Oracle Profile 使用詳解(轉)

why566發表於2008-12-03
Oracle
一、目的:
Oracle系統中的profile可以用來對使用者所能使用的資料庫資源進行限制,使用Create Profile命令建立一個Profile,用它來實現對資料庫資源的限制使用,如果把該profile分配給使用者,則該使用者所能使用的資料庫資源都在該profile的限制之內.
 
二、條件:
建立profile必須要有CREATE PROFILE的系統許可權。
為使用者指定資源限制,必須:
1.動態地使用alter system或使用初始化引數resource_limit使資源限制生效。該改變對密碼資源無效,密碼資源總是可用。
SQL> show parameter resource_limit
 
NAME                                 TYPE        VALUE
------------------------------------ ----------- ------------------------------
resource_limit                       boolean     FALSE
 
SQL> alter system set resource_limit=true;
 
系統已更改。
 
SQL> show parameter resource_limit;
 
NAME                                 TYPE        VALUE
------------------------------------ ----------- ------------------------------
resource_limit                       boolean     TRUE
 
SQL>
 
2.使用create profile建立一個定義對資料庫資源進行限制的profile。
3.使用create user 或alter user命令把profile分配給使用者。
 
三、語法:
     CREATE PROFILE profile
LIMIT { resource_parameters
         | password_parameters
         }
           [ resource_parameters
           | password_parameters
           ]... ;
 
{ { SESSIONS_PER_USER
 | CPU_PER_SESSION
 | CPU_PER_CALL
 | CONNECT_TIME
 | IDLE_TIME
 | LOGICAL_READS_PER_SESSION
 | LOGICAL_READS_PER_CALL
 | COMPOSITE_LIMIT
 }
 { integer | UNLIMITED | DEFAULT }
| PRIVATE_SGA
 { integer [ K | M ] | UNLIMITED | DEFAULT }
}
 
< password_parameters >
{ { FAILED_LOGIN_ATTEMPTS
 | PASSWORD_LIFE_TIME
 | PASSWORD_REUSE_TIME
 | PASSWORD_REUSE_MAX
 | PASSWORD_LOCK_TIME
 | PASSWORD_GRACE_TIME
 }
 { expr | UNLIMITED | DEFAULT }
| PASSWORD_VERIFY_FUNCTION
     { function | NULL | DEFAULT }
}
 
四、語法解釋:
       profile:配置檔案的名稱。Oracle資料庫以以下方式強迫資源限制:
       1.如果使用者超過了connect_time或idle_time的會話資源限制,資料庫就回滾當前事務,並結束會話。使用者再次執行命令,資料庫則返回一個錯誤,
       2.如果使用者試圖執行超過其他的會話資源限制的操作,資料庫放棄操作,回滾當前事務並立即返回錯誤。使用者之後可以提交或回滾當前事務,必須結束會話。
       提示:可以將一條分成多個段,如1小時(1/24天)來限制時間,可以為使用者指定資源限制,但是資料庫只有在引數生效後才會執行限制。
      
       Unlimited:分配該profile的使用者對資源使用無限制,當使用密碼引數時,unlimited意味著沒有對引數加限制。
 
       Default:指定為default意味著忽略對profile中的一些資源限制,Default profile初始定義對資源不限制,可以透過alter profile命令來改變。
 
       Resource_parameter部分
      
       Session_per_user:指定限制使用者的併發會話的數目。
       Cpu_per_session:指定會話的CPU時間限制,單位為百分之一秒。
       Cpu_per_call:指定一次呼叫(解析、執行和提取)的CPU時間限制,單位為百分之一秒。
       Connect_time:指定會話的總的連線時間,以分鐘為單位。
       Idle_time:指定會話允許連續不活動的總的時間,以分鐘為單位,超過該時間,會話將斷開。但是長時間執行查詢和其他操作的不受此限制。
       Logical_reads_per_session:指定一個會話允許讀的資料塊的數目,包括從記憶體和磁碟讀的所有資料塊。
       Logical_read_per_call:指定一次執行SQL(解析、執行和提取)呼叫所允許讀的資料塊的最大數目。
       Private_sga:指定一個會話可以在共享池(SGA)中所允許分配的最大空間,以位元組為單位。(該限制只在使用共享伺服器結構時才有效,會話在SGA中的私有空間包括私有的SQL和PL/SQL,但不包括共享的SQL和PL/SQL)。
       Composite_limit:指定一個會話的總的資源消耗,以service units單位表示。Oracle資料庫以有利的方式計算cpu_per_session,connect_time,logical_reads_per_session和private-sga總的service units
      
