網(wǎng)絡(luò)連接配置與系統(tǒng)安全概述

第3章

網(wǎng)絡(luò)連接配置與系統(tǒng)安全

網(wǎng)絡(luò)連接配置與系統(tǒng)安全概述第1頁(yè)OracleNet主要功效是在系統(tǒng)中計(jì)算機(jī)之間建立網(wǎng)絡(luò)會(huì)話(huà)和傳輸數(shù)據(jù)客戶(hù)機(jī)和服務(wù)器之間兩個(gè)服務(wù)器之間配置程序早期版本：OracleSQLNet/Net8EasyConfig9i/10g：NetConfigurationAssistantNetManagerOracleNet是Oracle網(wǎng)絡(luò)產(chǎn)品基礎(chǔ)，為實(shí)現(xiàn)分布式計(jì)算和各軟件工具集成提供支持3.1OracleNet網(wǎng)絡(luò)連接配置與系統(tǒng)安全概述第2頁(yè)經(jīng)典C/S結(jié)構(gòu)系統(tǒng)

網(wǎng)絡(luò)連接配置與系統(tǒng)安全概述第3頁(yè)是駐留在服務(wù)器上一個(gè)獨(dú)立進(jìn)程能夠監(jiān)聽(tīng)指定端口上使用指定網(wǎng)絡(luò)連接協(xié)議連接請(qǐng)求監(jiān)聽(tīng)進(jìn)程接收網(wǎng)絡(luò)中客戶(hù)機(jī)連接請(qǐng)求并管理傳送到服務(wù)器這些請(qǐng)求通信監(jiān)聽(tīng)程序配置文件：listener.ora1.監(jiān)聽(tīng)程序

網(wǎng)絡(luò)連接配置與系統(tǒng)安全概述第4頁(yè)當(dāng)?shù)毓芾砟Ｊ竭B接信息存放在網(wǎng)絡(luò)內(nèi)每臺(tái)計(jì)算機(jī)tnsnames.ora文件中2.OracleNet客戶(hù)端配置模式集中管理模式連接信息集中存放在目錄服務(wù)器或Oracle名稱(chēng)服務(wù)器中網(wǎng)絡(luò)連接配置與系統(tǒng)安全概述第5頁(yè)服務(wù)器進(jìn)程作為監(jiān)聽(tīng)程序與數(shù)據(jù)庫(kù)服務(wù)器之間連接，并代理用戶(hù)與數(shù)據(jù)庫(kù)服務(wù)器交互3.服務(wù)器進(jìn)程服務(wù)器進(jìn)程能夠配置為兩種模式專(zhuān)用服務(wù)器模式共享服務(wù)器模式網(wǎng)絡(luò)連接配置與系統(tǒng)安全概述第6頁(yè)4.OracleNet工作原理網(wǎng)絡(luò)連接配置與系統(tǒng)安全概述第7頁(yè)5.關(guān)于全局?jǐn)?shù)據(jù)庫(kù)名在一個(gè)分布式環(huán)境中，多個(gè)Oracle數(shù)據(jù)庫(kù)可能有相同數(shù)據(jù)庫(kù)名稱(chēng)，此時(shí)需要使用全局?jǐn)?shù)據(jù)庫(kù)名方便進(jìn)行區(qū)分由數(shù)據(jù)庫(kù)名db_name和數(shù)據(jù)庫(kù)域名db_domain兩個(gè)初始化參數(shù)標(biāo)識(shí)全局?jǐn)?shù)據(jù)庫(kù)名全局?jǐn)?shù)據(jù)庫(kù)名在監(jiān)聽(tīng)程序配置文件listener.ora中表示為GLOBAL_DBNAMEGLOBAL_DBNAME標(biāo)示全局?jǐn)?shù)據(jù)庫(kù)名格式為：數(shù)據(jù)庫(kù)名.數(shù)據(jù)庫(kù)域名網(wǎng)絡(luò)連接配置與系統(tǒng)安全概述第8頁(yè)

