Oracle使用者、許可權、角色管理

hunterjoy發表於2014-09-06
編者按:
     接觸ORACLE有12年了,有些ORACLE基礎的東西都記不太清楚了。昨天工作中偶遇一個許可權問題:
向一張表INSERT時出現INVALID PRIVILEGE問題,最後才查出是插入資料時引用SEQUENCE時的許可權不足。
在處理此問題過程中,涉及到一些檢視使用者許可權的事情,但忘了不少,所以此處引用下他人的技術部落格;

摘自:http://blog.csdn.net/junmail/article/details/4381287

Oracle 許可權設定
一、許可權分類:
系統許可權:系統規定使用者使用資料庫的許可權。(系統許可權是對使用者而言)

實體許可權:某種許可權使用者對其它使用者的表或檢視的存取許可權。(是針對表或檢視而言的)。

 

二、系統許可權管理:
1、系統許可權分類:
DBA:
擁有全部特權,是系統最高許可權,只有DBA才可以建立資料庫結構。

RESOURCE:擁有Resource許可權的使用者只可以建立實體,不可以建立資料庫結構。

CONNECT:擁有Connect許可權的使用者只可以登入Oracle,不可以建立實體,不可以建立資料庫結構。

對於普通使用者:授予connect, resource許可權。
對於DBA管理使用者:授予connectresource, dba許可權。

 

2、系統許可權授權命令:
[
系統許可權只能由DBA使用者授出:sys, system(最開始只能是這兩個使用者)]
授權命令:SQL> grant connect, resource, dba to 使用者名稱1 [,使用者名稱2]...;

[普通使用者透過授權可以具有與system相同的使用者許可權,但永遠不能達到與sys使用者相同的許可權,system使用者的許可權也可以被回收。]

例:
SQL> connect system/manager
SQL> Create user user50 identified by user50;
SQL> grant connect, resource to user50;

查詢使用者擁有哪裡許可權:
SQL> select * from dba_role_privs;
SQL> select * from dba_sys_privs;
SQL> select * from role_sys_privs;

刪除使用者:SQL> drop user 使用者名稱 cascade;  //加上cascade則將使用者連同其建立的東西全部刪除

 

3、系統許可權傳遞:
增加WITH ADMIN OPTION選項,則得到的許可權可以傳遞。

SQL> grant connect, resorce to user50 with admin option;  //可以傳遞所獲許可權。

 

4、系統許可權回收:系統許可權只能由DBA使用者回收
命令:SQL> Revoke connect, resource from user50;

 

說明:

1)如果使用WITH ADMIN OPTION為某個使用者授予系統許可權,那麼對於被這個使用者授予相同許可權的所有使用者來說,取消該使用者的系統許可權並不會級聯取消這些使用者的相同許可權。

2)系統許可權無級聯,即A授予B許可權,B授予C許可權,如果A收回B的許可權,C的許可權不受影響;系統許可權可以跨使用者回收,即A可以直接收回C使用者的許可權。

 

三、實體許可權管理
1、實體許可權分類:select, update, insert, alter, index, delete, all  //all包括所有許可權
execute  //
執行儲存過程許可權

user01:
SQL> grant select, update, insert on product to user02;
SQL> grant all on product to user02;

user02:
SQL> select * from user01.product;

// 此時user02user_tables,不包括user01.product這個表,但如果查all_tables則可以查到,因為他可以訪問。


2. 將表的操作許可權授予全體使用者:
SQL> grant all on product to public;  // public
表示是所有的使用者,這裡的all許可權不包括drop

[實體許可權資料字典]:
SQL> select owner, table_name from all_tables; //
使用者可以查詢的表
SQL> select table_name from user_tables;  //
使用者建立的表
SQL> select grantor, table_schema, table_name, privilege from all_tab_privs; //
獲權可以存取的表(被授權的)
SQL> select grantee, owner, table_name, privilege from user_tab_privs;   //
授出許可權的表(授出的許可權)

 

3. DBA使用者可以操作全體使用者的任意基表(無需授權,包括刪除)
DBA使用者:
SQL> Create table stud02.product(
 id number(10),
 name varchar2(20));
SQL> drop table stud02.emp;

SQL> create table stud02.employee
 as
 select * from scott.emp;
 
4. 實體許可權傳遞(with grant option)
user01:

SQL> grant select, update on product to user02 with grant option; // user02得到許可權,並可以傳遞。

 

5. 實體許可權回收:
user01:
SQL>Revoke select, update on product from user02;  //
傳遞的許可權將全部丟失。

 

說明

1)如果取消某個使用者的物件許可權,那麼對於這個使用者使用WITH GRANT OPTION授予許可權的使用者來說,同樣還會取消這些使用者的相同許可權,也就是說取消授權時級聯的。

 

 

Oracle 使用者管理
一、建立使用者的Profile檔案
SQL> create profile student limit  // student為資原始檔名
 FAILED_LOGIN_ATTEMPTS  3  //
指定鎖定使用者的登入失敗次數
 PASSWORD_LOCK_TIME 5  //
指定使用者被鎖定天數
 PASSWORD_LIFE_TIME 30  //
指定口令可用天數
 

二、建立使用者
SQL> Create User username
 Identified by password
 Default Tablespace tablespace
 Temporary Tablespace tablespace
 Profile profile
 Quota integer/unlimited on tablespace;

:
SQL> Create user acc01
 identified by acc01   //
如果密碼是數字,請用雙引號括起來
 default tablespace account
 temporary tablespace temp
 profile default
 quota 50m on account;
SQL> grant connect, resource to acc01;

