實(shí)驗(yàn)用戶與權(quán)限的管理

實(shí)驗(yàn)用戶與權(quán)限的管理第1頁(yè)，課件共74頁(yè)，創(chuàng)作于2023年2月資源與環(huán)境科學(xué)學(xué)院主要內(nèi)容用戶與權(quán)限的管理

1、用戶與模式的關(guān)系

2、Oracle安全管理的機(jī)制

3、管理用戶

4、管理權(quán)限

5、管理角色

6、管理概要文件

7、DBA用戶介紹及登錄中常見(jiàn)的問(wèn)題第2頁(yè)，課件共74頁(yè)，創(chuàng)作于2023年2月資源與環(huán)境科學(xué)學(xué)院用戶與權(quán)限的管理7.1用戶與模式（方案）的關(guān)系

在Oracle系統(tǒng)的邏輯結(jié)構(gòu)中，包含了從只能存儲(chǔ)字節(jié)的數(shù)據(jù)塊，到可以容納整個(gè)數(shù)據(jù)庫(kù)的表空間等多級(jí)別的存儲(chǔ)結(jié)構(gòu)，但是所有這些邏輯結(jié)構(gòu)都不是一般的數(shù)據(jù)庫(kù)用戶可以直接進(jìn)行操作的對(duì)象。一般用戶可以直接操作的是類似于表、索引和視圖這樣的對(duì)象。在Oracle數(shù)據(jù)庫(kù)中，這些對(duì)象不是隨意保存在數(shù)據(jù)庫(kù)中的，而是通過(guò)“模式”來(lái)組織和管理這些數(shù)據(jù)庫(kù)對(duì)象的。

Oracle系統(tǒng)中的模式，就是一系列邏輯數(shù)據(jù)結(jié)構(gòu)或?qū)ο蟮募?。用戶是ORACLE安全管理的術(shù)語(yǔ)。每個(gè)客戶機(jī)必須以某個(gè)用戶名登錄數(shù)據(jù)庫(kù)，經(jīng)過(guò)驗(yàn)證后按照賦予用戶的權(quán)限完成特定的操作。Oracle數(shù)據(jù)庫(kù)中的每一個(gè)用戶都擁有一個(gè)唯一的模式，該用戶創(chuàng)建的所有模式對(duì)象都默認(rèn)地保存在自己的模式中。一個(gè)模式只能被一個(gè)數(shù)據(jù)庫(kù)用戶所擁有，并且模式的名稱與該用戶的名稱相同。模式對(duì)象是一種邏輯數(shù)據(jù)存儲(chǔ)結(jié)構(gòu)，它與數(shù)據(jù)文件并不存在物理上的對(duì)應(yīng)關(guān)系，一個(gè)模式對(duì)象也能被存儲(chǔ)在一個(gè)表空間的多個(gè)數(shù)據(jù)文件中。表空間、用戶和角色等數(shù)據(jù)庫(kù)對(duì)象由于不屬于任何模式，稱為非模式對(duì)象。第3頁(yè)，課件共74頁(yè)，創(chuàng)作于2023年2月資源與環(huán)境科學(xué)學(xué)院用戶與權(quán)限的管理注意：在Oracle數(shù)據(jù)庫(kù)中，雖然模式與數(shù)據(jù)庫(kù)用戶是一一對(duì)應(yīng)的，并且同名，二者經(jīng)常可以相互替換，但是要清楚它們是兩個(gè)完全不同的概念。

7.2Oracle安全管理的機(jī)制

數(shù)據(jù)庫(kù)安全是指通過(guò)一定的機(jī)制保護(hù)數(shù)據(jù)庫(kù)內(nèi)的數(shù)據(jù)，根據(jù)數(shù)據(jù)安全的不同特性，數(shù)據(jù)庫(kù)安全管理可劃分為兩大類：

1、數(shù)據(jù)的備份與恢復(fù)：是為了保證數(shù)據(jù)的完整性和一致性，防止因各種物理的或事務(wù)故障而導(dǎo)致的數(shù)據(jù)破壞和災(zāi)難而采取的防范措施。此類問(wèn)題暫不討論。

2、用戶身份、權(quán)限驗(yàn)證和防止數(shù)據(jù)泄露及篡改等管理。此類管理是常規(guī)性的，通常可包括三個(gè)部分：數(shù)據(jù)庫(kù)內(nèi)部的管理：主要包括用戶標(biāo)識(shí)/口令、角色與權(quán)限等。資源管理：主要通過(guò)系統(tǒng)概要文件限制連接會(huì)話等。網(wǎng)絡(luò)數(shù)據(jù)通信管理：主要采用口令文件、數(shù)據(jù)加密等Oracle高級(jí)安全技術(shù)實(shí)施。第4頁(yè)，課件共74頁(yè)，創(chuàng)作于2023年2月資源與環(huán)境科學(xué)學(xué)院用戶與權(quán)限的管理在第2類安全管理中，為防止用戶對(duì)數(shù)據(jù)庫(kù)進(jìn)行不合法的操作，Oracle主要采用以下兩種安全機(jī)制：

Oracle提供一個(gè)安全的授權(quán)和檢查機(jī)制，規(guī)定用戶的權(quán)限，用戶操作時(shí)，只能執(zhí)行權(quán)限允許范圍內(nèi)的操作；

Oracle使用審計(jì)技術(shù)，記錄用戶的行為，當(dāng)執(zhí)行了不合法的操作時(shí)，通常查詢審計(jì)記錄能找出執(zhí)行不合法操作的用戶、操作時(shí)間、操作內(nèi)容等?？梢哉f(shuō)，第一種方法是一種預(yù)防機(jī)制，可以預(yù)防不合法的操作發(fā)生；第二種方法是一種責(zé)任追究機(jī)制。

Oracle把所有的權(quán)限信息都記錄在數(shù)據(jù)字典中，用戶進(jìn)行數(shù)據(jù)庫(kù)操作時(shí)，Oracle首先根據(jù)數(shù)據(jù)字典內(nèi)的權(quán)限信息檢查操作是否合法，當(dāng)發(fā)現(xiàn)操作不合法時(shí)，即用戶沒(méi)有操作權(quán)限時(shí)，會(huì)給出錯(cuò)誤提示信息，同時(shí)拒絕執(zhí)行操作。第5頁(yè)，課件共74頁(yè)，創(chuàng)作于2023年2月資源與環(huán)境科學(xué)學(xué)院用戶與權(quán)限的管理7.3管理用戶

管理用戶是Oracle實(shí)現(xiàn)安全性的一個(gè)重要途徑。只有通過(guò)用戶驗(yàn)證，用戶才能具有訪問(wèn)數(shù)據(jù)庫(kù)的權(quán)利。新創(chuàng)建的用戶必須通過(guò)數(shù)據(jù)庫(kù)管理員授權(quán)才能獲得數(shù)據(jù)庫(kù)使用權(quán)限。數(shù)據(jù)庫(kù)安裝后，數(shù)據(jù)庫(kù)中只有SYS、SYSTEM等系統(tǒng)用戶，而這些用戶都具有很高的權(quán)限，如果使用這些用戶來(lái)操縱數(shù)據(jù)庫(kù)，那么對(duì)數(shù)據(jù)庫(kù)系統(tǒng)的穩(wěn)定性和安全性都是一種威脅，因此，通常利用系統(tǒng)用戶來(lái)創(chuàng)建一些具有特定權(quán)限的用戶對(duì)數(shù)據(jù)庫(kù)進(jìn)行操作。

