用戶、權(quán)限和角色管理

1、用戶管理的一些選項(xiàng)1、唯一的用戶名、字母開頭、不包括特殊字符、最長(zhǎng)30個(gè)2、要有一種認(rèn)證方式，通常采用密碼認(rèn)證，也就是登錄時(shí)提供用戶名和密碼3、默認(rèn)表空間Oracle10g中定義了一個(gè)數(shù)據(jù)庫級(jí)別的默認(rèn)表空間，如果用戶沒有定義默認(rèn)表空間，那么就使用這個(gè)作為自己的默認(rèn)表空間，10g以前，如果出現(xiàn)這種情況，那么就是用system表空間，這顯然不合理，因此建立一個(gè)數(shù)據(jù)庫級(jí)別的表空間還是很有意義的4、默認(rèn)臨時(shí)表空間臨時(shí)表空間最經(jīng)典的使用就是排序的時(shí)候，PGA容納不了排序所產(chǎn)生的臨時(shí)數(shù)據(jù)，9i開始可以指定數(shù)據(jù)庫級(jí)別的默認(rèn)臨時(shí)表空間5、配置文件用來控制用戶密碼策略、以及資源使用的配置信息6、用戶組7、鎖定狀

2、態(tài)數(shù)據(jù)庫建立以后，會(huì)產(chǎn)生兩個(gè)重要的用戶：sys和systemsys是超級(jí)管理員，必須作為sysdba登陸，這是安全措施因?yàn)閟ys的權(quán)限太大，使用sysdba登陸以后，審計(jì)文件會(huì)記錄登錄的時(shí)間信息，system沒有sys的權(quán)限大最通常的用法是：日常管理中，不要使用sys和system登錄數(shù)據(jù)庫，而是建立一個(gè)用戶、并賦予DBA角色，使用該用戶進(jìn)行日常的管理工作創(chuàng)建用戶口令是最常見的認(rèn)證方式。CREATE USER SYSADMIN PROFILE DEFAULT IDENTIFIED BY * PASSWORD EXPIRE DEFAULT TABLESPACE USERS TEMPORARY T

3、ABLESPACE TEMP ACCOUNT UNLOCKGRANT CONNECT TO SYSADMIN 看一下外部認(rèn)證（操作系統(tǒng)認(rèn)證的例子）一個(gè)操作系統(tǒng)用戶的賬號(hào)是ora，那么在數(shù)據(jù)庫里面需要建立一個(gè)用戶叫做ops$ora，這個(gè)用戶登陸操作系統(tǒng)以后，就可以直接登陸數(shù)據(jù)庫了。因?yàn)椴僮飨到y(tǒng)已經(jīng)認(rèn)證了這個(gè)用戶。CREATECREATE USERUSER OPS$ORA PROFILEPROFILE DEFAULT IDENTIFIEDIDENTIFIED EXTERNALLYEXTERNALLY DEFAULTDEFAULT TABLESPACETABLESPACE USERS TEMPORA

4、RYTEMPORARY TABLESPACETABLESPACE TEMP ACCOUNTACCOUNT UNLOCKUNLOCKGRANTGRANT CONNECT TOTO OPS$ORA不需要使用用戶名和密碼就可以直接登錄。這就是一個(gè)反例，如果在數(shù)據(jù)庫里面沒有建立相應(yīng)的用戶名，不能使用外部認(rèn)證。1、對(duì)于普通用戶來說，賬號(hào)存儲(chǔ)在數(shù)據(jù)字典的表里面，數(shù)據(jù)庫沒有啟動(dòng)以前，不能對(duì)用戶進(jìn)行認(rèn)證。2、對(duì)sys用戶的認(rèn)證方式有些特殊，因?yàn)閟ys用戶需要在數(shù)據(jù)庫還沒有啟動(dòng)的情況下進(jìn)行登錄，對(duì)sys用戶的認(rèn)證主要有兩種方式操作系統(tǒng)認(rèn)證密碼文件認(rèn)證操作系統(tǒng)認(rèn)證unix下面，如果用戶屬于DBA組，那么用戶登錄操

