第03章网络连接配置与系统安全

第第3章章 网络连接配置与系统安全网络连接配置与系统安全 w 3.1 Oracle Netw 3.2 系统与对象权限管理系统与对象权限管理w 3.3 用户与角色用户与角色w 3.4 概要文件概要文件w 3.5 同义词同义词w 3.6 建立安全策略建立安全策略Oracle Net主要功能是在系统中计算机之间建主要功能是在系统中计算机之间建立网络会话和传输数据立网络会话和传输数据客户机和服务器之间客户机和服务器之间两个服务器之间两个服务器之间配置程序配置程序早期版本：早期版本：Oracle SQL Net/Net8 Easy Config9i/10g：Net Configuration Assistant Net ManagerOracle Net是是Oracle网络产品的基础，为实现网络产品的基础，为实现分布式计算和各软件工具集成提供支持分布式计算和各软件工具集成提供支持3.1 Oracle Net典型的典型的C/SC/S结构系统结构系统 是驻留在服务器上的一个独立的进程是驻留在服务器上的一个独立的进程能够监听指定端口上的使用指定网络连能够监听指定端口上的使用指定网络连接协议的连接请求接协议的连接请求监听进程接收网络中客户机的连接请求监听进程接收网络中客户机的连接请求并管理传送到服务器的这些请求的通信并管理传送到服务器的这些请求的通信监听程序配置文件：监听程序配置文件：listener.ora1.1.监听程序监听程序 本地管理模式本地管理模式连接信息存储在网络内每台计算机连接信息存储在网络内每台计算机的的tnsnames.ora文件中文件中2.2.Oracle NetOracle Net客户端的配置模式客户端的配置模式集中管理模式集中管理模式连接信息集中存储在目录服务器或连接信息集中存储在目录服务器或Oracle名称服务器中名称服务器中服务器进程作为监听程序与数据库服务服务器进程作为监听程序与数据库服务器之间的连接，并代理用户与数据库服器之间的连接，并代理用户与数据库服务器交互务器交互3.3.服务器进程服务器进程服务器进程可以配置为两种模式服务器进程可以配置为两种模式专用服务器模式专用服务器模式共享服务器模式共享服务器模式4.Oracle Net4.Oracle Net工作原理工作原理5.关于全局数据库名关于全局数据库名在一个分布式环境中，多个在一个分布式环境中，多个OracleOracle数据库数据库可能有相同的数据库名称，此时需要使用可能有相同的数据库名称，此时需要使用全局数据库名以便进行区分全局数据库名以便进行区分由数据库名由数据库名db_namedb_name和数据库域名和数据库域名db_domaindb_domain两两个初始化参数标识全局数据库名个初始化参数标识全局数据库名全局数据库名在监听程序配置文件全局数据库名在监听程序配置文件listener.oralistener.ora中表示为中表示为GLOBAL_DBNAMEGLOBAL_DBNAMEGLOBAL_DBNAMEGLOBAL_DBNAME标示的全局数据库名格式为：标示的全局数据库名格式为：数据库名数据库名.数据库域名数据库域名 需要为每一个数据库例程配置监听信息才能接收需要为每一个数据库例程配置监听信息才能接收到来自客户机的请求到来自客户机的请求 6.服务器监听程序配置服务器监听程序配置监听程序的配置信息包括监听程序的配置信息包括监听的协议地址监听的协议地址支持服务的信息支持服务的信息控制服务器进程运行特征的参数控制服务器进程运行特征的参数监听程序配置不当或没有启动监听进程时，客户监听程序配置不当或没有启动监听进程时，客户计算机将不能连接到计算机将不能连接到OracleOracle服务器服务器7.Oracle Net客户端配置客户端配置需要为客户端应用程序配置连接到服务器需要为客户端应用程序配置连接到服务器端端OracleOracle数据库服务的方法数据库服务的方法本地本地NetNet服务名（服务名（主机字符串主机字符串）是一个描述）是一个描述符，描述了要连接的符，描述了要连接的OracleOracle服务器和其中服务器和其中的的OracleOracle数据库例程数据库例程典型的配置是在客户计算机中建立保存典型的配置是在客户计算机中建立保存“本地本地NetNet服务名服务名”的文件。客户机端的文件。