oracle用户及权限管理

  • 格式:docx
  • 大小:59.79 KB
  • 文档页数:8

实验三 安全管理

【开发语言及实现平台或实验环境】

Oracle10g

【实验目的】

练习创建用户、用户的授权、创建角色、将角色授权给用户等安全管理命令

【实验原理】

一、用户管理

1创建用户

基本语法:

CREATE USER user_name IDENTIFIED

[BY password|EXTERNALLY|GLOBALLY

AS 'external_name']

[DEFAULT TABLESPACE tablespace_name]

[TEMPORARY TABLESPACE temp_tablesapce_name]

[QUOTA n K|M|UNLIMITED ON tablespace_name]

[PROFILE profile_name]

[PASSWORD EXPIRE]

[ACCOUNT LOCK|UNLOCK];

注意:在创建新用户后,必须为用户授予适当的权限。例如,授予用户CREATE SESSION权限后,用户才可以连接到数据库。

参数说明:

user_name:用于设置新建用户名,在数据库中用户名必须是唯一的;

IDENTIFIED:用于指明用户身份认证方式;

BY password:用于设置用户的数据库身份认证,其中password为用户口令;

EXTERNALLY:用于设置用户的外部身份认证;

GLOBALLY AS'external_name':用于设置用户的全局身份认证,其中external_name为Oracle的安全管理服务器相关信息;

DEFAULT TABLESPACE:用于设置用户的默认表空间,如果没有指定,Oracle将数据库默认表空间作为用户的默认表空间;

TEMPORARY TABLESPACE:用于设置用户的临时表空间;

QUOTA:用于指定用户在特定表空间上的配额,即用户在该表空间中可以分配的最大空间;

PROFILE:用于为用户指定概要文件,默认值为DEFAULT,采用系统默认的概要文件;

PASSWORD EXPIRE:用于设置用户口令的初始状态为过期,用户在首次登录数据库时必须修改口令;

ACCOUNT LOCK:用于设置用户初始状态为锁定,默认为不锁定;

ACCOUNT UNLOCK:用于设置用户初始状态为不锁定或解除用户的锁定状态。

实例:

创建一个用户user3,口令为user3,默认表空间为USERS,在该表空间的配额为10 MB,初始状态为锁定。

CREATE USER user3 IDENTIFIED BY user3

DEFAULT TABLESPACE USERS QUOTA 10M ON USERS ACCOUNT LOCK;

创建一个用户user4,口令为user4,默认表空间为USERS,在该表空间的配额为10 MB。口令设置为过期状态,即首次连接数据库时需要修改口令。概要文件为example_profile(假设该概要文件已经创建)。

CREATE USER user4 IDENTIFIED BY user4

DEFAULT TABLESPACE USERS

QUOTA 10M ON USERS

PROFILE example_profile

PASSWORD EXPIRE;

2. 修改用户

基本语法:

ALTER USER user_name [IDENTIFIED]

[BY password|EXTERNALLY|GLOBALLY

AS 'external_name']

[DEFAULT TABLESPACE tablespace_name]

[TEMPORARY TABLESPACE temp_tablesapce_name]

[QUOTA n K|M|UNLIMITED ON tablespace_name]

[PROFILE profile_name]

[DEFAULT ROLE role_list|ALL [EXCEPT role_list]

|NONE]

[PASSWORD EXPIRE]

[ACCOUNT LOCK|UNLOCK];

参数说明:

role_list:角色列表;

ALL :表示所有角色;

EXCEPT role_list:表示除了role_list列表中的角色之外的其他角色;

NONE:表示没有默认角色。

注意,指定的角色必须是使用GRANT命令直接授予该用户的角色。

实例:

将用户user3的口令修改为newuser3,同时将该用户解锁。

ALTER USER user3

IDENTIFIED BY newuser3 ACCOUNT UNLOCK;

3. 删除用户

基本语法

DROP USER user_name [ CASCADE ];

步骤

先删除用户所拥有的对象

再删除用户

将参照该用户对象的其他数据库对象标志为INVALID 实例:

DROP USER users4;

二、权限管理

1. 系统权限管理

(1) 系统权限的授权

语法:

