Oracle10g數(shù)據(jù)庫應(yīng)用教程

授課教師：職務(wù)：第一頁，共三十八頁。第6章數(shù)據(jù)庫安全管理課程描述介紹Oracle數(shù)據(jù)庫的認(rèn)證方法、用戶管理、權(quán)限管理和角色管理第二頁，共三十八頁。本章知識點(diǎn)Oracle認(rèn)證方法用戶管理角色管理第三頁，共三十八頁。6.1Oracle認(rèn)證方法操作系統(tǒng)身份認(rèn)證網(wǎng)絡(luò)身份認(rèn)證Oracle數(shù)據(jù)庫身份認(rèn)證數(shù)據(jù)庫管理員認(rèn)證第四頁，共三十八頁。操作系統(tǒng)身份認(rèn)證例：通過操作系統(tǒng)認(rèn)證的用戶可以通過下面的命令啟動SQL*Plus，而不需要輸入用戶名和密碼：SQLPLUS/第五頁，共三十八頁。網(wǎng)絡(luò)身份認(rèn)證網(wǎng)絡(luò)層的認(rèn)證能力由第3方的SSL協(xié)議處理。SSL是SecureSocketLayer的縮寫，即安全套接字層。它是一個(gè)應(yīng)用層協(xié)議，可以用于數(shù)據(jù)庫的用戶身份認(rèn)證。網(wǎng)絡(luò)層身份認(rèn)證使用第3方網(wǎng)絡(luò)認(rèn)證服務(wù)，例如DCE、Kerberos、PKI、RADIUS等。第六頁，共三十八頁。Oracle數(shù)據(jù)庫身份認(rèn)證連接中的密碼加密：加密算法采用改進(jìn)的DES和3DES算法，加密過程在數(shù)據(jù)傳輸之前完成。賬戶鎖定:Oracle可以設(shè)置連接登錄失敗n次后，Oracle將鎖定用戶賬戶。密碼生存周期檢測歷史密碼驗(yàn)證密碼復(fù)雜度第七頁，共三十八頁。數(shù)據(jù)庫管理員認(rèn)證數(shù)據(jù)庫管理員的認(rèn)證方式第八頁，共三十八頁。數(shù)據(jù)庫管理員認(rèn)證在SQL*Plus中，如果采用操作系統(tǒng)認(rèn)證方式登錄，可以使用如下命令：CONNECT/ASSYSDBA或者：CONNECT/ASSYSOPER【例】創(chuàng)建密碼文件myPwd，SYS用戶的密碼為syspwd，SYSDBA和SYSOPER用戶的最大數(shù)量為50，代碼如下：ORAPWDPASSWORD=syspwdENTRIES=50第九頁，共三十八頁。數(shù)據(jù)庫管理員認(rèn)證初始化參數(shù)REMOTE_LOGIN_PASSWORDFILE可以指定密碼文件的使用方法，它可以設(shè)置為如下3種值：NONE。Oracle數(shù)據(jù)庫認(rèn)定密碼文件不存在，所有的連接都必須是安全連接。EXCLUSIVE（默認(rèn)值）?？梢蕴砑印⑿薷暮蛣h除用戶，也可以修改SYS用戶的密碼。SHARED。共享的密碼文件不允許被修改，因此不允許添加新用戶，也不能修改SYS或其他SYSDBA、SYSOPER用戶的密碼。第十頁，共三十八頁。數(shù)據(jù)庫管理員認(rèn)證GRANT命令為用戶授予權(quán)限?！纠肯蛴脩鬭dm授予SYSDBA權(quán)限：GRANTSYSDBATOadm;REVOKE命令撤銷用戶的授權(quán)?！纠砍蜂N用戶adm的SYSDBA權(quán)限：REVOKESYSDBAFROMadm;第十一頁，共三十八頁。數(shù)據(jù)庫管理員認(rèn)證通過視圖V$PW查看密碼文件的內(nèi)容?！纠渴褂肧QL語句查看代碼文件的內(nèi)容：SQL>SELECT*FROMV$PW;USERNAME SYSDB SYSOP----------------------- --- -----SYS TRUE TRUE第十二頁，共三十八頁。用戶管理創(chuàng)建用戶修改用戶權(quán)限管理語句刪除用戶第十三頁，共三十八頁。創(chuàng)建用戶顯示用戶信息操作按鈕第十四頁，共三十八頁。創(chuàng)建用戶“創(chuàng)建用戶”頁面選擇表空間第十五頁，共三十八頁。創(chuàng)建用戶查看新建用戶NEWUSER的信息第十六頁，共三十八頁。創(chuàng)建用戶CREATEUSER語句在數(shù)據(jù)庫中創(chuàng)建新用戶。CREATEUSER<用戶名>IDENTIFIEDBY<口令>DEFAULTTABLESPACE<默認(rèn)表空間>TEMPORARYTABLESPACE<臨時(shí)表空間>;【例】創(chuàng)建管理用戶USERMAN：CREATEUSERUSERMANIDENTIFIEDBYUSERMAN;第十七頁，共三十八頁。修改用戶編輯用戶頁面

