計算機(jī)必學(xué)oracle數(shù)據(jù)庫第06章課件

Oracle10g數(shù)據(jù)庫應(yīng)用教程

授課教師：職務(wù)：Oracle10g數(shù)據(jù)庫應(yīng)用教程授課教師：第6章數(shù)據(jù)庫安全管理課程描述介紹Oracle數(shù)據(jù)庫的認(rèn)證方法、用戶管理、權(quán)限管理和角色管理第6章數(shù)據(jù)庫安全管理課程描述本章知識點(diǎn)Oracle認(rèn)證方法用戶管理角色管理本章知識點(diǎn)Oracle認(rèn)證方法6.1Oracle認(rèn)證方法操作系統(tǒng)身份認(rèn)證網(wǎng)絡(luò)身份認(rèn)證Oracle數(shù)據(jù)庫身份認(rèn)證數(shù)據(jù)庫管理員認(rèn)證6.1Oracle認(rèn)證方法操作系統(tǒng)身份認(rèn)證操作系統(tǒng)身份認(rèn)證例：通過操作系統(tǒng)認(rèn)證的用戶可以通過下面的命令啟動SQL*Plus，而不需要輸入用戶名和密碼：SQLPLUS/操作系統(tǒng)身份認(rèn)證例：通過操作系統(tǒng)認(rèn)證的用戶可以通過下面的命網(wǎng)絡(luò)身份認(rèn)證網(wǎng)絡(luò)層的認(rèn)證能力由第3方的SSL協(xié)議處理。SSL是SecureSocketLayer的縮寫，即安全套接字層。它是一個應(yīng)用層協(xié)議，可以用于數(shù)據(jù)庫的用戶身份認(rèn)證。網(wǎng)絡(luò)層身份認(rèn)證使用第3方網(wǎng)絡(luò)認(rèn)證服務(wù)，例如DCE、Kerberos、PKI、RADIUS等。網(wǎng)絡(luò)身份認(rèn)證網(wǎng)絡(luò)層的認(rèn)證能力由第3方的SSL協(xié)議處理。Oracle數(shù)據(jù)庫身份認(rèn)證連接中的密碼加密：加密算法采用改進(jìn)的DES和3DES算法，加密過程在數(shù)據(jù)傳輸之前完成。賬戶鎖定:Oracle可以設(shè)置連接登錄失敗n次后，Oracle將鎖定用戶賬戶。密碼生存周期檢測歷史密碼驗證密碼復(fù)雜度Oracle數(shù)據(jù)庫身份認(rèn)證連接中的密碼加密：加密算法采用改數(shù)據(jù)庫管理員認(rèn)證數(shù)據(jù)庫管理員的認(rèn)證方式數(shù)據(jù)庫管理員認(rèn)證數(shù)據(jù)庫管理員的認(rèn)證方式數(shù)據(jù)庫管理員認(rèn)證在SQL*Plus中，如果采用操作系統(tǒng)認(rèn)證方式登錄，可以使用如下命令：CONNECT/ASSYSDBA或者：CONNECT/ASSYSOPER【例】創(chuàng)建密碼文件myPwdFile.ora，SYS用戶的密碼為syspwd，SYSDBA和SYSOPER用戶的最大數(shù