客户机端Oracle Oracle NetNet通过该文件来解析通过该文件来解析OracleOracle网络服务信息网络服务信息7.Oracle Net客户端配置客户端配置重要的关键字重要的关键字ADDRESS:ADDRESS:采用的网络协议和目标主机地址、监听端口采用的网络协议和目标主机地址、监听端口SERVICE_NAME:SERVICE_NAME:目标服务器中数据库例程名称目标服务器中数据库例程名称一般对应一般对应listener.oralistener.ora中的中的GLOBAL_DBNAMEGLOBAL_DBNAMESERVERSERVER：服务器进程的工作模式服务器进程的工作模式SERVER=DEDICATEDSERVER=DEDICATED，专用服务器模式专用服务器模式SERVER=SHAREDSERVER=SHARED，共享服务器模式共享服务器模式ORACLE_HOMENETWORKADMINtnsnames.oraORACLE_HOMENETWORKADMINtnsnames.ora可手工配置可手工配置 或或 用工具完成配置用工具完成配置7.Oracle Net客户端配置客户端配置如何完成客户端配置如何完成客户端配置建议使用建议使用Net Configuration AssistantNet Configuration Assistant完成配置完成配置可手工修改配置可手工修改配置也可使用应用程序的安装程序经过选择服务器也可使用应用程序的安装程序经过选择服务器、指定数据库名等用程序生成配置文件、指定数据库名等用程序生成配置文件客户端配置注意事项客户端配置注意事项配置完成后应进行登录连接测试确保配置正确配置完成后应进行登录连接测试确保配置正确确保操作系统层正确的配置了相关通信协议确保操作系统层正确的配置了相关通信协议确保配置服务器监听程序监听了要使用的通信确保配置服务器监听程序监听了要使用的通信协议协议7.Oracle Net客户端配置客户端配置Oracle NetOracle Net支持的命名方法支持的命名方法本地命名（本地命名（TNSNAMESTNSNAMES）目录命名（目录命名（LDAPLDAP）主机命名（主机命名（HOSTNAMEHOSTNAME）轻松连接命名（轻松连接命名（EZCONNECTEZCONNECT）客户端配置概要文件客户端配置概要文件指定客户机所所要连接服务名的解析方法及优指定客户机所所要连接服务名的解析方法及优先顺序（从左至右，左边优先）先顺序（从左至右，左边优先）ORACLE_HOMENETWORKADMINsqlnet.oraORACLE_HOMENETWORKADMINsqlnet.ora手工配置手工配置 Oracle 提供用户、角色、同义词、视图提供用户、角色、同义词、视图、系统特权与对象权限、概要文件等保证、系统特权与对象权限、概要文件等保证Oracle数据库系统及其中数据的安全。数据库系统及其中数据的安全。3.2 系统与对象权限管理系统与对象权限管理数据库系统及其中对象的访问权限一般数据库系统及其中对象的访问权限一般应由数据库系统管理员（应由数据库系统管理员（DBA）进行统进行统一管理一管理Oracle数据库用户权限分类数据库用户权限分类 对象权限对象权限 允许用户执行对指定对象（包括表、视图、序允许用户执行对指定对象（包括表、视图、序列、过程、函数和包）的特定操作。如将数据插入列、过程、函数和包）的特定操作。如将数据插入到某个表中、允许检索某个表中数据等到某个表中、允许检索某个表中数据等 系统特权系统特权 允许用户执行特定的系统级操作或在特定的对允许用户执行特定的系统级操作或在特定的对象类型上执行特定操作。如创建表空间、创建表等象类型上执行特定操作。如创建表空间、创建表等 列访问权限列访问权限 限定用户只能在某个表的某些列上执行限定用户只能在某个表的某些列上执行INSERTINSERT、UPDATEUPDATE操作或参照引用（操作或参照引用（REFERENCESREFERENCES）某些列某些列1.系统特权系统特权CONNECTCONNECT特权角色用户是权限最低的用户。特权角色用户是权限最低的用户。权限如下：权限如下：OracleOracle数据库为了简化对系统特权的管理，创建数据库为了简化对系统特权的管理，创建了了CONNECTCONNECT、RESOURCERESOURCE和和DBADBA三个典型特权角色三个典型特权角色登录到登录到OracleOracle数据库和修改口令数据库和修改口令对自己的表执行查询、删除、修改和插入对自己的表执行查询、删除、修改和插入查询经过授权的其他用户的表和视图数据查询经过授权的其他用户的表和视图数据插入、修改、删除经过授权的其他用户的表插入、修改、删除经过授权的其他用户的表创建自己拥有的表的视图、同义词创建自己拥有的表的视图、同义词完成经过授权的基于表或用户的数据卸载完成经过授权的基于表或用户的数据卸载1.