系統(tǒng)安全管理{

1、系統(tǒng)平安管理系統(tǒng)平安管理(4) “角色選項(xiàng)頁面 。角色選項(xiàng)頁面如圖7.4所示。在該選項(xiàng)頁面中，可以把某些角色賦予新用戶，這樣新用戶就繼承了這些角色的權(quán)限。界面中的表格包括以下3列：角色：角色名稱。管理理選項(xiàng)：表示新用戶是否可以將角色授予其他用戶或角色，默認(rèn)情況下為禁用，用鼠標(biāo)單擊“管理選項(xiàng)標(biāo)記可以解除禁用。 默認(rèn)值：選中后，表示用戶一旦登錄到系統(tǒng)中，系統(tǒng)將會(huì)將所選角色設(shè)置為用戶默認(rèn)的角色。新用戶默認(rèn)的擁有CONNECT角色的權(quán)限。單擊“編輯列表按鈕，翻開“修改角色界面，如圖7.5所示?！翱捎媒巧斜砜蛑辛谐隽水?dāng)前可用的角色。先在列表中選擇要賦予新用戶的角色，然后通過向右的箭頭按鈕或者雙擊該角色

2、，把所選角色添加到“所選角色列表中；通過向左的箭頭或雙擊取消在“所選角色列表中選中的角色。單擊“確定，界面返回到圖7.5所示界面，此時(shí)在該界面可以看到剛剛所選的角色。 圖圖7.4角色選項(xiàng)頁面角色選項(xiàng)頁面 圖圖7.5修改角色界面修改角色界面 (5) “系統(tǒng)權(quán)限選項(xiàng)頁面?！跋到y(tǒng)權(quán)限選項(xiàng)頁面如圖7.6所示。在該選項(xiàng)頁面，賦予新用戶指定的權(quán)限。單擊“編輯列表按鈕，翻開“修改系統(tǒng)權(quán)限界面，如圖7.7所示。 圖圖7.6系統(tǒng)權(quán)限選項(xiàng)頁面系統(tǒng)權(quán)限選項(xiàng)頁面 圖圖7.7修改系統(tǒng)權(quán)限界面修改系統(tǒng)權(quán)限界面 (6) 對(duì)象權(quán)限選項(xiàng)頁面。對(duì)象權(quán)限選項(xiàng)頁面如圖7.8所示。在該選項(xiàng)頁面中，可以為新用戶授予操縱指定對(duì)象的權(quán)限。圖

3、圖7.8對(duì)象權(quán)限選項(xiàng)頁面對(duì)象權(quán)限選項(xiàng)頁面 (7) 在“選擇對(duì)象類型下拉框選擇對(duì)象，如表，單擊添加，翻開“表對(duì)象添加界面，如圖7.9所示。 圖圖7.9添加對(duì)象權(quán)限界面添加對(duì)象權(quán)限界面 (8) 單擊“手電筒形狀的按鈕，進(jìn)入“選擇表對(duì)象界面，如圖7.10所示。勾選要賦予權(quán)限的表，單擊“選擇按鈕，返回到如圖7.9所示的界面，在此時(shí)在“選擇表對(duì)象列表框出現(xiàn)剛剛選擇所有表。圖圖7.10選擇表對(duì)象界面選擇表對(duì)象界面 在“可用權(quán)限列表框選擇相應(yīng)權(quán)限，使用右箭頭或雙擊鼠標(biāo)左鍵把選中的系統(tǒng)權(quán)限添加到“所選權(quán)限列表框中；使用左肩頭取消“所選權(quán)限列表框中所列出的所有已授予的權(quán)限。單擊“確定按鈕，返回到圖7.8所示界面

4、，此時(shí)界面列出了所設(shè)置的表對(duì)象相應(yīng)的權(quán)限情況。該界面列表列出了對(duì)象權(quán)限的信息：權(quán)限：表示已授予的權(quán)限。方案：表示已授予權(quán)限所屬方案。對(duì)象：表示已授予的數(shù)據(jù)庫對(duì)象。授權(quán)選項(xiàng)：是否可以授權(quán)給其他用戶。選擇要?jiǎng)h除的對(duì)象權(quán)限，單擊“刪除按鈕可以刪除該對(duì)象權(quán)限。根據(jù)實(shí)際情況，按照添加表對(duì)象權(quán)限的操作給新用戶賦予相應(yīng)的對(duì)象權(quán)限。(9) 限額選項(xiàng)頁面。限額選項(xiàng)頁面如圖7.11所示。在該選項(xiàng)頁面中對(duì)新用戶指定對(duì)應(yīng)表空間的大小限額。在列表中選擇表空間并通過選擇“無、“無限制或“值單項(xiàng)選擇按鈕指定限額大小。在此對(duì)所有表空間選擇“無。圖圖7.11限額選項(xiàng)頁面限額選項(xiàng)頁面 (10) 使用者組切換權(quán)限選項(xiàng)頁面。使用者組

5、切換權(quán)限選項(xiàng)頁面如圖7.12所示。在該選項(xiàng)頁面，可以為新用戶授予相應(yīng)的使用者組的權(quán)限。單擊“修改按鈕，進(jìn)入“修改使用者組界面，如圖7.13所示。 圖圖7.12使用者組切換權(quán)限選項(xiàng)頁面使用者組切換權(quán)限選項(xiàng)頁面 圖圖7.13修改使用者組界面修改使用者組界面 (11) 代理用戶選項(xiàng)頁面。代理用戶選項(xiàng)頁面如圖7.14所示。在該選項(xiàng)頁面中可以指定可代理新用戶的用戶和指定新用戶可代理的用戶。 圖圖7.14代理用戶選項(xiàng)頁面代理用戶選項(xiàng)頁面 單擊“可代理此用戶的用戶欄的“添加按鈕，進(jìn)入“用戶選擇界面，如圖7.15所示。勾選可代理新用戶的用戶，單擊“選擇按鈕，返回到圖7.14所示界面，此時(shí)“可代理此用戶的用戶欄

6、出現(xiàn)剛剛勾選的所有用戶。假設(shè)要?jiǎng)h除某個(gè)用戶，選中用戶名前單項(xiàng)選擇按鈕，單擊“移去按鈕，即可刪除。圖圖7.15用戶選擇界面用戶選擇界面 至此，新用戶的所有信息以及權(quán)限都已設(shè)置完成，單擊“顯示SQL按鈕，可以查看創(chuàng)立該用戶相應(yīng)的SQL命令，如圖7.16所示。在圖7.15所示界面中單擊“確定按鈕，系統(tǒng)完成創(chuàng)立工作后返回到圖7.2所示界面，完成創(chuàng)立用戶操作過程。圖圖7.16創(chuàng)立新用戶的創(chuàng)立新用戶的SQL語句語句 2.利用利用SQL語句創(chuàng)立用戶語句創(chuàng)立用戶可以使用可以使用CREATE USER命令來創(chuàng)立一個(gè)新的數(shù)據(jù)庫用戶帳戶，但是創(chuàng)立者必須具有命令來創(chuàng)立一個(gè)新的數(shù)據(jù)庫用戶帳戶，但是創(chuàng)立者必須具有CREA

7、TE USER系統(tǒng)權(quán)限。系統(tǒng)權(quán)限。語法格式：語法格式：CREATE USER user_name /*將要?jiǎng)?chuàng)立的用戶名將要?jiǎng)?chuàng)立的用戶名*/IDENTIFIED BY password | EXTERNALLLY | GLOBALLY AS external_name /*說明說明Oracle如何驗(yàn)證用戶如何驗(yàn)證用戶*/DEFAULT TABLESPACE tablespace_name/*標(biāo)識(shí)用戶所創(chuàng)立對(duì)象的缺省表空間標(biāo)識(shí)用戶所創(chuàng)立對(duì)象的缺省表空間*/TEMPORARY TABLESPACE tablespace_name/*標(biāo)識(shí)用戶的臨時(shí)段的表空間標(biāo)識(shí)用戶的臨時(shí)段的表空間*/QUOTA in

