《Oracle数据库管理、开发与实践 教学课件 ppt 作者 杨永健 刘尚毅 第13章 用户管理与权限分配》由会员分享,可在线阅读,更多相关《Oracle数据库管理、开发与实践 教学课件 ppt 作者 杨永健 刘尚毅 第13章 用户管理与权限分配(55页珍藏版)》请在金锄头文库上搜索。
1、,本章要求:,第13章 用户管理与权限分配,了解用户与模式的关系 掌握如何创建与管理用户 掌握如何进行用户权限分配 掌握角色的创建与权限分配 了解配置资源PROFILE,主要内容,1.用户与模式的关系 2.创建与管理用户 3.用户权限管理 4.角色管理 5.资源配置PROFILE 6.综合实例创建开发者角色,第13章 用户管理与权限分配,13.1 用户与模式的关系,Oracle数据库的安全保护流程可以分为3个步骤。首先,用户向数据库提供身份识别信息,即提供一个数据库账号。接下来用户还需要证明他们所给出的身份识别信息是有效的,这是通过输入密码来实现的,用户输入的密码经过数据库的核对确认用户提供的
2、密码是否正确。最后,假设密码是正确的,那么数据库认为身份识别信息是可信赖的。此时,数据库将会在基于身份识别信息的基础上确定用户所拥有的权限,即用户可以对数据库执行什么操作。因此,为了确保数据库的安全,首要的问题就是对用户进行管理。 这里所有的用户并不是数据库的操作人员,而是在数据库中定义的一个名称,更准确地说它是账户,只是习惯上称其为用户,它是Oracle数据库的基本访问控制机制,当连接到Oracle数据库时,操作人员必须提供正确的用户名和密码。 连接到数据库的用户所具有的权限是不同的,Oracle提供了一些特权用户,比如,SYSDBA或SYSOPER,这类用户主要用于执行数据库的维护操作,如
3、启动数据库、关闭数据库、建立数据库,以及执行备份和恢复等操作。SYSDBA和SYSOPER的区别在于:SYSDBA不仅具备SYSOPER的所有权限,而且还可以建立数据库,执行不完全恢复。在Oracle 11g中,Oracle提供了默认的特权用户SYS,当以特权用户身份登录数据库时,必须带有AS SYSDBA或AS SYSOPER选项。例如; SQL connect system/1qaz2wsx as sysdba; 已连接。 与用户密切关系的另一个概念是模式,模式也称作方案(Schema)。模式或方案实际上是用户所拥有的数据库对象的集合。在Oracle数据库中,对象是以用户来组织的,用户与模
4、式是一一对应的关系,并且两者名称相同。,如图13-1所示,SCOTT用户拥有的所有对象都属于SCOTT模式,而HR用户拥有的所有对象都属于HR模式。 图13-1 用户与模式 当访问数据库对象时,需要注意如下一些事项: 在同一个模式中不能存在同名对象,但是不同模式中的对象名称则可以相同。 用户可以直接访问其它模式对象,但如果要访问其它模式对象,则必须具有该对象的相应访问权限。例如,用户SCOTT可以直接查看其模式中的EMP表,但如果用户HR要查看SCOTT模式中的EMP表时,则必须在EMP表上具有SELECT操作的权限。 当用户要访问其它模式对象时,必须附加模式名作为前缀。,13.2 创建与管理
5、用户,13.2.1 身份验证 13.2.2 创建用户 13.2.3 修改用户 13.2.4 删除用户,Oracle为用户账户提供了三种身份验证方法。 密码验证 当一个使用密码验证机制的用户视图连接到数据库时,数据库会核实用户名是否是一个有效的数据库账户,并且提供与该用户在数据库中存储的密码相匹配的密码。 由于用户信息和密码都存储在数据库内部,所以使用密码验证用户也称为数据库验证用户。 外部验证 外部验证是指当用户试图连接到数据库时,数据库会核实用户名是否是一个有效的数据库账户,并且确认该用户已经完成了操作系统级别的身份验证。 注意:外部验证用户并不在数据库中存储一个验证密码。 全局验证 全局验
6、证是指用户不在数据库中存储验证密码,而是通过一种高级安全选项所提供的身份验证服务来进行的。 在上述的三种验证方式中,密码验证是最常使用的验证方法,也是本章将要详细介绍的。除非特别声明,本书中所创建和使用的用户都是密码验证用户。 另外两种验证一般很少使用,在这里仅简单列出,有兴趣的读者可以查阅Oracle的官方文档。,13.2.1 身份验证,要创建一个新的用户(本章均指密码验证用户、以下不在重复),可采用CREATE USER命令。其语法格式如下: create user user_name identified by pass_word or identified exeternally or
7、 identified globally as CN=user default tablespace tablespace_default temporary tablespace tablespace_temp quota integer km unlimited on tablesapce_ specify1 ,quota integer km unlimited on tablesapce_ specify2 ,on tablespace_specifyn profiles profile_name account lock or account unlock 参数说明如下: user_
8、name:用户名,一般为字母数字型和“#”及“_”符号。 pass_word:用户口令,一般为字母数字型和“#”及“_”符号。 identified exeternally:表示用户名在操作系统下验证,这种情况下要求该用户必须与操作系统中所定义的用户名相同。 identified globally as CN=user:表示用户名由Oracle安全域中心服务器验证,CN名字表使用户的外部名。 default tablespace tablespace_default:表示该用户在创建数据对象时使用的默认表空间 temporary tablespace tablespace_temp:表示该用户
