сессии которые выполняют транзанкцию завершают транзакцию и отключаются. Когда все сессии будут отключены, база данных останавливается.

IMMEDIATE: новые подключения не разрешены. Все активные сессии отключаются. Все активные транзакции отменяются и база данных выключается.

ABORT: это эквивалент отключению питания. Экземпляр останавливается без записи чего либо на диск, закрытия файлов, отмены транзакций.

Параметр “abort” оставляет базу данных в рассинхронизированном состоянии: возможно что подтверждённые транзакции не записаны в файлы данных, так как на момент выключения они были сохранены в памяти и DBWn не записал изменения из буфера в файлы. Также может быть и такое, что неподтверждённые транзакции записаны в файлы данных. Это определение испорченной БД: она содержит некорректные данные. Эти повреждения должны быть восстановлены используя instance recovery. Таким образом можно протестировать что произойдёт если к примерну непредвиденно обесточить сервер в процессе работы БД.

Так как выключение это пошаговый процесс, то возможно управлять этапами используя SQL *Plus и команды

alter database close;

alter database dismount;

Эти команды полная противоположность командам запуска. На практике SHUTDOWN это единственная команда которой пользуются DBA. Пошаговый процесс также недоступен из Database Control.


Когда дело доходит до ИТ-инфраструктуры, ключевой областью беспокойства была и остается безопасность, в особой степени пользовательская безопасность. В мире Oracle это беспокойство присутствует на всех уровнях: от уровня приложений переднего плана (front-end) оно проявляется на среднем уровне (middle tier level), который используется для развертывания, и до уровня базы данных, до фоновых (back end) серверных процессов, до инструментов, которые мы используем, чтобы управлять всей инфраструктурой. С этой целью Oracle в Cloud Control ввел некоторую новую функциональность и усилил часть их существующей функциональности, чтобы помочь нам обеспечить безопасность при использовании имеющих первостепенное значение Oracle-ских ИТ-инфраструктурных инструментов для DBA (database administrator — администратор базы данных) .

На самом деле существуют только четыре основных направления пользовательской безопасности, относящихся к EM 12c, которые я собираюсь рассмотреть. Это:

  • Аутентификация (Cloud Control Authentication);
  • Авторизация (Cloud Control Authorization);
  • Управление учетными записями или мандатное управление (Credential Management) и
  • Установление подлинности таргетов (Authentication Target).

В этой статье я собираюсь рассмотреть только первые две из этих направлений, а именно: аутентификацию, как проверку подлинности в Cloud Control, и авторизацию В следующем раз мы рассмотрим мандатное управление (включая одну из моих любимых новых возможностей в EM, которую еще называют «Верительными грамотами» — Named Credentials) и установление подлинности таргетов.

Аутентификация в Cloud Control (установление подлинности)

Установление подлинности определяется просто. Это действие, удостоверяющее, что любой пользователь, пытающийся соединиться с EM, имеет действующий аккаунт и правильные учетные данные для входа. EM обладает многими различными способами осуществить аутентификацию (подлинность) пользователя при его подключении к Cloud Control.

Менеджер доступа по однократной регистрации (Oracle Access Manager (OAM) Single Sign On)

EM может быть сконфигурирован так, чтобы работать с существующим решением Oracle Fusion Middleware Single Sign On, используя его Enterprise Directory Identity Stores (каталоги идентичности уровня предприятия). За дополнительной информацией и документацией по установке OAM SSO, пожалуйста, обратитесь к руководству «Oracle Fusion Middleware Administrators Guide» для администраторов доступа (Oracle Access Administrator).

Однократная аутентификация (Single Sign On Authentication)

Аутентификация Enterprise User Security

Мы можем использовать опцию EUS — Enterprise User Security (безопасность пользователей уровня предприятия), в которой учетные записи пользователей создаются и сохраняются на LDAP-сервере в соответствующей директории [LDAP — Lightweight Directory Access Protocol]. После формирования EUS-репозитория мы можем сформировать EM так, чтобы он использовал EUS в качестве своей опции аутентификации. За дополнительной информацией по формированию EUS, пожалуйста, обратитесь по этой ссылке.

Аутентификация Oracle Internet Directory (OID)

OID является LDAP-совместимой директорией, которая создана согласно базе данных Oracle и которая полностью интегрирована как с Oracle Fusion, так и с Oracle Applications (приложениями Oracle).

Директория аутентификации Microsoft

В среде Windows компонент Microsoft Active Directory может быть сконфигурирован под хранилище удостоверений, а EM можно настроить, чтобы использовать его в качестве механизма аутентификации.

Аутентификация на основе репозитория EM

По умолчанию действием EM-аутентификации является создание учетных записей администраторов в EM (которые также являются учетными записями пользователей в базе данных). Такое решение позволяет воспользоваться преимуществами управления и сложными правилами паролей в базе данных, а также преимуществами использования файла паролей базы данных.

Когда создается любая учетная запись администратора, она имеет имя пользователя, пароль, пароль профиля. Привилегии по управлению таргетами, привилегии ресурсов и ролей предоставляются затем учетной записи пользователя.

Чтобы получить доступ к странице "Create Administrator”(Создать администратора) надо обратиться к меню "Setup" (Установка) , а затем к меню "Administrators" (Администраторы):


Create Administrator: Properties (Создание администратора: основные данные)

Можно указать, должен ли этот пользователь быть супер-администратором (Super Administrator) в EM; можно ли позволить этому пользователю изменять свой собственный пароль. Последующие шаги в этом визарде используются для назначения учетной записи пользователя соответствующих привилегий [для управления таргетами].

