數據庫系統(tǒng)管理與應用 課件 知識點6.2 用戶管理改

達夢數據庫用戶管理數據庫系統(tǒng)管理與應用

習標學目達夢數據庫初始用戶01創(chuàng)建用戶02修改用戶03刪除用戶04達夢數據庫初始用戶01數據庫管理員DBA數據庫安全員SSO數據庫審計員AUDITOR達夢數據庫初始用戶數據庫對象操作員DBO用戶名：SYSDBA默認口令：SYSDBA用戶名：SYSSSO默認口令：SYSSSO用戶名：SYSAUDITOR默認口令：SYSAUDITOR用戶名：SYSDBO默認口令：SYSDBO01數據庫管理員（DBA）每個數據庫至少需要一個DBA來管理，DBA可以是一個人，也可以是一個團隊。達夢數據庫初始用戶數據庫管理員的職責主要包括：評估數據庫服務器所需的軟、硬件運行環(huán)境；安裝和升級達夢服務器；數據庫結構設計；監(jiān)控和優(yōu)化數據庫的性能；計劃和實施備份與故障恢復。02數據庫安全員（SSO）數據庫安全員對于限制和監(jiān)控數據庫管理員的所有行為起著至關重要的作用。達夢數據庫初始用戶主要職責：制定并應用安全策略，強化系統(tǒng)安全機制。數據庫安全員SYSSSO是達夢數據庫初始化的時候就已經創(chuàng)建好的，可以使用該用戶登錄到達夢數據庫來創(chuàng)建新的數據庫安全員。數據庫安全員也可以創(chuàng)建和刪除新的安全用戶，向這些用戶授予和回收安全相關的權限。數據庫安全員不能對用戶數據進行增、刪、改、查，也不能執(zhí)行普通的DDL操作，如創(chuàng)建表、視圖等。他們只負責制定安全機制，將合適的安全標記應用到主體和客體，通過這種方式可以有效的對DBA的權限進行限制，DBA此后就不能直接訪問添加有安全標記的數據，除非安全員給DBA也設定了與之匹配的安全標記，DBA的權限受到了有效的約束。數據庫安全員用戶或者新的數據庫安全員都可以制定自己的安全策略，在安全策略中定義安全級別、范圍和組，然后基于定義的安全級別、范圍和組來創(chuàng)建安全標記，并將安全標記分別應用到主體和客體，以便啟用強制訪問控制功能。03數據庫審計員（AUDITOR）數據庫審計員對于限制和監(jiān)控數據庫管理員的所有行為起著至關重要的作用。達夢數據庫初始用戶主要職責：創(chuàng)建和刪除數據庫審計員，設置/取消對數據庫對象和操作的審計設置，查看和分析審計記錄等。為了能夠及時找到DBA或者其他用戶的非法操作，在達夢數據庫系統(tǒng)建設初期，就由數據庫審計員（SYSAUDITOR或者其他由SYSAUDITOR創(chuàng)建的審計員）來設置審計策略（包括審計對象和操作），在需要時，數據庫審計員可以查看審計記錄，及時分析并查找出幕后真兇。達夢數據庫初始化時創(chuàng)建的數據庫審計員為SYSAUDITOR，缺省口令為SYSAUDITOR。04數據庫對象操作員（DBO）達夢數據庫初始用戶數據庫對象操作員是達夢安全版本提供的一類用戶，使用安全版本時，可在創(chuàng)建達夢數據庫時通過建庫參數PRIV_FLAG設置使用“三權分立”或“四權分立”安全機制，0表示“三權分立”，1表示“四權分立”（該參數僅安全版本提供）。采用“四權分立”安全機制新增的數據庫對象操作員賬戶SYSDBO，其缺省口令為SYSDBO。數據庫對象操作員可以創(chuàng)建數據庫對象，并對自己擁有的數據庫對象（表、視圖、存儲過程、序列、包、外部鏈接等）具有所有的對象權限并可以授予與回收，但其無法管理與維護數據庫對象。

