Oracle DB ベストプラクティス

アカウントステータスの遷移と対処方法のまとめ

Oracle Databaseのユーザーアカウントに対して、プロファイルと呼ばれるセキュリティポリシーのセットを定義することができます。
セキュリティポリシーの観点から問題点が確認された場合、ユーザーのDatabaseへの接続を不可（ユーザーアカウント使用不可）にすることができます。また、同様の制御を、管理者が明示的にコマンドを実行することでも実現できます。
このようなユーザーアカウントの使用状態をアカウントステータスと呼び、現在のアカウントステータスはデータディクショナリビュー DBA_USERS の ACCOUNT_STATUS列から確認できます。しかし、ACCOUNT_STATUS列は様々な値をとることができ、理解しにくいため、本稿で整理します。

01.ACCOUNT_STATUS列の値一覧

DBA_USERS の ACCOUNT_STATUS列の列値と、対応するユーザーアカウントの状態についての説明をまとめます。

ACCOUNT_STATUS列値              説明
------------------------------- ----------------------------------------------------------------
OPEN                            正常(アカウント使用可)
                 LOCKED(TIMED)  パスワードの繰り返し入力ミスのため、ロック
                 LOCKED         管理者による手動ロック
EXPIRED                         パスワード期限切れまたは管理者による手動期限切れ
EXPIRED(GRACE)                  パスワード期限切れ後で、アカウント使用不可になるまでの猶予期間
EXPIRED        & LOCKED(TIMED)  (以下は上記の組み合わせのため、説明を省略)
EXPIRED(GRACE) & LOCKED(TIMED)  
EXPIRED        & LOCKED         
EXPIRED(GRACE) & LOCKED

02.ユーザーアカウントのロック

プロファイルの設定項目である FAILED_LOGIN_ATTEMPTS に指定された回数以上、パスワードの入力ミスを繰りかえすと、ユーザーアカウントはロックされ、ACCOUNT_STATUS列は “LOCKED(TIMED)”となります。
LOCKED(TIMED)ではユーザーアカウントは使用不可であり、ユーザーはDatabaseに接続できませんが、PASSWORD_LOCK_TIMEの日数が経過するとユーザーアカウントは自動的にOPENとなり、再度ユーザーアカウントが使用可能になります。
また、ALTER USER ACCOUNT LOCK; で管理者がユーザーアカウントを手動でロックすることもできますが、このときはACCOUNT_STATUS列は “LOCKED”となり、PASSWORD_LOCK_TIMEの日数が経過してもOPENになりません。

ロックに関連するACCOUNT_STATUS列値

                            ACCOUNT_STATUS列  アカウント使用可否
                            ----------------- --------------------
1) 繰り返しパスワードミス   LOCKED(TIMED)     不可
2) 手動ロック               LOCKED            不可

ロックに関連するACCOUNT_STATUS列値の遷移

            ALTER USER ACCOUNT UNLOCK;
  ┌─────────────────────────────────────────┐
  │                                         │
  │        ALTER USER ACCOUNT LOCK;         │
  │┌───────────────────────────────────→ LOCKED
  ↓│
  OPEN  
  ↑│
  │└───────────────────────────────────→ LOCKED(TIMED) (*1)
  │        FAILED_LOGIN_ATTEMPTS回           │
  │        パスワード入力ミス                │
  │                                          │
  └──────────────────────────────────────────┘
            PASSWORD_LOCK_TIME日 経過
(*1) 11.2- で PASSWORD_LOCK_TIME=UNLIMITED の場合は LOCKEDとなる

03.ユーザーアカウントのパスワード期限切れ

同一のパスワードを PASSWORD_LIFE_TIME 日間使用し続けると、ユーザーアカウントはパスワード期限切れとなり、PASSWORD_GRACE_TIMEで設定された猶予期間の日数だけ EXPIRED(GRACE) となります。
アカウントステータスがEXPIRED(GRACE) であれば、ユーザーアカウントを使用可能ですが、
PASSWORD_GRACE_TIMEで設定された猶予期間が経過するとアカウントステータスは EXPIRED に遷移して、ユーザーアカウントは使用不可となります。
PASSWORD_LIFE_TIME、PASSWORD_GRACE_TIMEはプロファイルの設定項目です。
また、ALTER USER ACCOUNT EXPIRE; で管理者がユーザーアカウントを手動でパスワード期限切れにすることもできます。
パスワード期限切れとなった場合、パスワードを変更することでアカウントステータスをOPENにして、ユーザーアカウントを使用可能にできます。