8、teger K | integer M | UNLIMTED ON tablespace_name/*用戶規(guī)定的表空間存儲(chǔ)對(duì)象，最多可到達(dá)這個(gè)定額規(guī)定的總尺寸用戶規(guī)定的表空間存儲(chǔ)對(duì)象，最多可到達(dá)這個(gè)定額規(guī)定的總尺寸*/PROFILE profile_name /*將指定的概要文件分配給用戶將指定的概要文件分配給用戶*/DEFAULT ROLE role,n ALLEXCEPT role,n NONEPASSWORD EXPIREACCOUNT LOCK | NULOCK /*帳戶是否鎖定帳戶是否鎖定*/2.利用利用SQL語句創(chuàng)立用戶語句創(chuàng)立用戶其中：其中：user_name：將要?jiǎng)?chuàng)立用戶的名稱

9、。：將要?jiǎng)?chuàng)立用戶的名稱。IDENTIFIED：表示：表示Oracle如何驗(yàn)證用戶。如何驗(yàn)證用戶。BY password：創(chuàng)立一個(gè)本地用戶，該用戶必須指定：創(chuàng)立一個(gè)本地用戶，該用戶必須指定password進(jìn)行登錄。進(jìn)行登錄。Password只能包含數(shù)據(jù)庫字只能包含數(shù)據(jù)庫字符集中的單字節(jié)字符，而不管該字符集是否還包含多字節(jié)字符。符集中的單字節(jié)字符，而不管該字符集是否還包含多字節(jié)字符。EXTERNALLY：創(chuàng)立一個(gè)外部用戶，該用戶必須由外部效勞程序：創(chuàng)立一個(gè)外部用戶，該用戶必須由外部效勞程序(如操作系統(tǒng)或第三方效勞程序如操作系統(tǒng)或第三方效勞程序)來進(jìn)行來進(jìn)行驗(yàn)證。驗(yàn)證。 GLOBALLY AS ex

10、ternal_name：創(chuàng)立一個(gè)全局用戶：創(chuàng)立一個(gè)全局用戶(global user)，必須由企業(yè)目錄效勞器驗(yàn)證用戶。，必須由企業(yè)目錄效勞器驗(yàn)證用戶。DEFAULT TABLESPACE：標(biāo)識(shí)用戶所創(chuàng)立對(duì)象的缺省表空間為：標(biāo)識(shí)用戶所創(chuàng)立對(duì)象的缺省表空間為tablespace_name指定的表空間。如指定的表空間。如果忽略該子句就放入果忽略該子句就放入SYSTEM表空間。表空間。TEMPORARY TABLESPACE：標(biāo)識(shí)用戶的臨時(shí)段的表空間為：標(biāo)識(shí)用戶的臨時(shí)段的表空間為tablespace_name指定的表空間。如果忽指定的表空間。如果忽略該子句，臨時(shí)段就缺省為略該子句，臨時(shí)段就缺省為SYST

11、EM表空間。表空間。QUOTA：允許用在以：允許用在以tablespace_name指定的表空間中分配空間定額并建立一個(gè)指定的表空間中分配空間定額并建立一個(gè)integer字節(jié)的定額，字節(jié)的定額，使用使用K或或M來指定該定額，以千字節(jié)或兆字節(jié)為單位。來指定該定額，以千字節(jié)或兆字節(jié)為單位。PROFILE：將：將profile_name指定的概要文件分配給用戶。該概要文件限制用戶可使用的數(shù)據(jù)庫資源的總指定的概要文件分配給用戶。該概要文件限制用戶可使用的數(shù)據(jù)庫資源的總量。量。 DEFAULT ROLE：允許將一個(gè)或多個(gè)缺省角色分配給用戶。：允許將一個(gè)或多個(gè)缺省角色分配給用戶。Role是將要分配的預(yù)定義

12、角色，是將要分配的預(yù)定義角色，n代表可以代表可以分配多個(gè)，中間用分配多個(gè)，中間用“，隔離。，隔離。ALLEXCEPT role：把所有預(yù)定義的角色分配給用戶，或把指定的那些角色除外的所有角色分配給用戶。：把所有預(yù)定義的角色分配給用戶，或把指定的那些角色除外的所有角色分配給用戶。NONE：不分配給用戶角色。：不分配給用戶角色。PASSWORD EXPIRE：使用戶的：使用戶的password失效。失效。 ACCOUNT LOCK：鎖定用戶的帳戶并禁止訪問。：鎖定用戶的帳戶并禁止訪問。ACCOUNT UNLOCK：解除用戶的帳戶的鎖定并允許訪問該帳戶。：解除用戶的帳戶的鎖定并允許訪問該帳戶?！纠?/p>

13、例7.1】創(chuàng)立一個(gè)名稱為】創(chuàng)立一個(gè)名稱為AUTHOR的用戶，口令為的用戶，口令為ANGEL，缺省表空間為，缺省表空間為USERS，臨，臨時(shí)表空間為時(shí)表空間為TEMP。沒有定額，使用缺省概要文件。沒有定額，使用缺省概要文件。CREATE USER AUTHOR IDENTIFIED BY ANGELDEFAULT TABLESPACE USERSTEMPORARY TABLESPACE TEMP;當(dāng)使用當(dāng)使用CREATE USER語句創(chuàng)立用戶時(shí)，該用戶權(quán)限域?yàn)榭铡？梢允褂迷撚脩舻卿浀秸Z句創(chuàng)立用戶時(shí)，該用戶權(quán)限域?yàn)榭?。可以使用該用戶登錄到Oracle，但使用該用戶不能進(jìn)行任何操作。給用戶授予權(quán)限可

14、以使用，但使用該用戶不能進(jìn)行任何操作。給用戶授予權(quán)限可以使用GRANT語句來實(shí)現(xiàn)。語句來實(shí)現(xiàn)。語法格式：語法格式：GRANT system_priv | role TO userWITH ADMIN OPTIN其中：其中：system_priv：要授予的系統(tǒng)權(quán)限。如果把權(quán)限授予了：要授予的系統(tǒng)權(quán)限。如果把權(quán)限授予了user，Oracle就把權(quán)限添加到該用就把權(quán)限添加到該用戶戶的權(quán)限域，該用戶立即可使用該權(quán)限。的權(quán)限域，該用戶立即可使用該權(quán)限。Role：要授予的角色，一旦授予用戶角色，該用戶就能行使該角色的權(quán)限。：要授予的角色，一旦授予用戶角色，該用戶就能行使該角色的權(quán)限。WITH ADMIN

15、OPTIN：把向其他用戶授權(quán)的能力傳遞給被授予者。：把向其他用戶授權(quán)的能力傳遞給被授予者。 【例【例7.2】授予例】授予例7.1所創(chuàng)立的用戶所創(chuàng)立的用戶AUTHOR以以DBA的角色。的角色。GRANT DBA TO AUTHOR;授予用戶授予用戶AUTHOR一些系統(tǒng)權(quán)限，并且該用戶可以向其他用戶授權(quán)。一些系統(tǒng)權(quán)限，并且該用戶可以向其他用戶授權(quán)。GRANT CREATE ANY TABLE,CREATE ANY VIEW TO AUTHORWITH ADMIN OPTION;【例【例7.3】重新創(chuàng)立用戶】重新創(chuàng)立用戶AUTHOR，口令為，口令為ANGEL，缺省表空間為，缺省表空間為USERS，臨