系统特权系统特权RESOURCERESOURCE特权角色除了具有特权角色除了具有CONNECTCONNECT特权角色的特权角色的所有权限外，还可以进行下列操作：所有权限外，还可以进行下列操作：创建基表、视图、索引、聚簇和序列创建基表、视图、索引、聚簇和序列授予和回收其他用户对其数据库对象的存取特授予和回收其他用户对其数据库对象的存取特权权对自己拥有的表、索引、聚簇等数据库对象的对自己拥有的表、索引、聚簇等数据库对象的存取活动进行审计存取活动进行审计DBADBA特权角色是系统中的最高级别特权角色，可特权角色是系统中的最高级别特权角色，可执行创建用户、导出系统数据等特权操作执行创建用户、导出系统数据等特权操作1.系统特权系统特权建议建议用用CREATE SESSIONCREATE SESSION系统特权代替系统特权代替CONNECTCONNECT特权角色特权角色用用CREATE TABLECREATE TABLE、CREATE PROCEDURECREATE PROCEDURE、CREATE TRIGGERCREATE TRIGGER等具体的系统特权等具体的系统特权来代替来代替RESOURCERESOURCE特权角色特权角色用用SYSOPERSYSOPER和和SYSDBASYSDBA代替代替DBADBA特权角色特权角色慎用慎用DBADBA特权角色特权角色1.系统特权系统特权 SYSDBA SYSDBA是系统中级别最高的权限是系统中级别最高的权限 拥有拥有STARTUPSTARTUP，SHUTDOWNSHUTDOWN，ALTER DATABASEALTER DATABASE，CREATE DATABASECREATE DATABASE，CREATE SPFILECREATE SPFILE，ARCHIVELOGARCHIVELOG，RECOVERYRECOVERY和和RESTRICTED SESSIONRESTRICTED SESSION等系统特权等系统特权 该特权身份登录系统时实际上相当于以该特权身份登录系统时实际上相当于以SYSSYS用户用户登录数据库登录数据库系统特权大多以系统特权大多以CREATECREATE、ALTERALTER、DROPDROP、SELECT SELECT、INSERT INSERT、UPDATEUPDATE、DELETEDELETE等等DDLDDL或或DMLDML语句的语句的字眼开头，代表用户能在系统中执行的操作字眼开头，代表用户能在系统中执行的操作1.系统特权系统特权SYSOPERSYSOPER能执行能执行STARTUPSTARTUP，SHUTDOWNSHUTDOWN，CREATE CREATE SPFILESPFILE，ALTER DATABASE OPEN/MOUNT/BACKUPALTER DATABASE OPEN/MOUNT/BACKUP，ARCHIVELOGARCHIVELOG和和RECOVERYRECOVERY，RESTRICTED SESSIONRESTRICTED SESSION等等系统特权操作系统特权操作DBADBA身份用户可以访问身份用户可以访问DBA_SYS_PRIVSDBA_SYS_PRIVS视图查看视图查看授予用户的系统特权信息授予用户的系统特权信息普通用户可以访问用户视图普通用户可以访问用户视图USER_SYS_PRIVSUSER_SYS_PRIVS查查看自己获得的系统特权看自己获得的系统特权例例3.1 查看用户具有的系统特权。查看用户具有的系统特权。EXA_03_01.SQL 2.对象权限对象权限共有共有9 9种对象权限种对象权限插入（插入（INSERTINSERT）删除（删除（DELETEDELETE）更新（更新（UPDATEUPDATE）选择（选择（SELECTSELECT）修改（修改（ALTERALTER）运行（运行（EXECUTEEXECUTE）参照引用（参照引用（REFERENCEREFERENCE）索引（索引（INDEXINDEX）读（读（READREAD）/写（写（WRITEWRITE）OracleOracle提供针对性的对象存取控制权限提供针对性的对象存取控制权限创建对象的用户拥有该对象的所有对象权限，无创建对象的用户拥有该对象的所有对象权限，无需为对象的拥有者授予对象权限需为对象的拥有者授予对象权限2.对象权限对象权限表的访问权限表的访问权限ALTERALTER：修改表定义修改表定义DELETEDELETE：删除表数据删除表数据INDEXINDEX：为表创建索引为表创建索引INSERTINSERT：对表进行插入对表进行插入SELECTSELECT：查询查询UPDATEUPDATE：修改数据修改数据REFERENCEREFERENCE：参照表中数据参照表中数据视图的访问权限视图的访问权限SELECTSELECT：查询视图数据查询视图数据INSERTINSERT：对视图进行插入对视图进行插入UPDATEUPDATE：修改视图数据修改视图数据DELETEDELETE：删除视图数据删除视图数据2.