1、數(shù)據(jù)的備份與恢復(fù)：是為了保證數(shù)據(jù)的完整性和一致性，防止因各種物理的或事務(wù)故障而導(dǎo)致的數(shù)據(jù)破壞和災(zāi)難而采取的防范措施。此類問(wèn)題暫不討論。第6頁(yè)，課件共74頁(yè)，創(chuàng)作于2023年2月資源與環(huán)境科學(xué)學(xué)院用戶與權(quán)限的管理

7.3.1創(chuàng)建用戶

創(chuàng)建用戶有企業(yè)管理器（OEM）和命令行方式兩種方式。企業(yè)管理器方式（略），下面介紹命令行方式：在SQL*Plus或iSQL*Plus中使用CREATEUSER命令創(chuàng)建用戶，創(chuàng)建命令的一般格式如下：

CREATEUSER<用戶名>PROFILE<概要文件名>IDENTIFIEDBY<口令>|EXTERNALLY|GLOBALLYAS<全局標(biāo)識(shí)>DEFAULTTABLESPACE<表空間名>TEMPORARYTABLESPACE<表空間名>QUOTA<整數(shù)>|UNLIMITEDON<表空間名>ACCOUNTUNLOCK|LOCK；

其中：

IDENTIFIED：Oracle如何驗(yàn)證用戶，BY口令表示該用戶必須指定口令進(jìn)行登錄，口令中只能包含數(shù)據(jù)庫(kù)字符集中的單字節(jié)字符。第7頁(yè)，課件共74頁(yè)，創(chuàng)作于2023年2月資源與環(huán)境科學(xué)學(xué)院用戶與權(quán)限的管理EXTERNALLY：表示創(chuàng)建一個(gè)外部用戶，該用戶必須由外部服務(wù)程序進(jìn) 行驗(yàn)證。GLOBALLYAS：全局標(biāo)識(shí)表示創(chuàng)建一個(gè)全局用戶，必須由企業(yè)目錄服務(wù) 器驗(yàn)證用戶。DEFAULTTABLESPACE：用戶所創(chuàng)建對(duì)象的默認(rèn)表空間名，如果忽略，系統(tǒng)將默認(rèn)保存在登錄用戶所在的表空間里。TEMPORARYTABLESPACE：用戶所創(chuàng)建對(duì)象的臨時(shí)表空間，如果忽略，那么系統(tǒng)將默認(rèn)保存在登錄用戶所在的表空間里。QUOTA：允許用戶在指定的表空間中分配空間定額并建立一個(gè)限額的空間。UNLIMITED：允許用戶無(wú)限制的分配表空間中的空間定額。ACCOUNTUNLOCK

：表示用戶未鎖定，ACCOUNTLOCK表示用戶已鎖定。PROFILE：表示創(chuàng)建的用戶所授予的概要文件。概要文件包含了分配給用戶的系統(tǒng)資源信息。默認(rèn)概要文件為DEFAULT。第8頁(yè)，課件共74頁(yè)，創(chuàng)作于2023年2月資源與環(huán)境科學(xué)學(xué)院用戶與權(quán)限的管理例如：使用SYSTEM帳戶登錄后，使用create語(yǔ)句創(chuàng)建一個(gè)用戶me，嘗試連接數(shù)據(jù)庫(kù)，失敗。因?yàn)橛脩暨€沒(méi)有登錄權(quán)限。

圖7-1CREATE語(yǔ)句創(chuàng)建用戶第9頁(yè)，課件共74頁(yè)，創(chuàng)作于2023年2月資源與環(huán)境科學(xué)學(xué)院用戶與權(quán)限的管理圖7-2用帶參數(shù)的CREATE語(yǔ)句創(chuàng)建用戶若想重建該用戶，先刪除已有的用戶第10頁(yè)，課件共74頁(yè)，創(chuàng)作于2023年2月資源與環(huán)境科學(xué)學(xué)院用戶與權(quán)限的管理

為了使用me用戶登錄，使用如下語(yǔ)句為其分配連接到數(shù)據(jù)庫(kù)的權(quán)限。圖7-3給新建用戶授予連接數(shù)據(jù)庫(kù)權(quán)限第11頁(yè)，課件共74頁(yè)，創(chuàng)作于2023年2月資源與環(huán)境科學(xué)學(xué)院用戶與權(quán)限的管理

CREATESESSION是一個(gè)系統(tǒng)特權(quán)，擁有該特權(quán)的用戶具有連接數(shù)據(jù)庫(kù)的能力；RESOURCE是一個(gè)系統(tǒng)角色，擁有該角色的用戶可以在自己的模式中創(chuàng)建模式對(duì)象。

7.3.2查看用戶

命令行方式：在Oracle數(shù)據(jù)庫(kù)中，用戶信息存儲(chǔ)在DBA_USERS數(shù)據(jù)字典中?？梢杂肈ESC命令查看數(shù)據(jù)字典DBA_USERS的結(jié)構(gòu)。圖7-4查看數(shù)據(jù)字典DBA_USERS的結(jié)構(gòu)第12頁(yè)，課件共74頁(yè)，創(chuàng)作于2023年2月資源與環(huán)境科學(xué)學(xué)院用戶與權(quán)限的管理注意：新建用戶必須具有selectanydictionary系統(tǒng)權(quán)限才能查看數(shù)據(jù)字典信息。圖7-5授權(quán)用戶me查看數(shù)據(jù)字典第13頁(yè)，課件共74頁(yè)，創(chuàng)作于2023年2月資源與環(huán)境科學(xué)學(xué)院用戶與權(quán)限的管理

圖7-6用戶被授相應(yīng)權(quán)限后可以查看數(shù)據(jù)字典第14頁(yè)，課件共74頁(yè)，創(chuàng)作于2023年2月資源與環(huán)境科學(xué)學(xué)院用戶與權(quán)限的管理利用DBA_USERS數(shù)據(jù)字典，查看用戶的PASSWORD,EXPIRY_DATE,PROFILE，TEMPORARY_TABLESPACE等信息。圖7-7用戶查看數(shù)據(jù)字典的指定字段第15頁(yè)，課件共74頁(yè)，創(chuàng)作于2023年2月資源與環(huán)境科學(xué)學(xué)院用戶與權(quán)限的管理

7.3.3修改用戶命令行方式：在SQL*Plus或iSQL*Plus中使用ALTERUSER命令修改用戶，命令格式與創(chuàng)建用戶相同。例：圖7-8用戶me還沒(méi)有alter權(quán)限，所以以system登錄修改或system用戶給me用戶賦Alteruser系統(tǒng)權(quán)限即可。第16頁(yè)，課件共74頁(yè)，創(chuàng)作于2023年2月資源與環(huán)境科學(xué)學(xué)院用戶與權(quán)限的管理

7.3.4刪除用戶命令行方式：在SQL*Plus或iSQL*Plus中使用DROPUSER<用戶名>。7.4管理權(quán)限權(quán)限是操作數(shù)據(jù)庫(kù)的權(quán)利，權(quán)限越大，操作數(shù)據(jù)庫(kù)的權(quán)利越大。Oracle有系統(tǒng)權(quán)限和對(duì)象權(quán)限兩種類型。當(dāng)用戶創(chuàng)建之后，應(yīng)當(dāng)對(duì)其授予適當(dāng)權(quán)限，以便于新用戶合理使用數(shù)據(jù)庫(kù)。