16、，臨時(shí)表空間為時(shí)表空間為TEMP。沒有定額，使用缺省概要文件，授予所有預(yù)定義角色，登錄。沒有定額，使用缺省概要文件，授予所有預(yù)定義角色，登錄數(shù)據(jù)庫前修改口令。數(shù)據(jù)庫前修改口令。DROP USER AUTHOR;CREATE USER AUTHOR IDENTIFIED BY ANGELDEFAULT TABLESPACE USERSTEMPORARY TABLESPACE TEMPPASSWORD EXPIRE;1.利用利用OEM管理用戶管理用戶在如圖在如圖7.2所示的界面中，查找并選擇要更改的用戶。也可以通過搜索功能查找具體某個(gè)用戶，所示的界面中，查找并選擇要更改的用戶。也可以通過搜索功能查

17、找具體某個(gè)用戶，在搜索欄的在搜索欄的“名稱文本框輸入具體用戶名稱，如名稱文本框輸入具體用戶名稱，如NICK，單擊，單擊“開始按鈕，如果存在開始按鈕，如果存在Nick用用戶，那么戶，那么顯示在結(jié)果欄。選擇顯示在結(jié)果欄。選擇NICK用戶，單擊用戶，單擊“編輯按鈕，進(jìn)入編輯按鈕，進(jìn)入“編輯用戶界面，如圖編輯用戶界面，如圖7.17所示，所示，可以看可以看出，針對(duì)某一用戶的管理窗口和創(chuàng)立用戶窗口相似，具體操作和創(chuàng)立用戶也相似。出，針對(duì)某一用戶的管理窗口和創(chuàng)立用戶窗口相似，具體操作和創(chuàng)立用戶也相似。圖圖7.17編輯用戶界面編輯用戶界面2. 利用利用SQL語句管理用戶語句管理用戶利用SQL語句的ALTER

18、USER、GRANT USER和REVOKE命令也可以管理用戶，但前提是執(zhí)行者必須具有ALTER USER和REVOKE權(quán)限。但更改自己的口令不需該權(quán)限。(1) ALTER USER命令語法格式：語法格式：ALTER USER user_nameIDENTIFIED BY password EXTERNALLYGLOBALLY AS external_nameDEFAULT TABLESPACE tablespace_nameTEMPORARY TABLESPACE tablespace_nameQUOTA integer K | integer M | UNLIMTED ON tablesp

19、ace_namePROFILE profile_nameDEFAULT ROLE role ALLEXCEPT role NONEPASSWORD EXPIREACCOUNT LOCK | UNLOCK其中：其中：IDENTIFIED GLOBALLY AS：說明用戶必須通過：說明用戶必須通過LDAP V3兼容目錄效勞兼容目錄效勞(如如Oracle Internet Directory)驗(yàn)證。只有當(dāng)直接授給該用戶的所有外部角色被收回驗(yàn)證。只有當(dāng)直接授給該用戶的所有外部角色被收回時(shí)才能將驗(yàn)證用戶訪問的方法更改為時(shí)才能將驗(yàn)證用戶訪問的方法更改為IDENTIFIED GLOBALLY AS exte

20、rnal_name。DEFAULT ROLE：只包含用：只包含用GRANT語句直接授予用戶的角色。不能用語句直接授予用戶的角色。不能用DEFAULT ROLE子句去啟用以下角色：子句去啟用以下角色： 沒有授予用戶的角色。沒有授予用戶的角色。 通過其他角色授予的角色。通過其他角色授予的角色。 由外部效勞由外部效勞(如操作系統(tǒng)如操作系統(tǒng))或或Oracle Internet Directory管理的角色。管理的角色。ALTER USER語句中其他關(guān)鍵字和參數(shù)與語句中其他關(guān)鍵字和參數(shù)與CREATE USER語句中的意思相同。語句中的意思相同。(2) REVOKE命令命令語法格式：語法格式：REVOKE

21、 system_priv | role FROM USER其中：其中：system_priv是賦予用戶的系統(tǒng)權(quán)限；是賦予用戶的系統(tǒng)權(quán)限；role是賦予用戶的角色。是賦予用戶的角色。 【例【例7.4】賦予用戶權(quán)限和角色。授予AUTHOR的定額USERS表空間中的100MB。ALTER USER AUTHORQUOTA 100M ON USERS;鎖定AUTHOR用戶帳戶。ALTER USER AUTHORACCOUNT LOCK;回收用戶AUTHOR的DBA的角色。REVOKE DBA FROM AUTHOR;回收用戶NICK對(duì)表XS修改的權(quán)限。REVOKE ALTER ON ADMIN.XS

22、FROM NICK;回收用戶NICK和AUTHOR對(duì)表XS刪除和插入數(shù)據(jù)的權(quán)限。REVOKE DELETE,INSERT ON ADMINXS FROM NICK,AUTHOR;回收用戶的權(quán)限時(shí)，如果回收的權(quán)限并沒有賦予用戶，那么系統(tǒng)會(huì)提示未賦予用戶該權(quán)限。3. 刪除用戶刪除用戶在圖在圖7.11所示的窗口中，在用戶文件夾下選擇要?jiǎng)h除的用戶，單擊右鍵，在彈出所示的窗口中，在用戶文件夾下選擇要?jiǎng)h除的用戶，單擊右鍵，在彈出的快捷菜單中選擇的快捷菜單中選擇“移去，即可刪除所選擇的用戶。移去，即可刪除所選擇的用戶。使用使用DROP命令也可以從數(shù)據(jù)庫中撤消一個(gè)用戶。這個(gè)命令只有一個(gè)參數(shù)，即命令也可以從數(shù)據(jù)

23、庫中撤消一個(gè)用戶。這個(gè)命令只有一個(gè)參數(shù)，即CASCADE，在撤消該用戶之前，它撤消用戶模式中的所有對(duì)象。如果用戶擁有，在撤消該用戶之前，它撤消用戶模式中的所有對(duì)象。如果用戶擁有對(duì)象，必須指定對(duì)象，必須指定CASCADE以撤消用戶。下面給出一個(gè)樣本以撤消用戶。下面給出一個(gè)樣本DROP USER命令：命令：DROP USER AUTHOR CASCADE;7.2 權(quán)限和角色權(quán)限和角色當(dāng)數(shù)據(jù)庫較小、訪問數(shù)據(jù)庫的用戶不多時(shí)，對(duì)用戶在每個(gè)表上要求的特定訪問進(jìn)行授權(quán)還是可以接受的。但是，隨著數(shù)據(jù)庫的增大以及用戶數(shù)量的增多，數(shù)據(jù)庫的維護(hù)將會(huì)成為很麻煩的事情。在實(shí)際的權(quán)限分配方案中，通常是這樣運(yùn)用角色的，先由

24、DBA為數(shù)據(jù)庫定義一系列的角色，然后再由DBA將權(quán)限分配給基于這些角色的用戶。1. 兩種角色兩種角色(1) 平安應(yīng)用角色。平安應(yīng)用角色。DBA可以授予平安應(yīng)用角色運(yùn)行給定數(shù)據(jù)庫應(yīng)用時(shí)所有必要可以授予平安應(yīng)用角色運(yùn)行給定數(shù)據(jù)庫應(yīng)用時(shí)所有必要的權(quán)限。然后將該平安應(yīng)用角色授予其他角色或者用戶，應(yīng)用可以包含幾個(gè)不同的權(quán)限。然后將該平安應(yīng)用角色授予其他角色或者用戶，應(yīng)用可以包含幾個(gè)不同的角色，每個(gè)角色都包含不同的權(quán)限集合。的角色，每個(gè)角色都包含不同的權(quán)限集合。(2) 用戶角色。用戶角色。DBA可以為數(shù)據(jù)庫用戶組創(chuàng)立用戶角色，賦予一般的權(quán)限需要?？梢詾閿?shù)據(jù)庫用戶組創(chuàng)立用戶角色，賦予一般的權(quán)限需要。2. 數(shù)

