Oracle用户管理
一、创造用户
创建用户(简单版)
概述:在oracle中要创建一个新的用户使用create user语句,一般是具有dab(数据库管理员)的权限才能使用。
基本语法:create user 用户名 identified by 密码;
注意:oracle规定用户密码不能以数字开头
给用户修改密码
概述:如果给自己修改密码可以直接使用sql>password 用户名
如果给别人修改密码则需要具有dba的权限,或是拥有alter user的系统权限,也可以使用password用户名
sql>password 用户名;
sql>alter user 用户名 identified by 新密码;
创建用户(细节)
例子:
sql>create user shunping identified by m123
default tablespace users
temporary tablespace temp
quota 3m on user;
identified by表明用户shunping将用数据库方式验证default tablespace users//用户的表空间在users上
temporary tablespace temp//用户shunping的临时表建在temp空间
quota 3m on users//表明用户shunping建立的数据对象(表、索引、视图、pl/sql块)最大只能是3m
刚刚创建的用户是没有任何权限的,因此,需要dba给该用户授权。
sql>grant connect to shunping
如果你希望该用户建表没有空间的限制
sql>grant resource to shunping
如果你希望该用户成为dba
sql>grant dba to shunping
为什么创建好的用户无法正常登录?
oracle中用户建立后是无法正常登录的,只有在数据库管理员(DBA)对用户分配相应的权限后,用户才可以登录。
如何给用户分配权限?
基本语法:grant create 权限 to 用户名;
案例:sql>grant create session to xiaoming;
也可以按角色对用户分配权限
基本语法:grant 角色名 to 用户名;
案例:sql>grant dba to xiaoming;
oracle管理用户的机制(原理)
oracle中权限的概念
权限分为系统权限与对象权限。
系统权限是数据库管理相关的权限:
create session(登录权限)
create table(创建表权限)
create index(创建索引权限)
create view(创建视图权限)
create sequence(创建序列权限)
create trriger(创建触发器权限)
......
对象权限是和用户操作数据对象相关的权限。
update改
insert增
delete删
select查
角色分为预定义角色和自定义角色
预定义角色:把常用的权限集中起来,形成角色。
常见的角色有:DBA、connect、resource
oracle用户管理
用户管理的综合案例
概述:创建的新用户是没有任何权限的,甚至连登录的数据库的权限都没有,需要为其指定相应的权限。给一个用户赋权限使用使令grant,回收权限使用命令revoke
赋权限基本语法:grant 权限/角色 to 用户名;
回收权限基本语法:revoke 权限/角色 from 用户名;
删除用户
概述:一般以dba的身份去删除某个用户,如果用其它用户去删除用户则需要具有drop user的权限
基本语法:drop user 用户名 [cascade];
为了讲清楚用户的管理,这里举例说明:
1、创建xiaoming,并赋予connect和resource
创建用户基本语法:create user 用户名 identified by 密码;
sql>create user xiaoming identified by m123;
给用户授权基本语法:grant 权限/角色 to 用户名;
sql>grant connect to xiaoming;
sql>grant resource to xiaoming;
2、切换用户
切换用户基本语法:connect 用户名/密码;
sql>conn xiaoming/m123;
3、xiaoming修改密码
修改密码基本语法:password 用户名;
sql>password xiaoming;
管理员修改密码基本语法:alter user 用户名 identified by 新密码;
sql>alter user xiaoming identified by xiaoming123;(sys或system用户修改其它用户的方法)
4、使用xiaoming建表
建表基本语法:create table 表名(字段属性);
sql>create table users(id number);
5、添加数据
添加数据基本语法:insert into 表名 values(值);
sql>insert into users values(1);
6、查询数据
查询表内容基本语法:select * from 表名;
sql>select * from users;
7、删除表
删除表基本语法:drop table 表名;
sql>drop table users;
8、回收权限(需sys或system用户)
回收权限基本语法:revoke 权限/角色名 from 用户名;
sql>revoke connect from xiaoming;
sql>revoke resource from xiaoming;
9、删除用户
删除用户基本语法:drop user 用户名 [cascade];
当我们删除一个用户的时候,如果这个用户自己已经创建过数据对象,那么我们在删除该用户时,需要加[cascade],表示把这个用户删除的同时,把该用户创建的数据对象一并删除。
sql>drop user xiaoming;
方案(schema)
理解:当一个用户,创建好以后,如果该用户创建了任意一个数据对象,此时,我们的dbms就会创建一个对应的方案与该用户对应。方案名与用户名完全一样。
小技巧:如果希望看到某个用户的方案究竟有什么数据对象,我们可以使用pl/sql developer
方案这个概念的实际应用:
要求:请完成一个功能,让xiaohong用户可以去查询scott的emp表
步骤:
1、先用scott登录
sql>conn scott/tiger;
2、赋权限给xiaohong
给某用户添加表[增删改查]权限基本语法:grant [select|update|delete|insert|all] on 表名 to 用户名;
sql>grant select on emp to xiaohong;
3、xiaohong查询scott的emp
用户查询授权表的基本语法:select * from [方案名].表名;
注意:方案名不带的话,默认是查询自己方案中的表。
