[轉貼] 詳解如何實現(xiàn)Oracle修改用戶權限

這里將介紹Oracle修改用戶權限的實現(xiàn)過程，包括一些權限管理方面的東西。希望通過本文能對大家了解Oracle修改用戶權限有所幫助。, @3 p6 d. R! c" S9 \
ORACLE數(shù)據(jù)庫用戶與權限管理; }/ g4 s: f8 u, K8 N
ORACLE是多用戶系統(tǒng)，它允許許多用戶共享系統(tǒng)資源。為了保證數(shù)據(jù)庫系統(tǒng)的安全，數(shù)據(jù)庫管理系統(tǒng)配置了良好的安全機制。
2. 1 ORACLE數(shù)據(jù)庫安全策略- J" J) g. J2 G% I J' b0 |
建立系統(tǒng)級的安全保證 7 V0 `; ]7 _& j/ ~% Q1 c9 Z# U
系統(tǒng)級特權是通過授予用戶系統(tǒng)級的權利來實現(xiàn)，系統(tǒng)級的權利（系統(tǒng)特權）包括：建立表空間、建立用戶、修改用戶的權利、刪除用戶等。系統(tǒng)特權可授予用戶，也可以隨時回收。ORACLE系統(tǒng)特權有80多種。
建立對象級的安全保證
對象級特權通過授予用戶對數(shù)據(jù)庫中特定的表、視圖、序列等進行操作（查詢、增、刪改）的權利來實現(xiàn)。3 F3 H. g1 z% z) ^8 C! J: v
建立用戶級的安全保證
用戶級安全保障通過用戶口令和角色機制（一組權利）來實現(xiàn)。引入角色機制的目的是簡化對用戶的授權與管理。做法是把用戶按照其功能分組，為每個用戶建立角色，然后把角色分配給用戶，具有同樣角色的用戶有相同的特權。
2.2 用戶管理
ORACLE用戶管理的內(nèi)容主要包括用戶的建立、修改和刪除) K8 O8 b* Q0 l
用戶的建立 " y( D& d+ l0 C( Y5 u" N

SQL>CREATE# f; U# E X; K. O6 n; W
USER jxzy
>IDENTIFIED BY jxzy_password
>DEFAULT TABLESPACE system
>QUATA 5M ON system; //供用戶使用的最大空間限額

Oracle修改用戶權限 2 B; K. Z# ?* C @; h( A

SQL>CREATE' ]2 A. `$ ^0 v( ~
USER jxzy
>IDENTIFIED BY jxzy_pw
>QUATA 10M ON system;

刪除用戶及其所建對象

SQL>DROP
( G# e S( g1 k5 V. PUSER jxzy CASCADE; //同時刪除其建立的實體

2.3系統(tǒng)特權管理與控制
ORACLE 提供了80多種系統(tǒng)特權，其中每一個系統(tǒng)特權允許用戶執(zhí)行一個或一類數(shù)據(jù)庫操作。
授予系統(tǒng)特權

SQL>GRANT
' [( ?4 b9 b7 _* J. F: I- ?- I! ?$ xCREATE7 a! v( o8 x, x. @
USER,ALTER% U1 B$ m4 J( u" T# F
USER,DROP! F0 K! S, @8 H( k1 y' u8 z$ B' X
USER; y" A4 |0 H* d- C3 h4 U9 s2 P
>TO jxzy_new
>WITH ADMIN OPTION;

回收系統(tǒng)特權 & `- r: z9 M, s2 z( y

SQL>REVOKE
$ Z7 s! x% G9 [: G6 q; qCREATE
" ]# c/ ~" }* S4 ?/ @/ eUSER,ALTER0 O! T1 B& B, y
USER,DROP% j: H, Q1 m. Q) \9 j; ?
USER9 e/ @: [& g- f/ v
>FROM jxzy_new
//但沒有級聯(lián)回收功能

