5.Oracle用户和权限管理.ppt

第五章 Oracle用户和权限管理 内 容 1.1 概述 1.2 用户管理 1.3 权限管理 1.4 角色管理 1.1 概述 数据库安全性 数据库的安全性含义 防止非法用户对数据库的访问 防止用户的非法操作 Oracle数据安全控制机制 用户管理 权限管理 角色管理 表空间设置和配额 用户资源限制 数据库审计 Oracle对用户的管理 一个用户如果要对某一数据库进行操作，必须满足以下三个条件： 登录Oracle服务器时必须通过身份验证； 必须是该数据库的用户或者是某一数据库角色的成员； 必须有执行该操作的权限。 在Oracle系统中，为了实现这种安全性，采取了用户、角色和概要文件等的管理策略。 用户身份验证 数据库验证：数据库验证是指用户的帐户、口令及身份鉴定都由Oracle数据库执行的验证方式。 外部验证：用户的帐户由Oracle数据库管理，但口令管理和身份鉴定由外部服务完成。 企业验证 ：用户的帐户由Oracle数据库管理，口令管理和用户鉴定由Oracle Security Service (OSS)完成 。 用户权限 用户如果要执行某项操作，必须具备相应的权限，即用户权限。用户权限可分为两类： 系统权限：是指对数据库系统及数据结构的操作权，例如创建/删除用户、表、同义词、索引等等。 对象权限：是指用户对数据的操作权，如查询、更新、插入、删除、完整性约束等等。 用户权限可以被授权或者收回。 权限授予示意图 角色 角色是一组用户权限和角色的集合。 使用角色可以简化权限管理，因为通过角色可以一次把一组权限授予用户，或者从用户处收回。 角色分为系统预定义角色和用户自定义角色两类。 角色也可以被授权或收回。 角色示意图 初始管理用户 SYS 数据库中具有最高权限的SYSDBA，拥有所有权限，拥有数据字典。缺省口令CHANGE_ON_INSTALL。 SYSTEM 具有SYSOPER的权限，不能创建、删除数据库，但可以进行其他一些管理工作。缺省口令Manager。 【说明】SYS用户可以给其他用户授予权限和角色，并且可授予他们转授这些权限和角色的权力。 1.2 用户管理 1.2.1 用户分类 几类数据库用户 数据库管理员 安全管理员 应用开发者 应用管理员 普通数据库用户 1、数据库管理员（DBA） 安装和升级Oracle服务器和应用工具。 数据库系统存储空间的管理。 数据库结构的管理。例如，创建、修改和删除表空间。 控制、监视用户对Oracle数据库的访问。 调整和优化数据库性能。 制定和实施数据库的备份和恢复计划。 2、安全管理员 数据库安全有关的管理工作应由安全管理员负责。在小型系统中，一般由DBA兼任。 3、应用开发者 设计和开发数据库应用。 为应用程序设计和修改数据库结构，估计存储空间的需求。 在应用开发期间，调整应用、指定应用的安全机制。 4、应用管理员 在数据库应用交付使用后，通常需要有专人负责应用程序的日常维护工作。 应用管理员负责发现和解决应用程序运行中出现的错误，或者把错误信息报告给数据库管理员。 5、普通数据库用户 录入、修改和删除数据。 生成数据报表。 6、网络管理员 负责Oracle网络产品的管理工作，例如SQL*Net的管理。 六类用户关系图 初始管理用户 SYS 数据库中具有最高权限的SYSDBA，拥有所有权限，拥有数据字典。缺省口令CHANGE_ON_INSTALL。 SYSTEM 具有SYSOPER的权限，不能创建、删除数据库，但可以进行其他一些管理工作。缺省口令Manager。 【说明】SYS用户可以给其他用户授予权限和角色，并且可授予他们转授这些权限和角色的权力。 用户的方案 方案是用户所拥有的所有数据库对象的集合。 Oracle数据库的方案对象主要是指：表、索引、视图、序列、同义词、过程、函数、包、触发器。 方案的名称与用户的名称相同，但是它们是完全不同的两个概念。 同一个方案中不能存在同名的方案对象，但不同的方案中可以存在同名的方案对象。（如scott.emp和smith.emp） 用户拥有自己的方案对象的所有权限。 如果用户想访问其他用户的方案对象，需要被授予相应的对象权限，且必须在该对象的名称之前加上其用户的名称。（如smith访问scott.emp) 1.2.2 管理用户 一、创建用户 基本语法 CREATE USER user_name 用户名 IDENTIFIED [ BY password | EXTERNALLY | GLOBALLY AS ‘external_name’ ] 验证方式 [ DEFAULT TABLESPACE tablespace_name ] 默认表空间 [