对象权限对象权限同义词的访问权限：同其对应的对象同义词的访问权限：同其对应的对象存储过程存储过程/函数函数/包包/类型的访问权限类型的访问权限EXECUTEEXECUTE：允许执行允许执行(或访问或访问)序列的访问权限序列的访问权限ALTERALTER：修改序列的定义修改序列的定义SELECTSELECT：使用序列的序列值使用序列的序列值目录访问权限目录访问权限READREAD：允许读取目录允许读取目录WRITEWRITE：允许在目录中创建文件、写入数据允许在目录中创建文件、写入数据3.数据库系统特权的授予与回收数据库系统特权的授予与回收WITH ADMIN OPTIONWITH ADMIN OPTION：允许得到权限的用户将权允许得到权限的用户将权限转授其他用户限转授其他用户PUBLICPUBLIC：表示系统中所有用户（用于简化授权）表示系统中所有用户（用于简化授权）授予系统特权的语法如下：授予系统特权的语法如下：GRANT system_privilege|role GRANT system_privilege|role TO user|role|PUBLIC TO user|role|PUBLIC WITH ADMIN OPTION;WITH ADMIN OPTION;对不同职责用户，应授予不同权限对不同职责用户，应授予不同权限只有只有DBADBA才可以将系统特权授予某个用户才可以将系统特权授予某个用户3.数据库系统特权的授予与回收数据库系统特权的授予与回收当系统特权使用当系统特权使用WITH ADMIN OPTIONWITH ADMIN OPTION选项传递给选项传递给其他用户时，收回原始用户的系统特权将不会产其他用户时，收回原始用户的系统特权将不会产生级联效应（回收传递授予用户的权限生级联效应（回收传递授予用户的权限）回收系统特权的语法如下：回收系统特权的语法如下：REVOKE system_privilege|role REVOKE system_privilege|role FROM user|role|PUBLIC;FROM user|role|PUBLIC;系统特权应逐个用户检查和管理系统特权应逐个用户检查和管理例例3.2 数据库系统特权的授予与回收。数据库系统特权的授予与回收。EXA_03_02.SQL4.对象权限的授予与回收对象权限的授予与回收WITH ADMIN OPTIONWITH ADMIN OPTION：允许得到权限的用户将权允许得到权限的用户将权限转授其他用户限转授其他用户PUBLICPUBLIC：表示系统中所有用户（用于简化授权）表示系统中所有用户（用于简化授权）对象权限的授权语法如下：对象权限的授权语法如下：GRANT object_privilege|ALL(column_list)GRANT object_privilege|ALL(column_list)ON schema.object ON schema.object TO user|role|PUBLIC WITH GRANT OPTION;TO user|role|PUBLIC WITH GRANT OPTION;应只对确实需要该对象访问权限的用户授权应只对确实需要该对象访问权限的用户授权只授予必须的权限，有必要限制只授予必须的权限，有必要限制ALLALL的使用的使用使用对象属主名前缀标识其他用户的对象使用对象属主名前缀标识其他用户的对象 用户名用户名.对象名对象名4.对象权限的授予与回收对象权限的授予与回收CASCADE CONSTRAINTSCASCADE CONSTRAINTS表示级联删除对象上存在表示级联删除对象上存在的参照完整性约束的参照完整性约束当对象权限使用当对象权限使用WITH GRANT OPTIONWITH GRANT OPTION传递给其他传递给其他用户时，收回原始用户的对象权限将会产生级联用户时，收回原始用户的对象权限将会产生级联效应，其他用户的对象访问权限会被一并收回。效应，其他用户的对象访问权限会被一并收回。数据库对象权限的回收语法如下：数据库对象权限的回收语法如下：REVOKE object_privilege|ALL REVOKE object_privilege|ALL ON schema.object FROM user|role|PUBLIC ON schema.object FROM user|role|PUBLIC CASCADE CONSTRAINTS;CASCADE CONSTRAINTS;例例3.3 对象访问权限授予与回收。对象访问权限授予与回收。EXA_03_03.SQL5.列访问权限列访问权限只有只有INSERTINSERT、UPDATEUPDATE和和REFERENCESREFERENCES作为列作为列访问权限可以在列级授予访问权限可以在列级授予数据字典数据字典USER_COL_PRIVS_MADEUSER_COL_PRIVS_MADE：授予其它用户的列权限授予其它用户的列权限USER_COL_PRIVS_RECDUSER_COL_PRIVS_RECD：获得的列权限获得的列权限例例3.4 列访问权限的授予与查看。