)量為50，代碼如下：ORAPWDFILE=myPwdFile.oraPASSWORD=syspwdENTRIES=50數(shù)據(jù)庫管理員認(rèn)證在SQL*Plus中，如果采用操作系統(tǒng)認(rèn)證方數(shù)據(jù)庫管理員認(rèn)證初始化參數(shù)REMOTE_LOGIN_PASSWORDFILE可以指定密碼文件的使用方法，它可以設(shè)置為如下3種值：NONE。Oracle數(shù)據(jù)庫認(rèn)定密碼文件不存在，所有的連接都必須是安全連接。EXCLUSIVE（默認(rèn)值）?？梢蕴砑印⑿薷暮蛣h除用戶，也可以修改SYS用戶的密碼。SHARED。共享的密碼文件不允許被修改，因此不允許添加新用戶，也不能修改SYS或其他SYSDBA、SYSOPER用戶的密碼。數(shù)據(jù)庫管理員認(rèn)證初始化參數(shù)REMOTE_LOGIN_PASS數(shù)據(jù)庫管理員認(rèn)證GRANT命令為用戶授予權(quán)限?！纠肯蛴脩鬭dm授予SYSDBA權(quán)限：GRANTSYSDBATOadm;REVOKE命令撤銷用戶的授權(quán)?！纠砍蜂N用戶adm的SYSDBA權(quán)限：REVOKESYSDBAFROMadm;數(shù)據(jù)庫管理員認(rèn)證GRANT命令為用戶授予權(quán)限。數(shù)據(jù)庫管理員認(rèn)證通過視圖V$PWFILE_USERS查看密碼文件的內(nèi)容?！纠渴褂肧QL語句查看代碼文件的內(nèi)容：SQL>SELECT*FROMV$PWFILE_USERS;USERNAME SYSDB SYSOP----------------------- --- -----SYS TRUE TRUE數(shù)據(jù)庫管理員認(rèn)證通過視圖V$PWFILE_USERS查看密碼用戶管理創(chuàng)建用戶修改用戶權(quán)限管理語句刪除用戶用戶管理創(chuàng)建用戶創(chuàng)建用戶顯示用戶信息操作按鈕創(chuàng)建用戶顯示用戶信息操作按鈕創(chuàng)建用戶“創(chuàng)建用戶”頁面選擇表空間創(chuàng)建用戶“創(chuàng)建用戶”頁面選擇表空間創(chuàng)建用戶查看新建用戶NEWUSER的信息創(chuàng)建用戶查看新建用戶NEWUSER的信息創(chuàng)建用戶CREATEUSER語句在數(shù)據(jù)庫中創(chuàng)建新用戶。CREATEUSER<用戶名>IDENTIFIEDBY<口令>DEFAULTTABLESPACE<默認(rèn)表空間>TEMPORARYTABLESPACE<臨時表空間>;【例】創(chuàng)建管理用戶USERMAN：CREATEUSERUSERMANIDENTIFIEDBYUSERMAN;創(chuàng)建用戶CREATEUSER語句在數(shù)據(jù)庫中創(chuàng)建新用戶。修改用戶編輯用戶頁面

