从ORA-01950报错聊起——令人困惑的Resource角色和隐含unlimited tablespace系统权限

最新推荐文章于 2021-04-14 14:13:09 发布
最新推荐文章于 2021-04-14 14:13:09 发布
阅读量358 收藏 1
点赞数
文章标签: 数据库

相信大家一定对Resource 角色不会陌生,Resource 角色是授予开发人员的,能在自己的方案中创建表、序列、视图等。很多DBA习惯在创建新用户后直接赋予Connect和Resource 角色,这样就可以在数据库里执行创建表等操作了。


最近在测试过程中发现一些奇怪的现象,有时候拥有Connect和Resource 角色的用户会提示“ORA-01950: no privileges on tablespace 'USERS'”错误,也就是说没有操作表空间的权限,这是怎么回事呢?

通过一系列的测试发现,unlimited tablespace是隐含在resource角色中的一个系统权限,当用户得到resource的角色时,unlimited tablespace系统权限也隐式授权给用户。但是需要注意的是,unlimited tablespace系统权限只能授予用户,不能被授予角色;也不会随着resource角色被授予role而级联授予给用户。

首先,我们了解一下和unlimited tablespace系统权限的一个概念QUOTA,然后通过若干测试来验证以上结论。

关于QUOTA

对于一个新建的用户,如果没有分配给unlimited tablespace系统权限的用户,必须先给他们指定限额,之后他们才能在表空间中创建对象。

限额是指定标空间中允许的空间容量,默认的情况下,用户在任何表空间中都是没有限额的,可以使用以下三个选项来为用户提供表空间限额:

A、无限制的:允许用户最大限度的使用表空间中的可用空间

B、值:用户可以使用的表空间,以千字节或者兆字节为单位。但是这并不能保证会为用户保留该空间。

C、UNLIMITED TABLESPACE系统权限:此系统权限会覆盖所有的单个表空间限额,并向用户提供所有表空间(包括SYSTEM和SYSAUX)的无限制限额(注:授予resource角色的时候也会授予此权限)

如果需要为一个用户指定一个限额,可以有两种方法:

1、在创建用户的时候指定限额:

点击(此处)折叠或打开

  1. CREATE USER hoegh IDENTIFIED BY hoegh
  2. DEFAULT TABLESPACE users
  3. TEMPORARY TABLESPACE TEMP
  4. QUOTA 3M ON users;

2、在创建用户完成之后,对用户限额进行指定:

点击(此处)折叠或打开

  1. CREATE USER hoegh IDENTIFIED BY hoegh
  2. DEFAULT TABLESPACE TEST;
  3. ALTER USER hoegh QUOTA 3M ON users;

测试1 授予connect和resource角色

创建新用户hoegh1,授予connect和resource角色,尝试建表和插入操作,通过查询user_sys_privs数据字典来验证用户的系统权限。

点击(此处)折叠或打开

  1. SYS@HOEGH> create user hoegh1 identified by hoegh1;

  3. User created.

  5. SYS@HOEGH>
  6. SYS@HOEGH> grant connect,resource to hoegh1;

  8. Grant succeeded.

  10. SYS@HOEGH> conn hoegh1/hoegh1
  11. Connected.
  12. hoegh1@HOEGH>
  13. hoegh1@HOEGH> create table test(id number);

  15. Table created.

  17. hoegh1@HOEGH> insert into test values(1);

  19. 1 row created.

