Oracle用户及权限管理课件_第1页
Oracle用户及权限管理课件_第2页
Oracle用户及权限管理课件_第3页
Oracle用户及权限管理课件_第4页
Oracle用户及权限管理课件_第5页
已阅读5页,还剩48页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、Oracle用户及权限管理第1页,共53页。本章主要内容管理用户管理权限管理角色管理口令安全及资源权限:能做什么资源:能使用多少第2页,共53页。Oracle审核用户方法包括三种:口令, 外部(externally),全局(global)db os oracle安全服务器第3页,共53页。创建数据库审核帐户create user yzpidentified by yzpdefault tablespace userstemporary tablespace tempquota 15m on userspassword expire;第4页,共53页。更加全面的一个例子:Create user

2、spankyIdentified by first01 (指定oracle审核初始密码)Default tablespace users (指定存放数据的表空间为users表空间)Temporary tablesapce temp (为用户指定临时表空间为temp)Quota 10m on users (users表空间上的限额)Profile app_developer (概要文件名为app_developer,可采用default缺省概要文件)Password expire (密码到期,也就是用户第一次登录要修改密码) Account unlock; (默认值为未锁定状态)第5页,共53页

3、。修改用户信息alter user test account lock;alter user test account unlock;alter user test password expire;Alter user testDefault tablespce tbspTemporary tablespace temp;第6页,共53页。用户修改自己的信息用户只能修改自己的密码;语句为:alter user yzp1 identified by newpwd replace oldpwd;第7页,共53页。删除用户Drop user username;当用户拥有对象,则用以下语句删除:Dro

4、p user username cascade;正在连接的用户不可以被删掉第8页,共53页。 select * from dba_users;select * from dba_objects where owner=TURNEROWNER OBJECT_NAME- -TURNER TB1SQL drop user turner;drop user turner*第 1 行出现错误:ORA-01922: 必须指定 CASCADE 以删除 TURNER第9页,共53页。查取相关信息Dba_users Dba_ts_quotas:用户所拥有的空间限额USER_TS_QUOTAS 第10页,共53页

5、。权限1)系统权限:是一种功能很强的权限,它向用户提供了执行某一种或某类型的数据库操作的能力。有近100种系统权限。 系统权限可授权给用户或角色,一般,系统权限只授予管理人员和应用开发人员,终端用户不需要这些相关功能。2)对象权限:在指定的表、视图、序列、过程、函数或包上等对象上执行特殊动作的权利。第11页,共53页。第12页,共53页。sysoper:startupshutdownalter database open/mountalter database backup controlfile torecover database(完全修复,不具有部分修复)alter database a

6、rchivelog没有创建,备份的权限。sysdba:sysopercreate databasealter database begin/end backuprestricted sessionrecover database until第13页,共53页。 无 create index权限。如果有create table权限则能够创建索引。无truncate table/truncate any table 。(drop any table 体现)第14页,共53页。授予系统权限grant create session to emi with admin option;with admin

7、 option:表示当授予某用户时,允许他把获得的权限授予他人。第15页,共53页。对象权限Object priv.TableViewSequenceProcedureAlterDeleteExecuteIndexInsertReferencesSelectUpdate第16页,共53页。授予对象权限grant object_privs(column,.) on object_name to user/role/public.with grant optiongrant insert(id,name) on tb1 to user1;grant execute on dbms_output t

8、o jeff;grant all on emp1 to yzp;grant select on authors to testuser1 with grant option第17页,共53页。撤销权限 Revoke create table from testuser2 Revoke select on authors from testuser1;系统权限不具有级联作用对象权限有级联作用第18页,共53页。验证收回系统权限不级联,收回对象权限级联testuser1testuser2testuser3Create sessionSelect on empSYSCreate session wi

9、thGrant optionSelect on emp withGrant option第19页,共53页。conn sys/orcl as sysdba; create user testuser1 identified by yzp; create user testuser2 identified by yzp; create user testuser3 identified by yzp; grant create session to testuser1 with admin option; grant create session to testuser2; grant sele

10、ct on scott.emp to testuser2 with grant option;conn testuser1/yzp; grant create session to testuser3;/conn testuser2/yzp grant select on scott.emp to testuser3;/conn testuser3/yzp select * from scott.emp;/conn sys/orcl as sysdba; revoke create session from testuser1; revoke select on scott.emp from

11、testuser2;/ conn testuser3/yzp select * from scott.emp;第20页,共53页。公共用户publicPublic是数据库上的一个特殊用户,如果把某个系统权限、对象权限、或角色授予public用户,则数据库中所有用户都拥有该权限。所以建议不要给public授予过多权限和角色。第21页,共53页。角色创建修改roles控制可用性删除roles用预定义的roles显示roles信息,都有什么样的权限第22页,共53页。第23页,共53页。角色是命名的权限的集合,为了方便对用户权限的管理。角色不包含在任何模式中.注意:(1)一个角色可授予系统权限或对象

12、权限。(2)一个角色可授权给其它角色,但不能循环授权。(3)授权给用户的每一角色可以是可用的或者不可用的。第24页,共53页。创建role使用CREATE ROLE语句可以创建一个新的角色,执行该语句的用户必须具有CREATE ROLE系统权限。授予权限.把角色授予给用户 create role role1 identified by yzp;grant select,update,delete on scott.emp to role1;grant create session to role1;create user yzp identified by yzp;grant role1 to

13、 yzp;第25页,共53页。默认只有建立角色的用户具有对该角色的管理权限。可以使用以下语句,把管理角色的能力授予用户。Grant rolename to username with admin option第26页,共53页。控制角色可用性 alter user yzp default role all;指定赋予yzp的所有的角色都是默认角色。即登录就开启的。Alter user yzp default role connect;角色connect被指定为默认Alter user yzp default role all except role1; role1为唯一非默认角色Alter us