設(shè)置用戶的

其他屬性修改用戶編輯用戶頁面設(shè)置用戶的

其他屬性修改用戶ALTERUSER語句也可以修改用戶信息。（1）修改密碼密碼?！纠繉⒂脩鬠SERMAN的密碼修改為NewPassword：ALTERUSERUSERMANIDENTIFIEDBYNewPassword;（2）PASSWORDEXPIRE關(guān)鍵詞設(shè)置密碼過期?！纠吭O(shè)置用戶USERMAN的密碼立即過期，它在下一次登錄時必須修改密碼：ALTERUSERUSERMANPASSWORDEXPIRE;（3）ACCOUNTLOCK關(guān)鍵詞鎖定用戶?！纠挎i定用戶USERMAN，使其無法登錄到數(shù)據(jù)庫：ALTERUSERUSERMANACCOUNTLOCK;（4）ACCOUNTUNLOCK關(guān)鍵詞解鎖用戶。【例】解除對用戶USERMAN的鎖定：ALTERUSERUSERMANACCOUNTUNLOCK;修改用戶ALTERUSER語句也可以修改用戶信息。權(quán)限管理語句系統(tǒng)權(quán)限設(shè)置頁面

權(quán)限管理語句系統(tǒng)權(quán)限設(shè)置頁面權(quán)限管理語句修改系統(tǒng)權(quán)限頁面權(quán)限管理語句修改系統(tǒng)權(quán)限頁面權(quán)限管理語句GRANT語句可以將權(quán)限授予指定的用戶或角色。（1）授予系統(tǒng)權(quán)限：GRANT<系統(tǒng)權(quán)限>TO<用戶名>【例】對于用戶USERMAN授予SYSDBA權(quán)限：GRANTSYSDBATOUSERMAN;（2）授予數(shù)據(jù)對象權(quán)限：GRANT<數(shù)據(jù)對象權(quán)限>ON<數(shù)據(jù)對象>TO<用戶名>【例】對用戶USERMAN授予表USERS的SELECT、INSERT、UPDATE、DELETE權(quán)限：GRANTSELECTONUSERMAN.USERSTOUSERMAN;GRANTINSERTONUSERMAN.USERSTOUSERMAN;GRANTUPDATEONUSERMAN.USERSTOUSERMAN;GRANTDELETEONUSERMAN.USERSTOUSERMAN;權(quán)限管理語句GRANT語句可以將權(quán)限授予指定的用戶或角色。權(quán)限管理語句（3）REVOKE語句可以撤銷用戶的角色或權(quán)限：REVOKE<權(quán)限或角色>FROM<用戶名>【例】撤銷用戶USERMAN的系統(tǒng)權(quán)限：REVOKESYSDBAFROMUSERMAN;權(quán)限管理語句（3）REVOKE語句可以撤銷用戶的角色或權(quán)限刪除用戶確認(rèn)刪除頁面刪除用戶確認(rèn)刪除頁面撤銷表空間DROPUSER語句也可以刪除指定的用戶?！纠縿h除用戶USERMAN：DROPUSERUSERMAN;撤銷表空間DROPUSER語句也可以刪除指定的用戶。6.3角色管理

Oracle系統(tǒng)角色創(chuàng)建角色對角色授權(quán)指定用戶的角色修改角色刪除角色6.3角色管理Oracle系統(tǒng)角色Oracle系統(tǒng)角色常用的Oracle預(yù)定義系統(tǒng)角色

角色名說明CONNECT授予最終用戶的基本角色，主要包括ALTERSESSION（修改會話）、CREATECLUSTER（建立聚簇）、CREATEDATABASELINK（建立數(shù)據(jù)庫鏈接）、CREATESEQUENCE（建立序列）、CREATESESSION（建立會話）、CREATESYNONYM（建立同義詞）、CREATEVIEW（建立視圖）等權(quán)限RESOURCE授予開發(fā)人員的基本角色，主要包括CREATECLUSTER（創(chuàng)建聚簇）、CREATEPROCEDURE（創(chuàng)建過程）、CREATESEQUENCE（創(chuàng)建序列）、CREATETABLE（創(chuàng)建表）、CREATETRIGGER（創(chuàng)建觸發(fā)器）、CREATETYPE（創(chuàng)建類型）等權(quán)限D(zhuǎn)BA擁有所有系統(tǒng)級管理權(quán)限IMP_FULL_DATABASE和

EXP_FULL_DATABASE導(dǎo)入、導(dǎo)出數(shù)據(jù)庫所需要的角色，主要包括BACKUPANYTABLE（備份表）、EXECUTEANYPROCEDURE（執(zhí)行過程）、SELECTANYTABLE（查詢表）等權(quán)限D(zhuǎn)ELETE_CATALOG_ROLE刪除sys.aud$記錄的權(quán)限，sys.aud$表中記錄著審計后的記錄SELECT_CATALOG_ROLE具有從數(shù)據(jù)字典查詢的權(quán)限EXECUTE_CATALOG_ROLE具有從數(shù)據(jù)字典中執(zhí)行部分過程和函數(shù)的權(quán)限Oracle系統(tǒng)角色常用的Oracle預(yù)定義系統(tǒng)角色角創(chuàng)建角色顯示角色信息

創(chuàng)建角色顯示角色信息創(chuàng)建角色創(chuàng)建角色頁面授予角色系統(tǒng)權(quán)限創(chuàng)建角色創(chuàng)建角色頁面授予角色創(chuàng)建角色查看角色MYROLL的信息創(chuàng)建角色查看角色MYROLL的信息創(chuàng)建角色【例】使用CREATEROLE語句創(chuàng)建角色：CREATEROLEMYROLEIDENTIFIEDBYmyrollpwdIDENTIFIEDBY子句可以指定角色的密碼。

