管理Oracle的用戶權(quán)限課件

1、管理Oracle的用戶權(quán)限1 管理用戶、權(quán)限 管理Oracle的用戶權(quán)限2 權(quán)限的分類管理權(quán)限的分類管理 v 系統(tǒng)權(quán)限：在系統(tǒng)級控制數(shù)據(jù)庫的存取和使用機(jī)制，它一系統(tǒng)權(quán)限：在系統(tǒng)級控制數(shù)據(jù)庫的存取和使用機(jī)制，它一 般是針對某一類方案對象或非方案對象某種操作的全局性般是針對某一類方案對象或非方案對象某種操作的全局性 能力。能力。 v 對象權(quán)限：指在對象級控制數(shù)據(jù)庫的存取和使用機(jī)制，即對象權(quán)限：指在對象級控制數(shù)據(jù)庫的存取和使用機(jī)制，即 訪問其他用戶的方案對象能力。訪問其他用戶的方案對象能力。 v DBMS實(shí)現(xiàn)數(shù)據(jù)庫安全保護(hù)的過程：實(shí)現(xiàn)數(shù)據(jù)庫安全保護(hù)的過程： 1、DBA或?qū)ο蟮膭?chuàng)建者通過授權(quán)語句，把授

2、予或?qū)ο蟮膭?chuàng)建者通過授權(quán)語句，把授予/回收權(quán)回收權(quán) 限的定義告訴限的定義告訴DBMS 2、DBMS把授予把授予/回收權(quán)限的結(jié)果保存在數(shù)據(jù)字典中回收權(quán)限的結(jié)果保存在數(shù)據(jù)字典中 3、當(dāng)用戶提出操作請求時(shí)，、當(dāng)用戶提出操作請求時(shí)，DBMS根據(jù)數(shù)據(jù)字典中保存根據(jù)數(shù)據(jù)字典中保存 的權(quán)限定義進(jìn)行檢查，來決定是否允許用戶執(zhí)行該操作的權(quán)限定義進(jìn)行檢查，來決定是否允許用戶執(zhí)行該操作 管理Oracle的用戶權(quán)限3 系統(tǒng)權(quán)限的分類系統(tǒng)權(quán)限的分類 CategoryExamples INDEXCREATE ANY INDEX ALTER ANY INDEX DROP ANY INDEX TABLE CREATE TAB

3、LE CREATE ANY TABLE ALTER ANY TABLE DROP ANY TABLE SELECT ANY TABLE UPDATE ANY TABLE DELETE ANY TABLE SESSIONCREATE SESSION ALTER SESSION RESTRICTED SESSION TABLESPACECREATE TABLESPACE ALTER TABLESPACE DROP TABLESPACE UNLIMITED TABLESPACE 每種系統(tǒng)權(quán)限都為用戶提供 類執(zhí)行某一種或某一類系統(tǒng) 級的數(shù)據(jù)庫操作權(quán)力，數(shù)據(jù) 字典視圖 system_privilege_

4、map中包 括了Oracle數(shù)據(jù)庫的所有系 統(tǒng)權(quán)限 管理Oracle的用戶權(quán)限4 授予授予/回收系統(tǒng)權(quán)限回收系統(tǒng)權(quán)限 REVOKE CREATE TABLE FROM emi; GRANT CREATE SESSION TO emi; GRANT CREATE SESSION TO emi WITH ADMIN OPTION; DB A GRANT REVOKE Jef f E mi Jef f E mi DB A 管理Oracle的用戶權(quán)限5 對象權(quán)限對象權(quán)限 vOracle數(shù)據(jù)庫的方案對象主要有：表、索引、視圖、序列、同義詞、過程、 函數(shù)包和觸發(fā)器 v創(chuàng)建對象的用戶擁有該對象的所有對象權(quán)限

5、，不需要授予。所以，對象權(quán)限 的設(shè)置實(shí)際上是為對象的所有者給其他用戶提供操作該對象的某種權(quán)力能力 GRANT object_privilege (column_list) GRANT object_privilege (column_list) , object_privilege (column_list) ., object_privilege (column_list) . |ALL PRIVILEGES|ALL PRIVILEGES ONONschema.objectschema.object TOTOuser|role|PUBLIC, user|role|PUBLIC .user|r

6、ole|PUBLIC, user|role|PUBLIC . WITH GRANT OPTIONWITH GRANT OPTION GRANT EXECUTE ON dbms_output TO jeff; GRANT UPDATE ON emi.customers TO jeff WITH GRANT OPTION; 管理Oracle的用戶權(quán)限6 回收對象權(quán)限回收對象權(quán)限 REVOKE object_privilege , object_privilege . | ALL PRIVILEGES ONschema.object FROM user|role|PUBLIC , user|role

7、|PUBLIC . CASCADE CONSTRAINTS B o b J ef f E m i E m i J ef f B o b REVOKE SELECT ON emi.orders FROM jeff; 管理Oracle的用戶權(quán)限7 數(shù)據(jù)庫權(quán)限審計(jì)數(shù)據(jù)庫權(quán)限審計(jì) Parameter file Specify audit options Database Audit trail Audit options Enable database auditing DBAUser Execute command Generate audit trail Review audit informat

8、ion Server process OS audit trail 管理Oracle的用戶權(quán)限8 管理角色管理角色 Users Privileges Roles UPDATE ON JOBS INSERT ON JOBS SELECT ON JOBS CREATE TABLE CREATE SESSION HR_CLERKHR_MGR A B C 管理Oracle的用戶權(quán)限9 創(chuàng)建創(chuàng)建/修改角色修改角色 CREATE ROLE oe_clerk; CREATE ROLE hr_clerk IDENTIFIED BY bonus; CREATE ROLE hr_manager IDENTIFIE

9、D EXTERNALLY; ALTER ROLE hr_clerkIDENTIFIED EXTERNALLY; ALTER ROLE hr_managerNOT IDENTIFIED; ALTER ROLE oe_clerk IDENTIFIED BY order; GRANT hr_clerk TO hr_manager; GRANT oe_clerk TO scott; GRANT hr_manager TO scott WITH ADMIN OPTION; 管理Oracle的用戶權(quán)限10 角色分類角色分類 人事管理人事管理工資管理工資管理 HR_MANAGERHR_CLERKPAY_CL

10、ERK User roles Application roles Application privileges Users 管理工資權(quán)限管理工資權(quán)限管理人事權(quán)限管理人事權(quán)限 管理Oracle的用戶權(quán)限11 管理用戶管理用戶 Account locking Tablespace quotas Temporary tablespace Default tablespace Role privileges Resource limits Security domain Direct privileges Authentication mechanism 方案對象方案對象 Tables Trigger

11、s Constraints Indexes Views Sequences Stored program units Synonyms User-defined data types Database links 管理Oracle的用戶權(quán)限12 創(chuàng)建用戶創(chuàng)建用戶 CREATE USER aaron IDENTIFIED BY soccer DEFAULT TABLESPACE data TEMPORARY TABLESPACE temp Account unlock QUOTA 15m ON data PASSWORD EXPIRE; ALTER USER aaron QUOTA 0 ON USERS; 管理Oracle的用戶權(quán)限