7.4.1系統(tǒng)權(quán)限根據(jù)系統(tǒng)權(quán)限的名稱中是否包含ANY關(guān)鍵字，可以將系統(tǒng)權(quán)限分為兩大類，帶有ANY的系統(tǒng)權(quán)限允許用戶在數(shù)據(jù)庫(kù)的任何方案上執(zhí)行特定操作；而不帶ANY關(guān)鍵字的系統(tǒng)權(quán)限只可以在用戶自己的模式中進(jìn)行相應(yīng)的操作。系統(tǒng)權(quán)限列舉在SYSTEM_PRIVILEGE_MAP視圖內(nèi)。第17頁(yè)，課件共74頁(yè)，創(chuàng)作于2023年2月資源與環(huán)境科學(xué)學(xué)院用戶與權(quán)限的管理例如：圖7-9用戶me下查詢系統(tǒng)權(quán)限視圖（該用戶已具有selectanydictionary系統(tǒng)權(quán)限）第18頁(yè)，課件共74頁(yè)，創(chuàng)作于2023年2月資源與環(huán)境科學(xué)學(xué)院用戶與權(quán)限的管理

1、授予系統(tǒng)權(quán)限：

GRANT系統(tǒng)權(quán)限1[,系統(tǒng)權(quán)限2，…]TO用戶|角色|PUBLIC,用戶|角色|PUBLIC，…WITHADMINOPTION其中：PUBLIC：將系統(tǒng)權(quán)限授予所有用戶；WITHADMINOPTION：允許得到權(quán)限的用戶再將這些權(quán)限授予其他用戶。

2、收回系統(tǒng)權(quán)限：

REVOKE系統(tǒng)權(quán)限1[,系統(tǒng)權(quán)限2，…]FROM用戶|角色|PUBLIC,用戶|角色|PUBLIC，…注意：

REVOKE命令只能收回通過(guò)GRANT命令直接授予的權(quán)限。如果想收回WITHADMINOPTION子句，就必須先將權(quán)限收回，然后再用不帶WITHADMINOPTION的GRANT語(yǔ)句重新授予。第19頁(yè)，課件共74頁(yè)，創(chuàng)作于2023年2月資源與環(huán)境科學(xué)學(xué)院用戶與權(quán)限的管理例如：圖7-10為用戶me授權(quán)和撤權(quán)第20頁(yè)，課件共74頁(yè)，創(chuàng)作于2023年2月資源與環(huán)境科學(xué)學(xué)院用戶與權(quán)限的管理

7.4.2對(duì)象權(quán)限對(duì)象權(quán)限是允許用戶訪問(wèn)一個(gè)特定對(duì)象，并對(duì)特定對(duì)象執(zhí)行特定操作時(shí)所需要的權(quán)利。Oracle10g的對(duì)象權(quán)限包括表權(quán)限、視圖權(quán)限、序列權(quán)限、存儲(chǔ)過(guò)程、函數(shù)、包和JAVA對(duì)象權(quán)限。具體的對(duì)象權(quán)限可從OEM企業(yè)管理器查看。對(duì)于某些模式對(duì)象，如簇、索引、觸發(fā)器等沒(méi)有相應(yīng)的對(duì)象權(quán)限，這些權(quán)限由系統(tǒng)權(quán)限進(jìn)行管理。對(duì)于包含在用戶模式中的所有對(duì)象，該用戶對(duì)這些對(duì)象具有全部實(shí)體權(quán)限，即模式的擁有者對(duì)模式中所有對(duì)象具有全部對(duì)象權(quán)限。另外，對(duì)象的擁有者可將這些對(duì)象上的任何對(duì)象權(quán)限授予其他用戶。非對(duì)象擁有者不可以將對(duì)象權(quán)限授予其他用戶。

1、命令行方式授予對(duì)象權(quán)限的方法是在SQL*Plus或iSQL*Plus中使用GRANT命令，具體格式如下：第21頁(yè)，課件共74頁(yè)，創(chuàng)作于2023年2月資源與環(huán)境科學(xué)學(xué)院用戶與權(quán)限的管理

GRANT對(duì)象權(quán)限1[,對(duì)象權(quán)限2，…]ON模式.對(duì)象名

TO用戶|角色|PUBLIC，用戶|角色|PUBLIC，…WITHGRANTOPTION其中：

PUBLIC：表示將對(duì)象權(quán)限授予所有用戶。

WITHGRANTOPTION：表示允許獲得某對(duì)象權(quán)限的用戶把此權(quán)限授予 其他用戶。

2、命令行方式收回對(duì)象權(quán)限的方法是在SQL*Plus或iSQL*Plus中使用REVOKE命令，具體格式如下：

REVOKE對(duì)象權(quán)限1[,對(duì)象權(quán)限2，…]ON模式.對(duì)象名

FROM用戶|角色|PUBLIC，用戶|角色|PUBLIC，…第22頁(yè)，課件共74頁(yè)，創(chuàng)作于2023年2月資源與環(huán)境科學(xué)學(xué)院用戶與權(quán)限的管理在撤銷對(duì)象權(quán)限時(shí)，經(jīng)過(guò)傳遞獲得的對(duì)象權(quán)限的用戶會(huì)受到影響，如果將A用戶的權(quán)限撤銷，通過(guò)A用戶授予B用戶的對(duì)象權(quán)限也同時(shí)被撤銷。這種撤銷也就是級(jí)聯(lián)撤銷。為了保證用戶數(shù)據(jù)的安全，用戶必須了解基本表的的權(quán)限狀況。這可以通過(guò)查詢數(shù)據(jù)字典視圖USR_TAB_PRIVS，以確認(rèn)將哪些基本表的權(quán)限授予了哪些用戶。數(shù)據(jù)字典視圖USR_TAB_PRIVS的結(jié)構(gòu)如圖：圖7-11數(shù)據(jù)字典USR_TAB_PRIVS的結(jié)構(gòu)第23頁(yè)，課件共74頁(yè)，創(chuàng)作于2023年2月資源與環(huán)境科學(xué)學(xué)院用戶與權(quán)限的管理

其中，GRANTEE表示接受對(duì)象權(quán)限的用戶，OWNER為表的擁有者，GRANTOR為授權(quán)用戶，PRIVILEGE表示對(duì)象權(quán)限，GRANTABLE表示該用戶是否擁有向其他用戶授予對(duì)象權(quán)限的權(quán)限，即向其授權(quán)時(shí)是否使用了WITHGRANTOPTION選項(xiàng)。在需要為用戶授予對(duì)象上的所有權(quán)限時(shí)，Oracle提供了一種快捷的方式，即使用ALL或ALLPRIVILEGES方式，ALL并不是數(shù)據(jù)庫(kù)中的權(quán)限，它只是授予對(duì)象權(quán)限組合的快捷方式。使用ALL授予權(quán)限后，相應(yīng)地，使用ALL也可以撤銷所有的對(duì)象權(quán)限。

