實驗用戶與權限的管理

實驗用戶與權限的管理第一頁，共七十四頁，2022年，8月28日資源與環(huán)境科學學院主要內容用戶與權限的管理

1、用戶與模式的關系

2、Oracle安全管理的機制

3、管理用戶

4、管理權限

5、管理角色

6、管理概要文件

7、DBA用戶介紹及登錄中常見的問題第二頁，共七十四頁，2022年，8月28日資源與環(huán)境科學學院用戶與權限的管理7.1用戶與模式（方案）的關系

在Oracle系統(tǒng)的邏輯結構中，包含了從只能存儲字節(jié)的數(shù)據(jù)塊，到可以容納整個數(shù)據(jù)庫的表空間等多級別的存儲結構，但是所有這些邏輯結構都不是一般的數(shù)據(jù)庫用戶可以直接進行操作的對象。一般用戶可以直接操作的是類似于表、索引和視圖這樣的對象。在Oracle數(shù)據(jù)庫中，這些對象不是隨意保存在數(shù)據(jù)庫中的，而是通過“模式”來組織和管理這些數(shù)據(jù)庫對象的。

Oracle系統(tǒng)中的模式，就是一系列邏輯數(shù)據(jù)結構或對象的集合。用戶是ORACLE安全管理的術語。每個客戶機必須以某個用戶名登錄數(shù)據(jù)庫，經過驗證后按照賦予用戶的權限完成特定的操作。Oracle數(shù)據(jù)庫中的每一個用戶都擁有一個唯一的模式，該用戶創(chuàng)建的所有模式對象都默認地保存在自己的模式中。一個模式只能被一個數(shù)據(jù)庫用戶所擁有，并且模式的名稱與該用戶的名稱相同。模式對象是一種邏輯數(shù)據(jù)存儲結構，它與數(shù)據(jù)文件并不存在物理上的對應關系，一個模式對象也能被存儲在一個表空間的多個數(shù)據(jù)文件中。表空間、用戶和角色等數(shù)據(jù)庫對象由于不屬于任何模式，稱為非模式對象。第三頁，共七十四頁，2022年，8月28日資源與環(huán)境科學學院用戶與權限的管理注意：在Oracle數(shù)據(jù)庫中，雖然模式與數(shù)據(jù)庫用戶是一一對應的，并且同名，二者經常可以相互替換，但是要清楚它們是兩個完全不同的概念。

7.2Oracle安全管理的機制

數(shù)據(jù)庫安全是指通過一定的機制保護數(shù)據(jù)庫內的數(shù)據(jù)，根據(jù)數(shù)據(jù)安全的不同特性，數(shù)據(jù)庫安全管理可劃分為兩大類：

1、數(shù)據(jù)的備份與恢復：是為了保證數(shù)據(jù)的完整性和一致性，防止因各種物理的或事務故障而導致的數(shù)據(jù)破壞和災難而采取的防范措施。此類問題暫不討論。

2、用戶身份、權限驗證和防止數(shù)據(jù)泄露及篡改等管理。此類管理是常規(guī)性的，通?？砂ㄈ齻€部分：數(shù)據(jù)庫內部的管理：主要包括用戶標識/口令、角色與權限等。資源管理：主要通過系統(tǒng)概要文件限制連接會話等。網(wǎng)絡數(shù)據(jù)通信管理：主要采用口令文件、數(shù)據(jù)加密等Oracle高級安全技術實施。第四頁，共七十四頁，2022年，8月28日資源與環(huán)境科學學院用戶與權限的管理在第2類安全管理中，為防止用戶對數(shù)據(jù)庫進行不合法的操作，Oracle主要采用以下兩種安全機制：

Oracle提供一個安全的授權和檢查機制，規(guī)定用戶的權限，用戶操作時，只能執(zhí)行權限允許范圍內的操作；

Oracle使用審計技術，記錄用戶的行為，當執(zhí)行了不合法的操作時，通常查詢審計記錄能找出執(zhí)行不合法操作的用戶、操作時間、操作內容等。可以說，第一種方法是一種預防機制，可以預防不合法的操作發(fā)生；第二種方法是一種責任追究機制。

Oracle把所有的權限信息都記錄在數(shù)據(jù)字典中，用戶進行數(shù)據(jù)庫操作時，Oracle首先根據(jù)數(shù)據(jù)字典內的權限信息檢查操作是否合法，當發(fā)現(xiàn)操作不合法時，即用戶沒有操作權限時，會給出錯誤提示信息，同時拒絕執(zhí)行操作。第五頁，共七十四頁，2022年，8月28日資源與環(huán)境科學學院用戶與權限的管理7.3管理用戶

管理用戶是Oracle實現(xiàn)安全性的一個重要途徑。只有通過用戶驗證，用戶才能具有訪問數(shù)據(jù)庫的權利。新創(chuàng)建的用戶必須通過數(shù)據(jù)庫管理員授權才能獲得數(shù)據(jù)庫使用權限。數(shù)據(jù)庫安裝后，數(shù)據(jù)庫中只有SYS、SYSTEM等系統(tǒng)用戶，而這些用戶都具有很高的權限，如果使用這些用戶來操縱數(shù)據(jù)庫，那么對數(shù)據(jù)庫系統(tǒng)的穩(wěn)定性和安全性都是一種威脅，因此，通常利用系統(tǒng)用戶來創(chuàng)建一些具有特定權限的用戶對數(shù)據(jù)庫進行操作。

