oracle-用戶管理ppt課件

1、用戶管理.教學(xué)目的了解Oracle數(shù)據(jù)庫的用戶和角色管理機制了解Oracle數(shù)據(jù)庫用戶的兩種認證方式.任務(wù)義務(wù)用戶和角色創(chuàng)建、修正和授權(quán). 概要文件功能：對數(shù)據(jù)庫用戶進展根本的資源限制，保證系統(tǒng)正常運轉(zhuǎn)，防止用戶耗費大量資源呵斥的系統(tǒng)性能下降；對用戶口令進展管理。方法：將數(shù)據(jù)庫用戶分為幾類，為每類用戶創(chuàng)建概要文件，并且一個數(shù)據(jù)庫用戶只能指定一個概要文件，但是一個概要文件可以為多個用戶所用。 設(shè)置預(yù)定義資源參數(shù)。 這些參數(shù)包含在概要文件中，假設(shè)沒有為用戶指定概要文件，那么運用Default概要文件. 概要文件(續(xù))概要文件控制資源內(nèi)容：每個用戶當(dāng)前的會話數(shù)CPU運用的時間私有的SQL和PL/SQ

2、L區(qū)運用邏輯讀取的實現(xiàn)用戶銜接到數(shù)據(jù)庫的空閑時間留意：resource_limit = TRUE時，啟動資源限制。. 概要文件(續(xù))常用資源限制參數(shù)： SESSIONS_PER_USER : 限制用戶最大并發(fā)會話數(shù)目 CPU_PER_SESSION： 限制每個會話占用的最大CPU時間 CPU_PER_CALL ：限制一個SQL語句運用的CPU時間 LOGICAL_READS_PER_SESSION：限制每個會話讀取的數(shù)據(jù)庫數(shù)據(jù)塊數(shù)，包括從內(nèi)存和磁盤讀取的總和 LOGICAL_READS_PER_CALL：限制SQL語句讀取的數(shù)據(jù)庫數(shù)據(jù)塊數(shù)，包括從內(nèi)存和磁盤讀取的總和 PRIVATE_SGA ：

3、SGA中私有區(qū)域的大小. 概要文件(續(xù)) CONNECT_TIME ：指定每個會話銜接到數(shù)據(jù)庫的最大時間 IDLE_TIME DEFAULT：指定一個會話可以延續(xù)空閑的最長時間，單位：分鐘 COMPOSITE_LIMIT：設(shè)置用戶對系統(tǒng)資源的綜合耗費。由： CPU_PER_SESSION、 LOGICAL_READS_PER_SESSION、 PRIVATE_SGA、CONNECT_TIME綜合決議. 概要文件(續(xù)) FAILED_LOGIN_ATTEMPTS:最大錯誤登錄次數(shù) PASSWORD_LOCK_TIME:登錄失敗后賬戶被鎖天數(shù) PASSWORD_LIFE_TIME:密碼有效天數(shù) P

4、ASSWORD_GRACE_TIME：用戶密碼被中止前多少天提示用戶修正密碼 PASSWORD_REUSE_TIME：用戶修正密碼后多少天，用戶才可以再次運用原來的密碼 PASSWORD_REUSE_MAX：密碼被重新運用后，可修正的次數(shù)PASSWORD_VERIFY_FUNCTION：密碼復(fù)雜度審計函數(shù). 概要文件(續(xù))創(chuàng)建概要文件CREATE PROFILE TEMPPROFILELIMIT CPU_PER_SESSION 1000 CPU_PER_CALL 1000CONNECT_TIME 30IDLE_TIME DEFAULTSESSIONS_PER_USER 10LOGICAL_RE

5、ADS_PER_SESSION 1000LOGICAL_READS_PER_CALL 1000PRIVATE_SGA 16KCOMPOSITE_LIMIT 1000000 FAILED_LOGIN_ATTEMPTS 3PASSWORD_LOCK_TIME 5PASSWORD_GRACE_TIME 60PASSWORD_LIFE_TIME 30PASSWORD_REUSE_MAXDEFAULT PASSWORD_REUSE_TIME 30PASSWORD_VERIFY_FUNCTION DEFAULT.用戶管理 在Oracle數(shù)據(jù)庫中，系統(tǒng)經(jīng)過平安措施防止非法用戶對數(shù)據(jù)庫進展操作。因此，要銜接到