第24頁(yè)，課件共74頁(yè)，創(chuàng)作于2023年2月資源與環(huán)境科學(xué)學(xué)院用戶與權(quán)限的管理7.5管理角色

Oracle為了簡(jiǎn)化權(quán)限管理，提供了角色的概念。

角色是具有名稱的一組相關(guān)權(quán)限的組合，即將不同的權(quán)限集合在一起就形成了角色?？梢允褂媒巧珵橛脩羰跈?quán)，同樣也可以撤銷角色。由于角色集合了多種權(quán)限，所以當(dāng)為用戶授予角色時(shí)，相當(dāng)于為用戶授予了多種權(quán)限。這樣就避免了向用戶逐一授權(quán)，從而簡(jiǎn)化了用戶權(quán)限的管理。在為用戶授予角色時(shí)，既可以向用戶授予系統(tǒng)預(yù)定義的角色，也可以自己創(chuàng)建角色，然后在授予用戶。

7.5.1系統(tǒng)預(yù)定義角色系統(tǒng)預(yù)定義角色就是在安裝數(shù)據(jù)庫(kù)后，由系統(tǒng)自動(dòng)創(chuàng)建的一些角色，這些角色已經(jīng)由系統(tǒng)授予了相應(yīng)的權(quán)限。常見(jiàn)的系統(tǒng)預(yù)定義角色包括CONNECT、RESOURCE、DBA、EXP_FULL_DATABASE和IMP_FULL_DATABASE。第25頁(yè)，課件共74頁(yè)，創(chuàng)作于2023年2月資源與環(huán)境科學(xué)學(xué)院用戶與權(quán)限的管理

DBA角色擁有管理數(shù)據(jù)庫(kù)的最高權(quán)限，該角色允許被授權(quán)者執(zhí)行任何數(shù)據(jù)功能。角色

CONNECT、RESOURCE

和

DBA

主要用于數(shù)據(jù)庫(kù)管理，也是數(shù)據(jù)庫(kù)管理員所必須的角色。這三個(gè)角色之間沒(méi)有包含與被包含的關(guān)系，授予DBA角色的用戶需要授予CONNECT和RESOURCE角色，授予RESOURCE角色的用戶需要授予CONNECT角色。角色EXP_FULL_DATABASE

與IMP_FULL_DATABASE

主要用于數(shù)據(jù)庫(kù)的邏輯備份。在用戶使用EXPORT與IMPORT工具導(dǎo)入或?qū)С鰯?shù)據(jù)時(shí)，用戶需要具有這兩個(gè)角色。

數(shù)據(jù)字典

DBA_ROLES

記錄了數(shù)據(jù)庫(kù)中的全部角色信息。通常情況下，為了Oracle數(shù)據(jù)庫(kù)的安全，不應(yīng)該使用任何預(yù)定義的角色，因?yàn)轭A(yù)定義的角色一般針對(duì)一些典型的用戶而設(shè)置。因此，在實(shí)際應(yīng)用中，應(yīng)該按實(shí)際的需求為用戶授予自定義角色。第26頁(yè)，課件共74頁(yè)，創(chuàng)作于2023年2月資源與環(huán)境科學(xué)學(xué)院用戶與權(quán)限的管理

7.5.1自定義角色如果系統(tǒng)預(yù)定義的角色不符合用戶的需求，可以創(chuàng)建更多的角色，即自定義角色，創(chuàng)建角色的語(yǔ)法如下：

CREATEROLErole_name[NOTIDENTIFIED|IDENTIFIEDBYPASSWORD];

其中，NOTIDENTIFIED表示該角色不需要口令就可以修改該角色，IDENTIFIEDBY表示在修改角色時(shí)，必須提供口令。默認(rèn)情況下沒(méi)有口令。通常情況下，為了Oracle數(shù)據(jù)庫(kù)的安全，不應(yīng)該使用任何預(yù)定義的角色，因?yàn)轭A(yù)定義的角色一般針對(duì)一些典型的用戶而設(shè)置。因此，在實(shí)際應(yīng)用中，應(yīng)該按實(shí)際的需求為用戶授予自定義角色。第27頁(yè)，課件共74頁(yè)，創(chuàng)作于2023年2月資源與環(huán)境科學(xué)學(xué)院用戶與權(quán)限的管理例如：圖7-12自定義角色第28頁(yè)，課件共74頁(yè)，創(chuàng)作于2023年2月資源與環(huán)境科學(xué)學(xué)院用戶與權(quán)限的管理給用戶me授予自定義角色給所有用戶授予自定義角色撤銷所有用戶的自定義角色用戶可以通過(guò)數(shù)據(jù)字典視圖ROLE_SYS_PRIVS查詢用戶所具有的角色，以及該角色所包含的系統(tǒng)權(quán)限。如果需要為用戶增加或減少權(quán)限時(shí)，只需要為相應(yīng)的角色增加或減少權(quán)限，即可實(shí)現(xiàn)對(duì)使用該角色的用戶的權(quán)限進(jìn)行修改。例如，要為用戶減少權(quán)限createtrigger權(quán)限，只需要使用減少角色general_user的權(quán)限即可：

revokecreatetriggerfromgeneral_user;圖7-13第29頁(yè)，課件共74頁(yè)，創(chuàng)作于2023年2月資源與環(huán)境科學(xué)學(xué)院用戶與權(quán)限的管理

7.5.2啟用和禁用角色通過(guò)啟用和禁用角色，可以實(shí)現(xiàn)對(duì)ORACLE角色所包含的權(quán)限的動(dòng)態(tài)管理。使用SQL語(yǔ)句的SETROLE可以顯式地啟用或禁用角色的權(quán)限。SETROLE的語(yǔ)法如下：

SETROLE[role[identifiedbypassword]|,role[identifiedbypassword]…]|ALL

[EXCEPTrole[,role]]|NONE];

其中，使用帶ALL選項(xiàng)的SETROLE語(yǔ)句時(shí)，將啟用用戶被授予的所有角色，使用ALL選項(xiàng)有一個(gè)前提條件，該用戶的所有角色不得設(shè)置密碼。EXCEPTROLE表示除指定的角色外，啟用其他全部角色。NONE表示使用戶的所有角色失效。還可以使用SETROLE語(yǔ)句修改角色密碼：

SETROLEgeneral_useridentifiedbygeneral第30頁(yè)，課件共74頁(yè)，創(chuàng)作于2023年2月資源與環(huán)境科學(xué)學(xué)院用戶與權(quán)限的管理給用戶me授予系統(tǒng)角色在用戶me下使該用戶的所有角色無(wú)效查詢數(shù)據(jù)字典視圖了解設(shè)置狀況圖7-14第31頁(yè)，課件共74頁(yè)，創(chuàng)作于2023年2月資源與環(huán)境科學(xué)學(xué)院用戶與權(quán)限的管理啟用所有角色啟用指定角色查看數(shù)據(jù)字典圖7-15第32頁(yè)，課件共74頁(yè)，創(chuàng)作于2023年2月資源與環(huán)境科學(xué)學(xué)院用戶與權(quán)限的管理

7.5.3修改用戶時(shí)設(shè)置角色當(dāng)為用戶授予某角色后，該角色就成為用戶的默認(rèn)角色，默認(rèn)角色是用戶登錄數(shù)據(jù)庫(kù)時(shí)由Oracle自動(dòng)啟用的角色，當(dāng)向用戶授予多個(gè)角色時(shí)，默認(rèn)角色為授予的多個(gè)角色組成的列表。也可以使用ALTERUSER來(lái)設(shè)置用戶的默認(rèn)角色，語(yǔ)法如下：

