第9章管理用戶和安全性9.1用戶管理

9.2權(quán)限管理

9.3角色管理

9.4概要文件

9.5小結(jié)

習(xí)題九

上機(jī)實驗九

9.1用

戶

管

理

9.1.1用戶類別

在數(shù)據(jù)庫系統(tǒng)中，根據(jù)工作性質(zhì)和特點，用戶可分成三類：數(shù)據(jù)庫管理員(DBA)、數(shù)據(jù)庫開發(fā)人員和普通用戶。不同類型的用戶分別賦予不同的權(quán)限，從而保證數(shù)據(jù)庫系統(tǒng)的

安全。

1．?dāng)?shù)據(jù)庫管理員(DBA)

數(shù)據(jù)庫管理員負(fù)責(zé)管理和維護(hù)數(shù)據(jù)庫系統(tǒng)的正常運(yùn)行，其主要職責(zé)包括：

(1)安裝并升級Oracle服務(wù)器和應(yīng)用工具。

(2)配置和管理數(shù)據(jù)庫。

(3)設(shè)置權(quán)限和安全管理。

(4)監(jiān)控并優(yōu)化數(shù)據(jù)庫性能。

(5)備份和恢復(fù)數(shù)據(jù)庫。

2．?dāng)?shù)據(jù)庫開發(fā)人員

數(shù)據(jù)庫開發(fā)人員負(fù)責(zé)設(shè)計和開發(fā)數(shù)據(jù)庫應(yīng)用程序，其主要職責(zé)包括：

(1)設(shè)計應(yīng)用的數(shù)據(jù)結(jié)構(gòu)。

(2)估算應(yīng)用的存儲需求。

(3)給出應(yīng)用數(shù)據(jù)庫結(jié)構(gòu)修改的說明。

(4)開發(fā)過程中優(yōu)化應(yīng)用。

(5)開發(fā)過程中構(gòu)建應(yīng)用的安全策略。

以上工作需要和DBA協(xié)作。

3．普通用戶

普通用戶指的是執(zhí)行與數(shù)據(jù)庫相關(guān)的日常操作的工作人員。

9.1.2創(chuàng)建用戶

在建立一個數(shù)據(jù)庫的新用戶時，數(shù)據(jù)庫管理員對用戶有下列決策：

(1)設(shè)置用戶的默認(rèn)表空間和臨時表空間，在表空間中可以使用空間份額。

(2)設(shè)置用戶資源限制的環(huán)境文件，該限制規(guī)定了用戶可用的系統(tǒng)資源的總量。

(3)規(guī)定用戶具有的權(quán)限和角色，可以存取相應(yīng)的對象。

創(chuàng)建用戶的步驟如下：

(1)確定該用戶的表空間和表空間的大小。

(2)分配默認(rèn)表空間和臨時表空間。

(3)創(chuàng)建用戶。

(4)授予權(quán)限或角色。

1．利用OEM創(chuàng)建用戶

下面講述在“企業(yè)管理器”中如何創(chuàng)建新用戶。

(1)啟動“企業(yè)管理器”，在安全性管理中選擇“用戶”選項，如圖

9-1所示，點擊右鍵，選擇“創(chuàng)建”，出現(xiàn)如圖

9-2所示的“創(chuàng)建用戶”的“一般信息”選項卡。在“一般信息”中填寫用戶的口令，指定用戶的默認(rèn)表空間和臨時表空間，還可以指定用戶所對應(yīng)的概要文件。概要文件將在9.4節(jié)中介紹。

(2)選擇“角色”選項卡，如圖

9-3所示。“角色”選項卡用于為用戶授予角色，同時使用戶具有角色權(quán)限。依次選擇“系統(tǒng)權(quán)限”、“對象權(quán)限”選項卡，出現(xiàn)如圖9-4所示的“創(chuàng)建用戶”的“系統(tǒng)權(quán)限”選項卡和如圖

9-5所示的“創(chuàng)建用戶”的“對象權(quán)限”選項卡?！跋到y(tǒng)權(quán)限”選項卡用于為用戶授予系統(tǒng)級權(quán)限。“對象權(quán)限”選項卡用于為用戶授予對象級權(quán)限，當(dāng)一個用戶是某數(shù)據(jù)庫對象的屬主時，它就具有操縱該數(shù)據(jù)庫對象的所有權(quán)限，但其他用戶必須經(jīng)過授權(quán)才能操縱該數(shù)據(jù)庫對象。

圖

9-1選擇創(chuàng)建用戶

圖

9-2“創(chuàng)建用戶”的“一般信息”選項卡

圖9-3“創(chuàng)建用戶”的“角色”選項卡

圖

9-4“創(chuàng)建用戶”的“系統(tǒng)權(quán)限”選項卡

圖

9-5“創(chuàng)建用戶”的“對象權(quán)限”選項卡

(3)分別選擇“使用者組”和“限額”選項卡，依次出現(xiàn)如圖

9-6所示的“創(chuàng)建用戶”的“使用者組”選項卡和如圖9-7所示的“創(chuàng)建用戶”的“限額”選項卡?！笆褂谜呓M”選項卡用于為用戶定義資源使用者組?！跋揞~”選項卡用于指定用戶在對應(yīng)的表空間中是否分配空間，以及用戶在其中可分配的最大空間數(shù)量。圖9-8所示為“創(chuàng)建用戶”的“代理用戶”選項卡?！按碛脩簟边x項卡用于指定可以代理此用戶行使權(quán)利的用戶和用戶可以代理的其他用戶。成功創(chuàng)建用戶后將出現(xiàn)如圖

9-9所示的界面。

圖

9-6“創(chuàng)建用戶”的“使用者組”選項卡

圖

9-7“創(chuàng)建用戶”的“限額”選項卡

圖9-8“創(chuàng)建用戶”的“代理用戶”選項卡

圖9-9成功創(chuàng)建用戶的界面

2．使用SQL語句創(chuàng)建用戶

使用CREATEUSER語句可以創(chuàng)建一個新的數(shù)據(jù)庫用戶，執(zhí)行該語句的用戶必須具有CREATEUSER系統(tǒng)權(quán)限。在創(chuàng)建用戶時，必須指定用戶的認(rèn)證方式。通常Oracle采用兩種認(rèn)證方式：數(shù)據(jù)庫認(rèn)證方式和操作系統(tǒng)身份認(rèn)證。在一般的應(yīng)用中，通常采用數(shù)據(jù)庫認(rèn)證方式，即通過Oracle數(shù)據(jù)庫對用戶身份進(jìn)行驗證。在這種情況下創(chuàng)建用戶時必須為新用戶指定一個口令，口令以加密方式保存在數(shù)據(jù)庫中。當(dāng)用戶連接數(shù)據(jù)庫時，Oracle從數(shù)據(jù)庫中提取口令來對用戶的身份進(jìn)行驗證。創(chuàng)建用戶時還應(yīng)為用戶分配默認(rèn)表空間和臨時表空間以及用戶可使用表空間的限額。

