1、Oracle 10g數(shù)據(jù)庫運(yùn)用教程 授課教師：職務(wù)：第6章 數(shù)據(jù)庫平安管理 課程描畫引見Oracle數(shù)據(jù)庫的認(rèn)證方法、用戶管理、權(quán)限管理和角色管理 本章知識點(diǎn) Oracle認(rèn)證方法 用戶管理 角色管理 6.1Oracle認(rèn)證方法 操作系統(tǒng)身份認(rèn)證 網(wǎng)絡(luò)身份認(rèn)證 Oracle數(shù)據(jù)庫身份認(rèn)證 數(shù)據(jù)庫管理員認(rèn)證操作系統(tǒng)身份認(rèn)證 例：經(jīng)過操作系統(tǒng)認(rèn)證的用戶可以經(jīng)過下面的命令啟動SQL*Plus，而不需求輸入用戶名和密碼：SQLPLUS /網(wǎng)絡(luò)身份認(rèn)證 網(wǎng)絡(luò)層的認(rèn)證才干由第3方的SSL協(xié)議處置。SSL是Secure Socket Layer的縮寫，即平安套接字層。它是一個運(yùn)用層協(xié)議，可以用于數(shù)據(jù)庫的用戶

2、身份認(rèn)證。網(wǎng)絡(luò)層身份認(rèn)證運(yùn)用第3方網(wǎng)絡(luò)認(rèn)證效力，例如DCE、Kerberos、PKI、RADIUS等。 Oracle數(shù)據(jù)庫身份認(rèn)證 銜接中的密碼加密：加密算法采用改良的DES和3DES算法，加密過程在數(shù)據(jù)傳輸之前完成。賬戶鎖定: Oracle可以設(shè)置銜接登錄失敗n次后，Oracle將鎖定用戶賬戶。密碼生存周期 檢測歷史密碼 驗(yàn)證密碼復(fù)雜度 數(shù)據(jù)庫管理員認(rèn)證 數(shù)據(jù)庫管理員的認(rèn)證方式 數(shù)據(jù)庫管理員認(rèn)證在SQL*Plus中，假設(shè)采用操作系統(tǒng)認(rèn)證方式登錄，可以運(yùn)用如下命令：CONNECT / AS SYSDBA 或者：CONNECT / AS SYSOPER【例】創(chuàng)建密碼文件myPwdFile.ora

3、，SYS用戶的密碼為syspwd，SYSDBA和SYSOPER用戶的最大數(shù)量為50，代碼如下：ORAPWD FILE=myPwdFile.ora PASSWORD=syspwd ENTRIES=50數(shù)據(jù)庫管理員認(rèn)證初始化參數(shù)REMOTE_LOGIN_PASSWORDFILE可以指定密碼文件的運(yùn)用方法，它可以設(shè)置為如下3種值：NONE。Oracle數(shù)據(jù)庫認(rèn)定密碼文件不存在，一切的銜接都必需是平安銜接。EXCLUSIVE默許值。可以添加、修正和刪除用戶，也可以修正SYS用戶的密碼。SHARED。共享的密碼文件不允許被修正，因此不允許添加新用戶，也不能修正SYS或其他SYSDBA、SYSOPER用戶

4、的密碼。數(shù)據(jù)庫管理員認(rèn)證GRANT命令為用戶授予權(quán)限?！纠肯蛴脩鬭dm授予SYSDBA權(quán)限：GRANT SYSDBA TO adm;REVOKE命令撤銷用戶的授權(quán)?！纠砍蜂N用戶adm的SYSDBA權(quán)限：REVOKE SYSDBA FROM adm;數(shù)據(jù)庫管理員認(rèn)證經(jīng)過視圖V$PWFILE_USERS查看密碼文件的內(nèi)容?！纠窟\(yùn)用SQL語句查看代碼文件的內(nèi)容：SQL SELECT * FROM V$PWFILE_USERS;USERNAME SYSDB SYSOP- -SYS TRUE TRUE用戶管理 創(chuàng)建用戶 修正用戶權(quán)限管理語句 刪除用戶創(chuàng)建用戶 顯示用戶信息 操作按鈕創(chuàng)建用戶 “創(chuàng)建

5、用戶頁面選擇表空間創(chuàng)建用戶 查看新建用戶NEWUSER的信息 創(chuàng)建用戶CREATE USER語句在數(shù)據(jù)庫中創(chuàng)建新用戶。CREATE USER IDENTIFIED BY DEFAULT TABLESPACE TEMPORARY TABLESPACE ;【例】創(chuàng)建管理用戶USERMAN：CREATE USER USERMAN IDENTIFIED BY USERMAN;修正用戶 編輯用戶頁面 設(shè)置用戶的其他屬性修正用戶ALTER USER語句也可以修正用戶信息。1修正密碼密碼。【例】將用戶USERMAN的密碼修正為NewPassword：ALTER USER USERMAN IDENTIFIED