[*] 查詢使用者預設表空間、臨時表空間
SQL> select username, default_tablespace, temporary_tablespace from dba_users;

[*] 查詢系統資原始檔名:
SQL> select * from dba_profiles;
資原始檔類似表,一旦建立就會儲存在資料庫中。
SQL> select username, profile, default_tablespace, temporary_tablespace from dba_users;

SQL> create profile common limit
 failed_login_attempts 5
 idle_time 5;
 
SQL> Alter user acc01 profile common;

 

三、修改使用者:
SQL> Alter User 使用者名稱
 Identified
口令
 Default Tablespace tablespace
 Temporary Tablespace tablespace
 Profile profile
 Quota integer/unlimited on tablespace;
 
1
、修改口令字:
SQL>Alter user acc01 identified by "12345";

2、修改使用者預設表空間:
SQL> Alter user acc01 default tablespace users;

3、修改使用者臨時表空間
SQL> Alter user acc01 temporary tablespace temp_data;

4、強制使用者修改口令字:
SQL> Alter user acc01 password expire;

5、將使用者加鎖
SQL> Alter user acc01 account lock;  //
加鎖
SQL> Alter user acc01 account unlock;  //
解鎖

 

四、刪除使用者
SQL>drop user 使用者名稱;  //使用者沒有建任何實體
SQL> drop user
使用者名稱 CASCADE;  // 將使用者及其所建實體全部刪除

*1. 當前正連線的使用者不得刪除。


五、監視使用者:
1、查詢使用者會話資訊:
SQL> select username, sid, serial#, machine from v$session;

2、刪除使用者會話資訊:
SQL> Alter system kill session 'sid, serial#';

3、查詢使用者SQL語句:
SQL> select user_name, sql_text from v$open_cursor;

 

 

Oracle 角色管理

一、何為角色
  角色。角色是一組許可權的集合,將角色賦給一個使用者,這個使用者就擁有了這個角色中的所有許可權。

二、系統預定義角色
  預定義角色是在資料庫安裝後,系統自動建立的一些常用的角色。下介簡單的介紹一下這些預定角色。角色所包含的許可權可以用以下語句查詢:
sql>select * from role_sys_privs where role='
角色名';

1CONNECT, RESOURCE, DBA
這些預定義角色主要是為了向後相容。其主要是用於資料庫管理。oracle建議使用者自己設計資料庫管理和安全的許可權規劃,而不要簡單的使用這些預定角色。將來的版本中這些角色可能不會作為預定義角色。

 

2DELETE_CATALOG_ROLE EXECUTE_CATALOG_ROLE SELECT_CATALOG_ROLE
這些角色主要用於訪問資料字典檢視和包。

 

3EXP_FULL_DATABASE IMP_FULL_DATABASE
這兩個角色用於資料匯入匯出工具的使用。

 

4AQ_USER_ROLE AQ_ADMINISTRATOR_ROLE
AQ:Advanced Query
。這兩個角色用於oracle高階查詢功能。

 

5 SNMPAGENT
用於oracle enterprise managerIntelligent Agent

 

6RECOVERY_CATALOG_OWNER
用於建立擁有恢復庫的使用者。關於恢復庫的資訊,參考oracle文件《Oracle9i User-Managed Backup and Recovery Guide

 

7HS_ADMIN_ROLE
A DBA using Oracle's heterogeneous services feature needs this role to access appropriate tables in the data dictionary.

 

三、管理角色
1.
建一個角色
sql>create role role1;


2.
授權給角色
sql>grant create any table,create procedure to role1;


3.
授予角色給使用者
sql>grant role1 to user1;


4.
檢視角色所包含的許可權
sql>select * from role_sys_privs;


5.
建立帶有口令以角色(在生效帶有口令的角色時必須提供口令)
sql>create role role1 identified by password1;


6.
修改角色:是否需要口令
sql>alter role role1 not identified;
sql>alter role role1 identified by password1;


7.
設定當前使用者要生效的角色
(
注:角色的生效是一個什麼概念呢?假設使用者ab1,b2,b3三個角色,那麼如果b1未生效,則b1所包含的許可權對於a來講是不擁有的,只有角色生效了,角色內的許可權才作用於使用者,最大可生效角色數由引數MAX_ENABLED_ROLES設定;在使用者登入後,oracle將所有直接賦給使用者的許可權和使用者預設角色中的許可權賦給使用者。)
sql>set role role1;//
使role1生效
sql>set role role,role2;//
使role1,role2生效
sql>set role role1 identified by password1;//
使用帶有口令的role1生效
sql>set role all;//
使用該使用者的所有角色生效
sql>set role none;//
設定所有角色失效
sql>set role all except role1;//
role1外的該使用者的所有其它角色生效。
sql>select * from SESSION_ROLES;//
檢視當前使用者的生效的角色。


8.
修改指定使用者,設定其預設角色
sql>alter user user1 default role role1;
sql>alter user user1 default role all except role1;
詳見oracle參考文件


9.
刪除角色
sql>drop role role1;
角色刪除後,原來擁用該角色的使用者就不再擁有該角色了,相應的許可權也就沒有了。

 

說明:

1)無法使用WITH GRANT OPTION為角色授予物件許可權

2)可以使用WITH ADMIN OPTION 為角色授予系統許可權,取消時不是級聯

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/543979/viewspace-1265055/,如需轉載,請註明出處,否則將追究法律責任。

相關文章