語法格式：

CREATEUSER用戶名

INDENTIFIEDBY口令

[DEFAULTTABLESPACE表空間名]

[TEMPORARYTABLESPACE表空間名]

[QUOTA{正整數(shù)[K|M]|UNLIMITED}ON表空間名…]

[PASSWORDEXPIRE]

[ACCOUNT{LOCK|UNLOCK}]

[PROFILE環(huán)境文件名|DEFAULT];說明：使用INDENTIFIEDBY子句為用戶設(shè)置口令，這時用戶將通過數(shù)據(jù)庫來進(jìn)行身份認(rèn)證。使用DEFAULTTABLESPACE子句為用戶指定默認(rèn)表空間。如果沒有指定默認(rèn)表空間，則Oracle會把SYSTEM表空間作為用戶的默認(rèn)表空間。為用戶指定了默認(rèn)表空間之后，還必須使用QUOTA子句為用戶在默認(rèn)表空間中分配空間配額。

此外，常用的一些子句如下：

(1)TEMPORARYTABLESPACE子句：為用戶指定臨時表空間。一般地，SQL語句在完成如連接和排序等大量數(shù)據(jù)的查詢時需要臨時工作空間來存放結(jié)果。

(2)PROFILE子句：為用戶指定一個概要文件。如果沒有為用戶顯式地指定概要文件，則Oracle將自動為用戶指定DEFAULT概要文件。

(3)DEFAULTROLE子句：為用戶指定默認(rèn)的角色。

(4)PASSWORDEXPIRE子句：設(shè)置用戶口令的初始狀態(tài)為過期。

(5)ACCOUNTLOCK子句：設(shè)置用戶帳戶的初始狀態(tài)為鎖定，缺省為ACCOUNTUNLOCK。

【例9.1】

創(chuàng)建用戶teacher，口令為teacher123，默認(rèn)表空間是user，大小是20MB，臨時表空間是temp。

SQL>connectsystem/manager;

已連接。

SQL>CREATEUSERteacher

2IDENTIFIEDBYteacher123

3DEFAULTTABLESPACEusers

4TEMPORARYTABLESPACEtemp

5QUOTA20MBONusers;用戶已創(chuàng)建。

新用戶在建立之后還不能使用，通常會需要使用GRANT語句為他授予CREATESESSION系統(tǒng)權(quán)限。CREATESESSION系統(tǒng)權(quán)限允許用戶在數(shù)據(jù)庫上建立會話過程，這是用戶帳號必須具有的最低權(quán)限。

【例9.2】

授予權(quán)限CREATESESSION給用戶teacher。

SQL>GRANTCREATESESSIONTOteacher;

授權(quán)成功。

SQL>CONNECTteacher/teacher123;

已連接。

9.1.3修改用戶

在創(chuàng)建用戶之后，會因為各種需要改變用戶的帳戶、表空間和權(quán)限等。

1．利用OEM修改用戶

如圖9-10所示，可以利用OEM管理工具在相應(yīng)的用戶上點擊右鍵，出現(xiàn)“查看/編輯詳細(xì)資料”，對其不同內(nèi)容選擇不同的選項，更改后確認(rèn)便可。

圖

9-10選擇修改用戶

2．利用SQL命令修改用戶

可以使用ALTERUSER語句對用戶進(jìn)行修改，執(zhí)行該語句的用戶必須具有ALTERUSER系統(tǒng)權(quán)限。

【例9.3】

修改用戶teacher的認(rèn)證方式、默認(rèn)表空間和空間配額。

SQL>ALTERUSERteacherIDENTIFIEDBYteacher123QUOTA10MONusers;

用戶已更改。

【例9.4】

更改用戶teacher的默認(rèn)表空間。

SQL>ALTERUSERteacher

2DEFAULTTABLESPACEusers

3TemporaryTABLESPACEtemp;

用戶已更改。

【例9.5】

修改用戶teacher的口令。

SQL>ALTERUSERteacher

2Identifiedbyteacher;

用戶已更改。

【例9.6】

修改用戶的狀態(tài)，鎖定teacher帳戶并解除鎖定。

SQL>ALTERUSERteacherACCOUNTLOCK;

用戶已更改。

SQL>connectteacher/teacher

ERROR：

ORA-28000:theaccountislocked

警告:您不再連接到

Oracle。

SQL>ALTERUSERTeacherACCOUNTUNLOCK;

用戶已更改。

SQL>connectteacher/teacher

已連接。

9.1.4刪除用戶

【例9.7】

刪除用戶teacher，并且同時刪除他所擁有的所有表、索引等模式對象。

SQL>DROPUSERteacherCASCADE;

用戶已丟棄。

同樣地，可以利用OEM管理工具選擇相應(yīng)的用戶，點擊右鍵進(jìn)行刪除。

9.1.5查看用戶信息

為了方便查詢用戶的有關(guān)信息，Oracle提供了以下數(shù)據(jù)字典視圖：

●DBA_USERS：描述數(shù)據(jù)庫中所有用戶信息。

●ALL_USRES：描述可以被當(dāng)前用戶看見的用戶信息。

●USER_USERS：描述當(dāng)前用戶信息。

●DBA_TS_QUOTAS：描述用戶的表空間信息。

●DBA_TS_QUOTAS,USER_PASSWORD_LIMITS：描述分配給該用戶的口令、配置文件和參數(shù)信息。

●?USER_RESOURCE_LIMITS：描述當(dāng)前用戶的資源信息。

【例9.8】

查看用戶teacher的用戶名、用戶標(biāo)識、鎖定日期、帳號狀態(tài)和默認(rèn)表空間信息。

注意：查詢數(shù)據(jù)字典的內(nèi)容時要注意大寫匹配。如Whereusername='TEACHER'。如果寫為Whereusername='teacher'，則系統(tǒng)顯示無匹配數(shù)據(jù)。