列访问权限的授予与查看。EXA_03_04.SQL方案方案(Schema)是数据库对象是数据库对象(如表、视如表、视图、序列等图、序列等)的逻辑组织。的逻辑组织。3.3 用户与角色用户与角色一般情况下，一个应用一般情况下，一个应用(如库存管理如库存管理)对对应一个方案。需要为一个应用创建一个应一个方案。需要为一个应用创建一个数据库用户，并在该用户下创建这个应数据库用户，并在该用户下创建这个应用的各种数据库对象用的各种数据库对象角色是一组相关权限的集合，可简化权角色是一组相关权限的集合，可简化权限的管理限的管理1.配置身份验证配置身份验证对于一般用户对于一般用户 Oracle Oracle采用基于数据库的身份验证方法采用基于数据库的身份验证方法 在数据字典中记载用户名、口令等信息在数据字典中记载用户名、口令等信息SYSSYS用户身份及用户身份及SYSDBASYSDBA、SYSOPERSYSOPER系统特权用户系统特权用户权限很大，可能对数据库进行破坏性操作权限很大，可能对数据库进行破坏性操作有必要针对以有必要针对以DBADBA身份连接的用户设计专门的身身份连接的用户设计专门的身份验证方法份验证方法1.配置身份验证配置身份验证DBADBA用户身份验证方法用户身份验证方法使用操作系统集成的身份验证使用操作系统集成的身份验证通过通过OracleOracle口令文件进行验证口令文件进行验证初始化参数初始化参数remote_login_passwordfileremote_login_passwordfileNONENONE：忽略口令文件，通过操作系统进行身忽略口令文件，通过操作系统进行身份验证份验证EXCLUSIVEEXCLUSIVE：将使用数据库的口令文件对每将使用数据库的口令文件对每个具有权限的用户进行验证个具有权限的用户进行验证SHAREDSHARED：多个数据库将共享多个数据库将共享SYSSYS和和INTERNALINTERNAL口令文件用户口令文件用户默认值默认值:NONENONE1.配置身份验证配置身份验证通过操作系统验证通过操作系统验证DBADBA用户用户初始化参数初始化参数remote_login_passwordfile=NONEremote_login_passwordfile=NONEORACLE_HOMENETWORKADMINsqlnet.ora ORACLE_HOMENETWORKADMINsqlnet.ora SQLNET.AUTHENTICATION_SERVICES=(NTS)SQLNET.AUTHENTICATION_SERVICES=(NTS)在在WindowsWindows中建立中建立ORA_DBAORA_DBA用户组用户组将某个操作系统用户加入该组和将某个操作系统用户加入该组和WindowsWindows的的AdministratorsAdministrators组组以该用户登录操作系统，以以该用户登录操作系统，以SYSDBASYSDBA身份连接身份连接OracleOracle数据库时，不再需要验证数据库时，不再需要验证SYSSYS用户口令用户口令1.配置身份验证配置身份验证使用使用OracleOracle口令文件验证口令文件验证DBADBA用户用户初始化参数初始化参数remoteremote_ _loginlogin_ _passwordfilepasswordfile=EXCLUSIVE/SHARED=EXCLUSIVE/SHAREDORACLE_HOMENETWORKADMINsqlnet.oraORACLE_HOMENETWORKADMINsqlnet.ora 注释掉注释掉SQLNET.AUTHENTICATION_SERVICES=(NTS)SQLNET.AUTHENTICATION_SERVICES=(NTS)用用orapwdorapwd创建口令文件创建口令文件orapwd file=filename password=password orapwd file=filename password=password entries=max_usersentries=max_users为口令文件增加为口令文件增加DBADBA特权用户特权用户GRANT SYSDBA|SYSOPER TO user_name;GRANT SYSDBA|SYSOPER TO user_name;从口令文件中删除特权用户从口令文件中删除特权用户REVOKE SYSDBA|SYSOPER FROM user_name;REVOKE SYSDBA|SYSOPER FROM user_name;查看口令文件中用户查看口令文件中用户SELECT SELECT*FROM v_$pwfile_users;FROM v_$pwfile_users;2.