5、作系統(tǒng)后就可以使用sysdba進(jìn)行登錄windows下面，如果用戶屬于ora_dba組，那么用戶登錄操作系統(tǒng)以后，可以使用sysdba進(jìn)行登錄如果用戶屬于oinstall組，不能進(jìn)行操作系統(tǒng)認(rèn)證。如果用戶屬于DBA組，那么就可以使用操作系統(tǒng)認(rèn)證，使用DBA角色登錄數(shù)據(jù)庫。在這方面，我們使用最多的就是Oracle用戶。上面的認(rèn)證需要我們的用戶登陸Oracle所在的數(shù)據(jù)庫服務(wù)器上。是否使用操作系統(tǒng)認(rèn)證，還取決于一個(gè)設(shè)置這個(gè)文件中有這么一條記錄，或者沒有這么一條記錄。那么就表示可以使用操作系統(tǒng)進(jìn)行認(rèn)證。如果改成NONE，那么表示不能使用操作系統(tǒng)進(jìn)行認(rèn)證。改回來以后，不需要重啟什么服務(wù)，就直接可以進(jìn)行

6、連接了。遠(yuǎn)程登錄Oracle，如何實(shí)現(xiàn)sys認(rèn)證，就需要使用口令文件。遠(yuǎn)程登錄，必須提供sys的密碼，這是安全要求。但是密碼又不能存放在數(shù)據(jù)字典表里面，只能存放在另外一個(gè)位置，那就是密碼文件。1、在服務(wù)器上建立一個(gè)密碼文件unix上位于$ORACLE_HOME/dbswindows上位于$ORACLE_HOME/databaseSID為小寫，那么口令文件中的orapwSID中的SID也要小些，兩者必須相同，而且區(qū)分大小寫。在WINDOWS平臺(tái)下面，口令文件是PWDSID，SID也要遵循大小寫。上面建立了一個(gè)口令文件，這個(gè)口令文件可以允許5個(gè)不同的oracle用戶擁有sysdba權(quán)限。2、設(shè)置初

7、始化參數(shù)NONE：不能進(jìn)行密碼文件認(rèn)證，Oracle未啟動(dòng)的情況下，遠(yuǎn)程用戶沒有辦法通過網(wǎng)絡(luò)服務(wù)的方式以SYSDBA權(quán)限登錄到Oracle數(shù)據(jù)庫。EXCLUSIVE：默認(rèn)值，該密碼只能被一個(gè)實(shí)例使用，我們可以向密碼文件中添加新的用戶SHARED：該密碼文件可以被多個(gè)實(shí)例使用（用于RAC），但是密碼文件里面只能存放sys和system用戶的密碼禁用操作系統(tǒng)以后，只能使用口令文件登陸。因?yàn)閟ysdba只有兩種認(rèn)證方式。目前使用口令文件只允許Oracle用戶。顯然可以使用口令文件進(jìn)行認(rèn)證了，但是目前為止只能sys用戶使用口令文件。修改了參數(shù)以后，權(quán)限不夠了。因?yàn)镺S和口令文件全部禁止了，因此沒有辦法

8、啟動(dòng)數(shù)據(jù)庫了，只能修改OS認(rèn)證了。要啟用口令文件認(rèn)證，需要設(shè)置口令文件和配置上面的remote參數(shù)默認(rèn)只有sys可以使用口令文件。密碼文件丟失的情況可以重建口令文件。 sysadmin也進(jìn)入了口令文件中。用戶sysadmin也可以在數(shù)據(jù)庫沒有啟動(dòng)的情況下，使用口令文件進(jìn)行認(rèn)證了。用戶sys的密碼存在口令文件和數(shù)據(jù)字典中，修改了密碼以后，會(huì)同時(shí)更新兩個(gè)地方的密碼?？诹钗募锌梢源娣哦鄠€(gè)用戶，這些用戶都可以使用sysdba在數(shù)據(jù)庫沒有啟動(dòng)的情況下登錄數(shù)據(jù)庫。建立了一個(gè)用戶shd，給這個(gè)用戶分配了連個(gè)權(quán)限。另起一個(gè)會(huì)話，使用shd登陸，建立一個(gè)用戶。這個(gè)用戶不能夠被刪除，因?yàn)檫@個(gè)用戶正在連接中。如何

9、強(qiáng)行中斷呢？等一會(huì)，PMON會(huì)啟動(dòng)起來，從而清理中斷的session所占用的資源。session一直沒有刪除，可能是PMON未啟動(dòng)或者未能成功的解鎖。找到被刪除的那個(gè)進(jìn)程的PADDR如果能夠找到SPID的，那么就直接在linux上將這個(gè)進(jìn)程給kill掉。雖然還是顯示這個(gè)會(huì)話存在，但是過了一段時(shí)間以后，我們繼續(xù)刪除這個(gè)用戶。發(fā)現(xiàn)另外報(bào)了一個(gè)錯(cuò)誤，原來是這個(gè)用戶下面對(duì)象。使用cascade刪除用戶，這個(gè)用戶下面所有的對(duì)象都被刪除。Profile的作用主要表現(xiàn)在兩個(gè)方面1、密碼策略2、對(duì)用戶所能使用的資源進(jìn)行管理3、profile存放在數(shù)據(jù)字典里面，默認(rèn)有一個(gè)名字為default的profileDe

