计算机必学oracle数据库第06章

Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,Click to edit Master title style,Oracle 10g数据库应用教程,授课教师：,职务：,第6章,数,数,据,据库安,全,全管理,课程描,述,述,介绍Oracle数,据,据库的,认,认证方,法,法、用,户,户管理,、,、权限,管,管理和,角,角色管,理,理,本章知,识,识点,Oracle,认,认证方,法,法,用户管,理,理,角色管,理,理,6.1Oracle认证,方,方法,操作系,统,统身份,认,认证,网络身,份,份认证,Oracle,数,数据库,身,身份认,证,证,数据库,管,管理员,认,认证,操作系,统,统身份,认,认证,例：通,过,过操作,系,系统认,证,证的用,户,户可以,通,通过下,面,面的命,令,令启动SQL,*,*Plus，,而,而不需,要,要输入,用,用户名,和,和密码,：,：,SQLPLUS/,网络身,份,份认证,网络层,的,的认证,能,能力由,第,第3方,的,的SSL协议,处,处理。,SSL,是,是Secure SocketLayer的,缩,缩写，,即,即安全,套,套接字,层,层。它,是,是一个,应,应用层,协,协议，,可,可以用,于,于数据,库,库的用,户,户身份,认,认证。,网络层,身,身份认,证,证使用,第,第3方,网,网络认,证,证服务,，,，例如DCE,、,、Kerberos,、,、PKI、RADIUS等,。,。,Oracle,数,数据库,身,身份认,证,证,连接中,的,的密码,加,加密：,加,加密算,法,法采用,改,改进的DES,和,和3DES算,法,法，加,密,密过程,在,在数据,传,传输之,前,前完成,。,。,账户锁,定,定:Oracle,可,可以设,置,置连接,登,登录失,败,败n次,后,后，Oracle将,锁,锁定用,户,户账户,。,。,密码生,存,存周期,检测历,史,史密码,验证密,码,码复杂,度,度,数据库,管,管理员,认,认证,数据库,管,管理员,的,的认证,方,方式,数据库,管,管理员,认,认证,在SQL*Plus,中,中，如,果,果采用,操,操作系,统,统认证,方,方式登,录,录，可,以,以使用,如,如下命,令,令：,CONNECT/ASSYSDBA,或者：,CONNECT/ASSYSOPER,【例】,创,创建密,码,码文件myPwdFile,.,.ora，SYS用,户,户的密,码,码为syspwd，SYSDBA,和,和SYSOPER用,户,户的最,大,大数量,为,为50,，,，代码,如,如下：,ORAPWDFILE=myPwdFile,.,.oraPASSWORD=syspwdENTRIES=50,数据库,管,管理员,认,认证,初始化,参,参数REMOTE_LOGIN_PASSWORDFILE,可,可以指,定,定密码,文,文件的,使,使用方,法,法，它,可,可以设,置,置为如,下,下3种,值,值：,NONE。Oracle数,据,据库认,定,定密码,文,文件不,存,存在，,所,所有的,连,连接都,必,必须是,安,安全连,接,接。,EXCLUSIVE,（,（默认,值,值）。,可,可以添,加,加、修,改,改和删,除,除用户,，,，也可,以,以修改SYS,用,用户的,密,密码。,SHARED,。,。共享,的,的密码,文,文件不,允,允许被,修,修改，,因,因此不,允,允许添,加,加新用,户,户，也,不,不能修,改,改SYS或其,他,他SYSDBA、SYSOPER,用,用户的,密,密码。,数据库,管,管理员,认,认证,GRANT命,令,令为用,户,户授予,权,权限。,【例】,向,向用户adm,授,授予SYSDBA权,限,限：,GRANTSYSDBATOadm;,REVOKE,命,命令撤,销,销用户,的,的授权,。,。,【例】,撤,撤销用,户,户adm的SYSDBA权,限,限：,REVOKESYSDBA FROMadm;,数据库,管,管理员,认,认证,通过视,图,图V$PWFILE,_,_USERS,查,查看密,码,码文件,的,的内容,。,。,【例】,使,使用SQL语,句,句查看,代,代码文,件,件的内,容,容：,SQL,SELECT,*,*FROMV$PWFILE,_,_USERS,;,;,USERNAMESYSDBSYSOP,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-,SYSTRUETRUE,用户管,理,理,创建用,户,户,修改用,户,户,权限管,理,理语句,删除用,户,户,创建用,户,户,显示用,户,户信息,操作按钮,创建用,户,户,“创建,用,用户”,页,页面,选择表,空,空间,创建用,户,户,查看新,建,建用户NEWUSER的信,息,息,创建用,户,户,CREATEUSER语,句,句在数,据,据库中,创,创建新,用,用户。,CREATEUSER,IDENTIFIED BY,DEFAULT TABLESPACE,TEMPORARYTABLESPACE,;,【例】,创,创建管,理,理用户USERMAN：,CREATEUSERUSERMAN,IDENTIFIED BY USERMAN,;,;,修改用,户,户,编辑用,户,户页面,设置用户的其他属性,修改用,户,户,ALTERUSER语句,也,也可以,修,修改用,户,户信息,。,。,（1）,修,修改密,码,码密码,。,。,【例】,将,将用户USERMAN的密,码,码修改,为,为NewPassword,：,：,ALTERUSER USERMANIDENTIFIEDBYNewPassword;,（2）PASSWORDEXPIRE,关,关键词,设,设置密,码,码过期,。