User Access and Security

物件許可權，系統許可權，角色許可權。

Creating and Modifying User Accounts：

Configuring Account Authentication：

使用者連線到資料庫，必須做認證，一般有3種認證型別。

1.資料庫認證。Oracle檢查使用者是否合法，check使用者名稱和密碼。

Database-authenticated user accounts

預設賬號型別。

建立賬號例子:

Create user piyush IDENTIFIED BY welcome;

2.oracle只check使用者名稱的合法性，密碼由系統和網路來檢驗。

Externally authenticated user accounts

這些賬戶一般稱之為OPS$,

例子：

Create user ops$appl IDENTIFIED EXTERNALLY;

一般用來處理一些批處理，定時操作，非互動程式。

3.global 認證。

X.509企業目錄服務.適用於大型組織。

Assigning Attributes to Accounts：

例子：（修改密碼）

Alter user piyush IDENTIFIED BY saraswati;

Assigning a Default Tablespace：

例子：

Create user piyush IDENTIFIED BY saraswati

DEFAULT TABLESPACE user_date;

Assigning a Temporary Tablespace

例子：

Create user piyush IDENTIFIED BY saraswati

TEMPORARY TABLESPACE temp;

改變資料庫的預設表空間，使用

ALTER DATABASE DEFAULT TEMPORARY TABLESPACE temp；

Assigning Tablespace Quotas:

表空間的使用量，和增長量。

Create user piyush IDENTIFIED BY saraswati

DEFAULT TABLESPACE user_date

QUOTA UNLIMITEDE ON user_date

QUOTA 20M ON tools;

Using Profiles：

Limit 資源，包括連線時間，空閒時間，每個連線的邏輯讀，錯誤登入嘗試，密碼認證。

Enabling or Disabling Roles：

例子：

Alter user manoj DEFAULT ROLE ALL EXCEPT salary_adm;

Setting Password Expiration:

例子：

Alter user manoj IDENTIFIED BY welcome;

Alter user manoj PASSWORD EXPIRE;

Account Locking:

ALTER USER gl ACCOUNT LOCK;

Account Unlocking:

ALTER USER scott ACCOUNT UNLOCK;

Using Account Licensing Controls:

限制連線到資料庫的連線數，資料庫中的建立的賬號數量。

三個引數：

License_max_users : 限制資料庫中可以建立的使用者賬號數。

License_sessions_warning : 設定什麼時候發出警告，設定同時連線資料庫的連線數的數量

License_max_sessions ：設定同時連線資料庫的連線數的數量

Creating and Using Roles

Create role role_name identify by password

-----------------------------------------Externally : 由作業系統做認證

-----------------------------------------globally ：由oracle security service做認證

Set role role_name IDENTIFIED BY password;

Granting and Revoking Privileges：

三種型別的特權：

1. 物件特權：表，檢視，儲存過程，

2. 系統特權：系統級的操作，連線到資料庫，建立表，建立使用者

3. 角色特權：使用者擁有角色的特權

Object Privileges：

P465 table10.1

The ALTER Privilege：

可以執行ALTER TABLE 或者LOCK TABLE .

ALTER TABLE: rename 表，add column，drop column，

The DELETE Privilege：

允許從表或者檢視中remove資料。 Select 和delete特權應該一同賦予。

The EXECUTE Privilege：

執行特定的程式，PL/SQL

The INDEX Privilege：

允許建立索引，或者鎖住表

The INSERT Privilege：

在表或者檢視中建立行。

The READ Privilege：

允許使用者讀資料字典。

The REFERENCE Privilege：

讓使用者（不是角色）可以引用表。

The SELECT Privilege：

可以使用select 查詢語句。

The UPDATE Privilege：

必須和select許可權同時使用。

The ALL Privilege：

Select ，insert，update，delete，index，alter，reference 許可權。

System Privileges：

Cluster Privileges: create cluster,

create any cluster

alter any cluster

drop any cluster

Database Privileges: alter database

Alter system

Audit system

Index Privileges: create any index

Alter any index

Drop any index

Procedure Privileges: create procedure

Create any procedure

Alter any procedure

Drop any procedure

Execute any procedure

Profile Privileges: create profile

Alter profile

Drop profile

Role Privileges: create role

Alter any role

Drop any role

Grant any role

Rollback Segment Privileges: create rollback segment

Alter rollback segment

Drop rollback segment

Sequence Privileges: create sequence

Create any sequence

Alter any sequence

Drop any sequence

Select any sequence

Session Privileges: create session

Alter session

Alter resource cost

Restricyed session

Synonym Privileges: create synonym

Create any synonym

Create public synonym

Drop any synonym

Drop public synonym

Table Privileges: create table

Create any table

Alter any table

Drop any table

Select any table

Inserte any table

Update any table

Delete any table

Lock any table

Tablespace Privileges: create tablespace

Alter tablespace

Drop tablespace

Manage tablespace

Unlimited tablespace

User Privileges: create user

Alter user

Become user

Drop user

View Privileges: create view

Create any view

Drop any view

Assigning Privileges:

Grant role to user/role/public with admin option

Grant system privilege to user/role/public with admin option

Grant object privilege to user/role/public with grant option

Public說明給所有人賦予許可權，使用者被賦予許可權的時候，不用登入或者登出。

Granting Object Privileges：

Object privileges 引數可以賦予with grant option引數。

A賦給B，B賦給C。

如果B被drop了，那麼C被賦予的許可權也沒有了。

A賦給B和D，B和D都賦予許可權給C，此時B被drop掉，也不會影響C的許可權。

Granting System Privileges：

A 賦給B ，B賦給C。

如果B被drop，那麼C照樣保留許可權。

Granting Role Privileges：

System privileges ，object privileges，role privileges 可以賦給role。

Role的enable 和disable可以使用set role

角色不能被賦予允許儲存過程，包，觸發器等的許可權。

Revoking Privileges：

物件許可權可以被授予者取消，系統和role許可權可以被任何偶許可權的人取笑。

REVOKE ROLE/System Privilege/Object Privilege FROM user/role/public ;

Viewing Privileges in the Data Dictionary:

P481

Managing User Groups with Profiles:

Enabling Resource Settings:

分成兩類,

Password resource : failed_logon_attempts password_life_time

Kernel resource : idle_time logical_reads_per_session

[@more@]

SG_007_CHAPTER 10

相關文章