10、fault profile的一些項(xiàng)，這些項(xiàng)約束著用戶。資源：kernel密碼：password連續(xù)10次登陸不成功就鎖定賬號(hào)單位為天，一旦登陸次數(shù)超過指定的值以后，賬號(hào)被鎖定的時(shí)間，默認(rèn)是unlimited，表示一直鎖定下去。單位為天，密碼在多少天以后失效，失效后必須更改密碼單位為天，密碼失效后，會(huì)緩沖一定的時(shí)間，這段時(shí)間，每次使用老密碼登陸，都會(huì)提示更改密碼，超過這段時(shí)間以后，如果還是沒有更改密碼，賬號(hào)就被鎖定。單位為天，在指定的天數(shù)以內(nèi)，設(shè)定的密碼不能重復(fù)。單位為次數(shù)，在指定的次數(shù)范圍內(nèi)，密碼不能重復(fù)。上面的兩個(gè)參數(shù)是互斥的，同時(shí)只能指定一個(gè)。密碼復(fù)雜度，通過一個(gè)函數(shù)來實(shí)現(xiàn)。如何建立這個(gè)函

11、數(shù)，有一個(gè)樣例。.可以修個(gè)腳本來建立密碼函數(shù)，默認(rèn)這個(gè)腳本執(zhí)行后建立一個(gè)函數(shù)，這個(gè)函數(shù)綁定到default profile上。我們可以修改這個(gè)腳本達(dá)到我們的目的。一個(gè)密碼函數(shù)綁定到了這個(gè)配置文件上。同一個(gè)用戶同時(shí)最多能夠產(chǎn)生多少個(gè)session同一個(gè)用戶一次最多能夠持續(xù)占用CPU的多少時(shí)間，以百分之一秒為單位，例如2000，就說明session一次能夠持續(xù)使用20秒的CPU一次調(diào)用最多能夠持續(xù)占用CPU的時(shí)間，一個(gè)SQL分為解析調(diào)用、執(zhí)行調(diào)用等，以百分之一秒為單位每個(gè)session能夠進(jìn)行的邏輯讀的最大個(gè)數(shù)。一次調(diào)用能夠進(jìn)行的邏輯讀的最大個(gè)數(shù)一次會(huì)話能夠idle的時(shí)間，超過這個(gè)時(shí)間以后，中斷會(huì)

12、話，idle指的是既沒有CPU、也沒有IO等待SESSION連接數(shù)據(jù)庫超過指定的時(shí)間，中斷這個(gè)SESSION每個(gè)SESSION能夠使用的PGA的最大個(gè)數(shù)權(quán)重可以使用DBCONTROL創(chuàng)建profile，然后將profile應(yīng)用到用戶上。刪除profile的時(shí)候，如果有用戶使用這個(gè)profile，那么需要加上參數(shù)cascade使用這個(gè)配置文件的用戶的profile將為default。權(quán)限分為兩種：系統(tǒng)權(quán)限、對(duì)象權(quán)限系統(tǒng)權(quán)限指的是用戶能夠做什么事情的權(quán)限例如：創(chuàng)建一個(gè)表空間、創(chuàng)建表等Oracle10g有超過100個(gè)的系統(tǒng)權(quán)限有很多的權(quán)限帶有any，舉例create table表示能夠在自己的sch

13、ema里面創(chuàng)建表create any table表示能夠在其他schema里面創(chuàng)建表所有的系統(tǒng)權(quán)限都放在system_privilege_map數(shù)據(jù)字典里面我們來研究一些和系統(tǒng)管理有關(guān)的權(quán)限1、sysdba和sysoper最重要也是最大的權(quán)限，在數(shù)據(jù)庫里面能夠做任何想做的事情2、restricted session擁有該權(quán)限的用戶，則在數(shù)據(jù)庫以restricted模式打開的時(shí)候，也能夠登錄數(shù)據(jù)庫，以restricted模式打開數(shù)據(jù)庫是為了進(jìn)行維護(hù)性的工作，例如升級(jí)，我們不希望其他用戶也能夠登錄到數(shù)據(jù)庫，默認(rèn)只有用戶sys具有該權(quán)限3、以create以及create any開頭的權(quán)限4、以dro

