oracle数据库课件chapter6safeMON.ppt

概要文件 用户和角色 一 用户类型数据库管理员DBA每个数据库至少有一个DBA 可以有多个 职责 安装或更新ORACLE服务器和应用工具 分配存储空间 建立或修改基本数据库存储结构 建立数据库对象 表 视图 索引等 注册用户并维护系统安全信息 控制和管理用户对数据库的访问 监视和优化数据库性能 备份或恢复数据库 2 安全管理员主要职责 它注册用户 监视和管理用户对数据库的访问 维护系统安全 如果有安全员 DBA就不完成这些工作 3 网络管理员管理ORACLE网络产品 如ORACLENET 4 应用开发者 主要职责设计开发数据库应用 设计应用的数据库结构 评估应用存储需求 描述对数据库结构的修改 与DBA一起建立应用的安全机制 5 应用管理员 管理特定的应用系统 6 数据库用户 终端用户 数据库用户通过应用程序与数据库交互 输入 修改或删除数据 根据数据生成报表 二 建立安全策略每个数据库有一个或多个管理员负责数据库安全 数据安全策略指的是控制用户对数据库中对象的访问和使用方法 每类用户使用不同的安全策略 如口令等 1 用户的特性每个用户必须有唯一名字和口令每个用户占有一个模式 模式名同用户名每个用户可拥有一个缺省表空间用户可以有存放临时信息的临时表空间用户可分配自己在表空间的配额空间用户定义配置文件来表明自己的操作范围用户有系统权限及对象权限建立用户必须有CREATEUSER系统权限新建立用户必须授予CREATESEESION权限才可登录ORACLE数据库 三 建立用户 PUBLIC用户组 每个数据库中都有一个PUBLIC用户组 Oracle会在创建数据库时自动创建PUBLIC用户组 每个数据库用户创建后都自动成为PUBLIC组中的成员 利用PUBLIC用户组可以方便地为数据库中所有用户授予必要的对象权限和系统权限 如果某个用户将一项权限或角色授予PUBLIC用户组 那么数据库中所有的用户都会拥有这项权限或这个角色 PUBLIC组中用户可以查询所有以USER和ALL开头的数据字典视图 PUBLIC用户组 注意 1 不能为PUBLIC用户组设置任何表空间配额 2 不能在PUBLIC模式中创建数据库对象 CREATEUSER用户名IDENTIFIEDBY口令 DEFAULTTABLESPACE表空间名 TEMPORARYTABLESPACE表空间名 QUOTA 整数 UNLIMITEDON表空间名 PROFILE概要文件名 PASSWORDEXPIRE ACCOUNTLOCK UNLOCK 说明 省略缺省表空间 为SYSTEM 表空间必须存在省略临时表空间 为SYSTEM或其它临时表空指定临时表空间 表空间是临时而不是永久 2 建立用户命令 QUOTAnON表空间 指定对表空间的配额QUOTAUNLIMIEDON表空间 空间不限制可以有多个QUOTA子句概要文件分配用户可用的资源 不指定用缺省的环境文件DEFAULT分配给用户PASSWORDEXPIRE强制用户第一次登录时改变口令ACCOUNTLOCK建立一个锁定的帐号3 例1 CREATEUSERWANG1IDENTIFIEDBYWANG 缺省或临时表空间为SYSTEM 没有指定配额 必须CREATESESSION才能登录 要建立对象必须用QUOTA配额 对于WANG用户 SQLPLUS登录 出错 ERROR ORA 01045 userWANGlacksCREATESESSIONPrivilege logondenied SWJ001重新登录 Grantcreatesessiontowang1createtabledd nchar 3 出错ALTERUSERWANGQUOTA2MONSYSTEM注意 用户在表空间必须有配额 不管是否指定缺省表空间 才可建立对象 例2 CREATEUSERSWJTESTIDENTIFIEDBYTESTDEFAULTTABLESPACESWJTEMPORARYTABLESPACETEMPQUOTA2MONSYSTEMQUOTAUNLIMITEDONSWJ例3 CREATEUSERSWJ1IDENTIFIEDBYTTTTDEFAULTTABLESPACESWJTEMPORARYTABLESPACETEMPQUOTAUNLIMITEDONSWJPASSWORDEXPIRE 注意 新建立用户要想能登录到ORACLE 必须要 GRANTCREATESESSIONTOSWJTEST 用SWJ1第一次登录ORACLE时 将提示错误 ERROR ORA 28001 thepasswordhasexpired 例4 CREATEUSERSWJ2IDENTIFIEDBYTTTTDEFAULTTABLESPACESWJTEMPORARYTABLESPACETEMPQUOTAUNLIMITEDONSWJPASSWORDEXPIREACCOUNTLOCK 