oracle之创建和管理数据库用户账户

创建和管理数据库用户账户

sys 查看数据库里有多少用户？
select username from dba_users;

9.1.1用户的缺省表空间

每个用户账户都可以指定默认的表空间，用户创建的任何对象（如表或索引）将缺省保存在此表空间中，如果创建用户时没有指定默认表空间，那么属于数据库级的默认表空间（DBCA创建数据库时默认是users表空间）将应用于该账户。

SQL> select * from database_properties;            //查看数据库级的默认表空间

SQL> alter database default tablespace tablespace_name;    //可以更改

9.1.2 空间配额的概念：
配额（quota)是表空间中为用户的对象使用的空间量，dba建立用户时就应该考虑限制用户的磁盘空间配额，否则无限制配额的用户可能把你的表空间撑爆（甚至损坏system表空间）。

ALTER USER tim QUOTA 10m ON test_tbs;    --设置限额=10m

ALTER USER tim QUOTA             --不受限制

ALTER USER tim QUOTA 0 ON test_tbs;      --收回限额

考点：

1）要创建表，用户必须具有执行create table的权限，而且拥有在该表使用的表空间上的配额。
2）用户不需要临时表空间上的配额,UNOD表空间也不能针对用户设置配额。

9.2 管理概要文件(profile)(PPT-I-270-272)

作用是对用户访问数据库做一些限制。有几个要点：

1）概要文件（profile)具有两个功能，一个是实施口令限制，另一个是限制会话可以占用的资源。
2）始终要实施口令控制，而对于资源限制，则只有实例参数RESOURE_LIMIT为TRUE时（默认是FALSE)才会实施（考点）。
3）系统自动使用概要文件，有一个默认的default profile,限制很松，作用较小。
4）可以使用create profile为用户创建它自己的概要文件，没有说明的参数就从default profile的当前版本中提取。

Password_parameter部分：
       
       Failed_login_attempts：指定在帐户被锁定之前所允许尝试登陆的的最大次数。
       Password_lock_time：在到达Failed_login_attempts后锁定账户的天数。
       Password_life_time：口令过期前的天数，口令在过期后仍可以使用，具体取决于Password_grace_time
       Password_grace_time：口令过期（将生成更改口令的提示）后第一次成功登录后的天数，在此期间，旧口令仍然可用。
       Password_reuse_time：可以重新使用口令前的天数
       password_reuse_max：可以重新使用口令的次数
       Password_verify_function：更改口令时运行的函数名，此函数一般用于检查新口令所需的复杂程度。

Resource_parameter部分

Session_per_user：对同一个用户账户执行的并发登录数。
       Cpu_per_session：在强制终止会话前，允许会话的服务器进程使用的CPU时间（厘秒）。
       Cpu_per_call：    在强制终止某条SQL语句前，允许会话的服务器进程用于执行此语句的CPU时间。
       Connect_time：    在强制终止会话前，会话的最长持续时间（分钟）。
       Idle_time：    在强制终止会话前，允许会话处于闲置状态的最长时间（分钟）。
       Logical_reads_per_session： 在强制终止会话前，会话可读取的块数（无论块在数据缓冲区还是磁盘）。
       Logical_read_per_call：    在强制终止单个语句前，此语句可读取的块数（无论块在数据缓冲区还是磁盘）。
       Private_sga：    对于通过共享服务器体系结构连接的会话，允许会话的会话数据在SGA中占用的字节数(考点）。
       Composite_limit：前面几个参数的加权和。这是一个高级功能，其需要的配置不在OCP考试范围。

例：

1）创建一个概要文件，如果出现两次口令失误，那么将账户锁定。

SQL> create profile two_error limit failed_login_attempts 2;

2）将概要文件分配给tim用户

SQL> alter user tim profile two_error;

SQL> select username,PROFILE from dba_users where username='TIM';

USERNAME                       PROFILE
------------------------------ ------------------------------
TIM                            TWO_ERROR