9.2權(quán)限管理

9.2.1系統(tǒng)權(quán)限

Oracle9i有100多種不同的系統(tǒng)權(quán)限，每一種系統(tǒng)權(quán)限允許用戶執(zhí)行一種特殊的數(shù)據(jù)庫操作或一類數(shù)據(jù)庫操作。Oracle有兩大類主要的系統(tǒng)級權(quán)限：名字中帶有ANY關(guān)鍵字的權(quán)限和不帶ANY的權(quán)限。帶有ANY的權(quán)限可以使Oracle用戶在任何Oracle帳號中執(zhí)行指定的命令。不帶ANY的權(quán)限則只能夠在自己的Oracle帳號中執(zhí)行指定的命令。常見的系統(tǒng)權(quán)限如表9-1所示。表9-1

常見的系統(tǒng)權(quán)限

1．授予系統(tǒng)權(quán)限

在OEM管理工具中授予系統(tǒng)權(quán)限參見圖9-4，這里重點講述利用SQL命令授予系統(tǒng)權(quán)限。在GRANT關(guān)鍵字之后指定系統(tǒng)權(quán)限的名稱，然后在TO關(guān)鍵字之后指定接受權(quán)限的用戶。

【例9.9】

利用下面的語句可以將創(chuàng)建表和創(chuàng)建存儲過程的權(quán)限授予用戶TEACHER。

SQL>GRANTCREATETABLE,CREATEPROCEDURETOTEACHER;

授權(quán)成功。

上面的代碼運(yùn)行后，Oracle用戶TEACHER就可以使用CREATETABLE、CREATEPROCEDURE命令創(chuàng)建表或存儲過程。

如果在GRANT語句最后加上WITHADMINOPTION子句，那么不僅可將某種系統(tǒng)權(quán)限授予某個Oracle用戶，而且這個用戶還可以再將這種系統(tǒng)權(quán)限授予其他用戶，如下面的語句：

SQL>GRANTCREATETABLE,CREATEPROCEDURETOteacherWITHADMIN

OPTION;

授權(quán)成功。

上述代碼表示TEACHER不僅具有CREATETABLE、CREATEPROCEDURE權(quán)限，還可將這些權(quán)限授予其他用戶。

如果要為數(shù)據(jù)庫中每個用戶授予系統(tǒng)權(quán)限或?qū)ο髾?quán)限，則可以使用關(guān)鍵字PUBLIC。PUBLIC是Oracle數(shù)據(jù)庫中的一個特殊組，可以使用它為系統(tǒng)中的每個用戶快速設(shè)定權(quán)限。

【例9.10】

授予數(shù)據(jù)庫每個用戶創(chuàng)建過程的權(quán)限。

SQL>GRANTCREATEPROCEDURETOPUBLIC;

授權(quán)成功。

2．回收權(quán)限或角色

使用REVOKE語句可以收回已經(jīng)授予用戶(或角色)的系統(tǒng)權(quán)限，執(zhí)行收回系統(tǒng)權(quán)限操作的用戶同時必須具有授予相同系統(tǒng)權(quán)限的能力。

【例9.11】

收回已經(jīng)授予用戶TEACHER的CREATEANYTABLE系統(tǒng)權(quán)限。

SQL>REVOKECREATEANYTABLEFROMTEACHER;

撤消成功。

【例9.12】

從PUBLIC用戶收回已授予的系統(tǒng)權(quán)限。

SQL>REVOKECREATEPROCEDUREFROMPUBLIC;

撤消成功。

9.2.2對象權(quán)限

Oracle數(shù)據(jù)庫的對象主要是指表、索引、視圖、序列、同義詞、過程、函數(shù)、包和觸發(fā)器。創(chuàng)建對象的用戶擁有該對象的所有對象權(quán)限，不需要授予，所以，對象權(quán)限的設(shè)置實際上是對象的所有者給其他用戶提供操作該對象的某種權(quán)力的一種方法。將其中的對象權(quán)限授予其他用戶，就可以允許他們使用該對象。對象權(quán)限規(guī)定用戶對某個數(shù)據(jù)庫對象中數(shù)據(jù)的操作權(quán)限。Oracle數(shù)據(jù)庫中總共有9種不同的對象權(quán)限。不同類型的對象有不同的對象權(quán)限。常用的對象權(quán)限包括對某個數(shù)據(jù)庫對象中數(shù)據(jù)的查詢、插入、修改、刪除等，例如SELECT、INSERT、UPDATE、DELETE等。各種對象權(quán)限及說明如表9-2所示。

表9-2

各種對象權(quán)限及說明

1．授予對象權(quán)限

在OEM管理工具中授予對象權(quán)限參見圖9-5，這里重點講述利用SQL命令授權(quán)。在GRANT關(guān)鍵字之后指定權(quán)限的名稱，然后在ON關(guān)鍵字后指定對象名稱，最后在TO關(guān)鍵字之后指定接受權(quán)限的用戶名，即可將指定對象的對象權(quán)限授予指定的用戶。

使用一條GRANT語句可以同時授予用戶多個對象權(quán)限，各個權(quán)限名稱之間用逗號分隔。

【例9.13】

將CUSTOMER表的SELECT、INSERT和UPDATE對象權(quán)限授予用戶teacher。

SQL>GRANTSELECT,INSERT(CUSTOMER_ID,CUSTOMER_name),

2UPDATE(desc)ONCUSTOMERTOteacherWITHGRANTOPTION;

授權(quán)成功。在授予對象權(quán)限時，可以使用一次關(guān)鍵字ALL或ALLPRIVILEGES將某個對象的所有對象權(quán)限全部授予指定的用戶。例如：

SQL>GRANTALLONCUSTOMERTOteacher;

授權(quán)成功。

對象權(quán)限也可以使用前面所講的PUBLIC授予數(shù)據(jù)庫的所有用戶。例如：

SQL>GRANTALLONCUSTOMERTOPUBLIC;