1、數(shù)據(jù)的備份與恢復：是為了保證數(shù)據(jù)的完整性和一致性，防止因各種物理的或事務故障而導致的數(shù)據(jù)破壞和災難而采取的防范措施。此類問題暫不討論。第六頁，共七十四頁，2022年，8月28日資源與環(huán)境科學學院用戶與權限的管理

7.3.1創(chuàng)建用戶

創(chuàng)建用戶有企業(yè)管理器（OEM）和命令行方式兩種方式。企業(yè)管理器方式（略），下面介紹命令行方式：在SQL*Plus或iSQL*Plus中使用CREATEUSER命令創(chuàng)建用戶，創(chuàng)建命令的一般格式如下：

CREATEUSER<用戶名>PROFILE<概要文件名>IDENTIFIEDBY<口令>|EXTERNALLY|GLOBALLYAS<全局標識>DEFAULTTABLESPACE<表空間名>TEMPORARYTABLESPACE<表空間名>QUOTA<整數(shù)>|UNLIMITEDON<表空間名>ACCOUNTUNLOCK|LOCK；

其中：

IDENTIFIED：Oracle如何驗證用戶，BY口令表示該用戶必須指定口令進行登錄，口令中只能包含數(shù)據(jù)庫字符集中的單字節(jié)字符。第七頁，共七十四頁，2022年，8月28日資源與環(huán)境科學學院用戶與權限的管理EXTERNALLY：表示創(chuàng)建一個外部用戶，該用戶必須由外部服務程序進 行驗證。GLOBALLYAS：全局標識表示創(chuàng)建一個全局用戶，必須由企業(yè)目錄服務 器驗證用戶。DEFAULTTABLESPACE：用戶所創(chuàng)建對象的默認表空間名，如果忽略，系統(tǒng)將默認保存在登錄用戶所在的表空間里。TEMPORARYTABLESPACE：用戶所創(chuàng)建對象的臨時表空間，如果忽略，那么系統(tǒng)將默認保存在登錄用戶所在的表空間里。QUOTA：允許用戶在指定的表空間中分配空間定額并建立一個限額的空間。UNLIMITED：允許用戶無限制的分配表空間中的空間定額。ACCOUNTUNLOCK

：表示用戶未鎖定，ACCOUNTLOCK表示用戶已鎖定。PROFILE：表示創(chuàng)建的用戶所授予的概要文件。概要文件包含了分配給用戶的系統(tǒng)資源信息。默認概要文件為DEFAULT。第八頁，共七十四頁，2022年，8月28日資源與環(huán)境科學學院用戶與權限的管理例如：使用SYSTEM帳戶登錄后，使用create語句創(chuàng)建一個用戶me，嘗試連接數(shù)據(jù)庫，失敗。因為用戶還沒有登錄權限。

圖7-1CREATE語句創(chuàng)建用戶第九頁，共七十四頁，2022年，8月28日資源與環(huán)境科學學院用戶與權限的管理圖7-2用帶參數(shù)的CREATE語句創(chuàng)建用戶若想重建該用戶，先刪除已有的用戶第十頁，共七十四頁，2022年，8月28日資源與環(huán)境科學學院用戶與權限的管理

為了使用me用戶登錄，使用如下語句為其分配連接到數(shù)據(jù)庫的權限。圖7-3給新建用戶授予連接數(shù)據(jù)庫權限第十一頁，共七十四頁，2022年，8月28日資源與環(huán)境科學學院用戶與權限的管理

CREATESESSION是一個系統(tǒng)特權，擁有該特權的用戶具有連接數(shù)據(jù)庫的能力；RESOURCE是一個系統(tǒng)角色，擁有該角色的用戶可以在自己的模式中創(chuàng)建模式對象。

7.3.2查看用戶

命令行方式：在Oracle數(shù)據(jù)庫中，用戶信息存儲在DBA_USERS數(shù)據(jù)字典中?？梢杂肈ESC命令查看數(shù)據(jù)字典DBA_USERS的結構。圖7-4查看數(shù)據(jù)字典DBA_USERS的結構第十二頁，共七十四頁，2022年，8月28日資源與環(huán)境科學學院用戶與權限的管理注意：新建用戶必須具有selectanydictionary系統(tǒng)權限才能查看數(shù)據(jù)字典信息。圖7-5授權用戶me查看數(shù)據(jù)字典第十三頁，共七十四頁，2022年，8月28日資源與環(huán)境科學學院用戶與權限的管理

圖7-6用戶被授相應權限后可以查看數(shù)據(jù)字典第十四頁，共七十四頁，2022年，8月28日資源與環(huán)境科學學院用戶與權限的管理利用DBA_USERS數(shù)據(jù)字典，查看用戶的PASSWORD,EXPIRY_DATE,PROFILE，TEMPORARY_TABLESPACE等信息。圖7-7用戶查看數(shù)據(jù)字典的指定字段第十五頁，共七十四頁，2022年，8月28日資源與環(huán)境科學學院用戶與權限的管理

7.3.3修改用戶命令行方式：在SQL*Plus或iSQL*Plus中使用ALTERUSER命令修改用戶，命令格式與創(chuàng)建用戶相同。例：圖7-8用戶me還沒有alter權限，所以以system登錄修改或system用戶給me用戶賦Alteruser系統(tǒng)權限即可。第十六頁，共七十四頁，2022年，8月28日資源與環(huán)境科學學院用戶與權限的管理

