RALE数据库开发基础第九章安全管理.docVIP

ORACLE数据库管理员基础 第九章安全管理 在建立应用系统的各种对象（包括表、视阁、索引等）前，就得先确定各个对象与用户 的关系。也就是说，哪些用户需耍建立，哪歧用户都充当什么样的角色，他们应该冇多大权 限等。下而介绍拈本的安全管理方而的内容，更详细的内容在DBA资料里介绍。 9. 1 CREATE USER 命令 CREATE USER username TDENTTFTED BY password Or IDENTIFIED EXETERNALLY Or IDENTIFIED GLOBALLY AS CN=user, [DEAHULT TABLESPACE tablespace ] [TEMPORARY TABLESPACE tablespace] [QUOTA [integer K[M]][UNLIMITED] ON tablespace [，QUOTA [integer K[M]][UNLIMITED] ON tablespace [PROFILES profile_ncime] [PASSWORD EXPIRE] [ACCOUNT LOCK or ACCOUNT UNLOCK] CREATE USER username 用户名 IDENTIFIED BY password 用户口令 IDENTIFIED BY EXETERNALLY用户名在操作系统下验证，这个用户名必须与操作 系统中所定义的川户相同。 IDENTIFIED GLOBALLY AS ‘CN=user’用户名是ORACLE安全域屮心服务器来验证 ，CN名字标识用户的外部名。 [DEAFULT TABLESPACE tablespace ]缺省的表空间 [TEMPORARY TABLESPACE tablespace]缺宵的临时表空间 [QUOTA [integer K[M]] [UNLIMITED] ON tablespace 允许使用 k[m]字节 [,QUOTA [integer K[M]][UNLIMITED] ON tablespace [PROFILES profilo.namc]资源文件的名字 [PASSWORD EXPIRE]立即将口令设成过期状态，用户在登录进入前必须 修改门令。 [ACCOUNT LOCK or ACCOUNT UNLOCK]用户不被加锁。 196 9.2建立用户 建立用户虽然不是经常的工作，但却是比不讨少的工作。如果你的环境是一个较复杂的 应用系统，你还是应该熏视用户的建立和管理的車。下而是建立不同类型用户的方法。 9.2.1 外部验证(Authenticated )用户 外部识别的Oracle用户可以被容户端的操作系统验证，即在Oracle外放置了用于口令 管理和川户验证的控制。此类登录不再需耍Oracle门令。操作系统验证的实现需耍进行卜诎 步骤： 在INlTsid. ORA文件中设界OS_AUTHENT_PKEF1X参数，在0racle6里必须设用户 的前缀为OPS$。0raclc8可以不需要前缀OPS$。如在INlTsid. ORA文件上加： ? ? ? OS_AUTHENT_PREFIX=” OPS$” ? ? ? 川CREATE USER建立外部川户： CREATE USER ops$zhao TDENTTFTED BY EXTERNALLY: 如果在INlTsid. ORA文件的OSJUJTHENT_PREFIX=” ” (即没有设置为OPS$)，则: CREATE USER zhao IDENTIFIED BY EXTERNALLY; CREATE USER ops$zhaoyj IDENTIFIED BY EXTERNALLY DEFAULT TABLESPACE users TEMPORARY TABLESPACE temp QUOTS UNLIMITED ON users QUOTS UNLIMITED ON temp; 9. 2.2全局(Globally)验证川户-企业验证 在Oracle数据库里，可以将用户配置成不需要验证口令的方式，用以替代来自X. 509企业 目录服务的门令检查。这种类型的用户一般都是在大的企业里的登录使用。一般企业验证启 用Oracle安全服务(OSS)来实现单独的注册。建立全局验证的用户需要带GLOABLLY AS 。如： 197 CREATE USER SCOTT TDENTTFTED GLOABLLY AS ‘CN=scott， OU=divisionl, 0=sybex, C=US’ ； 9.3 ALTER USER 命令 ALTER USER命令用于修改用户的资源限制和口令等。ALTER USER命令语法如下: ALTER USER username IDEN