用SWJ2登录时 显示错误 ERROR ORA 2800 theaccountislocked 必须由管理员解锁 alteruserswj2accountunlock USER USERS 当前用户信息表 主要列名 USERNAME 用户名 USER ID 用户编号 ACCOUNT STATUS 状态 OPEN或LOCKED LOCK DATE 加锁日期 EXPIRY DATE 口令过期日期 DEFAULT TABLESPACE 缺省表空间 TEMPORARY TABLESPACE 临时表空间 CREATED 用户建立日期 selectusername user id account status lock date expiry date default tablespace temporary tablespace createdfromuser users 4 查询用户信息 ALL USERS 所有用户名及编号 主要列名 USERNAME USER ID CREATEDSELECT FROMALL USERS USERNAMEUSER IDCREATED SWJ01035127 10月 02SWJ146531 10月 02SQL select fromall users2whereusernamelike SWJ USER TS QUOTAS 表空间配额信息 主要列 TABLESPACE NAME BYTESSELECT FROMUSER TS QUOTAS TABLESPACE NAMEBYTESMAX BYTESBLOCKSMAX BLOCKS SWJ131072 132 1一块 4096Bytes 1 修改用户 系统权限 ALTERUSER ALTERUSER用户名 选项 这里的选项与CREATEUSER中的一样 例1 alteruserswj001accountunlock 解锁例2 alteruserswj001accountlock 加锁例3 alteruserswj001identifiedbyswj 改口令例4 alteruserswj001quotaunlimitedonsystemquota5Monswj 例5 alteruserswj001passwordexpire 下次用SWJ001登录到ORACLE时 提示改口令 四 修改用户 DROPUSER用户名 CASCADE 选项CASCADE删除用户模式下的所有对象 但不删除用户建立的角色 例6 删除没有对象的用户 DROPUSERSWJ1 例7 如果用户模式下有对象 必须用命令 DROPUSERSWJ2CASCADE 例8 不能删除当前用户 设当前用户SWJ001SQL dropuserswj001cascade dropuserswj001cascade ERROR位于第1行 ORA 01940 cannotdropauserthatiscurrentlyconnected 删除用户 权限 权限是执行一种特殊类型的SQL语句或存取另一用户的对象的权力 有两类权限 系统权限和对象权限 1 系统权限 是执行一处特殊动作或者在对象类型上执行一种特殊动作的权利 系统权限可授权给用户或角色 一般 系统权限只授予管理人员和应用开发人员 终端用户不需要这些相关功能 2 对象权限 在指定的表 视图 序列 过程 函数或包上执行特殊动作的权利 用户权限是用户执行SQL语句的权力 或是访问其它用户对象的权力 权限是赋予用户或角色 ORACLE有100多种系统权限 用于完成对数据库操作或对象管理 1 系统权限表系统权限可以完成建立 删除 修改数据库 表空间 数据库对象 用户角色等内容 系统级权限 将系统权限授予用户 要有权限WITHADMINOPTION选项 或GRANTANYPRIVILEGE GRANT系统权限名表TO用户名 PUBLIC WITHADMINOPTION PUBLIC将系统权限授予所有用户WITHADMINOPTION可将权限授予其它用户例1 GRANTSELECTANYTABLETOT001例2 GRANTCREATEUSER DROPUSERTOT001WITHADMINOPTIONT001可将CREATEUSER DROPUSER授予其它用户或回收 grantcreateusertoswj002 给用户授予系统权限 例3 GRANTCREATESESSION ALTERUSERTOPUBLIC 3 回收系统权限要有系统权限GRANTANYPRIVILEGE 授予权限的用户可以回收它授予其它用户的权限 或者在得到系统权限时有WITHADMINOPTION REVOKE系统权限名FROM用户名 PUBLIC用户SWJ001 