数据库系统管理与应用 课件 知识点6.2 用户管理改

达梦数据库用户管理数据库系统管理与应用

习标学目达梦数据库初始用户01创建用户02修改用户03删除用户04达梦数据库初始用户01数据库管理员DBA数据库安全员SSO数据库审计员AUDITOR达梦数据库初始用户数据库对象操作员DBO用户名：SYSDBA默认口令：SYSDBA用户名：SYSSSO默认口令：SYSSSO用户名：SYSAUDITOR默认口令：SYSAUDITOR用户名：SYSDBO默认口令：SYSDBO01数据库管理员（DBA）每个数据库至少需要一个DBA来管理，DBA可以是一个人，也可以是一个团队。达梦数据库初始用户数据库管理员的职责主要包括：评估数据库服务器所需的软、硬件运行环境；安装和升级达梦服务器；数据库结构设计；监控和优化数据库的性能；计划和实施备份与故障恢复。02数据库安全员（SSO）数据库安全员对于限制和监控数据库管理员的所有行为起着至关重要的作用。达梦数据库初始用户主要职责：制定并应用安全策略，强化系统安全机制。数据库安全员SYSSSO是达梦数据库初始化的时候就已经创建好的，可以使用该用户登录到达梦数据库来创建新的数据库安全员。数据库安全员也可以创建和删除新的安全用户，向这些用户授予和回收安全相关的权限。数据库安全员不能对用户数据进行增、删、改、查，也不能执行普通的DDL操作，如创建表、视图等。他们只负责制定安全机制，将合适的安全标记应用到主体和客体，通过这种方式可以有效的对DBA的权限进行限制，DBA此后就不能直接访问添加有安全标记的数据，除非安全员给DBA也设定了与之匹配的安全标记，DBA的权限受到了有效的约束。数据库安全员用户或者新的数据库安全员都可以制定自己的安全策略，在安全策略中定义安全级别、范围和组，然后基于定义的安全级别、范围和组来创建安全标记，并将安全标记分别应用到主体和客体，以便启用强制访问控制功能。03数据库审计员（AUDITOR）数据库审计员对于限制和监控数据库管理员的所有行为起着至关重要的作用。达梦数据库初始用户主要职责：创建和删除数据库审计员，设置/取消对数据库对象和操作的审计设置，查看和分析审计记录等。为了能够及时找到DBA或者其他用户的非法操作，在达梦数据库系统建设初期，就由数据库审计员（SYSAUDITOR或者其他由SYSAUDITOR创建的审计员）来设置审计策略（包括审计对象和操作），在需要时，数据库审计员可以查看审计记录，及时分析并查找出幕后真凶。达梦数据库初始化时创建的数据库审计员为SYSAUDITOR，缺省口令为SYSAUDITOR。04数据库对象操作员（DBO）达梦数据库初始用户数据库对象操作员是达梦安全版本提供的一类用户，使用安全版本时，可在创建达梦数据库时通过建库参数PRIV_FLAG设置使用“三权分立”或“四权分立”安全机制，0表示“三权分立”，1表示“四权分立”（该参数仅安全版本提供）。采用“四权分立”安全机制新增的数据库对象操作员账户SYSDBO，其缺省口令为SYSDBO。数据库对象操作员可以创建数据库对象，并对自己拥有的数据库对象（表、视图、存储过程、序列、包、外部链接等）具有所有的对象权限并可以授予与回收，但其无法管理与维护数据库对象。

