ORA-28273错误，LDAP用户映射没找到，Oracle连接远程修复指南

ORA-28273错误是一个与Oracle数据库用户认证相关的问题，它发生在数据库尝试使用LDAP目录服务（如Oracle Internet Directory或Microsoft Active Directory）对用户进行身份验证时，但数据库在LDAP目录中找不到与该数据库用户名对应的条目，简单讲，就是数据库说：“我认识这个用户名，但我去LDAP服务器里找这个人的身份证时，发现查无此人。” 这个问题通常不会在数据库本地用户登录时出现,而是集中在通过LDAP集中管理用户的环境中。

要修复这个问题，我们不能只盯着数据库本身，必须将视角扩展到数据库、网络和LDAP服务器这个整体系统，由于是远程修复，我们无法直接操作LDAP服务器或数据库服务器的操作系统，因此所有操作都需要通过可用的远程管理工具（如SQL*Plus、LDAP浏览器、SSH客户端等）进行，整个排查过程应遵循从简到繁、从外到内的原则。

第一步：基础信息收集与确认

需要从报告错误的人那里获取关键信息，不要急于登录服务器,先问清楚：

1. 出错的完整错误信息：除了ORA-28273,是否有其他代码或提示？
2. 操作场景：是某个特定应用连接时出错，还是所有通过LDAP认证的用户都出错？或者只是某一个特定用户登录失败？
3. 变更历史：最近LDAP服务器、数据库服务器或网络配置是否有过任何变更？LDAP服务器是否迁移、升级？数据库参数是否修改？网络防火墙规则是否调整？

这些信息能为后续排查指明方向，如果只是单个用户出错，问题可能集中在LDAP目录中该用户的属性上；如果是所有用户都出错,那问题很可能出在数据库的LDAP连接配置或网络连通性上。

第二步：检查数据库端的LDAP配置

通过SQL*Plus或其他数据库客户端工具远程连接到出问题的数据库实例，以具有DBA权限的用户（如SYS或SYSTEM）登录，检查以下关键参数（根据Oracle官方文档关于企业用户管理的章节）：

1. 检查LDAP连接的基本参数：

   SHOW PARAMETER LDAP_

   重点关注：

   • ldap_directory_access：确保其值不是NONE，通常是PASSWORD或SSL。
   • ldap_directory_sysauth：系统用户绑定LDAP的方式。
   • ldap_host、ldap_port：确认指向正确的LDAP服务器地址和端口，这是最常见的配置错误点,尤其是LDAP服务器IP地址变更后此处忘记更新。

2. 检查数据库的LDAP连接是否正常： Oracle提供了一个内置包DBMS_LDAP来测试与LDAP服务器的连接，执行一个简单的匿名绑定测试（如果LDAP服务器允许的话）：

   DECLARE
     retval PLS_INTEGER;
     sess   DBMS_LDAP.session;
   BEGIN
     sess := DBMS_LDAP.init(hostname => '你的LDAP服务器IP', port => 389); -- 端口号根据实际情况修改
     retval := DBMS_LDAP.simple_bind_s(ld => sess, dn => '', passwd => '');
     IF retval = DBMS_LDAP.SUCCESS THEN
       DBMS_OUTPUT.PUT_LINE('LDAP连接测试成功。');
     END IF;
     retval := DBMS_LDAP.unbind_s(sess);
   EXCEPTION
     WHEN OTHERS THEN
       DBMS_OUTPUT.PUT_LINE('LDAP连接测试失败: ' || SQLERRM);
   END;

   如果这个测试失败，说明数据库服务器根本连不上LDAP服务器,问题可能在于网络或LDAP服务器状态。

   

第三步：验证LDAP目录中的用户映射

这是解决ORA-28273的核心，错误信息直指“映射没找到”，意味着数据库用户名和LDAP中的条目对应关系断了，根据Oracle的技术支持说明，这种映射通常通过LDAP条目中的特定属性（如orclCommonUserName）来实现。

1. 确定用户的唯一标识（DN）： 我们需要在LDAP目录中查找这个数据库用户，在数据库中查询该用户的全局名称（如果使用了全局用户）：

   SELECT USERNAME, EXTERNALLY_NAME FROM DBA_USERS WHERE USERNAME = '出问题的用户名';

   EXTERNALLY_NAME可能会给出用户在LDAP中的识别信息。

2. 使用LDAP查询工具验证用户存在性： 使用像Apache Directory Studio、LDAP Admin这样的图形化工具，或者命令行工具ldapsearch,远程连接到LDAP服务器。

   • 连接信息：使用数据库配置参数（ldap_host, ldap_port）中的地址和端口。
   • 搜索基准（Base DN）：这通常是配置在ldap_directory_access相关参数或数据库注册到目录时的上下文中，如果不确定,需要询问LDAP管理员。
   • 搜索过滤器：使用类似(&(objectclass=orclUser)(cn=出问题的数据库用户名))的过滤器进行搜索，这里的属性cn可能需要替换，具体取决于LDAP模式的定义，可能是uid、sAMAccountName（对于AD）或orclCommonUserName。

   如果搜索不到任何结果，那就证实了问题所在：LDAP目录中确实不存在这个映射，如果搜索到了，要仔细核对条目的所有属性，确保没有拼写错误，并且该条目是有效的（未被禁用或删除）。

   

第四步：常见具体原因与修复动作

根据以上排查,常见的根本原因和远程修复方法如下：

1. LDAP中用户被误删或移动：

   • 原因：LDAP管理员不小心删除了该用户条目，或将其移动到了另一个容器（Container）或组织单元（OU）中，导致原有的搜索基准（Base DN）找不到它。
   • 修复：联系LDAP管理员，确认用户状态和位置，如果用户被移动，需要更新数据库的LDAP配置中的搜索基准或映射规则；如果被删除,则需要重新创建用户并建立映射。

2. 数据库LDAP配置信息错误：

   • 原因：ldap_host或ldap_port配置错误,指向了错误或已下线的LDAP服务器。
   • 修复：在数据库中修正这些参数值，并使用DBMS_LDAP包重新测试连接，修改参数可能需要重启数据库实例,这需要与系统管理员协调。

3. 网络连通性问题：

   • 原因：数据库服务器和LDAP服务器之间的网络中断，或者防火墙阻止了LDAP服务端口（通常是389或636）的通信。
   • 修复：请求网络团队检查从数据库服务器到LDAP服务器的网络路由和防火墙策略，确保端口是开放的，可以在数据库服务器操作系统层面使用telnet或nc命令测试端口连通性（如果允许的话）。

4. 映射属性不匹配：

   • 原因：数据库期望用cn属性匹配用户名，但LDAP中实际使用的是uid属性。
   • 修复：这需要修改Oracle的目录上下文配置或LDAP模式映射，通常比较复杂,需要DBA和LDAP管理员共同检查当初企业用户体系的设计文档。

远程修复ORA-28273错误是一个典型的跨团队协作过程，DBA需要利用数据库工具进行初步诊断，明确问题范围（是全局性问题还是局部性问题），然后与网络团队和LDAP管理员紧密配合，逐一排查从数据库到LDAP服务器整条链路上的每一个环节，清晰的沟通和对基础配置的细致检查是解决此类问题的关键，整个过程中,保持详细的操作记录对于回溯问题和在类似情况发生时快速响应至关重要。