3）tim尝试两次登录使用错误密码，系统报出ORA-28000错误

SQL> conn tim/fdfd
ERROR:
ORA-28000: 帐户已被锁定

4）sys为tim解锁
SQL> conn / as sysdba
SQL> alter user tim account unlock;

5）sys删掉了two_error概要文件

SQL> drop profile two_error cascade;        //删除two_error后，tim用户又绑定到default profile上。

//profile参数较多，使用命令方式有些啰嗦，使用EM来管理比较方便。

9.3 更改密码

sys建立用户时给用户一个密码，用户的密码保存在数据字典中，用户登录户再更改密码。这些密码是加密形式存在的，DBA也无法知晓。

sys不知道用户密码，又想临时登录用户账户，但不想打扰用户。怎样做：

SQL> select name,password from user$ where name='SCOTT';

NAME                           PASSWORD
------------------------------ ------------------------------
SCOTT                          F894844C34402B67

SQL> alter user scott identified by tiger;

用户已更改。

SQL> conn scott/tiger
已连接。
SQL> conn / as sysdba

SQL> alter user scott identified by values 'F894844C34402B67';

用户已更改。

SQL>

9.4 系统权限，对象权限，角色

9.4.1 权限的引入：

数据库安全分为系统安全和数据安全

系统安全：用户名和口令，分配给用户的磁盘空间及用户的系统操作,如profile等
数据库安全：对数据库对象的访问及操作

用户具备系统权限才能够访问数据库
具备对象权限才能访问数据库中的对象

1） system privilege：针对于database 的相关权限

系统权限通常由DBA授予 （11g 有200多种，select distinct privilege from dba_sys_privs;也可被其他用户或角色授予）

典型DBA权限
CREATE USER
DROP  USER
BACKUP ANY TABLE
SELECT ANY TABLE
CREATE ANY TABLE

典型用户需要的系统权限
CREATE SESSION
CREATE TABLE
CREATE SEQUENCE
CREATE VIEW
CREATE PROCEDURE

2）object privilege：针对于schema (用户）的object

对象权限有8种：ALTER, DELETE, EXECUTE, INDEX, INSERT, REFERENCES, SELECT, UPDATE

对象权限         表    视图    序列    过程
-------------------------------------------------------------
ALTER            *          *
DELETE            *     *
EXECUTE                      *
INDEX             *    
INSERT             *     *
REFERENCES     *    
SELECT              *     *      *
UPDATE             *     *

3）role：简化权限管理
Oracle预定义角色， 如：CONNECT, RESOURCE, DBA等

用户创建和删除自己的角色
CREATE role myrole;
DROP role myrole;

9.4.2授予系统权限语法：

GRANT sys_privs,[role] TO user|role|PUBLIC [WITH ADMIN OPTION]

//授予角色与系统权限的语法格式是一样的,所以可以并列在一个句子里赋权

授予对象权限语法
GRANT object_privs ON object TO user|role|PUBLIC [WITH GRANT OPTION]

9.4.3 为什么要引入角色：

系统权限太繁杂，将系统权限打包成角色，Oracle建议通过角色授权权限，目的就是为了简化用户访问管理
试验：
sys:    
SQL> create user tim identified by tim;        //建一个tim用户
SQL> conn tim/tim
ERROR:
ORA-01045: 用户 TIM 没有 CREATE SESSION 权限; 登录被拒绝

警告: 您不再连接到 ORACLE。
SQL> conn / as sysdba
已连接。
SQL> grant create session to tim;        //授予tim系统权限create session

SQL> conn tim/tim
已连接。

SQL> select * from tab;

未选定行

SQL> create table a (id int);
create table a (id int)
*
第 1 行出现错误:
ORA-01031: 权限不足
sys:
SQL> grant create table to tim;                //授予tim系统权限 create table
    
tim:                                                                                                
SQL> create table a (id int);
create table a (id int)
*
第 1 行出现错误:
ORA-01950: 对表空间 'USERS' 无权限

sys:
SQL> grant unlimited tablespace to tim;        //授予tim系统权限unlimited tablespace，可以无限制的使用任何表空间

