Oracle10g數據庫應用教程

授課教師：職務：Oracle10g數據庫應用教程授課教師：第6章數據庫安全管理課程描述介紹Oracle數據庫的認證方法、用戶管理、權限管理和角色管理第6章數據庫安全管理課程描述本章知識點Oracle認證方法用戶管理角色管理本章知識點Oracle認證方法6.1Oracle認證方法操作系統身份認證網絡身份認證Oracle數據庫身份認證數據庫管理員認證6.1Oracle認證方法操作系統身份認證操作系統身份認證例：通過操作系統認證的用戶可以通過下面的命令啟動SQL*Plus，而不需要輸入用戶名和密碼：SQLPLUS/操作系統身份認證例：通過操作系統認證的用戶可以通過下面的命網絡身份認證網絡層的認證能力由第3方的SSL協議處理。SSL是SecureSocketLayer的縮寫，即安全套接字層。它是一個應用層協議，可以用于數據庫的用戶身份認證。網絡層身份認證使用第3方網絡認證服務，例如DCE、Kerberos、PKI、RADIUS等。網絡身份認證網絡層的認證能力由第3方的SSL協議處理。Oracle數據庫身份認證連接中的密碼加密：加密算法采用改進的DES和3DES算法，加密過程在數據傳輸之前完成。賬戶鎖定:Oracle可以設置連接登錄失敗n次后，Oracle將鎖定用戶賬戶。密碼生存周期檢測歷史密碼驗證密碼復雜度Oracle數據庫身份認證連接中的密碼加密：加密算法采用改數據庫管理員認證數據庫管理員的認證方式數據庫管理員認證數據庫管理員的認證方式數據庫管理員認證在SQL*Plus中，如果采用操作系統認證方式登錄，可以使用如下命令：CONNECT/ASSYSDBA或者：CONNECT/ASSYSOPER【例】創建密碼文件myPwdFile.ora，SYS用戶的密碼為syspwd，SYSDBA和SYSOPER用戶的最大數量為50，代碼如下：ORAPWDFILE=myPwdFile.oraPASSWORD=syspwdENTRIES=50數據庫管理員認證在SQL*Plus中，如果采用操作系統認證方數據庫管理員認證初始化參數REMOTE_LOGIN_PASSWORDFILE可以指定密碼文件的使用方法，它可以設置為如下3種值：NONE。Oracle數據庫認定密碼文件不存在，所有的連接都必須是安全連接。EXCLUSIVE（默認值）。可以添加、修改和刪除用戶，也可以修改SYS用戶的密碼。SHARED。共享的密碼文件不允許被修改，因此不允許添加新用戶，也不能修改SYS或其他SYSDBA、SYSOPER用戶的密碼。數據庫管理員認證初始化參數REMOTE_LOGIN_PASS數據庫管理員認證GRANT命令為用戶授予權限。【例】向用戶adm授予SYSDBA權限：GRANTSYSDBATOadm;REVOKE命令撤銷用戶的授權。【例】撤銷用戶adm的SYSDBA權限：REVOKESYSDBAFROMadm;數據庫管理員認證GRANT命令為用戶授予權限。數據庫管理員認證通過視圖V$PWFILE_USERS查看密碼文件的內容。【例】使用SQL語句查看代碼文件的內容：SQL>SELECT*FROMV$PWFILE_USERS;USERNAME SYSDB SYSOP----------------------- --- -----SYS TRUE TRUE數據庫管理員認證通過視圖V$PWFILE_USERS查看密碼用戶管理創建用戶修改用戶權限管理語句刪除用戶用戶管理創建用戶創建用戶顯示用戶信息操作按鈕創建用戶顯示用戶信息操作按鈕創建用戶“創建用戶”頁面選擇表空間創建用戶“創建用戶”頁面選擇表空間創建用戶查看新建用戶NEWUSER的信息創建用戶查看新建用戶NEWUSER的信息創建用戶CREATEUSER語句在數據庫中創建新用戶。CREATEUSER<用戶名>IDENTIFIEDBY<口令>DEFAULTTABLESPACE<默認表空間>TEMPORARYTABLESPACE<臨時表空間>;【例】創建管理用戶USERMAN：CREATEUSERUSERMANIDENTIFIEDBYUSERMAN;創建用戶CREATEUSER語句在數據庫中創建新用戶。修改用戶編輯用戶頁面

