《Oracle从入门到精通》读书笔记第十二章 用户管理和权限分配

12.1 用户与模式的关系

sysdba sysoper

sysdba不仅具备所有sysoper的所有权限，而且还可以建立数据库，执行不完全恢复

12.2 创建和管理用户

12.2.1 身份验证

三种验证方法：

1、密码验证（最常用）

2、外部验证

3、全局验证

12.2.2 创建用户

语法格式：

create user user_name identified by pass_word

[or identified exeternally]

[or identified globally as 'CN=user']

[default tablespace tablespace_name]

[temporary tablespace tablespace_name]

[quota [integer k[m]][unlimited] on tablespace_specify1,

 quota [integer k[m]][unlimited] on tablespace_specify2,

 ...]

[profiles profile_name]

[account lock or account unlock]

create user mr identified by mrsoft

default tablespace users

temporary tablespace temp;

create user east identified by mrsoft

default tablespace users

temporary tablespace temp

quota 10m on ts_1;

create user df identified by mrsoft

default tablespace ts_1

temporary tablespace temp

quota unlimited on ts_1;

创建完用户后，需要注意一下几点：

1、建立用户时不指定default tablespace，会将system表空间作为用户的默认表空间

2、建立用户时不指定temporary tablespace，会将temp表空间作为用户的临时表空间

3、初始建立的用户没有任何权限，所以为了使刚建立的用户连接到数据库，必须授权其create session权限

4、建立用户时没有为表空间指定quota语句，那么用户在特定表空间的配额为0，用户不能在相应的表空间上建立对象

5、初始建立的用户没有任何权限，不能执行任何数据库操作

12.2.3 修改用户

语法格式：

alter user user_name identified by pass_word

[or identified exeternally]

[or identified globally as 'CN=user']

[default tablespace tablespace_name]

[temporary tablespace tablespace_name]

[quota [integer k[m]][unlimited] on tablespace_specify1,

 quota [integer k[m]][unlimited] on tablespace_specify2,

 ...]

[profiles profile_name]

[account lock or account unlock]

1、修改用户的磁盘配额

alter user east

quota 20m on ts_1;

2、修改用户口令

alter user east identified by 123456;

3、解锁被锁住的用户

SQL> select username,account_status from dba_users;

USERNAME ACCOUNT_STATUS

------------------------------ --------------------------------

DF OPEN

SCOTT OPEN

HR OPEN

ORACLE_OCM EXPIRED & LOCKED

XS$NULL EXPIRED & LOCKED

BI EXPIRED & LOCKED

PM EXPIRED & LOCKED

MDDATA EXPIRED & LOCKED

IX EXPIRED & LOCKED

SH EXPIRED & LOCKED

DIP EXPIRED & LOCKED

OE EXPIRED & LOCKED

APEX_PUBLIC_USER EXPIRED & LOCKED

SPATIAL_CSW_ADMIN_USR EXPIRED & LOCKED

SPATIAL_WFS_ADMIN_USR EXPIRED & LOCKED

MR OPEN

EAST OPEN

FLOWS_FILES EXPIRED & LOCKED

MDSYS EXPIRED & LOCKED

ORDSYS EXPIRED & LOCKED

USERNAME ACCOUNT_STATUS

------------------------------ --------------------------------

EXFSYS EXPIRED & LOCKED

DBSNMP EXPIRED & LOCKED

WMSYS EXPIRED & LOCKED

APPQOSSYS EXPIRED & LOCKED

APEX_030200 EXPIRED & LOCKED

OWBSYS_AUDIT EXPIRED & LOCKED

ORDDATA EXPIRED & LOCKED

CTXSYS EXPIRED & LOCKED

ANONYMOUS EXPIRED & LOCKED

SYSMAN EXPIRED & LOCKED

XDB EXPIRED & LOCKED

ORDPLUGINS EXPIRED & LOCKED

OWBSYS EXPIRED & LOCKED

SI_INFORMTN_SCHEMA EXPIRED & LOCKED

OLAPSYS EXPIRED & LOCKED

SYS OPEN

SYSTEM OPEN

OUTLN EXPIRED & LOCKED

MGMT_VIEW EXPIRED & LOCKED

39 rows selected

SQL> alter user sh account unlock;

User altered

12.2.4 删除用户

语法格式：

drop user user_name [cascade]

SQL> drop user df cascade;

