用户账号管理和权限控制.ppt

Oracle 10g管理及应用,第八章 用户帐号管理和权限控制,2023年10月16日星期一,Oracle 10g管理及应用,第八章 用户帐号管理和权限控制,8.1 Oracle安全机制 8.2 用户帐号管理 8.3 权限管理8.4 角色管理8.5 概要文件实训6 创建概要文件、用户和授予权限,8.1 Oracle安全机制,数据库中的数据的安全性主要涉及到以下几个方面：身份验证：保证只有合法的用户才能登录并使用数据库。访问控制：即使是合法用户，也要控制用户对数据库对象的访问，拒绝非授权访问，防止信息泄密。可审计性：哪怕是非法用户的入侵行为和破坏行为也能跟踪，恢复数据。语义保密性：数据库中的数据以某种加密的形式存储，这样非法用户即使得到数据文件也无法利用。,Oracle 10g管理及应用,2023年10月16日星期一,2023年10月16日星期一,Oracle 10g管理及应用,8.1 Oracle安全机制,当用户连接到一个Oracle数据库时，必须经过身份认证，Oracle有两种身份验证方式：一数据库身份验证二外部身份验证,2023年10月16日星期一,Oracle 10g管理及应用,8.2 用户帐号管理,8.2.1 创建用户帐号 8.2.2 用户帐号状态 8.2.3 修改用户帐号8.2.4 锁定和解锁用户帐号8.2.5 删除用户,2023年10月16日星期一,Oracle 10g管理及应用,8.2.1 创建用户帐号,1通过SQL命令创建用户创建用户的语法格式如下所示：CREATE USER 用户名 IDENTIFIED BY 口令DEFAULT TABLESPACE 默认表空间TEMPORARY TABLESPACE 临时表空间QUOTA数值K|M|UMLIMITED ON 表空间名PROFILE 概要文件名ACCOUNT LOCK|ACCOUNT UNLOCK以下代码创建了一个用户ORCLUSER_1 System CREATE USER ORCLUSER_1 PROFILE DEFAULT IDENTIFIED BY AAA ACCOUNT UNLOCK;GRANT CONNECT TO ORCLUSER_1;2在OEM中创建用户（演示）,2023年10月16日星期一,Oracle 10g管理及应用,8.2.2 用户帐号状态,用户的帐号有两种状态，DBA可以通过设置状态的方法使账户可用或不可用。一帐号锁定 锁定帐号可以使某个帐号不可用。二账户解锁 该状态下，帐号可以正常登陆。,2023年10月16日星期一,Oracle 10g管理及应用,8.2.3 修改用户帐号,1通过SQL命令修改用户账号修改用户账号的语法格式如下所示：ALTER USER 用户名 IDENTIFIED BY口令DEFAULT TABLESPACE 默认表空间TEMPORARY TABLESPACE 临时表空间QUOTA数值K|M|UMLIMITED ON 表空间名PROFILE 概要文件名ACCOUNT LOCK|ACCOUNT UNLOCK以下代码修改了用户账号：ALTER USER ORCLUSER_1 IDENTIFIED BY AAA QUOTA 20M ON ORCLTABLESPACE;2在OEM中修改用户账号（演示）,2023年10月16日星期一,Oracle 10g管理及应用,8.2.4 锁定和解锁用户帐号,一锁定用户1在OEM中锁定用户账号（演示）2通过SQL命令锁定用户账号 ALTER USER ORCLUSER_1 ACCOUNT LOCK;二解除锁定1在OEM中解除用户账号的锁定（演示）2通过SQL命令解除用户账号锁定 ALTER USER ORCLUSER_1 ACCOUNT UNLOCK;,2023年10月16日星期一,Oracle 10g管理及应用,8.2.5 删除用户,1在OEM中删除用户账号（演示）2通过SQL命令删除用户账号 DROP USER ORCLUSER_1 CASCADE;其中CASCADE表示级联，即删除用户之前，先删除它所拥有的实体。,2023年10月16日星期一,Oracle 10g管理及应用,8.3 权限管理,8.3.1 数据库权限的种类 8.3.2 授予系统权限 8.3.3 授予对象权限,2023年10月16日星期一,Oracle 10g管理及应用,8.3.1 数据库权限的种类,权限是执行某一种操作的能力，在Oracle数据库中是利用权限来进行安全管理的，Oracle系统通过授予和撤销权限来实现对数据库安全的访问控制，这些权限可以分为两类：系统权限：指在系统级控制数据库的存取和使用的机制。如是否能启动、停止数据库。是否能修改数据库参数等。Oracle提供了众多的系统权限，每一种系统权限指明用户进行某一种或某一类特定的数据库操作。系统权限中带有ANY关键字指明该权限的范围为数据库中的所有方案。对象权限：对象权限指在特定数据库对象上执行某项操作的能力。与系统权限相比，对象权限主要是在Oracle对象上能够执行的操作，如查询、插入、修改、删除、执行等。