授權(quán)成功。

2．回收對象權(quán)限

使用REVOKE語句可以收回已經(jīng)授予用戶(或角色)的對象權(quán)限，執(zhí)行收回對象權(quán)限操作的用戶必須同時具有授予相同對象權(quán)限的能力。

【例9.14】

收回已經(jīng)授予用戶teacher的SELECT和UPDATE對象權(quán)限。

SQL>REVOKESELECT,UPDATEONCUSTOMERFROMteacher;

撤消成功。

在收回對象權(quán)限時，可以使用關(guān)鍵字ALL或ALLPRIVILEGES將某個對象的所有對象權(quán)限全部收回。

【例9.15】

收回已經(jīng)授予用戶teacher的CUSTOMER表的所有對象權(quán)限。

SQL>REVOKEALLONCUSTOMERFROMteacher;

撤消成功。

9.2.3查詢系統(tǒng)權(quán)限與對象權(quán)限

1．查詢系統(tǒng)權(quán)限

用戶在登錄數(shù)據(jù)庫后，若要查看有關(guān)系統(tǒng)權(quán)限的信息，則可以查詢表9-3所示的表與視圖。

表9-3

與系統(tǒng)權(quán)限有關(guān)的表與視圖

2．查詢對象權(quán)限

用戶若要查看有關(guān)對象權(quán)限的信息，則可以查詢表9-4所示的表與視圖。

表9-4

與對象權(quán)限有關(guān)的表與視圖其中，OWNER列表示對象的擁有者；TABLE_NAME列表示對象；GRANTOR列表示授權(quán)用戶(授予者)；PRIVILEGE列表示對象權(quán)限；GRANTABLE表示在授權(quán)時是否帶了WITHGRANTOPTION選項；HIERARCHY表示在授權(quán)時是否帶了WITHHIERARCHYOPTION選項；grantee表示獲得對象權(quán)限的用戶(被授予者)。

由輸出結(jié)果可知，SYS用戶將DBMS_TRANSACTION對象上的EXECUTE對象權(quán)限授予了TEACHER用戶，并且在授權(quán)時帶了WITHGRANTOPTION選項。

9.3角

色

管

理

9.3.1系統(tǒng)預(yù)定義角色

Oracle系統(tǒng)在安裝完成后就已經(jīng)內(nèi)置了用于管理的角色，這些角色稱為預(yù)定義角色。系統(tǒng)預(yù)定義角色已經(jīng)由系統(tǒng)授予了相應(yīng)的系統(tǒng)權(quán)限，可以由數(shù)據(jù)庫管理員直接使用，一旦將這些角色授予用戶，用戶便具有角色中所包含的系統(tǒng)權(quán)限。Oracle9i數(shù)據(jù)庫系統(tǒng)預(yù)先定義了25種角色,可以在dba_roles數(shù)據(jù)字典中查詢。以下列舉了一些預(yù)定義角色。

CONNECT：連接到數(shù)據(jù)庫，最終用戶角色。

RESOURCE：申請資源創(chuàng)建對象，開發(fā)人員角色。

DBA：具有全部系統(tǒng)權(quán)限，可以創(chuàng)建用戶。

IMP_FULL_DATABASE：裝入全部數(shù)據(jù)庫內(nèi)容。

EXP_FULL_DATABASE：卸出全部數(shù)據(jù)庫內(nèi)容。

DELE_CATALOG_ROLE：能刪除審計表中的記錄。

SELECT_CATALOG_ROLE：查詢數(shù)據(jù)字典。

EXECUTE_CATALOG_ROLE：執(zhí)行過程和函數(shù)。

通過查詢SYS.DBA_SYS_PRIVS可以了解每種角色擁有的權(quán)利。例如，利用下面的語句可以將DBA角色授予用戶Mary：

SQL>GRANTDBATOMaryWITHGRANTOPTION;

在同一條GRANT語句中，可以同時為用戶授予系統(tǒng)權(quán)限和角色。

如果在為某個用戶授予角色時使用了WITHADMINOPTION選項，則該用戶將具有如下權(quán)利：

(1)將這個角色授予其他用戶，使用或不使用WITHADMINOPTION選項。

(2)從任何具有這個角色的用戶那里收回該角色。

(3)刪除或修改這個角色。

注意：不能使用一條GRANT語句同時為用戶授予對象權(quán)限和角色。

9.3.2自定義角色

用戶根據(jù)需求進(jìn)行分類可以創(chuàng)建各種角色。

1．利用OEM創(chuàng)建角色

(1)如圖

9-11所示，選擇“創(chuàng)建”角色。

圖

9-11選擇“創(chuàng)建”角色

(2)出現(xiàn)如圖

9-12所示的“創(chuàng)建角色”的“一般信息”選項卡。

(3)圖

9-13所示為“創(chuàng)建角色”的“角色”選項卡，用于為多個角色分配子角色。

(4)圖

9-14所示為“創(chuàng)建角色”的“系統(tǒng)權(quán)限”選項卡。

(5)圖

9-15所示為“創(chuàng)建角色”的“對象權(quán)限”選項卡。

(6)圖9-16所示為“創(chuàng)建角色”的“使用者組”選項卡。

(7)成功創(chuàng)建角色后將出現(xiàn)如圖9-17所示的界面。

圖

9-12“創(chuàng)建角色”的“一般信息”選項卡

圖

9-13“創(chuàng)建角色”的“角色”選項卡

圖9-14“創(chuàng)建角色”的“系統(tǒng)權(quán)限”選項卡

圖9-15“創(chuàng)建角色”的“對象權(quán)限”選項卡

圖

9-16“創(chuàng)建角色”的“使用者組”選項卡

圖

9-17“角色創(chuàng)建成功”界面

2．利用SQL命令創(chuàng)建角色

使用CREATEROLE語句可以創(chuàng)建一個新的角色，執(zhí)行該語句的用戶必須具有CREATEROLE系統(tǒng)權(quán)限。在創(chuàng)建角色之后，必須立即為它授予權(quán)限，然后就可以將角色授予用戶，此時用戶得到的權(quán)限與角色的權(quán)限相同。

【例9.21】

創(chuàng)建一個名為OPT_ROLE的角色，并且為它授予一些對象權(quán)限和系統(tǒng)權(quán)限，將角色授予teacher用戶。

(1)創(chuàng)建角色。

SQL>CREATEROLEOPT_ROLE;