例1 REVOKECREATEUSERFROMT001 例2 REVOKEALTERUSERFROMPUBLIC select fromuser sys privs USERNAMEPRIVILEGEADM T001CREATESESSIONNOT001CREATEUSERYES注意 有WITHADMINOPTIONADM为YES此时用户T001可将CREATEUSER系统权限授予其它用户或回收 NO时不能 在也没有GRANTANYPRIVILEGE时 数据字典USER SYS PRIVS 对象级权限是指用户访问其它用户对象的权利 对象级权限类型 对象级权限 GRANT 对象权限 ALL ON对象 列名表 TO 用户 角色 PUBLIC WITHGRANTOPTION 将对对象的操作权限授予用户 角色或所有 对于INSERT UPDATE对象权限可限制到列名 WITHGRANTOPTION接受者可将权限授予其它用户例1 SWJ001用户 GRANTSELECTONEMPLOYEESTOT001T001用户 SELECT FROMSWJ001 EMPLOYEES 但不能 SELECT FROMSWJ001 JOBS 授予对象级权限 例2 SWJ001用户 GRANTINSERTONJOBSTOT001 T001用户 INSERTINTOSWJ001 JOBSVALUES JOBS PLA 1000 3000 提交SWJ001才看到INSERTINTOSWJ001 JOBS JOB ID JOB TITLE VALUES DDD TEST SWJ001用户 GRANTDELETEONJOBSTOT001 T001用户 DELETEFROMSWJ001 JOBSWHEREJOB IDLIKE D 例3 带WITHGRANTOPTION选项SWJ001 GRANTSELECTONEMPLOYEESTOT001WITHGRANTOPTIONT001 SELECT FROMSWJ001 EMPLOYEESGRANTSELECTONSWJ001 EMPLOYEESTOHR HR用户 SELECT FROMSWJ001 EMPLOYEES 对于T001也可回收授予HR的对象权限 例3 视图权限 用户SWJ001CREATEORREPLACEVIEWEMV NAME SALARY ASSELECTLAST NAME FIRST NAME SALARYFROMEMPLOYEES GRANTSELECTONEMVTOT001 T001用户 SELECT FROMSWJ001 EMVWHERESALARY 10000 其它数据库对象权限与视图和表相似 例3 对象权限INSERT UPDATE时可以加列名 SWJ001用户 GRANTINSERT JOB ID JOB TITLE UPDATE JOB TITLE ONJOBSTOT001 T001用户 INSERTINTOSWJ001 JOBS JOB ID JOB TITLE VALUES AD DD POLICE SWJ001 UPDATESWJ001 JOBSSETJOB TITLE UPDATE WHEREJOB ID AD PV 但下面出错 INSERTINTOSWJ001 JOBSVALUES AD DD POLICE 43 54 回收对象级权限 REVOKE对象权限名ON对象名 ALLPRIVILEGESFROM 用户名 PUBLIC SQL REVOKEALLPRIVILEGES2ONemployeesFROMuser1 SQL REVOKEINSERT SELECT2ONemployeesFROMPUBLIC USER TAB PRIVS 用户所有的对象权限GRANTEE 接收者 OWNER 对象所有者 TABLE NAME 对象名 GRANTOR 授予者 PRIVILEGE 权限名 GRANTABLE 可授予 T001用户的所有对象权限 SELECTOWNER TABLE NAME GRANTOR PRIVILEGEFROMUSER TAB PRIVS OWNERTABLE NAMEGRANTORPRIVILEGE SWJ001JOBSSWJ001SELECTSWJ001EMPLOYEESSWJ001INSERT 对象级权限数据字典 USER COL PRIVS RECD 对象列名的权限OWNER 所有者 TABLE NAME 对象名 COLUMN NAME 列名 GRANTOR 授权者 PRIVILEGE 对象权限 GRANTABLE 可授予 T001用户所有对其它模式中列的权限 SELECTOWNER TABLE NAME COLUMN NAME GRANTOR PRIVILEGEFROMUSER COL PRIVS RECD