创建与管理用户创建与管理用户用户管理应该考虑的问题用户管理应该考虑的问题身份验证方式身份验证方式默认表空间默认表空间临时表空间临时表空间表空间限额表空间限额资源与口令限制资源与口令限制(概要文件概要文件)账户状态账户状态操作权限操作权限 等等创建用户的操作一般由创建用户的操作一般由DBADBA完成完成用户创建完成后不具备任何权限，也不能连用户创建完成后不具备任何权限，也不能连接数据库，需由接数据库，需由DBADBA为其授予相关权限为其授予相关权限2.创建与管理用户创建与管理用户创建用户语法创建用户语法CREATE USER userCREATE USER user IDENTIFIED BY password|EXTERNALLY IDENTIFIED BY password|EXTERNALLY DEFAULT TABLESPACE tablespace DEFAULT TABLESPACE tablespace TEMPORARY TABLESPACE tablespace TEMPORARY TABLESPACE tablespace QUOTA QUOTA n K|M|UNLIMITEDn K|M|UNLIMITED ON TABLESPACE ON TABLESPACE PASSWORD EXPIRE PASSWORD EXPIRE ACCOUNT LOCK|UNLOCK ACCOUNT LOCK|UNLOCK PROFILE profile|DEFAULT ;PROFILE profile|DEFAULT ;删除用户语法删除用户语法DROP USER user CASCADE;DROP USER user CASCADE;CASCADECASCADE表示级联删除该用户所属的方案对象表示级联删除该用户所属的方案对象 2.创建与管理用户创建与管理用户修改用户语法修改用户语法ALTER USER userALTER USER user IDENTIFIED BY password|EXTERNALLY IDENTIFIED BY password|EXTERNALLY DEFAULT TABLESPACE TABLESPACE DEFAULT TABLESPACE TABLESPACE TEMPORARY TABLESPACE TABLESPACE TEMPORARY TABLESPACE TABLESPACE QUOTA QUOTA n K|M|UNLIMITEDn K|M|UNLIMITED ON TABLESPACE ON TABLESPACE PASSWORD EXPIRE PASSWORD EXPIRE ACCOUNT LOCK|UNLOCK ACCOUNT LOCK|UNLOCK PROFILE profile|DEFAULT ;PROFILE profile|DEFAULT ;例例3.5 用户及权限管理。用户及权限管理。EXA_03_05.SQL3.角色管理角色管理角色的使用步骤角色的使用步骤(1)(1)由由DBADBA创建角色创建角色(2)(2)为角色授予相应的系统特权和对象权限为角色授予相应的系统特权和对象权限(3)(3)将角色授予相关的数据库用户将角色授予相关的数据库用户默认表空间默认表空间可将多个角色授予同一个可将多个角色授予同一个OracleOracle数据库用户数据库用户创建角色语法创建角色语法CREATE ROLE roleCREATE ROLE role NOT IDENTIFIED|IDENTIFIED NOT IDENTIFIED|IDENTIFIED BY PASSWORD|EXTERNALLY;BY PASSWORD|EXTERNALLY;删除角色语法删除角色语法DROP ROLE role;DROP ROLE role;3.角色管理角色管理角色应被授予需要的系统特权、对象权限角色应被授予需要的系统特权、对象权限在创建在创建OracleOracle数据库时，数据库时，OracleOracle会创建预定会创建预定义的角色并给它们授予相关的系统特权和对义的角色并给它们授予相关的系统特权和对象权限象权限例例3.6 采用角色改进学生实验用户权限管理工作。采用角色改进学生实验用户权限管理工作。EXA_03_06.SQL 对用户的资源占用和口令使用进行限制有其对用户的资源占用和口令使用进行限制有其现实的必要性现实的必要性 限制用户的连接时间和限制用户的连接时间和CPU占用时间占用时间 有效防止口令被破解有效防止口令被破解3.4 概要文件概要文件(Profile)概要文件是一个命名的资源限制的集合，描概要文件是一个命名的资源限制的集合，描述如何使用系统资源述如何使用系统资源。