Oracle数据库用户管理之角色管理(一)--角色创建及使用
sinye56 2024-09-24 00:01 3 浏览 0 评论
【关键术语】
Role 角色
Enabling role 角色生效
Disabling role 角色失效
Predefined roles 预定义角色
Application roles 应用角色
Default roles 默认角色
3.1 角色概述
3.1.1 角色的作用
● 简化权限管理:
使用角色可简化权限管理。可以将一些权限授予某个角色,然后将该角色授予每个用户,而不是将同一组权限授予多个用户。
● 动态进行权限管理:
如果修改了与某个角色关联的权限,则授予该角色的所有用户都会立即自动获得修改过的权限。
● 有选择地使用权限:
通过启用或禁用角色可以暂时打开或关闭权限。启用角色还可以用来验证用户是否已授予该角色。
当建立用户时,用户没有任何权限。为使用户可以连接到数据库并执行各种操作,必须 为其授予相应的系统权限或对象权限。假定要使用户 A、B、C 能够连接到数据库,并具有创建表的权限和可以在 SCOTT.EMP 表上执行 INSERT、UPDATE 操作,那么需要进行 12次授权操作。如图 P1-1 所示。
如果将来要收回用户 A、B、C 的 INSERT ON SCOTT.EMP 权限,则分别需要从每个用 户处收回该权限,共需要三次收回权限的操作。
因为用户 A,B,C 具有相似的权限需求,我们可以通过角色简化授权和收权操作的次数。假定使用角色,首先可以将这四种权限授予角色 OE,然后将该角色分别授予 A,B,C 用户,只需要进行 7 次授权操作,显然可以降低授权次数。如图 P1-2 所示。
如果要回收用户 A、B、C 的 INSERT ON SCOTT.EMP,那么只需要从角色 OE 处收回INSERT ON SCOTT.EMP 对象权限就可以了。
所以,角色使得权限的授予和回收变得方便和简化了。
结论:
在大多数系统中,将必需的权限一个一个授予每一个用户是很耗时的工作,而且很有可
能会出错。Oracle 软件通过角色可实现简单且受控的权限管理。角色是可授予用户或其它
角色的、由相关权限组成的一些命名组。角色的设计目的是为了简化数据库中的权限管理,
从而可提高数据库的安全性。
角色特性:
- ? 角色就像用户,可以授予角色或撤销角色权限。
- ? 角色就像系统权限,可以授予用户或其它角色,也可以从用户或其它角色撤销。
- ? 角色可以由系统权限和对象权限组成。
- ? 可以对授予某一角色的每一个用户启用或禁用该角色。
- ? 可能需要口令才能启用角色。
- ? 角色不由任何用户拥有,角色也不属于任何方案。
3.1.2 系统预定义角色
角色是一组相关权限的命名集合,使用角色最主要的目的是简化权限管理。当建立数据
库、安装了数据字典和 PL/SQL 包之后,Oracle 会自动建立一些预定义角色。下面介绍一
些 Oracle 常用的预定义角色:
功能角色
已经创建了一些授权您管理特殊功能的其它角色(如果已安装这些功能)。例如,
XDBADMIN 包含管理扩展标记语言(XML) 数据库(如果已安装此功能)所需的权限。
AQ_ADMINISTRATOR_ROLE 提供管理高级队列的权限。HS_ADMIN_ROLE 包括管理异种服务所需的权限。在没有 Oracle 技术支持协助的情况下,一定不能改变授予这些功能角色的权限,因为这样做可能会无意禁用所需的功能
1)CONNECT 角色
? Oracle 10g R2之前:
- 1 CREATE SESSION
- 2 CREATE TABLE
- 3 CREATE VIEW
- 4 CREATE SYNONYM5 CREATE CLUSTER
- 6 CREATE DATABASE LINK
- 7 CREATE SEQUENCE
- 8 ALTER SESSION
? Oracle 10g R2之后:
oracle CONNECT 角色现在只有这一个权限: CREATE SESSION
如果想还原原来的 oracle CONNECT 角色的设置,Oracle 提供了下面的脚本:
$ORACLE_HOME/rdbms/admin/rstrconn.sql.
