Oracle系统中用户权限的赋予

Oracle系统中用户权限的赋予,查看和管理.

在Oracle数据库中,用户的权限分为两种(在这里我们不讨论dba或oper的权限,只考虑普通用户的权限),分别是System Privilege系统权限和User Table Privilege用户数据表权限.

1.首先,创建用户,以下几条命令可以创建一个用户,前提是必须以DBA的身份登录(如果你不是DBA,不要看下去了):

create user DB_USER identified by DB_USER_PW '创建用户DB_USER,密码为DB_USER_PW grant create session to DB_USER '给用户创建会话的权限

grant resource to DB_USER

2.当用户建立后,会自动在Oracle数据库系统中生成属于该用户的Scheme (可以理解为所有属于该用户的表,视图....等对象的集合).

该用户可以将对这些对象的访问权限赋予其它的系统用户.

3.该用户用sqlplus登录后,以下命令可以看到该用户的权限(该部分取自于CNOUG网站):

本用户读取其他用户对象的权限:

select * from user_tab_privs;

本用户所拥有的系统权限:

select * from user_sys_privs;

ORACLE数据库用户与权限管理

ORACLE是多用户系统，它允许许多用户共享系统资源。为了保证数据库系统的安全，数据库管理系统配置了良好的安全机制。

2. 1 ORACLE数据库安全策略

建立系统级的安全保证

系统级特权是通过授予用户系统级的权利来实现，系统级的权利（系统特权）包括：建立表空间、建立用户、修改用户的权利、删除用户等。系统特权可授予用户，也可以随时回收。ORACLE系统特权有80多种。

建立对象级的安全保证

对象级特权通过授予用户对数据库中特定的表、视图、序列等进行操作（查询、增、删改）的权利来实现。

建立用户级的安全保证

用户级安全保障通过用户口令和角色机制（一组权利）来实现。引入角色机制的目的是简化对用户的授权与管理。做法是把用户按照其功能分组，为每个用户建立角色，然后把角色分

配给用户，具有同样角色的用户有相同的特权。

2.2 用户管理

ORACLE用户管理的内容主要包括用户的建立、修改和删除

用户的建立

SQL>CREATE USER jxzy

>IDENTIFIED BY jxzy_password

>DEFAULT TABLESPACE system

>QUATA 5M ON system; //供用户使用的最大空间限额

用户的修改

SQL>CREATE USER jxzy

>IDENTIFIED BY jxzy_pw

>QUATA 10M ON system;

删除用户及其所建对象

SQL>DROP USER jxzy CASCADE; //同时删除其建立的实体

2.3系统特权管理与控制

ORACLE 提供了80多种系统特权，其中每一个系统特权允许用户执行一个或一类数据库操作。

授予系统特权

SQL>GRANT CREATE USER,ALTER USER,DROP USER

>TO jxzy_new

>WITH ADMIN OPTION;

回收系统特权

SQL>REVOKE CREATE USER,ALTER USER,DROP USER

>FROM jxzy_new

//但没有级联回收功能

显示已被授予的系统特权（某用户的系统级特权）

SQL>SELECT*FROM sys.dba_sys_privs

2.4 对象特权管理与控制

ORACLE对象特权指用户在指定的表上进行特殊操作的权利。这些特殊操作包括增、删、改、查看、执行（存储过程）、引用（其它表字段作为外键）、索引等。

授予对象特权

SQL>GRANT SELECT,INSERT(office_num,office_name),

>UPDATE(desc)ON office_organization

>TO new_adminidtrator

>WITH GRANT OPTION;

//级联授权

SQL>GRANT ALL ON office_organization

>TO new_administrator

回收对象特权

SQL>REVOKE UPDATE ON office_orgaization

>FROM new_administrator

//有级联回收功能

SQL>REVOKE ALL ON office_organization

>FROM new_administrator

显示已被授予的全部对象特权

SQL>SELECT*FROM sys.dba_tab_privs

2.5 角色的管理

ORACLE的角色是命名的相关特权组（包括系统特权与对象特权），ORACLE用它来简化特权管理，可把它授予用户或其它角色。

ORACLE数据库系统预先定义了CONNECT 、RESOURCE、DBA、EXP_FULL_DATABASE、IMP_FULL_DATABASE五个角色。CONNECT具有创建表、视图、序列等特权；RESOURCE具有

创建过程、触发器、表、序列等特权、DBA具有全部系统特权；EXP_FULL_DATABASE、IMP_FULL_DATABASE具有卸出与装入数据库的特权。

通过查询sys.dba_sys_privs可以了解每种角色拥有的权利。

授予用户角色

SQL>GRANT DBA TO new_administractor

>WITH GRANT OPTION;

==============================================================

Oracle 的用户根据所被授予的权限分为系统权限和对象权限。其中最高的权限是sysdba。Sysdba具有控制Oracle一切行为的特权，诸如创建、启动、关闭、恢复数据库，使数据库归档/非归档，备份表空间等关键性的动作只能通过具有sysdba权限的用户来执行。这些任务即使是普通DBA角色也不行。Sysoper是一个与sysdba相似的权限，只不过比sysdba少了SYSOPER privileges WITH ADMIN OPTION，CREATE DATABASE，RECOVER DATABASE UNTIL这几个权限而已。这两者的认证方式是相同的办法，所以下面只介绍sysdba的认证管理。

一般对sysdba的管理有两种方式：*** 作系统认证和密码文件认证。具体选择那一种认证方式取决于：你是想在Oracle运行的机器上维护数据库，还是在一台机器上管理分布于不同机器上的所有的Oracle数据库。若选择在本机维护数据库，则选择*** 作系统认证可能是一个简单易行的办法；若有好多数据库，想进行集中管理，则可以选择password文件认证方式。

下图比较直观的说明了这个选择权衡过程：

使用*** 作系统认证方式的配置过程：

1．在*** 作系统中建立一个合法帐户。

具体来说，在NT上，首先建立一个本地用户组，取名为ORA__DBA, 其中SID为该数据库实例的SID，或者建立一个ORA_DBA地组，该组不对应于任何一个单独的Oracle实例。这样当一个NT上有好几个Oracle实例时，不用分别管理。然后再NT上建立一个用户，并且把它归入该组中。但是实际上这两步在Oracle8I安装过程中已经自动完成了，一般不用手动进行。

第三步：在sqlnet.ora（位于$ORACLE_HOME/NETWORK/ADMIN目录中）中，把SQLNET.AUTHENTICATION _SERVICES 设置为SQLNET.AUTHENTICATION_SERVICES= (NTS)，意思为使用NT认证方式。

第四步，在INIT.ORA中，把REMOTE_LOGIN_PASSWORD设置为NONE，意思是不用password 认证方式。

完成以上步骤后，就可以在登录到NT后，直接在SQL*Plus 和SERVER MANAGER中CONNECT INTERNAL (CONNECT / AS SYSDBA)来作为超级用户登录到Oracle中，执行一些只有超级用户才能进行的*** 作。