顯示已被授予的系統(tǒng)特權（某用戶的系統(tǒng)級特權） 0 O+ _9 F7 O% F

SQL>SELECT*FROM sys.dba_sys_privs

2.4 對象特權管理與控制2 B) o! f9 E7 A9 b. S O4 D& {
ORACLE對象特權指用戶在指定的表上進行特殊操作的權利。這些特殊操作包括增、刪、改、查看、執(zhí)行（存儲過程）、引用（其它表字段作為外鍵）、索引等。
授予對象特權

SQL>GRANT: q$ { `% O2 f! t% K" z
SELECT,INSERT(office_num,office_name),
>UPDATE(desc)ON office_organization
>TO new_adminidtrator
>WITH
, \! }$ D% h8 A! P9 |( U+ D3 W5 YGRANT
- O6 B) k2 f8 Q# OOPTION;
//級聯(lián)授權
SQL>GRANT( w* J" M* }% }! |/ p( Y/ Y
ALL
7 ^: B' Q6 H& T7 U$ h( Z9 rON office_organization
>TO new_administrator

回收對象特權 . T( ^' o1 A$ }3 Y4 n* w8 U. ~2 w

SQL>REVOKE1 _3 s& ` X" w, z: d
UPDATE
+ C+ t/ V! O! T/ b' G" L: U. RON office_orgaization
>FROM new_administrator
//有級聯(lián)回收功能
SQL>REVOKE
# ~" `7 A6 b4 S& ?5 X# lALL1 y3 V% k) G/ ~9 n5 n% ]2 p
ON office_organization
>FROM new_administrator

顯示已被授予的全部對象特權 . E' T/ e I8 T7 o) A2 F! L) W

SQL>SELECT*FROM sys.dba_tab_privs

2.5 角色的管理
ORACLE的角色是命名的相關特權組（包括系統(tǒng)特權與對象特權），ORACLE用它來簡化特權管理，可把它授予用戶或其它角色。
ORACLE數(shù)據(jù)庫系統(tǒng)預先定義了CONNECT 、RESOURCE、 DBA、 EXP_FULL_DATABASE、 IMP_FULL_DATABASE五個角色。CONNECT具有創(chuàng)建表、視圖、序列等特權；RESOURCE具有創(chuàng)建過程、觸發(fā)器、表、序列等特權、DBA具有全部系統(tǒng)特權；EXP_FULL_DATABASE、 IMP_FULL_DATABASE具有卸出與裝入數(shù)據(jù)庫的特權。
通過查詢sys.dba_sys_privs可以了解每種角色擁有的權利。
授予用戶角色

SQL>GRANT DBA TO new_administractor
>WITH
. {. V: o- T" U8 |4 [$ w I, NGRANT; S2 I+ z! L& r$ |% c, {5 m3 Z2 o
OPTION;
==============================================================

