管理Oracle的用户权限.pptx

计科成本计科成本管理用户、权限管理用户、权限ORACLE数据库管理计科成本权限的分类管理权限的分类管理v系统权限：在系统级控制数据库的存取和使用机制，它一系统权限：在系统级控制数据库的存取和使用机制，它一般是针对某一类方案对象或非方案对象某种操作的全局性般是针对某一类方案对象或非方案对象某种操作的全局性能力。能力。v对象权限：指在对象级控制数据库的存取和使用机制，即对象权限：指在对象级控制数据库的存取和使用机制，即访问其他用户的方案对象能力。访问其他用户的方案对象能力。vDBMS实现数据库安全保护的过程：实现数据库安全保护的过程：1、DBA或对象的创建者通过授权语句，把授予或对象的创建者通过授权语句，把授予/回收权回收权限的定义告诉限的定义告诉DBMS 2、DBMS把授予把授予/回收权限的结果保存在数据字典中回收权限的结果保存在数据字典中 3、当用户提出操作请求时，、当用户提出操作请求时，DBMS根据数据字典中保存根据数据字典中保存的权限定义进行检查，来决定是否允许用户执行该操作的权限定义进行检查，来决定是否允许用户执行该操作ORACLE数据库管理计科成本系统权限的分类系统权限的分类CategoryExamples INDEXCREATE ANY INDEXALTER ANY INDEXDROP ANY INDEX TABLE CREATE TABLECREATE ANY TABLEALTER ANY TABLEDROP ANY TABLESELECT ANY TABLEUPDATE ANY TABLEDELETE ANY TABLESESSIONCREATE SESSIONALTER SESSIONRESTRICTED SESSIONTABLESPACECREATE TABLESPACEALTER TABLESPACEDROP TABLESPACEUNLIMITED TABLESPACE每种系统权限都为用户提供类执行某一种或某一类系统级的数据库操作权力，数据字典视图system_privilege_map中包括了Oracle数据库的所有系统权限ORACLE数据库管理计科成本授予授予/回收系统权限回收系统权限REVOKE CREATE TABLE FROM emi;GRANT CREATE SESSION TO emi;GRANT CREATE SESSION TO emi WITH ADMIN OPTION;DBAGRANTREVOKEJeffEmiJeffEmiDBAORACLE数据库管理计科成本对象权限对象权限vOracle数据库的方案对象主要有：表、索引、视图、序列、同义词、过程、函数包和触发器v创建对象的用户拥有该对象的所有对象权限，不需要授予。所以，对象权限的设置实际上是为对象的所有者给其他用户提供操作该对象的某种权力能力GRANT object_privilege(column_list)GRANT object_privilege(column_list),object_privilege(column_list).,object_privilege(column_list).|ALL PRIVILEGES|ALL PRIVILEGESONONschema.objectschema.objectTOTOuser|role|PUBLIC,user|role|PUBLIC.user|role|PUBLIC,user|role|PUBLIC.WITH GRANT OPTIONWITH GRANT OPTIONGRANT EXECUTE ON dbms_output TO jeff;GRANT UPDATE ON emi.customers TO jeff WITH GRANT OPTION;ORACLE数据库管理计科成本回收对象权限回收对象权限REVOKE object_privilege,object_privilege.|ALL PRIVILEGES ONschema.objectFROM user|role|PUBLIC,user|role|PUBLIC.CASCADE CONSTRAINTSGRANTGRANTREVOKEREVOKEBobJeffEmiEmiJeffBobREVOKE SELECT ON emi.orders FROM jeff;ORACLE数据库管理计科成本数据库权限审计数据库权限审计Parameter file Specify audit optionsDatabaseAudit trailAudit optionsEnable database auditingDBAUserExecute commandGenerate audit trailReview audit informationServerprocessOS audit trailORACLE数据库管理计科成本管理角色管理角色UsersPrivilegesRolesUPDATE ON JOBSINSERT ONJOBS SELECT ONJOBS CREATE TABLECREATE SESSIONHR_CLERKHR_MGRABCORACLE数据库管理计科成本创建创建/修改角色修改角色CREATE ROLE oe_clerk;CREATE ROLE hr_clerk IDENTIFIED BY bonus;CREATE ROLE hr_manager IDENTIFIED EXTERNALLY;ALTER ROLE hr_clerkIDENTIFIED EXTERNALLY;ALTER ROLE hr_managerNOT IDENTIFIED;ALTER ROLE oe_clerk IDENTIFIED BY order;GRANT hr_clerk TO hr_manager;GRANT oe_clerk TO scott;GRANT hr_manager TO scott WITH ADMIN OPTION;ORACLE数据库管理计科成本角色分类角色分类人事管理人事管理工资管理工资管理HR_MANAGERHR_CLERKPAY_CLERKUserrolesApplicationrolesApplicationprivilegesUsers管理工资权限管理工资权限管理人事权限管理人事权限ORACLE数据库管理计科成本管理用户管理用户AccountlockingTablespacequotasTemporarytablespaceDefaulttablespaceRoleprivilegesResourcelimitsSecuritydomainDirectprivilegesAuthenticationmechanism方案对象方案对象TablesTriggersConstraintsIndexesViewsSequencesStored program unitsSynonymsUser-defined data typesDatabase linksORACLE数据库管理计科成本创建用户创建用户CREATE USER aaronIDENTIFIED BY soccerDEFAULT TABLESPACE dataTEMPORARY TABLESPACE tempAccount unlockQUOTA 15m ON dataPASSWORD EXPIRE;ALTER USER aaronQUOTA 0 ON USERS;ORACLE数据库管理计科成本修改用户修改用户v注意：使用注意：使用CASCADE子句可以将用户方案子句可以将用户方案中所有的对象全部级联删除，但如果当前用中所有的对象全部级联删除，但如果当前用户已经连接到户已经连接到Oracle数据库服务器则不能数据库服务器则不能被删除被删除DROP USER aaron;DROP USER aaron CASCADE;