25、據(jù)庫角色數(shù)據(jù)庫角色(1) 角色可以被授予系統(tǒng)和方案對(duì)象權(quán)限。角色可以被授予系統(tǒng)和方案對(duì)象權(quán)限。(2) 角色被授予其他角色。角色被授予其他角色。(3) 任何角色可以被授予任何數(shù)據(jù)庫對(duì)象。任何角色可以被授予任何數(shù)據(jù)庫對(duì)象。(4) 授予用戶的角色，在給定的時(shí)間里，要么啟用，要么禁用。授予用戶的角色，在給定的時(shí)間里，要么啟用，要么禁用。3. 角色和用戶的平安域角色和用戶的平安域每個(gè)角色和用戶都包含自己唯一的平安域，角色的平安域包括授予角色的權(quán)限。每個(gè)角色和用戶都包含自己唯一的平安域，角色的平安域包括授予角色的權(quán)限。用戶平安域包括對(duì)應(yīng)方案中的所有方案對(duì)象的權(quán)限，授予用戶的權(quán)限和授予當(dāng)前用戶平安域包括對(duì)應(yīng)

26、方案中的所有方案對(duì)象的權(quán)限，授予用戶的權(quán)限和授予當(dāng)前起用的用戶的角色的權(quán)限。用戶平安域同樣包含授予用戶組起用的用戶的角色的權(quán)限。用戶平安域同樣包含授予用戶組PUBLIC的權(quán)限和角的權(quán)限和角色。色。4. 預(yù)定義角色預(yù)定義角色Oracle系統(tǒng)在按照完成后就有整套的用于系統(tǒng)管理的角色，這些角色稱為預(yù)定義系統(tǒng)在按照完成后就有整套的用于系統(tǒng)管理的角色，這些角色稱為預(yù)定義角色。角色。Oracle 10g的預(yù)定義角色比以前版本有所增加，表的預(yù)定義角色比以前版本有所增加，表71是是Oracle 10g預(yù)定預(yù)定義角色。義角色。表表7-1 Oracle10g預(yù)定角色預(yù)定角色表表7-1 Oracle10g預(yù)定角色預(yù)

27、定角色1.利用利用OEM創(chuàng)立角色創(chuàng)立角色創(chuàng)立角色的方法和創(chuàng)立用戶的方法類似，使用的界面也有許多相同之處。創(chuàng)立角色的方法和創(chuàng)立用戶的方法類似，使用的界面也有許多相同之處。在圖在圖7.1所示的界面中，選中所示的界面中，選中“角色單擊左鍵，進(jìn)入角色單擊左鍵，進(jìn)入“角色搜索界面，如圖角色搜索界面，如圖7.18所示。所示。 圖圖7.18角色搜索界面角色搜索界面 圖7.18界面列出所有已存在的角色。單擊“創(chuàng)立按鈕，進(jìn)入“創(chuàng)立角色界面，如圖7.19所示，該界面包括“一般信息、“角色、“系統(tǒng)權(quán)限、“對(duì)象權(quán)限和“使用者組切換組5個(gè)選項(xiàng)頁面。圖圖7.19創(chuàng)立角色創(chuàng)立角色 一般信息界面一般信息界面 (1) “一般信

28、息選項(xiàng)頁面：在“名稱文本框輸入新角色名稱，如WORLD。Oracle提供了以下4種確定啟用角色時(shí)驗(yàn)證的方法：無：啟用角色時(shí)不用口令驗(yàn)證?？诹睿盒枰诹铗?yàn)證，口令正確才能使用角色。外部：驗(yàn)證操作系統(tǒng)中的用戶。全局：用戶在多個(gè)數(shù)據(jù)庫中被全局標(biāo)識(shí)。如果選擇“口令，那么需要輸入兩次相同的口令。在此選擇“無選項(xiàng)。(2) 角色選項(xiàng)頁面：角色選項(xiàng)頁面如圖7.20所示。在該選項(xiàng)頁面中，可以把某個(gè)角色賦予新角色，這樣新角色就繼承了相應(yīng)角色的權(quán)限。這個(gè)選項(xiàng)頁面中的信息和創(chuàng)立用戶的角色選項(xiàng)卡類似。在此把DBA和CONNECT角色賦予新角色，這樣新角色擁有了DBA和CONNECT角色同樣的權(quán)限。(3) 系統(tǒng)權(quán)限選項(xiàng)頁

29、面：系統(tǒng)權(quán)限選項(xiàng)頁面如圖7.21所示。在界面中授予新角色系統(tǒng)權(quán)限使之繼承相應(yīng)的權(quán)限。該選項(xiàng)頁面的信息和操作方法與創(chuàng)立用戶的系統(tǒng)權(quán)限選項(xiàng)頁面類似。在此授予SYSDBA系統(tǒng)權(quán)限 圖圖7.20創(chuàng)立角色創(chuàng)立角色角色選項(xiàng)頁面角色選項(xiàng)頁面 圖圖7.21創(chuàng)立角色創(chuàng)立角色系統(tǒng)權(quán)限選項(xiàng)頁面系統(tǒng)權(quán)限選項(xiàng)頁面 (4) 對(duì)象權(quán)限選項(xiàng)頁面：對(duì)象權(quán)限選項(xiàng)界面如圖7.22所示。在該界面中授予新角色對(duì)象權(quán)限使之繼承相應(yīng)的權(quán)限。該選項(xiàng)頁面的信息和操作方法與圖創(chuàng)立用戶的系統(tǒng)權(quán)限選項(xiàng)頁面類似。根據(jù)需要授予新角色相應(yīng)的對(duì)象權(quán)限。 圖7.22創(chuàng)立角色對(duì)象權(quán)限選項(xiàng)頁面 (5) 使用者組切換權(quán)限選項(xiàng)頁面：使用者組選項(xiàng)界面如圖7.23所示。

30、在該選項(xiàng)頁面中，可以將新角色授予相應(yīng)的使用者權(quán)限。該選項(xiàng)頁面的信息和操作方法與創(chuàng)立用戶的系統(tǒng)權(quán)限選項(xiàng)頁面類似。根據(jù)需要授予新角色相應(yīng)的使用者權(quán)限。確認(rèn)5個(gè)選項(xiàng)頁面設(shè)置無誤后，單擊“確定按鈕，創(chuàng)立成功后系統(tǒng)返回到圖7.18所示界面，完成創(chuàng)立角色操作。 圖7.23創(chuàng)立角色使用者選項(xiàng)頁面 2.利用利用SQL命令創(chuàng)立角色命令創(chuàng)立角色利用利用CREATE ROLE創(chuàng)立的新角色在最初權(quán)限是空的，可用創(chuàng)立的新角色在最初權(quán)限是空的，可用GRANT語句將權(quán)限添加到角語句將權(quán)限添加到角色中。色中。(1) CREATE ROLE語句語句語法格式：語法格式：CREATE ROLE role_name NOT IDEN