習標學目達夢數據庫初始用戶01創(chuàng)建用戶02修改用戶03刪除用戶04創(chuàng)建用戶0201SQL命令創(chuàng)建用戶--命令格式創(chuàng)建用戶語法格式如下：CREATEUSER<用戶名>IDENTIFIED<身份驗證模式>[PASSWORD_POLICY<密碼策略>][<鎖定子句>][<存儲加密秘鑰>][<空間限制子句>][<只讀標志>][<資源限制子句>][<允許IP子句>][<禁止IP子句>][<允許時間子句>][<禁止時間子句>][<TABLESPACE子句>][<INDEX_TABLESPACE子句>];創(chuàng)建用戶的操作一般只能由系統(tǒng)預設用戶SYSDBA、SYSSSO和SYSAUDITOR完成，如果普通用戶需要創(chuàng)建用戶，必須具有CREATEUSER權限。創(chuàng)建用戶包括為用戶指定用戶名、認證模式、口令、口令策略、空間限制、只讀屬性以及資源限制。01SQL命令創(chuàng)建用戶命令中各子句說明創(chuàng)建用戶<用戶名>::=長度為1~128個字符。用戶名可以用雙引號括起來，也可以不用，但如果用戶名以數字開頭，必須用雙引號括起來。<身份驗證模式>::=<數據庫身份驗證模式>|<外部身份驗證模式><數據庫身份驗證模式>::=BY<密碼>[<散列選項>]<密碼>::=用戶密碼最長為48字節(jié)<散列選項>::=HASHWITH[<密碼引擎名>.]<散列算法>[<加鹽選項>]<散列算法>::=MD5|SHA1|SHA224|SHA256|SHA384|SHA512<加鹽選項>::=[NO]SALT<外部身份驗證模式>::=EXTERNALLY|EXTERNALLYAS<用戶DN>外部身份驗證僅在達夢安全版本中才提供支持。外部身份驗證模式支持基于操作系統(tǒng)(OS)的身份驗證、LDAP身份驗證和KERBEROS身份驗證。01SQL命令創(chuàng)建用戶命令中各子句說明創(chuàng)建用戶<密碼策略>::=密碼策略項的任意組合，系統(tǒng)支持的口令策略有：0無限制，但總長度不得超過48個字節(jié)；1禁止與用戶名相同；2口令長度不小于9字節(jié)；4至少包含一個大寫字母（A-Z）；8至少包含一個數字（0-9）；16至少包含一個標點符號（英文輸入法狀態(tài)下，除‘’和空格外的所有符號）密碼策略可以單獨應用，也可組合應用。組合應用時，如需要應用策略2和4，則設置密碼策略為2+4=6即可。若在創(chuàng)建用戶時沒有使用PASSWORD_POLICY<口令策略>子句指定用戶的密碼策略，則使用系統(tǒng)的默認口令策略2。<鎖定子句>::=ACCOUNTLOCK|ACCOUNTUNLOCK<存儲加密秘鑰>::=ENCRYPTBY<口令><空間限制子句>::=DISKSPACELIMIT<空間大小>|DISKSPACEUNLIMITED<只讀標志>::=READONLY|NOTREADONLY01SQL命令創(chuàng)建用戶命令中各子句說明創(chuàng)建用戶<資源限制子句>::=LIMIT<資源設置項>{<資源設置項>……}<資源設置項>::=SESSION_PER_USER<參數設置>#最大會話數：1~32768，默認值0CONNECT_TIME<參數設置>#會話空閑期，單位分鐘，1~1440，默認值0CONNECT_IDLE_TIME<參數設置>#會話持續(xù)期，單位分鐘，1~1440，默認值0FAILED_LOGIN_ATTEMPS<參數設置>#登陸失敗次數，單位次，1~100，默認值3PASSWORD_LIFE_TIME<參數設置>#口令有效期，單位天，1~365，默認值0PASSWORD_REUSE_TIME<參數設置>#口令等待期，單位天，1~365，默認值0PASSWORD_REUSE_MAX<參數設置>#口令變更次數，單位次，1~32768，默認值0PASSWORD_LOCK_TIME<參數設置>#口令鎖定期，單位分鐘，1~1440，默認值1PASSWORD_GRACE_TIME<參數設置>#口令寬限期，單位天，1~30，默認值0CPU_PER_SESSION<參數設置>#會話使用CPU時間，單位秒，1~31536000，默認值0CPU_PER_CALL<參數設置>#請求使用CPU時間，，單位秒，1~86400，默認值0READ_PER_SESSION<參數設置>#會話讀取頁數1~2147483646，默認值0READ_PER_CALL<參數設置>#請求讀取頁數，1~2147483646，默認值0MEM_SPACE<參數設置>#會話私有內存，1~2147483646，默認值0<參數設置>::=<參數值>|UNLIMITED#參數值最小值都是1，0表示無限制。