角色已創(chuàng)建。

(2)為角色授權(quán)。

SQL>GRANTCREATESESSION,CREATETABLE,CREATEVIEWTOOPT_ROLE;

授權(quán)成功。

(3)為用戶授予角色。

SQL>GRANTOPT_ROLETOteacher;

授權(quán)成功。

(4)以授權(quán)用戶連接數(shù)據(jù)庫。

SQL>CONNECTteacher/teacher123

已連接。

(5)查詢數(shù)據(jù)字典role_sys_privs,了解用戶所具有的角色及該角色所包含的系統(tǒng)權(quán)限。

SQL>select*fromrole_sys_privs;

【例9.22】

創(chuàng)建一個帶有口令的角色PW_ROLE。

SQL>CREATEROLEPW_ROLEidentifiedbymanager123;

角色已創(chuàng)建。

SQL>GRANTCREATESESSION,CREATETABLETOPW_ROLE;

授權(quán)成功。

9.3.3管理角色

1．利用OEM管理角色

如圖

9-18所示，選中相應(yīng)的角色，點擊右鍵，在出現(xiàn)的各選項卡中可以修改角色的各種配置參數(shù)，對應(yīng)修改角色的SQL語句為“ALTERROLE”或者“REVOKE”。如果要刪除角色，則選擇移去角色，出現(xiàn)如圖

9-19所示的角色刪除確認(rèn)界面，選擇【是】按鈕進(jìn)行刪除。此過程對應(yīng)的

SQL代碼如下所述。

SQL>DROPROLETEMPROLE;

圖

9-18選擇修改角色

圖

9-19角色刪除確認(rèn)界面

2．利用SQL命令管理角色

利用SQL語句的ALTERROLE、GRANTROLE和REVOKE命令也可以管理角色，操作者必須被授予具有ADMINOPTION角色或ALTERANYROLE系統(tǒng)權(quán)限。

ALTERROLErole_name[NOTIDENTIFIED][IDENTIFIEDBYpassword]其關(guān)鍵字參數(shù)的意義與CREATEROLE語句相同。

使用REVOKE語句可以收回已經(jīng)授予用戶(或角色)的角色，執(zhí)行收回角色操作，同時用戶必須具有授予相同角色的能力。

【例9.23】

取消角色manager的口令。

SQL>ALTERROLEmanagernotidentified;

類型已丟棄。

【例9.24】

刪除角色manager。

SQL>DROPROLEmanager;

角色已丟棄

【例9.25】

收回已經(jīng)授予用戶teacher的OPT_ROLE角色。

SQL>REVOKEOPT_ROLEFROMteacher;

撤消成功。

9.3.4啟用和禁用角色

一個用戶可以同時被授予多個角色，但是并不是所有這些角色都同時起作用。角色可以處于兩種狀態(tài)：激活狀態(tài)或禁用狀態(tài)。禁用狀態(tài)的角色其權(quán)限并不生效。

當(dāng)用戶連接到數(shù)據(jù)庫中時，只有他的默認(rèn)角色(DefaultRole)處于激活狀態(tài)。在ALTERUSER角色中使用DEFAULTROLE子句可以改變用戶的默認(rèn)角色。

【例9.26】

將用戶所擁有的一個角色設(shè)置為默認(rèn)角色。

SQL>ALTERUSERteacherDEFAULTROLEconnect,OPT_ROLE;

用戶已更改。

在用戶會話的過程中，還可以使用SETROLE語句來激活或禁用他所擁有的角色。用戶同時激活的最大角色數(shù)目由初始化參數(shù)ENABLEDROLES決定(默認(rèn)值為20)。

【例9.27】

將角色OPT_ROLE設(shè)置為激活狀態(tài)。

SQL>SETROLEOPT_ROLE;

【例9.28】

啟用用戶所擁有的所有角色。

SQL>SETROLEALL;

【例9.29】

禁用用戶所擁有的所有角色。

SQL>SETROLENONE;

9.3.5查詢角色信息

為了方便查詢角色的有關(guān)信息，Oracle提供了以下數(shù)據(jù)字典視圖。

DBA_ROLES視圖：查看當(dāng)前數(shù)據(jù)庫中存在的所有角色。

SESSION_ROLES視圖：用戶當(dāng)前啟用的角色。

ROLE_ROLE_PRIVS視圖：查看角色與權(quán)限授予情況，以及是否有傳遞權(quán)限情況。

DBA_ROLE_PRIVS視圖：用戶(或角色)與角色之間的授予關(guān)系。

ROLE_SYS_PRIVS視圖：查看系統(tǒng)權(quán)限的授予情況。

將角色授予用戶后，角色信息存儲在用戶數(shù)據(jù)字典user_role_privs中，允許用戶查詢自己所具有的角色。

其中，GRANTED_ROLE表示為該用戶授予的角色名稱；ADMIN_OPTION表示該角色是否可以傳遞給其他用戶；NO表示沒有角色的傳遞權(quán)。數(shù)據(jù)庫管理員有時需要了解數(shù)據(jù)庫中已經(jīng)創(chuàng)建了哪些角色，以確定可以使用的角色信息，其所創(chuàng)建的角色存儲在數(shù)據(jù)字典DBA_ROLES視圖中。

【例9.31】

查詢已經(jīng)創(chuàng)建的角色。

SQL>selectrole,password_requiredfromdba_roles;

要了解將哪些角色已經(jīng)授予哪些用戶，可以查詢數(shù)據(jù)字典dba_role_privs。

【例9.32】

查詢哪些角色已經(jīng)授予哪些用戶。

SQL>selectGRANTEE,GRANTED_ROLE,ADMIN_OPTION

2Fromdba_role_privs;

為用戶授予某個角色后，該角色中的權(quán)限也就授予了用戶。數(shù)據(jù)庫管理員需要了解哪些角色授予了哪些權(quán)限，以便知道用戶的權(quán)限是否使用正確。要了解角色授予了哪些權(quán)限，可以通過查詢數(shù)據(jù)字典role_sys_privs。

【例9.33】

查詢哪些角色授予了哪些權(quán)限。

SQL>selectrole,privilege,admin_option

2Fromrole_sys_privs; 9.4概

要

文

件

9.4.1概要文件的內(nèi)容

當(dāng)數(shù)據(jù)庫系統(tǒng)運(yùn)行時，實例為用戶分配一些系統(tǒng)資源，如CPU的使用、分配SGA的空間大小、連接數(shù)據(jù)庫的會話數(shù)、用戶口令期限等，這些都可以看成是數(shù)據(jù)庫系統(tǒng)的資源。

