oracle用户管理

oracle用户管理教学目的了解Oracle数据库的用户和角色管理机制了解Oracle数据库用户的两种认证方式义务义务用户和角色创立、修正和授权概要文件功用：对数据库用户中止基本的资源限制，保证系统正常运转，防止用户消耗大批资源构成的系统功用下降；对用户口令中止管理。方法：将数据库用户分为几类，为每类用户创立概要文件，并且一个数据库用户只能指定一个概要文件，但是一个概要文件可以为多个用户所用。设置预定义资源参数。这些参数包括在概要文件中，假定没有为用户指定概要文件，那么运用Default概要文件概要文件(续)概要文件控制资源内容：每个用户以后的会话数CPU运用的时间私有的SQL和PL/SQL区运用逻辑读取的完成用户衔接到数据库的闲暇时间留意：resource_limit=TRUE时，启动资源限制。概要文件(续)常用资源限制参数：SESSIONS_PER_USER:限制用户最大并发会话数目CPU_PER_SESSION：限制每个会话占用的最大CPU时间CPU_PER_CALL：限制一个SQL语句运用的CPU时间LOGICAL_READS_PER_SESSION：限制每个会话读取的数据库数据块数，包括从内存和磁盘读取的总和LOGICAL_READS_PER_CALL：限制SQL语句读取的数据库数据块数，包括从内存和磁盘读取的总和PRIVATE_SGA：SGA中私有区域的大小概要文件(续)CONNECT_TIME：指定每个会话衔接到数据库的最大时间IDLE_TIMEDEFAULT：指定一个会话可以延续闲暇的最长时间，单位：分钟COMPOSITE_LIMIT：设置用户对系统资源的综合消耗。由：CPU_PER_SESSION、LOGICAL_READS_PER_SESSION、PRIVATE_SGA、CONNECT_TIME综合决议概要文件(续)FAILED_LOGIN_ATTEMPTS: 最大错误登录次数PASSWORD_LOCK_TIME:登录失败后账户被锁天数PASSWORD_LIFE_TIME:密码有效天数PASSWORD_GRACE_TIME：用户密码被中止前多少天提示用户修正密码PASSWORD_REUSE_TIME：用户修正密码后多少天，用户才可以再次运用原来的密码PASSWORD_REUSE_MAX：密码被重新运用后，可修正的次数PASSWORD_VERIFY_FUNCTION：密码复杂度审计函数概要文件(续)创立概要文件    CREATEPROFILE"TEMPPROFILE"        LIMITCPU_PER_SESSION1000        CPU_PER_CALL1000        CONNECT_TIME30        IDLE_TIMEDEFAULT        SESSIONS_PER_USER10        LOGICAL_READS_PER_SESSION1000        LOGICAL_READS_PER_CALL1000        PRIVATE_SGA16K        COMPOSITE_LIMIT1000000        FAILED_LOGIN_ATTEMPTS3        PASSWORD_LOCK_TIME5        PASSWORD_GRACE_TIME60        PASSWORD_LIFE_TIME30        PASSWORD_REUSE_MAX   DEFAULTPASSWORD_REUSE_TIME30        PASSWORD_VERIFY_FUNCTIONDEFAULT用户管理在Oracle数据库中，系统经过平安措施防止合法用户对数据库中止操作。因此，要衔接到Oracle，就需求一个用户帐号在装置数据库时，Oracle将创立一些默许的数据库用户方式默许的数据库用户SYS用户是Oracle中的一个超级用户。数据库中一切的数据字典和视图都存储在SYS方式中。SYS用户主要用来维护系统信息和管理实例，SYS用户只能以SYSOPER或SYSDBA角色登陆。SYSTEM用户是Oracle默许的系统管理员，它拥有DBA权限。该用户拥有Oracle管理工具运用的外部表和视图。通常经过SYSTEM用户管理Oracle数据库的用户、权限和存储等。不建议在SYSTEM用户方式中创立用户表。SCOTT用户是Oracle数据库的一个示范用户。假定装置时不更改其口令，其默许口令是TIGER。创立新用户在Oracle中可以用CREATEUSER命令用于创立新用户。每个用户都有一个默许表空间和一个暂时表空间，在创立时可以为它们指定，假定不指定，Oracle就把SYSTEM设为默许表空间，TEMP设为暂时表空间。创立新用户的语法如下：CREATEUSERuser_nameIDENTIFIEDBYpassword[DEFAULTTABLESPACEtablespace_name1][TEMPORARYTABLESPACEtablespace_name2]Oracle中的用户管理Oracle中的用户管理包括创立用户、为用户授权、修正用户口令、删除用户等。1.以DBA身份登录到SQL*Plus的SQL提示符外形，输入以下的命令创立新用户：CREATEUSERuser1IDENTIFIEDBYpwd1DEFAULTTABLESPACEUSERSTEMPORARYTABLESPACETEMP;Oracle中的用户管理2.