設置用戶的

其他屬性修改用戶編輯用戶頁面設置用戶的

其他屬性修改用戶ALTERUSER語句也可以修改用戶信息。（1）修改密碼密碼。【例】將用戶USERMAN的密碼修改為NewPassword：ALTERUSERUSERMANIDENTIFIEDBYNewPassword;（2）PASSWORDEXPIRE關鍵詞設置密碼過期。【例】設置用戶USERMAN的密碼立即過期，它在下一次登錄時必須修改密碼：ALTERUSERUSERMANPASSWORDEXPIRE;（3）ACCOUNTLOCK關鍵詞鎖定用戶。【例】鎖定用戶USERMAN，使其無法登錄到數據庫：ALTERUSERUSERMANACCOUNTLOCK;（4）ACCOUNTUNLOCK關鍵詞解鎖用戶。【例】解除對用戶USERMAN的鎖定：ALTERUSERUSERMANACCOUNTUNLOCK;修改用戶ALTERUSER語句也可以修改用戶信息。權限管理語句系統權限設置頁面

權限管理語句系統權限設置頁面權限管理語句修改系統權限頁面權限管理語句修改系統權限頁面權限管理語句GRANT語句可以將權限授予指定的用戶或角色。（1）授予系統權限：GRANT<系統權限>TO<用戶名>【例】對于用戶USERMAN授予SYSDBA權限：GRANTSYSDBATOUSERMAN;（2）授予數據對象權限：GRANT<數據對象權限>ON<數據對象>TO<用戶名>【例】對用戶USERMAN授予表USERS的SELECT、INSERT、UPDATE、DELETE權限：GRANTSELECTONUSERMAN.USERSTOUSERMAN;GRANTINSERTONUSERMAN.USERSTOUSERMAN;GRANTUPDATEONUSERMAN.USERSTOUSERMAN;GRANTDELETEONUSERMAN.USERSTOUSERMAN;權限管理語句GRANT語句可以將權限授予指定的用戶或角色。權限管理語句（3）REVOKE語句可以撤銷用戶的角色或權限：REVOKE<權限或角色>FROM<用戶名>【例】撤銷用戶USERMAN的系統權限：REVOKESYSDBAFROMUSERMAN;權限管理語句（3）REVOKE語句可以撤銷用戶的角色或權限刪除用戶確認刪除頁面刪除用戶確認刪除頁面撤銷表空間DROPUSER語句也可以刪除指定的用戶。【例】刪除用戶USERMAN：DROPUSERUSERMAN;撤銷表空間DROPUSER語句也可以刪除指定的用戶。6.3角色管理

Oracle系統角色創建角色對角色授權指定用戶的角色修改角色刪除角色6.3角色管理Oracle系統角色Oracle系統角色常用的Oracle預定義系統角色

角色名說明CONNECT授予最終用戶的基本角色，主要包括ALTERSESSION（修改會話）、CREATECLUSTER（建立聚簇）、CREATEDATABASELINK（建立數據庫鏈接）、CREATESEQUENCE（建立序列）、CREATESESSION（建立會話）、CREATESYNONYM（建立同義詞）、CREATEVIEW（建立視圖）等權限RESOURCE授予開發人員的基本角色，主要包括CREATECLUSTER（創建聚簇）、CREATEPROCEDURE（創建過程）、CREATESEQUENCE（創建序列）、CREATETABLE（創建表）、CREATETRIGGER（創建觸發器）、CREATETYPE（創建類型）等權限DBA擁有所有系統級管理權限IMP_FULL_DATABASE和

EXP_FULL_DATABASE導入、導出數據庫所需要的角色，主要包括BACKUPANYTABLE（備份表）、EXECUTEANYPROCEDURE（執行過程）、SELECTANYTABLE（查詢表）等權限DELETE_CATALOG_ROLE刪除sys.aud$記錄的權限，sys.aud$表中記錄著審計后的記錄SELECT_CATALOG_ROLE具有從數據字典查詢的權限EXECUTE_CATALOG_ROLE具有從數據字典中執行部分過程和函數的權限Oracle系統角色常用的Oracle預定義系統角色角創建角色顯示角色信息

創建角色顯示角色信息創建角色創建角色頁面授予角色系統權限創建角色創建角色頁面授予角色創建角色查看角色MYROLL的信息創建角色查看角色MYROLL的信息創建角色【例】使用CREATEROLE語句創建角色：CREATEROLEMYROLEIDENTIFIEDBYmyrollpwdIDENTIFIEDBY子句可以指定角色的密碼。