OWNERTABLE NAMECOLUMN NAMEGRANTORPRIVILEGE SWJ001JOBSJOB IDSWJ001INSERTSWJ001JOBSJOB TITLESWJ001INSERTSWJ001JOBSJOB TITLESWJ001UPDATE 为相关权限的命名组 可授权给用户和角色 数据库角色包含下列功能 1 一个角色可授予系统权限或对象权限 2 一个角色可授权给其它角色 但不能循环授权 3 任何角色可授权给任何数据库用户 4 授权给用户的每一角色可以是可用的或者不可用的 一个用户的安全域仅包含当前对该用户可用的全部角色的权限 5 一个间接授权角色对用户可显式地使其可用或不可用 在一个数据库中 每一个角色名必须唯一 角色名与用户不同 角色不包含在任何模式中 所以建立角色的用户被删除时不影响该角色 角色 ORACEL利用角色更容易地进行权限管理 有下列优点 1 减少权限管理 不要显式地将同一权限组授权给几个用户 只需将这权限组授给角色 然后将角色授权给每一用户 2 动态权限管理 如果一组权限需要改变 只需修改角色的权限 所有授给该角色的全部用户的安全域将自动地反映对角色所作的修改 3 权限的选择可用性 授权给用户的角色可选择地使其可用或不可用 4 应用可知性 当用户经用户名执行应用时 该数据库应用可查询字典 将自动地选择使角色可用或不可用 5 应用安全性 角色使用可由口令保护 应用可提供正确的口令使用角色 如不知其口令 不能使用角色 角色角色是系统级和对象级权限的集合 并给赋予一个名字 2 角色分类角色自定义角色和系统缺省角色 3 系统缺省角色CONNECT角色ALTERSESSION CREATECLUSTER CREATEDATABASELINK CREATEVIEWCREATESEQUENCE CREATESESSION CREATESYNONYM CREATETABLE 角色 角色不包含在任何模式中 b RESOURCE角色 开发人员CREATECLUSTER CREATEPROCEDURECREATESEQUENCE CREATETABLECREATETRIGGERc DBA角色DBA具有所有系统的权限d EXP FULL DATABASE角色SELECTANYTABLE BACKUPANYTABLE EXECUTEANYPROCEDURE EXECUTEANYTYPE ADMINISTERRESOURCEMANAGER CREATEROLE角色名角色建立时是空的 没有任何权限 使用角色给用户授予权限分四步 建立角色 给角色授予系统权限或对象权限 将角色授予给角色或用户 角色定义为默认角色 定义角色 要有系统权限CREATEROLE 例1 CREATEROLEROLE1 例2 CREATEROLEROLE2IDENTIFIEDBYROLE 3 修改角色 系统权限ALTERANYROLE ALTERROLE角色 NOTIDENTIFIED IDENTIFIEDBY口令 例3 ALTERROLEROLE1IDENTIFIEDBYROLE 4 删除角色 系统权限DROPANYROLE DROPROLE角色名例4 DROPROLEROLE1 用GRANT命令为角色授予系统权限或对象权限 并用GRANT命令将角色授予给用户或角色 从角色或用户回收权限用REVOKE命令 GRANT权限TO角色名GRANT角色名TO用户名REVOKE权限FROM角色名REVOKE角色名FROM用户名 授予或回收角色权限 GRANTANYPRIVILEGE 例5 用户SWJ001CREATEROLER001 GRANTCREATEUSERTOR001WITHADMINOPTIONGRANTSELECTONJOBSTOR001 GRANTINSERT UPDATEONJOBSTOR001 GRANTR001TOT001 REVOKESELECTONJOBSFROMR001 REVOKER001FROMT100 不是用户默认角色 连接数据库 角色无效 设置默认角色用ALTERUSER命令 ALTERUSER用户名DEFAULTROLE 角色 ALL ALLEXCEPT角色 NONE 例6 ALTERUSERT001DEFAULTROLER001 ALTERUSERT001DEFAULTROLEALL ALTERUSERT001DEFAULTROLEALLEXCEPTR001 ALTERUSERT001DEFAULTROLENONE 设置用户默认角色 ALTERUSER权限 激活或禁用角色 用户连接数据库时 只有默认角色处于激活状态 可以用ALTERUSER的DEFAULTROLE子句来改变用户的默认角色 建立用户时默认角色设置为ALL 即后续所有授予给用户的角色都是默认角色 在已连接到数据库后 