管理Oracle的用户权限课件

1、管理Oracle的用户权限1 管理用户、权限 管理Oracle的用户权限2 权限的分类管理权限的分类管理 v 系统权限：在系统级控制数据库的存取和使用机制，它一系统权限：在系统级控制数据库的存取和使用机制，它一 般是针对某一类方案对象或非方案对象某种操作的全局性般是针对某一类方案对象或非方案对象某种操作的全局性 能力。能力。 v 对象权限：指在对象级控制数据库的存取和使用机制，即对象权限：指在对象级控制数据库的存取和使用机制，即 访问其他用户的方案对象能力。访问其他用户的方案对象能力。 v DBMS实现数据库安全保护的过程：实现数据库安全保护的过程： 1、DBA或对象的创建者通过授权语句，把授

2、予或对象的创建者通过授权语句，把授予/回收权回收权 限的定义告诉限的定义告诉DBMS 2、DBMS把授予把授予/回收权限的结果保存在数据字典中回收权限的结果保存在数据字典中 3、当用户提出操作请求时，、当用户提出操作请求时，DBMS根据数据字典中保存根据数据字典中保存 的权限定义进行检查，来决定是否允许用户执行该操作的权限定义进行检查，来决定是否允许用户执行该操作 管理Oracle的用户权限3 系统权限的分类系统权限的分类 CategoryExamples INDEXCREATE ANY INDEX ALTER ANY INDEX DROP ANY INDEX TABLE CREATE TAB

3、LE CREATE ANY TABLE ALTER ANY TABLE DROP ANY TABLE SELECT ANY TABLE UPDATE ANY TABLE DELETE ANY TABLE SESSIONCREATE SESSION ALTER SESSION RESTRICTED SESSION TABLESPACECREATE TABLESPACE ALTER TABLESPACE DROP TABLESPACE UNLIMITED TABLESPACE 每种系统权限都为用户提供 类执行某一种或某一类系统 级的数据库操作权力，数据 字典视图 system_privilege_

4、map中包 括了Oracle数据库的所有系 统权限 管理Oracle的用户权限4 授予授予/回收系统权限回收系统权限 REVOKE CREATE TABLE FROM emi; GRANT CREATE SESSION TO emi; GRANT CREATE SESSION TO emi WITH ADMIN OPTION; DB A GRANT REVOKE Jef f E mi Jef f E mi DB A 管理Oracle的用户权限5 对象权限对象权限 vOracle数据库的方案对象主要有：表、索引、视图、序列、同义词、过程、 函数包和触发器 v创建对象的用户拥有该对象的所有对象权限

5、，不需要授予。所以，对象权限 的设置实际上是为对象的所有者给其他用户提供操作该对象的某种权力能力 GRANT object_privilege (column_list) GRANT object_privilege (column_list) , object_privilege (column_list) ., object_privilege (column_list) . |ALL PRIVILEGES|ALL PRIVILEGES ONONschema.objectschema.object TOTOuser|role|PUBLIC, user|role|PUBLIC .user|r

6、ole|PUBLIC, user|role|PUBLIC . WITH GRANT OPTIONWITH GRANT OPTION GRANT EXECUTE ON dbms_output TO jeff; GRANT UPDATE ON emi.customers TO jeff WITH GRANT OPTION; 管理Oracle的用户权限6 回收对象权限回收对象权限 REVOKE object_privilege , object_privilege . | ALL PRIVILEGES ONschema.object FROM user|role|PUBLIC , user|role

7、|PUBLIC . CASCADE CONSTRAINTS B o b J ef f E m i E m i J ef f B o b REVOKE SELECT ON emi.orders FROM jeff; 管理Oracle的用户权限7 数据库权限审计数据库权限审计 Parameter file Specify audit options Database Audit trail Audit options Enable database auditing DBAUser Execute command Generate audit trail Review audit informat

8、ion Server process OS audit trail 管理Oracle的用户权限8 管理角色管理角色 Users Privileges Roles UPDATE ON JOBS INSERT ON JOBS SELECT ON JOBS CREATE TABLE CREATE SESSION HR_CLERKHR_MGR A B C 管理Oracle的用户权限9 创建创建/修改角色修改角色 CREATE ROLE oe_clerk; CREATE ROLE hr_clerk IDENTIFIED BY bonus; CREATE ROLE hr_manager IDENTIFIE

9、D EXTERNALLY; ALTER ROLE hr_clerkIDENTIFIED EXTERNALLY; ALTER ROLE hr_managerNOT IDENTIFIED; ALTER ROLE oe_clerk IDENTIFIED BY order; GRANT hr_clerk TO hr_manager; GRANT oe_clerk TO scott; GRANT hr_manager TO scott WITH ADMIN OPTION; 管理Oracle的用户权限10 角色分类角色分类 人事管理人事管理工资管理工资管理 HR_MANAGERHR_CLERKPAY_CL

10、ERK User roles Application roles Application privileges Users 管理工资权限管理工资权限管理人事权限管理人事权限 管理Oracle的用户权限11 管理用户管理用户 Account locking Tablespace quotas Temporary tablespace Default tablespace Role privileges Resource limits Security domain Direct privileges Authentication mechanism 方案对象方案对象 Tables Trigger

11、s Constraints Indexes Views Sequences Stored program units Synonyms User-defined data types Database links 管理Oracle的用户权限12 创建用户创建用户 CREATE USER aaron IDENTIFIED BY soccer DEFAULT TABLESPACE data TEMPORARY TABLESPACE temp Account unlock QUOTA 15m ON data PASSWORD EXPIRE; ALTER USER aaron QUOTA 0 ON USERS; 管理Oracle的用户权限