,。,【例】,设,设置用,户,户USERMAN的,密,密码立,即,即过期,，,，它在,下,下一次,登,登录时,必,必须修,改,改密码,：,：,ALTERUSER USERMANPASSWORDEXPIRE;,（3）ACCOUNT LOCK,关,关键词,锁,锁定用,户,户。,【例】,锁,锁定用,户,户USERMAN，,使,使其无,法,法登录,到,到数据,库,库：,ALTERUSER USERMANACCOUNTLOCK;,（4）ACCOUNT UNLOCK关,键,键词解,锁,锁用户,。,。,【例】,解,解除对,用,用户USERMAN,的,的锁定,：,：,ALTERUSER USERMANACCOUNTUNLOCK,;,;,权限管,理,理语句,系统权,限,限设置,页,页面,权限管,理,理语句,修改系,统,统权限,页,页面,权限管,理,理语句,GRANT语,句,句可以,将,将权限,授,授予指,定,定的用,户,户或角,色,色。,（1）,授,授予系,统,统权限,：,：,GRANT,TO,【例】,对,对于用,户,户USERMAN授,予,予SYSDBA权限,：,：,GRANTSYSDBATOUSERMAN;,（2）,授,授予数,据,据对象,权,权限：,GRANT,ON,TO,【例】,对,对用户USERMAN授予,表,表USERS,的,的SELECT、INSERT、UPDATE,、,、DELETE权限,：,：,GRANTSELECTONUSERMAN.USERSTOUSERMAN;,GRANTINSERTONUSERMAN.USERSTOUSERMAN;,GRANTUPDATEONUSERMAN.USERSTOUSERMAN;,GRANTDELETEONUSERMAN.USERSTOUSERMAN;,权限管,理,理语句,（3）REVOKE,语,语句可,以,以撤销,用,用户的,角,角色或,权,权限：,REVOKE,FROM,【例】,撤,撤销用,户,户USERMAN的,系,系统权,限,限：,REVOKESYSDBA FROMUSERMAN;,删除用,户,户,确认删,除,除页面,撤销表,空,空间,DROP USER,语,语句也,可,可以删,除,除指定,的,的用户,。,。,【例】,删,删除用,户,户USERMAN：,DROP USERUSERMAN;,6.3,角,角色,管,管理,Oracle,系,系统角,色,色,创建角,色,色,对角色,授,授权,指定用,户,户的角,色,色,修改角,色,色,删除角,色,色,Oracle,系,系统角,色,色,常用的Oracle,预,预定义,系,系统角,色,色,角 色 名,说 明,CONNECT,授予最终用户的基本角色，主要包括ALTER SESSION（修改会话）、CREATE CLUSTER（建立聚簇）、CREATE DATABASE LINK（建立数据库链接）、CREATE SEQUENCE（建立序列）、CREATE SESSION（建立会话）、CREATE SYNONYM（建立同义词）、CREATE VIEW（建立视图）等权限,RESOURCE,授予开发人员的基本角色，主要包括CREATE CLUSTER（创建聚簇）、CREATE PROCEDURE（创建过程）、CREATE SEQUENCE（创建序列）、CREATE TABLE（创建表）、CREATE TRIGGER（创建触发器）、CREATE TYPE（创建类型）等权限,DBA,拥有所有系统级管理权限,IMP_FULL_DATABASE和EXP_FULL_DATABASE,导入、导出数据库所需要的角色，主要包括BACKUP ANY TABLE（备份表）、EXECUTE ANY PROCEDURE（执行过程）、SELECT ANY TABLE（查询表）等权限,DELETE_CATALOG_ROLE,删除sys.aud$记录的权限，sys.aud$表中记录着审计后的记录,SELECT_CATALOG_ROLE,具有从数据字典查询的权限,EXECUTE_CATALOG_ROLE,具有从数据字典中执行部分过程和函数的权限,创建角,色,色,显示角,色,色信息,创建角,色,色,创建角,色,色页面,授予角色,系统权限,创建角,色,色,查看角,色,色MYROLL的信,息,息,创建角,色,色,【例】,使,使用CREATEROLE语句,创,创建角,色,色：,CREATEROLEMYROLEIDENTIFIEDBYmyrollpwd,IDENTIFIED BY子句,可,可以指,定,定角色,的,的密码,。,。,对角色,授,授权,系统权,限,限设置,页,页面,对角色,授,授权,修改系,统,统权限,页,页面,指定用,户,户的角,色,色,GRANT命,令,令为用,户,户指定,角,角色。,【例】,将,将角色CONNECT指定,给,给用户USERMAN：,GRANTCONNECT TO USERMAN,;,;,REVOKE,命,命令为,取,取消用,户,户的角,色,色。,【例】,撤,撤销USERMAN,用,用户的CONNECT角色,：,：,REVOKECONNECTFROM USERMAN,;,;,修改角,色,色,ALTERROLE语句,修,修改角,色,色。,【例】,取,取消角,色,色MYROLL的密,码,码验证,：,：,ALTERROLE MYROLENOTIDENTIFIED；,删除角,色,色,确认删,除,除页面,删除角,色,色,DROP ROLE,语,语句可,以,以删除,指,指定的,角,角色。,【例】,删,删除用,户,户MYROLE：,DROP ROLEMYROLE;,