  21. hoegh1@HOEGH>
  22. hoegh1@HOEGH> select privilege from user_sys_privs;

  24. PRIVILEGE
  25. ----------------------------------------
  26. UNLIMITED TABLESPACE

  28. hoegh1@HOEGH> select username,GRANTED_ROLE,ADMIN_OPTION from user_role_privs;

  30. USERNAME GRANTED_ROLE ADM
  31. ------------------------------ ------------------------------ ---
  32. HOEGH1 CONNECT NO
  33. HOEGH1 RESOURCE NO

  35. hoegh1@HOEGH>
我们看到hoegh1用户拥有了unlimited tablespace系统权限,插入记录成功。也就是说, 当用户hoegh1得到 resource的角色时,unlimited tablespace系统权限也隐式授权 给用户。


测试2 逐条授予resource角色包含的系统权限

创建新用户hoegh2,授予connect并逐条授予resource角色包含的系统权限,尝试建表和插入操作,通过查 询 user_sys_privs数据字典来验证用户的系统权限。

点击(此处)折叠或打开

  1. SYS@HOEGH> create user hoegh2 identified by hoegh2;

  3. User created.

  5. SYS@HOEGH> grant connect to hoegh2;

  7. Grant succeeded.

  9. SYS@HOEGH>
  10. SYS@HOEGH> select privilege from role_sys_privs
  11. where role='RESOURCE'; 2

  13. PRIVILEGE
  14. ----------------------------------------
  15. CREATE SEQUENCE
  16. CREATE TRIGGER
  17. CREATE CLUSTER
  18. CREATE PROCEDURE
  19. CREATE TYPE
  20. CREATE OPERATOR
  21. CREATE TABLE
  22. CREATE INDEXTYPE

  24. 8 rows selected.

  26. SYS@HOEGH>
  27. SYS@HOEGH> select 'grant '||PRIVILEGE||' to hoegh2;' from role_sys_privs
  28. where role='RESOURCE'; 2

  30. 'GRANT'||PRIVILEGE||'TOhoegh2;'
  31. -----------------------------------------------------
  32. grant CREATE SEQUENCE to hoegh2;
  33. grant CREATE TRIGGER to hoegh2;
  34. grant CREATE CLUSTER to hoegh2;
  35. grant CREATE PROCEDURE to hoegh2;
  36. grant CREATE TYPE to hoegh2;
  37. grant CREATE OPERATOR to hoegh2;
  38. grant CREATE TABLE to hoegh2;
  39. grant CREATE INDEXTYPE to hoegh2;

  41. 8 rows selected.

  43. SYS@HOEGH> grant CREATE SEQUENCE to hoegh2;
  44. grant CREATE TRIGGER to hoegh2;
  45. grant CREATE CLUSTER to hoegh2;
  46. grant CREATE PROCEDURE to hoegh2;
  47. grant CREATE TYPE to hoegh2;
  48. grant CREATE OPERATOR to hoegh2;
  49. grant CREATE TABLE to hoegh2;
  50. grant CREATE INDEXTYPE to hoegh2;

  52. Grant succeeded.

  54. SYS@HOEGH>
  55. Grant succeeded.

  57. SYS@HOEGH>
  58. Grant succeeded.

  60. SYS@HOEGH>
  61. Grant succeeded.

  63. SYS@HOEGH>
  64. Grant succeeded.

  66. SYS@HOEGH>
  67. Grant succeeded.

  69. SYS@HOEGH>
  70. Grant succeeded.

  72. SYS@HOEGH>
  73. Grant succeeded.

  75. SYS@HOEGH>
  76. SYS@HOEGH>
  77. SYS@HOEGH> conn hoegh2/hoegh2
  78. Connected.
  79. hoegh2@HOEGH> create table test(id number);

  81. Table created.

  83. hoegh2@HOEGH> insert into test values(1);
  84. insert into test values(1)
  85.             *
  86. ERROR at line 1:
  87. ORA-01950: no privileges on tablespace 'USERS'


  90. hoegh2@HOEGH>
  91. hoegh2@HOEGH>
  92. hoegh2@HOEGH> select privilege from user_sys_privs;

  94. PRIVILEGE
  95. ----------------------------------------
  96. CREATE TABLE
  97. CREATE CLUSTER
  98. CREATE TYPE
  99. CREATE TRIGGER
  100. CREATE PROCEDURE
  101. CREATE OPERATOR
  102. CREATE INDEXTYPE
  103. CREATE SEQUENCE

  105. 8 rows selected.