6、Oracle，就需求一個用戶帳號 在安裝數(shù)據(jù)庫時，Oracle將創(chuàng)建一些默許的數(shù)據(jù)庫用戶方式 .默許的數(shù)據(jù)庫用戶SYS用戶是Oracle中的一個超級用戶。數(shù)據(jù)庫中一切的數(shù)據(jù)字典和視圖都存儲在SYS方式中 。SYS用戶主要用來維護系統(tǒng)信息和管理實例，SYS用戶只能以SYSOPER或SYSDBA角色登陸。SYSTEM用戶是Oracle默許的系統(tǒng)管理員，它擁有DBA權(quán)限。該用戶擁有Oracle管理工具運用的內(nèi)部表和視圖。通常經(jīng)過SYSTEM用戶管理Oracle數(shù)據(jù)庫的用戶、權(quán)限和存儲等。不建議在SYSTEM用戶方式中創(chuàng)建用戶表。 SCOTT用戶是Oracle數(shù)據(jù)庫的一個示范用戶。假設(shè)安裝時不更改其口

7、令，其默許口令是TIGER。.創(chuàng)建新用戶 在Oracle中可以用CREATE USER命令用于創(chuàng)建新用戶。每個用戶都有一個默許表空間和一個暫時表空間，在創(chuàng)建時可以為它們指定，假設(shè)不指定，Oracle就把SYSTEM設(shè)為默許表空間，TEMP設(shè)為暫時表空間。 創(chuàng)建新用戶的語法如下：CREATE USER user_name IDENTIFIED BY passwordDEFAULT TABLESPACE tablespace_name1 TEMPORARY TABLESPACE tablespace_name2 .Oracle中的用戶管理Oracle中的用戶管理包括創(chuàng)建用戶、為用戶授權(quán)、修正用戶口

8、令、刪除用戶等。1. 以DBA身份登錄到SQL*Plus的SQL提示符形狀，輸入以下的命令創(chuàng)建新用戶：CREATE USER user1IDENTIFIED BY pwd1DEFAULT TABLESPACE USERSTEMPORARY TABLESPACE TEMP; .Oracle中的用戶管理2. 按回車后系統(tǒng)提示“用戶已創(chuàng)建，闡明創(chuàng)建用戶勝利。該用戶的用戶名是“user1，口令是“pwd1，默許表空間是“USERS，暫時表空間是“TEMP。 3. 下面為用戶授權(quán)：在SQL提示符下，輸入以下命令，為用戶user1授予CONNECT權(quán)限： GRANT CONNECT TO user1; .

9、Oracle中的用戶管理4. 在SQL提示符下輸入“CONN SCOTT/TIGER，以SCOTT用戶身份登錄后，繼續(xù)輸入下面的授權(quán)命令，為用戶user1授予查看表dept的權(quán)限，user1同時還擁有了把此查看權(quán)限授予其他用戶的權(quán)限： GRANT SELECT ON emp TO user1 WITH GRANT OPTION; .Oracle中的用戶管理5. 再輸入“CONN / AS SYSDBA命令以DBA身份登錄后，在SQL提示符下輸入以下命令，修正用戶口令： ALTER USER user1 IDENTIFIED BY pwd2; 6. 系統(tǒng)提示“用戶已更改，闡明口令修正勝利。在SQ

10、L提示符下輸入下面的命令來刪除用戶user1。 DROP USER user1 CASCADE; 7. 系統(tǒng)提示“用戶已刪除，闡明刪除勝利。 .修正用戶口令 Oracle中用ALTER USER命令修正用戶口令，語法如下： ALTER USER user_name IDENTIFIED BY new_password; .實際-創(chuàng)建并運用用戶 1. 創(chuàng)建一個20M大小的表空間，以后用戶創(chuàng)建的數(shù)據(jù)庫對象保管在這個表空間中，在SQL提示符下，輸入如下代碼：CREATE TABLESPACE student_data DATAFILE F:oracleoradataorclstudent_dataS

11、IZE 20M AUTOEXTEND OFF;闡明：途徑可以隨意設(shè)置，建議AUTOEXTENTD屬性為OFF。 . 創(chuàng)建用戶語法: (簡一方式) create user mary -用戶名 identified by abc ;-密碼闡明：以上為創(chuàng)建用戶的必需語句 默許和暫時表空間均為system.實際-創(chuàng)建并運用用戶2. 創(chuàng)建用戶，在SQL提示符下輸入如下代碼：CREATE USER studentIDENTIFIED BY abcdefDEFAULT TABLESPACE student_dataTEMPORARY TABLESPACE TEMP;.實際-創(chuàng)建并運用用戶給student用戶

