oracle用户及权限管理.ppt

1、Oracle 用户及权限管理,Question,建立用户表空间mytbs，该表空间基于2个数据文件，其大小均为50M。 创建临时表空间mytempbs，该表空间基于1个数据文件，初始大小10M，每次增长1m，最大15m。 表空间的状态有几种？ 为表空间usertbs增加一个数据文件 移动表空间的数据文件有哪些步骤？系统表空间呢？,本章目标,能初步掌握用户的管理 能初步掌握用户权限的管理 能初步掌握角色的管理,主要内容,Oracle认证方法 用户管理 权限管理 角色管理,Oracle认证方法,认证是指对需要使用数据、资源或应用程序的用户进行身份确认。 通过认证后，可以为用户后面的数据库操作提供一

2、种可靠的连接关系。,Oracle认证方法,Oracle提供了多种身份认证方式 操作系统身份认证 Oracle数据库身份认证 管理员身份认证,操作系统身份认证,主要是对登录操作系统的用户合法身份进行认证。一些操作系统允许Oracle使用它们的用户认证信息。一旦用户被操作系统所认证，他就可以很方便地连接到Oracle，不需要再输入用户名和密码。,Oracle数据库身份认证,是指数据库使用存储在数据库中的信息对试图连接数据库的用户进行身份认证。为了建立数据库身份验证机制，在创建数据库用户时，需要指定相应的用户密码。在用户连接数据库时，必须提供正确的用户名和密码，才能登录到Oracle数据库。,数据库

3、管理员认证,数据库管理员拥有极高的管理权限，可以执行一些特殊的操作，如关闭或启动数据库。因此，为了安全考虑，Oracle数据库为数据库管理员提供了安全的认证方式，用户可以选择进行操作系统认证或密码文件认证。,主要内容,Oracle认证方法 用户管理 权限管理 角色管理,用户管理,创建用户 修改用户密码 锁定与解除用户锁定 修改用户的默认的表空间 查看用户信息 删除用户,预定义用户,Sys 用于执行数据库管理任务的账户。 System 用于执行数据管理任务的另一个账户； Sysman 使用oracle enterprise manager执行数据管理任务的账户； Dbsnmp 由oracle e

4、nterprise manager的管理代理人组建使用的账户，用于监视和管理数据库。,Sys是自动创建的管理账户，并被授予dba角色，因此有该角色的相应权限。数据字典的基础表和视图都是存储在sys方案中，为了维护数据字典的完整性，在sys方案中的表只能由数据库来操作，任何人不能在sys方案中创建任何表。因为sys用户的权限比较大，所以应该确保绝大多数用户不能用sys账户连接数据库。 System账户一般用户创建显示管理信息的表和视图，或被oracle数据库选项和工具使用的内部表和视图。不要在system方案中存储并不用于数据管理的表。,创建用户,语法形式： Create user user_n

5、ame Identified by password Default tablespace def_tablespace temporary tablespace temp_tablespace,其中 user_name指定将要创建的新数据库用户名称。 Password指定该新数据库用户的密码。 def_tablespace指定存储该用户所创建对象的默认表空间。 temp_tablespace指定存储临时对象的默认表空间。 在创建用户时，创建者必须具有create user系统权限。,例如：创建新用户，用户名和密码分别为itsoft和itsoft，默认表空间users，临时对象默认表空间为te

6、mp。,修改用户密码,在Oracle 10g中修改数据库用户密码的方式有两种： 第一种是使用alter user语句修改用户密码； 第二种是使用password命令修改用户密码。 其区别在于第一种方法即可以修改当前用户的密码，也可以修改其它用户的密码；而第二种方式只能修改当前用户的密码。,使用alter user语句修改口令,语法形式如下所示 Alter user user_name Identified by new_password,其中： user_name是将要修改密码的数据库用户名称。 new_password新的用户密码。,例如：sys用户登录，（1）用alter user修改it

7、soft用户的密码，（2）用password命令修改当前用户的密码。如图3所示。,锁定用户和解除用户锁定,如果要禁止某个用户访问Oracle 10g系统，那么最好的方式是锁定该用户，而不是删除该用户。锁定用户并不影响该用户所拥有的对象和权限，这些对象和权限依然存在，只是暂时不能以该用户的身份访问系统。当锁定解除后，该用户可以正常地访问系统、按照自己原有的权限访问各种对象。,其中 Lock表示锁定用户。 Unlock表示解除锁定用户。,锁定和解除锁定的语法形式如下所示： Alter user user_name accountlock|unlock,例如：以sys用户登录，对ifsoft用户进行