14、er yzp default role none;第27页,共53页。用户可以在会话当中启用或禁用角色 select * from session_roles;set role connect;select * from session_roles;set role role1 identified by yzp;set role all except role1;Set role none;第28页,共53页。删除角色撤销用户角色:Revoke role1 from yzp;删除角色:drop role role1;在删除角色前不需要撤销角色;第29页,共53页。查询角色信息DBA_ROLE

15、S:数据库中所有角色及有否口令DBA_ROLE_PRIVS所有用户及被授予的角色ROLE_ROLE_PRIVS所有角色及被授予的角色DBA_SYS_PRIVS所有角色和用户的系统权限DBA_TAB_PRIVS所有角色和用户的对象权限ROLE_SYS_PRIVS被授予角色的系统权限ROLE_TAB_PRIVS被授予角色的对象权限SESSION_ROLES当前会话中可用的角色session_privs 当前会话中可用的权限 user_role_privs 当前用户被授予的角色第30页,共53页。预定义角色CONNECT 角色 该角色使用户可以连接数据库.默认情况下,该角色不能访问其他用户的表。 s

16、elect privilege from dba_sys_privs where grantee=CONNECT;PRIVILEGE-CREATE SESSION第31页,共53页。RESOURCE 角色 它允许用户拥有较多的系统权限,如创建触发器或存储过程。select privilege from dba_sys_privs where grantee=RESOURCE ;PRIVILEGE-CREATE TRIGGERCREATE SEQUENCECREATE TYPECREATE PROCEDURECREATE CLUSTERCREATE OPERATORCREATE INDEXTYP

17、ECREATE TABLE第32页,共53页。SQL select privilege from dba_sys_privs where grantee=YZP;PRIVILEGE-UNLIMITED TABLESPACEUNLIMITED TABLESPACE 权限 (实际上是resource隐含的一个权限,Oracle为什么这样做,没有明确的文档说明,在 10g 中为了向后兼容,也是这样的.), 恶意用户利用这个造成麻烦很容易:在 SYSTEM 建立一个足够大的表即可让数据库宕机.第33页,共53页。DBA角色:允许用户拥有所有系统权限 权限的分配要遵循最小授权原则,只给用户必须的权限 第

18、34页,共53页。概要文件口令和资源限制条件的集合创建或修改用户时为其指定profile。缺省情况下的默认概要文件用户使用资源没有做任何的限制第35页,共53页。为什么使用概要文件概要文件限制用户使用驻留Oracle数据库的系统资源的能力。不是为了让使用超过某资源阈值的用户离开系统。二是为了让用户做任何他们想做的事情。为了限制数据库不需要和不能接受的使用第36页,共53页。开启资源限制 1、修改init.ora中的参数 RESOURCE_LIMIT=TRUE2、开启当前系统中的资源限制:ALTER SYSTEM SET RESOURCE_LIMIT=TRUE; 第37页,共53页。用概要文件管

19、理口令UserPassword expiration and agingPassword verificationPassword historyAccount lockingSetting up profiles第38页,共53页。Password Account LockingParameterFAILED_LOGIN_ATTEMPTSPASSWORD_LOCK_TIME Description可以允许密码错误的次数登录失败之后,帐户锁定的天数PASSWORD_LOCK_TIME 第39页,共53页。Password Expiration and AgingParameter生命期,多长时

20、间到期(天)到期后,第一次登录之后还有多长时间可以改变帐户(天)PASSWORD_LIFE_TIMEPASSWORD_GRACE_TIMEParameter第40页,共53页。Password HistoryParameterPASSWORD_REUSE_TIMEPASSWORD_REUSE_MAX密码可以被重用的最小间隔(天)重用密码前更换密码的最小次数 Description第41页,共53页。PASSWORD_REUSE_TIMEPASSWORD_REUSE_MAX注:这两个参数如果都为unlimited,这时密码可以任意重用,没有限制。一个为UNLIMITED,另一个为其他值,这个时候

21、你的密码将永远无法重用 。如果同时设置两个参数,那么都需要满足 。第42页,共53页。Password VerificationPASSWORD_VERIFY_FUNCTIONPL/SQL 函数,用以验证密码的复杂性 ParameterDescription第43页,共53页。创建概要文件create profile profile1 limitfailed_login_attempts 3 password_lock_time 1/1440; alter user yzp profile profile1第44页,共53页。修改概要文件: Password SettingALTER PROF

22、ILE profile1 limitPASSWORD_LIFE_TIME 60PASSWORD_GRACE_TIME 10;第45页,共53页。 Creating a Profile: Password SettingsALTER PROFILE profile1 LIMITPASSWORD_LIFE_TIME 60PASSWORD_GRACE_TIME 10PASSWORD_REUSE_TIME 1800PASSWORD_REUSE_MAX UNLIMITEDFAILED_LOGIN_ATTEMPTS 3PASSWORD_LOCK_TIME 1/1440PASSWORD_VERIFY_FUN

23、CTION verify_function;oracleproduct10.2.0db_1RDBMSADMINutlpwdmg.sql第46页,共53页。SQL alter user yzp identified by y replace yzp;alter user yzp identified by y replace yzp*第 1 行出现错误:ORA-28003: 指定口令的口令验证失败ORA-20002: Password length less than 4alter user yzp identified by yzp replace yzp*第 1 行出现错误:ORA-28003: 指定口令的口令验证失败ORA-20001: Password same as or similar to user第47页,共53页。用概要文件控制资源会话级:用户超过了会话级资源限制,会得到错误,并自动终止会话。 sessions_

人人文库> 全部分类> 教育资料 > 课件下载

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论