設(shè)置用戶的

其他屬性第十八頁，共三十八頁。修改用戶ALTERUSER語句也可以修改用戶信息。（1）修改密碼密碼。【例】將用戶USERMAN的密碼修改為NewPassword：ALTERUSERUSERMANIDENTIFIEDBYNewPassword;（2）PASSWORDEXPIRE關(guān)鍵詞設(shè)置密碼過期。【例】設(shè)置用戶USERMAN的密碼立即過期，它在下一次登錄時(shí)必須修改密碼：ALTERUSERUSERMANPASSWORDEXPIRE;（3）ACCOUNTLOCK關(guān)鍵詞鎖定用戶。【例】鎖定用戶USERMAN，使其無法登錄到數(shù)據(jù)庫：ALTERUSERUSERMANACCOUNTLOCK;（4）ACCOUNTUNLOCK關(guān)鍵詞解鎖用戶?！纠拷獬龑τ脩鬠SERMAN的鎖定：ALTERUSERUSERMANACCOUNTUNLOCK;第十九頁，共三十八頁。權(quán)限管理語句系統(tǒng)權(quán)限設(shè)置頁面

第二十頁，共三十八頁。權(quán)限管理語句修改系統(tǒng)權(quán)限頁面第二十一頁，共三十八頁。權(quán)限管理語句GRANT語句可以將權(quán)限授予指定的用戶或角色。（1）授予系統(tǒng)權(quán)限：GRANT<系統(tǒng)權(quán)限>TO<用戶名>【例】對于用戶USERMAN授予SYSDBA權(quán)限：GRANTSYSDBATOUSERMAN;（2）授予數(shù)據(jù)對象權(quán)限：GRANT<數(shù)據(jù)對象權(quán)限>ON<數(shù)據(jù)對象>TO<用戶名>【例】對用戶USERMAN授予表USERS的SELECT、INSERT、UPDATE、DELETE權(quán)限：GRANTSELECTONUSERMAN.USERSTOUSERMAN;GRANTINSERTONUSERMAN.USERSTOUSERMAN;GRANTUPDATEONUSERMAN.USERSTOUSERMAN;GRANTDELETEONUSERMAN.USERSTOUSERMAN;第二十二頁，共三十八頁。權(quán)限管理語句（3）REVOKE語句可以撤銷用戶的角色或權(quán)限：REVOKE<權(quán)限或角色>FROM<用戶名>【例】撤銷用戶USERMAN的系統(tǒng)權(quán)限：REVOKESYSDBAFROMUSERMAN;第二十三頁，共三十八頁。刪除用戶確認(rèn)刪除頁面第二十四頁，共三十八頁。撤銷表空間DROPUSER語句也可以刪除指定的用戶?！纠縿h除用戶USERMAN：DROPUSERUSERMAN;第二十五頁，共三十八頁。6.3角色管理