按回车后系统提示〝用户已创立〞，说明创立用户成功。该用户的用户名是〝user1〞，口令是〝pwd1〞，默许表空间是〝USERS〞，暂时表空间是〝TEMP〞。3.下面为用户授权：在SQL提示符下，输入以下命令，为用户user1授予CONNECT权限：GRANTCONNECTTOuser1;Oracle中的用户管理4.在SQL提示符下输入〝CONNSCOTT/TIGER〞，以SCOTT用户身份登录后，继续输入下面的授权命令，为用户user1授予反省表dept的权限，user1同时还拥有了把此反省权限授予其他用户的权限：GRANTSELECTONempTOuser1WITHGRANTOPTION;Oracle中的用户管理5.再输入〝CONN/ASSYSDBA〞命令以DBA身份登录后，在SQL提示符下输入以下命令，修正用户口令：ALTERUSERuser1IDENTIFIEDBYpwd2;6.系统提示〝用户已更改〞，说明口令修正成功。在SQL提示符下输入下面的命令来删除用户user1。DROPUSERuser1CASCADE;7.系统提示〝用户已删除〞，说明删除成功。修正用户口令Oracle中用ALTERUSER命令修正用户口令，语法如下：ALTERUSERuser_nameIDENTIFIEDBYnew_password;实践--创立并运用用户1.创立一个20M大小的表空间，以后用户创立的数据库对象保管在这个表空间中，在SQL提示符下，输入如下代码：CREATETABLESPACEstudent_dataDATAFILE‘F:\oracle\oradata\orcl\student_data’SIZE20MAUTOEXTENDOFF;说明：途径可以随意设置，建议AUTOEXTENTD属性为OFF。创立用户语法:(复杂方式)createusermary--用户名identifiedbyabc;--密码说明：以上为创立用户的必需语句默许和暂时表空间均为system实践--创立并运用用户2.创立用户，在SQL提示符下输入如下代码：CREATEUSERstudentIDENTIFIEDBYabcdefDEFAULTTABLESPACEstudent_dataTEMPORARYTABLESPACETEMP;勇于开始，才能找到成功的路实践--创立并运用用户给student用户赋予相应的权限，普通是将两个角色〔CONNECT，RESOURCE〕赋给此用户即可。作为普通的开发用户，权限曾经足够。在SQL提示符下输入如下代码：GRANTCONNECT，RESOURCETOstudent;按回车键，系统提示〝授权成功〞。用户相关实践知识用户基本属性：(1)认证方式：每个用户衔接数据库都要中止身份验证，可经过操作系统或数据库中止验证。(2)默许表空间和暂时表空间：(3)空间配额：用户可以在表空间中运用的存储空间称之。用户必需在默许表空间和暂时表空间中有足够的空间配额。(4)概要文件：用户必需拥有一个概要文件，假定没有指定，默以为default文件。用户相关实践知识创立用户时必需指定用户的认证方式〔数据库验证or操作系统验证〕。普通采用数据库认证方式，数据库验证更平安，必需经过identitiedby字句为用户指定一个口令，口令以加密方式保管在数据库中；假定运用操作系统验证，那么经过identitiedexternally字句。相关实践知识口令命名规那么：不能以数字扫尾Oracle11g之前口令不区分大小写，之后区分实践—两种用户认证方式遗忘SYS的用户名，也可以登录数据库。在DOS命令下输入如下代码，进入到SQL提示符下，输入代码：Sqlplus/nolog回车后系统进入SQL提示符下。然后接着输入如下命令运用SYS用户衔接到数据库：CONNSYS/ASSYSDBA;系统提示输入〝请输入口令:〞，直接回车，系统提示〝已衔接〞。实践—两种用户认证方式没有输入密码也可以登录系统，这对系统的平安性带来了效果。能不能经过修正设置要求必需输入密码才干登录呢？修正%oracle_home%/network/admin/sqlnet.ora文件中的设置。将数据的登录方式从OS认证修正为了密码文件认证。实践—管理用户修正用户管理员可以修正用户口令、改动用户默许表空间或限制用户运用权限、对用户中止解锁、锁定等操作。语法：Alteruserusernameidentifyedbynewpassword；运用sql*plus命令修正：password实践—管理用户修正用户默许表空间oracle自动默许表空间为system。语法：Alteruserusernamedefaulttablespace新表空间；修正用户在表空间上的配额Alteruserusernamequota80mon表空间名；〔将表空间配额调整为80MB〕管理用户解除用户锁：在概要文件中设置了用户密码输入屡次后将被锁定，当错误密码延续输入次数抵达指定最大次数后将锁定用户，即使之后输入正确口令也不能衔接，此时只能登录管理员账户中止解锁。语法：Alteruserusernameaccountunlock；锁定用户：Alteruserusernameaccountlock；删除用户删除用户：Dropuserusername[cascade];cascade:将数据库对象一同删除。