oracle基础角色(Oracle数据库用户管理之角色管理)

【关键术语】

Role 角色

Enabling role 角色生效

Disabling role 角色失效

Predefined roles 预定义角色

Application roles 应用角色

Default roles 默认角色

3.1 角色概述 3.1.1 角色的作用

● 简化权限管理:

使用角色可简化权限管理。可以将一些权限授予某个角色,然后将该角色授予每个用户,而不是将同一组权限授予多个用户。

● 动态进行权限管理:

如果修改了与某个角色关联的权限,则授予该角色的所有用户都会立即自动获得修改过的权限。

● 有选择地使用权限:

通过启用或禁用角色可以暂时打开或关闭权限。启用角色还可以用来验证用户是否已授予该角色。

当建立用户时,用户没有任何权限。为使用户可以连接到数据库并执行各种操作,必须 为其授予相应的系统权限或对象权限。假定要使用户 A、B、C 能够连接到数据库,并具有创建表的权限和可以在 SCOTT.EMP 表上执行 INSERT、UPDATE 操作,那么需要进行 12次授权操作。如图 P1-1 所示。

oracle基础角色(Oracle数据库用户管理之角色管理)(1)

如果将来要收回用户 A、B、C 的 INSERT ON SCOTT.EMP 权限,则分别需要从每个用 户处收回该权限,共需要三次收回权限的操作。

因为用户 A,B,C 具有相似的权限需求,我们可以通过角色简化授权和收权操作的次数。假定使用角色,首先可以将这四种权限授予角色 OE,然后将该角色分别授予 A,B,C 用户,只需要进行 7 次授权操作,显然可以降低授权次数。如图 P1-2 所示。

oracle基础角色(Oracle数据库用户管理之角色管理)(2)

如果要回收用户 A、B、C 的 INSERT ON SCOTT.EMP,那么只需要从角色 OE 处收回INSERT ON SCOTT.EMP 对象权限就可以了。

所以,角色使得权限的授予和回收变得方便和简化了。

结论:

在大多数系统中,将必需的权限一个一个授予每一个用户是很耗时的工作,而且很有可

能会出错。Oracle 软件通过角色可实现简单且受控的权限管理。角色是可授予用户或其它

角色的、由相关权限组成的一些命名组。角色的设计目的是为了简化数据库中的权限管理,

从而可提高数据库的安全性。

角色特性:

  • • 角色就像用户,可以授予角色或撤销角色权限。
  • • 角色就像系统权限,可以授予用户或其它角色,也可以从用户或其它角色撤销。
  • • 角色可以由系统权限和对象权限组成。
  • • 可以对授予某一角色的每一个用户启用或禁用该角色。
  • • 可能需要口令才能启用角色。
  • • 角色不由任何用户拥有,角色也不属于任何方案。
3.1.2 系统预定义角色

角色是一组相关权限的命名集合,使用角色最主要的目的是简化权限管理。当建立数据

库、安装了数据字典和 PL/SQL 包之后,Oracle 会自动建立一些预定义角色。下面介绍一

些 Oracle 常用的预定义角色:

功能角色

已经创建了一些授权您管理特殊功能的其它角色(如果已安装这些功能)。例如,

XDBADMIN 包含管理扩展标记语言(XML) 数据库(如果已安装此功能)所需的权限。

AQ_ADMINISTRATOR_ROLE 提供管理高级队列的权限。HS_ADMIN_ROLE 包括管理异种服务所需的权限。在没有 Oracle 技术支持协助的情况下,一定不能改变授予这些功能角色的权限,因为这样做可能会无意禁用所需的功能

1)CONNECT 角色

� Oracle 10g R2之前:

  • 1 CREATE SESSION
  • 2 CREATE TABLE
  • 3 CREATE VIEW
  • 4 CREATE SYNONYM5 CREATE CLUSTER
  • 6 CREATE DATABASE LINK
  • 7 CREATE SEQUENCE
  • 8 ALTER SESSION

� Oracle 10g R2之后:

oracle CONNECT 角色现在只有这一个权限: CREATE SESSION

如果想还原原来的 oracle CONNECT 角色的设置,Oracle 提供了下面的脚本:

$ORACLE_HOME/rdbms/admin/rstrconn.SQL.

