本篇探讨以下几个问题:你可提前猜测下面6个场景语句中,哪几个回收可以成功执行?

1. 在CDB级别中对用户进行权限回收,不带 container 子句的效果;

2. 在CDB级别中对用户进行权限回收,带 container=all 子句的效果;

3. 在CDB级别中对用户进行权限回收,带 container=current 子句的效果;

4. 在PDB级别中对用户进行权限回收,不带 container 子句的效果;

5. 在PDB级别中对用户进行权限回收,带 container=all 子句的效果;

6. 在PDB级别中对用户进行权限回收,带 container=current 子句的效果;

请熟悉创建用户作用域创建角色作用域授权作用域。本篇将在以上理论基础上进行演示。

演示数据库版本:18.3.0.0.0(18c)

权限回收,针对的是授权,我们回顾下授权的作用域范围:需要注意的是,在考试中,经常考到在CDB级别授权及回收权限的作用域。

1. 在CDB级别中对用户进行授权,不带 container 子句的效果: 仅作用于当前CDB

2. 在CDB级别中对用户进行授权,带 container=all 子句的效果:作用于当前CDB和所有PDB

3. 在CDB级别中对用户进行授权,带 container=current 子句的效果:仅作用于当前CDB

4. 在PDB级别中对用户进行授权,不带 container 子句的效果:仅作用于当前PDB

5. 在PDB级别中对用户进行授权,带 container=all 子句的效果:X错误X PDB级别不能使用 ALL

6. 在PDB级别中对用户进行授权,带 container=current 子句的效果:仅作用于当前PDB

对于授权作用域,我们总结成三句话:也就是授权一共3种情况仅作用于CDB作用于全局仅作用于PDB

仅作用于CDB:CDB级别不带子句或带了 current 都只作用于当前CDB

作用于全局:CDB级别如果带了 ALL,将作用于CDB和所有PDB全局

仅作用于PDB:PDB级别不带子句或带了 current 都只作用于当前PDB,无法带 ALL

注意:以上3种情况的授权,分别又对应3种回收选项(不带子句,带 all,带 current),所以共计9种情况,逐个讨论。

情况一:CDB授权作用于当前CDB,回收不带子句

创建用户 c##r1 并授权。符号 '<>' 代表默认值可省略

SQL> create user c##r1 identified by r1 <container=all>; ---用户默认作用于全局容器

User created.

SQL> grant create session to c##r1 <container=current>; ---授权默认作用于当前容器CDB

Grant succeeded.

所有容器均存在用户 c##r1 ,但只有CDB级别可以登录,PDB无法登陆。

回收权限,不带子句

SQL> revoke create session from c##r1;

Revoke succeeded.

SQL> conn c##r1/r1@cdb18c;

ERROR:

ORA-01045: user C##R1 lacks CREATE SESSION privilege; logon denied

不带子句,回收成功,默认作用于当前CDB,回收后,无法登陆。

情况二:CDB授权作用于当前CDB,回收带 ALL

创建用户 c##r2 并授权。

SQL> create user c##r2 identified by r2;

User created.

SQL> grant create session to c##r2;

Grant succeeded.

所有容器均存在用户 c##r2 ,但只有CDB级别可以登录,PDB无法登陆。

回收权限,子句带 ALL

SQL> revoke create session from c##r2 container=all;

revoke create session from c##r2 container=all

*

ERROR at line 1:

ORA-65092: system privilege granted with a different scope to 'C##R2'

子句带 ALL,将报错。因授权只针对当前CDB生效,所以回收无法针对所有容器回收。

情况三:CDB授权作用于当前CDB,回收带 CURRENT

创建用户 c##r3 并授权。

SQL> create user c##r3 identified by r3;

User created.

SQL> grant create session to c##r3;

Grant succeeded.

所有容器均存在用户 c##r3 ,但只有CDB级别可以登录,PDB无法登陆。

回收权限,子句带 CURRENT

SQL> revoke create session from c##r3 container=current;

Revoke succeeded.