       Password_parameter部分:
      
       Failed_login_attempts:指定在帳戶被鎖定之前所允許嘗試登陸的的最大次數。
       Password_life_time:指定同一密碼所允許使用的天數。如果同時指定了password_grace_time引數,如果在grace period內沒有改變密碼,則密碼會失效,連線資料庫被拒絕。如果沒有設定password_grace_time引數,預設值unlimited將引發一個資料庫警告,但是允許使用者繼續連線。
       Password_reuse_time和password_reuse_max:這兩個引數必須互相關聯設定,password_reuse_time指定了密碼不能重用前的天數,而password_reuse_max則指定了當前密碼被重用之前密碼改變的次數。兩個引數都必須被設定為整數。
       1.如果為這兩個引數指定了整數,則使用者不能重用密碼直到密碼被改變了password_reuse_max指定的次數以後在password_reuse_time指定的時間內。
       如:password_reuse_time=30,password_reuse_max=10,使用者可以在30天以後重用該密碼,要求密碼必須被改變超過10次。
       2.如果指定了其中的一個為整數,而另一個為unlimited,則使用者永遠不能重用一個密碼。
       3.如果指定了其中的一個為default,Oracle資料庫使用定義在profile中的預設值,預設情況下,所有的引數在profile中都被設定為unlimited,如果沒有改變profile預設值,資料庫對該值總是預設為unlimited。
       4.如果兩個引數都設定為unlimited,則資料庫忽略他們。
 
       Password_lock_time:指定登陸嘗試失敗次數到達後帳戶的縮定時間,以天為單位。
       Password_grace_time:指定寬限天數,資料庫發出警告到登陸失效前的天數。如果資料庫密碼在這中間沒有被修改,則過期會失效。
       Password_verify_function:該欄位允許將複雜的PL/SQL密碼驗證指令碼做為引數傳遞到create profile語句。Oracle資料庫提供了一個預設的指令碼,但是自己可以建立自己的驗證規則或使用第三方軟體驗證。 對Function名稱,指定的是密碼驗證規則的名稱,指定為Null則意味著不使用密碼驗證功能。如果為密碼引數指定表示式,則該表示式可以是任意格式,除了資料庫標量子查詢。
      
五、舉例:
       1.建立一個profile:
       create profile new_profile
              limit password_reuse_max 10
                     password_reuse_time 30;
 
       2.設定profile資源限制:
       create profile app_user limit
              sessions_per_user unlimited
              cpu_per_session unlimited
              cpu_per_call 3000
              connect_time 45
              logical_reads_per_session default
              logical_reads_per_call 1000
              private_sga 15k
              composite_limit 5000000;
              總的resource cost不超過五百萬service units。計算總的resource cost的公式由alter resource cost語句來指定。
      
       3.設定密碼限制profile:
       create profile app_users2 limit
              failed_login_attempts 5
              password_life_time 60
              password_reuse_time 60
              password_reuse_max 5
              password_verify_function verify_function
              password_lock_time 1/24
              password_grace_time 10;
 
       4.修改profile檔案
       SQL> alter profile default limit FAILED_LOGIN_ATTEMPTS unlimited;
       SQL> alter profile DEFAULT 或 profile檔名  limit idle_time 60;

       5.刪除profile
       SQL> drop profile profile_name;   
       SQL> drop profile profile_name CASCADE;  /*建立了profile後,且指定給某個使用者,則必須用CASCADE才能刪除*/
             
      6.將配置檔案分配給使用者:
              SQL> alter user dinya profile app_user;
              SQL> alter user dinya profile default;

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/7478833/viewspace-504511/,如需轉載,請註明出處,否則將追究法律責任。

相關文章