需要為每一個(gè)數(shù)據(jù)庫(kù)例程配置監(jiān)聽(tīng)信息才能接收到來(lái)自客戶(hù)機(jī)請(qǐng)求

6.服務(wù)器監(jiān)聽(tīng)程序配置監(jiān)聽(tīng)程序配置信息包含監(jiān)聽(tīng)協(xié)議地址支持服務(wù)信息控制服務(wù)器進(jìn)程運(yùn)行特征參數(shù)監(jiān)聽(tīng)程序配置不妥或沒(méi)有開(kāi)啟監(jiān)聽(tīng)進(jìn)程時(shí)，客戶(hù)計(jì)算機(jī)將不能連接到Oracle服務(wù)器網(wǎng)絡(luò)連接配置與系統(tǒng)安全概述第9頁(yè)7.OracleNet客戶(hù)端配置需要為客戶(hù)端應(yīng)用程序配置連接到服務(wù)器端Oracle數(shù)據(jù)庫(kù)服務(wù)方法當(dāng)?shù)豊et服務(wù)名（主機(jī)字符串）是一個(gè)描述符，描述了要連接Oracle服務(wù)器和其中Oracle數(shù)據(jù)庫(kù)例程經(jīng)典配置是在客戶(hù)計(jì)算機(jī)中建立保留“當(dāng)?shù)豊et服務(wù)名”文件。客戶(hù)機(jī)端OracleNet經(jīng)過(guò)該文件來(lái)解析Oracle網(wǎng)絡(luò)服務(wù)信息網(wǎng)絡(luò)連接配置與系統(tǒng)安全概述第10頁(yè)7.OracleNet客戶(hù)端配置主要關(guān)鍵字ADDRESS:采取網(wǎng)絡(luò)協(xié)議和目標(biāo)主機(jī)地址、監(jiān)聽(tīng)端口SERVICE_NAME:目標(biāo)服務(wù)器中數(shù)據(jù)庫(kù)例程名稱(chēng)普通對(duì)應(yīng)listener.ora中GLOBAL_DBNAMESERVER：服務(wù)器進(jìn)程工作模式SERVER=DEDICATED，專(zhuān)用服務(wù)器模式SERVER=SHARED，共享服務(wù)器模式ORACLE_HOME\NETWORK\ADMIN\tnsnames.ora可手工配置或用工具完成配置網(wǎng)絡(luò)連接配置與系統(tǒng)安全概述第11頁(yè)7.OracleNet客戶(hù)端配置怎樣完成客戶(hù)端配置提議使用NetConfigurationAssistant完成配置可手工修改配置也可使用應(yīng)用程序安裝程序經(jīng)過(guò)選擇服務(wù)器、指定數(shù)據(jù)庫(kù)名等用程序生成配置文件客戶(hù)端配置注意事項(xiàng)配置完成后應(yīng)進(jìn)行登錄連接測(cè)試確保配置正確確保操作系統(tǒng)層正確配置了相關(guān)通信協(xié)議確保配置服務(wù)器監(jiān)聽(tīng)程序監(jiān)聽(tīng)了要使用通信協(xié)議網(wǎng)絡(luò)連接配置與系統(tǒng)安全概述第12頁(yè)7.OracleNet客戶(hù)端配置OracleNet支持命名方法當(dāng)?shù)孛═NSNAMES）目錄命名（LDAP）主機(jī)命名（HOSTNAME）輕松連接命名（EZCONNECT）客戶(hù)端配置概要文件指定客戶(hù)機(jī)所所要連接服務(wù)名解析方法及優(yōu)先次序（從左至右，左邊優(yōu)先）ORACLE_HOME\NETWORK\ADMIN\sqlnet.ora手工配置網(wǎng)絡(luò)連接配置與系統(tǒng)安全概述第13頁(yè)Oracle提供用戶(hù)、角色、同義詞、視圖、系統(tǒng)特權(quán)與對(duì)象權(quán)限、概要文件等確保Oracle數(shù)據(jù)庫(kù)系統(tǒng)及其中數(shù)據(jù)安全。3.2系統(tǒng)與對(duì)象權(quán)限管理數(shù)據(jù)庫(kù)系統(tǒng)及其中對(duì)象訪(fǎng)問(wèn)權(quán)限普通應(yīng)由數(shù)據(jù)庫(kù)系統(tǒng)管理員（DBA）進(jìn)行統(tǒng)一管理網(wǎng)絡(luò)連接配置與系統(tǒng)安全概述第14頁(yè)Oracle數(shù)據(jù)庫(kù)用戶(hù)權(quán)限分類(lèi)對(duì)象權(quán)限允許用戶(hù)執(zhí)行對(duì)指定對(duì)象（包含表、視圖、序列、過(guò)程、函數(shù)和包）特定操作。