Oracle 第06章ppt课件

Oracle10g数据库应用教程 授课教师 职务 第6章数据库安全管理 课程描述介绍Oracle数据库的认证方法 用户管理 权限管理和角色管理 本章知识点 Oracle认证方法用户管理角色管理 6 1Oracle认证方法 操作系统身份认证网络身份认证Oracle数据库身份认证数据库管理员认证 操作系统身份认证 例 通过操作系统认证的用户可以通过下面的命令启动SQL Plus 而不需要输入用户名和密码 SQLPLUS 网络身份认证 网络层的认证能力由第3方的SSL协议处理 SSL是SecureSocketLayer的缩写 即安全套接字层 它是一个应用层协议 可以用于数据库的用户身份认证 网络层身份认证使用第3方网络认证服务 例如DCE Kerberos PKI RADIUS等 Oracle数据库身份认证 连接中的密码加密 加密算法采用改进的DES和3DES算法 加密过程在数据传输之前完成 账户锁定 Oracle可以设置连接登录失败n次后 Oracle将锁定用户账户 密码生存周期检测历史密码验证密码复杂度 数据库管理员认证 数据库管理员的认证方式 数据库管理员认证 在SQL Plus中 如果采用操作系统认证方式登录 可以使用如下命令 CONNECT ASSYSDBA或者 CONNECT ASSYSOPER 例 创建密码文件myPwdFile ora SYS用户的密码为syspwd SYSDBA和SYSOPER用户的最大数量为50 代码如下 ORAPWDFILE myPwdFile oraPASSWORD syspwdENTRIES 50 数据库管理员认证 初始化参数REMOTE LOGIN PASSWORDFILE可以指定密码文件的使用方法 它可以设置为如下3种值 NONE Oracle数据库认定密码文件不存在 所有的连接都必须是安全连接 EXCLUSIVE 默认值 可以添加 修改和删除用户 也可以修改SYS用户的密码 SHARED 共享的密码文件不允许被修改 因此不允许添加新用户 也不能修改SYS或其他SYSDBA SYSOPER用户的密码 数据库管理员认证 GRANT命令为用户授予权限 例 向用户adm授予SYSDBA权限 GRANTSYSDBATOadm REVOKE命令撤销用户的授权 例 撤销用户adm的SYSDBA权限 REVOKESYSDBAFROMadm 数据库管理员认证 通过视图V PWFILE USERS查看密码文件的内容 例 使用SQL语句查看代码文件的内容 SQL SELECT FROMV PWFILE USERS USERNAMESYSDBSYSOP SYSTRUETRUE 用户管理 创建用户修改用户权限管理语句删除用户 创建用户 显示用户信息 创建用户 创建用户 页面 选择表空间 创建用户 查看新建用户NEWUSER的信息 创建用户 CREATEUSER语句在数据库中创建新用户 CREATEUSERIDENTIFIEDBYDEFAULTTABLESPACETEMPORARYTABLESPACE 例 创建管理用户USERMAN CREATEUSERUSERMANIDENTIFIEDBYUSERMAN 注意 如果不设置默认表空间和临时表空间 则使用SYSTEM作为默认表空间 使用TEMP作为临时表空间 修改用户 编辑用户页面 修改用户 ALTERUSER语句也可以修改用户信息 1 修改密码密码 例 将用户USERMAN的密码修改为NewPassword ALTERUSERUSERMANIDENTIFIEDBYNewPassword 2 PASSWORDEXPIRE关键词设置密码过期 例 设置用户USERMAN的密码立即过期 它在下一次登录时必须修改密码 ALTERUSERUSERMANPASSWORDEXPIRE 3 ACCOUNTLOCK关键词锁定用户 例 锁定用户USERMAN 使其无法登录到数据库 ALTERUSERUSERMANACCOUNTLOCK 4 ACCOUNTUNLOCK关键词解锁用户 例 解除对用户USERMAN的锁定 ALTERUSERUSERMANACCOUNTUNLOCK 权限管理语句 系统权限设置页面 权限管理语句 修改系统权限页面 权限管理语句 GRANT语句可以将权限授予指定的用户或角色 1 授予系统权限 GRANTTO 例 对于用户USERMAN授予SYSDBA权限 GRANTSYSDBATOUSERMAN 2 授予数据对象权限 GRANTONTO 例 对用户USERMAN授予表USERS的SELECT INSERT UPDATE DELETE权限 GRANTSELECTONUSERMAN USERSTOUSERMAN GRANTINSERTONUSERMAN USERSTOUSERMAN