創(chuàng)建角色【例】使用CREATEROLE語句創(chuàng)建角色：對角色授權(quán)系統(tǒng)權(quán)限設(shè)置頁面對角色授權(quán)系統(tǒng)權(quán)限設(shè)置頁面對角色授權(quán)修改系統(tǒng)權(quán)限頁面對角色授權(quán)修改系統(tǒng)權(quán)限頁面指定用戶的角色GRANT命令為用戶指定角色?！纠繉⒔巧獵ONNECT指定給用戶USERMAN：GRANTCONNECTTOUSERMAN;REVOKE命令為取消用戶的角色?！纠砍蜂NUSERMAN用戶的CONNECT角色：REVOKECONNECTFROMUSERMAN;指定用戶的角色GRANT命令為用戶指定角色。修改角色ALTERROLE語句修改角色。【例】取消角色MYROLL的密碼驗證：ALTERROLEMYROLENOTIDENTIFIED；修改角色ALTERROLE語句修改角色。刪除角色確認(rèn)刪除頁面刪除角色確認(rèn)刪除頁面刪除角色DROPROLE語句可以刪除指定的角色?！纠縿h除用戶MYROLE：DROPROLEMYROLE;刪除角色DROPROLE語句可以刪除指定的角色。Oracle10g數(shù)據(jù)庫應(yīng)用教程