7.3.4刪除用戶命令行方式：在SQL*Plus或iSQL*Plus中使用DROPUSER<用戶名>。7.4管理權限權限是操作數(shù)據(jù)庫的權利，權限越大，操作數(shù)據(jù)庫的權利越大。Oracle有系統(tǒng)權限和對象權限兩種類型。當用戶創(chuàng)建之后，應當對其授予適當權限，以便于新用戶合理使用數(shù)據(jù)庫。

7.4.1系統(tǒng)權限根據(jù)系統(tǒng)權限的名稱中是否包含ANY關鍵字，可以將系統(tǒng)權限分為兩大類，帶有ANY的系統(tǒng)權限允許用戶在數(shù)據(jù)庫的任何方案上執(zhí)行特定操作；而不帶ANY關鍵字的系統(tǒng)權限只可以在用戶自己的模式中進行相應的操作。系統(tǒng)權限列舉在SYSTEM_PRIVILEGE_MAP視圖內。第十七頁，共七十四頁，2022年，8月28日資源與環(huán)境科學學院用戶與權限的管理例如：圖7-9用戶me下查詢系統(tǒng)權限視圖（該用戶已具有selectanydictionary系統(tǒng)權限）第十八頁，共七十四頁，2022年，8月28日資源與環(huán)境科學學院用戶與權限的管理

1、授予系統(tǒng)權限：

GRANT系統(tǒng)權限1[,系統(tǒng)權限2，…]TO用戶|角色|PUBLIC,用戶|角色|PUBLIC，…WITHADMINOPTION其中：PUBLIC：將系統(tǒng)權限授予所有用戶；WITHADMINOPTION：允許得到權限的用戶再將這些權限授予其他用戶。

2、收回系統(tǒng)權限：

REVOKE系統(tǒng)權限1[,系統(tǒng)權限2，…]FROM用戶|角色|PUBLIC,用戶|角色|PUBLIC，…注意：

REVOKE命令只能收回通過GRANT命令直接授予的權限。如果想收回WITHADMINOPTION子句，就必須先將權限收回，然后再用不帶WITHADMINOPTION的GRANT語句重新授予。第十九頁，共七十四頁，2022年，8月28日資源與環(huán)境科學學院用戶與權限的管理例如：圖7-10為用戶me授權和撤權第二十頁，共七十四頁，2022年，8月28日資源與環(huán)境科學學院用戶與權限的管理

7.4.2對象權限對象權限是允許用戶訪問一個特定對象，并對特定對象執(zhí)行特定操作時所需要的權利。Oracle10g的對象權限包括表權限、視圖權限、序列權限、存儲過程、函數(shù)、包和JAVA對象權限。具體的對象權限可從OEM企業(yè)管理器查看。對于某些模式對象，如簇、索引、觸發(fā)器等沒有相應的對象權限，這些權限由系統(tǒng)權限進行管理。對于包含在用戶模式中的所有對象，該用戶對這些對象具有全部實體權限，即模式的擁有者對模式中所有對象具有全部對象權限。另外，對象的擁有者可將這些對象上的任何對象權限授予其他用戶。非對象擁有者不可以將對象權限授予其他用戶。

1、命令行方式授予對象權限的方法是在SQL*Plus或iSQL*Plus中使用GRANT命令，具體格式如下：第二十一頁，共七十四頁，2022年，8月28日資源與環(huán)境科學學院用戶與權限的管理

GRANT對象權限1[,對象權限2，…]ON模式.對象名

TO用戶|角色|PUBLIC，用戶|角色|PUBLIC，…WITHGRANTOPTION其中：

PUBLIC：表示將對象權限授予所有用戶。

WITHGRANTOPTION：表示允許獲得某對象權限的用戶把此權限授予 其他用戶。

2、命令行方式收回對象權限的方法是在SQL*Plus或iSQL*Plus中使用REVOKE命令，具體格式如下：

REVOKE對象權限1[,對象權限2，…]ON模式.對象名

FROM用戶|角色|PUBLIC，用戶|角色|PUBLIC，…第二十二頁，共七十四頁，2022年，8月28日資源與環(huán)境科學學院用戶與權限的管理在撤銷對象權限時，經過傳遞獲得的對象權限的用戶會受到影響，如果將A用戶的權限撤銷，通過A用戶授予B用戶的對象權限也同時被撤銷。這種撤銷也就是級聯(lián)撤銷。為了保證用戶數(shù)據(jù)的安全，用戶必須了解基本表的的權限狀況。這可以通過查詢數(shù)據(jù)字典視圖USR_TAB_PRIVS，以確認將哪些基本表的權限授予了哪些用戶。數(shù)據(jù)字典視圖USR_TAB_PRIVS的結構如圖：圖7-11數(shù)據(jù)字典USR_TAB_PRIVS的結構第二十三頁，共七十四頁，2022年，8月28日資源與環(huán)境科學學院用戶與權限的管理

其中，GRANTEE表示接受對象權限的用戶，OWNER為表的擁有者，GRANTOR為授權用戶，PRIVILEGE表示對象權限，GRANTABLE表示該用戶是否擁有向其他用戶授予對象權限的權限，即向其授權時是否使用了WITHGRANTOPTION選項。在需要為用戶授予對象上的所有權限時，Oracle提供了一種快捷的方式，即使用ALL或ALLPRIVILEGES方式，ALL并不是數(shù)據(jù)庫中的權限，它只是授予對象權限組合的快捷方式。使用ALL授予權限后，相應地，使用ALL也可以撤銷所有的對象權限。

