ORA-01017 “invalid username/password; logon denied” 是 Oracle 数据库操作中碰壁最多、原因却最隐蔽的认证错误之一。很多时候明明用户名密码一字不差,客户端依然反复弹出这个提示,问题往往出在密码文件、参数策略或账户状态上。下面这篇实战梳理,会把常见的“坑”一网打尽。
如果刚遇到这个问题,先不要动参数、不要重建文件,按这五步快速过一遍,往往就已经能解决。
1. 密码错了
在 SQL*Plus 里用最原始的方式验证一次:sqlplus 用户名/密码@连接串。彻底排除客户端工具自带的空格、换行、全角字符、大小写转换隐藏的干扰。
如果能够登录,说明问题出在应用程序的连接串或 IDE 的凭据缓存,先清缓存、重输密码、检查字符串内是否有多余空格反斜杠。
2. 大小写敏感被开启
Oracle 11g 起引入了SEC_CASE_SENSITIVE_LOGON,默认TRUE。如果数据库刚从 10g 升级上来,或者人为改动过参数,以前不区分大小写的密码会突然全都登录失败。
用管理员登录后查看:show parameter sec_case_sensitive_logon
若为 TRUE 而你的旧程序只传了小写密码,可选两种方式之一:
修改应用密码为大写或大小写匹配的方式
暂时将该参数设为 FALSE:
alter system set sec_case_sensitive_logon = false;
3. 账户被锁或过期
密码到期或多次失败被锁,也会直接报 ORA-01017,而不提示真正的锁定信息。
查询状态:select username, account_status from dba_users where username = '目标用户';
若 LOCKED:
alter user 用户名 account unlock;若 EXPIRED:需要重新设置密码,或者修改 profile 策略避免到期。
4. 缺「CREATE SESSION」权限
新建用户最容易遗漏这步。刚create user identified by ...之后,如果没有单独grant create session to 用户名;,登录时就是一个 ORA-01017。
用 sys 或 system 登录后执行授权即可,也可一并授予 connect 角色。
5. 连接串写错服务名
虽然不太常见,但把 SID 写成 SERVICE_NAME 或者 IP 指向了错误的节点,也能收到 ORA-01017,因为目标库上压根没有该用户。先tnsping 连接名看返回的服务是否是你想要的那一个。
我根据上面的步骤逐个查了一遍,还是没有解决问题,后来在网上查到一种情况,让我豁然开朗。原来从 12c 开始,密码存储引入了多种验证协议,如果客户端版本过旧或驱动不支持高版本协议,可能协商失败表现为 ORA-01017。
检查dba_users视图:
SQL> select username, password_versions from dba_users where username='DXCAP';
USERNAME
-------------------------------------------------------------------------------
PASSWORD_VERSIONS
-----------------
DXCAP
11G 12C
应该只允许11.2.0.3以上的客户端版本连接。
在这里需要重新修改数据库用户的密码,来激活版本修改。修改用户密码后,再查询dba_users视图。
SQL> select username, password_versions from dba_users where username='DXCAP';
USERNAME
--------------------------------------------------------------------------------
PASSWORD_VERSIONS
-----------------
DXCAP
10G 11G 12C
这次允许10g以上的客户端版本连接数据库了。
问题也解决了,在低版本客户端程序连接高版本服务器时一定要注意这个问题。
)