創建角色【例】使用CREATEROLE語句創建角色：對角色授權系統權限設置頁面對角色授權系統權限設置頁面對角色授權修改系統權限頁面對角色授權修改系統權限頁面指定用戶的角色GRANT命令為用戶指定角色。【例】將角色CONNECT指定給用戶USERMAN：GRANTCONNECTTOUSERMAN;REVOKE命令為取消用戶的角色。【例】撤銷USERMAN用戶的CONNECT角色：REVOKECONNECTFROMUSERMAN;指定用戶的角色GRANT命令為用戶指定角色。修改角色ALTERROLE語句修改角色。【例】取消角色MYROLL的密碼驗證：ALTERROLEMYROLENOTIDENTIFIED；修改角色ALTERROLE語句修改角色。刪除角色確認刪除頁面刪除角色確認刪除頁面刪除角色DROPROLE語句可以刪除指定的角色。【例】刪除用戶MYROLE：DROPROLEMYROLE;刪除角色DROPROLE語句可以刪除指定的角色。Oracle10g數據庫應用教程

授課教師：職務：Oracle10g數據庫應用教程授課教師：第6章數據庫安全管理課程描述介紹Oracle數據庫的認證方法、用戶管理、權限管理和角色管理第6章數據庫安全管理課程描述本章知識點Oracle認證方法用戶管理角色管理本章知識點Oracle認證方法6.1Oracle認證方法操作系統身份認證網絡身份認證Oracle數據庫身份認證數據庫管理員認證6.1Oracle認證方法操作系統身份認證操作系統身份認證例：通過操作系統認證的用戶可以通過下面的命令啟動SQL*Plus，而不需要輸入用戶名和密碼：SQLPLUS/操作系統身份認證例：通過操作系統認證的用戶可以通過下面的命網絡身份認證網絡層的認證能力由第3方的SSL協議處理。SSL是SecureSocketLayer的縮寫，即安全套接字層。它是一個應用層協議，可以用于數據庫的用戶身份認證。網絡層身份認證使用第3方網絡認證服務，例如DCE、Kerberos、PKI、RADIUS等。網絡身份認證網絡層的認證能力由第3方的SSL協議處理。Oracle數據庫身份認證連接中的密碼加密：加密算法采用改進的DES和3DES算法，加密過程在數據傳輸之前完成。賬戶鎖定:Oracle可以設置連接登錄失敗n次后，Oracle將鎖定用戶賬戶。密碼生存周期檢測歷史密碼驗證密碼復雜度Oracle數據庫身份認證連接中的密碼加密：加密算法采用改數據庫管理員認證數據庫管理員的認證方式數據庫管理員認證數據庫管理員的認證方式數據庫管理員認證在SQL*Plus中，如果采用操作系統認證方式登錄，可以使用如下命令：CONNECT/ASSYSDBA或者：CONNECT/ASSYSOPER【例】創建密碼文件myPwdFile.ora，SYS用戶的密碼為syspwd，SYSDBA和SYSOPER用戶的最大數量為50，代碼如下：ORAPWDFILE=myPwdFile.oraPASSWORD=syspwdENTRIES=50數據庫管理員認證在SQL*Plus中，如果采用操作系統認證方數據庫管理員認證初始化參數REMOTE_LOGIN_PASSWORDFILE可以指定密碼文件的使用方法，它可以設置為如下3種值：NONE。Oracle數據庫認定密碼文件不存在，所有的連接都必須是安全連接。EXCLUSIVE（默認值）。可以添加、修改和刪除用戶，也可以修改SYS用戶的密碼。SHARED。共享的密碼文件不允許被修改，因此不允許添加新用戶，也不能修改SYS或其他SYSDBA、SYSOPER用戶的密碼。數據庫管理員認證初始化參數REMOTE_LOGIN_PASS數據庫管理員認證GRANT命令為用戶授予權限。【例】向用戶adm授予SYSDBA權限：GRANTSYSDBATOadm;REVOKE命令撤銷用戶的授權。【例】撤銷用戶adm的SYSDBA權限：REVOKESYSDBAFROMadm;數據庫管理員認證GRANT命令為用戶授予權限。數據庫管理員認證通過視圖V$PWFILE_USERS查看密碼文件的內容。【例】使用SQL語句查看代碼文件的內容：SQL>SELECT*FROMV$PWFILE_USERS;USERNAME SYSDB SYSOP----------------------- --- -----SYS TRUE TRUE數據庫管理員認證通過視圖V$PWFILE_USERS查看密碼用戶管理創建用戶修改用戶權限管理語句刪除用戶用戶管理創建用戶創建用戶顯示用戶信息操作按鈕創建用戶顯示用戶信息操作按鈕創建用戶“創建用戶”頁面選擇表空間創建用戶“創建用戶”頁面選擇表空間創建用戶查看新建用戶NEWUSER的信息創建用戶查看新建用戶NEWUSER的信息創建用戶CREATEUSER語句在數據庫中創建新用戶。CREATEUSER<用戶名>IDENTIFIEDBY<口令>DEFAULTTABLESPACE<默認表空間>TEMPORARYTABLESPACE<臨時表空間>;【例】創建管理用戶USERMAN：CREATEUSERUSERMANIDENTIFIEDBYUSERMAN;創建用戶CREATEUSER語句在數據庫中創建新用戶。修改用戶編輯用戶頁面