sql>select * from scott.emp;
练习题:
用户创建练习:
1、创建用户tea,stu,并给这两个用户resource,connect角色
sql>conn system/orcl;//使用system用户创建tea和stu用户
sql>create user tea identified by tea;//创建tea用户
sql>create user stu identified by stu;//创建stu用户
sql>grant resource to tea;//对tea用户授权resource权限
sql>grant connect to tea;//对tea用户授权connect权限
sql>grant resource to stu;//对stu用户授权resource权限
sql>grant connect to stu;//对stu用户授权connect权限
2、使用scott用户把对emp表的select权限给tea
sql>conn scott/tiger;//切换scott用户操作
sql>grant select on emp to tea;//将scott的emp查询权限交给tea
使用tea查询scott的emp表
sql>conn tea/tea;
sql>select * from scott.emp;//查询scott的emp表
使用scott用户把emp表的所有权限赋给tea
sql>conn scott/tiger;
sql>grant all on emp to tea;//将scott的emp操作的全部权限交给了tea
使用tea更新/删除/插入scott的emp表
sql>conn tea/tea;
sql>update scott.emp set job='Teacher' where job='&job';
sql>delete from scott.emp where job='&job';
sql>insert into scott.emp values(8888,'FORD','Teacher',7698,'08-9月-81',1500,300,20);
使用scott收回权限
sql>conn scott/tiger;
sql>revoke all on emp from tea;
3、想办法将让tea把自己拥有的对scott.emp的权限转给stu;
sql>conn scott/tiger;
sql>grant all on emp to tea with grant option;
//with grant option表示得到权限的用户,可以把权限继续分配
//with admin option如果是系统权限,则带with admin option
sql>conn tea/tea;
sql>grant all on scott.emp to stu;
使用stu查询scott用户的emp表
sql>conn stu/stu;
sql>select * from scott.emp;
使用tea收回给stu的权限
sql>conn tea/tea;
sql>revoke all on scott.emp from stu;
系统权限with admin option
对象权限with grant option
oralce用户管理
使用profile管理用户口令
概述:profile是口令限制,资源限制的命令集合,当建立数据时,oracle会自动建立名称为default的profile,当建立用户没有指定profile选项,那oracle就会将default分配给用户。
1、帐户锁定
概述:指定该帐户(用户)登录时最多可以输入密码的次数,也可以指定用户锁定的时间(天)一般用dba的身份去执行该命令
例:指定scott这个用户最多只能尝试3次登录,锁定时间为2天,让我们看看怎么实现?
创建profile文件
创建profile文件设定尝试密码输入几次在错误后锁定几天基本语法:
create profile profile文件名 limit failed_login_attempts 尝试输入次数 password_lock_time 锁定几天;
alter user 用户名 profile profile文件名;
sql>create profile lock_account limit failed_login_attempts 3 password_lock_time 2;
sql>alter user tea profile lock_account;
2、给帐户(用户)解锁
解锁基本语法:alter user 用户名 account unlock;
sql>alter user tea account unlock;
3、终止口令
为了让用户定期修改密码可以使用终止口令的指令来完成,同样这个命令也需要dba身份来操作。
例如:给前面创建的用户tea创建一个profile文件,要求该用户每隔10天要修改自己的登录密码,宽限期为2天。
创建profile文件设置每隔几天要对用户的密码进行修改,更改密码时间在几天内基本语法:create profile profile文件名 limit password_life_time 几天后修改密码 password_grace_time 宽限期几天;
alter user 用户名 profile profile文件名;
sql>create profile myprofile limit password_life_time 10 password_grace_time 2;
sql>alter user tea profile myprofile;
4、口令历史
概述:如果希望用户在修改密码时,不能使用以前使用过的密码,可使用口令历史,这样oracle就会将口令修改的信息存放在数据字典中,这样当用户修改密码时,oralce就会对新旧密码进行比较,当发现新旧密码一样时,就提示用户重新输入密码。
例:
1、建立profile
sql>create profile password_history limit password_life_time 10 password_grace_time 2 password_reuse_time 10
password_reuse_time 2// //限制口令在多少天内不能重复使用(换言之就是多少天内不允许使用以前使用过的密码)
2、分配给某个用户
sql>alter user tea profile password_history;
5、删除profile
概述:当不需要某个profile文件时,可以删除文件
删除profile基本语法:drop profile profile文件名;
sql>drop profile profile文件名;
注意:profile文件被删除后,原profile文件指定的用户将不再受原profile文件规则限定。
oracle数据库的启动/关闭流程
oracle也可以通过命令行的方式启动,具体如何操作:
oracle启动流程--windows下
1、lsnrctl start(启动监听)
2、oradim -startup -sid 数据库实例名
oracle关闭流程--windows下
1、lsnrctl stop
2、oradim -shutdown -sid 数据库实例名 -shuttype srvc,inst
oracle启动流程--linux下
1、lsnrctl start(启动监听)
2、sqlplus sys/change_on_install as sysdba(以sysdba身份登录,在oracle10g后可以这样写)
sqlplus /nolog
conn sys/change_on_install as sysdba
3、startup
oracle关闭流程--linux下
sqlplus/nolog
conn sys/change_on_install as sysdba
shutdown
注:shutdown关闭,等待每个用户退出系统或被取消后退出关闭数据库。
shutdown transactional:事务性关闭,等待每个用户提交或回退当前的事务,然后oracle取消对话,在所有用户退出系统后执行关闭。
shutdown immediate:直接关闭,取消所有用户对话(促使回退),执行正常的关闭程序。
oracle登录认证方式
oracle登录认证方式--windows下
概述:oracle登录认证在windows下和linux下是不完全相同的,这里我们先说说windows下oracle的登录认证方式。
1、操作系统认证
如果当前用户属于本地操作系统的ora_dba组(对于windows操作系统而言),即可通过操作系统认证。
2、oracle数据库验证(密码文件验证)
对于普通用户.oracle默认使用数据库验证。
对于特权用户(比如sys用户),oracle默认使用操作系统认证,如果验证不通过,再到数据库验证(密码文件验证)。通过配置sqlnet.ora文件,可以修改oracle登录认证方式
SQLNET.AUTHENTICATION_SERVICES=(NTS)是基于操作系统验证;
SQLNET.AUTHENTICATION_SERVICES=(NONE)是基于oracle验证;
SQLNET.AUTHENTICATION_SERVICES=(NONE,NTS)是二者共存。
oracle用户验证机制
普通用户:默认是以数据库方式验证。如:SQL>conn scott/tiger
特权用户:默认是以操作系统认证(即:只要当前用户(当前登入windows系统的用户)是在ora_dba组中,则可以通过)。如:conn system/orcl as sysdba;
oracle数据库登录验证机制看到as sysdba则认为要以特权用户登录,则会先看当前用户是否在ora_dba这个组中,如果在这个组中则不看前面的用户名和密码。
如果不在ora_dba这个组中,则会看前面的用户名和密码来验证是否有权限登录。如果有权限,则登录成功。oracle则会自动切换成sys用户。这等同于conn sys/orcl;的方式登录成功。
通过修改sqlnet.ora文件,让特权用户登录时必需通过oracle认证而不使用操作系统认证
sqlnet.ora文件在D:\oracle11g\app\Administrator\product\11.2.0\dbhome_1\NETWORK
\ADMIN目录中。
oracle登录认证方式
oracle登录认证方式--linux下
这里大家了解即可:
默认情况下linux下的oracle数据库sqlnet.ora文件没有SQLNET.AUTHENTICATION_SERVICES参数,此时是基于操作系统认证和oracle密码验证共存的,加上SQLNET.AUTHENTICATION_SERVICES参数后,不管SQLNET.AUTHENTICATION_SERVICES设置为NONE或者NTS,都是基于oracle密码验证的。
简单说:
linux下oracle数据库sqlnet.ora文件中
SQLNET.AUTHENTICATION_SERVICES无参数为操作系统和oracle密码验证双重验证;
SQLNET.AUTHENTICATION_SERVICES有NONE或NTS参数即为oracle密码验证;
丢失管理员密码怎么办
恢复办法:把原有密码文件删除,生成一个新的密码文件。
恢复步骤如下:
1、 搜索名为PWD数据库实例名.ora文件;
PWDorcl.ora密码文件在D:\oracle11g\app\Administrator\product\11.2.0\dbhome_1
\database目录中。
2、删除该文件,为预防万一,建议先备份,再删除;
3、生成新的密码文件,在dos控制台下输入命令:
orapwd file=原来密码文件的全路径\密码文件名.ora password=新密码 entries=10;//entries:允许几个特权用户。(特别注意:密码文件名一定要和原来的密码文件名一样。)
特别注意:生成新的密码文件后,oracle服务要重新启动后方可使用。
课堂练习
给scott用户分配一个profile要求如下:
1、尝试登录的次数最多4次;
2、如果4次输入错误,则锁定该用户2天;
3、密码每隔5天修改一次,宽限期为2天;
答:
SQL>conn sys/orcl as sysdba;
SQL>create profile scottprofile limit failed_login_attempts 4 password_lock_time 2 password_life_time 5 password_grace_time 2;
SQL>alter user scott profile scottprofile;
4、练习 如何给用户解锁;
答:SQL>alter user scott account unlock;
5、练习 如何删除profile文件;
答:SQL>drop profile scottprofile;
假设你的sys用户密码丢失,写出找回密码的步骤和命令?
1、确认哪个数据库实例的sys用户密码丢失;(例:数据库实例为orclA)
2、进入数据库实例的目录中找到PWDorclA.ora文件;(例目录为:d\oracle\admin\product
\11.2.0\dbhome_1\database)
3、为防万一出错,将PWDorclA.ora文件备份一份后,将PWDorclA.ora文件删除;
4、在windows开始菜单--运行--输入cmd进行dos控制台;
5、在dos控制台下输入orapwd file=d\oracle\admin\product\11.2.0\dbhome_1\database
\PWDorclA.ora password=orcl entries=1
6、完成上述步骤,进入windows服务中将oracle的数据服务重新启用后,新的sys密码便可使用。