User dropped

12.3 用户权限管理

12.3.1 权限简介

系统权限：

对象权限：

12.3.2 授权操作

语法格式：

grant sys_privi | role to user | role | public [with admin option]

SQL> grant connect,resource to east;

Grant succeeded

SQL> conn east/123456;

Connected to Oracle Database 11g Enterprise Edition Release 11.2.0.1.0

Connected as east

create user dongfang identified by 123456

default tablespace users

quota 10m on users;

create user xifang identified by 123456

default tablespace users

quota 10m on users;

SQL> grant create session,create table to dongfang with admin option;

Grant succeeded

SQL> conn dongfang/123456

Connected to Oracle Database 11g Enterprise Edition Release 11.2.0.1.0

Connected as dongfang

SQL> grant create session,create table to xifang;

Grant succeeded

SQL> conn xifang/123456;

Connected to Oracle Database 11g Enterprise Edition Release 11.2.0.1.0

Connected as xifang

SQL> create table tb_xifang

  2 (

  3 id number,

  4 name varchar2(20)

  5 );

Table created

12.3.3 回收系统权限

语法格式：

revoke sys_privi | role from user|role|public

SQL> revoke resource from east;

Revoke succeeded

如果数据库管理员用GRANT命令给用户A授予系统权限是带有with admin option选项，则该用户A有权将系统权限再次授予另外的用户B。在这种情况下，如果数据库管理员使用revoke命令撤销用户A的系统权限，则用户B的权限依然有效。

SQL> revoke create table from dongfang;

Revoke succeeded

SQL> conn xifang/123456;

Connected to Oracle Database 11g Enterprise Edition Release 11.2.0.1.0

Connected as xifang

SQL> create table tb_xifang_2

  2 (

  3 id number,

  4 name varchar2(20)

  5 );

Table created

12.3.4 对象授权

语法格式：

grant obj_privi | all column on schema.object to user | role | public [with admin option] | [with hierarchy option]

SQL> grant select,insert,delete,update on scott.emp to xifang;

Grant succeeded

12.3.5 回收对象权限

语法格式：

revoke obj_privi | all on schema.object from user | role | public cascade constraints

SQL> revoke delete,update on scott.emp from xifang;

Revoke succeeded

如果数据库管理员用GRANT命令给用户A授予对象权限是带有with admin option选项，则该用户A有权将系统权限再次授予另外的用户B。在这种情况下，如果数据库管理员使用revoke命令撤销用户A的对象权限，则用户B的对象权限也会被收回。

12.3.6 查询用户与权限

存放用户、系统权限、对象权限有关的数据字典

数据字典名称	说明
DBA_USERS	数据库用户基本信息
DBA_SYS_PRIVS	已授予用户或角色的系统权限
DBA_TAB_PRIVS	数据库对象上的所有权限
USER_SYS_PRIVS	登陆用户可以查看自己的系统权限
ROLE_SYS_PRIVS	登陆用户可以查看自己的角色
ALL_TABLES	用户自己可以查询的基表信息
USER_TAB_PRIVS	用户自己将哪些基表权限授予哪些用户
ALL_TAB_PRIVS	哪些用户给自己授权

12.4 角色管理

12.4.1 角色概述

角色是一个独立的数据库实体，包括一组权限

12.4.2 预定义角色

SQL> set pagesize 50;

SQL> select * from dba_roles;