31、TIFIEDIDENTIFIED BY password EXTERNALLY GLOBALLY其中：其中：role_name：新創(chuàng)立角色的名稱。：新創(chuàng)立角色的名稱。NOT IDENTIFIED：該角色由數(shù)據(jù)庫授權(quán)，不需要口令使該角色生效。：該角色由數(shù)據(jù)庫授權(quán)，不需要口令使該角色生效。DENTIFIED：在用：在用SET ROLE語句使該角色生效之前必須由指定的方法來授權(quán)一個(gè)用戶。語句使該角色生效之前必須由指定的方法來授權(quán)一個(gè)用戶。BY password：創(chuàng)立一個(gè)局部用戶，在使角色生效之前，用戶必須指定：創(chuàng)立一個(gè)局部用戶，在使角色生效之前，用戶必須指定password定義的定義的口口令?？诹钪?/p>

32、能是數(shù)據(jù)庫字符集中的單字節(jié)字符。令?？诹钪荒苁菙?shù)據(jù)庫字符集中的單字節(jié)字符。EXTERNALLY：創(chuàng)立一個(gè)外部用戶。在使角色生效之前，必須由外部效勞：創(chuàng)立一個(gè)外部用戶。在使角色生效之前，必須由外部效勞(如操作系統(tǒng)如操作系統(tǒng))來來授權(quán)用戶。授權(quán)用戶。GLOBALLY：創(chuàng)立一個(gè)全局用戶。在利用：創(chuàng)立一個(gè)全局用戶。在利用SET ROLE語句使角色生效前或在登錄時(shí)，用戶語句使角色生效前或在登錄時(shí)，用戶必須由企業(yè)目錄效勞授權(quán)使用該角色。必須由企業(yè)目錄效勞授權(quán)使用該角色。2. 利用利用SQL命令創(chuàng)立角色命令創(chuàng)立角色(2) GRANT語句語句語法格式：語法格式：GRANT system_priv | role

33、 TO roleWITH ADMIN OPTIN參數(shù)和關(guān)鍵字含義同權(quán)限添加到用戶中的參數(shù)和關(guān)鍵字含義同權(quán)限添加到用戶中的GRANT語句語句【例【例7.5】創(chuàng)立一個(gè)新的角色】創(chuàng)立一個(gè)新的角色ACCOUNT_CREATE，它只能創(chuàng)立用戶，而不能執(zhí)，它只能創(chuàng)立用戶，而不能執(zhí)行其他行其他DBA級(jí)命令。級(jí)命令。CREATE ROLE ACCOUNT_CREATE;GRANT CREATE SESSION,CREATE USER,ALTER USER TO ACCOUNT_CREATE;角色管理就是修改角色的權(quán)限、生成角色報(bào)告和刪除角色等工作。1.利用OEM管理角色(1)修改角色如圖7.18所示，在“角色

34、搜索界面中，選擇要更改的角色名稱，單擊“修改按鈕，進(jìn)入“編輯角色界面。某一角色的管理界面和創(chuàng)立角色界面相似，具體操作和創(chuàng)立角色也相似，在此不在贅述。(2)刪除角色要?jiǎng)h除某個(gè)角色，在如圖7.18所示的窗口中選擇要?jiǎng)h除的角色；也可以通過搜索功能查找某個(gè)角色，然后單擊“刪除按鈕，在“確認(rèn)界面單擊“是，即可刪除角色。2.利用利用SQL語句管理角色語句管理角色利用利用SQL語句的語句的ALTER ROLE、GRANT ROLE和和REVOKE命令也可以命令也可以管理角色。操作者必須被授予具有管理角色。操作者必須被授予具有ADMIN OPTION的角色或具有的角色或具有ALTER ANY ROLW系統(tǒng)權(quán)限

35、。系統(tǒng)權(quán)限。語法格式：語法格式：ALTER ROLE role_name NOT IDENTIFIED IDENTIFIED BY password EXTERNALLY GLOBALLY ALTER ROLE語句的關(guān)鍵字和參數(shù)語句的關(guān)鍵字和參數(shù)CREATE ROLE語句的相同，請參照語句的相同，請參照CREATE ROLE語句的關(guān)鍵字和參數(shù)含義。語句的關(guān)鍵字和參數(shù)含義。使用使用SQL語句管理角色和使用語句管理角色和使用SQL語句管理用戶根本一樣，請讀者參照使用語句管理用戶根本一樣，請讀者參照使用SQL語句管理用戶的方法，自己嘗試一下。在此說明一點(diǎn)，在將角色修改為語句管理用戶的方法，自己嘗試一

36、下。在此說明一點(diǎn)，在將角色修改為IDENTIFIED GLOBALLY之前，必須注意：之前，必須注意：(1)取消所有在外部識(shí)別的角色授權(quán)。取消所有在外部識(shí)別的角色授權(quán)。(2)取消所有用戶、角色和取消所有用戶、角色和PUBLIC的角色授權(quán)。的角色授權(quán)。 權(quán)限是執(zhí)行特定SQL語句和訪問對(duì)象的權(quán)利。權(quán)限被授予的用戶能夠完成這些特定的工作。一個(gè)用戶可以通過兩種方式得到權(quán)限：(1)顯式地將權(quán)限授予給用戶。(2)可以將權(quán)限授予某個(gè)角色，然后為用戶參加這個(gè)角色。由于使用角色管理權(quán)限比較簡單，所以一般先將權(quán)限授予給角色，然后分配給各個(gè)用戶。Oracle支持系統(tǒng)權(quán)限和方案對(duì)象權(quán)限。1. 系統(tǒng)權(quán)限系統(tǒng)權(quán)限是執(zhí)行特

37、定操作例如創(chuàng)立數(shù)據(jù)庫、從表中刪除行數(shù)據(jù)等的權(quán)限。Oracle中包含60種不同的系統(tǒng)權(quán)限?？梢詫⑾到y(tǒng)權(quán)限授予用戶和角色，如果將系統(tǒng)權(quán)限授予某個(gè)角色，就可以使用該角色管理系統(tǒng)權(quán)限。有兩種方法可以授予或回收系統(tǒng)權(quán)限，一是使用OEM，二是使用SQL語句GRANT和REVOKE。注意：由于系統(tǒng)權(quán)限大，在數(shù)據(jù)庫配置時(shí)，對(duì)于一般用戶盡量不要授予在數(shù)據(jù)字典上使用ANY系統(tǒng)權(quán)限(如ALTER ANY TABLE)。2. 方案對(duì)象權(quán)限方案對(duì)象權(quán)限方案對(duì)象權(quán)限是對(duì)特定方案對(duì)象執(zhí)行特定操作的權(quán)利，這些方案對(duì)象主要包括方案對(duì)象權(quán)限是對(duì)特定方案對(duì)象執(zhí)行特定操作的權(quán)利，這些方案對(duì)象主要包括表、視圖、序列、過程、函數(shù)和包等。

38、有些方案對(duì)象表、視圖、序列、過程、函數(shù)和包等。有些方案對(duì)象(如簇、索引、觸發(fā)器和數(shù)如簇、索引、觸發(fā)器和數(shù)據(jù)庫鏈接據(jù)庫鏈接)沒有對(duì)應(yīng)的對(duì)象權(quán)限，它們是通過系統(tǒng)權(quán)限控制的。例如，修改簇用沒有對(duì)應(yīng)的對(duì)象權(quán)限，它們是通過系統(tǒng)權(quán)限控制的。例如，修改簇用戶必須擁有戶必須擁有ALTER ANY CLUSER系統(tǒng)權(quán)限。系統(tǒng)權(quán)限。Oracle方案對(duì)象有以下方案對(duì)象有以下9種權(quán)限：種權(quán)限：(1) SELECT：讀取表、視圖、序列中的行。：讀取表、視圖、序列中的行。(2) UPDATE：更新表、視圖和序列中的行。：更新表、視圖和序列中的行。(3) DELETE：刪除表、視圖中的數(shù)據(jù)。：刪除表、視圖中的數(shù)據(jù)。(4)