01SQL命令創(chuàng)建用戶命令中各子句說明創(chuàng)建用戶<允許IP子句>::=ALLOW_IP<IP項>{,<IP項>}<禁止IP子句>::=NOT_ALLOW_IP<IP項>{,<IP項>}<IP項>::=<具體IP>|<網段><允許時間子句>::=ALLOW_DATETIME<時間項>{,<時間項>}<禁止時間子句>::=NOT_ALLOW_DATETIME<時間項>{,<時間項>}<時間項>::=<具體時間段>|<規(guī)則時間段><具體時間段>::=<具體日期><具體時間>TO<具體日期><具體時間><規(guī)則時間段>::=<規(guī)則時間標志><具體時間>TO<規(guī)則時間標志><具體時間><規(guī)則時間標志>::=MON|TUE|WED|THURS|FRI|SAT|SUN<TABLESPACE子句>::=DEFAULTTABLESPACE<表空間名><INDEX_TABLESPACE子句>::=DEFAULTINDEXTABLESPACE<表空間名>02DM管理工具創(chuàng)建用戶創(chuàng)建用戶使用SYSDBA用戶登錄DM管理工具，展開用戶模塊，右鍵單擊【管理用戶】，選擇【新建用戶】，在打開的“新建用戶”窗口，在【常規(guī)】選項卡輸入用戶名、密碼信息，選擇驗證方式，設置密碼策略，并關聯相應表空間。02DM管理工具創(chuàng)建用戶創(chuàng)建用戶在【資源設置項】選項卡輸入相應資源設置項的參數值。如下圖所示。02DM管理工具創(chuàng)建用戶創(chuàng)建用戶在管理工具中，默認設置情況如下：用戶名、口令、表空間名可以帶雙引號，也可以不帶；表空間名不帶雙引號的時候，會被管理工具轉換為大寫；表空間名帶上雙引號的時候，會保持原來的大小寫；用戶名不管是否加雙引號，都會轉換成大寫；口令不管是否加雙引號，都會保持原來的大小寫。修改用戶0301SQL命令修改用戶修改用戶語法格式如下：ALTERUSER<用戶名>[IDENTIFIED<身份驗證模式>][PASSWORD_POLICY<口令策略>][<鎖定子句>][<存儲加密密鑰>][<空間限制子句>][<只讀標志>][<資源限制子句>][<允許IP子句>][<禁止IP子句>][<允許時間子句>][<禁止時間子句>][<TABLESPACE子句>][<SCHEMA子句>];每個子句的具體語法與創(chuàng)建用戶的語法一致。用戶信息可以修改，SYSDBA、SYSSSO、SYSAUDITOR可以無條件修改同類型的用戶的信息；普通用戶修改信息，必須具有ALTERUSER數據庫權限。使用ALTERUSER語句可修改用戶口令、用戶的口令策略、空間限制、只讀屬性以及資源限制等。修改用戶口令時，口令策略應符合創(chuàng)建該用戶時指定的口令策略02DM管理工具修改用戶修改用戶方法如下：使用SYSDBA用戶登錄DM管理工具，展開【用戶】-【管理用戶】節(jié)點，在需要修改的用戶上右鍵單擊【修改】選項，在打開的“修改用戶”窗口修改用戶信息。見圖所示。刪除用戶0401SQL命令刪除用戶刪除用戶語法格式如下：DROPUSER[IFEXISTS]<用戶名>[RESTRICT|CASCADE];說用說明：[IFEXISTS]選項，指定該關鍵字刪除不存在的用戶時不會報錯，否則會報錯。[RESTRICT|CASCADE]選項，缺省使用RESTRICT選項。如果在刪除用戶時未使用CASCADE選項，若該用戶建立了數據庫對象，達夢數據庫將返回錯誤信息，而不刪除此用戶。如果在刪除用戶時使用了CASCADE選項，除數據庫中該用戶及其創(chuàng)建的所有對象被刪除外，若其他用戶創(chuàng)建的對象引用了該用戶的對象，達夢數據庫還將自動刪除相應的引用完整性約束及依賴關系。刪除用戶的操作一般由SYSDBA、SYSSSO、SYSAUDITOR用戶完成，他們可以刪除同類型的其他用戶；普通用戶要刪除其他用戶，需要具有DROPUSER權限。02DM管理工具刪除用戶刪除用戶使用SYS