Oracle系統(tǒng)對每個用戶使用的系統(tǒng)資源可以通過概要文件(PROFILE)來管理。

概要文件用來限制用戶使用的系統(tǒng)和數(shù)據(jù)庫資源，并管理口令限制。創(chuàng)建用戶時，系統(tǒng)提供了一個名為DEFAULT的默認(rèn)概要文件，也可以創(chuàng)建并指定一個概要文件給用戶。

1．限制資源使用

使用概要文件可以限制如下系統(tǒng)資源的使用。

(1)每個會話或每個語句的CPU時間(以百分之一秒計)。

(2)每個會話或每個語句的邏輯磁盤I/O。

(3)每個用戶的并發(fā)數(shù)據(jù)庫會話。

(4)每個會話的最大連接時間和空閑時間。

(5)可供多進(jìn)程服務(wù)器會話使用的最大的服務(wù)器內(nèi)存。

以下為概要文件中使用的各種限制資源參數(shù)。

(1)SESSIONS_PER_USER：該參數(shù)限制每個用戶所允許建立的最大并發(fā)會話數(shù)目。達(dá)到這個限制時，用戶不能再建立任何數(shù)據(jù)庫連接。

(2)CPU_PER_SESSION：該參數(shù)限制每個會話所能使用的CPU時間。

(3)CPU_PER_CALL：該參數(shù)限制每條SQL語句所能使用的CPU時間。

(4)LOGICAL_READS_PER_SESSION：該參數(shù)限制每個會話所能讀取的數(shù)據(jù)塊數(shù)目，包括從內(nèi)存中讀取的數(shù)據(jù)塊和從硬盤中讀取的數(shù)據(jù)塊。

(5)?LOGICAL_READS_PER_CALL：

該參數(shù)限制每條SQL語句所能讀取的數(shù)據(jù)塊數(shù)目，包括從內(nèi)存中讀取的數(shù)據(jù)塊和從硬盤中讀取的數(shù)據(jù)塊。

(6)CONNECT_TIME：該參數(shù)限制每個會話能連接到數(shù)據(jù)庫的最長時間。當(dāng)連接時間達(dá)到該參數(shù)的限制時，用戶會話將自動斷開。

(7)IDLE_TIME：該參數(shù)限制每個會話所允許的最大連續(xù)空閑時間。如果一個會話持續(xù)的空閑時間達(dá)到該參數(shù)的限制，則該會話將自動斷開。

(8)COMPOSITE_LIMIT：該參數(shù)用于設(shè)置“組合資源限制”。

(9)?PRIVATE_SGA：

在共享服務(wù)器操作模式下，執(zhí)行SQL語句和PL/SQL語句時，Oracle將在SGA中創(chuàng)建私有SQL區(qū)。該參數(shù)限制在SGA中為每個會話所能分配的最大私有SQL區(qū)的大小。在專用服務(wù)器操作模式下，該參數(shù)不起作用。

2．管理用戶帳號及口令

使用概要文件可以實現(xiàn)如下口令策略。

(1)帳戶的鎖定：指用戶在連續(xù)輸入多少次錯誤的口令后，將由Oracle自動鎖定用戶的帳戶，并且可以設(shè)置帳戶鎖定的時間。

(2)口令的過期時間：用于強(qiáng)制用戶定期修改自己的口令。當(dāng)口令過期后，Oracle將隨時提醒用戶修改口令。如果用戶仍然不修改自己的口令，則Oracle將使他的口令失效。

(3)口令的復(fù)雜度：在概要文件中可以通過指定的函數(shù)來強(qiáng)制用戶的口令必須具有一定的復(fù)雜度。

(4)允許用戶口令可以持續(xù)使用的時間。如果在達(dá)到這個限制之前用戶還沒有更換另外一個口令，則他的口令將失效。

(5)指定用戶在能夠重復(fù)使用一個舊口令前必須經(jīng)過的天數(shù)。

以下為在概要文件中使用的各種口令參數(shù)。

(1)FAILED_LOGIN_ATTEMPTS：該參數(shù)指定允許的輸入錯誤口令的次數(shù)，超過該次數(shù)后用戶帳戶被自動鎖定。

(2)PASSWORD_LOCK_TIME：該參數(shù)指定用戶帳戶由于口令輸入錯誤而被鎖定后，持續(xù)保持鎖定狀態(tài)的時間。

(3)PASSWORD_LIFE_TIME：口令的有效期(天)。

(4)?PASSWORD_GRACE_TIME：該參數(shù)指定用戶口令過期的時間。如果在達(dá)到這個限制之前用戶還沒有更換另外一個口令，則Oracle將對他提出警告。在口令過期之后，用戶在達(dá)到PASSWORD_LIFE_TIME參數(shù)的限制之前有機(jī)會主動修改口令。

(5)PASSWORD_REUSE_TIME：該參數(shù)指定用戶在能夠重復(fù)使用一個口令前必須經(jīng)過的時間。

(6)PASSWORD_REUSE_MAX：該參數(shù)指定用戶在能夠重復(fù)使用一個口令之前必須對口令進(jìn)行修改的次數(shù)。PASSWORD_REUSE_TIME參數(shù)和PASSWORD_REUSE_MAX參數(shù)只能設(shè)置一個，另一個參數(shù)必須指定為UNLIMITED。

(7)?PASSWORD_VERIFY_FUNCTION：該參數(shù)指定用于驗證用戶口令復(fù)雜度的函數(shù)。Oracle通過一個內(nèi)置腳本提供了一個默認(rèn)函數(shù)，用于驗證用戶口令的復(fù)雜度。所有指定時間的口令參數(shù)都以天為單位。

3．啟用和禁用概要文件

在數(shù)據(jù)庫啟動之前，可以通過設(shè)置初始化參數(shù)RESOURCE_LIMIT來決定概要文件的狀態(tài)。如果RESOURCE_LIMIT參數(shù)設(shè)置為TRUE，則啟動數(shù)據(jù)庫后概要文件將處于激活狀態(tài)；反之，如果RESOURCE_LIMIT參數(shù)設(shè)置為FALSE，則啟動數(shù)據(jù)庫后概要文件將處于禁用狀態(tài)。默認(rèn)情況下，RESOURCE_LIMIT參數(shù)為FALSE。

