如何配置Oracle 11g启动sqlplus？

Question

在RedHat 6服务器上，第三方应用程序需要以root身份运行并需要访问sqlplus。我有一个正在运行的数据库，我可以以用户'oracle'的身份运行sqlplus。以root用户身份登录时，'sqlplus usr/pwd @ dbname'按预期工作。麻烦的是，这个代理需要运行没有参数的sqlplus，它总是返回ORA-12546：TNS：permission denied。

我已经读了十几次，让root启动Oracle是一个安全问题，但我真的没有别的选择。

运行Oracle 11.2.0.1.0。

任何帮助将非常感谢，因为我google了两天没有成功。

Answer 1

From the documentation，ORA_12546是：

ORA-12546：TNS：许可被拒绝
原因：用户没有足够的权限来执行所请求的操作。 操作：获得必要的权限并重试。

这是完全没有任何帮助，但各种论坛和博客（太多的链接，谷歌搜索的错误显示了很多类似的意见）提上安装，$ORACLE_HOME/bin/oracle的特定部分的权限，这是大多数服务的关键和核心部分。

通常在该文件的权限将-rws-r-s--x，与oracle:dba拥有的文件，并在字写的标志，可能会发生这个错误 - 在这种模式最终x - 未设置。 dba群组中的任何人都仍然可以执行此操作，但外面的人不会。

您的监听器似乎很好，因为您可以通过在连接字符串中指定@dbname进行远程连接。侦听程序的运行方式为oracle（通常，可能为带有HA，RAC或ASM的grid），因此它位于dba组中，并且可以愉快地将连接切换到oracle可执行文件的实例。

当您不通过侦听器连接时，您必须能够自己执行该文件。看来root不能执行它（或者可能是其他文件，但通常这是罪魁祸首，显然），这意味着世界可写位实际上没有设置。

至于我可以看到你有三种选择：

• 集世界可写位，与chmod o+x $ORACLE_HOME/bin/oracle;但是这为每个人开放了权限，并且可能他们因为某种原因受到了限制;
• 将root加到dba组，通过usermod或/etc/group;这也可能削弱安全性;
• 即使未在连接字符串中指定@dbname，也可以通过在root环境中添加export TWO_TASK=dbname来使用SQL * Net。

你说你在另一台服务器上没有这个问题，而且文件权限是一样的;在这种情况下，root可能位于该框上的dba组中。但我认为第三种选择似乎是最简单和最安全的。我想还有第四个选项，要安装一个单独的instant client，但是你必须设置TWO_TASK，并且通过SQL * Net，并且你已经排除了这一点。

我不会纠缠于它是否运行为rootsqlplus（需要它或者实际上的应用程序）是一个好主意，但是会提到，你可能有一个脚本或函数调用sqlplus切换到一个通过su运行真实可执行文件的特权较低的帐户，并且可能对应用程序透明。除非您切换到oracle帐户，但这也不是一个好主意，您将拥有相同的权限问题和选项。