12、賦予相應(yīng)的權(quán)限，普通是將兩個角色CONNECT，RESOURCE賦給此用戶即可。作為普通的開發(fā)用戶，權(quán)限曾經(jīng)足夠。在SQL提示符下輸入如下代碼：GRANT CONNECT，RESOURCE TO student;按回車鍵，系統(tǒng)提示“授權(quán)勝利。.用戶相關(guān)實際知識用戶根本屬性：(1)認證方式：每個用戶銜接數(shù)據(jù)庫都要進展身份驗證，可經(jīng)過操作系統(tǒng)或數(shù)據(jù)庫進展驗證。(2)默許表空間和暫時表空間：(3)空間配額：用戶可以在表空間中運用的存儲空間稱之。用戶必需在默許表空間和暫時表空間中有足夠的空間配額。(4)概要文件：用戶必需擁有一個概要文件，假設(shè)沒有指定，默以為default文件。.用戶相關(guān)實際知識創(chuàng)建用

13、戶時必需指定用戶的認證方式數(shù)據(jù)庫驗證or操作系統(tǒng)驗證。普通采用數(shù)據(jù)庫認證方式，數(shù)據(jù)庫驗證更平安，必需經(jīng)過identitied by字句為用戶指定一個口令，口令以加密方式保管在數(shù)據(jù)庫中；假設(shè)運用操作系統(tǒng)驗證，那么經(jīng)過identitied externally字句。.相關(guān)實際知識口令命名規(guī)那么：不能以數(shù)字開頭Oracle11g之前口令不區(qū)分大小寫，之后區(qū)分.實際兩種用戶認證方式 忘記SYS的用戶名，也可以登錄數(shù)據(jù)庫。在DOS命令下輸入如下代碼，進入到SQL提示符下，輸入代碼：Sqlplus /nolog回車后系統(tǒng)進入SQL提示符下。然后接著輸入如下命令運用SYS用戶銜接到數(shù)據(jù)庫：CONN SYS/

14、AS SYSDBA;系統(tǒng)提示輸入“請輸入口令:，直接回車，系統(tǒng)提示“已銜接。.實際兩種用戶認證方式?jīng)]有輸入密碼也可以登錄系統(tǒng)，這對系統(tǒng)的平安性帶來了問題。能不能經(jīng)過修正設(shè)置要求必需輸入密碼才干登錄呢？ 修正%oracle_home%/network/admin/sqlnet.ora文件中的設(shè)置。將數(shù)據(jù)的登錄方式從OS認證修正為了密碼文件認證。 .實際管理用戶修正用戶 管理員可以修正用戶口令、改動用戶默許表空間或限制用戶運用權(quán)限、對用戶進展解鎖、鎖定等操作。語法：Alter user username identifyed by newpassword；運用sql*plus命令修正：passwo

15、rd.實際管理用戶修正用戶默許表空間 oracle自動默許表空間為system。語法：Alter user username default tablespace 新表空間；修正用戶在表空間上的配額Alter user username quota 80m on 表空間名；將表空間配額調(diào)整為80MB.管理用戶解除用戶鎖：在概要文件中設(shè)置了用戶密碼輸入多次后將被鎖定，當(dāng)錯誤密碼延續(xù)輸入次數(shù)到達指定最大次數(shù)后將鎖定用戶，即使之后輸入正確口令也不能銜接，此時只能登錄管理員賬戶進展解鎖。語法：Alter user username account unlock；鎖定用戶： Alter user use

16、rname account lock；.刪除用戶刪除用戶： Drop user usernamecascade;cascade:將數(shù)據(jù)庫對象一同刪除。刪除擁有對象的用戶： Drop user annie cascade; 留意：假設(shè)要刪除用戶正在銜接數(shù)據(jù)庫，不能將其刪除.查詢用戶視圖ALL_Users 查看一切用戶名、用戶ID、用戶創(chuàng)建日期 視圖User_Users 查看當(dāng)前用戶信息 .角 色定義：角色是一個或多個權(quán)限的集合功能：簡化權(quán)限管理復(fù)雜大型運用系統(tǒng)要根據(jù)功能進展分類。如網(wǎng)上購物系統(tǒng)分為:系統(tǒng)管理、根底數(shù)據(jù)管理、采購管理、銷售管理及終端用戶。可創(chuàng)建5個角色。根據(jù)崗位將相應(yīng)的角色授予用戶