Oracle系統(tǒng)角色創(chuàng)建角色對角色授權(quán)指定用戶的角色修改角色刪除角色第二十六頁，共三十八頁。Oracle系統(tǒng)角色常用的Oracle預(yù)定義系統(tǒng)角色

角色名說明CONNECT授予最終用戶的基本角色，主要包括ALTERSESSION（修改會話）、CREATECLUSTER（建立聚簇）、CREATEDATABASELINK（建立數(shù)據(jù)庫鏈接）、CREATESEQUENCE（建立序列）、CREATESESSION（建立會話）、CREATESYNONYM（建立同義詞）、CREATEVIEW（建立視圖）等權(quán)限RESOURCE授予開發(fā)人員的基本角色，主要包括CREATECLUSTER（創(chuàng)建聚簇）、CREATEPROCEDURE（創(chuàng)建過程）、CREATESEQUENCE（創(chuàng)建序列）、CREATETABLE（創(chuàng)建表）、CREATETRIGGER（創(chuàng)建觸發(fā)器）、CREATETYPE（創(chuàng)建類型）等權(quán)限D(zhuǎn)BA擁有所有系統(tǒng)級管理權(quán)限IMP_FULL_DATABASE和

EXP_FULL_DATABASE導(dǎo)入、導(dǎo)出數(shù)據(jù)庫所需要的角色，主要包括BACKUPANYTABLE（備份表）、EXECUTEANYPROCEDURE（執(zhí)行過程）、SELECTANYTABLE（查詢表）等權(quán)限D(zhuǎn)ELETE_CATALOG_ROLE刪除sys.aud$記錄的權(quán)限，sys.aud$表中記錄著審計(jì)后的記錄SELECT_CATALOG_ROLE具有從數(shù)據(jù)字典查詢的權(quán)限EXECUTE_CATALOG_ROLE具有從數(shù)據(jù)字典中執(zhí)行部分過程和函數(shù)的權(quán)限第二十七頁，共三十八頁。創(chuàng)建角色顯示角色信息

第二十八頁，共三十八頁。創(chuàng)建角色創(chuàng)建角色頁面授予角色系統(tǒng)權(quán)限第二十九頁，共三十八頁。創(chuàng)建角色查看角色MYROLL的信息第三十頁，共三十八頁。創(chuàng)建角色【例】使用CREATEROLE語句創(chuàng)建角色：CREATEROLEMYROLEIDENTIFIEDBYmyrollpwdIDENTIFIEDBY子句可以指定角色的密碼。

第三十一頁，共三十八頁。對角色授權(quán)系統(tǒng)權(quán)限設(shè)置頁面第三十二頁，共三十八頁。對角色授權(quán)修改系統(tǒng)權(quán)限頁面第三十三頁，共三十八頁。指定用戶的角色GRANT命令為用戶指定角色?！纠繉⒔巧獵ONNECT指定給用戶USERMAN：GRANTCONNECTTOUSERMAN;REVOKE命令為取消用戶的角色?！纠砍蜂NUSERMAN用戶的CONNECT角色：REVOKECONNECTFROMUSERMAN;第三十四頁，共三十八頁。修改角色ALTERROLE語句修改角色?！纠咳∠巧玀YROLL的密碼驗(yàn)證：ALTERROLEMYROLENOTIDENTIFIED；第三十五頁，共三十八頁。刪除角色確認(rèn)刪除頁面第三十六頁，共三十八頁。刪除角色DROPROLE語句可以刪除指定的角色?！纠縿h除用戶MYROLE：DROPROLEMYROLE;第三十七頁，共三十八頁。內(nèi)容總結(jié)Oracle10g數(shù)據(jù)庫應(yīng)用教程。第6章數(shù)據(jù)庫安全管理。SSL是SecureSocketLayer的縮寫，即安全套接字層。連接中的密碼加密：加密算法采用改進(jìn)的DES和3DES算法，