第二十四頁，共七十四頁，2022年，8月28日資源與環(huán)境科學學院用戶與權限的管理7.5管理角色

Oracle為了簡化權限管理，提供了角色的概念。

角色是具有名稱的一組相關權限的組合，即將不同的權限集合在一起就形成了角色。可以使用角色為用戶授權，同樣也可以撤銷角色。由于角色集合了多種權限，所以當為用戶授予角色時，相當于為用戶授予了多種權限。這樣就避免了向用戶逐一授權，從而簡化了用戶權限的管理。在為用戶授予角色時，既可以向用戶授予系統(tǒng)預定義的角色，也可以自己創(chuàng)建角色，然后在授予用戶。

7.5.1系統(tǒng)預定義角色系統(tǒng)預定義角色就是在安裝數(shù)據(jù)庫后，由系統(tǒng)自動創(chuàng)建的一些角色，這些角色已經由系統(tǒng)授予了相應的權限。常見的系統(tǒng)預定義角色包括CONNECT、RESOURCE、DBA、EXP_FULL_DATABASE和IMP_FULL_DATABASE。第二十五頁，共七十四頁，2022年，8月28日資源與環(huán)境科學學院用戶與權限的管理

DBA角色擁有管理數(shù)據(jù)庫的最高權限，該角色允許被授權者執(zhí)行任何數(shù)據(jù)功能。角色

CONNECT、RESOURCE

和

DBA

主要用于數(shù)據(jù)庫管理，也是數(shù)據(jù)庫管理員所必須的角色。這三個角色之間沒有包含與被包含的關系，授予DBA角色的用戶需要授予CONNECT和RESOURCE角色，授予RESOURCE角色的用戶需要授予CONNECT角色。角色EXP_FULL_DATABASE

與IMP_FULL_DATABASE

主要用于數(shù)據(jù)庫的邏輯備份。在用戶使用EXPORT與IMPORT工具導入或導出數(shù)據(jù)時，用戶需要具有這兩個角色。

數(shù)據(jù)字典

DBA_ROLES

記錄了數(shù)據(jù)庫中的全部角色信息。通常情況下，為了Oracle數(shù)據(jù)庫的安全，不應該使用任何預定義的角色，因為預定義的角色一般針對一些典型的用戶而設置。因此，在實際應用中，應該按實際的需求為用戶授予自定義角色。第二十六頁，共七十四頁，2022年，8月28日資源與環(huán)境科學學院用戶與權限的管理

7.5.1自定義角色如果系統(tǒng)預定義的角色不符合用戶的需求，可以創(chuàng)建更多的角色，即自定義角色，創(chuàng)建角色的語法如下：

CREATEROLErole_name[NOTIDENTIFIED|IDENTIFIEDBYPASSWORD];

其中，NOTIDENTIFIED表示該角色不需要口令就可以修改該角色，IDENTIFIEDBY表示在修改角色時，必須提供口令。默認情況下沒有口令。通常情況下，為了Oracle數(shù)據(jù)庫的安全，不應該使用任何預定義的角色，因為預定義的角色一般針對一些典型的用戶而設置。因此，在實際應用中，應該按實際的需求為用戶授予自定義角色。第二十七頁，共七十四頁，2022年，8月28日資源與環(huán)境科學學院用戶與權限的管理例如：圖7-12自定義角色第二十八頁，共七十四頁，2022年，8月28日資源與環(huán)境科學學院用戶與權限的管理給用戶me授予自定義角色給所有用戶授予自定義角色撤銷所有用戶的自定義角色用戶可以通過數(shù)據(jù)字典視圖ROLE_SYS_PRIVS查詢用戶所具有的角色，以及該角色所包含的系統(tǒng)權限。如果需要為用戶增加或減少權限時，只需要為相應的角色增加或減少權限，即可實現(xiàn)對使用該角色的用戶的權限進行修改。例如，要為用戶減少權限createtrigger權限，只需要使用減少角色general_user的權限即可：

revokecreatetriggerfromgeneral_user;圖7-13第二十九頁，共七十四頁，2022年，8月28日資源與環(huán)境科學學院用戶與權限的管理

7.5.2啟用和禁用角色通過啟用和禁用角色，可以實現(xiàn)對ORACLE角色所包含的權限的動態(tài)管理。使用SQL語句的SETROLE可以顯式地啟用或禁用角色的權限。SETROLE的語法如下：

SETROLE[role[identifiedbypassword]|,role[identifiedbypassword]…]|ALL

[EXCEPTrole[,role]]|NONE];

其中，使用帶ALL選項的SETROLE語句時，將啟用用戶被授予的所有角色，使用ALL選項有一個前提條件，該用戶的所有角色不得設置密碼。EXCEPTROLE表示除指定的角色外，啟用其他全部角色。NONE表示使用戶的所有角色失效。還可以使用SETROLE語句修改角色密碼：

SETROLEgeneral_useridentifiedbygeneral第三十頁，共七十四頁，2022年，8月28日資源與環(huán)境科學學院用戶與權限的管理給用戶me授予系統(tǒng)角色在用戶me下使該用戶的所有角色無效查詢數(shù)據(jù)字典視圖了解設置狀況圖7-14第三十一頁，共七十四頁，2022年，8月28日資源與環(huán)境科學學院用戶與權限的管理啟用所有角色啟用指定角色查看數(shù)據(jù)字典圖7-15第三十二頁，共七十四頁，2022年，8月28日資源與環(huán)境科學學院用戶與權限的管理

7.5.3修改用戶時設置角色當為用戶授予某角色后，該角色就成為用戶的默認角色，默認角色是用戶登錄數(shù)據(jù)庫時由Oracle自動啟用的角色，當向用戶授予多個角色時，默認角色為授予的多個角色組成的列表。也可以使用ALTERUSER來設置用戶的默認角色，語法如下：