如將數(shù)據(jù)插入到某個(gè)表中、允許檢索某個(gè)表中數(shù)據(jù)等系統(tǒng)特權(quán)允許用戶(hù)執(zhí)行特定系統(tǒng)級(jí)操作或在特定對(duì)象類(lèi)型上執(zhí)行特定操作。如創(chuàng)建表空間、創(chuàng)建表等列訪(fǎng)問(wèn)權(quán)限限定用戶(hù)只能在某個(gè)表一些列上執(zhí)行INSERT、UPDATE操作或參考引用（REFERENCES）一些列網(wǎng)絡(luò)連接配置與系統(tǒng)安全概述第15頁(yè)1.系統(tǒng)特權(quán)CONNECT特權(quán)角色用戶(hù)是權(quán)限最低用戶(hù)。權(quán)限以下：Oracle數(shù)據(jù)庫(kù)為了簡(jiǎn)化對(duì)系統(tǒng)特權(quán)管理，創(chuàng)建了CONNECT、RESOURCE和DBA三個(gè)經(jīng)典特權(quán)角色登錄到Oracle數(shù)據(jù)庫(kù)和修改口令對(duì)自己表執(zhí)行查詢(xún)、刪除、修改和插入查詢(xún)經(jīng)過(guò)授權(quán)其它用戶(hù)表和視圖數(shù)據(jù)插入、修改、刪除經(jīng)過(guò)授權(quán)其它用戶(hù)表創(chuàng)建自己擁有表視圖、同義詞完成經(jīng)過(guò)授權(quán)基于表或用戶(hù)數(shù)據(jù)卸載網(wǎng)絡(luò)連接配置與系統(tǒng)安全概述第16頁(yè)1.系統(tǒng)特權(quán)RESOURCE特權(quán)角色除了含有CONNECT特權(quán)角色全部權(quán)限外，還能夠進(jìn)行以下操作：創(chuàng)建基表、視圖、索引、聚簇和序列授予和回收其它用戶(hù)對(duì)其數(shù)據(jù)庫(kù)對(duì)象存取特權(quán)對(duì)自己擁有表、索引、聚簇等數(shù)據(jù)庫(kù)對(duì)象存取活動(dòng)進(jìn)行審計(jì)DBA特權(quán)角色是系統(tǒng)中最高級(jí)別特權(quán)角色，可執(zhí)行創(chuàng)建用戶(hù)、導(dǎo)出系統(tǒng)數(shù)據(jù)等特權(quán)操作網(wǎng)絡(luò)連接配置與系統(tǒng)安全概述第17頁(yè)1.系統(tǒng)特權(quán)提議用CREATESESSION系統(tǒng)特權(quán)代替CONNECT特權(quán)角色用CREATETABLE、CREATEPROCEDURE、CREATETRIGGER等詳細(xì)系統(tǒng)特權(quán)來(lái)代替RESOURCE特權(quán)角色用SYSOPER和SYSDBA代替DBA特權(quán)角色慎用DBA特權(quán)角色網(wǎng)絡(luò)連接配置與系統(tǒng)安全概述第18頁(yè)1.系統(tǒng)特權(quán)SYSDBA是系統(tǒng)中級(jí)別最高權(quán)限擁有STARTUP，SHUTDOWN，ALTERDATABASE，CREATEDATABASE，CREATESPFILE，ARCHIVELOG，RECOVERY和RESTRICTEDSESSION等系統(tǒng)特權(quán)該特權(quán)身份登錄系統(tǒng)時(shí)實(shí)際上相當(dāng)于以SYS用戶(hù)登錄數(shù)據(jù)庫(kù)系統(tǒng)特權(quán)大多以CREATE、ALTER、DROP、SELECT、INSERT、UPDATE、DELETE等DDL或DML語(yǔ)句字眼開(kāi)頭，代表用戶(hù)能在系統(tǒng)中執(zhí)行操作網(wǎng)絡(luò)連接配置與系統(tǒng)安全概述第19頁(yè)1.系統(tǒng)特權(quán)SYSOPER能執(zhí)行STARTUP，SHUTDOWN，CREATESPFILE，ALTERDATABASEOPEN/MOUNT/BACKUP，ARCHIVELOG和RECOVERY，RESTRICTEDSESSION等系統(tǒng)特權(quán)操作DBA身份用戶(hù)能夠訪(fǎng)問(wèn)DBA_SYS_PRIVS視圖查看授予用戶(hù)系統(tǒng)特權(quán)信息普通用戶(hù)能夠訪(fǎng)問(wèn)用戶(hù)視圖USER_SYS_PRIVS查看自己取得系統(tǒng)特權(quán)例3.1