2)RESOURCE 角色
  • 1 CREATE CLUSTER
  • 2 CREATE SEQUENCE
  • 3 CREATE TRIGGER
  • 4 CREATE TABLE
  • 5 CREATE PROCEDURE
  • 6 CREATE TYPE
  • 7 CREATE OPERATOR
  • 8 CREATE INDEXTYPE

从 role_sys_privs 中看 ORACLE resource 角色的权限:

SQL> select PRIVILEGE from role_sys_privs where role='RESOURCE';

当把 ORACLE resource 角色授予一个 user 的时候,不但会授予 ORACLE resource 角色

本身的权限,而且还有 unlimited tablespace 权限。

1 SQL> conn desk 2 Enter password: 3 Connected. 4 SQL> select PRIVILEGE from user_sys_privs; 5 no rows selected 6 SQL> conn / as sysDBA 7 Connected. 8 SQL> grant resource to desk; 9 Grant succeeded. 10 SQL> conn desk 11 Enter password: 12 Connected. 13 SQL> select PRIVILEGE from user_sys_privs; 14 PRIVILEGE 15 ---------------------------------------- 16 UNLIMITED TABLESPACE 17 SQL> 18 当把 resource 授予一个 role 时,就不会授予 unlimited tablespace 权限 19 SQL> show user 20 USER is "SYS" 21 SQL> create role testrole identified using testrole; 22 Role created. 23 SQL> revoke resource from desk; 24 Revoke succeeded. 25 SQL> grant resource to testrole; 26 Grant succeeded. 27 SQL> grant testrole to desk; 28 Grant succeeded. 29 SQL> conn desk 30 Enter password: 31 Connected. 32 SQL> select privilege from user_sys_privs; 33 no rows selected 34 SQL>

3)DBA 角色

DBA 是在建立数据库时 Oracle 执行脚本 SQL.BSQ 自动建立的角色,该角色具有所有 系统权限以及 WITH ADMIN OPTION 选项。

要注意的是,CONNECT、RESOURCE、DBA 三种角色是为与先前版本兼容而保留的, 在将来版本中可能不会自动建立。

4)EXP_FULL_DATABASE 角色

EXP_FULL_DATABASE 角色是在安装数据字典时执行 CATEXP.SQL 脚本建立的角色,

该角色用于执行数据库的完全导出和增量导出操作,并且它包含以下一些权限和角色:

系统权限 SELECT ANY TABLE、BACKUP ANY TABLE、EXECUTE ANY PROCEDURE、

EXECUTE ANY TYPE、ADMINISTER RESOURCE MANAGER,在表 SYS.INCVID、SYS.

INCFIL 以 及 SYS . INCEXP 上 的 INSERT 、 DELETE 和 UPDATE 对 象 权 限 , 以 及

EXECUTE_CATALOG_ROLE 和 SELECT_CATALOG_ROLE 角色。

5)IMP_FULL_DATABASE 角色

IMP_FULL_DATABASE 角色也是在安装数据字典时执行 CATEXP.SQL 脚本建立的角

色,该角色用于执行完全数据库导人操作,它包含了 EXECUTE CATALOG ROLE 和

SELECT_CATALOG_ROLE 角色以及大量系统权限(查询 DBA_ SYS_ PRIVS)。

6)DELETE_CATALOG_ROLE 角色

DELETE_CATALOG_ROLE 是在建立数据库时 Oracle 执行 SQL.BSQ 自动建立的角色,该角色提供了在系统审计表 SYS.AUD$上的 DELETE 对象权限。