8、锁定和解除锁定操作。,修改用户的默认表空间,其中： user_name将要修改的数据库用户名称。 new_def_tablespace新的默认表空间名称。 new_temp_tablespace 新的临时表空间名称。,修改语法形式如下： Alter user user_name Default tablespace new_def_tablespace temporary tablespace new_temp_tablespace,查看用户信息,可以通过dba_users数据字典视图查看有关用户的信息。,删除用户,其中： user_name将要删除的数据库用户名称。 cascade 删除该用

9、户所拥有的对象。,删除用户的drop user语法形式如下所示 ： Drop user user_name cascade,OEM中管理用户,主要内容,Oracle认证方法 用户管理 权限管理 角色管理,权限管理,系统权限 对象权限,系统权限,指在系统级控制数据库的存取和使用的机制，即执行某种SQL语句的能力。,为用户授予系统权限,其中： sys_privilege将要授予的系统权限，多个系统权限之间用逗号分隔。 user_name将要授予系统权限的用户名称。 with admin option选项表示该用户可以将这种系统权限转授予其他用户。,语法形式： Grant sys_privilege

10、,sys_privilege to user_name with admin option,查看用户的系统权限,user_sys_privs数据字典视图查看有关用户和权限的信息。 user_sys_privs数据字典视图中，包含了用户名称、系统权限和是否能转授权限的标志灯信息。 user_sys_privs数据字典视图的信息与用户紧密关联，随用户的不同而不同。,收回授予的系统权限,其中： sys_privilege将要撤销的系统权限，多个系统权限之间用逗号分隔。 user_name将要撤销系统权限的用户名称。,Revoke语法形式如下所示： Revoke sys_privilege,sys_p

11、rivilege from user_name,回收系统权限不会级联,对象权限授予,对象权限是指在数据库中针对特定的对象执行的操作。对象权限包括两个方面的内容，即特定的对象和特定的权限。,对象权限授予,对象权限授予语法形式 Grant object_privilege(column_name) On object_name to user_name with grant option,其中 object_privilege表示对象权限。 column_name表示对象中的列名称。 object_name表示指定的对象名称。 user_name表示接受权限的目标用户名称。 with grant

12、option选项表示允许该用户奖当前的对象权限转授予其他用户。,对象权限查看,在Oracle10g中，可以使用user_tab_privs_made,user_col_privs_made,user_tab_privs_recd和user_col_privs_recd等数据字典视图查看有关用户和对象的权限信息。,撤销对象权限,其中 object_privilege表示对象权限。 object_name表示指定的对象名称。 user_name表示将要撤销对象权限的用户名称。,撤销对象权限语法形式： Revoke object_privilege on object_name from user_

13、name,在撤销对象权限时，与撤销系统权限不同的是， 当某个用户的对象权限被撤销后，从该对象转授出去的权限也自动被撤销了。,主要内容,Oracle认证方法 用户管理 权限管理 角色管理,角色管理,创建角色 为角色和用户授予权限 查看角色信息 撤销角色权限 删除角色,创建角色,其中： role_name表示要创建的角色名称。 role_password表示所创建的角色口令。,创建角色语法形式： Create role role_name identified by role_password,为角色和用户授予权限,在角色创建之后，如果没有为角色授予权限，那么角色毫无用处。对于角色来说，既可以授予

14、系统权限，也可以授予对象权限，还可以把另一个角色的权限授予给它。,查看角色信息,在Oracle 10g系统中，可以通过user_role_privs，role_sys_privs和role_tab_privs等数据字典试图查看有关角色的信息。,撤销角色权限,可以把授予角色的权限收回。撤销使用revoke语句。,删除角色,其中 role_name表示要删除的角色名称,使用Drop role语句形式如下所示 Drop role role_name,Questions,1、创建一个用户myuser0，密码abc，默认表空间users，默认临时表空间temp； 2、用myuser0登录数据库，并能创建

15、表，至少需要给它赋予哪些权限。保证所赋权限能传递。 3、对改用户账户加锁 4、对myuser0用户赋予对scott用户的dept表的select、update权限。 5、取消4中所赋予的update权限,6、系统权限 SQLGrant create session,create table to myuser0; SQLconn myuser0/abc; SQLgrant create table to myuser1; SQLconn sys/sys as sysdba; SQLrevoke create table from myuser0;,7、对象权限 SQLGrant select

16、,delete to myuser0 with grant option; SQLconn myuser0/abc; SQLgrant delete on scott.dept to myuser1; SQLconn sys/sys as sysdba; SQLrevoke delete on scott.dept from myuser0;,用户的角色管理,给用户授予角色,SQLGrant rolename,rolename2 to user | role | public ,user | role | public with admin option,with admin option选项