14、p 以及drop any開頭的權(quán)限5、create session：表示用戶能夠連接到數(shù)據(jù)庫實(shí)例并創(chuàng)建session，用戶要能夠登錄數(shù)據(jù)庫的話，至少要求該權(quán)限，也就是說，創(chuàng)建一個(gè)用戶以后，至少要給與這個(gè)權(quán)限我們先看一下系統(tǒng)都有哪些權(quán)限。上面涉及都后面要講的問題。用戶systest不僅具有被賦予的create any table權(quán)限，還具有將這個(gè)權(quán)限付給別人的能力。如果用戶需要在其所在的schema下創(chuàng)建對(duì)象，則需要游標(biāo)空間上的配額（quota）1、unlimited tablespace系統(tǒng)權(quán)限，該用戶能夠在任何表空間里使用存儲(chǔ)空間2、賦予用戶在某些特定的表空間上的配額，該配額可以是一個(gè)具體的

15、數(shù)值，也可以是unlimited如何知道用戶在哪些表空間上存在多少配額？帶有any關(guān)鍵字的系統(tǒng)權(quán)限，表示可以在不同的schema下處理對(duì)象。默認(rèn)情況下，即便具有any的系統(tǒng)權(quán)限，也不能操作用戶sys所擁有的對(duì)象，這取決于下面的參數(shù)。保持這個(gè)參數(shù)的默認(rèn)值false，防止sys的對(duì)象被被的用戶訪問，非常的危險(xiǎn)。對(duì)象權(quán)限例如用戶可以查詢另一個(gè)用戶下的一個(gè)對(duì)象，這就是對(duì)象權(quán)限對(duì)象權(quán)限名表視圖序列號(hào)存儲(chǔ)過程包InsertDeleteupdateSelectAlterIndexreferencesexecute必須以對(duì)象所有者的身份登陸，然后將當(dāng)前用戶所具有的某個(gè)對(duì)象權(quán)限賦給另外的用戶。用戶systest

16、1可以在userlevel上建立索引，如果userlevel表非常的大，那么訪問這個(gè)表的時(shí)候需要使用索引。將一個(gè)包的執(zhí)行權(quán)限賦給一個(gè)用戶。對(duì)象權(quán)限的傳遞，使用with grant option。用戶systest1可以將這個(gè)權(quán)限賦給別的用戶。有一個(gè)系統(tǒng)權(quán)限grant any object privilege，如果用戶具有了該系統(tǒng)權(quán)限，那么該用戶就可以代表其他用戶將他們所擁有的對(duì)象的權(quán)限賦給任意的用戶。默認(rèn)只有sys具有這個(gè)權(quán)限。將select on test11的權(quán)限撤回。權(quán)限具有連帶效應(yīng)。角色管理角色是一組權(quán)限的集合，并給該集合起了個(gè)名稱，這個(gè)名稱就是角色名。角色可以賦給某個(gè)用戶，這樣該用戶

17、就具有了角色所包含的所有權(quán)限。角色還可以賦給另外的角色。角色的賦權(quán)過程中，不能形成環(huán)路，否則報(bào)錯(cuò)。A角色賦給了B角色，又把B角色賦給了C角色，如果有要把C角色賦給A角色，系統(tǒng)就會(huì)報(bào)錯(cuò)。角色管理的好處1、利于權(quán)限的分配20個(gè)用戶，他們的權(quán)限相同，每個(gè)用戶10個(gè)權(quán)限，總共需要賦權(quán)限200次。如果為10個(gè)權(quán)限建立一個(gè)角色，那么只需要付權(quán)限30次（10次給角色、20次給用戶）2、利于權(quán)限的管理我們可以從角色中收回某個(gè)權(quán)限，這樣20個(gè)都失去了這個(gè)權(quán)限我們通過禁用這個(gè)角色，讓20個(gè)用戶失去角色中所有的權(quán)限數(shù)據(jù)庫創(chuàng)建好以后，就已經(jīng)預(yù)先建立了很多的角色DBA：具有大部分的管理權(quán)限我們不應(yīng)該使用sys和system進(jìn)行維護(hù)建立一個(gè)用戶，然后將DBA權(quán)限付給這個(gè)用戶不能夠使用sysdba登陸。RESOURCE權(quán)限，該角色具有很多的create開頭的系統(tǒng)權(quán)限比如create table、create procedure等。如果使用該角色，則用戶可以創(chuàng)建很多不同類型的對(duì)