7)EXECUTE_CATALOG_ROLE 角色

EXECUTE_CATALOG_ROLE 是在建立数据库时 Oracle 执行 SQL.BSQ 自动建立的角

色,该角色提供了对所有系统 PL/SQL 包的 EXECUTE 对象权限。

8)SELECT_CATALOG_ROLE 角色

SELECT_CATALOG_ROLE 是在建立数据库时 Oracle 执行 SQLBSQ 自动建立的角色,

该角色提供了在所有数据字典上的 SELECT 对象权限。

3.2 创建和使用角色 3.2.1 创建角色

尽管在设计应用时可以直接使用预定义角色,但出于安全考虑,Oracle,建议使用自定

义角色。建立角色是使用命令 CREATE ROLE,由 DBA 来完成的,但如果要以其他用户身

份建立角色,那么要求该用户必须具有 CREATE ROLE 系统权限。

1.建立角色:不验证

采用不验证方式建立的角色,只是在数据字典中存放角色名称的信息,并且在使角色生

效时不需要进行任何检查。

【实例 1-1】创建不需要验证的角色 oe_clerk。

1)以管理员身份登录 SOL>CONNECT / AS SYSDBA 已连接。 2)创建角色 SOL>CREATE ROLE oe_clerk; 角色已创建

与用户类似,角色也可以进行验证,以确保角色的安全性。

2.建立角色:数据库验证

数据库验证是指使用数据库检查角色及其口令的方式。当采用这种方式时,角色名及口

令是存放在数据库中的。当使角色生效时,必须提供口令。

【实例1-2】创建数据库验证的角色 hr_clerk。

1)以管理员身份登录 SOL>CONNECT / AS SYSDBA已连接。 2)创建角色 SOL>CREATE ROLE hr_clerk IDENTIFIED BY bonus; 角色已创建

3.建立角色:外部验证

外部验证是指使用操作系统服务或网络服务检查角色的方式。

【实例 1-3】创建外部验证的角色 hr_manager。

1)以管理员身份登录 SOL>CONNECT / AS SYSDBA 已连接。 2)创建角色 SOL>CREATE ROLE hr_manager IDENTIFIED EXTERNALLY; 角色已创建

4.建立应用角色

通过使用应用角色可以避免激活角色,采用这种方式建立角色之后,使角色生效是由认

证包来完成的。

【实例 1-4】创建应用角色 admin_role。

1)以管理员身份登录 SOL>CONNECT / AS SYSDBA 已连接。 2)创建角色 SOL>CREATE ROLE admin_role IDENTIFIED USING hr.pcrt; 角色已创建

其中 USING 子句用于指定认证包。当建立了应用角色 admin_role 之后,该角色可以由

HR 用户的 pcrt 包中的任何过程或函数激活。

角色创建后,角色没有任何权限。为了使得角色分配给用户后,用户具有相应权限,就

必须为角色授予系统权限或对象权限。给角色授权与给用户授权的方法完全相同。

【实例1-5】给角色授系统权限。

1)以管理员身份登录 SOL>CONNECT / AS SYSDBA 已连接。 2)角色授权 SOL>GRANT CREATE SESSION,CREATE TABLE,CREATE VIEW TO oe_clerk WITH ADMIN OPTION; 授权成功。

这样,当用户具有角色 oe_clerk 时,该用户就可以连接到数据库,并能创建表。另外,

因为在授予这些系统权限时带有 WITH ADMIN OPTION 选项,所以具有该角色的用户还可

以将这些系统权限授予其他用户或角色。

注意,UNLIMITED TABLESPACE 系统权限不能被授予角色;当将对象权限授予角色

时,不能带有 WITH GRANT OPTION。

3.2.2 用控制台创建角色

用控台创建角色的步骤如下:

oracle基础角色(Oracle数据库用户管理之角色管理)(3)

oracle基础角色(Oracle数据库用户管理之角色管理)(4)

oracle基础角色(Oracle数据库用户管理之角色管理)(5)

oracle基础角色(Oracle数据库用户管理之角色管理)(6)

3.2.3 分配角色

分配角色是指将角色分配给某用户。在建立了角色并为其授予了权限之后,必须将该角

色分配给用户,它才能起作用。分配角色与授予系统权限的命令完全相同。当将角色分配给

用户时,用户将具有角色的所有系统权限和对象权限。一般情况下,分配角色是由 DBA 来

完成的,如果要以其他用户身份分配角色,则要求该用户必须具有 GRANT ANY ROLE 系

统权限或角色的 WITH ADMIN OPTION 选项。

【实例 1-6】把角色 oe_clerk 分配给用户 devp。

1)以管理员身份登录 SOL>CONNECT / AS SYSDBA 已连接。 2)分配角色 SOL>GRANT oe_clerk TO devp ; 授权成功。 2)创建表 SQL>connect devp/development 已连接。 SQL>CREATE TABLE tt(a int); 表已创建。

把角色分配给 devp 用户后,用户 devp 就具有角色的所有权限了。

【实例 1-7】把角色 hr_manager 分配给用户 devp。

1)以管理员身份登录 SOL>CONNECT / AS SYSDBA 已连接。 2)分配角色 SOL>GRANT hr_manager TO devp WITH ADMIN OPTION; 授权成功。

这里,在分配角色时使用了 WITH ADMIN OPTION 选项,这样该用户将具有如下权利:

  • • 将这个角色再授予其它用户。
  • • 从任何具有这个角色的用户那里回收该角色
  • • 删除和修改这个角色

因此,在为用户分配角色时应当谨慎使用 WITH ADMIN OPTION 选项,因为该用户将对角色具有完全控制能力。

3.2.4 用控制台分配角色

以下是使用控制台分配角色的步骤:

oracle基础角色(Oracle数据库用户管理之角色管理)(7)

oracle基础角色(Oracle数据库用户管理之角色管理)(8)

3.2.5 默认角色

默认角色是用户所具有的角色的子集,当为用户指定了默认角色后,以该用户身份登录

时会自动激活其默认角色,即用户具有了角色的权限。当我们为用户分配了角色之后,只要

没有用 ALTER USER …DEFAULT ROLE 作过修改,那么这些角色都是用户的默认角色。但

有时要把某些角色设为默认角色,有些角色不是默认角色,就要用命令显式设定。设置默认

角色一般是由 DBA 来完成的,如果要以其他用户身份设置用户的默认角色,则要求该用户

必须具有 ALTER USER 系统权限。

1.把用户的所有角色都设为默认角色

使用 ALTER USER 命令可以把一个用户的所有角色都设置为默认角色,这样,当以该

用户身份登录之后,系统会自动激活该用户的所有角色,用户就具有了角色的所有权限。

【实例 1-8】把用户 devp 的所有角色都设置为默认角色,并查看该用户当前激活的角色。

1)以管理员身份登录 SOL>CONNECT / AS SYSDBA 已连接。 2)设置默认角色 SOL>ALTER USER devp DEFAULT ROLE ALL; 用户已更改。 3)以 devp 帐户登录 SOL>connect devp/development 已连接。 4)查看 devp 用户当前激活的角色 SOL>SELECT * FROM session_roles; ROLE ------------ HR_CLERK OE_CLERK

2.指定除某些角色外其他角色都为默认角色

在为用户分配了多个角色之后,可以明确指明多数角色为默认角色,使少数几个角色成

为非默认角色。

【实例 1-9】指定除某些角色外其他角色都为默认角色,并验证。

1)以管理员身份登录 SOL>CONNECT / AS SYSDBA 已连接。 2)设置默认角色 SOL>ALTER USER devp DEFAULT ROLE ALL EXCEPT hr_manager; 用户已更改。 3)以 devp 帐户登录 SQL>connect devp/development 已连接。 4)验证 devp 权限 SQL>delete from scott.salgrade where grade=1; ERROR 位于第 1 行: ORA-00942: 表或视图不存在

因为未将 hr_manager 角色设置为 devp 用户的默认角色,所以以 devp 用户身份登录后 不会激活 hr_manager 角色。此时该用户将不能执行 hr_manager 角色所具有的权限操作。

3.指定某些角色为用户的默认角色

在为用户分配了多个角色之后,如果只是要将少数角色设置为默认角色,那么可以使用

如下方法。

【实例 1-10】把用户 devp 的某些角色设置为默认角色

1)以管理员身份登录 SOL>CONNECT / AS SYSDBA 已连接。 2)设置默认角色 SOL>ALTER USER devp DEFAULT ROLE oe_clerk; 用户已更改。 SQL>connect devp/development 已连接。 3)验证角色 SOL>SELECT * FROM session_roles; ROLE ------------ OE_CLERK SQL>delete from scott.salgrade where grade=1; ERROR 位于第 1 行: ORA-00942: 表或视图不存在

因为用户 devp 的默认角色被设置为 oe_clerk,所以,以 devp 用户身份登录后只会激活角色 oe_clerk,并且只能执行这种角色所允许的权限操作。

4.指定无默认角色

在建立了用户之后,可以指定用户无任何默认角色。方法如下:

SOL>connect / AS SYSDBA 已连接。 SOL>ALTER USER alex DEFAULT ROLE NONE; 用户已更改。

因为没有给 Alex 用户设置默认角色,所以以 Alex 用户身份登录之后不会激活任何角色,从而使得该用户不能执行任何角色所具有的权限操作。

oracle基础角色(Oracle数据库用户管理之角色管理)(9)

写在最后的话

感谢各位的支持与阅读,后续会继续推送相关知识和交流,欢迎交流、转发和关注,感谢

,

免责声明:本文仅代表文章作者的个人观点,与本站无关。其原创性、真实性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容文字的真实性、完整性和原创性本站不作任何保证或承诺,请读者仅作参考,并自行核实相关内容。文章投诉邮箱:anhduc.ph@yahoo.com

    分享
    投诉
    首页