在數(shù)據(jù)庫啟動之后(處于打開狀態(tài))，可以使用ALTERSYSTEM語句來改變概要文件的狀態(tài)，執(zhí)行該語句的用戶必須具有ALTERSYSTEM系統(tǒng)權(quán)限。

【例9.34】

利用下面的語句可以將概要文件由禁用狀態(tài)切換到激活狀態(tài)。

SQL>ALTERSYSTEMSETRESOURCE_LIMIT=TRUE;

系統(tǒng)已更改。

利用ALTERSYSTEM命令啟用資源限制，它只在當(dāng)前數(shù)據(jù)庫實例的存在期中有效。如果關(guān)閉和重新啟動Oracle，則概要文件的狀態(tài)將服從于參數(shù)RESOURCE_LIMIT的設(shè)置。該參數(shù)在服務(wù)器端初始化參數(shù)文件(SPFILE)時，如果計劃永久使用資源限制，則可將參數(shù)RESOURCE_LIMIT=TRUE的設(shè)置保存在服務(wù)器參數(shù)文件中。

9.4.2利用OEM創(chuàng)建和管理概要文件

1．在企業(yè)管理器中創(chuàng)建概要文件

(1)如圖

9-20所示，在快捷菜單中選擇“創(chuàng)建”概要文件，出現(xiàn)如圖

9-21所示的“創(chuàng)建概要文件”的“一般信息”選項卡。

圖

9-20選擇“創(chuàng)建”概要文件

圖

9-21“創(chuàng)建概要文件”的“一般信息”選項卡

(2)選中“口令”選項卡，如圖9-22所示。在每項欄目內(nèi)鍵入相應(yīng)的內(nèi)容后，單擊【創(chuàng)建】按鈕，出現(xiàn)如圖9-23所示的“概要文件創(chuàng)建成功”界面。

圖

9-22“創(chuàng)建概要文件”的“口令”選項卡

圖

9-23“概要文件創(chuàng)建成功”界面

(3)按照上述配置創(chuàng)建概要文件的SQL代碼如下所述。

CREATEPROFILE"TEMPPROFILE"

/*“一般信息”選項卡對應(yīng)的配置參數(shù)*/

LIMITCPU_PER_SESSION1000

CPU_PER_CALL1000

CONNECT_TIME30

IDLE_TIMEDEFAULT

SESSIONS_PER_USER10

LOGICAL_READS_PER_SESSION1000

LOGICAL_READS_PER_CALL1000

PRIVATE_SGA16K

COMPOSITE_LIMIT1000000

/*“口令”選項卡對應(yīng)的配置參數(shù)*/

FAILED_LOGIN_ATTEMPTS3

PASSWORD_LOCK_TIME5

PASSWORD_GRACE_TIME60

PASSWORD_LIFE_TIME30

PASSWORD_REUSE_MAXDEFAULT

PASSWORD_REUSE_TIME30

PASSWORD_VERIFY_FUNCTIONDEFAULT

2．概要文件的修改

(1)選中要修改的概要文件，如圖

9-24所示，在快捷菜單中選擇“查看/編輯詳細(xì)資料”。

圖

9-24選擇要修改的概要文件

(2)在出現(xiàn)的編輯概要文件的“一般信息”和“口令”選項卡中可修改概要文件的配置參數(shù)，對應(yīng)修改概要文件的SQL語句為“ALTERPROFILE”。

3．將概要文件分配給用戶

(1)在該用戶的概要文件欄內(nèi)選擇需要的概要文件，如圖9-25所示，即可將概要文件分配給用戶。

圖

9-25分配概要文件

(2)上述過程對應(yīng)的

SQL代碼如下所述。

SQL>ALTERUSERTEACHERPROFILETEMPPROFILE;

用戶已更改。

4．概要文件的刪除

(1)選中要刪除的概要文件，在快捷菜單中選擇“移去”，如圖

9-26所示。系統(tǒng)會提示是否確認(rèn)要刪除的信息。

(2)刪除概要文件的SQL代碼如下所述。

SQL>dropprofiletempprofilecascade;

配置文件已丟棄。

圖

9-26“移去”概要文件的界面

9.4.3利用SQL命令創(chuàng)建和管理概要文件

1．創(chuàng)建概要文件

使用CREATEPROFILE語句可以創(chuàng)建概要文件，執(zhí)行該語句的用戶必須具有CREATEPROFILE系統(tǒng)權(quán)限。創(chuàng)建概要文件的命令格式如下：

CREATEPROFILEprofile_nameLIMIT

resource_parameters|password_parameters

說明：profile_name為要創(chuàng)建的概要文件的名字；resource_parameters為對一個用戶指定資源限制的參數(shù)；password_parameters為口令參數(shù)。

其中，resource_parameters表達(dá)式包含：

[SESSIONS_PER_USERinteger|UNLIMITED|DEFAULT]

[CPU_PER_SESSIONinteger|UNLIMITED|DEFAULT]

[CPU_PER_CALLinteger|UNLIMITED|DEFAULT]

[CONNECT_TIMEinteger|UNLIMITED|DEFAULT]

[IDLE_TIME|UNLIMITED|DEFAULT]

[LOGICAL_READS_PER_SESSIONinteger|UNLIMITED|DEFAULT]

[LOGICAL_READS_PER_CALLinteger|UNLIMITED|DEFAULT]

[PRIVATE_SGAinteger{K|M}|UNLIMITED|DEFAULT]

[COMPOSITE_LIMITinteger|UNLIMITED|DEFAULT]

password_parameters表達(dá)式包含：

[FAILED_LOGIN_ATTEMPTSexpression|UNLIMITED|DEFAULT]

[PASSWORD_LIFE_TIMEexpression|UNLIMITED|DEFAULT]

PASSWORD_REUSE_TIMEexpression|UNLIMITED|DEFAULT]

[PASSWORD_REUSE_MAXexpression|UNLIMITED|DEFAULT]

[PASSWORD_LOCK_TIMEexpression|UNLIMITED|DEFAULT]

[PASSWORD_GRACE_TIMEexpression|UNLIMITED|DEFAULT]