习标学目达梦数据库初始用户01创建用户02修改用户03删除用户04创建用户0201SQL命令创建用户--命令格式创建用户语法格式如下：CREATEUSER<用户名>IDENTIFIED<身份验证模式>[PASSWORD_POLICY<密码策略>][<锁定子句>][<存储加密秘钥>][<空间限制子句>][<只读标志>][<资源限制子句>][<允许IP子句>][<禁止IP子句>][<允许时间子句>][<禁止时间子句>][<TABLESPACE子句>][<INDEX_TABLESPACE子句>];创建用户的操作一般只能由系统预设用户SYSDBA、SYSSSO和SYSAUDITOR完成，如果普通用户需要创建用户，必须具有CREATEUSER权限。创建用户包括为用户指定用户名、认证模式、口令、口令策略、空间限制、只读属性以及资源限制。01SQL命令创建用户命令中各子句说明创建用户<用户名>::=长度为1~128个字符。用户名可以用双引号括起来，也可以不用，但如果用户名以数字开头，必须用双引号括起来。<身份验证模式>::=<数据库身份验证模式>|<外部身份验证模式><数据库身份验证模式>::=BY<密码>[<散列选项>]<密码>::=用户密码最长为48字节<散列选项>::=HASHWITH[<密码引擎名>.]<散列算法>[<加盐选项>]<散列算法>::=MD5|SHA1|SHA224|SHA256|SHA384|SHA512<加盐选项>::=[NO]SALT<外部身份验证模式>::=EXTERNALLY|EXTERNALLYAS<用户DN>外部身份验证仅在达梦安全版本中才提供支持。外部身份验证模式支持基于操作系统(OS)的身份验证、LDAP身份验证和KERBEROS身份验证。01SQL命令创建用户命令中各子句说明创建用户<密码策略>::=密码策略项的任意组合，系统支持的口令策略有：0无限制，但总长度不得超过48个字节；1禁止与用户名相同；2口令长度不小于9字节；4至少包含一个大写字母（A-Z）；8至少包含一个数字（0-9）；16至少包含一个标点符号（英文输入法状态下，除‘’和空格外的所有符号）密码策略可以单独应用，也可组合应用。组合应用时，如需要应用策略2和4，则设置密码策略为2+4=6即可。若在创建用户时没有使用PASSWORD_POLICY<口令策略>子句指定用户的密码策略，则使用系统的默认口令策略2。<锁定子句>::=ACCOUNTLOCK|ACCOUNTUNLOCK<存储加密秘钥>::=ENCRYPTBY<口令><空间限制子句>::=DISKSPACELIMIT<空间大小>|DISKSPACEUNLIMITED<只读标志>::=READONLY|NOTREADONLY01SQL命令创建用户命令中各子句说明创建用户<资源限制子句>::=LIMIT<资源设置项>{<资源设置项>……}<资源设置项>::=SESSION_PER_USER<参数设置>#最大会话数：1~32768，默认值0CONNECT_TIME<参数设置>#会话空闲期，单位分钟，1~1440，默认值0CONNECT_IDLE_TIME<参数设置>#会话持续期，单位分钟，1~1440，默认值0FAILED_LOGIN_ATTEMPS<参数设置>#登陆失败次数，单位次，1~100，默认值3PASSWORD_LIFE_TIME<参数设置>#口令有效期，单位天，1~365，默认值0PASSWORD_REUSE_TIME<参数设置>#口令等待期，单位天，1~365，默认值0PASSWORD_REUSE_MAX<参数设置>#口令变更次数，单位次，1~32768，默认值0PASSWORD_LOCK_TIME<参数设置>#口令锁定期，单位分钟，1~1440，默认值1PASSWORD_GRACE_TIME<参数设置>#口令宽限期，单位天，1~30，默认值0CPU_PER_SESSION<参数设置>#会话使用CPU时间，单位秒，1~31536000，默认值0CPU_PER_CALL<参数设置>#请求使用CPU时间，，单位秒，1~86400，默认值0READ_PER_SESSION<参数设置>#会话读取页数1~2147483646，默认值0READ_PER_CALL<参数设置>#请求读取页数，1~2147483646，默认值0MEM_SPACE<参数设置>#会话私有内存，1~2147483646，默认值0<参数设置>::=<参数值>|UNLIMITED#参数值最小值都是1，0表示无限制。01SQL命令创建用户命令中各子句说明创建用户<允许IP子句>::=ALLOW_IP<IP项>{,<IP项>}<禁止IP子句>::=NOT_ALLOW_IP<IP项>{,<IP项>}<IP项>::=<具体IP>|<网段><允许时间子句>::=ALLOW_DATETIME<时间项>{,<时间项>}<禁止时间子句>::=NOT_ALLOW_DATETIME<时间项>{,<时间项>}<时间项>::=<具体时间段>|<规则时间段><具体时间段>::=<具体日期><具体时间>TO<具体日期><具体时间><规则时间段>::=<规则时间标志><具体时间>TO<规则时间标志><具体时间><规则时间标志>::=MON|TUE|WED|THURS|FRI|SAT|SUN<TABLESPACE子句>::=DEFAULTTABLESPACE<表空间名><INDEX_TABLESPACE子句>::=DEFAULTINDEXTABLESPACE<表空间名>02DM管理工具创建用户创建用户使用SYSDBA用户登录DM管理工具，展开用户模块，右键单击【管理用户】，选择【新建用户】，在打开的“新建用户”窗口，在【常规】选项卡输入用户名、密码信息，选择验证方式，设置密码策略，并关联相应表空间。02DM管理工具创建用户创建用户在【资源设置项】选项卡输入相应资源设置项的参数值。如下图所示。02DM管理工具创建用户创建用户在管理工具中，默认设置情况如下：用户名、口令、表空间名可以带双引号，也可以不带；表空间名不带双引号的时候，会被管理工具转换为大写；表空间名带上双引号的时候，会保持原来的大小写；用户名不管是否加双引号，都会转换成大写；口令不管是否加双引号，都会保持原来的大小写。修改用户0301SQL命令修改用户修改用户语法格式如下：ALTERUSER<用户名>[IDENTIFIED<身份验证模式>][PASSWORD_POLICY<口令策略>][<锁定子句>][<存储加密密钥>][<空间限制子句>][<只读标志>][<资源限制子句>][<允许IP子句>][<禁止IP子句>][<允许时间子句>][<禁止时间子句>][<TABLESPACE子句>][<SCHEMA子句>];每个子句的具体语法与创建用户的语法一致。用户信息可以修改，SYSDBA、SYSSSO、SYSAUDITOR可以无条件修改同类型的用户的信息；普通用户修改信息，必须具有ALTERUSER数据库权限。使用ALTERUSER语句可修改用户口令、用户的口令策略、空间限制、只读属性以及资源限制等。修改用户口令时，口令策略应符合创建该用户时指定的口令策略02DM管理工具修改用户修改用户方法如下：使用SYSDBA用户登录DM管理工具，展开【用户】-【管理用户】节点，在需要修改的用户上右键单击【修改】选项，在打开的“修改用户”窗口修改用户信息。见图所示。删除用户0401SQL命令删除用户删除用户语法格式如下：DROPUSER[IFEXISTS]<用户名>[RESTRICT|CASCADE];说用说明：[IFEXISTS]选项，指定该关键字删除不存在的用户时不会报错，否则会报错。[RESTRICT|CASCADE]选项，缺省使用RESTRICT选项。如果在删除用户时未使用CASCADE选项，若该用户建立了数据库对象，达梦数据库将返回错误信息，而不删除此用户。如果在删除用户时使用了CASCADE选项，除数据库中该用户及其创建的所有对象被删除外，若其他用户创建的对象引用了该用户的对象，达梦数据库还将自动删除相应的引用完整性约束及依赖关系。删除用户的操作一般由SYSDBA、SYSSSO、SYSAUDITOR用户完成，他们可以删除同类型的其他用户；普通用户要删除其他用户，需要具有DROPUSER权限。02DM管理工具删除用户删除用户使用SYS