ALTERUSERuser_name[defaultrole[role_name[,role_name,…]]|all[exceptrole_name[,role_name,…]]|none];其中，DEFAULTROLE表示默認(rèn)的角色；使用關(guān)鍵字ALL可以設(shè)置該用戶的所有角色；EXCEPT則可以設(shè)置某角色外其他所有角色；NONE則設(shè)置所有角色為禁用狀態(tài)。例如：下面的語(yǔ)句設(shè)置用戶me的默認(rèn)角色為CONNECT，而不是多個(gè)角色組成的角色列表：

alterrolemedefaultroleconnect；第33頁(yè)，課件共74頁(yè)，創(chuàng)作于2023年2月資源與環(huán)境科學(xué)學(xué)院用戶與權(quán)限的管理如果想禁用某個(gè)角色，也可以使用

ALTERUSERuserDEFAULTROLENONE語(yǔ)句。在禁用用戶的角色后，該用戶角色的所有權(quán)限將全部消失，即使再次向用戶授予角色，角色也依然被禁用。被禁用的角色可以重新被啟用，啟用角色后，用戶的相應(yīng)權(quán)限又可以正常使用了。如：

alterusermedefaultroleallexceptgeneral_user;

7.5.4刪除角色Droprolegeneral_user;第34頁(yè)，課件共74頁(yè)，創(chuàng)作于2023年2月資源與環(huán)境科學(xué)學(xué)院用戶與權(quán)限的管理7.6管理概要文件

概要文件用來(lái)限制用戶對(duì)資源的訪問(wèn)，并進(jìn)行口令的管理。例如，當(dāng)考試的時(shí)候，管理員可以通過(guò)設(shè)置概要文件的參數(shù)來(lái)定義用戶的考試時(shí)間，當(dāng)考試時(shí)間到達(dá)時(shí)，用戶自動(dòng)失去登錄數(shù)據(jù)庫(kù)的權(quán)限，從而來(lái)控制用戶對(duì)數(shù)據(jù)庫(kù)資源的訪問(wèn)；又如，如果當(dāng)一些數(shù)據(jù)庫(kù)用戶連續(xù)3次登錄并輸入密碼錯(cuò)誤，系統(tǒng)將自動(dòng)鎖定該用戶。通過(guò)這些設(shè)置，數(shù)據(jù)庫(kù)管理員可以為不同的用戶建立不同的概要文件，當(dāng)概要文件授予某個(gè)用戶時(shí)，該用戶具有某種限定，系統(tǒng)將按此概要文件來(lái)分配系統(tǒng)資源。

Oracle建立數(shù)據(jù)庫(kù)時(shí)，系統(tǒng)自動(dòng)建立了一個(gè)名為DEFAULT的概要文件。創(chuàng)建用戶時(shí)，如果沒(méi)有設(shè)置該用戶的概要文件，那么系統(tǒng)將默認(rèn)把DEFAULT概要文件自動(dòng)授予該用戶。

7.6.1創(chuàng)建概要文件第35頁(yè)，課件共74頁(yè)，創(chuàng)作于2023年2月資源與環(huán)境科學(xué)學(xué)院用戶與權(quán)限的管理在Oracle數(shù)據(jù)庫(kù)中創(chuàng)建概要文件的方法有企業(yè)管理器方式和命令行方式兩種。命令行方式相對(duì)復(fù)雜，這里以企業(yè)管理器方式介紹概要文件的創(chuàng)建：在企業(yè)管理器中選擇“管理”\“用戶和權(quán)限”\“概要文件”，出現(xiàn)概要文件管理界面：圖7-16第36頁(yè)，課件共74頁(yè)，創(chuàng)作于2023年2月資源與環(huán)境科學(xué)學(xué)院用戶與權(quán)限的管理圖7-17概要文件管理界面第37頁(yè)，課件共74頁(yè)，創(chuàng)作于2023年2月資源與環(huán)境科學(xué)學(xué)院用戶與權(quán)限的管理單擊“創(chuàng)建”按鈕，出現(xiàn)創(chuàng)建概要文件的“一般信息頁(yè)”界面：圖7-18概要文件的“一般信息頁(yè)”界面第38頁(yè)，課件共74頁(yè)，創(chuàng)作于2023年2月資源與環(huán)境科學(xué)學(xué)院用戶與權(quán)限的管理在圖7-8中各項(xiàng)名稱的具體含義如下：名稱：指創(chuàng)建概要文件的名字，在同一數(shù)據(jù)庫(kù)中所創(chuàng)建的概要文件名是惟一的。

CPU/會(huì)話：指允許一個(gè)會(huì)話占用CPU的時(shí)間總量，該限值以秒來(lái)表示。

CPU/調(diào)用：指允許一個(gè)調(diào)用占用CPU的時(shí)間最大值，該限值以秒來(lái)表示。連接時(shí)間：指允許一個(gè)會(huì)話持續(xù)時(shí)間的最大值，該限值以分鐘來(lái)表示?？臻e時(shí)間：指允許一個(gè)會(huì)話處于空閑狀態(tài)的時(shí)間最大值。空閑時(shí)間是會(huì)話中持續(xù)不活動(dòng)的一段時(shí)間。長(zhǎng)時(shí)間運(yùn)行的查詢和其他操作不受此限值的約束，該限值以分鐘來(lái)表示。并行會(huì)話數(shù)：指允許一個(gè)用戶進(jìn)行并行會(huì)話的最大數(shù)量。讀取數(shù)/會(huì)話：指會(huì)話中允許讀取數(shù)據(jù)塊的總數(shù)，該值包括從內(nèi)存和磁盤讀取的塊。讀取數(shù)/調(diào)用：指允許一個(gè)調(diào)用在處理一個(gè)SQL語(yǔ)句時(shí)讀取的數(shù)據(jù)塊的最大數(shù)量。專用SGA：指在系統(tǒng)全局區(qū)（SGA）的共享池中，一個(gè)會(huì)話可以分配的專用空間量的最大值。組合限制：指一個(gè)會(huì)話消耗資源的總量。包括：會(huì)話占用CPU的時(shí)間、連接時(shí)間、會(huì)話中的讀取和分配的專用SGA空間量等相加的權(quán)和。第39頁(yè)，課件共74頁(yè)，創(chuàng)作于2023年2月資源與環(huán)境科學(xué)學(xué)院用戶與權(quán)限的管理單擊“口令”按鈕，出現(xiàn)創(chuàng)建概要文件的“口令頁(yè)”界面：圖7-19概要文件的“口令頁(yè)”界面第40頁(yè)，課件共74頁(yè)，創(chuàng)作于2023年2月資源與環(huán)境科學(xué)學(xué)院用戶與權(quán)限的管理概要文件的“口令”頁(yè)用于定義概要文件的口令屬性，各項(xiàng)名稱的具體含義如下：有效期：指限定多少天后口令失效，達(dá)到有效天數(shù)后，則利用該口令的連接將收到一個(gè)警告，要求更改成新口令。最大鎖定天數(shù)：限制一個(gè)口令在到達(dá)有效期之后的一個(gè)天數(shù)，即寬限天數(shù)。此后，用戶將接收到一條口令過(guò)期的警告。當(dāng)達(dá)到這個(gè)規(guī)定的天數(shù)后，口令過(guò)期。保留的口令數(shù)：設(shè)置一個(gè)口令必須被更改多少次之后才能夠被重用。如果該參數(shù)被設(shè)置成unlimited之外的值，則保留天數(shù)必須設(shè)置成unlimited。保留天數(shù)：設(shè)置一個(gè)口令可以被重用之前的最小天數(shù)。如果該參數(shù)被設(shè)置成unlimited之外的值，則保留的口令數(shù)必須設(shè)置成unlimited。復(fù)雜性函數(shù)：設(shè)置口令校驗(yàn)函數(shù)。會(huì)對(duì)口令進(jìn)行校驗(yàn)，以判斷口令是否符合最低的復(fù)雜程度或者其他校驗(yàn)規(guī)則。如果該參數(shù)設(shè)置為NULL，就可以關(guān)閉口令校驗(yàn)功能。鎖定前允許的最大失敗登錄次數(shù)：限制一個(gè)用戶帳戶可以被不成功地訪問(wèn)的次數(shù)。超過(guò)這個(gè)次數(shù)，該帳戶將被鎖定。鎖定天數(shù)：設(shè)置一定的天數(shù)，此后一個(gè)被鎖定的口令將自動(dòng)被解除鎖定，只有設(shè)置了最大失敗登錄次數(shù)后該參數(shù)才有用。指unlimited表示該帳戶永遠(yuǎn)都不會(huì)自動(dòng)解除鎖定。第41頁(yè)，課件共74頁(yè)，創(chuàng)作于2023年2月資源與環(huán)境科學(xué)學(xué)院用戶與權(quán)限的管理使用ALTERUSERusernamePROFILEprofilename可將概要文件授予用戶。