17、，用戶便具有相應(yīng)角色具有的權(quán)限。假設(shè)系統(tǒng)規(guī)模不大，用戶數(shù)不多，可直接將權(quán)限授予用戶。.角色創(chuàng)建角色： Create role rolename；為角色授權(quán)： grant create session to rolename；授予銜接DB權(quán)限grant select on class to rolename；授予表查詢權(quán)限回收角色權(quán)限 revoke select on class from r_ teach；將角色授予用戶 Grant 角色名 to 用戶名；.角色(續(xù))從用戶回收角色 Revoke annie from r_teach將角色授予角色 Grant r_teach to r_stu

18、with admin option從角色回收角色 Revoke r_teach from r_stu刪除角色 drop role 角色名;.角色(續(xù))授予系統(tǒng)權(quán)限時的with admin option選項與授予對象權(quán)限時的with grant option選項區(qū)別：都可將權(quán)限授予其他用戶，但經(jīng)with admin option授權(quán)的不能級聯(lián)收回，第二個能級聯(lián)收回。.角色(續(xù))數(shù)據(jù)庫預(yù)定義角色: Connect (登錄執(zhí)行根本函數(shù))、 Resource建立用戶本人的數(shù)據(jù)對象、 DBA一切系統(tǒng)權(quán)限，包括無限的空間限額、給其他用戶授予全部權(quán)限的才干 Select_CATALOG_ROLE、Execu

19、te_CATALOG_ROLE、 Delete_CATALOG_ROLE、Exp_Full_Database、 IMP_FULL_DataBase SYSDBA、SYSOPER.角色(續(xù))激活/屏蔽角色： 設(shè)置默許角色的4種方式： 1) Alter User Annie Default Role r_Teach 2) Alter User Annie Default Role All 3) Alter User Annie Default Role All Except Role r_Stu 4) Alter User Annie Default Role None .角色(續(xù))查詢角色信息視

20、圖DBA_Roles: 角色信息視圖Role_role_privs:角色與傳送權(quán)限信息視圖Role_SYS_privs:角色系統(tǒng)權(quán)限視圖Role_tab_privs:角色對象權(quán)限.角色(續(xù))刪除角色 Drop Role r_teach.實際創(chuàng)建并運用角色 1.使器具有DBA權(quán)限的用戶登錄數(shù)據(jù)庫，運用如下語句創(chuàng)建一個角色：create role developer_role;2. 將權(quán)限授權(quán)給角色GRANT CREATE SYNONYM, CREATE VIEW to developer_role;將創(chuàng)建同義詞和視圖的角色授權(quán)給developer_role角色。.實際創(chuàng)建并運用角色3. 也可以將

21、角色授權(quán)給某個角色GRANT RESOURCE,CONNECT TO developer_role;按回車鍵，系統(tǒng)提示“授權(quán)勝利。這樣就將RESOURCE,CONNECT兩個角色具有的權(quán)限授權(quán)給了developer_role角色。4. 將角色授權(quán)給用戶：GRANT developer_role TO SCOTT;按回車鍵，系統(tǒng)提示“授權(quán)勝利。這樣SCOTT用戶就擁有了developer_role角色。.權(quán)限定義：控制用戶在數(shù)據(jù)庫中所能進展的操作權(quán)限分類：系統(tǒng)權(quán)限和對象權(quán)限對象權(quán)限(objects Privilege) : 賦予在某一詳細數(shù)據(jù)對象的操作才干 1) 9種對象權(quán)限： Select 、

22、Update、Delete、Insert、Execute、Index、reference、Alter、Read 2) 對象權(quán)限傳送權(quán)限: With Grant Option 被授予With Grant Option對象權(quán)限的用戶，可將該對象權(quán)限授予其他用戶.權(quán)限(續(xù))3) 誰有權(quán)授予對象權(quán)限給其他人？對象的一切者DBA被授予With grant option的用戶 4) 權(quán)限可以授予給誰？ 其它用戶 角色 Public.系統(tǒng)權(quán)限系統(tǒng)權(quán)限(system Privilege)：在數(shù)據(jù)庫級別執(zhí)行某種操作或者針對某一類方式或非方式對象執(zhí)行某種操作的權(quán)益。幾點補充：銜接到數(shù)據(jù)庫需求create sess

23、ion權(quán)限刪除其他用戶的Table需求drop any table權(quán)限Select、insert、update、delete是對象權(quán)限，而Select any、insert any、update any、delete any是系統(tǒng)權(quán)限運用 With admin option 進展系統(tǒng)權(quán)限傳送.權(quán)限授予權(quán)限的方法： 1)直接授予用戶： grant create session to annie; 2)先將權(quán)限授予角色，再將角色授予用戶: Create role teach; grant select on class to teach; grant teach to annie;.系統(tǒng)權(quán)限(續(xù))