Авторизация в Cloud Control

Точно так же, как попытка управлять свыше 200+ системными привилегиями в базе данных с сотнями пользователей может стать кошмаром для администратора, так и попытка управлять привилегиями нескольких сотен (а, возможно, и тысяч) таргетов через даже при небольшой группе EM-пользователей может также стать причиной мигрени для EM-администратора. В то же самое время следует помнить, что предоставлять один и тот же наиболее общий уровень доступа всем EM-администраторам чрезвычайно опасный вариант (не говоря уже о том, что это противоречит почти всем правилам безопасности).

К счастью, комбинируя такие свои возможности, как Аутентификация Схем (Authentication Schemes), Классы Пользователей (User Classes), Привилегии и Роли (Privileges and Roles), EM может сделать эту достаточно трудную задачу намного более простой, а также выполнить ее намного быстрее.

Схемы аутентификации (Authentication Schemes)

Эти опции аутентификации устанавливаются для конкретного таргета или типа таргетов.

Например, таргеты host (хост) могут использовать имя пользователя/пароль, инфраструктуру PKI [Public Key Infrastructure — инфраструктура сертификации открытых ключей — прим.ред.] или даже нечто такое, как Kerberos. Базы данных могут использовать другую схему, также как и любой вид таргетов. И действительно, для каждого типа таргетов мог быть задано использование различных схем аутентификации в EM.

Классы пользователей в EM (EM User Classes)

Существует три уровня или три класса пользователей, которые могут быть созданы и управляться EM. Это – Супер-Администраторы (Super Administrators), Администраторы (Administrators) и владелец репозитория (repository owner).

Супер-Администраторы (Super Administrators)

Любой пользователь, созданный как супер-администратор, обладает полным доступ ко всем таргетам, также как и полным доступом ко всем аккаунтам администраторов. По умолчанию аккаунт супер-администратора — SYSMAN и создан, когда первоначально инсталлируется Cloud Control. Только супер-администратор может создать аккаунты других администраторов.

Администраторы (Administrators)

В среде EM 12c может быть создано несколько аккаунтов обычных (regular) администраторов. Действия и таргеты, к которым администратору предоставлен доступ, определяются и контролируются ролями, системными и таргет-привилегиями, предоставленными Супер-Администратором конкретной учетной записи.

Владелец репозитория (Repository Owner)

Это учетная запись администратора базы данных, который является владельцем репозитория EM. Это учетная запись не может быть удалена, модифицирована или сдублирована. Это тот же самый аккаунт SYSMAN, что и для Супер-Администратора по умолчанию.

[Примечания от редакции "FORS Magazine" к разделу «Классы пользователей в EM:
a. В EM 10g и EM 11g — аккаунт супер-администратора по умолчанию, по первичной инсталляции — SYS;
b. В EM 10g и EM 11g может быть несколько супер-администраторов, естественно, с разными аккаунтами. Поскольку права и возможности всех супер-администраторов одинаковы, то в Организации может возникнуть новая проблема предотвращения конкуренции и/или несогласованности действий людей, которые входят в класс супер-администраторов.
c. В EM 10g и EM 10g имя repository owner — SYSMAN. Он также создается при инсталляции EM и также существует в единственном числе. Попытка изменить его аккаунт в базе данных EM может закончится плачевно – частичной или полной потерей функциональности EM. В то же время база данных EM — это обычная база данных Oracle, которую можно копировать, резервировать и восстанавливать.]

Привилегии и роли (Privileges and Roles)

Привилегии – это основной инструмент управления доступом в EM для администраторов. Так же как и в базе данных, EM-роль – это поименованный набор привилегий. В EM 12c Cloud Control при инсталляции создаются 25 предопределенных ролей. Дополнительно могут быть созданы пользовательские роли для более конкретного управления любой из привилегий.

Так же как и в базе данных, EM-роль – это поименованный набор привилегий. Есть 25 ролей как бы "из коробки", которые предопределены в 12c Cloud Control. Дополнительно могут быть созданы специализированные роли , чтобы более эффективно управлять любыми привилегиями.

Привилегии делятся на две категории: таргет-привилегии и ресурс-привилегии.

Таргет-привилегии позволяют конкретному пользователю выполнять действия с определенным таргетом. В множестве привилегий есть такие, которые воздействуют на все таргеты. Например, привилегия full_any_target дает возможность проделать все операции с таргетом, включая удаление таргета в целом, а привилегия view_any_target — просто возможность получать информацию о таргете, не имея возможности произвести какие-либо изменения.

Также есть таргет-привилегии, которые могут быть применены каждый раз только к одному таргету, например, full_target или view_target. Супер-администратор, назначая их, должен указать конкретный таргет.

С другой стороны, ресурс-привилегии позволяют администратору проводить операции с ресурсом, а не с таргетом. Например, есть группа привилегий, которые предоставляют пользователям работать в EM с Jobs (Работы). В эту группу входят привилегии full job, edit job (без права удаления работы), view jobs и так далее. По существу эти привилегии имеют отношение к исполнению функций в EM, а не к возможности получения доступа и управления определенными таргетами, находящихся под мониторингом EM.

Излишне говорить, что когда дело доходит до управления авторизацией [конечных] пользователей EM, самой большой проблемой является регулирование. Кто в чем и почему нуждается, … — а требуется ли предоставить EM-привилегии пользователям напрямую, или мы создадим свои специальные роли и станем управлять через них? Простого ответа на этот вопрос нет. По крайней мере, мы знаем, что EM предоставляет широкие возможности для контроля, как пользователи проходят проверку подлинности (аутентификацию), а также позволяет нам ограничить то, что пользователи смогли бы сделать, коль скоро они успешно вошли в Систему.

Читайте также: