【九】用户访问控制
9.1 认识Oracle用户
Oracle数据库是多用户系统,每个用户一个账户。
9.1.1查看数据库里有多少用户?
SQL>select username from DBA_users;
9.1.2用户默认的存储空间
每个用户账户都可以指定默认的表空间,用户创建的任何对象(如表或索引)将缺省保存在此表空间中,如果创建用户时没有指定默认表空间,那么该用户缺省使用数据库级的默认表空间。
9.1.3数据库默认表空间
SQL> select * from database_properties where rownum<=10;
设置数据库的默认表空间。
SQL> ALTER database default tablespace TABLESPACENAME;
9.2密码认证介绍
用户登录时需要密码认证,认证主要有几种方法:
1)OS认证 用于sys用户本地登录
2)口令文件认证 用于sys用户远程登录
3)数据库(字典)认证 普通用户本地和远程登录
以上三种用户认证是最常用的,另外还有一些认证方式,比如:
4)外部密码认证 Oracle用户关联OS用户登录
如果配置了os_authent_prefix参数,如缺省值为'ops$',当数据库中存在用户'ops$tim',且对该用户启用了外部验证。那么在操作系统上以tim用户登录成功后,就可以直接键入sqlplus / 登录用户是ops$tim,密码由操作系统外部提供,不是数据字典认证。
示例:
1)用户前缀缺省是OPS$
sqlplus / as sysdba
SQL> show parameter os_authent_prefix
NAME TYPE VALUE
------------------------------------ ----------- ------------------------------
os_authent_prefix string ops$
2) 建立Oracle的用户,密码是操作系统提供(外部)
SQL> create user ops$tim identified externally;
SQL> GRANT connect to ops$tim;
SQL> select USERNAME,PASSWORD from dba_users where username='OPS$TIM';
USERNAME PASSWORD
------------------------------ ------------------------------
OPS$TIM EXTERNAL
3) 建立操作系统用户
[root@cuug ~]# useradd tim
4)设置用户环境变量
[root@cuug ~]#su - tim
[tim@cuug ~]$ vi .bash_profile (添加环境变量)
ORACLE_BASE=/u01
ORACLE_HOME=$ORACLE_BASE/oracle
ORACLE_SID=prod
PATH=$ORACLE_HOME/bin:$PATH
export ORACLE_BASE ORACLE_HOME ORACLE_SID PATH
[tim@cuug ~]$ source .bash_profile
5)以操作系统身份登录
[tim@cuug ~]$ id
uid=501(tim) gid=502(tim) groups=502(tim)
[tim@cuug ~]$ sqlplus /
SQL*Plus: Release 11.2.0.1.0 Production on Sat Jul 2 22:25:12 2016
Copyright (c) 1982, 2009, Oracle. All rights reserved.
......
SQL> show user;
USER is "OPS$TIM"
SQL>
9.3空间配额的概念
配额(quota)是表空间中为用户的对象使用的空间量,dba建立用户时就应该考虑限制用户的磁盘空间配额,否则无限制配额的用户可能把你的表空间撑爆(甚至损坏system表空间)。创建用户时,可以指定用户的缺省表空间及其配额,然后才可以建表。
单一的用户不需要临时表空间和UNOD表空间的配额:
更改用户配额的一些命令:
ALTER USER tim QUOTA 10m ON test_tbs;
给tim用户在test_tbs上使用了10m空间的配额
ALTER USER tim QUOTA unlimited on test_tbs --不受限制
ALTER USER tim QUOTA 0 ON test_tbs; 收回剩余配额
9.4概要文件的概念
9.4.1作用:对用户访问数据库做一些限制。
1)概要文件(profile)具有两个功能,一个是KERNEL资源(如CPU资源)限制,另一个是PASSWORD资源(如登录)限制。
2)始终要实施口令控制,而对于KERNEL资源限制,则只有实例参数RESOURE_LIMIT为TRUE时(默认是FALSE)才会实施。
3)系统自动使用概要文件,有一个默认的default profile,限制很宽松,作用较小。
4)可以使用create profile为用户创建它自己的概要文件,没有指定值的参数,其值就从default profile的当前版本中提取。
9.4.2概要文件示例
创建一个概要文件,对tim用户施加两个限制。
1)如出现两次口令失误,将账户锁定。
2)tim用户最多同时以两个session登录
步骤一、创建概要文件并命名two_error
SQL> create profile two_error limit failed_login_attempts 2;
SQL> alter profile two_error limit Sessions_per_user 2;
dba_profiles视图可以列出所有profile资源;
SQL> select * from dba_profiles where PROFILE='TWO_ERROR';
步骤二、将概要文件分配给tim用户
SQL> alter user tim profile two_error;
步骤三、tim用户尝试两次登录使用错误密码
SQL> conn tim/fdfd
ERROR: ORA-28000: 账户已被锁定
步骤四、sys为tim解锁
SQL> alter user tim account unlock;
步骤五、resource_limit=true才可以使得KERNEL资源限制对profile起作用(考点)
SQL> alter system set resource_limit=true;
步骤六、测试tim只能同时有两个session登录
步骤七、sys删掉了two_error概要文件
SQL> drop profile two_error cascade;
删除two_error后tim用户又绑定到default profile上。
9.5权限和角色
9.5.1数据库的安全问题
1)系统安全:
用户名、口令、概要文件、磁盘配额等
2)数据库安全:
对数据库系统和数据库对象的访问及操作,用户具备系统权限才能够访问数据库,
具备对象权限才能访问数据库中的对象。
9.5.2系统权限
针对于database的相关权限,通常由DBA授予(11g 已有200多种)
典型的DBA权限:
CREATE USER
DROP USER
SELECT ANY TABLE
CREATE ANY TABLE
典型的一般用户的系统权限:
CREATE SESSION
CREATE TABLE
CREATE VIEW
CREATE PROCEDURE
9.5.3 角色
1)为什么会有角色
系统权限太过繁杂,Oracle建议将系统权限打包成角色,通过角色授权权限,目的就是为了简化用户访问管理。
Oracle有一些预定义角色,如:connect、resource、dba角色等
也可以创建和删除自定义角色
SQL> CREATE role myrole;
SQL> DROP role myrole;
2)授予和回收权限的语法
1、授予系统权限和角色的语法
GRANT sys_privs,[role] TO user|role|PUBLIC [WITH ADMIN OPTION]
2、回收系统权限和角色的语法
Revoke sys_prvs[role] FROM user|role|PUBLIC
3)使用预定义角色的考虑
connect和resource两个角色,可以满足一般用户大多数需求。
SQL> grant connect, resource to tim;
SQL> revoke unlimited tablespace from tim;
SQL> alter user tim quota 10m on test_tbs;
查看用户表空间配额:
SQL> select tablespace_name,username,max_bytes from DBA_TS_QUOTAS where username='TIM';
当unlimited tablespace 和quota共存时,以unlimited为准。
关于权限与空间配额的考虑,用户有空间配额才能建表。
空间配额不是权限的概念,而是用户属性的概念。
作为DBA,在生产系统上一定要为普通用户分配空间配额,限制使用存储空间。
有两种办法分配空间配额:
第一种:在建立用户时指定空间配额,这个方法只能分配用户缺省的表空间上的配额,不是很灵活。
第二种:授予 resource角色,包含有unlimited tablespace权限此权限对所有表空间不设限,包括系统表空间,请立即收回该权限,然后再分配空间配额。
系统权限:sys, system 拥有普通用户的所有对象权限,并有代理授权资格。
系统权限里的any含义:
SQL> conn / as sysdba;
SQL> grant create any table to tim;
tim可以为SCOTT建表,这张表是属于SCOTT用户下的一个对象。
SQL> conn tim/tim
SQL> create table scott.t100 (id int);
9.5.4对象权限
1、授予对象权限的语法
GRANT object_privs ON object TO user|role|PUBLIC [WITH GRANT OPTION]
2、回收对象权限的语法
REVOKE object_prvs ON object FROM user|role|PUBLIC
角色授权的示例
9.5.5、授权注意事项
1)系统权限和对象权限语法格式不同,不能混合使用
SQL>grant create table,select on emp to tim 【错】
2)系统权限和角色语法相同可以并列授权
SQL>grant connect,create table to tim;
3、可以使update对象权限精确到列
SQL> grant select, update(sal) on scott.emp to tim;
4)可以一条语句并列授予多个用户
SQL>grant connect to tim,ran;
5)可以通过授权建立用户,如ran用户不存在
SQL>grant connect,resource to ran identified by ran;
9.5.6关于WITH ADMIN OPTION和WITH GRANT OPTION选项
1)系统权限的管理权限WITH ADMIN OPTION
用户在获得权限时一旦获得WITH ADMIN OPTION,就意味着可以将该权限对其他用户进行授予、回收(不管谁授予的)的管理权限操作。
2)对象权限的管理权限WITH GRANT OPTION
用户在获得对象权限时一旦获得WITH GRANT OPTION,就意味着该用户可以授予、回收(只能它授予的)该对象权限。
3)系统权限和对象权限的级联收回
User1有with admin option,可以单独对user2用户或user3用户revoke,但不能级联收回,User1有with grant option只能对它授予的user2用户revoke,并会级联收回user3。
9.5.7对象权限在存储过程中的使用
存储过程proc1中包含了一些tim没有权限的DML操作,scott将proc1的execute权限赋给tim,,那么tim能成功地执行存储过程proc1吗?这个问题涉及到了create procedure时invoker_rights_clause的两个选项:
1、AUTHID CURRENT_USER
当执行存储过程时,检查用户DML操作的对象权限。
2、AUTHID DEFINER(默认)
当执行存储过程时,不检查用户DML操作的对象权限。
测试:默认情况下AUTHID DEFINER
第一步
SQL> create table scott.a (d1 date);
SQL> grant connect,resource to tim identified by tim;
SQL> conn scott/scott
第二步
create or replace procedure proc1 as
begin
insert into scott.a values(sysdate);
commit;
end;
第三步
SQL> grant execute on proc1 to tim;
第四步
SQL> conn tim/tim
SQL> exec scott.proc1;
测试AUTHID CURRENT_USER选项
第一步
SQL>conn scott/scott
SQL>create or replace procedure proc1
AUTHID CURRENT_USER as
begin
insert into scott.a values(sysdate);
commit;
end;
第二步,结果报错!
SQL> conn tim/tim
SQL> exec scott.proc1;
第三步,让scott在execute权限和insert权限都具备的情况下再执行上次操作
SQL> grant all on a to tim;
第四步,重复第二步,结果OK!
9.5.8有关权限的常用视图
the end !!!
@jackman 共筑美好!
,
