在 Oracle 19c 数据库 中,为了增强密码安全性并保证基于 JRE 8 及以上的 JDBC Thin 客户端能够正常连接,DBA 有时会选择将 sqlnet.ora 文件中的 SQLNET.ALLOWED_LOGON_VERSION_SERVER 参数设置为 12a。这一调整对客户端连接和密码验证究竟会产生哪些影响?通过下面这道选择题,我们可以理清关键细节。
问题:
在 Oracle 19c 数据库中,DBA 将 sqlnet.ora 文件的 SQLNET.ALLOWED_LOGON_VERSION_SERVER 参数设置为 12a。关于此设置的影响,下列哪项描述是正确的?
A. 此时数据库处于 Exclusive Mode,仅生成 12C 密码版本。旧版 Oracle 11g 客户端必须升级密码版本才能连接,而 Oracle 10g 客户端通过设置 SEC_CASE_SENSITIVE_LOGON=FALSE 可以绕过限制进行连接。
B. 该参数设置对 JDBC Thin 客户端没有影响,因为 JDBC 客户端使用独立的认证协议。
C. 此时数据库处于 Exclusive Mode,仅生成 12C 密码版本,所有旧版客户端(包括 Oracle 11g 的 OCI 客户端)将无法连接,并会收到 ORA-28040 错误。
D. 此参数设置会同时生成 11G 和 12C 两种密码版本,以确保对所有客户端向后兼容。
正确答案:C
解析
- 当
SQLNET.ALLOWED_LOGON_VERSION_SERVER=12a 时,数据库进入 Exclusive Mode,只生成 12C 密码版本(基于 SHA-512 的强密码哈希)。任何不支持 12c 验证协议的旧版客户端都无法完成登录。
- Oracle 11g OCI 客户端不具备 12c 密码协议所需的加密能力,因此会立即收到
ORA-28040: No matching authentication protocol 错误。选项 A 中提到的 Oracle 10g 客户端通过调整 SEC_CASE_SENSITIVE_LOGON 绕过限制的说法是不成立的——该参数控制大小写敏感,并不改变验证协议版本。
- JDBC Thin 客户端并非使用“独立协议”,其能否连接同样取决于驱动版本和 JRE 版本。只有驱动 12.2 及以上且运行在 JRE 8 或更高版本时,才支持 12c 密码版本,否则同样会连接失败。因此选项 B 错误。
- 选项 D “同时生成 11G 和 12C 两种密码版本” 是参数设为
11 或 12 时的行为,而非 12a 的 Exclusive Mode。
在实际生产环境中,将 ALLOWED_LOGON_VERSION_SERVER 收紧到 12a 是提升 Oracle 数据库认证安全性的重要步骤,但务必确认所有客户端驱动和中间件(如应用服务器、监控工具)都已就绪,否则会引发大面积连接中断。
本文由云栈社区技术编辑整理,欢迎在社区讨论更多 Oracle 运维实践。 | 
发表于 昨天 22:41
|
查看: 3|
回复: 0