17、，表示获得该角色的用户 还可以将该角色再授予其他用户或角色，或从其他 用户那里回收该角色，并且可以修改或删除该角色。 如果一个用户在获得角色时没有得到该选项，则该 用户需要具有grant any role 系统权限才能做这些事情。,在前面例子中，如果在将myrole1角色授予myuser1用户时带with admin option选项，则myuser1用户可将获得的myrole1角色再授予myuser2用户。然而能否将myrole1角色中的系统权限、对象权限再单独授予myuser2用户，仍需要看在给myrole1角色授予这些权限时是否带有with admin option 选项（因为在授予对象

18、权限时不能带with grant option选项，所以对于对象权限没有此问题）。,可授予的权限,对象权限1,对象权限2,系统权限1,系统权限2,对象权限1,对象权限2,系统权限1（admin）,系统权限2,对象权限1,对象权限2,系统权限1,系统权限2（admin）,角色1（具有ADMIN）,角色2（不具有ADMIN）,回收用户的角色,Revoke role1 ,role2 from user|role|public user|role|public,SQLrevoke myrole2 from myuser2,更改用户的默认角色,username表示被授予默认角色的用户名 Role1，ro

19、le2表示默认的角色名 All 表示除了except子句指定角色之外的角色都是默认角色 Except子句后面的rolex，roley表示该角色不是默认角色 None 表示授予用户的所有角色都不是默认角色,Alter user username default role role1,role2|all except rolex ,roley. |none ,更改默认角色一般都是有dba完成，如果其他用户要更改用户的默认角色，则要求该用户必须具有alter user 系统权限。,SQLalter user myuser1 default role connect,myrole1; SQLalter

20、 user myuser1 default role all;,启用与禁用角色,Set role role1 identified pwd ,role2 identified pwd |all except rolex ,roley. |none ,Role1，role2表示要启动的角色名 All 表示启动除了except子句指定角色之外的角色 Except子句后面的rolex，roley表示禁用角色 None 表示禁用所有角色,SQLset role all except myrole1;,概要文件,概要文件概述 管理概要文件 使用概要文件管理口令 使用概要文件管理资源 查询概要文件,概要文

21、件(profile),概要文件是一个命名的资源限定的集合，也称为“资源文件”或配置文件。 是oracle安全策略的重要组成部分。利用概要文件可以为用户设置口令策略，可以限制用户对硬件系统和数据库资源的使用。 在安装、创建数据库时，oracle会自动创建一个名为default的默认概要文件。创建用户时如果没有明确地为用户指定概要文件，那么就表示他使用的是默认概要文件。,默认概要文件初始时对资源没有做任何限制，参数值都是unlimited。数据库管理员可以修改这些参数值，以便默认地将这些参数值应用到使用默认概要文件的所有用户。 概要文件将口令资源管理、内核资源管理的各个方面分门别类地用不同的参数来

22、表示，用这些参数的值来表示对相应的资源限制。 将一个概要文件分配给一个用户，就可以限定该用户对各种资源的使用。在用户所使用的资源超过限制之前，不会发生任何动作，所以概要文件首先起到的是防范作用。,概要文件不是一个物理的操作系统中的文件，而是sys用户的几个表。 当安装、创建数据库之后就会运行sql.bsq脚本创建这个几个表：profile表，profname表，resource_map表和resource_cost表等。可以在%oracle_home%rdbmsadmin目录下找到该脚本。,创建概要文件,Create profile profile_name limit password_li

23、fe_time n|unlimited|default password_grace_time n|unlimited|default password_reuse_max n|unlimited|default password_reuse_time n|unlimited|default password_lock_time n|unlimited|default CPU_per_session n|unlimited|default session_pre_user n|unlimited|default,n 表示最大整数值 Unlimited 表示分配到该概要文件的用户可以无限制地使用

24、该资源 Default表示该概要文件的该项资源使用默认概要文件中的值。,登录尝试4次，被锁口令30天后自动解除。,SQLcreate profile myprofile1 limit failed_login_attempts 4 password_lock_time 30;,更改概要文件,alter profile profile_name limit password_life_time n|unlimited|default password_grace_time n|unlimited|default password_reuse_max n|unlimited|default pas

25、sword_reuse_time n|unlimited|default password_lock_time n|unlimited|default CPU_per_session n|unlimited|default session_pre_user n|unlimited|default,SQLalter profile myprofile1 limit failed_login_attempts 3;,SQLalter profile myprofile1 limit password_life_time 100;,分配概要文件,每个用户必须且只能有一个概要文件。,SQLcreate user myuser3 identified by abc default tablespace users temporary tablespace temp quota unlimited on users quota 10m on temp profile myprofile1;,SQLalter user myuser2 profile myprofil