查看用戶(hù)含有系統(tǒng)特權(quán)。EXA_03_01.SQL

網(wǎng)絡(luò)連接配置與系統(tǒng)安全概述第20頁(yè)2.對(duì)象權(quán)限共有9種對(duì)象權(quán)限插入（INSERT）刪除（DELETE）更新（UPDATE）選擇（SELECT）修改（ALTER）運(yùn)行（EXECUTE）參考引用（REFERENCE）索引（INDEX）讀（READ）/寫(xiě)（WRITE）Oracle提供針對(duì)性對(duì)象存取控制權(quán)限創(chuàng)建對(duì)象用戶(hù)擁有該對(duì)象全部對(duì)象權(quán)限，無(wú)需為對(duì)象擁有者授予對(duì)象權(quán)限網(wǎng)絡(luò)連接配置與系統(tǒng)安全概述第21頁(yè)2.對(duì)象權(quán)限表訪(fǎng)問(wèn)權(quán)限ALTER：修改表定義DELETE：刪除表數(shù)據(jù)INDEX：為表創(chuàng)建索引INSERT：對(duì)表進(jìn)行插入SELECT：查詢(xún)UPDATE：修改數(shù)據(jù)REFERENCE：參考表中數(shù)據(jù)視圖訪(fǎng)問(wèn)權(quán)限SELECT：查詢(xún)視圖數(shù)據(jù)INSERT：經(jīng)過(guò)視圖向基表插入數(shù)據(jù)UPDATE：經(jīng)過(guò)視圖對(duì)基表數(shù)據(jù)進(jìn)行修改DELETE：經(jīng)過(guò)視圖刪除基表數(shù)據(jù)網(wǎng)絡(luò)連接配置與系統(tǒng)安全概述第22頁(yè)2.對(duì)象權(quán)限同義詞訪(fǎng)問(wèn)權(quán)限：同其對(duì)應(yīng)對(duì)象存放過(guò)程/函數(shù)/包/類(lèi)型訪(fǎng)問(wèn)權(quán)限EXECUTE：允許執(zhí)行(或訪(fǎng)問(wèn))序列訪(fǎng)問(wèn)權(quán)限ALTER：修改序列定義SELECT：使用序列序列值目錄訪(fǎng)問(wèn)權(quán)限READ：允許讀取目錄WRITE：允許在目錄中創(chuàng)建文件、寫(xiě)入數(shù)據(jù)網(wǎng)絡(luò)連接配置與系統(tǒng)安全概述第23頁(yè)3.數(shù)據(jù)庫(kù)系統(tǒng)特權(quán)授予與回收WITHADMINOPTION：允許得到權(quán)限用戶(hù)將權(quán)限轉(zhuǎn)授其它用戶(hù)PUBLIC：表示系統(tǒng)中全部用戶(hù)（用于簡(jiǎn)化授權(quán)）授予系統(tǒng)特權(quán)語(yǔ)法以下：GRANT{system_privilege|role}TO{user|role|PUBLIC}[WITHADMINOPTION];對(duì)不一樣職責(zé)用戶(hù)，應(yīng)授予不一樣權(quán)限只有DBA才能夠?qū)⑾到y(tǒng)特權(quán)授予某個(gè)用戶(hù)網(wǎng)絡(luò)連接配置與系統(tǒng)安全概述第24頁(yè)3.數(shù)據(jù)庫(kù)系統(tǒng)特權(quán)授予與回收當(dāng)系統(tǒng)特權(quán)使用WITHADMINOPTION選項(xiàng)傳遞給其它用戶(hù)時(shí)，收回原始用戶(hù)系統(tǒng)特權(quán)將不會(huì)產(chǎn)生級(jí)聯(lián)效應(yīng)（回收傳遞授予用戶(hù)權(quán)限）回收系統(tǒng)特權(quán)語(yǔ)法以下：REVOKE{system_privilege|role}FROM{user|role|PUBLIC};系統(tǒng)特權(quán)應(yīng)逐一用戶(hù)檢驗(yàn)和管理例3.2數(shù)據(jù)庫(kù)系統(tǒng)特權(quán)授予與回收。EXA_03_02.SQL網(wǎng)絡(luò)連接配置與系統(tǒng)安全概述第25頁(yè)4.對(duì)象權(quán)限授予與回收WITHADMINOPTION：允許得到權(quán)限用戶(hù)將權(quán)限轉(zhuǎn)授其它用戶(hù)PUBLIC：表示系統(tǒng)中全部用戶(hù)（用于簡(jiǎn)化授權(quán)）對(duì)象權(quán)限授權(quán)語(yǔ)法以下：GRANT{object_privilege|ALL}[(column_list)]ONschema.objectTO{user|role|PUBLIC}WITHGRANTOPTION;應(yīng)只對(duì)確實(shí)需要該對(duì)象訪(fǎng)問(wèn)權(quán)限用戶(hù)授權(quán)只授予必須權(quán)限，有必要限制ALL使用使用對(duì)象屬主名前綴標(biāo)識(shí)其它用戶(hù)對(duì)象