  107. hoegh2@HOEGH> select username,GRANTED_ROLE,ADMIN_OPTION from user_role_privs;

  109. USERNAME GRANTED_ROLE ADM
  110. ------------------------------ ------------------------------ ---
  111. HOEGH2 CONNECT NO

  113. hoegh2@HOEGH>
  114. hoegh2@HOEGH>
我们看到hoegh2用户虽然拥有了resource角色下的所有系统权限,但是却没有 unlimited tablespace系统权限 ,插入记录失败。

测试3 将connect和resource角色授予新的角色

创建角色hoegh,并将connect和resource角色授予这个角色;然后创建新用户hoegh3,将hoegh角色授予用户hoegh3,尝试建表和插入操作。

点击(此处)折叠或打开

  1. SYS@HOEGH>
  2. SYS@HOEGH> create user hoegh3 identified by hoegh3;

  4. User created.

  6. SYS@HOEGH>
  7. SYS@HOEGH> create role hoegh;

  9. Role created.

  11. SYS@HOEGH> grant connect,resource to hoegh;

  13. Grant succeeded.

  15. SYS@HOEGH> grant hoegh to hoegh3;

  17. Grant succeeded.

  19. SYS@HOEGH>
  20. SYS@HOEGH> conn hoegh3/hoegh3
  21. Connected.
  22. hoegh3@HOEGH>
  23. hoegh3@HOEGH> create table test(id number);

  25. Table created.

  27. hoegh3@HOEGH> insert into test values(1);
  28. insert into test values(1)
  29.             *
  30. ERROR at line 1:
  31. ORA-01950: no privileges on tablespace 'USERS'


  34. hoegh3@HOEGH>
  35. hoegh3@HOEGH> select privilege from user_sys_privs;

  37. no rows selected

  39. hoegh3@HOEGH>
  40. hoegh3@HOEGH> select username,GRANTED_ROLE,ADMIN_OPTION from user_role_privs;

  42. USERNAME GRANTED_ROLE ADM
  43. ------------------------------ ------------------------------ ---
  44. HOEGH3 HOEGH NO

  46. hoegh3@HOEGH>
  47. hoegh3@HOEGH>
我们看到hoegh3用户虽然拥有了hoegh角色,并且hoegh角色包含了connect角色resource角色 ,但是hoegh3用户并没有unlimited tablespace系统权限,插入记录失败。也就是说, unlimited tablespace系统权限不会 随着 resource角色被授予hoegh角色而级联 授予给用户hoegh3。

测试4 直接授予用户unlimited tablespace系统权限

创建新用户hoegh4,授予connect角色后,直接授予create table和unlimited tablespace系统权限,尝试建表和插入操作。

点击(此处)折叠或打开

  1. SYS@HOEGH> create user hoegh4 identified by hoegh4;

  3. User created.

  5. SYS@HOEGH> grant connect to hoegh4;

  7. Grant succeeded.

  9. SYS@HOEGH> grant create table to hoegh4;

  11. Grant succeeded.

  13. SYS@HOEGH> grant unlimited tablespace to hoegh4;

  15. Grant succeeded.

  17. SYS@HOEGH>
  18. SYS@HOEGH> conn hoegh4/hoegh4
  19. Connected.
  20. hoegh4@HOEGH>
  21. hoegh4@HOEGH> create table test(id number);

  23. Table created.

  25. hoegh4@HOEGH> insert into test values(1);

  27. 1 row created.