激活和禁用当前会话的角色使用SETROLE命令 SETROLE角色名 ALL EXCEPT角色名 NONE 查询角色信息 USER ROLE PRIVS当前用户的所有角色信息 ROLE SYS PRIVS角色被授予的系统权限信息ROLE TAB PRIVS角色被授予对象权限信息 ROLE ROLE PRIVS角色中被授予的角色信息SESSION PRIVS当前会话具有系统权限信息 SESSION ROLES当前会话所具有的角色信息例查看当前用户的所有角色信息 SQL SELECT FROMuser role privs USERNAMEGRANTED ROLEADMDEFOS USER1APPROLENOYESNOUSER1MYROLENOYESNO 7 ROLE ROLE PRIVS 被授予其它角色的角色 ROLE 角色 GRANTED ROLE 被授予角色 ADMIN OPTION 管理选项 例7 用户SWJ001 CREATEROLEr1 CREATEROLEr2 GRANTR2TOR1 SELECT FROMROLE ROLE PRIVS ROLEGRANTED ROLEADM R1R2NO 8 ROLE SYS PRIVS 角色中的系统权限 GRANTSELECTANYTABLETOR1 GRANTCREATEUSERTOR1 SELECT FROMROLE SYS PRIVS ROLEPRIVILEGEADM R1CREATEUSERNOR1SELECTANYTABLENO 9 ROLE TAB PRIVS 角色中的对象权限 ROLE OWNER TABLE NAME COLUMN NAME PRIVILEGE GRANTABLEGRANTSELECTONJOBSTOR1 GRANTINSERT JOB ID JOB TITLE ONJOBSTOR1ROLEOWNERTABLE NAMECOLUMN NAMEPRIVILEGEGRA R1SWJ001JOBSSELECTNOR1SWJ001JOBSJOB IDINSERTNOR1SWJ001JOBSJOB TITLEINSERTNO 10 USER ROLE PRIVS 授予用户角色 USERNAME 用户名 GRANTED ROLE 授予的角色 ADM 管理选项 DEF 用户缺省角色 例8 GRANTR1TOT001 GRANTR1TOT001 用户T001 SELECT FROMUSER ROLE PRIVS USERNAMEGRANTED ROLEADMDEF T001R1NONOT001R2NONO 配置文件用于控制用户使用的资源 CPU 连接数量 SGA的内存数量 口令限制等 配置文件是数据库对象 然后将它赋予一个或多个用户会话 与ORACLE进行一次连接是构成一次会话 配置文件的分类缺省配置文件 每个数据库有一个DEFAULT的配置文件 它赋予数据库所有用户 自定义配置文件 用CREATEPROFILE建立 配置文件作用 用户会话数 CPU使用时间 SGA区域的大小等 配置文件或概要文件 在概要文件中通过定义资源参数的值来控制用户对资源的使用 资源参数的值可以是一个整数 UNLIMITED 不受限制 或DEFAULT 使用默认概要文件中的参数设置 资源限制分为会话级和调用级 会话级资源限制是对用户一个会话过程中所使用的资源进行的限制 而调用级资源限制是对一条SQL语句在执行过程中所能使用的资源进行的限制 配置文件的参数值 1 SESSION PER USER限制每个用户所允许建立的最大并发会话数目 达到限制时 用户不能再建立连接 2 CPU PER SESSION该参数限制每个会话所能使用的CPU时间 参数值是一个整数 单位为百分之一秒 3 CPU PER CALL该参数限制每条SQL语句所能使用的CPU时间 参数值整数 单位为百分之一秒 4 LOGICAL READS PER SESSION每个会话所能读取的数据块数目 内外存 配置文件的参数值 5 LOGICAL READS PER CALL限制每条SQL语句所能读取的数据块数目6 CONNECT TIME限制每个会话能连接到数据库的最长时间 达到该限制时 会话自动断开 分钟数7 IDLE TIME限制每个会话所允许的最大连续空闲时间 如果一个会话持续的空闲时间达到该限制 会话自动断开 参数是表示分钟的整数 配置文件的参数值 口令 8 FAILED LOGIN ATTEMPS指定允许输入错误口令的次数 超过该次数后用户账户被自动锁定 9 PASSWORD LOCK TIME指定用户账户由于口令输入错误而被锁定后 持续保持锁定状态的天数 10 PASSWORD LIFE TIME指定同一个用户口令可以持续使用的时间 如果在达到这个限制之前用户还没有更换另外一个口令 