SQL> conn c##r3/r3@cdb18c;

ERROR:

ORA-01045: user C##R3 lacks CREATE SESSION privilege; logon denied

子句带 CURRENT,回收成功,作用于当前CDB,回收后,无法登陆。

情况四:CDB授权作用于全局容器,回收不带子句

创建用户 c##r4 并授权。

SQL> create user c##r4 identified by r4;

User created.

SQL> grant create session to c##r4 container=all;

Grant succeeded.

所有容器均存在用户 c##r4 ,且CDB和所有PDB均可登录。

回收权限,不带子句

SQL> revoke create session from c##r4;

revoke create session from c##r4

*

ERROR at line 1:

ORA-65092: system privilege granted with a different scope to 'C##R4'

不带子句,回收失败。因授权针对的是全局容器生效,所以回收无法针对当前CDB容器进行回收。---OCP考试内容

情况五:CDB授权作用于全局容器,回收带 ALL

创建用户 c##r5 并授权。

SQL> create user c##r5 identified by r5;

User created.

SQL> grant create session to c##r5 container=all;

Grant succeeded.

所有容器均存在用户 c##r5 ,且CDB和所有PDB均可登录。

回收权限,子句带 ALL

SQL> revoke create session from c##r5 container=all;

Revoke succeeded.

SQL> conn c##r5/r5@cdb18c; ---CDB无法登陆

ERROR:

ORA-01045: user C##R5 lacks CREATE SESSION privilege; logon denied

Warning: You are no longer connected to ORACLE.

SQL> conn c##r5/r5@orders; ---PDB无法登陆

ERROR:

ORA-01045: user C##R5 lacks CREATE SESSION privilege; logon denied

子句带 ALL,回收成功。针对所有容器,CDB及PDB将无法登陆。

情况六:CDB授权作用于全局容器,回收带 CURRENT

创建用户 c##r6 并授权。

SQL> create user c##r6 identified by r6;

User created.

SQL> grant create session to c##r6 container=all;

Grant succeeded.

所有容器均存在用户 c##r6 ,且CDB和所有PDB均可登录。

回收权限,子句带 CURRENT

SQL> revoke create session from c##r6 container=current;

revoke create session from c##r6 container=current

*

ERROR at line 1:

ORA-65092: system privilege granted with a different scope to 'C##R6'

带 current 回收失败。因授权针对的是全局容器生效,所以回收无法针对当前CDB容器进行回收。

情况七:PDB自己授权,回收不带子句

CDB创建用户 c##r7

SQL> create user c##r7 identified by r7;

User created.

所有容器均存在用户 c##r7 ,且CDB和所有PDB现在都不可以登陆。

PDB单独对 c##r7 用户进行授权。

SQL> alter session set container=orders;

Session altered.

SQL> grant create session to c##r7; ---PDB级别默认授权为 CURRENT,无法进行 ALL 授权

Grant succeeded.

结果为PDB可登录了,CDB无法登陆

SQL> conn c##r7/r7@cdb18c; ---CDB无法登陆

ERROR:

ORA-01045: user C##R7 lacks CREATE SESSION privilege; logon denied

Warning: You are no longer connected to ORACLE.

SQL> conn c##r7/r7@orders; ---PDB可登陆

Connected.

CDB尝试回收

SQL> conn / as sysdba

Connected.

SQL> revoke create session from c##r7;

revoke create session from c##r7

*

ERROR at line 1:

ORA-01952: system privileges not granted to 'C##R7'

报错,原因是CDB级别根本没有进行授权。

PDB自己尝试回收

SQL> conn sys/oracle@orders as sysdba

Connected.

SQL> revoke create session from c##r7;

Revoke succeeded.