24、系統(tǒng)權(quán)限授權(quán)語法：Grant 系統(tǒng)權(quán)限 to 用戶/角色 with admin option;例子： grant select any to annie; grant select any to annie with admin option;.權(quán)限回收授予的對象權(quán)限和系統(tǒng)權(quán)限可以經(jīng)過Revoke語句收回例子： revoke select any from annie;-回收系統(tǒng)權(quán)限 revoke select on class from annie; -回收對象權(quán)限.權(quán)限回收(續(xù))留意：一個用戶被多用戶授予權(quán)限后，其中一個用戶收回權(quán)限，不影響其他用戶授予的權(quán)限收回With grant opt

25、ion 或 With admin option，要首先回收相應(yīng)的權(quán)限，再重新授予該權(quán)限而不再授予With grant option 或 With admin option傳送權(quán)限With admin option給其他用后，假設(shè)此系統(tǒng)權(quán)限被回收，其他用戶依然擁有該系統(tǒng)權(quán)限傳送權(quán)限With grant option給其他用后，假設(shè)此對象權(quán)限被回收，其他用戶該對象權(quán)限也被收回.技藝拓展權(quán)限查詢視圖dba_SYS_Privs:系統(tǒng)權(quán)限視圖dba_TAB_Privs:對象權(quán)限視圖dba_col_Privs:列權(quán)限視圖dba_users:數(shù)據(jù)庫用戶信息視圖dba_roles：數(shù)據(jù)庫角色信息視圖dba_r

26、oles_Privs：用戶所具有角色.查看一個角色的系統(tǒng)權(quán)限： Select * from dba_SYS_Privs where grantee=角色名； 或 Select * from dba_SYS_Privs where role=角色名；查看預(yù)定義角色：select * from dba_roles;查看用戶角色：Select * from dba_role_Privs where grantee=用戶名；留意：所用用戶名和角色名都大寫。技藝拓展權(quán)限查詢.總結(jié)Oracle數(shù)據(jù)庫系統(tǒng)的用戶和角色管理 Oracle對SYSDBA的認證方式有兩種：操作系統(tǒng)認證和密碼文件認證。.用戶管理 O

27、racle是多用戶系統(tǒng)，它允許多用戶共享系統(tǒng)資源。為了保證數(shù)據(jù)庫系統(tǒng)的平安，數(shù)據(jù)庫管理系統(tǒng)配置了良好的平安機制。其中很關(guān)鍵的一種機制就是：建立用戶級的平安保證。.用戶管理Oracle的用戶根據(jù)所被授予的權(quán)限分為系統(tǒng)權(quán)限和對象權(quán)限，系統(tǒng)權(quán)限經(jīng)常被包含在角色中授予，新建一個用戶時，首先要賦予CONNECT角色，CONNECT角色中包含了CREATE SESSION等8個系統(tǒng)權(quán)限，擁有CREATE SESSION權(quán)限是銜接數(shù)據(jù)庫的必要條件，假設(shè)想用Enterprise Manager console銜接的話，還必需擁有SELECT ANY DICTIONARY權(quán)限。假設(shè)是開發(fā)人員，普通還要授予RES

28、OURCE角色，此角色包含了開發(fā)人員所需求的根本權(quán)限。比如CREATE PROCEDURE、CREATE SEQUENCE、CREATE TABLE、CREATE TRIGGER等。.用戶管理在一切權(quán)限中，最高的權(quán)限是SYSDBA。SYSDBA具有控制Oracle一切行為的特權(quán)，諸如創(chuàng)建、啟動、封鎖、恢復(fù)數(shù)據(jù)庫，使數(shù)據(jù)庫歸檔/非歸檔，備份表空間等關(guān)鍵性的動作只能經(jīng)過具有SYSDBA權(quán)限的用戶來執(zhí)行。這些義務(wù)即使是普通DBA角色也不行。SYSOPER比SYSDBA少了SYSOPER PRIVILEGES WITH ADMIN OPTION，CREATE DATABASE，RECOVERDATABASE UNTIL這幾個權(quán)限而已。這兩者的認證方式是一樣的方法，所以下面只引見SYSDBA的認證管理。.平安認證對于用戶的身份驗證有三種方式：密碼驗證、外部驗證操作系統(tǒng)驗證、全局驗證。密碼驗證是最常見的一種方式，即將用戶信息碼存儲在數(shù)據(jù)目錄里。對SYSDBA的認證方式有兩種：操作系統(tǒng)認證和密碼文件認證。詳細選擇那一種