ROLE PASSWORD_REQUIRED AUTHENTICATION_TYPE

------------------------------ ----------------- -------------------

CONNECT NO NONE

RESOURCE NO NONE

DBA NO NONE

SELECT_CATALOG_ROLE NO NONE

EXECUTE_CATALOG_ROLE NO NONE

DELETE_CATALOG_ROLE NO NONE

EXP_FULL_DATABASE NO NONE

IMP_FULL_DATABASE NO NONE

LOGSTDBY_ADMINISTRATOR NO NONE

DBFS_ROLE NO NONE

AQ_ADMINISTRATOR_ROLE NO NONE

AQ_USER_ROLE NO NONE

DATAPUMP_EXP_FULL_DATABASE NO NONE

DATAPUMP_IMP_FULL_DATABASE NO NONE

ADM_PARALLEL_EXECUTE_TASK NO NONE

GATHER_SYSTEM_STATISTICS NO NONE

JAVA_DEPLOY NO NONE

RECOVERY_CATALOG_OWNER NO NONE

SCHEDULER_ADMIN NO NONE

HS_ADMIN_SELECT_ROLE NO NONE

HS_ADMIN_EXECUTE_ROLE NO NONE

HS_ADMIN_ROLE NO NONE

GLOBAL_AQ_USER_ROLE GLOBAL GLOBAL

OEM_ADVISOR NO NONE

OEM_MONITOR NO NONE

WM_ADMIN_ROLE NO NONE

JAVAUSERPRIV NO NONE

JAVAIDPRIV NO NONE

JAVASYSPRIV NO NONE

JAVADEBUGPRIV NO NONE

EJBCLIENT NO NONE

JMXSERVER NO NONE

JAVA_ADMIN NO NONE

CTXAPP NO NONE

XDBADMIN NO NONE

XDB_SET_INVOKER NO NONE

AUTHENTICATEDUSER NO NONE

XDB_WEBSERVICES NO NONE

XDB_WEBSERVICES_WITH_PUBLIC NO NONE

XDB_WEBSERVICES_OVER_HTTP NO NONE

ORDADMIN NO NONE

OLAPI_TRACE_USER NO NONE

OLAP_XS_ADMIN NO NONE

OWB_USER NO NONE

OLAP_DBA NO NONE

CWM_USER NO NONE

ROLE PASSWORD_REQUIRED AUTHENTICATION_TYPE

------------------------------ ----------------- -------------------

OLAP_USER NO NONE

SPATIAL_WFS_ADMIN NO NONE

WFS_USR_ROLE YES PASSWORD

SPATIAL_CSW_ADMIN YES PASSWORD

CSW_USR_ROLE YES PASSWORD

MGMT_USER NO NONE

APEX_ADMINISTRATOR_ROLE NO NONE

OWB$CLIENT YES PASSWORD

OWB_DESIGNCENTER_VIEW NO NONE

55 rows selected

常用预定义角色

connect

resource

dba

exp_full_database

imp_full_database

12.4.3 创建角色与授权

语法格式：

create role role_name [not identified | identified by [password] | [exeternally] | [globally]]

SQL> create role designer identified by 123456;

Role created

SQL> grant create view,create table to designer;

Grant succeeded

SQL> grant designer to dongfang;

Grant succeeded

12.4.4 管理角色

1、查看角色包含的权限

SQL> select * from role_sys_privs where role='DESIGNER';

ROLE PRIVILEGE ADMIN_OPTION

------------------------------ ---------------------------------------- ------------

DESIGNER CREATE TABLE NO

DESIGNER CREATE VIEW NO

2、修改角色密码

SQL> alter role designer not identified;

Role altered

SQL> alter role designer identified by 123456;

Role altered

3、设置当前用户要生效的角色

只有角色生效了，角色内的权限才能作用于用户。

最大可生效角色数由参数MAX_ENABLED_ROLES设定

SQL> set role designer identified by 123456;

Role set

SQL> create role queryer;

Role created

SQL> set role queryer;

Role set

4、删除角色

SQL> drop role queryer;

Role dropped

12.4.5 角色与权限的查询

存放用户、角色及权限的相关数据字典

数据字典名称	说明
DBA_COL_PRIVS	数据库列上的所有权限
DBA_ROLE_PRIVS	显示已经授予用户或其他角色的角色
DBA_TAB_PRIVS	数据库对象上的所有权限
DBA_SYS_PRIVS	已授予用户或角色的系统权限

SQL> select granted_role,default_role from dba_role_privs where grantee='SCOTT';

GRANTED_ROLE DEFAULT_ROLE

------------------------------ ------------

RESOURCE YES

CONNECT YES

通过session_role数据字典查询当前会话中的所有有效角色

SQL> conn scott/tiger;

Connected to Oracle Database 11g Enterprise Edition Release 11.2.0.1.0

Connected as scott

SQL> select * from session_roles;

ROLE

------------------------------

CONNECT

RESOURCE

12.5 资源配置PROFILE

12.5.1 profile概述

profile作为用户配置文件，它是密码限制、资源限制的命名集合。

在安装数据库时，oracle会自动建立名为default的默认配置文件

使用profile文件时需要注意如下事项：

a、建立用户时，如果不指定profile选项，oracle会自动将default分配给相应的数据库用户

b、建立profile文件时，如果只设置了部分密码和资源限制选项，其他选项会自动使用默认值，即使default文件中有相应选项的值

c、使用profile管理密码时，密码管理选项总是处于被激活状态，但如果使用profile管理资源，必须激活资源限制

d、一个用户只能分配一个profile文件。如果要同时管理用户的密码和资源，那么在建立profile时应该同时指定密码和资源选项

12.5.2 使用profile管理密码

4种密码管理：账号锁定、密码的过期时间、密码历史和密码复杂度

1、账号锁定

两个参数：

failed_login_attempts：登陆尝试的次数

password_lock_time：账户被锁定的天数

create profile lock_accout limit

failed_login_attempts 5

password_lock_time 7;