ALTERUSERuser_name[defaultrole[role_name[,role_name,…]]|all[exceptrole_name[,role_name,…]]|none];其中，DEFAULTROLE表示默認的角色；使用關鍵字ALL可以設置該用戶的所有角色；EXCEPT則可以設置某角色外其他所有角色；NONE則設置所有角色為禁用狀態(tài)。例如：下面的語句設置用戶me的默認角色為CONNECT，而不是多個角色組成的角色列表：

alterrolemedefaultroleconnect；第三十三頁，共七十四頁，2022年，8月28日資源與環(huán)境科學學院用戶與權限的管理如果想禁用某個角色，也可以使用

ALTERUSERuserDEFAULTROLENONE語句。在禁用用戶的角色后，該用戶角色的所有權限將全部消失，即使再次向用戶授予角色，角色也依然被禁用。被禁用的角色可以重新被啟用，啟用角色后，用戶的相應權限又可以正常使用了。如：

alterusermedefaultroleallexceptgeneral_user;

7.5.4刪除角色Droprolegeneral_user;第三十四頁，共七十四頁，2022年，8月28日資源與環(huán)境科學學院用戶與權限的管理7.6管理概要文件

概要文件用來限制用戶對資源的訪問，并進行口令的管理。例如，當考試的時候，管理員可以通過設置概要文件的參數(shù)來定義用戶的考試時間，當考試時間到達時，用戶自動失去登錄數(shù)據(jù)庫的權限，從而來控制用戶對數(shù)據(jù)庫資源的訪問；又如，如果當一些數(shù)據(jù)庫用戶連續(xù)3次登錄并輸入密碼錯誤，系統(tǒng)將自動鎖定該用戶。通過這些設置，數(shù)據(jù)庫管理員可以為不同的用戶建立不同的概要文件，當概要文件授予某個用戶時，該用戶具有某種限定，系統(tǒng)將按此概要文件來分配系統(tǒng)資源。

Oracle建立數(shù)據(jù)庫時，系統(tǒng)自動建立了一個名為DEFAULT的概要文件。創(chuàng)建用戶時，如果沒有設置該用戶的概要文件，那么系統(tǒng)將默認把DEFAULT概要文件自動授予該用戶。

7.6.1創(chuàng)建概要文件第三十五頁，共七十四頁，2022年，8月28日資源與環(huán)境科學學院用戶與權限的管理在Oracle數(shù)據(jù)庫中創(chuàng)建概要文件的方法有企業(yè)管理器方式和命令行方式兩種。命令行方式相對復雜，這里以企業(yè)管理器方式介紹概要文件的創(chuàng)建：在企業(yè)管理器中選擇“管理”\“用戶和權限”\“概要文件”，出現(xiàn)概要文件管理界面：圖7-16第三十六頁，共七十四頁，2022年，8月28日資源與環(huán)境科學學院用戶與權限的管理圖7-17概要文件管理界面第三十七頁，共七十四頁，2022年，8月28日資源與環(huán)境科學學院用戶與權限的管理單擊“創(chuàng)建”按鈕，出現(xiàn)創(chuàng)建概要文件的“一般信息頁”界面：圖7-18概要文件的“一般信息頁”界面第三十八頁，共七十四頁，2022年，8月28日資源與環(huán)境科學學院用戶與權限的管理在圖7-8中各項名稱的具體含義如下：名稱：指創(chuàng)建概要文件的名字，在同一數(shù)據(jù)庫中所創(chuàng)建的概要文件名是惟一的。

CPU/會話：指允許一個會話占用CPU的時間總量，該限值以秒來表示。

CPU/調用：指允許一個調用占用CPU的時間最大值，該限值以秒來表示。連接時間：指允許一個會話持續(xù)時間的最大值，該限值以分鐘來表示?？臻e時間：指允許一個會話處于空閑狀態(tài)的時間最大值。空閑時間是會話中持續(xù)不活動的一段時間。長時間運行的查詢和其他操作不受此限值的約束，該限值以分鐘來表示。并行會話數(shù)：指允許一個用戶進行并行會話的最大數(shù)量。讀取數(shù)/會話：指會話中允許讀取數(shù)據(jù)塊的總數(shù)，該值包括從內存和磁盤讀取的塊。讀取數(shù)/調用：指允許一個調用在處理一個SQL語句時讀取的數(shù)據(jù)塊的最大數(shù)量。專用SGA：指在系統(tǒng)全局區(qū)（SGA）的共享池中，一個會話可以分配的專用空間量的最大值。組合限制：指一個會話消耗資源的總量。包括：會話占用CPU的時間、連接時間、會話中的讀取和分配的專用SGA空間量等相加的權和。第三十九頁，共七十四頁，2022年，8月28日資源與環(huán)境科學學院用戶與權限的管理單擊“口令”按鈕，出現(xiàn)創(chuàng)建概要文件的“口令頁”界面：圖7-19概要文件的“口令頁”界面第四十頁，共七十四頁，2022年，8月28日資源與環(huán)境科學學院用戶與權限的管理概要文件的“口令”頁用于定義概要文件的口令屬性，各項名稱的具體含義如下：有效期：指限定多少天后口令失效，達到有效天數(shù)后，則利用該口令的連接將收到一個警告，要求更改成新口令。最大鎖定天數(shù)：限制一個口令在到達有效期之后的一個天數(shù)，即寬限天數(shù)。此后，用戶將接收到一條口令過期的警告。當達到這個規(guī)定的天數(shù)后，口令過期。保留的口令數(shù)：設置一個口令必須被更改多少次之后才能夠被重用。如果該參數(shù)被設置成unlimited之外的值，則保留天數(shù)必須設置成unlimited。保留天數(shù)：設置一個口令可以被重用之前的最小天數(shù)。如果該參數(shù)被設置成unlimited之外的值，則保留的口令數(shù)必須設置成unlimited。復雜性函數(shù)：設置口令校驗函數(shù)。會對口令進行校驗，以判斷口令是否符合最低的復雜程度或者其他校驗規(guī)則。如果該參數(shù)設置為NULL，就可以關閉口令校驗功能。鎖定前允許的最大失敗登錄次數(shù)：限制一個用戶帳戶可以被不成功地訪問的次數(shù)。超過這個次數(shù)，該帳戶將被鎖定。鎖定天數(shù)：設置一定的天數(shù)，此后一個被鎖定的口令將自動被解除鎖定，只有設置了最大失敗登錄次數(shù)后該參數(shù)才有用。指unlimited表示該帳戶永遠都不會自動解除鎖定。第四十一頁，共七十四頁，2022年，8月28日資源與環(huán)境科學學院用戶與權限的管理使用ALTERUSERusernamePROFILEprofilename可將概要文件授予用戶。