7.6.2概要文件的激活當(dāng)概要文件被創(chuàng)建并授予用戶后，該概要文件不會(huì)全部生效，因?yàn)樵趧?chuàng)建概要文件并授予用戶的過(guò)程中，當(dāng)初始化參數(shù)中的RESOURCE_LIMIT選項(xiàng)的值為FALSE時(shí)，概要文件的一般信息頁(yè)中的設(shè)置沒(méi)有被應(yīng)用。只是概要文件中的口令頁(yè)的設(shè)置被應(yīng)用，只有在初始化參數(shù)文件中將RESOURCE_LIMIT選項(xiàng)設(shè)置為TRUE，概要文件才能被完全激活并生效。激活的方式有企業(yè)管理器方式和命令行方式：1、企業(yè)管理器方式：第42頁(yè)，課件共74頁(yè)，創(chuàng)作于2023年2月資源與環(huán)境科學(xué)學(xué)院用戶與權(quán)限的管理圖7-20進(jìn)入管理/數(shù)據(jù)庫(kù)配置界面第43頁(yè)，課件共74頁(yè)，創(chuàng)作于2023年2月資源與環(huán)境科學(xué)學(xué)院用戶與權(quán)限的管理圖7-19所有初始化參數(shù)界面第44頁(yè)，課件共74頁(yè)，創(chuàng)作于2023年2月資源與環(huán)境科學(xué)學(xué)院用戶與權(quán)限的管理2、命令行方式：在SQL*Plus或iSQL*Plus中使用:ALTERSYSTEMSET[更改的參數(shù)1=值1]|[更改的參數(shù)2=值2]如：

ALTERSYSTEMSETRESOURCE_LIMIT=TRUE

7.6.3查看概要文件命令行方式：概要文件的信息存儲(chǔ)在數(shù)據(jù)字典DBA_PROFILE中，使用DESC命令可以得到概要文件的結(jié)構(gòu)信息：

DESCDBA_PROFILES;第45頁(yè)，課件共74頁(yè)，創(chuàng)作于2023年2月資源與環(huán)境科學(xué)學(xué)院用戶與權(quán)限的管理

7.6.4修改概要文件例：

ALTERPROFILEprofilenameLIMITSESSIONS_PER_USER10;

命令執(zhí)行后，概要文件的并行會(huì)話修改為10。

7.6.5刪除概要文件例：

DROPPROFILEprofilename[CASCADE];

其中：

DROPPROFILE命令可以刪除概要文件，如果概要文件已經(jīng)分配給用戶，在這個(gè)命令中必須指定CASCADE。這樣，概要文件刪除后，用戶的概要文件將自動(dòng)指定為DEFAULT概要文件。第46頁(yè)，課件共74頁(yè)，創(chuàng)作于2023年2月資源與環(huán)境科學(xué)學(xué)院用戶與權(quán)限的管理練習(xí)創(chuàng)建一個(gè)用戶TEMPUSER，并為其分配相應(yīng)的系統(tǒng)權(quán)限或角色，以便可以在數(shù)據(jù)庫(kù)中執(zhí)行相應(yīng)的操作。以SYSTEM身份登錄數(shù)據(jù)庫(kù)。創(chuàng)建用戶TEMPUSER，其口令為tempuser，默認(rèn)表空間為USERS，臨時(shí)表空間為TEMP，對(duì)表空間沒(méi)有配額限制。第47頁(yè)，課件共74頁(yè)，創(chuàng)作于2023年2月資源與環(huán)境科學(xué)學(xué)院用戶與權(quán)限的管理創(chuàng)建一個(gè)用戶配置文件TEMPPROFILE，包含的資源及其口令限制如下：

該用戶最多可以建立3個(gè)并發(fā)的會(huì)話連接。用戶執(zhí)行語(yǔ)句（會(huì)話

）使用的CPU最長(zhǎng)時(shí)間為20秒?？臻e時(shí)間超過(guò)15分鐘后，斷開(kāi)與用戶的連接。限制用戶每次調(diào)用SQL語(yǔ)句時(shí)，能夠讀取的數(shù)據(jù)庫(kù)塊數(shù)200。限制用戶在登錄到Oracle數(shù)據(jù)庫(kù)時(shí)允許失敗的次數(shù)2。第48頁(yè)，課件共74頁(yè)，創(chuàng)作于2023年2月資源與環(huán)境科學(xué)學(xué)院用戶與權(quán)限的管理為用戶TEMPUSER指定配置文件。向用戶TEMPUSER授予連接數(shù)據(jù)庫(kù)系統(tǒng)的權(quán)限。第49頁(yè)，課件共74頁(yè)，創(chuàng)作于2023年2月資源與環(huán)境科學(xué)學(xué)院用戶與權(quán)限的管理向用戶TEMPUSER授予對(duì)對(duì)象“scott.emp”的select權(quán)限，并以用戶TEMPUSER連接到數(shù)據(jù)庫(kù)，以查詢scott用戶的“emp”表。第50頁(yè)，課件共74頁(yè)，創(chuàng)作于2023年2月資源與環(huán)境科學(xué)學(xué)院用戶與權(quán)限的管理撤銷向用戶TEMPUSER授予的系統(tǒng)權(quán)限，向用戶授予connect角色。第51頁(yè)，課件共74頁(yè)，創(chuàng)作于2023年2月資源與環(huán)境科學(xué)學(xué)院用戶與權(quán)限的管理刪除概要文件tempprofile，使用戶tempuser的概要文件為