主要包括两方面内容主要包括两方面内容 管理数据库系统资源管理数据库系统资源 管理数据库口令的使用及验证方式管理数据库口令的使用及验证方式系统提供一个默认的概要文件系统提供一个默认的概要文件(DEFAULT)1.创建概要文件创建概要文件创建概要文件的语法创建概要文件的语法CREATE PROFILE profile LIMITCREATE PROFILE profile LIMITSESSIONS_PER_USER|SESSIONS_PER_USER|CPU_PER_SESSION|CPU_PER_SESSION|CPU_PER_CALL|CPU_PER_CALL|CONNECT_TIME|CONNECT_TIME|IDLE_TIME|IDLE_TIME|LOGICAL_READS_PER_SESSION|LOGICAL_READS_PER_SESSION|LOGICAL_READS_PER_CALL|LOGICAL_READS_PER_CALL|COMPOSITE_LIMIT n|UNLIMITED|DEFAULT|COMPOSITE_LIMIT n|UNLIMITED|DEFAULT|PRIVATE_SGA n K|M|UNLIMITED|DEFAULT|PRIVATE_SGA n K|M|UNLIMITED|DEFAULT|FAILED_LOGIN_ATTEMPTS|FAILED_LOGIN_ATTEMPTS|PASSWORD_LOCK_TIME|PASSWORD_LOCK_TIME|PASSWORD_GRACE_TIME|PASSWORD_GRACE_TIME|PASSWORD_LIFE_TIME|PASSWORD_LIFE_TIME|PASSWORD_REUSE_MAX|PASSWORD_REUSE_MAX|PASSWORD_REUSE_TIME n|UNLIMITED|DEFAULT|PASSWORD_REUSE_TIME n|UNLIMITED|DEFAULT|PASSWORD_VERIFY_FUNCTION function_name|NULL|DEFAULT ;PASSWORD_VERIFY_FUNCTION function_name|NULL|DEFAULT ;删除概要文件删除概要文件DROP PROFILE profile;1.创建概要文件创建概要文件例例3.7 创建限制实验学生使用资源的概要文件。创建限制实验学生使用资源的概要文件。EXA_03_07.SQLP52 口令复杂性函数及其应用口令复杂性函数及其应用 EXA_03_P52_utlpwdmg.SQL 相关系统特权相关系统特权CREATE PROFILEALTER PROFILECREATE USERALTER USER每个用户在一个时刻只能分配一个概要文件每个用户在一个时刻只能分配一个概要文件可在创建用户时指定该用户使用的概要文件可在创建用户时指定该用户使用的概要文件也可修改一个用户的概要文件也可修改一个用户的概要文件2.分配概要文件分配概要文件CREATE USER user IDENTIFIED BY password PROFILE profile;ALTER USER user PROFILE profile;ALTER USER user ACCOUNT UNLOCK;初始化参数初始化参数RESOURCE_LIMIT决定是否启用概要文件决定是否启用概要文件ALTER SYSTEM SET RESOURCE_LIMIT=TRUE|FALSE SCOPE=MEMORY|SPFILE|BOTH;例：例：ALTER USER scott PROFILE stu_profile;ALTER USER scott PROFILE DEFAULT;ALTER USER stu01 PROFILE stu_profile;同义词是对一个表、视图、序列、存储过程同义词是对一个表、视图、序列、存储过程与函数、包、实体化视图或其它同义词建立的与函数、包、实体化视图或其它同义词建立的别名。别名。3.5 同义词同义词(Synonym)同义词的作用同义词的作用隐藏真实对象名，提高对象访问的安全性隐藏真实对象名，提高对象访问的安全性简化对象引用表示，如对一个远程对象简化对象引用表示，如对一个远程对象 创建同义词语法创建同义词语法 CREATE PUBLIC SYNONYM synonym_name FOR schema.objectdblink;创建与删除同义词创建与删除同义词例例3.8 为为HRHR方案对象创建同义词。方案对象创建同义词。EXA_03_08.SQL 删除同义词语法删除同义词语法 DROP SYNONYM synonym_name;