7.6.2概要文件的激活當概要文件被創(chuàng)建并授予用戶后，該概要文件不會全部生效，因為在創(chuàng)建概要文件并授予用戶的過程中，當初始化參數(shù)中的RESOURCE_LIMIT選項的值為FALSE時，概要文件的一般信息頁中的設置沒有被應用。只是概要文件中的口令頁的設置被應用，只有在初始化參數(shù)文件中將RESOURCE_LIMIT選項設置為TRUE，概要文件才能被完全激活并生效。激活的方式有企業(yè)管理器方式和命令行方式：1、企業(yè)管理器方式：第四十二頁，共七十四頁，2022年，8月28日資源與環(huán)境科學學院用戶與權限的管理圖7-20進入管理/數(shù)據(jù)庫配置界面第四十三頁，共七十四頁，2022年，8月28日資源與環(huán)境科學學院用戶與權限的管理圖7-19所有初始化參數(shù)界面第四十四頁，共七十四頁，2022年，8月28日資源與環(huán)境科學學院用戶與權限的管理2、命令行方式：在SQL*Plus或iSQL*Plus中使用:ALTERSYSTEMSET[更改的參數(shù)1=值1]|[更改的參數(shù)2=值2]如：

ALTERSYSTEMSETRESOURCE_LIMIT=TRUE

7.6.3查看概要文件命令行方式：概要文件的信息存儲在數(shù)據(jù)字典DBA_PROFILE中，使用DESC命令可以得到概要文件的結構信息：

DESCDBA_PROFILES;第四十五頁，共七十四頁，2022年，8月28日資源與環(huán)境科學學院用戶與權限的管理

7.6.4修改概要文件例：

ALTERPROFILEprofilenameLIMITSESSIONS_PER_USER10;

命令執(zhí)行后，概要文件的并行會話修改為10。

7.6.5刪除概要文件例：

DROPPROFILEprofilename[CASCADE];

其中：

DROPPROFILE命令可以刪除概要文件，如果概要文件已經分配給用戶，在這個命令中必須指定CASCADE。這樣，概要文件刪除后，用戶的概要文件將自動指定為DEFAULT概要文件。第四十六頁，共七十四頁，2022年，8月28日資源與環(huán)境科學學院用戶與權限的管理練習創(chuàng)建一個用戶TEMPUSER，并為其分配相應的系統(tǒng)權限或角色，以便可以在數(shù)據(jù)庫中執(zhí)行相應的操作。以SYSTEM身份登錄數(shù)據(jù)庫。創(chuàng)建用戶TEMPUSER，其口令為tempuser，默認表空間為USERS，臨時表空間為TEMP，對表空間沒有配額限制。第四十七頁，共七十四頁，2022年，8月28日資源與環(huán)境科學學院用戶與權限的管理創(chuàng)建一個用戶配置文件TEMPPROFILE，包含的資源及其口令限制如下：

該用戶最多可以建立3個并發(fā)的會話連接。用戶執(zhí)行語句（會話

）使用的CPU最長時間為20秒?？臻e時間超過15分鐘后，斷開與用戶的連接。限制用戶每次調用SQL語句時，能夠讀取的數(shù)據(jù)庫塊數(shù)200。限制用戶在登錄到Oracle數(shù)據(jù)庫時允許失敗的次數(shù)2。第四十八頁，共七十四頁，2022年，8月28日資源與環(huán)境科學學院用戶與權限的管理為用戶TEMPUSER指定配置文件。向用戶TEMPUSER授予連接數(shù)據(jù)庫系統(tǒng)的權限。第四十九頁，共七十四頁，2022年，8月28日資源與環(huán)境科學學院用戶與權限的管理向用戶TEMPUSER授予對對象“scott.emp”的select權限，并以用戶TEMPUSER連接到數(shù)據(jù)庫，以查詢scott用戶的“emp”表。第五十頁，共七十四頁，2022年，8月28日資源與環(huán)境科學學院用戶與權限的管理撤銷向用戶TEMPUSER授予的系統(tǒng)權限，向用戶授予connect角色。第五十一頁，共七十四頁，2022年，8月28日資源與環(huán)境科學學院用戶與權限的管理刪除概要文件tempprofile，使用戶tempuser的概要文件為

