本篇探讨以下几个问题:你可提前猜测下面6个场景语句中,哪几个授权可以成功执行?

1. 在CDB级别中对用户进行授权,不带 container 子句的效果;

2. 在CDB级别中对用户进行授权,带 container=all 子句的效果;

3. 在CDB级别中对用户进行授权,带 container=current 子句的效果;

4. 在PDB级别中对用户进行授权,不带 container 子句的效果;

5. 在PDB级别中对用户进行授权,带 container=all 子句的效果;

6. 在PDB级别中对用户进行授权,带 container=current 子句的效果;

在理解上面问题之前,我们需要提前约定,就是需要提前知道:

1. CDB级别创建的用户或角色称为公共用户或角色PDB级别创建的用户或角色称为本地用户或角色。且CDB级别无法对公共用户和角色无法进行 container=current 操作,PDB级别无法对本地用户进行 container=all 操作。

2. 公共用户和角色命名规则对应参数 common_user_prefix ,该参数值默认为 C##。所以,在CDB级别创建公共用户或角色,需要带 C##(也可以更改参数值,但不建议)。

3. PDB$SEED 仅为种子容器,对应 CON_ID 为 2,只读模式,不参与讨论。

演示数据库版本:18.3.0.0.0(18c)

目录

1. CDB 授权不带 container 默认

2. CDB 授权带 container=all

3. CDB 授权带 container=current

4. PDB 授权不带 container 默认

5. PDB 授权带 container=all

6. PDB 授权带 container=current

1. CDB 授权不带 container 默认

CDB创建测试用户

SQL> create user c##admin identified by admin;

User created.

# 需要注意:CDB级别中这个语句和带 container=all 语句效果一样

该语句创建的用户,将作用于CDB和所有PDB。详情参考《理解 Oracle 多租户体系中(12c,18c,19c)创建用户作用域范围》一文

SQL> select username,common,con_id from cdb_users where username='C##ADMIN';

USERNAME    COMMON       CON_ID

--------------- ------ ----------

C##ADMIN    YES        1

C##ADMIN    YES        3

对该用户进行授权,不带 container 子句

SQL> grant create session to c##admin;

Grant succeeded.

# 授权成功后,请问 c##admin 用户能否登陆CDB?能否登陆PDB?

验证该用户是否可以登录CDB和PDB

SQL> conn c##admin/admin@cdb18c

Connected.

# CDB可以进行登录

SQL> conn c##admin/admin@orders

ERROR:

ORA-01045: user C##ADMIN lacks CREATE SESSION privilege; logon denied

Warning: You are no longer connected to ORACLE.

# PDB无法进行登录

结论:公共用户在进行授权不带 container 子句,默认仅作用于CDB级别

2. CDB 授权带 container=all

CDB创建测试用户

SQL> conn / as sysdba

Connected.

SQL> create user c##admin1 identified by admin1;

User created.

该语句创建的用户,将作用于CDB和所有PDB。

SQL> select username,common,con_id from cdb_users where username='C##ADMIN1';

USERNAME    COMMON       CON_ID

--------------- ------ ----------

C##ADMIN1    YES        1

C##ADMIN1    YES        3

对该用户进行授权,带 container=all 子句

SQL> grant create session to c##admin1 container=all;

Grant succeeded.

验证该用户是否可以登录CDB和PDB

SQL> conn c##admin1/admin1@cdb18c

Connected.

# CDB可以进行登录

SQL> conn c##admin1/admin1@orders

Connected.

# PDB可以进行登录

结论:公共用户在进行授权带 container=all 子句,默认作用于CDB和所有PDB

3. CDB 授权带 container=current

CDB创建测试用户

SQL> conn / as sysdba

Connected.

SQL> create user c##admin2 identified by admin2;

User created.

该语句创建的用户,将作用于CDB和所有PDB。

SQL> select username,common,con_id from cdb_users where username='C##ADMIN2';

USERNAME    COMMON       CON_ID

--------------- ------ ----------

C##ADMIN2    YES        1

C##ADMIN2    YES        3

对该用户进行授权,带 container=current 子句

SQL> grant create session to c##admin2 container=current;

Grant succeeded.

验证该用户是否可以登录CDB和PDB

SQL> conn c##admin2/admin2@cdb18c

Connected.