这里的Oracle对象主要包括表、视图、聚簇、索引、序列、快照、函数、包等。不同的Oracle对象具有不同的对象权限，如表具有插入的对象权限，而序列却没有，而序列具有的执行对象权限表也没有。,2023年10月16日星期一,Oracle 10g管理及应用,8.3.2 授予系统权限,1在OEM中进行用户授权（演示）2通过SQL命令对用户授权 GRANT 系统权限|,TO 用户 WITH ADMIN OPTION;,2023年10月16日星期一,Oracle 10g管理及应用,8.3.3 授予对象权限,1在OEM中进行用户授权 2通过SQL命令对用户授权 GRANT 对象权限|,TO 用户 WITH GRANT OPTION;,2023年10月16日星期一,Oracle 10g管理及应用,8.4 角色管理,8.4.1 角色概述 8.4.2 创建角色 8.4.3 给角色授予权限8.4.4 将角色授予用户8.4.5 删除角色,2023年10月16日星期一,Oracle 10g管理及应用,8.4.1 角色概述,权限是Oracle数据库定义好的执行某些操作的能力。角色是权限管理的一种工具，即有名称的权限的集合。权限和角色是密不可分的。DBA可以利用角色来简化权限的管理。Oracle数据库就借用了角色这种概念来实现这种权限管理的方法，达到简化权限管理的目的。角色是对权限进行集中管理（授予、回收）的一种方法，它是一组相关权限的组合，即将不同的权限组合到一起就形成了角色。,2023年10月16日星期一,Oracle 10g管理及应用,8.4.2 创建角色,1在OEM中创建角色（演示）2通过SQL命令创建角色 CREATE ROLE 角色名 IDENTIFIED BY 口令;,2023年10月16日星期一,Oracle 10g管理及应用,8.4.3 给角色授予权限,一为角色授予系统权限 1在OEM中进行角色授权（演示）2通过SQL命令进行角色授权 GRANT 系统权限|,TO 角色|PUBLIC|,WITH ADMIN OPTION;二为角色授予对象权限 1在OEM中进行角色授权（演示）2通过SQL命令进行角色授权 GRANT 对象权限|,TO 角色|PUBLIC|,WITH GRANT OPTION;,2023年10月16日星期一,Oracle 10g管理及应用,8.4.4 将角色授予用户,1在OEM中将角色授予用户（演示）2通过SQL命令将角色授予用户 GRANT角色 TO 用户;,2023年10月16日星期一,Oracle 10g管理及应用,8.4.5 删除角色,1在OEM中删除角色（演示）2通过SQL命令删除角色 DROP ROLE 角色名;,2023年10月16日星期一,Oracle 10g管理及应用,8.5 概要文件,8.5.1 概要文件概述 8.5.2 创建和分配概要文件 8.5.3 修改和删除概要文件,2023年10月16日星期一,Oracle 10g管理及应用,8.5.1 概要文件概述,概要文件（profile）是一个命名的资源限定的的集合，它是Oracle安全策略的重要组成部分。利用概要文件，可以限制用户对数据库或者资源的使用，更多的是为用户设置口令策略。通常情况下，可以按角色建立不同的概要文件，依据每个用户所属的角色为它分配不同的概要文件，而不用为每个用户创建单独的概要文件。,2023年10月16日星期一,Oracle 10g管理及应用,8.5.2 创建和分配概要文件,1在OEM中创建概要文件（演示）2通过SQL命令创建概要文件CREATE PROFILE 概要文件名 LIMITCONNECT_TIME 数值IDLE_TIME数值CPU_PER_CALL数值CPU_PER_SESSION数值LOGICAL_READS_PER_CALL数值LOGICAL_READS_PER_ SESSION数值SESSIONS_PER_USER数值COMPOSITE_LIMIT数值PRIVATE_SGA数值FAILED_LOGON_ATTEMPTS数值PASSWORD_LIFE_TIME数值PASSWORD_GRACE_TIME数值PASSWORD_LOCK_TIME数值PASSWORD_REUSE_TIME数值PASSWORD_REUSE_MAX数值PASSWORD_VERIFY_FUNCTION数值;,2023年10月16日星期一,Oracle 10g管理及应用,8.5.3 修改和删除概要文件,1在OEM中修改概要文件（演示）2通过SQL命令创建概要文件ALTER PROFILE 概要文件名 LIMITCONNECT_TIME 数值IDLE_TIME数值CPU_PER_CALL数值CPU_PER_SESSION数值LOGICAL_READS_PER_CALL数值LOGICAL_READS_PER_ SESSION数值SESSIONS_PER_USER数值COMPOSITE_LIMIT数值PRIVATE_SGA数值FAILED_LOGON_ATTEMPTS数值PASSWORD_LIFE_TIME数值PASSWORD_GRACE_TIME数值PASSWORD_LOCK_TIME数值PASSWORD_REUSE_TIME数值PASSWORD_REUSE_MAX数值PASSWORD_VERIFY_FUNCTION数值;,2023年10月16日星期一,Oracle 