DEFAULT，并查看用戶tempuser下的概要文件。第五十二頁，共七十四頁，2022年，8月28日資源與環(huán)境科學學院用戶與權限的管理7.7DBA用戶介紹及數(shù)據(jù)庫登錄 中常見的問題

7.7.1默認的DBA用戶

Oracle數(shù)據(jù)庫在創(chuàng)建時，默認創(chuàng)建兩個具有管理權限的DBA用戶：

SYS和SYSTEM。

1、SYS

數(shù)據(jù)庫創(chuàng)建完畢，SYS用戶就被創(chuàng)建且同時授予了DBA角色的權限，數(shù)據(jù)字典的基表和視圖創(chuàng)建在SYS用戶下，這些基表和視圖對數(shù)據(jù)庫的完整性至關重要，所以Oracle只允許自身對基表和視圖的數(shù)據(jù)進行操作。DBA在必要的情況下可以更改其存儲參數(shù)。

2、SYSTEMSYSTEM用戶也是在數(shù)據(jù)庫創(chuàng)建同時被創(chuàng)建且同時授予了DBA角色的權限。一般用于創(chuàng)建一些顯示管理信息的表、視圖、Oracle工具使用的表等。第五十三頁，共七十四頁，2022年，8月28日資源與環(huán)境科學學院用戶與權限的管理

7.7.2DBA角色每個數(shù)據(jù)庫一旦創(chuàng)建都將創(chuàng)建DBA角色，該角色包含了除SYSDBA和SYSOPER之外的大部分系統(tǒng)權限。

7.7.3SYSDBA管理權限

SYSDBA管理權限范圍內的操作：啟動和關閉操作。更改數(shù)據(jù)庫狀態(tài)為打開/裝載/備份，更改字符集。創(chuàng)建數(shù)據(jù)庫。創(chuàng)建服務器參數(shù)文件SPFILE。日志歸檔和恢復。包含了“會話受限”權限。第五十四頁，共七十四頁，2022年，8月28日資源與環(huán)境科學學院用戶與權限的管理

7.7.4SYSOPER管理權限

SYSOPER管理權限范圍內的操作：啟動和關閉操作。更改數(shù)據(jù)庫狀態(tài)為打開/裝載/備份。創(chuàng)建服務器參數(shù)文件SPFILE。日志歸檔和恢復。包含了“會話受限”權限。

注意：當以SYSDBA或SYSOPER權限連接時，并不是和使用的用戶名對應的方案，而是Oracle默認的方案式。以SYSDBA權限登錄時是SYS方案（用戶），以SYSOPER登錄時其方案是PUBLIC。第五十五頁，共七十四頁，2022年，8月28日資源與環(huán)境科學學院用戶與權限的管理

7.7.5DBA用戶的權限

DBA用戶權限分為兩部分：系統(tǒng)權限和對象權限，分別對應不同級別的操作。系統(tǒng)權限是指對Oracle數(shù)據(jù)庫服務器可以執(zhí)行的操作，而對象權限是指對Oracle數(shù)據(jù)庫的方案對象可以執(zhí)行的操作，如select、update等。對于一個數(shù)據(jù)庫用戶來講，其具備的系統(tǒng)權限和對象權限是兩個完全不同的概念，不是具備SYSDBA系統(tǒng)權限的用戶就一定能夠訪問所有方案的數(shù)據(jù)，還要看授予其具體的對象權限。

7.7.6DBA用戶的身份驗證機制第五十六頁，共七十四頁，2022年，8月28日資源與環(huán)境科學學院用戶與權限的管理OracleDBA用戶的身份驗證機制如圖所示：遠程客戶機管理本地客戶機管理是安全的連接嗎使用操作系統(tǒng)鑒別嗎口令文件鑒別操作系統(tǒng)鑒別是是否否注意：上述機制僅對以SYSDBA或SYSOPER管理權限登錄的DBA用戶適用，普通用戶的驗證是通過數(shù)據(jù)庫中存儲的用戶名和密碼來驗證的。第五十七頁，共七十四頁，2022年，8月28日資源與環(huán)境科學學院用戶與權限的管理遠程DBA用戶的身份驗證機制遠程DBA用戶的身份驗證機制是首先根據(jù)是否安全連接來決定的。采用普通的TCP協(xié)議構建的Oracle網(wǎng)絡是非安全的，而使用TCPS協(xié)議構建的網(wǎng)絡是安全的。安全的遠程DBA用戶連接還要根據(jù)選擇的驗證方式來決定是使用操作系統(tǒng)驗證還是口令文件驗證。非安全的遠程DBA用戶的連接是由數(shù)據(jù)庫服務器上的口令文件來驗證的。本地DBA用戶的身份驗證機制本地DBA用戶的身份驗證根據(jù)需要可以選擇操作系統(tǒng)驗證或口令文件驗證。注意：無論是操作系統(tǒng)驗證還是口令文件驗證，對DBA用戶采取的都是Oracle數(shù)據(jù)庫之外的驗證方式。這是因為：如果采用數(shù)據(jù)庫本身來存儲口令和進行驗證，那么，當數(shù)據(jù)庫關閉時，DBA用戶將無法執(zhí)行任何操作。而采用外部驗證的方法，DBA用戶即使在數(shù)據(jù)庫關閉時也能執(zhí)行一些特殊的操作。第五十八頁，共七十四頁，2022年，8月28日資源與環(huán)境科學學院用戶與權限的管理