# CDB可以进行登录

SQL> conn c##admin2/admin2@orders

ERROR:

ORA-01045: user C##ADMIN2 lacks CREATE SESSION privilege; logon denied

Warning: You are no longer connected to ORACLE.

# PDB无法进行登录

结论:公共用户在进行授权带 container=current 子句,默认仅作用于CDB级别,和不带container子句效果一致。

4. PDB 授权不带 container 默认

PDB创建测试用户

SQL> conn sys/oracle@orders as sysdba

Connected.

SQL> show pdbs

    CON_ID CON_NAME           OPEN MODE  RESTRICTED

---------- ------------------- ---------- ----------

     3    ORDERS              READ WRITE NO

SQL> create user padmin identified by padmin;

User created.

该语句创建的用户,将作用于当前PDB。

SQL> select username,common,con_id from cdb_users where username='PADMIN';

USERNAME    COMMON       CON_ID

--------------- ------ ----------

PADMIN        NO        3

对该用户进行授权,不带 container 子句

SQL> grant create session to padmin;

Grant succeeded.

验证该用户是否可以登录当前PDB

SQL> conn padmin/padmin@orders

Connected.

# PDB可以进行登录

结论:本地用户在进行授权不带 container 子句,默认仅作用于当前PDB级别

5. PDB 授权带 container=all

PDB创建测试用户

SQL> create user padmin1 identified by padmin1;

User created.

该语句创建的用户,将作用于当前PDB。

SQL> select username,common,con_id from cdb_users where username='PADMIN1';

USERNAME   COMMON     CON_ID

---------- ------ ----------

PADMIN1    NO           3

对该用户进行授权,带 container=all 子句

SQL> grant create session to padmin1 container=all;

grant create session to padmin1 container=all

*

ERROR at line 1:

ORA-65030: cannot grant a privilege commonly to a local user or role

# 报错,无法进行本地用户的 container=all 授权

结论:本地用户在进行权限授权时,无法使用 container=all 子句。

6. PDB 授权带 container=current

针对上面PDB用户 padmin1 能否使用 container=current 子句进行授权?

SQL> grant create session to padmin1 container=current;

Grant succeeded.

SQL> conn padmin1/padmin1@orders

Connected.

结论:本地用户在进行权限授权时,使用 container=current 子句,作用域为当前PDB

综上:

1. 在CDB级别中对用户进行授权,不带 container 子句的效果: 仅作用于当前CDB

2. 在CDB级别中对用户进行授权,带 container=all 子句的效果:作用于当前CDB和所有PDB

3. 在CDB级别中对用户进行授权,带 container=current 子句的效果:仅作用于当前CDB

4. 在PDB级别中对用户进行授权,不带 container 子句的效果:仅作用于当前PDB

5. 在PDB级别中对用户进行授权,带 container=all 子句的效果:X错误X PDB级别不能使用 ALL

6. 在PDB级别中对用户进行授权,带 container=current 子句的效果:仅作用于当前PDB

理解 Oracle 多租户体系中(12c,18c,19c)Grant授权作用域范围的更多相关文章

  1. 理解 Oracle 多租户体系中(12c,18c,19c)Revoke 回收权限作用域范围

    本篇探讨以下几个问题:你可提前猜测下面6个场景语句中,哪几个回收可以成功执行? 1. 在CDB级别中对用户进行权限回收,不带 container 子句的效果: 2. 在CDB级别中对用户进行权限回收, ...

  2. 理解 Oracle 多租户体系中(12c,18c,19c)创建角色作用域范围

    本篇探讨以下几个问题:你可提前猜测下面6个场景语句中,哪几个可以成功创建角色? 1. 在CDB级别中创建公共角色,不带 container 子句的效果: 2. 在CDB级别中创建公共角色,带 cont ...

  3. 理解 Oracle 多租户体系中(12c,18c,19c)创建用户作用域范围

    本篇探讨以下几个问题:你可提前猜测下面6个场景语句中,哪几个可以成功创建用户? 1. 在CDB级别中创建公共用户,不带 container 子句的效果: 2. 在CDB级别中创建公共用户,带 cont ...

  4. Oracle 12c 多租户家族(12c 18c 19c)如何在 PDB 中添加 HR 模式

    Oracle 12c 多租户家族(12c [12.2.0.1].18c [12.2.0.2].19c [12.2.0.3])如何在 PDB 中添加模式:19c (19.3) 手工添加示例 HR 用户 ...