  29. hoegh4@HOEGH>
  30. hoegh4@HOEGH> select privilege from user_sys_privs;

  32. PRIVILEGE
  33. ----------------------------------------
  34. CREATE TABLE
  35. UNLIMITED TABLESPACE

  37. hoegh4@HOEGH> select username,GRANTED_ROLE,ADMIN_OPTION from user_role_privs;

  39. USERNAME GRANTED_ROLE ADM
  40. ------------------------------ ------------------------------ ---
  41. HOEGH4 CONNECT NO

  43. hoegh4@HOEGH>
  44. hoegh4@HOEGH>
我们看到hoegh4用户拥有了 unlimited tablespace系统权限 ,插入记录成功。



                                                                                            ~~~~~~~ the end~~~~~~~~~
                                                                                                                                                                                                               hoegh
                                                                                                                                                                                                           2016.10.26

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/30162081/viewspace-2127149/,如需转载,请注明出处,否则将追究法律责任。

转载于:http://blog.itpub.net/30162081/viewspace-2127149/

congjiumi6955
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
11G的rsource角色与Unlimited Tablespace
11-03 116
[20141103]11G的rsource角色与Unlimited Tablespace.txt --11G下resource角色,用户自动获得Unlimited Tablespace权限,应该引起注意.自己做一个测试: ...
resource角色隐式授权unlimited tablespace权限测试
DBA小站
06-13 787
由于有需要授权用户resource权限,而这会给用户隐式授予unlimited tablespace 权限,无法控制其表空间使用, 所以测试下先授予resource权限,再回收 unlimited tablespace权限的方式  --创建测试表空间TEST和测试用户test SQL> create tablespace TEST datafile '/data/oradata/TE
异常ORA-01950: 对表空间 ‘XXXXXX‘ 无权限
u011047145的博客
08-31 524
解决方法:grant unlimited tablespace to 用户; 1. 系统权限unlimited tablespace隐含在dba, resource角色中的一个系统权限. 当用户得到dba或resource角色时, unlimited tablespace系统权限也隐式受权给用户. 2. 系统权限unlimited tablespace不能被授予role, 可以被授予用户. 3. 系统权限unlimited tablespace不会随着resource, dba被授予role而授予给用户
Oracle Database 12c Security - 3. Connection Pools and Enterprise Users
In-Memory Computing Technology
09-01 286
现代应用中,最常见的客户端为HTTP client,通常是无状态的,不包含用户身份。 EXTERNAL IDENTIFICATION AND AUTHENTICATION CHALLENGES Web应用中,用户不会直连数据库,而是通过应用服务器连接。这带来的安全,审计和性能的不同。 Connection Challenges 用户->应用->数据库的架构,出于安全考虑,应用不能保存用户的口令。 性能和异常处理使得连接是复用的,而不是专属的。 Performance 和打电话类似,建立数据库连接
oracle 延迟段分配,oracle 11g使用deferred_segment_creation 延迟段创建特性时遇到的问题总结...
weixin_32048757的博客
04-14 537
总结,下面是两个问题。问题1是用户可以在所有表空间创建表;问题2是exp不能导出空表问题1:版本:oracle 11.2.0.1.0select * from v$version;创建用户aaa,给其connect和resource角色,但回收unlimited tablespace权限:SQL> create user aaa identified by aaa default table...
