Oracle_10g_体系结构级安全管理.pptVIP

系统权限 有100 多个可用权限 数据管理员有执行任务的高级系统权限，例如： – 创建新用户 – 删除用户 – 删除表 – 备份表 典型的DBA权限 创建用户 DBA用CREATE USER语句创建用户 CREATE USER user IDENTIFIED BY password; CREATE USER scott IDENTIFIED BY tiger; User created. 使用系统权限 一旦一个用户被创建，DBA 能够授予指定的系统权限给一个用户 应用程序的开发者，例如，可能有下面的系统权限: – CREATE SESSION – CREATE TABLE – CREATE SEQUENCE – CREATE VIEW – CREATE PROCEDURE GRANT privilege [, privilege...] TO user [, user| role, PUBLIC...]; 典型的用户权限 授予系统权限 DBA 能够授予用户指定的系统权限 GRANT create session, create table, create sequence, create view TO scott; Grant succeeded. 什么是角色? 什么是角色？ 角色是命名的可以授予用户的相关权限的组 角色使得授予、撤回和维护权限容易的多 一个用户可以使用几个角色 几个用户也可以被指定相同的角色 角色典型地为数据库应用程序创建 创建和分配角色 语法 – CREATE ROLE role; 说明 – role 要被创建的角色的名字 DBA可以用GRANT语句给用户指定角色，也可以 指定权限给角色： – 一个命名的相关权限组 – 可以授予用户 – 简化授予和撤消权限的过程 – 由DBA创建 DBA必须先创建角色，然后分配权限给角色和用户 创建角色并且授予权限给角色示例 创建角色 授予权限给一个角色 授予一个角色给用户 CREATE ROLE manager; Role created. GRANT create table, create view TO manager; Grant succeeded. GRANT manager TO DEHAAN, KOCHHAR; Grant succeeded. 改变你的口令 DBA创建一个帐号并为每个用户初始化一个口令， 你可以用ALTER USER语句改变你的口令。 语法 – ALTER USER user IDENTIFIED BY password; ? 在语法中： – user 是用户的名字 – password 指定新的口令 你必须有ALTER USER权限 改变你的口令 DBA 创建用户帐号并且初始化其口令 用ALTER USER语句用户可以改变他的口令 ? 帐号解锁 – ALTER USER scott ACCOUNT UNLOCK; ALTER USER scott IDENTIFIED BY lion; User altered. 对象权限 对象权限 不同的对象有不同的对象权限 对象的所有者有关于该对象的所有权限 对象的所有者能够给予指定的权限到独立的对象上 GRANT object_priv [(columns)] ON object TO {user|role|PUBLIC} [WITH GRANT OPTION]; 授予对象权限 授予查询权限到EMPLOYEES表上 授予权限到以更新指定的列到用户和角色 GRANT select ON employees TO sue, rich; Grant succeeded. GRANT update (department_name, location_id) ON departments TO scott, manager; Grant succeeded. 授予对象权限原则 为了授予权限到一个对象上，对象必须在你自己拥有的方案中，或者你必须被用WITH GRANT OPTION选项授予了对象权限。 一个对象所有者可以授予任何该对象上的对象权限给任何其他的用户或者数据库的角色 任何对象的所有者自动地获得该对象所有对象权限 使用WITH GRANT OPTION和PUBLIC关键字 给一个用户授权以级联权限授予，允许Scott再给予其他用户这些权限 允许所有在系统上的用户从Alice 的EPARTMENTS表中查询数据 GRANT select, insert ON departments TO scott WITH GRANT OPTION; Grant succeeded. GRANT select ON alice.departments TO PUBLIC; Grant succeeded.