Oracle 的用戶根據(jù)所被授予的權限分為系統(tǒng)權限和對象權限。其中最高的權限是sysdba。 Sysdba具有控制Oracle一切行為的特權，諸如創(chuàng)建、啟動、關閉、恢復數(shù)據(jù)庫，使數(shù)據(jù)庫歸檔/非歸檔，備份表空間等關鍵性的動作只能通過具有sysdba權限的用戶來執(zhí)行。這些任務即使是普通DBA角色也不行。Sysoper是一個與sysdba相似的權限，只不過比sysdba少了SYSOPER privileges WITH ADMIN OPTION，CREATE DATABASE，RECOVER DATABASE UNTIL這幾個權限而已。這兩者的認證方式是相同的辦法，所以下面只介紹sysdba的認證管理。
一般對sysdba的管理有兩種方式： *** 作系統(tǒng)認證和密碼文件認證。具體選擇那一種認證方式取決于：你是想在Oracle運行的機器上維護數(shù)據(jù)庫，還是在一臺機器上管理分布于不同機器上的所有的Oracle數(shù)據(jù)庫。若選擇在本機維護數(shù)據(jù)庫，則選擇 *** 作系統(tǒng)認證可能是一個簡單易行的辦法；若有好多數(shù)據(jù)庫，想進行集中管理，則可以選擇password文件認證方式。 9 A( |& V0 S$ C/ [8 J9 L4 J( P9 |
下圖比較直觀的說明了這個選擇權衡過程： / B6 @. W' `# ?, ?0 Q7 p
使用 *** 作系統(tǒng)認證方式的配置過程：
1．在 *** 作系統(tǒng)中建立一個合法帳戶。 ) p( k0 e' L+ X3 ], X
具體來說，在NT上，首先建立一個本地用戶組，取名為ORA__DBA,其中SID為該數(shù)據(jù)庫實例的SID，或者建立一個ORA_DBA地組，該組不對應于任何一個單獨的Oracle實例。這樣當一個NT上有好幾個Oracle實例時，不用分別管理。然后再NT上建立一個用戶，并且把它歸入該組中。但是實際上這兩步在Oracle8I安裝過程中已經(jīng)自動完成了，一般不用手動進行。
第三步：在sqlnet.ora（位于$ORACLE_HOME/NETWORK/ADMIN目錄中）中，把SQLNET.AUTHENTICATION _SERVICES 設置為SQLNET.AUTHENTICATION_SERVICES= (NTS)，意思為使用NT認證方式。
第四步，在INIT.ORA中，把REMOTE_LOGIN_PASSWORD設置為NONE，意思是不用password認證方式。 8 X# \0 _, w7 j4 `5 Y7 i
完成以上步驟后，就可以在登錄到NT后，直接在SQL*Plus 和SERVER MANAGER中CONNECT INTERNAL (CONNECT / AS SYSDBA)來作為超級用戶登錄到Oracle中，執(zhí)行一些只有超級用戶才能進行的 *** 作。
在Unix下，情況有些不同。畢竟這是兩個完全不同的 *** 作系統(tǒng)。
首先，在安裝Oracle之前，建立一個DBA組，這一步不用說了，不然是裝不上Oracle的。一般還建立一個名為Oracle的用戶，并把它加入到DBA組中。
第二步，設置REMOTE_LOGIN_PASSWORD為NONE。在Oracle8.1以后，該參數(shù)默認為EXCLUSIVE。一定要記得改過來。
第三步, 用該用戶名登錄Unix，運行SQL*Plus 或者SERVER MANAGER，輸入以下命令：CONNECT INTERNAL(CONNECT / AS SYSDBA)來登錄到Oracle中。 : v( @$ N6 T5 e- {, ~9 z2 P" @
使用password文件認證的具體步驟： / @) g, w/ |* I9 @, e
Oracle提供orapwd實用程序來創(chuàng)建password 文件，運用orapwd建立該認證方式的具體步驟如下：
1．使用Orapwd實用程序來創(chuàng)建一個PASSWORD文件。語法：
orapwd file=文件名 password=internal用戶密碼 entried=entries.
詳細解釋： , B8 W9 A( y; ^' M
文件名要包含完整的全路徑名，如果不指定，Oracle把它默認放置$ORACLE_HOME/dbs（Unix下）或者$ORACLE_HOME/DATABASE（NT下）下。 7 y" s5 d, v& V
用戶密碼是用戶internal的密碼。當然后來還可以再向里邊加入別的超級用戶。
Entries表示最大允許有的超級用戶數(shù)目。這個是一個可選的。前兩者是必須指定的。一般會把它設置的比實際需要大一些，以免不夠。
2．把INIT.ORA中REMOTE_LOGIN_PASSWORD設置為EXCLUSIVE 或SHARED.使用EXCLUSIVE表示只有當前INSTANCE使用這個password文件。而且允許有別的用戶作為sysdba登錄進系統(tǒng)里邊，而若選擇了SHARED，則表明不止一個實例使用這個密碼文件，伴隨著一個很強的約束：sysdba權限只能授予sys和internal這兩個用戶名。（其實internal不是一個實際用戶，而只是sys作為sysdba登錄時的一個別名。）
同時還要記得把sqlnet.ora文件中SQLNET.AUTHENTICATION _SERVICES設置為NONE。一般在Unix下它是默認設置。在NT下，若選擇典型安裝時，會使用OS認證，而自定義時會使用密碼文件認證方式。在安裝過程中會提示輸入INTERNAL密碼。這樣的話，就不用在手工創(chuàng)建密碼文件和設定INTERNAL的密碼了。
3．用SQL*Plus 或SERVER MANAGER運行下面命令登錄進系統(tǒng)：CONNECT INTERNAL/密碼。