10g管理及应用,8.5.3 修改和删除概要文件,1在OEM中删除概要文件（演示）2通过SQL命令删除概要文件 DROP PROFILE 概要文件名 CASCADE,2023年10月16日星期一,Oracle 10g管理及应用,实训6 创建概要文件、用户和授予权限,目标完成本实验后，将掌握以下内容：（1）创建概要文件（2）创建用户（3）向用户授予权限,2023年10月16日星期一,Oracle 10g管理及应用,实训6 创建概要文件、用户和授予权限,准备工作 在进行本实验前，必须已完成实训6的练习1，（在“实训Ch8实训练习”文件夹中要提供“建立实训环境.sql”文件，此文件为创建实训环境所需的脚本，并在此处写明，在实训前，如果没有完成实训6中的内容，则执行此脚本以创建实训环境）,2023年10月16日星期一,Oracle 10g管理及应用,实训6 创建概要文件、用户和授予权限,场景 为确保东升软件股份有限公司的人事管理系统数据库的安全，需要限制未得到授权的用户访问数据库中的数据，为此需要单独创建用户USER_1，并授予它一定的权限，来保证数据库的安全。,2023年10月16日星期一,Oracle 10g管理及应用,实训6 创建概要文件、用户和授予权限,练习1 创建概要文件。1在OEM中创建概要文件本练习中，创建一个口令有效期为7天，锁定前允许的最大失败登陆次数为3 的概要文件MYPROFILE。实验步骤：（1）以SYSTEM用户，Normal连接身份登陆OEM，出现数据库主页的“主目录”属性页。单击“管理”超链接，出现“管理”属性页。单击“方案”标题下的“概要文件”超链接，出现“概要文件”页。（2）单击“创建”按钮，出现“创建概要文件”页的“一般信息”选项卡，在“名称“文本框中输入概要文件的名称“MYPROFILE”。（3）单击“口令”超链接，出现“口令”选项卡。（4）在“有效期”文本框中输入有限天数“7”，在“锁定前允许的最大失败登陆次数”文本框中输入次数“3”。（5）单击“确定”按钮，可看见“已成功创建对象”的更新消息。2通过SQL命令创建概要文件（1）以SYSTEM身份登录SQL*Plus。（2）在SQL*Plus中输入创建概要文件的语句。注意，如果在OEM中已创建相同的概要文件，则请先删除此概要文件。,2023年10月16日星期一,Oracle 10g管理及应用,实训6 创建概要文件、用户和授予权限,练习2 创建用户。本练习中，创建一个使用MYPROFILE概要文件的用户USER_1。实验步骤：1在OEM中创建用户（1）以SYSTEM用户，Normal连接身份登陆OEM，出现数据库主页的“主目录”属性页。单击“管理”超链接，出现“管理”属性页。单击“方案”标题下的“用户”超链接，出现“用户”页。（2）单击“创建”按钮，出现“创建用户”页，在“名称”文本框中输入用户名称USER_1，在“概要文件”下拉列表框选择“MYPROFILE”，在“输入口令”文本框和“确认口令”文本框中输入自己的口令，在“默认表空间”和“临时表空间”文本框中选择合适的表空间，其它使用默认值。（3）单击“确定”返回“用户”页，可看见“已成功创建对象”的更新消息。此时在“用户”页即可看见新创建的用户USER_1。2通过SQL命令创建用户（1）以SYSTEM身份登录SQL*Plus。（2）在SQL*Plus中输入创建用户的语句。注意，如果在OEM中已创建相同的用户，则请先删除此用户。,2023年10月16日星期一,Oracle 10g管理及应用,实训6 创建概要文件、用户和授予权限,练习3 授予权限。本练习中，将表TABLE_1的所有权限授予用户USER_1。实验步骤：1在OEM中授予权限（1）以SYSTEM用户，Normal连接身份登陆OEM，出现数据库主页的“主目录”属性页。单击“管理”超链接，出现“管理”属性页。单击“方案”标题下的“用户”超链接，出现“用户”页，选中需要授予权限的用户名，如USER_1，单击“编辑”按钮，出现“编辑用户”页。（2）单击“对象权限”超链接，出现“对象权限”选项卡，可以看见对象权限下显示“未找到任何项”，也就是说用户USER_1无任何对象权限。（3）“选择对象类型”下拉列表框中选择合适的对象，如表，单击右边的“添加”按钮，出现“添加表对象权限”页。（4）单击“选择表对象”框右边的手电筒图标选择表TABLE_1，通过“全部移动”按钮将右边“可用权限”列表中的所有权限移动到“所选权限”列表框中，为用户授予表对象TABLE_1所有的权限。（5）单击“确定”按钮，返回“编辑用户”页，可以看见表对象TABLE_1的所有权限中出现在列表中。（6）单击“应用”按钮，出现“已成功修改用户USER_1”的更新消息。2通过SQL命令授予权限（1）以SYSTEM身份登录SQL*Plus。（2）在SQL*Plus中输入授予权限的语句。注意，如果在OEM中已授予相同的权限，则请先回收权限。,