2)RESOURCE 角色
- 1 CREATE CLUSTER
- 2 CREATE SEQUENCE
- 3 CREATE TRIGGER
- 4 CREATE TABLE
- 5 CREATE PROCEDURE
- 6 CREATE TYPE
- 7 CREATE OPERATOR
- 8 CREATE INDEXTYPE
从 role_sys_privs 中看 ORACLE resource 角色的权限:
SQL> select PRIVILEGE from role_sys_privs where role='RESOURCE';
当把 ORACLE resource 角色授予一个 user 的时候,不但会授予 ORACLE resource 角色
本身的权限,而且还有 unlimited tablespace 权限。
1 SQL> conn desk 2 Enter password: 3 Connected. 4 SQL> select PRIVILEGE from user_sys_privs; 5 no rows selected 6 SQL> conn / as sysdba 7 Connected. 8 SQL> grant resource to desk; 9 Grant succeeded. 10 SQL> conn desk 11 Enter password: 12 Connected. 13 SQL> select PRIVILEGE from user_sys_privs; 14 PRIVILEGE 15 ---------------------------------------- 16 UNLIMITED TABLESPACE 17 SQL> 18 当把 resource 授予一个 role 时,就不会授予 unlimited tablespace 权限 19 SQL> show user 20 USER is "SYS" 21 SQL> create role testrole identified using testrole; 22 Role created. 23 SQL> revoke resource from desk; 24 Revoke succeeded. 25 SQL> grant resource to testrole; 26 Grant succeeded. 27 SQL> grant testrole to desk; 28 Grant succeeded. 29 SQL> conn desk 30 Enter password: 31 Connected. 32 SQL> select privilege from user_sys_privs; 33 no rows selected 34 SQL>
3)DBA 角色
DBA 是在建立数据库时 Oracle 执行脚本 SQL.BSQ 自动建立的角色,该角色具有所有 系统权限以及 WITH ADMIN OPTION 选项。
要注意的是,CONNECT、RESOURCE、DBA 三种角色是为与先前版本兼容而保留的, 在将来版本中可能不会自动建立。
4)EXP_FULL_DATABASE 角色
EXP_FULL_DATABASE 角色是在安装数据字典时执行 CATEXP.SQL 脚本建立的角色,
该角色用于执行数据库的完全导出和增量导出操作,并且它包含以下一些权限和角色:
系统权限 SELECT ANY TABLE、BACKUP ANY TABLE、EXECUTE ANY PROCEDURE、
EXECUTE ANY TYPE、ADMINISTER RESOURCE MANAGER,在表 SYS.INCVID、SYS.
INCFIL 以 及 SYS . INCEXP 上 的 INSERT 、 DELETE 和 UPDATE 对 象 权 限 , 以 及
EXECUTE_CATALOG_ROLE 和 SELECT_CATALOG_ROLE 角色。
5)IMP_FULL_DATABASE 角色
IMP_FULL_DATABASE 角色也是在安装数据字典时执行 CATEXP.SQL 脚本建立的角
色,该角色用于执行完全数据库导人操作,它包含了 EXECUTE CATALOG ROLE 和
SELECT_CATALOG_ROLE 角色以及大量系统权限(查询 DBA_ SYS_ PRIVS)。
6)DELETE_CATALOG_ROLE 角色
DELETE_CATALOG_ROLE 是在建立数据库时 Oracle 执行 SQL.BSQ 自动建立的角色,该角色提供了在系统审计表 SYS.AUD$上的 DELETE 对象权限。
7)EXECUTE_CATALOG_ROLE 角色
EXECUTE_CATALOG_ROLE 是在建立数据库时 Oracle 执行 SQL.BSQ 自动建立的角
色,该角色提供了对所有系统 PL/SQL 包的 EXECUTE 对象权限。