39、INSERT：向表和視圖中插入數(shù)據(jù)。：向表和視圖中插入數(shù)據(jù)。(5) EXECUTE：執(zhí)行類型、函數(shù)、包和過程。：執(zhí)行類型、函數(shù)、包和過程。(6) READ：讀取數(shù)據(jù)字典中的數(shù)據(jù)。：讀取數(shù)據(jù)字典中的數(shù)據(jù)。(7) INDEX：生成索引。：生成索引。(8) PEFERENCES：生成外鍵。：生成外鍵。(9) ALTER：修改表、序列、同義詞中的結(jié)構(gòu)。：修改表、序列、同義詞中的結(jié)構(gòu)。1.表平安表平安在表和視圖上賦予在表和視圖上賦予DELETE、INSERT、SELECT和和UPDATE權(quán)限可進(jìn)行查詢和操作權(quán)限可進(jìn)行查詢和操作表表數(shù)據(jù)。可以限制數(shù)據(jù)?？梢韵拗艻NSERT權(quán)限到表的特定的列，而所有其他列都

40、接受權(quán)限到表的特定的列，而所有其他列都接受NULL或者默認(rèn)或者默認(rèn)值。使用可選的值。使用可選的UPDATE，用戶能夠更新特定列的值。，用戶能夠更新特定列的值。如果用戶需要在表上執(zhí)行如果用戶需要在表上執(zhí)行DDL操作，那么需要操作，那么需要ALTER、INDEX和和REFERNCES權(quán)限權(quán)限還還可能需要其他系統(tǒng)或者對(duì)象權(quán)限。例如，如果需要在表上創(chuàng)立觸發(fā)器，用戶就需要可能需要其他系統(tǒng)或者對(duì)象權(quán)限。例如，如果需要在表上創(chuàng)立觸發(fā)器，用戶就需要ALTER TABLE對(duì)象權(quán)限和對(duì)象權(quán)限和CREATE TRIGGER系統(tǒng)權(quán)限。與系統(tǒng)權(quán)限。與INSERT和和UPDATE權(quán)限權(quán)限相同，相同，REFRENCES權(quán)限

41、能夠?qū)Ρ淼奶囟惺谟铏?quán)限。權(quán)限能夠?qū)Ρ淼奶囟惺谟铏?quán)限。2.視圖平安視圖平安對(duì)視圖的方案對(duì)象權(quán)限允許執(zhí)行大量的對(duì)視圖的方案對(duì)象權(quán)限允許執(zhí)行大量的DML操作，影響視圖創(chuàng)立的基表，對(duì)表的操作，影響視圖創(chuàng)立的基表，對(duì)表的DML對(duì)象權(quán)限與視圖相似。要?jiǎng)?chuàng)立視圖，必須滿足下面對(duì)象權(quán)限與視圖相似。要?jiǎng)?chuàng)立視圖，必須滿足下面2條：條：(1)授予授予CREATE VIEW系統(tǒng)權(quán)限或者系統(tǒng)權(quán)限或者CREATE ANY VIEW系統(tǒng)權(quán)限。系統(tǒng)權(quán)限。(2)顯式授予顯式授予SELECT、INSERT、UPDATE和和DELETE對(duì)象權(quán)限，或者顯式授予對(duì)象權(quán)限，或者顯式授予SELECT ANY TABLE、INSERT A

42、NY TABLE、UPDATE ANY TABLE、DELETE ANY TABLE系統(tǒng)權(quán)限。系統(tǒng)權(quán)限。為了其他用戶能夠訪問視圖，可以通過為了其他用戶能夠訪問視圖，可以通過GRANT OPTION子句或者使用子句或者使用ADMIN OPTION子句授予適當(dāng)?shù)南到y(tǒng)權(quán)限。由于下面子句授予適當(dāng)?shù)南到y(tǒng)權(quán)限。由于下面2條：條：(1)視圖訪問基表的所選擇的列的數(shù)據(jù)。視圖訪問基表的所選擇的列的數(shù)據(jù)。(2)在定義視圖時(shí)，使用在定義視圖時(shí)，使用WHERE子句控制基表的局部數(shù)據(jù)。子句控制基表的局部數(shù)據(jù)。上述兩點(diǎn)可以增加表的平安層次，包括列層和基于值的平安性上述兩點(diǎn)可以增加表的平安層次，包括列層和基于值的平安性 3

43、. 過程平安過程平安過程方案的對(duì)象權(quán)限過程方案的對(duì)象權(quán)限(其中包括獨(dú)立的過程、函數(shù)和包其中包括獨(dú)立的過程、函數(shù)和包)只有只有EXECUTE權(quán)限。將權(quán)限。將這個(gè)權(quán)限授予需要執(zhí)行過程或需要編譯另一個(gè)需要調(diào)用它的過程。這個(gè)權(quán)限授予需要執(zhí)行過程或需要編譯另一個(gè)需要調(diào)用它的過程。(1) 過程對(duì)象。具有某個(gè)過程的過程對(duì)象。具有某個(gè)過程的EXECUTE對(duì)象權(quán)限的用戶可以執(zhí)行該過程，也對(duì)象權(quán)限的用戶可以執(zhí)行該過程，也可以編譯引用該過程的程序單元。過程調(diào)用時(shí)不會(huì)檢查權(quán)限。具有可以編譯引用該過程的程序單元。過程調(diào)用時(shí)不會(huì)檢查權(quán)限。具有EXECUTE ANY PROCEDURE系統(tǒng)權(quán)限的用戶可以執(zhí)行數(shù)據(jù)庫中的任何過

44、程。當(dāng)用戶需要系統(tǒng)權(quán)限的用戶可以執(zhí)行數(shù)據(jù)庫中的任何過程。當(dāng)用戶需要?jiǎng)?chuàng)立過程時(shí)，必須擁有創(chuàng)立過程時(shí)，必須擁有CREATE PROCEDURE系統(tǒng)權(quán)限或者是系統(tǒng)權(quán)限或者是CREATE ANY PROCEDURE系統(tǒng)權(quán)限。當(dāng)需要修改正程時(shí)，需要系統(tǒng)權(quán)限。當(dāng)需要修改正程時(shí)，需要ALTER ANY PROCEDURE系統(tǒng)權(quán)限。系統(tǒng)權(quán)限。擁有過程的用戶必須擁有在過程體中引用的方案對(duì)象的權(quán)限。為了創(chuàng)立過程，必?fù)碛羞^程的用戶必須擁有在過程體中引用的方案對(duì)象的權(quán)限。為了創(chuàng)立過程，必須為過程引用的所有對(duì)象授予用戶必要的權(quán)限。須為過程引用的所有對(duì)象授予用戶必要的權(quán)限。(2) 包對(duì)象。擁有包的包對(duì)象。擁有包的EXEC

45、UTE對(duì)象權(quán)限的用戶，可以執(zhí)行包中的任何公共過對(duì)象權(quán)限的用戶，可以執(zhí)行包中的任何公共過程和函數(shù)，能夠訪問和修改任何公共包變量的值。對(duì)于包不能授予程和函數(shù)，能夠訪問和修改任何公共包變量的值。對(duì)于包不能授予EXECUTE權(quán)權(quán)限，當(dāng)為數(shù)據(jù)庫應(yīng)用開發(fā)過程、函數(shù)和包時(shí)，要考慮建立平安性。限，當(dāng)為數(shù)據(jù)庫應(yīng)用開發(fā)過程、函數(shù)和包時(shí)，要考慮建立平安性。4. 類型平安類型平安(1) 命名類型的系統(tǒng)權(quán)限命名類型的系統(tǒng)權(quán)限Oracle 10g為命名類型為命名類型(對(duì)象類型、對(duì)象類型、VARRAY和嵌套表和嵌套表)定義了系統(tǒng)權(quán)限，如表定義了系統(tǒng)權(quán)限，如表7.2所示。所示。表表7.2命名類型的系統(tǒng)權(quán)限命名類型的系統(tǒng)權(quán)限4