授課教師：職務(wù)：Oracle10g數(shù)據(jù)庫應(yīng)用教程授課教師：第6章數(shù)據(jù)庫安全管理課程描述介紹Oracle數(shù)據(jù)庫的認(rèn)證方法、用戶管理、權(quán)限管理和角色管理第6章數(shù)據(jù)庫安全管理課程描述本章知識點(diǎn)Oracle認(rèn)證方法用戶管理角色管理本章知識點(diǎn)Oracle認(rèn)證方法6.1Oracle認(rèn)證方法操作系統(tǒng)身份認(rèn)證網(wǎng)絡(luò)身份認(rèn)證Oracle數(shù)據(jù)庫身份認(rèn)證數(shù)據(jù)庫管理員認(rèn)證6.1Oracle認(rèn)證方法操作系統(tǒng)身份認(rèn)證操作系統(tǒng)身份認(rèn)證例：通過操作系統(tǒng)認(rèn)證的用戶可以通過下面的命令啟動SQL*Plus，而不需要輸入用戶名和密碼：SQLPLUS/操作系統(tǒng)身份認(rèn)證例：通過操作系統(tǒng)認(rèn)證的用戶可以通過下面的命網(wǎng)絡(luò)身份認(rèn)證網(wǎng)絡(luò)層的認(rèn)證能力由第3方的SSL協(xié)議處理。SSL是SecureSocketLayer的縮寫，即安全套接字層。它是一個應(yīng)用層協(xié)議，可以用于數(shù)據(jù)庫的用戶身份認(rèn)證。網(wǎng)絡(luò)層身份認(rèn)證使用第3方網(wǎng)絡(luò)認(rèn)證服務(wù)，例如DCE、Kerberos、PKI、RADIUS等。網(wǎng)絡(luò)身份認(rèn)證網(wǎng)絡(luò)層的認(rèn)證能力由第3方的SSL協(xié)議處理。Oracle數(shù)據(jù)庫身份認(rèn)證連接中的密碼加密：加密算法采用改進(jìn)的DES和3DES算法，加密過程在數(shù)據(jù)傳輸之前完成。賬戶鎖定:Oracle可以設(shè)置連接登錄失敗n次后，Oracle將鎖定用戶賬戶。密碼生存周期檢測歷史密碼驗證密碼復(fù)雜度Oracle數(shù)據(jù)庫身份認(rèn)證連接中的密碼加密：加密算法采用改數(shù)據(jù)庫管理員認(rèn)證數(shù)據(jù)庫管理員的認(rèn)證方式數(shù)據(jù)庫管理員認(rèn)證數(shù)據(jù)庫管理員的認(rèn)證方式數(shù)據(jù)庫管理員認(rèn)證在SQL*Plus中，如果采用操作系統(tǒng)認(rèn)證方式登錄，可以使用如下命令：CONNECT/ASSYSDBA或者：CONNECT/ASSYSOPER【例】創(chuàng)建密碼文件myPwdFile.ora，SYS用戶的密碼為syspwd，SYSDBA和SYSOPER用戶的最大數(shù)量為50，代碼如下：ORAPWDFILE=myPwdFile.oraPASSWORD=syspwdENTRIES=50數(shù)據(jù)庫管理員認(rèn)證在SQL*Plus中，如果采用操作系統(tǒng)認(rèn)證方數(shù)據(jù)庫管理員認(rèn)證初始化參數(shù)REMOTE_LOGIN_PASSWORDFILE可以指定密碼文件的使用方法，它可以設(shè)置為如下3種值：NONE。Oracle數(shù)據(jù)庫認(rèn)定密碼文件不存在，所有的連接都必須是安全連接。EXCLUSIVE（默認(rèn)值）?？梢蕴砑?、修改和刪除用戶，也可以修改SYS用戶的密碼。SHARED。共享的密碼文件不允許被修改，因此不允許添加新用戶，也不能修改SYS或其他SYSDBA、SYSOPER用戶的密碼。數(shù)據(jù)庫管理員認(rèn)證初始化參數(shù)REMOTE_LOGIN_PASS數(shù)據(jù)庫管理員認(rèn)證GRANT命令為用戶授予權(quán)限?！纠肯蛴脩鬭dm授予SYSDBA權(quán)限：GRANTSYSDBATOadm;REVOKE命令撤銷用戶的授權(quán)?！纠砍蜂N用戶adm的SYSDBA權(quán)限：REVOKESYSDBAFROMadm;數(shù)據(jù)庫管理員認(rèn)證GRANT命令為用戶授予權(quán)限。數(shù)據(jù)庫管理員認(rèn)證通過視圖V$PWFILE_USERS查看密碼文件的內(nèi)容?！纠渴褂肧QL語句查看代碼文件的內(nèi)容：SQL>SELECT*FROMV$PWFILE_USERS;USERNAME SYSDB SYSOP----------------------- --- -----SYS TRUE TRUE數(shù)據(jù)庫管理員認(rèn)證通過視圖V$PWFILE_USERS查看密碼用戶管理創(chuàng)建用戶修改用戶權(quán)限管理語句刪除用戶用戶管理創(chuàng)建用戶創(chuàng)建用戶顯示用戶信息操作按鈕創(chuàng)建用戶顯示用戶信息操作按鈕創(chuàng)建用戶“創(chuàng)建用戶”頁面選擇表空間創(chuàng)建用戶“創(chuàng)建用戶”頁面選擇表空間創(chuàng)建用戶查看新建用戶NEWUSER的信息創(chuàng)建用戶查看新建用戶NEWUSER的信息創(chuàng)建用戶CREATEUSER語句在數(shù)據(jù)庫中創(chuàng)建新用戶。CREATEUSER<用戶名>IDENTIFIEDBY<口令>DEFAULTTABLESPACE<默認(rèn)表空間>TEMPORARYTABLESPACE<臨時表空間>;【例】創(chuàng)建管理用戶USERMAN：CREATEUSERUSERMANIDENTIFIEDBYUSERMAN;創(chuàng)建用戶CREATEUSER語句在數(shù)據(jù)庫中創(chuàng)建新用戶。修改用戶編輯用戶頁面