删除拥有对象的用户：Dropuseranniecascade;留意：假定要删除用户正在衔接数据库，不能将其删除查询用户视图ALL_Users反省一切用户名、用户ID、用户创立日期视图User_Users反省以后用户信息角色定义：角色是一个或多个权限的集合功用：简化权限管理复杂大型运用系统要依据功用中止分类。如网上购物系统分为:系统管理、基础数据管理、推销管理、销售管理及终端用户。可创立5个角色。依据岗位将相应的角色授予用户，用户便具有相应角色具有的权限。假定系统规模不大，用户数不多，可直接将权限授予用户。角色创立角色：Createrolerolename；为角色授权：grantcreatesessiontorolename；授予衔接DB权限grantselectonclasstorolename；授予表查询权限回收角色权限revokeselectonclassfromr_teach；将角色授予用户Grant角色名to用户名；角色(续)从用户回收角色Revokeanniefromr_teach将角色授予角色Grantr_teachtor_stu[withadminoption]从角色回收角色Revoker_teachfromr_stu删除角色droprole角色名;角色(续)授予系统权限时的withadminoption选项与授予对象权限时的withgrantoption选项区别：都可将权限授予其他用户，但经withadminoption授权的不能级联收回，第二个能级联收回。角色(续)数据库预定义角色:Connect(登录执行基本函数)、Resource〔树立用户自己的数据对象〕、DBA〔一切系统权限，包括有限的空间限额、给其他用户授予全部权限的才干〕Select_CATALOG_ROLE、Execute_CATALOG_ROLE、Delete_CATALOG_ROLE、Exp_Full_Database、IMP_FULL_DataBaseSYSDBA、SYSOPER角色(续)激活/屏蔽角色：设置默许角色的4种方式：1)AlterUserAnnieDefaultRoler_Teach2)AlterUserAnnieDefaultRoleAll3)AlterUserAnnieDefaultRoleAllExceptRoler_Stu4)AlterUserAnnieDefaultRoleNone角色(续)查询角色信息视图DBA_Roles:角色信息视图Role_role_privs:角色与传递权限信息视图Role_SYS_privs:角色系统权限视图Role_tab_privs:角色对象权限角色(续)删除角色DropRoler_teach实践—创立并运用角色1.使用具有DBA权限的用户登录数据库，运用如下语句创立一个角色：createroledeveloper_role;2.将权限授权给角色GRANTCREATESYNONYM,CREATEVIEWtodeveloper_role;将创立同义词和视图的角色授权给developer_role角色。实践—创立并运用角色3.也可以将角色授权给某个角色GRANTRESOURCE,CONNECTTOdeveloper_role;按回车键，系统提示〝授权成功〞。这样就将RESOURCE,CONNECT两个角色具有的权限授权给了developer_role角色。4.将角色授权给用户：GRANTdeveloper_roleTOSCOTT;按回车键，系统提示〝授权成功〞。这样SCOTT用户就拥有了developer_role角色。权限定义：控制用户在数据库中所能中止的操作权限分类：系统权限和对象权限对象权限(objectsPrivilege):赋予在某一详细数据对象的操作才干1)9种对象权限：Select、Update、Delete、Insert、Execute、Index、reference、Alter、Read2)对象权限传递权限:WithGrantOption被授予WithGrantOption对象权限的用户，可将该对象权限授予其他用户权限(续)3)谁有权授予对象权限给其他人？对象的一切者DBA被授予Withgrantoption的用户4)权限可以授予给谁？其它用户角色Public系统权限系统权限(systemPrivilege)：在数据库级别执行某种操作或许针对某一类方式或非方式对象执行某种操作的权益。几点补充：衔接到数据库需求createsession权限删除其他用户的Table需求dropanytable权限Select、insert、update、delete是对象权限，而Selectany、insertany、updateany、deleteany是系统权限运用Withadminoption中止系统权限传递权限授予权限的方法：1)直接授予用户：grantcreatesessiontoannie;2)先将权限授予角色，再将角色授予用户:Createroleteach;grantselectonclasstoteach;grantteachtoannie;系统权限(续)系统权限授权语法：Grant系统权限to用户/角色[withadminoption];例子：grantselectanytoannie;grantselectanytoanniewithadminoption;权限回收授予的对象权限和系统权限可以经过Revoke语句收回例子：revokeselectanyfromannie;--回收系统权限revokeselectonclassfromannie;--回收对象权限权限回收(续)留意：一个用户被多用户授予权限后，其中一个用户收回权限，不影响其他用户授予的权限收回Withgrantoption或Withadminoption，要首先回收相应的权限，再重新授予该权限而不再授予Withgrantoption或Withadminoption传递权限Withadminoption给其他用后，假定此系统权限被回收，其他用户依然拥有该系统权限传递权限Withgrantoption给其他用后，假定此对象权限被回收，其他用户该对象权限也被收回技艺拓展——权限查询视图dba_SYS_Privs:系统权限视图dba_TAB_Privs:对象权限视图dba_col_Privs:列权限视图dba_users:数据库用户信息视图dba_roles：数据库角色信息视图dba_roles_Privs：用户所具有角色反省一个角色的系统权限：Select*fromdba_SYS_Privswheregrantee=‘角色名’；或Select*fromdba_SYS_Privswhererole=‘角色名’；反省预定义角色：select*fromdba_roles;反省用户角色：Select*fromdba_role_Privswheregrantee=‘用户名’；留意：所用用户名和角色名都大写。技艺拓展——权限查询总结Oracle数据库系统的用户和角色管理Oracle对SYSDBA的认证方式有两种：操作系统认证和密码文件认证。用户管理Oracle是多用户系统，它允许多用户共享系统资源。为了保证数据库系统的平安，数据库管理系统配置了良好的平安机制。其中很关键的一种机制就是：树立用户级的平安保证。用户管理Oracle的用户依据所被授予的权限分为系统权限和对象权限，系统权限经常被包括在角色中授予，新建一个用户时，首先要赋予CONNECT角色，CONNECT角色中包括了CREATESESSION等8个系统权限，拥有CREATESESSION权限是衔接数据库的必要条件，假想象用EnterpriseManagerconsole衔接的话，还必需拥有SELECTANYDICTIONARY权限。假定是开发人员，普通还要授予RESOURCE角色，此角色包括了开发人员所需求的基本权限。比如CREATEPROCEDURE、CREATESEQUENCE、CREATETABLE、CREATETRIGGER等。用户管理在一切权限中，最高的权限是SYSDBA。SYSDBA具有控制Oracle一切行为的特权，诸如创立、启动、封锁、恢双数据库，使数据库归档/非归档，备份表空间等关键性的举措只能经过具有SYSDBA权限的用户来执行。这些义务即使是普通DBA角色也不行。SYSOPER比SYSDBA少了SYSOPERPRIVILEGESWITHADMINOPTION，CREATEDATABASE，RECOVERDATABASEUNTIL这几个权限而已。这两者的认证方式是相反的方法，所以下面只引见SYSDBA的认证管理。平安认证关于用户的身份验证有三种方式：密码验证、外部验证〔操作系统验证〕、全局验证。密码验证是最稀有的一种方式，行将用户信息码存储在数据目录里。对SYSDBA的认证方式有两种：操作系统认证和密码文件认证。详细选择那一种认证方式取决于：你是想在Oracle运转的机器上维护数据库，还是在一台机器上管理散布于不同机器上的一切的Oracle数据库。假定选择在本机维护数据库，那么选择操作系统认证可以是一个复杂易行的方法；假定有好少数据库，想中止集中管理，那么可以选择password文件认证方式。角色管理在创立用户和给用户授权的进程中，会发现一个效果：假定有一组人，他们的所需的权限是一样的，当对他们的权限中止管理的时分会很不方便。由于你要对这组中的每个用户的权限都中止管理。有一个很好的处置方法就是：角色。角色是一组权限的集合，将角色赋给一个用户，这个用户就拥有了这个角色中的一切权限。那么上述效果就很益处置了，只需第一次将角色赋给这一组用户，接上去就只需针对角色中止管理就可以了。以上是角色的一个典型用途。其实，只需明白：角色就是一组权限的集合。下面分两个局部来对Oracle角色中止说明。系统预定义角色预定义角色是在数据库装置后，系统自动创立的一些常用的角色。下介复杂的引见一下这些预定角色。角色所包括的权限可以用以下语句查询：SELECT*FROMrole_sys_privsWHERErole='角色名';CONNECT、RESOURCE、DBA这些预定义角色主要是为了向后兼容。其主要是用于数据库管理。Oracle建议用户自己 设计 领导形象设计圆作业设计ao工艺污水处理厂设计附属工程施工组织设计清扫机器人结构设计 数据库管理和平安的权限规划，而不要复杂的运用这些预定义角色。未来的版本中这些角色可以不会作为预定义角色。DELETE_CATALOG_ROLE、EXECUTE_CATALOG_ROLE、SELECT_CATALOG_ROLE这些角色主要用于访问数据字典视图和包。EXP_FULL_DATABASE和IMP_FULL_DATABASE这两个角色用于数据导入导收工具的运用。AQ_USER_ROLE和AQ_ADMINISTRATOR_ROLE这两个角色用于oracle初级查询功用。〔AQ：AdvancedQuery〕RECOVERY_CATALOG_OWNER用于创立拥有恢复库的用户。