Редактирование параметров пользователя


После создания пользователя, вас еще не раз будут просить внести всяче­ские изменения: увеличить квоту, восстановить забытый пароль или раз­блокировать учетную запись. Все это легко можно сделать в OEM, для чего следует выбрать пользователя, указать в интерфейсе изменяемый па­раметр и нажать кнопку Apply.

Изменить параметры пользователя можно и с помощью предложения ALTER USER.В примере ниже разблокируется учетная запись, изменяет­ся пароль и увеличивается квота на место в табличном пространстве.

ALTER USER "username" IDENTIFIED BY "newpwd" QUOTA UNLIMITED
ON TOOLS ACCOUNT UNLOCK;

Пользователь создан, и нужно предоставить ему какие-то привилегии. Посмотрим, как это делается.

Создание нового пользователя — это только первая часть задачи, связан­ная с аутентификацией. Теперь у пользователя есть идентификатор и па­роль, так что он сможет войти в систему. Но, войдя, он окажется практи­чески беспомощным, т. к. он не обладает никакими привилегиями на доступ к объектам. Это подводит нас ко второму шагу процедуры заведе­ния пользователя: авторизации. Чтобы разрешить пользователю что-то делать, нужно предоставить ему права доступа. Чтобы пользователь мог обратиться к таблице, выполнить процедуру или запустить какую-то утилиту, ему нужно предоставить (grant) то или иное право. При этом следует указать четыре вещи:

 

ЛГ Имя пользователя, которому предоставляется право. И Объект, на доступ к которому это право дается, например таблица, процедура или роль.

Пользователю могут быть предоставлены привилегии двух типов: систем­ные и объектные.

■ Тип разрешенного доступа: select, insert, update или delete для таб­лицы, execute — для процедуры, функции или пакета

■ Может ли пользователь передавать свои права другим пользовате­лям. По умолчанию это запрещено, но запрет можно отменить с по­мощью фразы With Grant Option.

Б следующих двух примерах пользователю "NEWUSER" предоставля­ется доступ к таблице, а затем к пакету.

GRANT SELECT ON "TABLEJAME" TO "NEWUSER" WITH GRANT OPTION;
GRANT INSERT ON "TABLEJAME" TO "NEWUSER" WITH GRANT OPTION;
GRANT EXECUTE ON "PROCEDUREJAME" TO "NEWUSER";

Пользователю могут быть предоставлены привилегии двух типов: систем­ные и объектные.

■ Системные привилегии предопределены Oracle и служат для пре­доставления доступа к совокупности системных объектов, а не к от­дельным объектам. Примерами могут служить разрешения на вы­полнение предложений create tablespace, alter systemили backup any table.

■ Объектная привилегия — это право доступа к именованному объек­ту. Разрешение производить некоторые операции с конкретной таблицей или выполнять конкретную функцию, процедуру или па­кет — это объектные привилегии, a execute any procedure(выпол­нять любую процедуру) или select any table(выбрать любую табли­цу) — системные.

Для отзыва привилегии у пользователя, применяется команда REVOKE,синтаксис которой очень похож на синтаксис командыGRANT.Бот два примера команды REVOKE:

 

□ REVOKE INSERT IN "TABLE_NAME" FROM "NEWUSER";
REVOKE EXECUTE IN "TABLEJAME" FROM "NEWUSER";

Начав размышлять о числе привилегий, которыми приходится управлять в ситуации, когда в базе данных имеется несколько тысяч объектов и не­сколько тысяч пользователей, вы быстро придете к выводу, что хорошо бы объединить привилегии в группы. Для этого и предназначены роли.

Роль позволяет объединить привилегии в группу, которую можно на­значить пользователю. Таким образом, привилегия предоставляется не конкретному пользователю, а роли, которая, в свою очередь, назначается пользователю.

Блокировать учетную запись после заданного числа неудачных попыток вхо­да и сказать, что она должна оставаться заблокированной в течение опре­деленного числа дней.

Ограничения на потребляемые системные ресурсы тоже задаются в профиле. К числу подлежащих ограничению ресурсов относятся процес­сорное время, число соединений, время простоя, а также число одновре­менно открытых сеансов, объем считываемых данных и объем памяти в области SGA. Следует отметить, что ограничивать потребление ресурсов лучше с помощью менеджера ресурсов Database Resource Manager, так что за профилями остается только управление паролями.

Ниже приведен пример создания новой политики, которая блокирует учетную запись после трех неудачных попыток входа и оставляет ее в этом состоянии неопределенно долгое время. Пароль следует менять ка­ждые 60 дней, а новый пароль будет проверяться функцией COMPLEX_ PASSWORD.Старый пароль нельзя использовать повторно в течение 120 дней.

CREATE PROFILE "NEWPOLICY" FAILED_LOGIN_ATTEMPTS 3 PASSWORD_LOCK_TIME UNLIMITED PASSWORD_LIFE_TIME 60 PASSWORD_REUSE_TIME 120 PASSWORD_VERIFY_FUNCTION C0MPLEX_PASSW0RD

 

 



Дата добавления: 2021-09-25; просмотров: 274;


Поиск по сайту:

Воспользовавшись поиском можно найти нужную информацию на сайте.

Поделитесь с друзьями:

Считаете данную информацию полезной, тогда расскажите друзьям в соц. сетях.
Poznayka.org - Познайка.Орг - 2016-2024 год. Материал предоставляется для ознакомительных и учебных целей.
Генерация страницы за: 0.009 сек.