需求背景
好几次遇到SYSDBA用户密码忘记,周转很多层才找到,很是费时费力,和厂商大佬交流后反馈可以配置操作系统认证就可以实现向Oracle那样服务器本地操作系统免费登录。下面是如何配置SYSDBA数据库内置用户免密登录。
实现步骤
创建dmdba用户组并添加用户
SYSDBA数据库用户 – dmdba操作系统组
确定操作系统用户dmdba加入到操作系统的 dmdba用户组,对应数据库的 SYSDBA 用户
增加组
groupadd dmdba
假设这里同时创建用户并指定主组为dmdba
useradd dmdba -g dmdba
如果用户已存在,则只添加用户到dmdba组
usermod -a -G dmdba dmdba
如果是在达梦数据库服务器上,该步骤可省略,因为部署过程中创建用户时已符合该要求:
–查看dmdba用户归属组
[root@localhost ~]# id dmdba
uid=12349(dmdba) gid=12349(dinstall) groups=12349(dinstall)
设置ENABLE_LOCAL_OSAUTH参数
注意该参数修改后需要重启库生效
–登录数据库
disql sysdba/sysdba:5237
–修改前查询参数值 PARA_VALUE和FILE_VALUE均是默认值0
SQL> SELECT * FROM V$DM_INI WHERE PARA_NAME = ‘ENABLE_LOCAL_OSAUTH’;
LINEID PARA_NAME PARA_VALUE MIN_VALUE MAX_VALUE DEFAULT_VALUE MPP_CHK SESS_VALUE FILE_VALUE DESCRIPTION PARA_TYPE SYNC_FLAG SYNC_LEVEL
1 ENABLE_LOCAL_OSAUTH 0 0 1 0 N 0 0 Whether to enable local authorization by operating system users READ ONLY NOT_SYNC NO_SYNC
used time: 18.494(ms). Execute id is 501.
– 修改参数
SQL> SP_SET_PARA_VALUE(2, ‘ENABLE_LOCAL_OSAUTH’, 1);
DMSQL executed successfully
used time: 3.037(ms). Execute id is 502.
– 未重启库先查询修改后的参数 PARA_VALUE是默认值0 , FILE_VALUE已变为1
SQL> SELECT * FROM V$DM_INI WHERE PARA_NAME = ‘ENABLE_LOCAL_OSAUTH’;
LINEID PARA_NAME PARA_VALUE MIN_VALUE MAX_VALUE DEFAULT_VALUE MPP_CHK SESS_VALUE FILE_VALUE DESCRIPTION PARA_TYPE SYNC_FLAG SYNC_LEVEL
1 ENABLE_LOCAL_OSAUTH 0 0 1 0 N 0 1 Whether to enable local authorization by operating system users READ ONLY NOT_SYNC NO_SYNC
used time: 6.283(ms). Execute id is 503.
重启数据库
重启库前先查看下数据库服务,因为有时候服务器上会部署多个达梦实例
–查看达梦数据库系统服务名
[root@localhost /]# systemctl list-unit-files Dm*
UNIT FILE STATE
DmAPService.service enabled
DmServicefuwa.service enabled
2 unit files listed.
–查看达梦数据库状态 务必确认/dmdata02/fuwa/dm.ini 别搞错库
[root@localhost /]# systemctl status DmServicefuwa
● DmServicefuwa.service - DM Instance Service(DmServicefuwa).
Loaded: loaded (/usr/lib/systemd/system/DmServicefuwa.service; enabled; vendor preset: disabled)
Active: active (running) since Thu 2025-08-14 08:59:19 CST; 39min ago
Process: 911 ExecStart=/dmdb8/dmdbms/bin/DmServicefuwa start (code=exited, status=0/SUCCESS)
Main PID: 968 (dmserver)
CGroup: /system.slice/DmServicefuwa.service
└─968 /dmdb8/dmdbms/bin/dmserver path=/dmdata02/fuwa/dm.ini -noconsole
Aug 14 08:59:03 localhost.localdomain systemd[1]: Starting DM Instance Service(DmServicefuwa)…
Aug 14 08:59:19 localhost.localdomain systemd[1]: Started DM Instance Service(DmServicefuwa)…
–重启达梦库
[root@localhost /]# systemctl restart DmServicefuwa
验证免密登录
登录时已经不需要输入密码
[dmdba@localhost ~]$ disql sysdba/sysdba:5237
Server[LOCALHOST:5237]:mode is normal, state is open
login used time : 2.904(ms)
disql V8
验证参数值
–启动后验证参数已经生效 PARA_VALUE已经由0变成了1
SQL> SELECT * FROM V$DM_INI WHERE PARA_NAME = ‘ENABLE_LOCAL_OSAUTH’;
LINEID PARA_NAME PARA_VALUE MIN_VALUE MAX_VALUE DEFAULT_VALUE MPP_CHK SESS_VALUE FILE_VALUE DESCRIPTION PARA_TYPE SYNC_FLAG SYNC_LEVEL
1 ENABLE_LOCAL_OSAUTH 1 0 1 0 N 1 1 Whether to enable local authorization by operating system users READ ONLY NOT_SYNC NO_SYNC
used time: 7.093(ms). Execute id is 501.
到此配置完成,忘记密码也不用无助
附:操作系统的身份验证
基于操作系统的身份验证支持本机验证和远程验证。
本机验证
本机验证需要将 DM 配置文件 dm.ini 的 ENABLE_LOCAL_OSAUTH 参数设置为 1,表示支持本机验证。该参数为静态参数,数据库管理员可以使用系统过程 SP_SET_PARA_VALUE 进行修改,但修改后需要重新启动 DM 服务器才能生效。
本机验证需要首先将操作系统用户加入到操作系统的 dmdba|dmsso|dmauditor 用户组,分别对应数据库的 SYSDBA|SYSSSO|SYSAUDITOR 用户。也可以将操作系统用户加入到操作系统的 dmusers 用户组,对应数据库的同名用户,即此时数据库中需要存在一个与操作系统用户同名的用户。’
远程验证
远程验证需要借助 SSL 数字证书来完成,用户需要拥有自己的 SSL 数字证书,并为 DM 服务器以及 DM 客户端或接口均配置好 SSL 环境。
远程验证需要将 DM 配置文件 dm.ini 的 ENABLE_REMOTE_OSAUTH 参数设置为 1,表示支持远程验证。同时需要将 ENABLE_ENCRYPT 参数设置为 1,表示开启 SSL 通信加密。关于 SSL 通信加密的详细介绍请参考 6.1 基于传输层的 SSL 协议加密。
上述参数均为静态参数,数据库管理员可以使用系统过程 SP_SET_PARA_VALUE 进行修改,但修改后需要重新启动 DM 服务器才能生效。由于开启了 SSL 通信加密,因此重启 DM 服务器之前必须保证当前服务器 SSL 环境配置完成,否则服务器无法正常启动。
参考链接:https://eco.dameng.com/community/training/b4321d17127cecc56945867f3ad2df1d