Редактирование параметров пользователя
После создания пользователя, вас еще не раз будут просить внести всяческие изменения: увеличить квоту, восстановить забытый пароль или разблокировать учетную запись. Все это легко можно сделать в OEM, для чего следует выбрать пользователя, указать в интерфейсе изменяемый параметр и нажать кнопку Apply.
Изменить параметры пользователя можно и с помощью предложения ALTER USER.В примере ниже разблокируется учетная запись, изменяется пароль и увеличивается квота на место в табличном пространстве.
ALTER USER "username" IDENTIFIED BY "newpwd" QUOTA UNLIMITED
ON TOOLS ACCOUNT UNLOCK;
Пользователь создан, и нужно предоставить ему какие-то привилегии. Посмотрим, как это делается.
Создание нового пользователя — это только первая часть задачи, связанная с аутентификацией. Теперь у пользователя есть идентификатор и пароль, так что он сможет войти в систему. Но, войдя, он окажется практически беспомощным, т. к. он не обладает никакими привилегиями на доступ к объектам. Это подводит нас ко второму шагу процедуры заведения пользователя: авторизации. Чтобы разрешить пользователю что-то делать, нужно предоставить ему права доступа. Чтобы пользователь мог обратиться к таблице, выполнить процедуру или запустить какую-то утилиту, ему нужно предоставить (grant) то или иное право. При этом следует указать четыре вещи:
ЛГ Имя пользователя, которому предоставляется право. И Объект, на доступ к которому это право дается, например таблица, процедура или роль.
Пользователю могут быть предоставлены привилегии двух типов: системные и объектные.
■ Тип разрешенного доступа: select, insert, update или delete для таблицы, execute — для процедуры, функции или пакета
■ Может ли пользователь передавать свои права другим пользователям. По умолчанию это запрещено, но запрет можно отменить с помощью фразы With Grant Option.
Б следующих двух примерах пользователю "NEWUSER" предоставляется доступ к таблице, а затем к пакету.
GRANT SELECT ON "TABLEJAME" TO "NEWUSER" WITH GRANT OPTION;
GRANT INSERT ON "TABLEJAME" TO "NEWUSER" WITH GRANT OPTION;
GRANT EXECUTE ON "PROCEDUREJAME" TO "NEWUSER";
Пользователю могут быть предоставлены привилегии двух типов: системные и объектные.
■ Системные привилегии предопределены Oracle и служат для предоставления доступа к совокупности системных объектов, а не к отдельным объектам. Примерами могут служить разрешения на выполнение предложений create tablespace, alter systemили backup any table.
■ Объектная привилегия — это право доступа к именованному объекту. Разрешение производить некоторые операции с конкретной таблицей или выполнять конкретную функцию, процедуру или пакет — это объектные привилегии, a execute any procedure(выполнять любую процедуру) или select any table(выбрать любую таблицу) — системные.
Для отзыва привилегии у пользователя, применяется команда REVOKE,синтаксис которой очень похож на синтаксис командыGRANT.Бот два примера команды REVOKE:
□ REVOKE INSERT IN "TABLE_NAME" FROM "NEWUSER";
REVOKE EXECUTE IN "TABLEJAME" FROM "NEWUSER";
Начав размышлять о числе привилегий, которыми приходится управлять в ситуации, когда в базе данных имеется несколько тысяч объектов и несколько тысяч пользователей, вы быстро придете к выводу, что хорошо бы объединить привилегии в группы. Для этого и предназначены роли.
Роль позволяет объединить привилегии в группу, которую можно назначить пользователю. Таким образом, привилегия предоставляется не конкретному пользователю, а роли, которая, в свою очередь, назначается пользователю.
Блокировать учетную запись после заданного числа неудачных попыток входа и сказать, что она должна оставаться заблокированной в течение определенного числа дней.
Ограничения на потребляемые системные ресурсы тоже задаются в профиле. К числу подлежащих ограничению ресурсов относятся процессорное время, число соединений, время простоя, а также число одновременно открытых сеансов, объем считываемых данных и объем памяти в области SGA. Следует отметить, что ограничивать потребление ресурсов лучше с помощью менеджера ресурсов Database Resource Manager, так что за профилями остается только управление паролями.
Ниже приведен пример создания новой политики, которая блокирует учетную запись после трех неудачных попыток входа и оставляет ее в этом состоянии неопределенно долгое время. Пароль следует менять каждые 60 дней, а новый пароль будет проверяться функцией COMPLEX_ PASSWORD.Старый пароль нельзя использовать повторно в течение 120 дней.
CREATE PROFILE "NEWPOLICY" FAILED_LOGIN_ATTEMPTS 3 PASSWORD_LOCK_TIME UNLIMITED PASSWORD_LIFE_TIME 60 PASSWORD_REUSE_TIME 120 PASSWORD_VERIFY_FUNCTION C0MPLEX_PASSW0RD
Дата добавления: 2021-09-25; просмотров: 274;