分散式資料庫管理系列(一)

wisdomone1發表於2013-03-03
分散式資料庫

Distributed Database Administration
其主要包含如下幾個主題:

站點獨立自治性
Site Autonomy
 
分散式資料庫的安全問題
Distributed Database Security
 
稽核資料庫連結
Auditing Database Links
 
相關的管理工具
Administration Tools


站點獨立自治性
Site Autonomy
不利方面:
1,要在每個本地庫建立對應的使用者,增加了管理工作
2,配置額外的引數commit_point_strength,open_links


 
分散式資料庫的安全問題
Distributed Database Security
1,對於使用者及角色的密碼認證
2,對於已連線資料庫連結所對應的使用者使用一些外部系統認證
3,對於客戶端-服務端和服務端-服務端連線的登陸資料包的加密

其主要包括如下幾方面
資料庫連結的認證
Authentication Through Database Links
 
未使用密碼的認證
Authentication Without Passwords
 
支援使用者及角色
Supporting User Accounts and Roles
 
集中式使用者及許可權管理
Centralized User and Privilege Management
 
資料加密
Data Encryption

資料庫連結的認證
Authentication Through Database Links
1,資料庫連結可以是private or public,可以是認證或非認證的。
2,如:create public database link foo using 'sales';
       create private database link sales connect to scott identfied by password using 'saels';
       create shared public database link sales connect to nick identified by passwordd
        authenticated by david identified by password2 using 'sales';
       
資料庫連結型別                  是否認證              安全訪問(如何實現其功能)
private                           no                   訪問遠端資料庫,資料庫使用本地庫所屬使用者密碼資訊。因此,此資料庫連結是
                                                       connected user database link.使用者密碼資訊必須在本地與遠端資料庫同步.

private                           yes                  使用者密碼安全資訊從資料庫連結的定義中提取而非取自本地會話。因此,此資料庫
                                                       連結是一個fixed user database link.這樣允許本地與遠端使用者密碼可以不同,但
                                                       本地庫資料庫密碼必須與遠端庫相匹配
                                                      
public                            no                   實現模式和非認證且private差不多,但所有使用者可以訪問遠端庫。

public                            yes                  本地庫所有使用者可以訪問遠端庫且使用相同的使用者密碼訪問遠端庫

未使用密碼的認證
Authentication Without Passwords 
 1,當使用connect user or current user database link,可以透過端到端安全認證的kerberos實現外部系統認證。
    何謂端到端認證,授權資訊至伺服器至伺服器端且接受屬於同一個域的資料庫伺服器的認證。比如:jane是一個本地庫使用者,
    採用外部認證方式想訪問遠端庫,當採用connected user link時,本地伺服器則傳遞它的安全認證資訊至遠端庫。
   
支援使用者賬號及角色  
Supporting User Accounts and Roles   
 1,在分散式系統中構建端至端連結必備的使用者資訊必須存在
 2,同上,必備的角色必須存在
 
集中式的使用者及許可權管理
Centralized User and Privilege Management      
  有幾種方式可供選擇:
  1,企業使用者管理:
       建立一個全域性使用者,基於ssl或密碼認證。然後在各個獨立的企業目錄服務的目錄中,以此管理所有的使用者
       及相關許可權
  2,網路認證服務:
       這是一種常規的技術,可以簡化分散式系統的管理工作。你可以使用oracle advanced security元件強化
       分散式系統的網路及安全功能。而window nt native認證則是一個非oracle方式的示例。

 

依賴於使用者的全域性使用者
Schema-Dependent Global Users  
 為了達到集中式使用者及許可權管理,須建立:
   1,集中或統一目錄的全域性使用者
   2,在每個資料庫建立全域性使用者可以訪問的使用者一個
  示例:建立一個名為fred的全域性使用者
  create user fred identified globally as 'cn=fred adams,o=oracle,c=england';
  --會在所有的資料庫中建立名為fred的使用者。因為大多使用者可透過授權訪問其它使用者的物件,
  沒必要建立訪問物件的使用者。在每個庫建立一個使用者成本太高。所以資料庫也支援與獨立於
  使用者的使用者。
 
獨立於使用者的全域性使用者 
Schema-Independent Global Users  
  與上述的依賴於使用者的全域性使用者相反,資料庫還有另一種功能。允許全域性使用者統一由企業目錄服務進行管理。
由企業目錄統一管理的使用者叫作企業使用者。
  企業目錄具體包括什麼內容呢?
  1,企業使用者可以訪問的資料庫
  2,企業使用者可以使用的角色
  3,企業使用者可以訪問的使用者
 
 每個DBA不用為每個資料庫的企業使用者建立一個全域性使用者。相反,這些企業使用者可以共享使用一個相同的資料庫物件,
 名為共享物件。
 注:在共享物件模式下,不能訪問current user database link.
 
 示例:jane,bill,scott大家都使用人力資源應用系統,hq                                                                                                          

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/9240380/viewspace-755175/,如需轉載,請註明出處,否則將追究法律責任。

相關文章