GRANTUPDATEONUSERMAN USERSTOUSERMAN GRANTDELETEONUSERMAN USERSTOUSERMAN 权限管理语句 3 REVOKE语句可以撤销用户的角色或权限 REVOKEFROM 例 撤销用户USERMAN的系统权限 REVOKESYSDBAFROMUSERMAN 删除用户 确认删除页面 删除用户 DROPUSER语句也可以删除指定的用户 例 删除用户USERMAN DROPUSERUSERMAN 6 3角色管理 Oracle系统角色创建角色对角色授权指定用户的角色修改角色删除角色 Oracle系统角色 常用的Oracle预定义系统角色查看所有角色信息 SELECT FROMDBA ROLES 创建角色 显示角色信息 创建角色 创建角色页面 创建角色 查看角色MYROLL的信息 创建角色 例 使用CREATEROLE语句创建角色 CREATEROLEMYROLEIDENTIFIEDBYmyrollpwdIDENTIFIEDBY子句可以指定角色的密码 对角色授权 系统权限设置页面 对角色授权 修改系统权限页面 指定用户的角色 GRANT命令为用户指定角色 例 将角色CONNECT指定给用户USERMAN GRANTCONNECTTOUSERMAN REVOKE命令为取消用户的角色 例 撤销USERMAN用户的CONNECT角色 REVOKECONNECTFROMUSERMAN 修改角色 ALTERROLE语句修改角色 例 取消角色MYROLL的密码验证 ALTERROLEMYROLENOTIDENTIFIED 删除角色 确认删除页面 删除角色 DROPROLE语句可以删除指定的角色 例 删除用户MYROLE DROPROLEMYROLE 数据字典 数据字典是用来保存数据库信息的 通过数据字典可以了解到Oracle数据库的内部信息 例如表的创建者 创建时间 所属表空间和用户访问权限等 DBA在遇到问题时需要充分了解数据库的各种信息 从而分析和定位问题 这时就可以充分利用一下数据字典了 Oracle的数据字典分为静态数据字典和动态数据字典两种类型 静态数据字典中的数据在用户访问时不会发生变化 而动态数据字典通常反映数据库的运行情况 它会随着数据库的运行性能而不断变化 数据字典 静态数据字典中的视图可以分为以下3类 以USER 开头的视图 该类视图用来存储当前用户所拥有的各种数据库对象的信息 以ALL 开头的视图 该类视图用来存储当前用户可以访问的各种数据库对象的信息 当前用户可能不拥有这些对象 但却拥有对这些对象的访问权限 以DBA 开头的视图 该类视图用来存储数据库中所有对象的信息 当前用户必须拥有访问数据库的权限 一般需要拥有DBA的权限 才能查看到这些视图中的数据 由于数据字典是由SYS用户拥有的 因此在缺省情况下 只能SYS用户和拥有DBA权限的用户才能看到所有视图 数据字典 查看所有用户 Select fromdba users Select fromall users Select fromuser users 查看用户或角色系统权限 直接赋值给用户或角色的系统权限 Select fromdba sys privs Select fromuser sys privs 查看角色 只能查看登陆用户拥有的角色 所包含的权限Select fromrole sys privs 查看所有角色 Select fromdba roles 数据字典 查看用户对象权限 Select fromdba tab privs Select fromall tab privs Select fromuser tab privs 查看用户或角色所拥有的权限 Select fromdba role privs Select fromuser role privs 查看Oracle提供的系统权限Selectnamefromsys system privilege map 数据字典 查看一个用户的所有系统权限 包含角色的系统权限 Selectprivilegefromdba sys privswheregrantee 用户名 UnionSelectprivilegefromdba sys privswheregranteein selectgranted roleFromdba role privswheregrantee 用户名 被授予权限的用户名 授予的权限名 授予的权限 数据字典 Oracle的动态性能视图都是以V 开头的查看哪些用户有sysdba或sysoper系统权限Select fromv pwfile users 查看各用户对应的会话信息 Selectusername process program statusfromv session Colusernameformata10Colp