也就是说:PDB级别自己针对公共用户的授权,只能由PDB级别自己管理,CDB无法进行权限回收。

情况八:PDB自己授权,回收带 ALL

CDB创建用户 c##r8,PDB级别自己授权

SQL> conn / as sysdba

Connected.

SQL> create user c##r8 identified by r8;

User created.

SQL> alter session set container=orders;

Session altered.

SQL> grant create session to c##r8;

Grant succeeded.

结果为PDB可登录,CDB无法登陆

PDB 带子句 ALL 进行回收

SQL> revoke create session from c##r8 container=all;

revoke create session from c##r8 container=all

*

ERROR at line 1:

ORA-65040: operation not allowed from within a pluggable database

报错,在PDB级别操作不被允许,无法使用子句 container=all

情况九:PDB自己授权,回收带 CURRENT

CDB创建用户 c##r9,PDB级别自己授权

SQL> conn / as sysdba

Connected.

SQL> create user c##r9 identified by r9;

User created.

SQL> alter session set container=orders;

Session altered.

SQL> grant create session to c##r9;

Grant succeeded.

结果为PDB可登录,CDB无法登陆

PDB 带子句 CURRENT 进行回收

SQL> revoke create session from c##r9 container=current;

Revoke succeeded.

回收成功,PDB级别默认和CURRENT情况一致。

综上:

情况一:CDB授权作用于当前CDB,回收不带子句     回收当前CDB权限

情况二:CDB授权作用于当前CDB,回收带 ALL        X错误X

情况三:CDB授权作用于当前CDB,回收带 CURRENT   回收当前CDB权限

-----------------------------------------------------------------------------------------------------------

情况四:CDB授权作用于全局容器,回收不带子句      X错误X

情况五:CDB授权作用于全局容器,回收带 ALL      回收全局容器权限

情况六:CDB授权作用于全局容器,回收带 CURRENT   X错误X

-----------------------------------------------------------------------------------------------------------

情况七:PDB自己授权,回收不带子句           回收当前PDB权限

情况八:PDB自己授权,回收带 ALL           X错误X

情况九:PDB自己授权,回收带 CURRENT        回收当前PDB权限

理解 Oracle 多租户体系中(12c,18c,19c)Revoke 回收权限作用域范围的更多相关文章

  1. 理解 Oracle 多租户体系中(12c,18c,19c)Grant授权作用域范围

    本篇探讨以下几个问题:你可提前猜测下面6个场景语句中,哪几个授权可以成功执行? 1. 在CDB级别中对用户进行授权,不带 container 子句的效果: 2. 在CDB级别中对用户进行授权,带 co ...

  2. 理解 Oracle 多租户体系中(12c,18c,19c)创建角色作用域范围

    本篇探讨以下几个问题:你可提前猜测下面6个场景语句中,哪几个可以成功创建角色? 1. 在CDB级别中创建公共角色,不带 container 子句的效果: 2. 在CDB级别中创建公共角色,带 cont ...

  3. 理解 Oracle 多租户体系中(12c,18c,19c)创建用户作用域范围

    本篇探讨以下几个问题:你可提前猜测下面6个场景语句中,哪几个可以成功创建用户? 1. 在CDB级别中创建公共用户,不带 container 子句的效果: 2. 在CDB级别中创建公共用户,带 cont ...

  4. Oracle 12c 多租户家族(12c 18c 19c)如何在 PDB 中添加 HR 模式

    Oracle 12c 多租户家族(12c [12.2.0.1].18c [12.2.0.2].19c [12.2.0.3])如何在 PDB 中添加模式:19c (19.3) 手工添加示例 HR 用户 ...

  5. OCP培训 Oracle 12c/18c/19c OCP认证实战培训【送OCP优惠名额】

    一.OCP培训 Oracle 12c/18c/19c OCP认证全套实战培训[送OCP优惠名额],本课程内容 课程目标: 为满足想参加Oracle OCP考证的学员,风哥设计的一套比较全面OCP实战培 ...