[[PASSWORD_VERIFY_FUNCTIONexpression|UNLIMITED|DEFAULT]

【例9.35】

創(chuàng)建用戶概要文件pro_manager。

SQL>createprofilepro_managerlimit

2SESSIONS_PER_USER4

3Cpu_per_sessionunlimited

4Cpu_per_call600

5IDLE_TIME30

6Connect_time300;

配置文件已創(chuàng)建。

【例9.36】

創(chuàng)建用戶manager并指定概要文件。

SQL>createusermanageridentifiedbymanager123

2Defaulttablespaceusers

3Quota10Monusers

4Profilepro_manager;

用戶已創(chuàng)建。

2．修改概要文件

概要文件在創(chuàng)建之后，可以使用ALTERPROFILE語句來修改其中的資源參數(shù)和口令參數(shù)。執(zhí)行該語句的用戶必須具有ALTERPROFILE系統(tǒng)權(quán)限。

【例9.37】

修改概要文件pro_manager。

SQL>ALTERPROFILEpro_managerLIMIT

2CPU_PER_CALLDEFAULT

3LOGICAL_READS_PER_SESSION20000;

配置文件已更改。

3．指定概要文件

在使用ALTERUSER語句修改用戶時，也可以為他指定概要文件。

【例9.38】

將概要文件pro_manager指定給用戶manager。

SQL>ALTERUSERmanagerPROFILEpro_manager;

用戶已更改。

4．刪除概要文件

使用DROPPROFILE語句可以刪除概要文件，執(zhí)行該語句的用戶必須具有DROPPROFILE系統(tǒng)權(quán)限。如果要刪除的概要文件已經(jīng)指定給了用戶，則必須在DROPPROFILE語句中使用CASCADE關(guān)鍵字。

【例9.39】

刪除概要文件pro_manager。

SQL>DROPPROFILEpro_managerCASCADE;

配置文件已丟棄。

如果為用戶指定的概要文件已經(jīng)被刪除，則Oracle將自動為用戶重新指定DEFAULT概要文件。

9.4.4查詢概要文件信息

數(shù)據(jù)庫管理員需要了解當(dāng)前系統(tǒng)的用戶定義狀況，可以通過查詢概要文件來獲得當(dāng)前實例的所有資源對象信息。以下是與配置文件相關(guān)的表和視圖。

USER_PASSWORD_LIMITS

USER_RESOURCE_LIMITS

DBA_PROFILES

RESOURCE_COST

V$SESSION

V$SESSTAT

V$STATNAME

【例9.40】

利用dba_profils數(shù)據(jù)字典視圖查詢當(dāng)前用戶資源的使用信息。

SQL>SELECTprofile,resource_name,resource_type,limit

2FROMdba_profiles

3ORDERbyprofile; 9.5小

結(jié)

Oracle通過使用用戶管理、權(quán)限與角色、概要文件等措施來保護(hù)數(shù)據(jù)庫的安全。

Oracle用戶管理的機(jī)制是Oracle系統(tǒng)安全性的一個重要方面。Oracle的每個合法用戶可以存取其權(quán)限規(guī)定的數(shù)據(jù)庫資源。

Oracle通過控制用戶對數(shù)據(jù)庫的訪問可阻止非法用戶對資源的訪問和破壞。

權(quán)限是執(zhí)行一種特殊類型的SQL語句或存取另一用戶的對象的權(quán)力。Oracle將權(quán)限分為兩類：系統(tǒng)權(quán)限和對象權(quán)限。

角色是一組系統(tǒng)權(quán)限和對象權(quán)限的集合，把它們組合在一起賦予一個名字，就使授予權(quán)限變得簡單。

一個角色可授予系統(tǒng)權(quán)限或?qū)ο髾?quán)限，任何角色可授權(quán)給任何數(shù)據(jù)庫用戶。

資源限制概要文件是Oracle安全策略的重要組成部分。概要文件用來限制用戶使用的系統(tǒng)和數(shù)據(jù)庫資源，并管理口令限制。

習(xí)題九

一、選擇題

1．執(zhí)行了下列語句后，Kevin可以()。(選擇三項)

GRANTALLONcdTOKevin;

REVOKEUPDATE;

DELETEONcdFROMKevin;

A.插入和刪除記錄到表cd

B.插入和查詢記錄到表cd

C.將部分權(quán)限授予其他

D.查詢和更新表cd的記錄

2.()權(quán)限決定了()用戶可以在數(shù)據(jù)庫中刪除和創(chuàng)建對象。

A.語句權(quán)限

B.用戶權(quán)限

C.數(shù)據(jù)庫權(quán)限

D.對象權(quán)限

3．以下()特權(quán)或角色可以建立數(shù)據(jù)庫。

ASYSDBA B.SYSOPER C.DBA

4．以下()特權(quán)或角色可以關(guān)閉數(shù)據(jù)庫。

A.SYSDBA B.SYSOPER C.DBA

5．DBA希望使用口令校驗函數(shù)確保用戶口令的復(fù)雜性，應(yīng)該以()用戶建立口令校驗函數(shù)。

A.?SYSTEM B.?SYS C.?SCOTT D.?DBSNMP

6．為了同時指定口令限制和資源限制，需要給用戶分配()PROFILE。

A.兩個

B.三個

C.一個

7．管理口令必須激活資源限制嗎?()

A.是

B.不是

8．以下()權(quán)限及選項不能被授予角色。

A.UNLIMITEDTABLESPACE

B.WITHADMINOPTION

C.?WITHGRANTOPTION

D.?CREATESESSION

9．以下()角色具有

UNLIMITEDTABLESPACE系統(tǒng)權(quán)限。

A.CONNECT B.RESOURCE

C.DBA

D.EXP_FULL_DATABASE

10．當(dāng)用戶具有以下()角色時可以訪問數(shù)據(jù)字典視圖

DBA_XXX。

A.CONNECT B.RESOURCE

C.DBA

D.SELECT_CATALOG_ROLE

11．在以下()對象權(quán)限上可以授予列權(quán)限。

A.SELECT B.UPDATE

C.?DELETE D.?INSERTEREFERENCES二、簡答題

1．Oracle9i的安全性分為幾個層次？

2．簡述Oracle的權(quán)限分類。

3．什么是角色？創(chuàng)建角色的