設置用戶的

其他屬性修改用戶編輯用戶頁面設置用戶的

其他屬性修改用戶ALTERUSER語句也可以修改用戶信息。（1）修改密碼密碼。【例】將用戶USERMAN的密碼修改為NewPassword：ALTERUSERUSERMANIDENTIFIEDBYNewPassword;（2）PASSWORDEXPIRE關鍵詞設置密碼過期。【例】設置用戶USERMAN的密碼立即過期，它在下一次登錄時必須修改密碼：ALTERUSERUSERMANPASSWORDEXPIRE;（3）ACCOUNTLOCK關鍵詞鎖定用戶。【例】鎖定用戶USERMAN，使其無法登錄到數據庫：ALTERUSERUSERMANACCOUNTLOCK;（4）ACCOUNTUNLOCK關鍵詞解鎖用戶。【例】解除對用戶USERMAN的鎖定：ALTERUSERUSERMANACCOUNTUNLOCK;修改用戶ALTERUSER語句也可以修改用戶信息。權限管理語句系統權限設置頁面

權限管理語句系統權限設置頁面權限管理語句修改系統權限頁面權限管理語句修改系統權限頁面權限管理語句GRANT語句可以將權限授予指定的用戶或角色。（1）授予系統權限：GRANT<系統權限>TO<用戶名>【例】對于用戶USERMAN授予SYSDBA權限：GRANTSYSDBATOUSERMAN;（2）授予數據對象權限：GRANT<數據對象權限>ON<數據對象>TO<用戶名>【例】對用戶USERMAN授予表USERS的SELECT、INSERT、UPDATE、DELETE權限：GRANTSELECTONUSERMAN.USERSTOUSERMAN;GRANTINSERTONUSERMAN.USERSTOUSERMAN;GRANTUPDATEONUSERMAN.USERSTOUSERMAN;GRANTDELETEONUSERMAN.USERSTOUSERMAN;權限管理語句GRANT語句可以將權限授予指定的用戶或角色。權限管理語句（3）REVOKE語句可以撤銷用戶的角色或權限：REVOKE<權限或角色>FROM<用戶名>【例】撤銷用戶USERMAN的系統權限：REVOKESYSDBAFROMUSERMAN;權限管理語句（3）REVOKE語句可以撤銷用戶的角色或權限刪除用戶確認刪除頁面刪除用戶確認刪除頁面撤銷表空間DROPUSER語句也可以刪除指定的用戶。【例】刪除用戶USERMAN：DROPUSERUSERMAN;撤銷表空間DROPUSER語句也可以刪除指定的用戶。6.3角色管理

Oracle系統角色創建角色對角色授權指定用戶的角色修改角色刪除角色6.3角色管理Oracle系統角色Oracle系統角色常用的Oracle預定義系統角色

角色名說明CONNECT授予最終用戶的基本角色，主要包括ALTERSESSION（修改會話）、CREATECLUSTER（建立聚簇）、CREATEDATABASELINK（建立數據庫鏈接）、CREATESEQUENCE（建立序列）、CREATESESSION（建立會話）、CREATESYNONYM（建立同義詞）、CREATEVIEW（建立視圖）等權限RESOURCE授予開發人員的基本角色，主要包括CREATECLUSTER（創建聚簇）、CREATEPROCEDURE（創建過程）、CREATESEQUENCE（創建序列）、CREATETABLE（創建表）、CREATETRIGGER（創建觸發器）、CREATETYPE（創建類型）等權限DBA擁有所有系統級管理權限IMP_FULL_DATABASE和

EXP_FULL_DATABASE導入、導出數據庫所需要的角色，主要包