6、 BY NewPassword;2PASSWORD EXPIRE關(guān)鍵詞設(shè)置密碼過期?！纠吭O(shè)置用戶USERMAN的密碼立刻過期，它在下一次登錄時必需修正密碼：ALTER USER USERMAN PASSWORD EXPIRE;3ACCOUNT LOCK關(guān)鍵詞鎖定用戶。【例】鎖定用戶USERMAN，使其無法登錄到數(shù)據(jù)庫：ALTER USER USERMAN ACCOUNT LOCK;4ACCOUNT UNLOCK關(guān)鍵詞解鎖用戶?！纠拷獬龑τ脩鬠SERMAN的鎖定：ALTER USER USERMAN ACCOUNT UNLOCK;權(quán)限管理語句 系統(tǒng)權(quán)限設(shè)置頁面 權(quán)限管理語句 修正系統(tǒng)權(quán)限頁面

7、 權(quán)限管理語句 GRANT語句可以將權(quán)限授予指定的用戶或角色。1授予系統(tǒng)權(quán)限：GRANT TO 【例】對于用戶USERMAN授予SYSDBA權(quán)限：GRANT SYSDBA TO USERMAN;2授予數(shù)據(jù)對象權(quán)限：GRANT ON TO 【例】對用戶USERMAN授予表USERS的SELECT、INSERT、UPDATE、DELETE權(quán)限：GRANT SELECT ON USERMAN.USERS TO USERMAN;GRANT INSERT ON USERMAN.USERS TO USERMAN;GRANT UPDATE ON USERMAN.USERS TO USERMAN;GRANT

8、DELETE ON USERMAN.USERS TO USERMAN;權(quán)限管理語句 3REVOKE語句可以撤銷用戶的角色或權(quán)限：REVOKE FROM 【例】撤銷用戶USERMAN的系統(tǒng)權(quán)限：REVOKE SYSDBA FROM USERMAN;刪除用戶 確認(rèn)刪除頁面 撤銷表空間 DROP USER語句也可以刪除指定的用戶。【例】刪除用戶USERMAN：DROP USER USERMAN;6.3角色管理 Oracle系統(tǒng)角色 創(chuàng)建角色 對角色授權(quán) 指定用戶的角色 修正角色 刪除角色 Oracle系統(tǒng)角色 常用的Oracle預(yù)定義系統(tǒng)角色 角 色 名說 明CONNECT授予最終用戶的基本角色，主

9、要包括ALTER SESSION（修改會話）、CREATE CLUSTER（建立聚簇）、CREATE DATABASE LINK（建立數(shù)據(jù)庫鏈接）、CREATE SEQUENCE（建立序列）、CREATE SESSION（建立會話）、CREATE SYNONYM （建立同義詞）、CREATE VIEW （建立視圖）等權(quán)限RESOURCE授予開發(fā)人員的基本角色，主要包括CREATE CLUSTER（創(chuàng)建聚簇）、CREATE PROCEDURE（創(chuàng)建過程）、CREATE SEQUENCE（創(chuàng)建序列）、CREATE TABLE（創(chuàng)建表）、CREATE TRIGGER（創(chuàng)建觸發(fā)器）、CREATE TY

10、PE（創(chuàng)建類型）等權(quán)限D(zhuǎn)BA擁有所有系統(tǒng)級管理權(quán)限IMP_FULL_DATABASE和EXP_FULL_DATABASE導(dǎo)入、導(dǎo)出數(shù)據(jù)庫所需要的角色，主要包括BACKUP ANY TABLE（備份表）、EXECUTE ANY PROCEDURE（執(zhí)行過程）、SELECT ANY TABLE（查詢表）等權(quán)限D(zhuǎn)ELETE_CATALOG_ROLE刪除sys.aud$記錄的權(quán)限，sys.aud$表中記錄著審計(jì)后的記錄SELECT_CATALOG_ROLE 具有從數(shù)據(jù)字典查詢的權(quán)限EXECUTE_CATALOG_ROLE具有從數(shù)據(jù)字典中執(zhí)行部分過程和函數(shù)的權(quán)限創(chuàng)建角色 顯示角色信息 創(chuàng)建角色 創(chuàng)建角色頁面 授予角色系統(tǒng)權(quán)限創(chuàng)建角色 查看角色MYROLL的信息創(chuàng)建角色【例】運(yùn)用CREATE ROLE語句創(chuàng)建角色：CREATE ROLE MYROLE IDENTIFIED BY myrollpwdIDENTIFIED BY子句可以指定角色的密碼。 對角色授權(quán) 系統(tǒng)權(quán)限設(shè)置頁面 對角色授權(quán) 修正系統(tǒng)權(quán)限頁面 指定用戶的角色 GRANT命令為用戶指定角色?！纠繉⒔巧獵ONNECT指定給用戶USERMAN：GRANT CONNECT TO USERMAN;REVOKE命令為取消用戶的角色。【例】撤銷USERMAN用戶的CONNECT角色