When you create access control lists for network connections, you should create one access control list dedicated to a group of common users, for example, users who need access to a particular application that resides on a specific host computer. For ease of administration and for good system performance, do not create too many access control lists. Network hosts accessible to the same group of users should share the same access control list.
简单点说:Oracle允许使用几个PL/SQL API(UTL_TCP, UTL_SMTP, UTL_MAIL, UTL_HTTP和 UTL_INADDR)访问外部网络服务。需要进行权限授权才可以,比如需要通过oracle发送邮件。
下面是几个常用的定义acl的相关方法:
1. 创建访问控制列表
DBMS_NETWORK_ACL_ADMIN.CREATE_ACL(acl => 'www.xml',
description => 'WWW ACL',
principal => 'HR', -- 赋予权限给哪个用户
is_grant => true, -- true表示授予权限 false表示取消权限
privilege => 'connect');
2. 使用ADD_PRIVILEGE存储过程将其他的用户或角色添加到访问控制列表中,它的参数与CREATE_ACL存储过程的参数类似,
省略了DESCRIPTION参数,同时增加了POSITION参数,它用于设置优先顺序。
DBMS_NETWORK_ACL_ADMIN.ADD_PRIVILEGE(acl => 'www.xml',
principal => 'HR',
is_grant => true,
privilege => 'resolve');
3.使用ASSIGN_ACL存储过程给网络分配访问控制列表
DBMS_NETWORK_ACL_ADMIN.ASSIGN_ACL(acl => 'www.xml',
host => '*.qq.com'); --主机名,域名,ip地址或分配的子网,主机名大小写敏感,ip地址和域名允许使用通配符
4.UNASSIGN_ACL存储过程允许你手动删除访问控制列表,它使用的参数与ASSIGN_ACL存储过程相同,使用NULL参数作为通配符。
DBMS_NETWORK_ACL_ADMIN.UNASSIGN_ACL(host => 'www.qq.com');
5.删除上面的控制列表
DBMS_NETWORK_ACL_ADMIN.drop_acl ( acl => 'www.xml');
6. 查询创建的ACL信息
SELECT host, lower_port, upper_port, acl,
DECODE(
DBMS_NETWORK_ACL_ADMIN.CHECK_PRIVILEGE_ACLID(aclid, 'HR', 'connect'),
1, 'GRANTED', 0, 'DENIED', NULL) privilege
简单点说:Oracle允许使用几个PL/SQL API(UTL_TCP, UTL_SMTP, UTL_MAIL, UTL_HTTP和 UTL_INADDR)访问外部网络服务。需要进行权限授权才可以,比如需要通过oracle发送邮件。
下面是几个常用的定义acl的相关方法:
1. 创建访问控制列表
DBMS_NETWORK_ACL_ADMIN.CREATE_ACL(acl => 'www.xml',
description => 'WWW ACL',
principal => 'HR', -- 赋予权限给哪个用户
is_grant => true, -- true表示授予权限 false表示取消权限
privilege => 'connect');
2. 使用ADD_PRIVILEGE存储过程将其他的用户或角色添加到访问控制列表中,它的参数与CREATE_ACL存储过程的参数类似,
省略了DESCRIPTION参数,同时增加了POSITION参数,它用于设置优先顺序。
DBMS_NETWORK_ACL_ADMIN.ADD_PRIVILEGE(acl => 'www.xml',
principal => 'HR',
is_grant => true,
privilege => 'resolve');
3.使用ASSIGN_ACL存储过程给网络分配访问控制列表
DBMS_NETWORK_ACL_ADMIN.ASSIGN_ACL(acl => 'www.xml',
host => '*.qq.com'); --主机名,域名,ip地址或分配的子网,主机名大小写敏感,ip地址和域名允许使用通配符
4.UNASSIGN_ACL存储过程允许你手动删除访问控制列表,它使用的参数与ASSIGN_ACL存储过程相同,使用NULL参数作为通配符。
DBMS_NETWORK_ACL_ADMIN.UNASSIGN_ACL(host => 'www.qq.com');
5.删除上面的控制列表
DBMS_NETWORK_ACL_ADMIN.drop_acl ( acl => 'www.xml');
6. 查询创建的ACL信息
SELECT host, lower_port, upper_port, acl,
DECODE(
DBMS_NETWORK_ACL_ADMIN.CHECK_PRIVILEGE_ACLID(aclid, 'HR', 'connect'),
1, 'GRANTED', 0, 'DENIED', NULL) privilege
FROM dba_network_acls
from :http://blog.itpub.net/29196873/viewspace-1068135/
实例//
ORA-24247: 网络访问被访问控制列表 (ACL) 拒绝
ORA-24247: network access denied by access control list (ACL)
发生这个错误是因为网络访问控制列表管理着用户访问网络的权限。
========
解决办法:
========
拥有DBA权限的用户执行下面的SQL,分3部分
BEGIN
--1.创建访问控制列表sendmail.xml,sendmail.xml控制列表拥有connect权限,并把这个权限给了B用户,
DBMS_NETWORK_ACL_ADMIN.CREATE_ACL(
acl=> 'sendmail.xml', -- ACL的名字,自己定义
description => 'sendmail ACL', -- ACL的描述
principal => 'B', -- 这里是用户名,大写,表示把这个ACL的权限赋给B用户
is_grant => true, --true:授权 ;false:禁止
privilege => 'connect'); --授予或者禁止的网络权限
--2.为sendmail.xml控制列表添加resolve权限,且赋给B用户
DBMS_NETWORK_ACL_ADMIN.ADD_PRIVILEGE(
acl=> 'sendmail.xml',
principal => 'B',
is_grant => true,
privilege => 'resolve');
--3.为控制列表ACL sendmail.xml分配可以connect和resolve的host
DBMS_NETWORK_ACL_ADMIN.ASSIGN_ACL(
acl => 'sendmail.xml',
host => 'smtp.163.com');
--smtp.163.com是邮箱服务器主机名
END;
/
COMMIT;
再次在用户B调用A的PROC_SENDMAIL_SIMPLE发邮件过程,成功发送邮件。
from:http://blog.chinaunix.net/uid-23284114-id-3435541.html
另外可以参考:http://blog.chinaunix.net/uid-23284114-id-3435541.html