7.7.7ORA_DBA和ORA_OPER組

Oracle10gforWindows版本和Windows操作系統(tǒng)緊密集成，可以采用操作系統(tǒng)來驗證

DBA用戶的身份。在采用Windows操作系統(tǒng)驗證DBA用戶的身份時，可以在操作系統(tǒng)中創(chuàng)建兩個特殊的用戶組：ORA_DBA和ORA_OPER。其中，Oracle在安裝時默認創(chuàng)建了ORA_DBA的用戶組，Windows操作系統(tǒng)的管理員Administrator已經默認被加入到ORA_DBA組中，這樣在采用操作系統(tǒng)身份驗證方式時，Administrator用戶已經具備了SYSDBA系統(tǒng)權限。在ORA_DBA組中的用戶被默認授予可以以SYSDBA權限登錄數(shù)據(jù)庫。在ORA_OPER組中的用戶被默認授予可以以SYSOPER權限登錄數(shù)據(jù) 庫。第五十九頁，共七十四頁，2022年，8月28日資源與環(huán)境科學學院用戶與權限的管理選擇【開始】/【程序】/【管理工具】/【計算機管理】/【本地用戶和組】選項，可以看到如圖所示的界面，其中包含了ORA_DBA組。而ORA_OPER為后來自建的組。第六十頁，共七十四頁，2022年，8月28日資源與環(huán)境科學學院用戶與權限的管理

7.7.8如何設置使用操作系統(tǒng)驗證是否使用操作系統(tǒng)進行驗證，不是在初始化參數(shù)文件中設置的，而是由一個特殊的文件sqlnet.ora來決定的。

Sqlnet.ora文件是一個配置Oracle10gNetServices的參數(shù)文件，路徑通常為$ORACLE_HOME\Network\admin，用文本工具打開該文件，其默認的內容如下：第六十一頁，共七十四頁，2022年，8月28日資源與環(huán)境科學學院用戶與權限的管理圖中，SQLNET.AUTHENTICATION_SERVICES參數(shù)就是設置是否允許操作系統(tǒng)驗證。參數(shù)值NTS表示使用Windows操作系統(tǒng)驗證。如果不使用操作系統(tǒng)驗證，可以將該行進行注釋或者取消即可?！?”表示注釋該行。

#SQLNET.AUTHENTICATION_SERVICES=（NTS）或改為SQLNET.AUTHENTICATION_SERVICES=（NONE）注意：該行的設置并不是僅僅對DBA用戶適用，對所有的分布式環(huán)境中的oracle用戶都是適用的。使用操作系統(tǒng)驗證的具體步驟：以Windows操作系統(tǒng)的管理員帳戶Administrator登錄。在操作系統(tǒng)的計算機管理帳戶中創(chuàng)建一個帳戶，給其一定的操作系統(tǒng)權限或相當于administrator管理員權限，并將其添加到ORA_DBA組中，如圖所示：修改sqlnet.ora文件內容

SQLNET.AUTHENTICATION_SERVICES=（NTS）。第六十二頁，共七十四頁，2022年，8月28日資源與環(huán)境科學學院用戶與權限的管理第六十三頁，共七十四頁，2022年，8月28日資源與環(huán)境科學學院用戶與權限的管理

7.7.8如何設置使用口令文件驗證

Oracle數(shù)據(jù)庫的初始化參數(shù)文件中有一個特殊的參數(shù)是用來決定是否使用口令文件的：REMOTE_LOGIN_PASSWORDFILE。1、以獨立登錄方式啟動客戶端企業(yè)管理器，以SYSDBA身份登錄后的界面如圖所示：2、單擊1、選擇第六十四頁，共七十四頁，2022年，8月28日資源與環(huán)境科學學院用戶與權限的管理在【管理目標導航樹】下選擇【網(wǎng)絡】/【數(shù)據(jù)庫】/【suer】/【例程】/【配置】選項，在出現(xiàn)的【一般信息】選項卡中可以看到Oracle10g數(shù)據(jù)庫使用SPFILE（服務器參數(shù)文件）啟動，單擊【所有初始化參數(shù)】按鈕。2、出現(xiàn)如圖所示的【所有參數(shù)】選項卡。默認情況下，【正在運行】單選鈕被選擇，可以查看正在運行的Oracle數(shù)據(jù)庫的參數(shù)。其中REMOTE_LOGIN_PASSWORDFILE參數(shù)的默認值為EXCLUSIVE，表示允許使用口令文件進行驗證。第六十五頁，共七十四頁，2022年，8月28日資源與環(huán)境科學學院用戶與權限的管理第六十六頁，共七十四頁，2022年，8月28日資源與環(huán)境科學學院用戶與權限的管理3、切換到【所有參數(shù)】/【SPFILE】選項卡。

查看SPFILE文件中的REMOTE_LOGIN_PASSWORDFILE參數(shù)的值。這里可以進行更改。其參數(shù)的3種取值的含義為：

NONE：不使用口令文件

EXCLUSIVE：口令文件驗證，每個數(shù)據(jù)庫單獨使用自己的口令文件，具有SYSDBA或SYSOPER權限的用戶都采用口令文件驗證。

SHARED：口令文件驗證，多個數(shù)據(jù)庫可以公用一個口令文件，但口令文件中只能加入SYS用戶，只有SYS用戶可以被驗證。問題：REMOTE_LOGIN_PASSWORDFILE參數(shù)從字面上翻譯過來應該是遠程登錄口令文件，該參數(shù)是否對本地DBA用戶適用呢？回答是