DEFAULT，并查看用戶tempuser下的概要文件。第52頁(yè)，課件共74頁(yè)，創(chuàng)作于2023年2月資源與環(huán)境科學(xué)學(xué)院用戶與權(quán)限的管理7.7DBA用戶介紹及數(shù)據(jù)庫(kù)登錄 中常見(jiàn)的問(wèn)題

7.7.1默認(rèn)的DBA用戶

Oracle數(shù)據(jù)庫(kù)在創(chuàng)建時(shí)，默認(rèn)創(chuàng)建兩個(gè)具有管理權(quán)限的DBA用戶：

SYS和SYSTEM。

1、SYS

數(shù)據(jù)庫(kù)創(chuàng)建完畢，SYS用戶就被創(chuàng)建且同時(shí)授予了DBA角色的權(quán)限，數(shù)據(jù)字典的基表和視圖創(chuàng)建在SYS用戶下，這些基表和視圖對(duì)數(shù)據(jù)庫(kù)的完整性至關(guān)重要，所以O(shè)racle只允許自身對(duì)基表和視圖的數(shù)據(jù)進(jìn)行操作。DBA在必要的情況下可以更改其存儲(chǔ)參數(shù)。

2、SYSTEMSYSTEM用戶也是在數(shù)據(jù)庫(kù)創(chuàng)建同時(shí)被創(chuàng)建且同時(shí)授予了DBA角色的權(quán)限。一般用于創(chuàng)建一些顯示管理信息的表、視圖、Oracle工具使用的表等。第53頁(yè)，課件共74頁(yè)，創(chuàng)作于2023年2月資源與環(huán)境科學(xué)學(xué)院用戶與權(quán)限的管理

7.7.2DBA角色每個(gè)數(shù)據(jù)庫(kù)一旦創(chuàng)建都將創(chuàng)建DBA角色，該角色包含了除SYSDBA和SYSOPER之外的大部分系統(tǒng)權(quán)限。

7.7.3SYSDBA管理權(quán)限

SYSDBA管理權(quán)限范圍內(nèi)的操作：?jiǎn)?dòng)和關(guān)閉操作。更改數(shù)據(jù)庫(kù)狀態(tài)為打開(kāi)/裝載/備份，更改字符集。創(chuàng)建數(shù)據(jù)庫(kù)。創(chuàng)建服務(wù)器參數(shù)文件SPFILE。日志歸檔和恢復(fù)。包含了“會(huì)話受限”權(quán)限。第54頁(yè)，課件共74頁(yè)，創(chuàng)作于2023年2月資源與環(huán)境科學(xué)學(xué)院用戶與權(quán)限的管理

7.7.4SYSOPER管理權(quán)限

SYSOPER管理權(quán)限范圍內(nèi)的操作：?jiǎn)?dòng)和關(guān)閉操作。更改數(shù)據(jù)庫(kù)狀態(tài)為打開(kāi)/裝載/備份。創(chuàng)建服務(wù)器參數(shù)文件SPFILE。日志歸檔和恢復(fù)。包含了“會(huì)話受限”權(quán)限。

注意：當(dāng)以SYSDBA或SYSOPER權(quán)限連接時(shí)，并不是和使用的用戶名對(duì)應(yīng)的方案，而是Oracle默認(rèn)的方案式。以SYSDBA權(quán)限登錄時(shí)是SYS方案（用戶），以SYSOPER登錄時(shí)其方案是PUBLIC。第55頁(yè)，課件共74頁(yè)，創(chuàng)作于2023年2月資源與環(huán)境科學(xué)學(xué)院用戶與權(quán)限的管理

7.7.5DBA用戶的權(quán)限

DBA用戶權(quán)限分為兩部分：系統(tǒng)權(quán)限和對(duì)象權(quán)限，分別對(duì)應(yīng)不同級(jí)別的操作。系統(tǒng)權(quán)限是指對(duì)Oracle數(shù)據(jù)庫(kù)服務(wù)器可以執(zhí)行的操作，而對(duì)象權(quán)限是指對(duì)Oracle數(shù)據(jù)庫(kù)的方案對(duì)象可以執(zhí)行的操作，如select、update等。對(duì)于一個(gè)數(shù)據(jù)庫(kù)用戶來(lái)講，其具備的系統(tǒng)權(quán)限和對(duì)象權(quán)限是兩個(gè)完全不同的概念，不是具備SYSDBA系統(tǒng)權(quán)限的用戶就一定能夠訪問(wèn)所有方案的數(shù)據(jù)，還要看授予其具體的對(duì)象權(quán)限。

7.7.6DBA用戶的身份驗(yàn)證機(jī)制第56頁(yè)，課件共74頁(yè)，創(chuàng)作于2023年2月資源與環(huán)境科學(xué)學(xué)院用戶與權(quán)限的管理OracleDBA用戶的身份驗(yàn)證機(jī)制如圖所示：遠(yuǎn)程客戶機(jī)管理本地客戶機(jī)管理是安全的連接嗎使用操作系統(tǒng)鑒別嗎口令文件鑒別操作系統(tǒng)鑒別是是否否注意：上述機(jī)制僅對(duì)以SYSDBA或SYSOPER管理權(quán)限登錄的DBA用戶適用，普通用戶的驗(yàn)證是通過(guò)數(shù)據(jù)庫(kù)中存儲(chǔ)的用戶名和密碼來(lái)驗(yàn)證的。第57頁(yè)，課件共74頁(yè)，創(chuàng)作于2023年2月資源與環(huán)境科學(xué)學(xué)院用戶與權(quán)限的管理遠(yuǎn)程DBA用戶的身份驗(yàn)證機(jī)制遠(yuǎn)程DBA用戶的身份驗(yàn)證機(jī)制是首先根據(jù)是否安全連接來(lái)決定的。采用普通的TCP協(xié)議構(gòu)建的Oracle網(wǎng)絡(luò)是非安全的，而使用TCPS協(xié)議構(gòu)建的網(wǎng)絡(luò)是安全的。安全的遠(yuǎn)程DBA用戶連接還要根據(jù)選擇的驗(yàn)證方式來(lái)決定是使用操作系統(tǒng)驗(yàn)證還是口令文件驗(yàn)證。非安全的遠(yuǎn)程DBA用戶的連接是由數(shù)據(jù)庫(kù)服務(wù)器上的口令文件來(lái)驗(yàn)證的。本地DBA用戶的身份驗(yàn)證機(jī)制本地DBA用戶的身份驗(yàn)證根據(jù)需要可以選擇操作系統(tǒng)驗(yàn)證或口令文件驗(yàn)證。注意：無(wú)論是操作系統(tǒng)驗(yàn)證還是口令文件驗(yàn)證，對(duì)DBA用戶采取的都是Oracle數(shù)據(jù)庫(kù)之外的驗(yàn)證方式。這是因?yàn)椋喝绻捎脭?shù)據(jù)庫(kù)本身來(lái)存儲(chǔ)口令和進(jìn)行驗(yàn)證，那么，當(dāng)數(shù)據(jù)庫(kù)關(guān)閉時(shí)，DBA用戶將無(wú)法執(zhí)行任何操作。而采用外部驗(yàn)證的方法，DBA用戶即使在數(shù)據(jù)庫(kù)關(guān)閉時(shí)也能執(zhí)行一些特殊的操作。第58頁(yè)，課件共74頁(yè)，創(chuàng)作于2023年2月資源與環(huán)境科學(xué)學(xué)院用戶與權(quán)限的管理