SQL> alter user dongfang profile lock_accout;

User altered

2、密码的过期时间

两个参数：

password_life_time：密码的有效天数

password_grace_time：密码失效的宽限时间

create profile password_life_time limit

password_life_time 30

password_grace_time 3;

SQL> alter user dongfang profile password_life_time;

User altered

3、密码历史

两个参数：

password_reuse_time：指定密码在多少天后可以重复使用

password_reuse_max：设置密码在能够被重新使用之前，必须改变的次数

4、密码的复杂度

12.5.3 使用profile管理资源

SQL> show parameter resource_limit;

NAME TYPE VALUE

------------------------------------ ----------- ------------------------------

resource_limit boolean FALSE

SQL> alter system set resource_limit=true;

System altered

SQL> show parameter resource_limit;

NAME TYPE VALUE

------------------------------------ ----------- ------------------------------

resource_limit boolean TRUE

利用profile文件，可以对以下资源进行限制：

a、cpu时间

b、逻辑读

c、用户的并发会话数

d、会话空闲的限制

e、会话可持续的时间

f、会话所使用的SGA空间限制

资源限制的参数;

session_per_user：用户可以同时连接的会话数

cpu_per_session：会话的cpu时间限制，单位为百分之一秒

cpu_per_call：每条SQL语句能使用的CPU时间，单位为百分之一秒

logic_reads_per_session：每个会话所能读取的数据块数量

connect_time：限制每个用户能够连接到数据库的最长时间， 以分钟为单位

idle_time： 对话容许连续不活动的总的时间，以分钟为单位

12.5.4 维护profile文件

1、修改profile文件

alter profile password_life_time limit

cpu_per_session 20000

sessions_per_user 10

cpu_per_call 500

password_life_time 180

failed_login_attempts 10;

2、删除profile文件

SQL> drop profile password_life_time cascade;

Profile dropped

12.5.5 显示profile信息

1、显示用户的资源配置信息

SQL> select profile from dba_users where username='DONGFANG';

PROFILE

------------------------------

DEFAULT

2、显示指定profile文件的资源配置信息

SQL> select * from dba_profiles where profile='LOCK_ACCOUT';

PROFILE RESOURCE_NAME RESOURCE_TYPE LIMIT

------------------------------ -------------------------------- ------------- --------------------

LOCK_ACCOUT COMPOSITE_LIMIT KERNEL DEFAULT

LOCK_ACCOUT SESSIONS_PER_USER KERNEL DEFAULT

LOCK_ACCOUT CPU_PER_SESSION KERNEL DEFAULT

LOCK_ACCOUT CPU_PER_CALL KERNEL DEFAULT

LOCK_ACCOUT LOGICAL_READS_PER_SESSION KERNEL DEFAULT

LOCK_ACCOUT LOGICAL_READS_PER_CALL KERNEL DEFAULT

LOCK_ACCOUT IDLE_TIME KERNEL DEFAULT

LOCK_ACCOUT CONNECT_TIME KERNEL DEFAULT

LOCK_ACCOUT PRIVATE_SGA KERNEL DEFAULT

LOCK_ACCOUT FAILED_LOGIN_ATTEMPTS PASSWORD 5

LOCK_ACCOUT PASSWORD_LIFE_TIME PASSWORD DEFAULT

LOCK_ACCOUT PASSWORD_REUSE_TIME PASSWORD DEFAULT

LOCK_ACCOUT PASSWORD_REUSE_MAX PASSWORD DEFAULT

LOCK_ACCOUT PASSWORD_VERIFY_FUNCTION PASSWORD DEFAULT

LOCK_ACCOUT PASSWORD_LOCK_TIME PASSWORD 7

LOCK_ACCOUT PASSWORD_GRACE_TIME PASSWORD DEFAULT

16 rows selected

转载于:https://blog.51cto.com/stonebox/1378513