8)SELECT_CATALOG_ROLE 角色
SELECT_CATALOG_ROLE 是在建立数据库时 Oracle 执行 SQLBSQ 自动建立的角色,
该角色提供了在所有数据字典上的 SELECT 对象权限。
3.2 创建和使用角色
3.2.1 创建角色
尽管在设计应用时可以直接使用预定义角色,但出于安全考虑,Oracle,建议使用自定
义角色。建立角色是使用命令 CREATE ROLE,由 DBA 来完成的,但如果要以其他用户身
份建立角色,那么要求该用户必须具有 CREATE ROLE 系统权限。
1.建立角色:不验证
采用不验证方式建立的角色,只是在数据字典中存放角色名称的信息,并且在使角色生
效时不需要进行任何检查。
【实例 1-1】创建不需要验证的角色 oe_clerk。
1)以管理员身份登录 SOL>CONNECT / AS SYSDBA 已连接。 2)创建角色 SOL>CREATE ROLE oe_clerk; 角色已创建
与用户类似,角色也可以进行验证,以确保角色的安全性。
2.建立角色:数据库验证
数据库验证是指使用数据库检查角色及其口令的方式。当采用这种方式时,角色名及口
令是存放在数据库中的。当使角色生效时,必须提供口令。
【实例1-2】创建数据库验证的角色 hr_clerk。
1)以管理员身份登录 SOL>CONNECT / AS SYSDBA已连接。 2)创建角色 SOL>CREATE ROLE hr_clerk IDENTIFIED BY bonus; 角色已创建
3.建立角色:外部验证
外部验证是指使用操作系统服务或网络服务检查角色的方式。
【实例 1-3】创建外部验证的角色 hr_manager。
1)以管理员身份登录 SOL>CONNECT / AS SYSDBA 已连接。 2)创建角色 SOL>CREATE ROLE hr_manager IDENTIFIED EXTERNALLY; 角色已创建
4.建立应用角色
通过使用应用角色可以避免激活角色,采用这种方式建立角色之后,使角色生效是由认
证包来完成的。
【实例 1-4】创建应用角色 admin_role。
1)以管理员身份登录 SOL>CONNECT / AS SYSDBA 已连接。 2)创建角色 SOL>CREATE ROLE admin_role IDENTIFIED USING hr.pcrt; 角色已创建
其中 USING 子句用于指定认证包。当建立了应用角色 admin_role 之后,该角色可以由
HR 用户的 pcrt 包中的任何过程或函数激活。
角色创建后,角色没有任何权限。为了使得角色分配给用户后,用户具有相应权限,就
必须为角色授予系统权限或对象权限。给角色授权与给用户授权的方法完全相同。
【实例1-5】给角色授系统权限。
1)以管理员身份登录 SOL>CONNECT / AS SYSDBA 已连接。 2)角色授权 SOL>GRANT CREATE SESSION,CREATE TABLE,CREATE VIEW TO oe_clerk WITH ADMIN OPTION; 授权成功。
这样,当用户具有角色 oe_clerk 时,该用户就可以连接到数据库,并能创建表。另外,
因为在授予这些系统权限时带有 WITH ADMIN OPTION 选项,所以具有该角色的用户还可
以将这些系统权限授予其他用户或角色。
注意,UNLIMITED TABLESPACE 系统权限不能被授予角色;当将对象权限授予角色
时,不能带有 WITH GRANT OPTION。
3.2.2 用控制台创建角色
用控台创建角色的步骤如下:
3.2.3 分配角色
分配角色是指将角色分配给某用户。在建立了角色并为其授予了权限之后,必须将该角
色分配给用户,它才能起作用。分配角色与授予系统权限的命令完全相同。当将角色分配给
用户时,用户将具有角色的所有系统权限和对象权限。一般情况下,分配角色是由 DBA 来
完成的,如果要以其他用户身份分配角色,则要求该用户必须具有 GRANT ANY ROLE 系
统权限或角色的 WITH ADMIN OPTION 选项。
【实例 1-6】把角色 oe_clerk 分配给用户 devp。
1)以管理员身份登录 SOL>CONNECT / AS SYSDBA 已连接。 2)分配角色 SOL>GRANT oe_clerk TO devp ; 授权成功。 2)创建表 SQL>connect devp/development 已连接。 SQL>CREATE TABLE tt(a int); 表已创建。
把角色分配给 devp 用户后,用户 devp 就具有角色的所有权限了。
【实例 1-7】把角色 hr_manager 分配给用户 devp。
1)以管理员身份登录 SOL>CONNECT / AS SYSDBA 已连接。 2)分配角色 SOL>GRANT hr_manager TO devp WITH ADMIN OPTION; 授权成功。