7.7.7ORA_DBA和ORA_OPER組

Oracle10gforWindows版本和Windows操作系統(tǒng)緊密集成，可以采用操作系統(tǒng)來(lái)驗(yàn)證

DBA用戶的身份。在采用Windows操作系統(tǒng)驗(yàn)證DBA用戶的身份時(shí)，可以在操作系統(tǒng)中創(chuàng)建兩個(gè)特殊的用戶組：ORA_DBA和ORA_OPER。其中，Oracle在安裝時(shí)默認(rèn)創(chuàng)建了ORA_DBA的用戶組，Windows操作系統(tǒng)的管理員Administrator已經(jīng)默認(rèn)被加入到ORA_DBA組中，這樣在采用操作系統(tǒng)身份驗(yàn)證方式時(shí)，Administrator用戶已經(jīng)具備了SYSDBA系統(tǒng)權(quán)限。在ORA_DBA組中的用戶被默認(rèn)授予可以以SYSDBA權(quán)限登錄數(shù)據(jù)庫(kù)。在ORA_OPER組中的用戶被默認(rèn)授予可以以SYSOPER權(quán)限登錄數(shù)據(jù) 庫(kù)。第59頁(yè)，課件共74頁(yè)，創(chuàng)作于2023年2月資源與環(huán)境科學(xué)學(xué)院用戶與權(quán)限的管理選擇【開(kāi)始】/【程序】/【管理工具】/【計(jì)算機(jī)管理】/【本地用戶和組】選項(xiàng)，可以看到如圖所示的界面，其中包含了ORA_DBA組。而ORA_OPER為后來(lái)自建的組。第60頁(yè)，課件共74頁(yè)，創(chuàng)作于2023年2月資源與環(huán)境科學(xué)學(xué)院用戶與權(quán)限的管理

7.7.8如何設(shè)置使用操作系統(tǒng)驗(yàn)證是否使用操作系統(tǒng)進(jìn)行驗(yàn)證，不是在初始化參數(shù)文件中設(shè)置的，而是由一個(gè)特殊的文件sqlnet.ora來(lái)決定的。

Sqlnet.ora文件是一個(gè)配置Oracle10gNetServices的參數(shù)文件，路徑通常為$ORACLE_HOME\Network\admin，用文本工具打開(kāi)該文件，其默認(rèn)的內(nèi)容如下：第61頁(yè)，課件共74頁(yè)，創(chuàng)作于2023年2月資源與環(huán)境科學(xué)學(xué)院用戶與權(quán)限的管理圖中，SQLNET.AUTHENTICATION_SERVICES參數(shù)就是設(shè)置是否允許操作系統(tǒng)驗(yàn)證。參數(shù)值NTS表示使用Windows操作系統(tǒng)驗(yàn)證。如果不使用操作系統(tǒng)驗(yàn)證，可以將該行進(jìn)行注釋或者取消即可。“#”表示注釋該行。

#SQLNET.AUTHENTICATION_SERVICES=（NTS）或改為SQLNET.AUTHENTICATION_SERVICES=（NONE）注意：該行的設(shè)置并不是僅僅對(duì)DBA用戶適用，對(duì)所有的分布式環(huán)境中的oracle用戶都是適用的。使用操作系統(tǒng)驗(yàn)證的具體步驟：以Windows操作系統(tǒng)的管理員帳戶Administrator登錄。在操作系統(tǒng)的計(jì)算機(jī)管理帳戶中創(chuàng)建一個(gè)帳戶，給其一定的操作系統(tǒng)權(quán)限或相當(dāng)于administrator管理員權(quán)限，并將其添加到ORA_DBA組中，如圖所示：修改sqlnet.ora文件內(nèi)容

SQLNET.AUTHENTICATION_SERVICES=（NTS）。第62頁(yè)，課件共74頁(yè)，創(chuàng)作于2023年2月資源與環(huán)境科學(xué)學(xué)院用戶與權(quán)限的管理第63頁(yè)，課件共74頁(yè)，創(chuàng)作于2023年2月資源與環(huán)境科學(xué)學(xué)院用戶與權(quán)限的管理

7.7.8如何設(shè)置使用口令文件驗(yàn)證

Oracle數(shù)據(jù)庫(kù)的初始化參數(shù)文件中有一個(gè)特殊的參數(shù)是用來(lái)決定是否使用口令文件的：REMOTE_LOGIN_PASSWORDFILE。1、以獨(dú)立登錄方式啟動(dòng)客戶端企業(yè)管理器，以SYSDBA身份登錄后的界面如圖所示：2、單擊1、選擇第64頁(yè)，課件共74頁(yè)，創(chuàng)作于2023年2月資源與環(huán)境科學(xué)學(xué)院用戶與權(quán)限的管理在【管理目標(biāo)導(dǎo)航樹(shù)】下選擇【網(wǎng)絡(luò)】/【數(shù)據(jù)庫(kù)】/【suer】/【例程】/【配置】選項(xiàng)，在出現(xiàn)的【一般信息】選項(xiàng)卡中可以看到Oracle10g數(shù)據(jù)庫(kù)使用SPFILE（服務(wù)器參數(shù)文件）啟動(dòng)，單擊【所有初始化參數(shù)】按鈕。2、出現(xiàn)如圖所示的【所有參數(shù)】選項(xiàng)卡。默認(rèn)情況下，【正在運(yùn)行】單選鈕被選擇，可以查看正在運(yùn)行的Oracle數(shù)據(jù)庫(kù)的參數(shù)。其中REMOTE_LOGIN_PASSWORDFILE參數(shù)的默認(rèn)值為EXCLUSIVE，表示允許使用口令文件進(jìn)行驗(yàn)證。第65頁(yè)，課件共74頁(yè)，創(chuàng)作于2023年2月資源與環(huán)境科學(xué)學(xué)院用戶與權(quán)限的管理第66頁(yè)，課件共74頁(yè)，創(chuàng)作于2023年2月資源與環(huán)境科學(xué)學(xué)院用戶與權(quán)限的管理3、切換到【所有參數(shù)】/【SPFILE】選項(xiàng)卡。

查看SPFILE文件中的REMOTE_LOGIN_PASSWORDFILE參數(shù)的值。這里可以進(jìn)行更改。其參數(shù)的3種取值的含義為：

NONE：不使用口令文件

EXCLUSIVE：口令文件驗(yàn)證，每個(gè)數(shù)據(jù)庫(kù)單獨(dú)使用自己的口令文件，具有SYSDBA或SYSOPER權(quán)限的用戶都采用口令文件驗(yàn)證。

SHARED：口令文件驗(yàn)證，多個(gè)數(shù)據(jù)庫(kù)可以公用一個(gè)口令文件，但口令文件中只能加入SYS用戶，只有SYS用戶可以被驗(yàn)證。問(wèn)題：REMOTE_LOGIN_PASSWORDFILE參數(shù)從字面上翻譯過(guò)來(lái)應(yīng)該是遠(yuǎn)程登錄口令文件，該參數(shù)是否對(duì)本地DBA用戶適用呢？回