GRANT sys_priv_list TO

user_list|role_list|PUBLIC

[WITH ADMIN OPTION];

参数说明:

sys_priv_list:表示系统权限列表,以逗号分隔;

user_list:表示用户列表,以逗号分隔;

role_list:表示角色列表,以逗号分隔;

PUBLIC:表示对系统中所有用户授权;

WITH ADMIN OPTION:表示允许系统权限接收者再把此权限授予其他用户。

例:

为用户user1授予CREATE SESSION,CREATE TABLE,CREATE INDEX系统权限。

CONNECT SYSTEM/MANAGER@ORCL;

GRANT CREATE SESSION,CREATE TABLE,CREATE VIEW TO user1;

为用户user2授予CREATE SESSION,CREATE TABLE ,CREATE INDEX系统权限。user2获得权限后,为用户user3授予CREATE TABLE权限。

CONNECT SYSTEM/MANAGER@ORCL;

GRANT CREATE SESSION,CREATE TABLE,

CREATE VIEW TO user2 WITH ADMIN OPTION;

CONNECT user2/user2 @ORCL

GRANT CREATE TABLE TO user3;

(2)系统权限的回收

语法:

REVOKE sys_priv_list

FROM user_list|role_list|PUBLIC;

例:回收user1的CREATE TABLE,CREATE VIEW 权限,语句为:

CONNECT SYSTEM/MANAGER@ORCL;

REVOKE CREATE TABLE,CREATE VIEW FROM user1;

2. 对象权限的管理

(1) 对象权限的授权

语法:

GRANT obj_priv_list|ALL ON [schema.]object

TO user_list|role_list [WITH GRANT OPTION];

参数说明: obj_priv_list:表示对象权限列表,以逗号分隔;

[schema.]object:表示指定的模式对象,默认为当前模式中的对象;

user_list:表示用户列表,以逗号分隔;

role_list:表示角色列表,以逗号分隔;

WITH GRANT OPTION:表示允许对象权限接收者把此对象权限授予其他用户。

例:将scott模式下的emp表的SELECT,UPDATE,INSERT权限授予user1用户。

CONNECT SYSTEM/MANAGER@ORCL;

GRANT SELECT,INSERT,UPDATE ON scott.emp TO user1;

例:将scott模式下的emp表的SELECT,UPDATE,INSERT权限授予user2用户。user2用户再将emp表的SELECT,UPDATE权限授予user3用户。

CONNECT SYSTEM/MANAGER@ORCL;

GRANT SELECT,INSERT,UPDATE ON scott.emp TO user2 WITH GRANT OPTION;

CONNECT user2/user2@ORCL

GRANT SELECT,UPDATE ON scott.emp TO user3;

(2) 对象权限的回收

语法:

REVOKE obj_priv_list | ALL ON [schema.]object FROM user_list|role_list;

三、角色管理

1、创建角色

语法为

CREATE ROLE role_name [NOT IDENTIFIED][IDENTIFIED BY password];

参数说明

role_name:用于指定自定义角色名称,该名称不能与任何用户名或其他角色相同;

NOT IDENTIFIED:用于指定该角色由数据库授权,使该角色生效时不需要口令;

IDENTIFIED BY password:用于设置角色生效时的认证口令。

例如,创建不同类型的角色。

CREATE ROLE high_manager_role;

CREATE ROLE middle_manager_role IDENTIFIED BY middlerole;

CREATE ROLE low_manager_role IDENTIFIED BY lowrole;

2、角色权限的授予与回收

实例:

GRANT CONNECT,CREATE TABLE,CREATE VIEW TO low_manager_role;

GRANT CONNECT,CREATE TABLE,CREATE VIEW TO middle_manager_role;

GRANT CONNECT,RESOURCE,DBA TO high_manager_role;

GRANT SELECT,UPDATE,INSERT,DELETE ON scott.emp TO high_manager_role;

REVOKE CONNECT FROM low_manager_role;

REVOKE CREATE TABLE,CREATE VIEW FROM middle_manager_role;

REVOKE UPDATE,DELETE ,INSERT ON scott.emp FROM high_manager_role;