46、.類型平安類型平安(2)對(duì)象權(quán)限。如果在命名類型上存在對(duì)象權(quán)限。如果在命名類型上存在EXECUTE權(quán)限，那么用戶可以使用命權(quán)限，那么用戶可以使用命名類型完成定義表、在關(guān)系包中定義列及聲明命名類型的變量和類型。名類型完成定義表、在關(guān)系包中定義列及聲明命名類型的變量和類型。(3)創(chuàng)立類型和表權(quán)限。在創(chuàng)立類型時(shí)，必須滿足以下要求：創(chuàng)立類型和表權(quán)限。在創(chuàng)立類型時(shí)，必須滿足以下要求：如果在自己模式上創(chuàng)立類型，那么必須擁有如果在自己模式上創(chuàng)立類型，那么必須擁有CREATE TYPE系統(tǒng)權(quán)限；如果系統(tǒng)權(quán)限；如果需需要在其他用戶上創(chuàng)立類型，那么必須擁有要在其他用戶上創(chuàng)立類型，那么必須擁有CREATE ANY

47、TYPE系統(tǒng)權(quán)限。系統(tǒng)權(quán)限。類型的所有者必須顯式授予訪問定義類型引用的其他類型的類型的所有者必須顯式授予訪問定義類型引用的其他類型的EXECUTE權(quán)權(quán)限，或者授予限，或者授予EXECUTE ANY TYPE系統(tǒng)權(quán)限，所有者不能通過角色獲取所需的系統(tǒng)權(quán)限，所有者不能通過角色獲取所需的權(quán)限。權(quán)限。如果類型所有者需要訪問其他類型，那么必須已經(jīng)接受如果類型所有者需要訪問其他類型，那么必須已經(jīng)接受EXECUTE權(quán)限或者權(quán)限或者是是EXECUTE ANY TYPE系統(tǒng)權(quán)限。系統(tǒng)權(quán)限。如果使用類型創(chuàng)立表，那么必須滿足以下要求：如果使用類型創(chuàng)立表，那么必須滿足以下要求：表的所有者必須顯式授予表的所有者必須顯式

48、授予EXECUTE對(duì)象權(quán)限，能夠訪問所有引用的類型，對(duì)象權(quán)限，能夠訪問所有引用的類型，或者授予或者授予EXECUTE ANY TYPE系統(tǒng)權(quán)限。系統(tǒng)權(quán)限。如果表的所有者需要訪問其他用戶的表時(shí)，那么必須在如果表的所有者需要訪問其他用戶的表時(shí)，那么必須在GRANT OPTION選選項(xiàng)項(xiàng)中接受參考類型的中接受參考類型的EXECUTE對(duì)象權(quán)限，或者在對(duì)象權(quán)限，或者在ADMIN OPTION中接受中接受EXECUTE ANY TYPE系統(tǒng)權(quán)限。系統(tǒng)權(quán)限。【例【例7.6】使用類型創(chuàng)立類型和表的權(quán)限。】使用類型創(chuàng)立類型和表的權(quán)限。假設(shè)假設(shè)USER1、USER2和和USER3這三個(gè)用戶都有這三個(gè)用戶都有CON

49、NECT和和RESOURCE角色。角色。 USER1在自己的模式執(zhí)行下面的在自己的模式執(zhí)行下面的DDL語句：語句：CREATE TYPE type1 AS OBJECT(attr1 number);CREATE TYPE type2 AS OBJECT(attr2 number);GRANT EXECUTE ON type1 TO USER2;GRANT EXECUTE ON type2 TO USER2WITH CRANT OPTION; USER2在自己的模式執(zhí)行下面的在自己的模式執(zhí)行下面的DDL語句：語句：CREATE TABLE tab1 OF USER1.type1;CREATE T

50、YPE type3 AS OBJECT(attr3 user1.type2);CREATE TABLE tab2(col1 user1.type2);由于由于USER2在在GRANT OPTION中擁有對(duì)中擁有對(duì)USER1的的TYPE2的的EXECUTE2權(quán)限，所以能夠成權(quán)限，所以能夠成功執(zhí)行。功執(zhí)行。GRANT EXECUTE ON type3 TO USER3;GRANT SELECT ON tab2 TO USER3;然而，由于在然而，由于在GRANT OPTION中中USER2沒有沒有USER1的的TYPE的的EXECUTE權(quán)限，所以下面權(quán)限，所以下面的授權(quán)失敗：的授權(quán)失?。篊RANT

51、 SELECT ON tab1 TO USER3; USER3可以成功執(zhí)行下面的語句：可以成功執(zhí)行下面的語句：CREATE TYPE type4 AS OBJECT(attr4 user2.type3);CREATE TABLE tab3 OF type4;4. 類型平安類型平安(4) 類型訪問和對(duì)象訪問的權(quán)限。在列層和表層上的類型訪問和對(duì)象訪問的權(quán)限。在列層和表層上的DML命令權(quán)限，可以應(yīng)用到命令權(quán)限，可以應(yīng)用到對(duì)象列和行對(duì)象上。對(duì)象列和行對(duì)象上。Oracle為對(duì)象表定義的權(quán)限如表為對(duì)象表定義的權(quán)限如表7.3所示。所示。 表表7.3對(duì)象表的權(quán)限對(duì)象表的權(quán)限7.3 概要文件和數(shù)據(jù)字典視圖概要文

52、件和數(shù)據(jù)字典視圖概要文件用來限制由用戶使用的系統(tǒng)和數(shù)據(jù)庫資源，并管理口令限制。如果數(shù)據(jù)庫中沒有創(chuàng)立概要文件，將使用默認(rèn)的概要文件?？梢允褂肙EM或SQL語句來創(chuàng)立概要文件。1. 使用OEM創(chuàng)立概要文件啟動(dòng)并登錄到OEM，以SYSDBA的身份連接到要操作的數(shù)據(jù)庫，如圖7.1所示。選擇“概要文件，進(jìn)入“概要文件搜索界面，如圖7.24所示。在該界面單擊“創(chuàng)立按鈕，進(jìn)入“創(chuàng)立概要文件界面，如圖7.25所示。該界面包括一般信息和口令兩個(gè)選項(xiàng)頁面，通過對(duì)選項(xiàng)頁面中信息的設(shè)置，可以完成概要文件的定義。1.使用使用OEM創(chuàng)立概要文件創(chuàng)立概要文件 圖圖7.24概要文件搜索界面概要文件搜索界面 圖7.25創(chuàng)立概要

53、文件 一般信息選項(xiàng)頁面 (1) 一般信息選項(xiàng)頁面。在如圖7.25所示的“一般信息選項(xiàng)界面中，可以指定將要?jiǎng)?chuàng)立的概要文件的名稱以及其他詳細(xì)資料和數(shù)據(jù)庫效勞。詳細(xì)資料區(qū)設(shè)置的內(nèi)容如下：CPU/會(huì)話：一個(gè)會(huì)話占用CPU的時(shí)間總量(以秒/100為單位)。CPU/調(diào)用：一個(gè)調(diào)用占用CPU的時(shí)間最大值(以秒/100為單位)。連接時(shí)間：一個(gè)會(huì)話持續(xù)的時(shí)間的最大值(以分鐘為單位)?？臻e時(shí)間：一個(gè)會(huì)話處于空閑狀態(tài)的時(shí)間最大值(以分鐘為單位)?？臻e時(shí)間是會(huì)話中持續(xù)不活動(dòng)的一段時(shí)間。長時(shí)間運(yùn)行的查詢和其他操作不受此限值的約束。數(shù)據(jù)庫效勞區(qū)設(shè)置的內(nèi)容如下：并行會(huì)話數(shù)：一個(gè)用戶進(jìn)行并行會(huì)話的最大數(shù)量。讀取數(shù)/會(huì)話：一個(gè)