  6. 深入理解Oracle RAC 12c 笔记

    深入理解Oracle RAC 12c 跳转至: 导航. 搜索 文件夹 1 概述 2 集群件管理和故障诊断 3 执行实践 4 新特性 5 存储和ASM 6 应用设计上的问题 7 管理和调优一个复杂的RA ...

  7. 理解oracle中连接和会话

    详见:http://blog.yemou.net/article/query/info/tytfjhfascvhzxcytp44 理解oracle中连接和会话 1.  概念不同:概念不同: 连接是指物 ...

  8. 前端知识体系:JavaScript基础-原型和原型链-理解原型设计模式以及 JavaScript中的原型规则

    理解原型设计模式以及 JavaScript中的原型规则(原文地址) 1.原型对象:我们创建的每一个函数(JavaScript中函数也是一个对象)都有一个原型属性 prototype,原型属性实质上是一 ...

  9. ORACLE--12C--多租户体系架构概念

    一,概念 1,何为多租户? 官网链接: 飞机直达>> 多租户这个概念并不是12C的新特性,而是体系架构,多租户架构使得oracle 数据库成为了一个多租户的容器数据库,也就是contain ...

随机推荐

  1. 03.JS运算符

    前言:   学习一门编程语言的基本步骤 (01)了解背景知识 (02)搭建开发环境 (03)语法规范 (04)常量和变量 (05)数据类型 (06)数据类型转换 (07)运算符7.运算符 表达式:由运 ...

  2. java代码生成器 快速开发平台 二次开发 外包项目利器 springmvc SSM后台框架源码

    .   权限管理:点开二级菜单进入三级菜单显示 角色(基础权限)和按钮权限      角色(基础权限): 分角色组和角色,独立分配菜单权限和增删改查权限.      按钮权限: 给角色分配按钮权限.2 ...

  3. SWIG 3 中文手册——10. 参数处理

    目录 10 参数处理 10.1 typemaps.i 库 10.1.1 引言 10.1.2 输入参数 10.1.3 输出参数 10.1.4 输入 / 输出参数 10.1.5 使用不同的名称 10.2 ...

  4. Git分支的管理

    (一)查看分支 1.查看本地分支:git branch 2.查看远程分支:git branch -r 3.查看所有分支:git branch -a (二)创建分支 1.创建本地分支:git branc ...

  5. Dolphin Scheduler初始化Postgresql数据库失败

    在执行sh script/create-dolphinscheduler.sh初始化数据库时报错: 07:05:03.070 [main] ERROR com.alibaba.druid.pool.D ...

  6. Python爬虫库BeautifulSoup获取对象(标签)名,属性,内容,注释

    这篇文章主要介绍了Pythont特殊语法filter,map,reduce,apply使用方法,需要的朋友可以参考下(1)lambda lambda是Python中一个很有用的语法,它允许你快速定义单 ...

  7. 通过CSS3属性值的变化实现动画效果+触发这些动画产生交互

    css3过渡 transition 兼容性:IE10+ transition: none | all | property 默认为none all 表示所有属性过渡 property 指定属性值,如c ...

  8. KD-Tree 学习笔记

    这是一篇又长又烂的学习笔记,请做好及时退出的准备. KD-Tree 的复杂度大概是 \(O(n^{1-\frac{1}{k}})\) \(k\) 是维度 由于网上找不到靠谱的证明,咕了. 会证明之后再 ...

  9. Wannafly Winter Camp 2020 Day 6J K重排列 - dp

    求 \(K\) 是多少个 \(n\) 元置换的周期.\(T\leq 100, n\leq 50, K \leq 10^{18}\) Solution 置换可以被试做若干个环组成的有向图,于是考虑 dp ...

  10. 使用FRP做内网穿透

    Github地址:https://github.com/fatedier/frp 什么是FRP? frp 是一个可用于内网穿透的高性能的反向代理应用,支持 tcp, udp 协议,为 http 和 h ...