kettle连接oracle12C--报错ORA-28040 没有匹配的验证协议.rar
02-25
kettle连接oracle12C--报错ORA-28040 没有匹配的验证协议
ORACLE8I数据库应用EXP工具时ORA-06553报错的解决方法.pdf
10-10
ORACLE8I数据库应用EXP工具时ORA-06553报错的解决方法 摘要:本文主要解决ORACLE 8I数据库应用EXP工具时ORA-06553报错的问题,分析出现问题的原因,并提供了正确的解决方法和措施。 知识点1:Oracle 8I数据库EXP...
oracle重启报错ORA-00702解决办法
12-24
oracle启动失败,ORA-00702报错,windows,linux系统下解决办法
oracle ORA-01033报错分析和解决方案跟踪文档
05-07
oracle ORA-01033报错分析和解决方案跟踪文档
解决django migrate报错ORA-02000: missing ALWAYS keyword
09-16
主要介绍了解决django migrate报错ORA-02000: missing ALWAYS keyword,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
oracle 10g 管理权限角色,以及有关方面的数据字典的使用方法总结
zjrodger的专栏
11-14 1599
(提示:若要转载,请标明出处,谢谢) 管理权限角色笔记目录:  一权限系统权限和对象权限        系统权限        对象权限   二.角色 1角色的目的:简化权限的管理,是权限管理的方式 2角色分类:系统预定义角色 和 自定义角色 (一)系统预定义角色 (二)自定义角色 3.删除角色   三.在数据字典中查询某个角色或用户所对应的权限 1以用户为
oracle实验记录 (权限,role)
cuiye1492的博客
07-29 134
SQL> select * from system_privilege_map; PRIVILEGE NAME PROPERTY-------...
错误记录--Resource xxxx does not exist问题的解决
热门推荐
新新
01-18 3万+
<br />使用WTP开发WEB程序,需要把WEB-INF/lib下的某个jar库删除,在eclipse的项目浏览器里是删不掉的,因为它在BuildPath里。于是就先把eclipse关掉,然后通过资源管理器找到<br />那个project的文件夹,把文件删除。重新打开eclipse,运行该web程序(Run on server),会出现Publishing failed错误,详细信息为:Resource /xxxx does not exist,其<br />中/xxxx是那个project文件夹。怎么
oracle表空间配额和unlimited tablespace权限
blue huang的专栏
02-08 2万+
对于一个新建的用户,如果没有分配给unlimitedtablespace系统权限的用户,必须先给他们指定限额,之后他们才能在表空间中创建对象,限额可以是: A、以兆字节或者千字节为单位的特定值 B、无限制的 限额是指定标空间中允许的空间容量,默认的情况下,用户在任何表空间中都是没有限额的,可以使用一下三个选项来为用户提供表空间限额: A、无限制的:允许用户最大限度的使用表空间中的可用空间
Orcale 报错ora-01950:对表空间'XXX'无权限解决办法
怀揣梦想 努力前行
09-05 1万+
用管理员身份执行:  grant unlimited tablespace to 用户名
oracle权限传递
luwenbangisme的博客
01-17 132
系统权限传递,在系统用户授权的时候,如果user_sys_privs视图的ADM列为no的时候,那么该用户是不可以再把权限分配给别的用户,只有当yes的时候才能传递,那么要在授权的时候加上这样的一句话:with admin option。例如:grant alter any table to public with admin option。 对象权限是谁创建表谁授权;对象权限的传递是wit...
ORA-01931: cannot grant UNLIMITED TABLESPACE to a role
cr147369的博客
06-12 689
The UNLIMITED TABLESPACE privileges cannot be granted to a role 今天在做role测试的时候,遇到一个问题,当把unlimited tablespace pri...
Oracle角色权限、用户相关知识
隔壁老王的博客
10-11 350
[b]Oracle内置角色connect与resource权限[/b] 首先用一个命令赋予user用户connect角色resource角色grant connect,resource to user; 运行成功后用户包括的权限: CONNECT角色: --是授予最终用户的典型权利,最基本的 ALTER SESSION --修改会话 CREATE CLUSTER -...
Oracle权限管理(三):查找用户具有的权限
weiwenhp
06-09 1万+
我们知道Oracle的权限划分的很细,所以做很多操作如果没有相应的权限就会出错.只有创建数据库后默认生成的用户sys是权限最高的,也拥有的有的权限. 假如有用户Arwen,我们怎么查找该用户拥有的所有权限呢?我们知道最常见有系统权限和对象权限.不过实际上还有些特殊的权限严格来说不归为这两类.   系统权限(System Privileges) 所谓系统权限指允许用户执行特定的操作.该操作一
ORA-01157报错
最新发布
06-01
ORA-01157是Oracle数据库中常见的一个错误,它通常表示数据库无法打开数据文件。这个错误可能由于以下几个原因引起: 1. 数据文件不存在或已被删除。 2. 数据文件已被移动到其他位置。 3. 数据文件所在的磁盘空间...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值