分布式数据库管理系列(一)

Distributed Database Administration
其主要包含如下几个主题:

站点独立自治性
Site Autonomy
 
分布式数据库的安全问题
Distributed Database Security
 
审核数据库链接
Auditing Database Links
 
相关的管理工具
Administration Tools

站点独立自治性
Site Autonomy
不利方面：
1，要在每个本地库创建对应的用户，增加了管理工作
2，配置额外的参数commit_point_strength,open_links

 
分布式数据库的安全问题
Distributed Database Security
1,对于用户及角色的密码认证
2，对于已连接数据库链接所对应的用户使用一些外部系统认证
3，对于客户端－服务端和服务端－服务端连接的登陆数据包的加密

其主要包括如下几方面
数据库链接的认证
Authentication Through Database Links
 
未使用密码的认证
Authentication Without Passwords
 
支持用户及角色
Supporting User Accounts and Roles
 
集中式用户及权限管理
Centralized User and Privilege Management
 
数据加密
Data Encryption

数据库链接的认证
Authentication Through Database Links
1，数据库链接可以是private or public,可以是认证或非认证的。
2，如：create public database link foo using 'sales';
       create private database link sales connect to scott identfied by password using 'saels';
       create shared public database link sales connect to nick identified by passwordd
        authenticated by david identified by password2 using 'sales';
       
数据库链接类型                  是否认证              安全访问(如何实现其功能)
private                           no                   访问远端数据库，数据库使用本地库所属用户密码信息。因此，此数据库链接是
                                                       connected user database link.用户密码信息必须在本地与远端数据库同步.

private                           yes                  用户密码安全信息从数据库链接的定义中提取而非取自本地会话。因此，此数据库
                                                       链接是一个fixed user database link.这样允许本地与远端用户密码可以不同，但
                                                       本地库数据库密码必须与远端库相匹配
                                                      
public                            no                   实现模式和非认证且private差不多，但所有用户可以访问远端库。

public                            yes                  本地库所有用户可以访问远端库且使用相同的用户密码访问远端库

未使用密码的认证
Authentication Without Passwords 
 1，当使用connect user or current user database link,可以通过端到端安全认证的kerberos实现外部系统认证。
    何谓端到端认证，授权信息至服务器至服务器端且接受属于同一个域的数据库服务器的认证。比如：jane是一个本地库用户，
    采用外部认证方式想访问远端库，当采用connected user link时，本地服务器则传递它的安全认证信息至远端库。
   
支持用户账号及角色  
Supporting User Accounts and Roles   
 1，在分布式系统中构建端至端链接必备的用户信息必须存在
 2，同上，必备的角色必须存在
 
集中式的用户及权限管理
Centralized User and Privilege Management      
  有几种方式可供选择：
  1，企业用户管理：
       创建一个全局用户，基于ssl或密码认证。然后在各个独立的企业目录服务的目录中，以此管理所有的用户
       及相关权限
  2，网络认证服务：
       这是一种常规的技术，可以简化分布式系统的管理工作。你可以使用oracle advanced security组件强化
       分布式系统的网络及安全功能。而window nt native认证则是一个非oracle方式的示例。

 

依赖于用户的全局用户
Schema-Dependent Global Users  
 为了达到集中式用户及权限管理，须创建：
   1，集中或统一目录的全局用户
   2，在每个数据库创建全局用户可以访问的用户一个
  示例：创建一个名为fred的全局用户
  create user fred identified globally as 'cn=fred adams,o=oracle,c=england';
  --会在所有的数据库中创建名为fred的用户。因为大多用户可通过授权访问其它用户的对象，
  没必要创建访问对象的用户。在每个库创建一个用户成本太高。所以数据库也支持与独立于
  用户的用户。
 
独立于用户的全局用户 
Schema-Independent Global Users  
  与上述的依赖于用户的全局用户相反，数据库还有另一种功能。允许全局用户统一由企业目录服务进行管理。
由企业目录统一管理的用户叫作企业用户。
  企业目录具体包括什么内容呢？
  1，企业用户可以访问的数据库
  2，企业用户可以使用的角色
  3，企业用户可以访问的用户
 
 每个DBA不用为每个数据库的企业用户创建一个全局用户。相反，这些企业用户可以共享使用一个相同的数据库对象，
 名为共享对象。
 注：在共享对象模式下，不能访问current user database link.
 
 示例：jane,bill,scott大家都使用人力资源应用系统，hq                                                                                                          

来自 “ ITPUB博客 ” ，链接：http://blog.itpub.net/9240380/viewspace-755175/，如需转载，请注明出处，否则将追究法律责任。

转载于:http://blog.itpub.net/9240380/viewspace-755175/