設(shè)置用戶的

其他屬性修改用戶編輯用戶頁面設(shè)置用戶的

其他屬性修改用戶ALTERUSER語句也可以修改用戶信息。（1）修改密碼密碼?！纠繉⒂脩鬠SERMAN的密碼修改為NewPassword：ALTERUSERUSERMANIDENTIFIEDBYNewPassword;（2）PASSWORDEXPIRE關(guān)鍵詞設(shè)置密碼過期。【例】設(shè)置用戶USERMAN的密碼立即過期，它在下一次登錄時必須修改密碼：ALTERUSERUSERMANPASSWORDEXPIRE;（3）ACCOUNTLOCK關(guān)鍵詞鎖定用戶。【例】鎖定用戶USERMAN，使其無法登錄到數(shù)據(jù)庫：ALTERUSERUSERMANACCOUNTLOCK;（4）ACCOUNTUNLOCK關(guān)鍵詞解鎖用戶?！纠拷獬龑τ脩鬠SERMAN的鎖定：ALTERUSERUSERMANACCOUNTUNLOCK;修改用戶ALTERUSER語句也可以修改用戶信息。權(quán)限管理語句系統(tǒng)權(quán)限設(shè)置頁面

權(quán)限管理語句系統(tǒng)權(quán)限設(shè)置頁面權(quán)限管理語句修改系統(tǒng)權(quán)限頁面權(quán)限管理語句修改系統(tǒng)權(quán)限頁面權(quán)限管理語句GRANT語句可以將權(quán)限授予指定的用戶或角色。（1）授予系統(tǒng)權(quán)限：GRANT<系統(tǒng)權(quán)限>TO<用戶名>【例】對于用戶USERMAN授予SYSDBA權(quán)限：GRANTSYSDBATOUSERMAN;（2）授予數(shù)據(jù)對象權(quán)限：GRANT<數(shù)據(jù)對象權(quán)限>ON<數(shù)據(jù)對象>TO<用戶名>【例】對用戶USERMAN授予表USERS的SELECT、INSERT、UPDATE、DELETE權(quán)限：GRANTSELECTONUSERMAN.USERSTOUSERMAN;GRANTINSERTONUSERMAN.USERSTOUSERMAN;GRANTUPDATEONUSERMAN.USERSTOUSERMAN;GRANTDELETEONUSERMAN.USERSTOUSERMAN;權(quán)限管理語句GRANT語句可以將權(quán)限授予指定的用戶或角色。權(quán)限管理語句（3）REVOKE語句可以撤銷用戶的角色或權(quán)限：REVOKE<權(quán)限或角色>FROM<用戶名>【例】撤銷用戶USERMAN的系統(tǒng)權(quán)限：REVOKESYSDBAFROMUSERMAN;權(quán)限管理語句（3）REVOKE語句可以撤銷用戶的角色或權(quán)限刪除用戶確認(rèn)刪除頁面刪除用戶確認(rèn)刪除頁面撤銷表空間DROPUSER語句也可以刪除指定的用戶。【例】刪除用戶USERMAN：DROPUSERUSERMAN;撤銷表空間DROPUSER語句也可以刪除指定的用戶。6.3角色管理

Oracle系統(tǒng)角色創(chuàng)建角色對角色授權(quán)指定用戶的角色修改角色刪除角色6.3角色管理Oracle系統(tǒng)角色Oracle系統(tǒng)角色常用的Oracle預(yù)定義系統(tǒng)角色

角色名說明CONNECT授予最終用戶的基本角色，主要包括ALTERSESSION（修改會話）、CREATECLUSTER（建立聚簇）、CREATEDATABASELINK（建立數(shù)據(jù)庫鏈接）、CREATESEQUENCE（建立序列）、CREATESESSION（建立會話）、CREATESYNONYM（建立同義詞）、CREATEVIEW（建立視圖）等權(quán)限RESOURCE授予開發(fā)人員的基本角色，主要包括CREATECLUSTER（創(chuàng)建聚簇）、CREATEPROCEDURE（創(chuàng)建過程）、CREATESEQUENCE（創(chuàng)建序列）、CREATETABLE（創(chuàng)建表）、CREATETRIGGER（創(chuàng)建觸發(fā)器）、CREATETYPE（創(chuàng)建類型）等權(quán)限D(zhuǎn)BA擁有所有系統(tǒng)級管理權(quán)限IMP_FULL_DATABASE和

EXP_FULL_DATABASE導(dǎo)入、導(dǎo)出數(shù)據(jù)庫所需要的角色，主要包