这里,在分配角色时使用了 WITH ADMIN OPTION 选项,这样该用户将具有如下权利:
- ? 将这个角色再授予其它用户。
- ? 从任何具有这个角色的用户那里回收该角色
- ? 删除和修改这个角色
因此,在为用户分配角色时应当谨慎使用 WITH ADMIN OPTION 选项,因为该用户将对角色具有完全控制能力。
3.2.4 用控制台分配角色
以下是使用控制台分配角色的步骤:
3.2.5 默认角色
默认角色是用户所具有的角色的子集,当为用户指定了默认角色后,以该用户身份登录
时会自动激活其默认角色,即用户具有了角色的权限。当我们为用户分配了角色之后,只要
没有用 ALTER USER …DEFAULT ROLE 作过修改,那么这些角色都是用户的默认角色。但
有时要把某些角色设为默认角色,有些角色不是默认角色,就要用命令显式设定。设置默认
角色一般是由 DBA 来完成的,如果要以其他用户身份设置用户的默认角色,则要求该用户
必须具有 ALTER USER 系统权限。
1.把用户的所有角色都设为默认角色
使用 ALTER USER 命令可以把一个用户的所有角色都设置为默认角色,这样,当以该
用户身份登录之后,系统会自动激活该用户的所有角色,用户就具有了角色的所有权限。
【实例 1-8】把用户 devp 的所有角色都设置为默认角色,并查看该用户当前激活的角色。
1)以管理员身份登录 SOL>CONNECT / AS SYSDBA 已连接。 2)设置默认角色 SOL>ALTER USER devp DEFAULT ROLE ALL; 用户已更改。 3)以 devp 帐户登录 SOL>connect devp/development 已连接。 4)查看 devp 用户当前激活的角色 SOL>SELECT * FROM session_roles; ROLE ------------ HR_CLERK OE_CLERK
2.指定除某些角色外其他角色都为默认角色
在为用户分配了多个角色之后,可以明确指明多数角色为默认角色,使少数几个角色成
为非默认角色。
【实例 1-9】指定除某些角色外其他角色都为默认角色,并验证。
1)以管理员身份登录 SOL>CONNECT / AS SYSDBA 已连接。 2)设置默认角色 SOL>ALTER USER devp DEFAULT ROLE ALL EXCEPT hr_manager; 用户已更改。 3)以 devp 帐户登录 SQL>connect devp/development 已连接。 4)验证 devp 权限 SQL>delete from scott.salgrade where grade=1; ERROR 位于第 1 行: ORA-00942: 表或视图不存在
因为未将 hr_manager 角色设置为 devp 用户的默认角色,所以以 devp 用户身份登录后 不会激活 hr_manager 角色。此时该用户将不能执行 hr_manager 角色所具有的权限操作。
3.指定某些角色为用户的默认角色
在为用户分配了多个角色之后,如果只是要将少数角色设置为默认角色,那么可以使用
如下方法。
【实例 1-10】把用户 devp 的某些角色设置为默认角色
1)以管理员身份登录 SOL>CONNECT / AS SYSDBA 已连接。 2)设置默认角色 SOL>ALTER USER devp DEFAULT ROLE oe_clerk; 用户已更改。 SQL>connect devp/development 已连接。 3)验证角色 SOL>SELECT * FROM session_roles; ROLE ------------ OE_CLERK SQL>delete from scott.salgrade where grade=1; ERROR 位于第 1 行: ORA-00942: 表或视图不存在
因为用户 devp 的默认角色被设置为 oe_clerk,所以,以 devp 用户身份登录后只会激活角色 oe_clerk,并且只能执行这种角色所允许的权限操作。
4.指定无默认角色
在建立了用户之后,可以指定用户无任何默认角色。方法如下:
SOL>connect / AS SYSDBA 已连接。 SOL>ALTER USER alex DEFAULT ROLE NONE; 用户已更改。
因为没有给 Alex 用户设置默认角色,所以以 Alex 用户身份登录之后不会激活任何角色,从而使得该用户不能执行任何角色所具有的权限操作。
写在最后的话
感谢各位的支持与阅读,后续会继续推送相关知识和交流,欢迎交流、转发和关注,感谢
相关推荐
- RHEL8和CentOS8怎么重启网络
-
本文主要讲解如何重启RHEL8或者CentOS8网络以及如何解决RHEL8和CentOS8系统的网络管理服务报错,当我们安装好RHEL8或者CentOS8,重启启动网络时,会出现以下报错:...
