ORA-28040: No matching authentication protocol

前言

随着12c广泛的使用，往往很多低版本的客户端需要访问到高版本的数据库，容易出现（ORA-28040: No matching authentication protocol）此错误，下面介绍怎么处理此错误。

Note：19c已经修复次bug，兼容了低版本（11g以上）的认证协议与密码版本

SQL> select username,PASSWORD_VERSIONS from dba_users where account_status='OPEN';

USERNAME
--------------------------------------------------------------------------------
PASSWORD_VERSIONS
-----------------
SYS
11G 12C

SYSTEM
11G 12C


SQL> 

参考MOS文档

12c Database Alert.log File Shows The Message: Using Deprecated SQLNET.ALLOWED_LOGON_VERSION Parameter (Doc ID 2111876.1)

11g and Older: How To Use the Parameter SQLNET.ALLOWED_LOGON_VERSION Correctly (Doc ID 1304142.1)

Database Security Guide官方文档

故障处理

修改$ORACLE_HOME/network/admin/sqlnet.ora
加入以下参数：

cd $ORACLE_HOME/network/admin
vi sqlnet.ora

SQLNET.ALLOWED_LOGON_VERSION_SERVER=10
SQLNET.ALLOWED_LOGON_VERSION_CLIENT=10

Note：若无则新建，单机和RAC均配置在DB HOME。
改完需要重启监听

lsnrctl stop
lsnrctl start

若已经存着sqlnet.ora文件的话，reload可以生效，否则需要重启监听

lsnrctl reload

重新修改一遍密码，因为密码版本不一样。

原因：

因为10g和11g都是使用SHA-1协议，而12c则使用SHA-2协议，这里我们设置10，也就是10g的版本，因为10g和11g协议一样所以均可以访问。

早期用法

12c已经弃用，设置当然也可以生效，不过alert日志会告警。

SQLNET.ALLOWED_LOGON_VERSION=10