  5. OCP培训 Oracle 12c/18c/19c OCP认证实战培训【送OCP优惠名额】

    一.OCP培训 Oracle 12c/18c/19c OCP认证全套实战培训[送OCP优惠名额],本课程内容 课程目标: 为满足想参加Oracle OCP考证的学员,风哥设计的一套比较全面OCP实战培 ...

  6. 在ASP.NET中基于Owin OAuth使用Client Credentials Grant授权发放Token

    OAuth真是一个复杂的东东,即使你把OAuth规范倒背如流,在具体实现时也会无从下手.因此,Microsoft.Owin.Security.OAuth应运而生(它的实现代码在Katana项目中),帮 ...

  7. 在WebApi中基于Owin OAuth使用授权发放Token

    如何基于Microsoft.Owin.Security.OAuth,使用Client Credentials Grant授权方式给客户端发放access token? Client Credentia ...

  8. 深入理解Oracle RAC 12c 笔记

    深入理解Oracle RAC 12c 跳转至: 导航. 搜索 文件夹 1 概述 2 集群件管理和故障诊断 3 执行实践 4 新特性 5 存储和ASM 6 应用设计上的问题 7 管理和调优一个复杂的RA ...

  9. 理解oracle中连接和会话

    详见:http://blog.yemou.net/article/query/info/tytfjhfascvhzxcytp44 理解oracle中连接和会话 1.  概念不同:概念不同: 连接是指物 ...

随机推荐

  1. Cassandra 在 360 的实践与改进

    分享嘉宾:王锋 奇虎360 技术总监 文章整理:王彦 内容来源:Cassandra Meetup 出品平台:DataFunTalk 注:欢迎转载,转载请留言. 导读:2010年,Dropbox 在线云 ...

  2. Spark组件间通信

    1.Spark组件之间使用RPC机制进行通信.RPC的客户端在本地编写并调用业务接口,接口在本地通过RPC框架的动态代理机制生成一个对应的实现类,在这个实现类中完成soket通信.远程调用等功能的逻辑 ...

  3. count(1)比count(*)效率高?

    SELECT COUNT(*) FROM table_name是个再常见不过的统计需求了. 本文带你了解下Mysql的COUNT函数. 一.COUNT函数 关于COUNT函数,在MySQL官网中有详细 ...

  4. 最短路问题 Dijkstra算法- 路径还原

    // 路径还原 // 求最短路,并输出最短路径 // 在单源最短路问题中我们很容易想到,既然有许多条最短路径,那将之都存储下来即可 // 但再想一下,我们是否要把所有的最短路径都求出来呢? // 实际 ...

  5. mysql必知必会--排序检索数据

    排序数据 其实,检索出的数据并不是以纯粹的随机顺序显示的.如果不排 序,数据一般将以它在底层表中出现的顺序显示.这可以是数据最初 添加到表中的顺序.但是,如果数据后来进行过更新或删除,则此顺 序将会受 ...

  6. 网站SEO中服务器优化的三个问题

    网站做好之后,站长第一件事就是想到去做SEO,但是有一些网站在做优化的时候,出现一些奇怪的情况,比如说优化已经不错的网站,排名突然就掉下来了:还有一些网站各项优化工作都是非常认真,但是排名却一直不上来 ...

  7. Selenium实战(一)——浏览器实例

    一.Chrome浏览器 首先,在所有的打开浏览器操作之前,要配置好python环境和selenium,安装好如下图所示:然后可以选择一款适合自己的编辑器,这里用的是pycharm(第一次写博客贴的动图 ...

  8. 吴裕雄--天生自然 PYTHON数据分析:所有美国股票和etf的历史日价格和成交量分析

    # This Python 3 environment comes with many helpful analytics libraries installed # It is defined by ...

  9. ubuntu---CUDA版本与NVIDIA显卡驱动版本对应关系查询

    https://docs.nvidia.com/cuda/cuda-toolkit-release-notes/index.html ,如果不是CUDA 10.2 版本的,可以类似的查找 CUDA x ...

  10. 论文阅读笔记(十六)【AAAI2018】:Region-Based Quality Estimation Network for Large-Scale Person Re-Identification

    Introduction (1)Motivation: 当前的行人重识别方法都只能在标准的数据集上取得好的效果,但当行人被遮挡或者肢体移动时,往往效果不佳. (2)Contribution: ① 提出 ...