パスワード期限切れに関連するACCOUNT_STATUS列値

                            ACCOUNT_STATUS列  アカウント使用可否
                            ----------------- --------------------
1) パスワード期限切れ       EXPIRED(GRACE)    可
   (猶予期間内)
2) パスワード期限切れ       EXPIRED           不可
   (猶予期間超過)           
3) 手動EXPIRE               EXPIRED           不可

パスワード期限切れに関連するACCOUNT_STATUS列値の遷移

ALTER USER ... ACCOUNT EXPIRE;
┌────────────────────────────────────────────┐
│                                            │
│                                            ↓
OPEN ────────→ EXPIRED(GRACE) ─────────→ EXPIRED
↑   PASSWORD_      │         PASSWORD_       │
│   LIFE_TIME      │         GRACE_TIME      │
│   時間経過       │         時間経過        │
│                  │         (猶予期間超過)  │
│                  ↓                         │
└────────────────────────────────────────────┘
パスワードを変更

この記事の監修者

舛井智行 (ますいともゆき)

営業本部　企画&マーケティング部　次長

《資格》

Oracle Master Gold、Oracle RAC Expert、Linux Expert、LPIC Level1、Dbvisit Standby Certified Associate、基本情報技術者

《略歴》

2004年コーソル入社。2019年まで一貫してOracle Databaseの設計・構築・運用のサービス提供に従事。リモートDBAやリモート監視のサービス化、働き方改革プロジェクトで人事制度改革を手掛ける。2019年からライセンス販売強化のため企画&マーケティング部に異動。DbvisitやToad、DPAの取扱開始、販売促進活動を推し進め、ライセンス販売事業の売上拡大に注力中。

《主な著書》

オラクルマスター教科書 Gold DBA Oracle Database AdministrationⅡ
オラクルマスター教科書 Silver DBA Oracle Database Administration I
オラクルマスター教科書 Silver SQL Oracle Database SQL
Oracleの基本～データベース入門から設計/運用の初歩まで
プロとしてのOracle入門
Oracle Database 10g Oracle Enterprise Manager 逆引きクイックリファレンス

《担当者様からの一言》

コーソルはOracle Databaseの技術力において日本有数の知見を有すると自負しています。Oracle Masterの最高峰資格である『Oracle Master Platinum』の取得者数も日本No.1です。Oracle Databaseのことはもちろん、それ以外のDBについてもリモートDBAサービスを始めとした様々なサービス、製品を駆使してお客様のお困りごとを解消いたします。お困りごとがあればコーソルまでご相談ください。

峯岸隆一 (みねぎしりゅういち)

インフラソリューション部市ヶ谷クラウドサービスチームシニアエキスパート

《資格》

Oracle Master Gold、ORACLE MASTER Platinum、Oracle RAC Expert、
Oracle Database Cloud Service Oracle Infrastructure as a Service Cloud 2017 Implementation Essentials、
Oracle Cloud Infrastructure 2018 Architect Associate、
Oracle Cloud Infrastructure 2019 Architect Professional、
AWS Certified Solutions Architect – Associate、OSS-DB Silver、
MySQL 5.6 Database Administrator、基本情報技術者、テクニカルエンジニア(データベース)

《略歴》

2006年コーソル入社。2021年までOracle Databaseを中心にMySQLやGoldenGateなど、多岐にわたる製品のサポート業務に従事。2021年から企画&マーケティング部に異動し、Nutanix NDBサービス化、Qlik Replicateサービス化、AWS、OCIなど様々な製品のサービス化、クラウド環境上の製品検証、ブログ執筆を手掛ける。2023年からOCI技術に磨きをかけるべくOCI基盤の設計・構築業務を遂行中。

《主な著書》

オラクルマスター教科書 Gold DBA Oracle Database AdministrationⅡ
オラクルマスター教科書 Silver DBA Oracle Database Administration I
オラクルマスター教科書 Silver SQL Oracle Database SQL 　Oracleの基本～データベース入門から設計/運用の初歩まで

《担当者様からの一言》

コーソルはOracle Database製品および周辺製品において特化した技術力を有している会社です。また、育成にも力を入れており、新卒などOracle Databaseの知識がないエンジニアでも数年でOracle Master Platinumを取得するほどのエンジニアに育て上げることに成功しています。クラウド分野(AWS、Oracle Cloud)にも積極的に進出しておりますので、Oracle Databaseに関するサービスをご要望であればプラットフォーム問わず対応できるコーソルにご連絡下さい。