SQL> alter user tim quota 5m on users;        //仅对于使用users 表空间加上了磁盘限额。

tim:
SQL> create table a (id int);

表已创建。

SQL> select * from session_privs;        //这个语句最常用，但其中不包括该用户的对象权限（考点）

PRIVILEGE
----------------------------------------
CREATE SESSION
UNLIMITED TABLESPACE
CREATE TABLE

列出oracle所有系统权限;
SQL> select distinct privilege from dba_sys_privs;

sys:
SQL>drop user tim cascade;
SQL>create user tim identified by tim;
SQL>grant connect,resource to tim;

SQL> select * from session_privs;

PRIVILEGE
----------------------------------------
CREATE SESSION
UNLIMITED TABLESPACE
CREATE TABLE
CREATE CLUSTER
CREATE SEQUENCE
CREATE PROCEDURE
CREATE TRIGGER
CREATE TYPE
CREATE OPERATOR
CREATE INDEXTYPE

已选择10行。

需要注意两点：

1）在resource角色里包含了unlimited tablesapce 系统权限，意思是不限制用户使用任何表空间，此权限太大，它包括可以访问system表空间，在实际应用中一般要将此权限收回，然后再对用户限制表空间配额（quoto)。
2）sys将resource角色授权给用户，其中有9个系统权限，只有unlimited tablespace可以单独收回（从角色里收回系统权限的特例）。

SQL> create tablespace test_tbs datafile '/u01/oradata/timran11g/test01.dbf' size 10m;
SQL> create user tim identified by tim default tablespace test_tbs;
SQL> grant connect, resource to tim;
SQL> revoke unlimited tablespace from tim;
SQL> alter user tim quota 10m on test_tbs;

查看用户表空间配额：
SQL> select tablespace_name,username,max_bytes from DBA_TS_QUOTAS where username='TIM';

当unlimited tablespace 和quota共存时，听unlimited的

9.4.4 几个有关权限的考点

1）sys, system 拥有普通用户的所有对象权限，并有代理授权资格。
2）系统权限里的any含义：
sys:
SQL> grant create any table to tim;
tim:
SQL> create table scott.t100 (id int);     //tim为SCOTT建了一张表，这张表是属于SCOTT模式下的一个对象。

3）对象权限一般由对象拥有者授予，也可以由sys或system代理授予。
sys:
grant select on scott.emp to tim;

可以使update对象权限精确到列：

scott:
SQL> grant select, update(sal) on emp to tim;

SQL> revoke update(sal) on emp from tim;
revoke update(sal) on emp from tim
             *
第 1 行出现错误:
ORA-01750: UPDATE/REFERENCES 只能从整个表而不能按列 REVOKE

SQL> revoke update on emp from tim;

授予tim对scott.emp的所有对象权限
SQL> grant all on scott.emp to tim;

几个需要注意的地方：

系统权限和对象权限语法格式不同，不能混合使用 grant create table,select on emp to tim  错(考点）
系统权限和角色语法相同可以并列授权  grant connect,create table to tim    对
可以一条语句并列授予多个用户   grant connect to tim,ran 对
可以通过授权建立用户,如ran用户不存在， grant connect,resource to ran identified by ran; 对

4）系统权限的传递与回收：WITH ADMIN OPTION 选项

sys: 先建立两个测试用户tim和ran

CREATE USER tim IDENTIFIED BY tim;     
CREATE USER ran IDENTIFIED BY ran;

GRANT create session TO tim WITH ADMIN OPTION;

tim:
GRANT create session TO ran
 
收回tim系统权限，ran的系统权限没有收回！
sys:
REVOKE create session FROM tim;

conn ran/ran可以成功

5）对象权限的传递与回收：WITH GRANT OPTION 选项

scott：为tim用户授权

GRANT SELECT ON emp TO tim WITH GRANT OPTION;
tim：
GRANT SELECT ON scott.emp TO ran;

检查tim和ran都能否访问scott.emp ....

scott：回收tim对象权限
REVOKE SELECT ON emp FROM tim;

检查tim和ran都不能访问scott.emp了, ran的对象权限也收回!