他的口令将失效 失效后必须由管理员重新设置新的口令 CREATEPROFILE配置文件名LIMIT 参数名1 值1参数名2 值2 例1 CREATEPROFILEABCLIMITSESSIONS PER USERUNLIMITEDCPU PER SESSION100CPU PER CALL3000CONNECT TIME30PRIVATE SGADEFAULT 各参数可以取值UNLIMITED DEFAULT或具体的数值 建立概要文件 CREATEPROFILE系统权限 4 修改配置文件 ALTERPROFILE系统权限 ALTERPROFILE配置文件名LIMIT配置参数例2 ALTERPROFILEABCLIMITSESSIONS PER USER15 删除配置文件 DROPPROFILE系统权限 DROPPROFILE配置文件名 CASCASE CASCADE撤消文件的分配 将DEFAULT分配给使用被撤消文件的用户 例3 DROPPROFILEABC 例4 DROPPROFILEABCCASCADE 6 将配置文件授予给用户并激活可以在建立用户时指定 PROFILE配置文件 或通过改变用户ALTERUSER来指定配置文件 例1 ALTERUSERSWJ001PROFILEABC 例2 CREATEUSERTTTIDENTIFIEDBYA21PROFILEABC 7 配置文件的数据字典 user resource limits select fromuser resource limits RESOURCE NAMELIMIT COMPOSITE LIMITUNLIMITEDSESSIONS PER USER1CPU PER SESSION100CPU PER CALL3000LOGICAL READS PER SESSIONUNLIMITEDLOGICAL READS PER CALLUNLIMITEDIDLE TIMEUNLIMITEDCONNECT TIME30PRIVATE SGAUNLIMITED 创建概要文件 例 创建一个LIMITED PROFILE概要文件 把它提供给用户NICK使用 CREATEPROFILELIMITED PROFILELIMITFAILED LOGIN ATTEMPTS5PASSWORD LOCK TIME10 ALTERUSERNICKPROFILELIMITED PROFILE 如果连续5次与AUTHOR帐户的连接失败 该帐户将自动由Oracle锁定 然后使用AUTHOR帐户的正确口令时 系统会提示错误信息 只有对帐户解锁后 才能再使用该帐户 若一个帐户由于多次连接失败而被锁定 当超过其概要文件的PASSWORD LOCK TIME值时将自动解锁 例如 在本例为AUTHOR锁定10天后即被解锁 用OEM管理数据库安全 数据库名 展开 安全性 项目 单击 用户 安全性 用户 角色 概要文件 用OEM创建新用户 右键单击导航窗口中 用户 项目 或右键单击右边窗口中的任何一个用户名 然后从弹出的菜单中选择 创建 菜单 或类似创建 用户名称 概要文件 口令 缺省表空间 用户角色 系统权限 对象权限 限额 可用角色 已授予角色 管理选项 缺省角色 为新用户分配角色 为新用户分配配额 表空间名称 限额值 无 无限制 值 1 删除用户右键单击要删除的用户名称 从弹出的菜单中选择 移去 菜单将删除选定的用户 或者选择用户名 按DELETE键 2 修改用户右键单击要修改的用户名称 从弹出的菜单中选择 查看 编辑详细资料 菜单 或者直接双击要修改的用户名称 用OEM删除和修改用户 用OEM管理角色 用OEM管理概要文件 上机内容 每个人在建立一个新用户T001 T120 要求下次登录时改变口令 缺省表空间SWJ通过GRANT语句给用户T001授予会话权限 CREATESESSION 给用户T001加锁 然后试着T001登录 解锁 给用户T001分别授予关于表的建立 插入 查询和删除的系统权限 每加一个试着T001登录 查看可以做的事及T001的系统权限 删除4题中T001的表的权限 给表JOBS列名 JOB ID JOB TITLE 授予插入和更新权限查看T001的对象权限和列权限 7 给用户T001带WITHADMINOPTION授予系统权限 T001将该权限授予其它用户 8 删除用户T001的所有系统和对象权限 9 建立角色R001 并试着将CREATESESSION等系统权限和对象权限授予R001 再将角色授予用户T001 用T001登录 11 定义多个角色 将一个角色授予另一角色12 查看角色的系统权限 对象权限和授予用户的角色 13 建立配置文件S001 并将它授予用户T001 14 改变配置S001的参数值 15 查看用户资源信息 删除配置文件S001