9、所使用的临时表空间。 quota integer KM unlimited on tablespace_specify1:表示该用户在指定表空间中允许占用的最大空间。 profiles profile_name:资源文件的名称。 account lock or account unlock:用户是否被加锁,默认情况下是不加锁的。,13.2.2 创建用户,下面将通过若干具体的实例来演示如何创建数据库用户。 (1)创建用户,并指定默认表空间和临时表空间。 【例13-1】 创建一个mr用户,口令为mrsoft,并设置默认的表空间为users,临时表空间为temp的用户,代码及运行结果如下。 SQL
10、create user mr identified by mrsoft 2 default tablespace users 3 temporary tablespace temp; 用户已创建。 (2)创建用户,并配置其在指定表空间上的磁盘限额。 有时,为了避免用户在创建表和索引对象时占用过多的空间,可以配置用户在表空间上的磁盘限额。在创建用户时,可通过QUOTA xxxM ON tablespace_ specify子句配置指定表空间的最大可用限额,下面来看一个例子。 【例13-2】 创建一个用户east,口令为mrsoft,默认表空间为users,临时表空间为temp的用户,并指定该用户
11、在tbsp_1表空间上最多可使用的大小为10m,代码及运行结果如下。 SQL create user east identified by mrsoft 2 default tablespace users 3 temporary tablespace temp 4 quota 10m on tbsp_1; 用户已创建。 说明:如果要禁止用户使用某个表空间,则可以通过quota关键字设置该表空间的使用限额为0。,(3)创建用户,并配置其在指定表空间上不受限制 如果要设置用户在指定表空间上不受限制,可以使用QUOTA UNLIMITED ON tablespace_ specify子句,下面来看
12、一个例子。 【例13-3】 创建一个用户名为df,口令为mrsoft,临时表空间为temp,默认表空间为tbsp_1,并且该用户使用tbsp_1表空间不受限制,代码及运行结果如下。 SQL create user df identified by mrsoft 2 default tablespace tbsp_1 3 temporary tablespace temp 4 quota unlimited on tbsp_1; 用户已创建。 在创建完用户之后,需要注意以下几点: 如果建立用户时不指定DEFAULT TABLESPACE子句,Oracle会将SYSTEM表空间作为用户默认表空间。
13、 如果建立用户时不能指定TEMPORARY TABLESPACE子句,Oracle会将数据库默认临时表空间作为用户的临时表空间。 初始建立的用户没有任何权限,所以为了是用户可以连接到数据库,必须授权其CREATE SESSION权限,关于用户的权限设置会在后面的小节中讲解。 如果建立用户时没有为表空间指定QUOTA子句,那么用户在特定表空间上的配额为0,用户将不能在相应的表空间上建立数据对象。 初始建立的用户没有任何权限,不能执行任何数据库操作。,用户创建完后,管理员可以对用户进行修改,包括修改用户口令,改变用户默认表空间、临时表空间、磁盘配额及资源限制等。修改用户的语法与创建的用户的语法基本
14、相似,只是把创建用户语法中的“CREATE”关键字替换成“ALTER”罢了,具体语法这里不再介绍,详情请参考创建用户的基本语法。下面将结合实例来讲解几种常见的修改用户参数的情况。 修改用户的磁盘限额 如果DBA在创建用户时,指定了用户在某个表空间的磁盘限额,那么经过一段时间,该用户使用该表空间已经达到了DBA所设置的磁盘限额时,Oracle系统就会显示如图13-2所示的错误提示。 图13-2 达到磁盘限额的提示 图13.2表示该用户使用的资源已经超出了限额,DBA需要为该用户适当增加资源,下面就来看一个为用户增加表空间限额的例子。,13.2.3 修改用户,【例13-4】 修改用户east在表空
15、间上的磁盘限额为20m(原始为10m,先增加10m),代码及运行结果如下。 SQL alter user east quota 20m on tbsp_1; 用户已更改。 修改用户的口令 用户的口令在使用一段时间之后,根据系统安全的需要或在PROFILE文件中(资源配置文件)设置的规定,用户必须要修改口令,下面来看一个例子。 【例13-5】 修改用户east的新口令为123456(原始为mrsoft),代码及运行结果如下。 SQL alter user east identified by 123456; 用户已更改。 解锁被锁住的用户 Oracle默认安装完成后,为了安全起见,很多用户处于L
16、OCKED状态,如图13-3所示的下部分,DBA可以对LOCKED状态的用户解除锁定,下面来看一个例子。 【例13-6】 使用alter user命令解除被锁定的账户SH,代码及运行结果如下。 SQL alter user SH account unlock; 用户已更改。,13.2.4 删除用户,删除用户通过DROP USER语句完成的,删除用户后,Oracle会从数据字典中删除用户、方案及其所有对象方案,语法如下: drop user user_namecascade 参数说明如下: user_name:要删除的用户名。 cascade:级联删除选项,如果用户包含数据库对象,则必须加CASCADE选项,此时连同该用户所拥有的对象一起删除。 下面通过一个实例来演示如何删除一个用户。 【例13-7】 使用drop user语句删除用户df,并连同该用户所拥有的对象一起删除,代码及运行结果如下。 SQL drop user df