54、會(huì)話讀取的數(shù)據(jù)塊總量。該限值包括從內(nèi)存和磁盤讀取的塊。讀取數(shù)/調(diào)用：一個(gè)調(diào)用在處理一個(gè)PL/SQL語句時(shí)讀取數(shù)據(jù)塊的最大數(shù)量。專用SGA：在系統(tǒng)全局區(qū)(SGA)的共享池中，一個(gè)會(huì)話可分配的專用空間量的最大值。專用SGA的限值只在使用多線程效勞器體系結(jié)構(gòu)的情況下適用。限制：一個(gè)會(huì)話消耗的資源總量。它包括會(huì)話占用CPU的時(shí)間、連接時(shí)間、會(huì)話中的讀取數(shù)和分配的專用SGA空間量 Default：使用DEFAULT概要文件中為該資源指定的限值。Unlimited：可以不受限制地利用該資源。值：在現(xiàn)有值中選擇一個(gè)。這些默認(rèn)值是該工程的常用值，這些值根據(jù)工程的不同而不同。 (2) 口令選項(xiàng)頁面?？诹钸x項(xiàng)界面

55、如圖7.26。在該界面可以設(shè)置帳戶口令各種參數(shù)。圖圖7.26創(chuàng)立概要文件創(chuàng)立概要文件口令選項(xiàng)頁面口令選項(xiàng)頁面對(duì)于“口令選項(xiàng)，可以設(shè)置有效期和失效后鎖定狀態(tài)。有效期：多少天后口令失效。最大鎖定天數(shù)：口令失效后第一次用它登錄后多少天內(nèi)可以更改此口令。對(duì)于“歷史記錄選項(xiàng)，設(shè)置如何保存。保存的口令數(shù)：口令能被重新使用前必須被更改的次數(shù)。保存天數(shù)：限定口令失效后經(jīng)過多少天才可以重新使用。分配了該概要文件的用戶，在登錄到數(shù)據(jù)庫時(shí)允許使用一個(gè)PL/SQL例行程序來校驗(yàn)口令。PL/SQL例行程序必須在本地使用，才能在應(yīng)用該概要文件的數(shù)據(jù)庫上執(zhí)行。Oracle提供了一個(gè)默認(rèn)腳本(utlpwdmg.sql)，也可

56、以創(chuàng)立自己的例行程序或使用第三方軟件。檢驗(yàn)口令的例行程序必須歸SYS所有。默認(rèn)情況下的設(shè)置為“空，即不進(jìn)行口令校驗(yàn)。假設(shè)選擇“啟用口令復(fù)雜性函數(shù) 復(fù)選框，那么可以強(qiáng)制用戶的口令符合復(fù)雜度標(biāo)準(zhǔn)。例如，可以要求口令的最小長度、不是一些簡單的詞、至少包括一個(gè)數(shù)字或標(biāo)點(diǎn)符號(hào)。假設(shè)選擇“登錄失敗后鎖定帳戶 復(fù)選框，那么可以設(shè)置限定用戶在登錄幾次失敗后將無法使用該帳戶；在登錄失敗到達(dá)指定次數(shù)后，指定該帳戶將被鎖定的天數(shù)。如果選擇了“Unlimited選項(xiàng)，只有數(shù)據(jù)庫管理員才能為該帳戶解除鎖定。單擊“確定按鈕，系統(tǒng)創(chuàng)立概要文件。概要文件創(chuàng)立成功后，返回到圖7.24所示的界面，完成創(chuàng)立操作，此時(shí)能在該界面看到

57、上面所創(chuàng)立的概要文件的根本信息。 2.使用使用CREATE PROFILE命令創(chuàng)立概要文件命令創(chuàng)立概要文件 語法格式：語法格式：CREATE PROFILE LIMIT profile_nameresource_parameters password_parameters說明：說明：profile_name：將要?jiǎng)?chuàng)立的概要文件的名稱。：將要?jiǎng)?chuàng)立的概要文件的名稱。resource_parameters：對(duì)一個(gè)用戶指定資源限制的參數(shù)。：對(duì)一個(gè)用戶指定資源限制的參數(shù)。password_parameters：口令參數(shù)。：口令參數(shù)。2.使用使用CREATE PROFILE命令創(chuàng)立概要文件命令創(chuàng)立概要文件

58、resource_parameters的表達(dá)式的表達(dá)式語法格式：語法格式： SESSIONS_PER_USER integer UNLIMITED DEFAULT /*限制一個(gè)用戶并發(fā)會(huì)話個(gè)數(shù)限制一個(gè)用戶并發(fā)會(huì)話個(gè)數(shù)*/ CPU_PER_SESSION integer UNLIMITED DEFAULT /*限制一次會(huì)話的限制一次會(huì)話的CPU時(shí)間，以秒時(shí)間，以秒/100為單位為單位*/ CPU_PER_CALL integer UNLIMITED DEFAULT /*限制一次調(diào)用的限制一次調(diào)用的CPU時(shí)間，以秒時(shí)間，以秒/100為單位為單位*/ CONNECT_TIME integer UNL

59、IMITED DEFAULT/*一次會(huì)話持續(xù)的時(shí)間，以分鐘為單位一次會(huì)話持續(xù)的時(shí)間，以分鐘為單位*/ IDLE_TIME integer UNLIMITED DEFAULT /*限制一次會(huì)話期間的連續(xù)不活動(dòng)時(shí)間，以分鐘為單位限制一次會(huì)話期間的連續(xù)不活動(dòng)時(shí)間，以分鐘為單位*/ LOGICAL_READS_PER_SESSION integer UNLIMITED DEFAULT /*規(guī)定一次會(huì)話中讀取數(shù)據(jù)塊的數(shù)目，包括從內(nèi)存和磁盤中讀取的塊數(shù)規(guī)定一次會(huì)話中讀取數(shù)據(jù)塊的數(shù)目，包括從內(nèi)存和磁盤中讀取的塊數(shù)*/ LOGICAL_READS_PER_CALL integer UNLIMITED DEFA

60、ULT /*規(guī)定處理一個(gè)規(guī)定處理一個(gè)SQL語句一次調(diào)用所讀的數(shù)據(jù)塊的數(shù)目語句一次調(diào)用所讀的數(shù)據(jù)塊的數(shù)目*/ COMPOSITE_LIMT integer UNLIMITED DEFAULT /*規(guī)定一次會(huì)話的資源開銷，以效勞單位表示該參數(shù)值規(guī)定一次會(huì)話的資源開銷，以效勞單位表示該參數(shù)值*/ PRIVATE_SGA integer K M UNLIMITED DEFAULT /*規(guī)定一次會(huì)話在系統(tǒng)全局取規(guī)定一次會(huì)話在系統(tǒng)全局取(SGA)的共享池可分配的私有空間的數(shù)目，以字節(jié)表的共享池可分配的私有空間的數(shù)目，以字節(jié)表示?？梢允褂檬??？梢允褂肒或或M來表示千字節(jié)或兆字節(jié)來表示千字節(jié)或兆字節(jié)*/2.使