修改sec_case_sensitive_logon参数，导致ORA-01017，用户无法通过密码登录数据库-JZTXT

1. 一套19.19的数据库，设置了一些数据库参数（alter system set sec_case_sensitive_logon=false scope=both sid='*';）后，发现刚刚创建的数据库用户，无法登录数据库。

SQL> create user mm identified by mm;

User created.

SQL> grant dba to mm;

Grant succeeded.

SQL> create user test identified by test;

User created.

SQL> grant dba to test;

Grant succeeded.

SQL> conn test/test

ERROR:

ORA-01017: invalid username/password; logon denied

Warning: You are no longer connected to ORACLE.

SQL>

这是由于Oracle 12.2中新的基于密码的鉴权独占模式（默认已经生效）与不区分大小写的密码配置冲突，导致12.2及以后的版本中，所有的数据库用户都无法通过密码认证的方式登录数据库。升级到12.2后，如果sec_case_sensitive_logon实例初始化参数设置为FALSE，则可能导致所有帐户无法通过密码访问数据库，因为在12.2中默认是基于密码的鉴权独占模式。

2.“密码的鉴权独占模式” 和 “使用不区分大小写的密码” 这两个设置同时生效时，会造成所有用户无法通过密码连接数据库。

设置1：

服务器配置为使用不区分大小写的密码。也即将数据库参数sec_case_sensitive_logon设置成FALSE。

设置2：

服务器配置为基于密码的鉴权独占模式。密码的鉴权独占模式，由SQLNET.ORA文件中的SQLNET.ALLOWED_LOGON_VERSION_SERVER参数进行控制，当SQLNET.ALLOWED_LOGON_VERSION_SERVER参数值未修改成11或者更小的值，或者在SQLNET.ORA文件中没有SQLNET.ALLOWED_LOGON_VERSION_SERVER参数时（未设置该参数时，则该参数值为数据库的版本），则表示密码的鉴权独占模式已经开启。

3. 解决方案：

为了解决参数设置之间的冲突，导致数据库用户无法登录数据库的故障，在数据库升级到12.2及以上的版本时，先执行如下方案之一。

方案1：

删除sec_case_sensitive_logon参数，或者将sec_case_sensitive_logon 参数设置成TRUE。该参数是一个废弃的参数，也许以后的版本中，该参数将不会存在。

方案2：

将SQLNET.ORA文件中的SQLNET.ALLOWED_LOGON_VERSION_SERVER参数设置成一个相对宽松的值。例如：SQLNET.ALLOWED_LOGON_VERSION_SERVER=10，如果使用此选项，还需要再次更改用户密码，以便DBA_USERS视图中的PASSWORD_VERSIONS列将得到一个10G的值。

4. 测试验证

4.1 模拟故障

SQL> select username, created , account_status, password_versions from dba_users order by 2

USERNAME CREATED ACCOUNT_STATUS PASSWORD_VERSIONS

------------------------------ ------------------- -------------------------------- -----------------

SYS 2019-04-17 00:56:32 OPEN 11G 12C

SYSTEM 2019-04-17 00:56:33 OPEN 11G 12C

......

MM 2023-07-02 20:47:57 OPEN 11G 12C

TEST 2023-07-02 20:48:16 OPEN 11G 12C

37 rows selected.

SQL> conn test/test