9.4.5 对象权限在存储过程中的使用

scott将存储过程proc1的execute权限赋给tim，proc1中包含了一些tim没有权限的DML操作，那么tim能成功地执行存储过程proc1吗？这个问题涉及到了create procedure时invoker_rights_clause的两个选项：(考点）

1、AUTHID CURRENT_USER            //执行存储过程时，要检查用户是否有DML操作的对象权限。
2、AUTHID DEFINER（默认）

测试：

sys:
SQL> create table scott.a (d1 date);
SQL> grant connect,resource to tim identified by tim;
SQL>
scott:
create or replace procedure proc1 as
begin
 insert into scott.a values(sysdate);
 commit;
end;
/

SQL> grant execute on proc1 to tim;

tim:
SQL> exec scott.proc1;

PL/SQL 过程已成功完成。                //有执行存储过程的权限，但没有insert对象权限，竟然也能执行成功。

scott:                        //使用invoker_rights_clause加入AUTHID CURRENT_USER参数再试试。
create or replace procedure proc1 AUTHID CURRENT_USER
as
begin
 insert into scott.a values(sysdate);
 commit;
end;
/

tim:
SQL> exec scott.proc1;
报错！

scott:
SQL> grant all on a to tim;

tim:
SQL> exec scott.proc1;

PL/SQL 过程已成功完成。                //在execute权限和insert权限都具备的情况下使操作成功，这可能是我们想要的。

9.4.6 与权限有关的数据字典

SESSION_PRIVS        //用户当前会话拥有的系统权限
USER_ROLE_PRIVS      //用户被授予的角色
ROLE_SYS_PRIVS       //用户当前拥有的角色的系统权限
USER_SYS_PRIVS       //直接授予用户的系统权限
USER_TAB_PRIVS       //授予用户的对象权限
ROLE_TAB_PRIVS       //授予角色的表的权限

练习: 要掌握权限与角色的关系，以及如何查看信息，

数据字典
dba_xxx_privs
all_xxx_privs
user_xxx_privs

其中xxx：role表示角色，sys表示系统权限，tab表示对象权限。

从哪个角度看，非常重要！
我们举个例子：三个用户，分别是sys,scott,和tim，
sys:
1)建立myrole角色，把connect角色和create table 系统权限以及update on scott.emp对象权限放进myrole。
2)把myrole角色授给tim。
3)把create table 系统权限授给tim。

scott:
把 select on emp表的对象权限授给tim

如此tim用户有了如下角色和权限：

myrole(connect,create table，update on scott.emp)
create table
select on emp

我们从三个角度分析一下，如何里数据字典里查看tim拥有的角色和权限信息。

从dba角度看：

看用户tim所拥有的系统权限
select * from dba_sys_privs where grantee='TIM';

看用户tim所拥有的对象权限
select * from dba_tab_privs where grantee='TIM';

看用户tim所拥有的角色（不包含角色里的角色）
select * from dba_role_privs where grantee='TIM';

查看这个角色里包含的角色
select * from dba_role_privs where grantee='MYROLE';

查看这个角色里包含的系统权限
select * from dba_sys_privs where grantee='MYROLE';

查看这个角色里包含的对象权限
select * from dba_tab_privs where grantee='MYROLE';

从tim用户角度看：

查看和自己有关的角色（不含角色中含有的角色）
select * from user_role_privs;

查看和自己有关的系统权限（不含角色中的系统权限）
select * from user_sys_privs;

查看和自己有关的对象权限（不含角色中的对象权限）

select * from user_tab_privs;

角色里包含的角色
select * from role_role_privs;

角色里包括的系统权限
select * from role_sys_privs;

角色里包括的对象权限
select * from role_tab_privs;

查看和自己有关的系统权限(包括角色里的权限）
select * from session_privs;

从scott用户看是个什么情况

select * from all_tab_privs where grantee='TIM';
select * from all_tab_privs where table_name='EMP';