- Linux 内、外网双网卡路由配置
-
1.路由信息的影响Linux系统中如果有多张网卡的情况下,如果路由信息配置不正确,...
- Linux——centos7修改网卡名
-
修改网卡名这个操作可能平时用不太上,可作为了解。修改网卡默认名从ens33改成eth01.首先修改网卡配置文件名(建议将原配置文件进行备份)...
- CentOS7下修改网卡名称为ethX的操作方法
-
?Linux操作系统的网卡设备的传统命名方式是eth0、eth1、eth2等,而CentOS7提供了不同的命名规则,默认是基于固件、拓扑、位置信息来分配。这样做的优点是命名全自动的、可预知的...
- Linux 网卡名称enss33修改为eth0
-
一、CentOS修改/etc/sysconfig/grub文件(修改前先备份)为GRUB_CMDLINE_LINUX变量增加2个参数(net.ifnames=0biosdevname=0),修改完成...
- CentOS下双网卡绑定,实现带宽飞速
-
方式一1.新建/etc/sysconfig/network-scripts/ifcfg-bond0文件DEVICE=bond0IPADDR=191.3.60.1NETMASK=255.255.2...
- linux 双网卡双网段设置路由转发
-
背景网络情况linux双网卡:网卡A(ens3)和网卡B(...
- Linux-VMware设置网卡保持激活
-
Linux系统只有在激活网卡的状态下才能去连接网络,进行网络通讯。修改配置文件(永久激活网卡)...
- VMware虚拟机三种网络模式
-
01.VMware虚拟机三种网络模式由于linux目前很热门,越来越多的人在学习linux,但是买一台服务放家里来学习,实在是很浪费。那么如何解决这个问题?虚拟机软件是很好的选择,常用的虚拟机软件有v...
- 2023年最新版 linux克隆虚拟机 解决网卡uuid重复问题
-
问题描述1、克隆了虚拟机,两台虚拟机里面的ip以及网卡的uuid都是一样的2、ip好改,但是uuid如何改呢?解决问题1、每台主机应该保证网卡的UUID是唯一的,避免后面网络通信有问题...
- Linux网卡的Vlan配置,你可能不了解的玩法
-
如果服务器上连的交换机端口已经预先设置了TRUNK,并允许特定的VLAN可以通过,那么服务器的网卡在配置时就必须指定所属的VLAN,否则就不通了,这种情形在虚拟化部署时较常见。例如在一个办公环境中,办...
- Centos7 网卡绑定
-
1、切换到指定目录#备份网卡数据cd/etc/sysconfig/network-scriptscpifcfg-enp5s0f0ifcfg-enp5s0f0.bak...
- Linux搭建nginx+keepalived 高可用(主备+双主模式)
-
一:keepalived简介反向代理及负载均衡参考:...
- Linux下Route 路由指令使用详解
-
linuxroute命令用于显示和操作IP路由表。要实现两个不同子网之间的通信,需要一台连接两个网络的路由器,或者同时位于两个网络的网关来实现。在Linux系统中,设置路由通常是为了解决以下问题:该...
你 发表评论:
欢迎- 一周热门
- 最近发表
- 标签列表
-
- oracle忘记用户名密码 (59)
- oracle11gr2安装教程 (55)
- mybatis调用oracle存储过程 (67)
- oracle spool的用法 (57)
- oracle asm 磁盘管理 (67)
- 前端 设计模式 (64)
- 前端面试vue (56)
- linux格式化 (55)
- linux图形界面 (62)
- linux文件压缩 (75)
- Linux设置权限 (53)
- linux服务器配置 (62)
- mysql安装linux (71)
- linux启动命令 (59)
- 查看linux磁盘 (72)
- linux用户组 (74)
- linux多线程 (70)
- linux设备驱动 (53)
- linux自启动 (59)
- linux网络命令 (55)
- linux传文件 (60)
- linux打包文件 (58)
- linux查看数据库 (61)
- linux获取ip (64)
- linux进程通信 (63)