La sécurité devient une préoccupation majeure des administrateurs de bases de données.
 
 
 
 
La modification régulière des mots de passe peut être nécessaire pour suivre les règles de sécurité de l’entreprise.
Dans un environnement Dataguard, la modification du mot de passe du compte SYS implique la recopie du fichier de mot de passe du serveur primaire sur le serveur de secours.

A partir de la version 11gR1, il est possible de créer un compte spécifique pour l’envoi des journaux de transactions (Log Shipping).

CREATE USER redo_log_shipping IDENTIFIED BY 'mot de passe complexe';
GRANT SYSOPER TO redo_log_shipping;
GRANT SYSDG   TO redo_log_shipping; (12c+)

 
Le rôle CONNECT n’est pas utile.
Il n’est pas nécessaire de communiquer ou d’archiver le mot de passe de ce compte. La complexité de ce mot de passe doit être forte.
Ce compte ne possède pas les droits SYSDBA.
En version 11g :

SELECT sysdba, sysoper FROM v$pwfile_users WHERE username = 'REDO_LOG_SHIPPING';

En version 12c :

SELECT sysdba, sysoper, sysbackup, sysdg FROM v$pwfile_users WHERE username = 'REDO_LOG_SHIPPING';

 
Pour utiliser l’utilisateur créé, il est nécessaire de copier une seule fois le fichier de mot de passe sur le serveur de secours et de positionner le paramètre d’initialisation redo_transport_user  (sensible à la casse).
Si la configuration est déjà en place, il est nécessaire de désactiver l’envoi des journaux de transactions.

ALTER SYSTEM SET log_archive_dest_state_2 = DEFER SCOPE=BOTH;
ALTER SYSTEM SET redo_transport_user = 'REDO_LOG_SHIPPING';
ALTER SYSTEM SET log_archive_dest_state_2 = ENABLE SCOPE=BOTH;

 
Pour rappel, à partir de la version 12cR2, Oracle introduit la fonctionnalité « Automatically Synchronize Password Files in Oracle Data Guard Configurations« .
Cela permet de propager la modification de tous les comptes avec les privilèges SYS ou SYSDG sur l’environnement de secours.