注意點：
1．在Oracle8.1.6安裝在WIN2000下創(chuàng)建數(shù)據(jù)庫時，常常會發(fā)生憑證檢索失敗的錯誤。這是由于Oracle不能應用OS認證的結果。一般可以通過修改sqlnet.ora中SQLNET.AUTHENTICATION _SERVICES為NONE來解決。這時，Oracle將采用密碼文件認證方式。 - g% E+ L1 c5 h0 w& O& n
2.由于Oracle有幾個系統(tǒng)預建的用戶，所以最好在安裝完成以后馬上改變這些用戶的密碼。系統(tǒng)默認得密碼分別為：internal/oracle , sys/change_on_install, system/manager.
3.當選擇密碼文件認證方式時，可以再向系統(tǒng)中加入其他超級用戶。比如用以下語句把用戶SCOTT加入超級用戶之中：(由具有sysdba權限的人執(zhí)行) # H, N# t, z* b/ r( [% i, o
SQL>GRANT SYSDBA TO SCOTT;這樣SCOTT用戶就具有了sysdba權限。注意，此時SCOTT用戶可以以兩種身份登錄：SCOTT , SYS.當SCOTT在登錄時沒有輸入AS SYSDBA時，SCOTT是作為普通用戶登錄的。而當?shù)卿洉r輸入了AS SYSDBA時，此時SCOTT登錄進去的用戶實際上為sys。 ; g. m3 }4 T# D
4．當前系統(tǒng)中的具有sysdba權限的用戶名可以從數(shù)據(jù)字典視圖v$pwfile_user中查詢得到：
SELECT * FROM V$PWFILE_USERS; 如上圖所示。
5．系統(tǒng)中最大的具有sysdba權限的用戶數(shù)由創(chuàng)建密碼文件時的ENTRIES參數(shù)決定。當需要創(chuàng)建更多的具有sysdba權限的用戶時，就需要刪除原有的密碼文件，重新創(chuàng)建一個。這需要關閉數(shù)據(jù)庫，刪除密碼文件，重新創(chuàng)建一個新的密碼文件，在entries中輸入足夠大的數(shù)目。再啟動Oracle。這時，所有原來北授權的超級用戶都不再存在，需要重新授權。所以在重新創(chuàng)建密碼文件前，先要查詢該視圖，記下用戶名，再在創(chuàng)建完密碼文件后重新授權。 L. N( m& y: s3 D# I
6． Internal用戶密碼忘記的處理方法：
有兩種辦法： 3 J0 |" K+ H( \' k: b: S
1． ALTER USER SYS IDENTIFIED BY 新密碼；//這同時也改變了Internal的密碼,在Oracle8I中通過 + W! G, Y" w9 G, v/ W5 d* z
2．重新創(chuàng)建一個新的密碼文件，指定一個新的密碼。

本站僅提供存儲服務，所有內(nèi)容均由用戶發(fā)布，如發(fā)現(xiàn)有害或侵權內(nèi)容，請點擊舉報。

打開APP，閱讀全文并永久保存查看更多類似文章

Oracle 密碼丟失解決方法

Oracle數(shù)據(jù)庫數(shù)據(jù)安全面面觀

1.oracle登陸

Oracle9i 學習--第三章 - Solar's Testing Life - 51T...

sqlplus /nolog 是什么意思

conn / as sysdba遇到ORA

更多類似文章 >>

国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

[轉貼] 詳解如何實現(xiàn)Oracle修改用戶權限