用戶(hù)名.對(duì)象名網(wǎng)絡(luò)連接配置與系統(tǒng)安全概述第26頁(yè)4.對(duì)象權(quán)限授予與回收CASCADECONSTRAINTS表示級(jí)聯(lián)刪除對(duì)象上存在參考完整性約束當(dāng)對(duì)象權(quán)限使用WITHGRANTOPTION傳遞給其它用戶(hù)時(shí)，收回原始用戶(hù)對(duì)象權(quán)限將會(huì)產(chǎn)生級(jí)聯(lián)效應(yīng)，其它用戶(hù)對(duì)象訪(fǎng)問(wèn)權(quán)限會(huì)被一并收回。數(shù)據(jù)庫(kù)對(duì)象權(quán)限回收語(yǔ)法以下：REVOKE{object_privilege|ALL}ONschema.objectFROM{user|role|PUBLIC}[CASCADECONSTRAINTS];例3.3對(duì)象訪(fǎng)問(wèn)權(quán)限授予與回收。EXA_03_03.SQL網(wǎng)絡(luò)連接配置與系統(tǒng)安全概述第27頁(yè)5.列訪(fǎng)問(wèn)權(quán)限只有INSERT、UPDATE和REFERENCES作為列訪(fǎng)問(wèn)權(quán)限能夠在列級(jí)授予數(shù)據(jù)字典USER_COL_PRIVS_MADE：授予其它用戶(hù)列權(quán)限USER_COL_PRIVS_RECD：取得列權(quán)限例3.4列訪(fǎng)問(wèn)權(quán)限授予與查看。EXA_03_04.SQL網(wǎng)絡(luò)連接配置與系統(tǒng)安全概述第28頁(yè)方案(Schema)是數(shù)據(jù)庫(kù)對(duì)象(如表、視圖、序列等)邏輯組織。3.3用戶(hù)與角色普通情況下，一個(gè)應(yīng)用(如庫(kù)存管理)對(duì)應(yīng)一個(gè)方案。需要為一個(gè)應(yīng)用創(chuàng)建一個(gè)數(shù)據(jù)庫(kù)用戶(hù)，并在該用戶(hù)下創(chuàng)建這個(gè)應(yīng)用各種數(shù)據(jù)庫(kù)對(duì)象角色是一組相關(guān)權(quán)限集合，可簡(jiǎn)化權(quán)限管理網(wǎng)絡(luò)連接配置與系統(tǒng)安全概述第29頁(yè)1.配置身份驗(yàn)證對(duì)于普通用戶(hù)Oracle采取基于數(shù)據(jù)庫(kù)身份驗(yàn)證方法在數(shù)據(jù)字典中記載用戶(hù)名、口令等信息SYS用戶(hù)身份及SYSDBA、SYSOPER系統(tǒng)特權(quán)用戶(hù)權(quán)限很大，可能對(duì)數(shù)據(jù)庫(kù)進(jìn)行破壞性操作有必要針對(duì)以DBA身份連接用戶(hù)設(shè)計(jì)專(zhuān)門(mén)身份驗(yàn)證方法網(wǎng)絡(luò)連接配置與系統(tǒng)安全概述第30頁(yè)1.配置身份驗(yàn)證DBA用戶(hù)身份驗(yàn)證方法使用操作系統(tǒng)集成身份驗(yàn)證經(jīng)過(guò)Oracle口令文件進(jìn)行驗(yàn)證初始化參數(shù)remote_login_passwordfileNONE：忽略口令文件，經(jīng)過(guò)操作系統(tǒng)進(jìn)行身份驗(yàn)證EXCLUSIVE：將使用數(shù)據(jù)庫(kù)口令文件對(duì)每個(gè)含有權(quán)限用戶(hù)進(jìn)行驗(yàn)證SHARED：多個(gè)數(shù)據(jù)庫(kù)將共享SYS和INTERNAL口令文件用戶(hù)默認(rèn)值:NONE網(wǎng)絡(luò)連接配置與系統(tǒng)安全概述第31頁(yè)1.配置身份驗(yàn)證經(jīng)過(guò)操作系統(tǒng)驗(yàn)證DBA用戶(hù)初始化參數(shù)remote_login_passwordfile=NONEORACLE_HOME\NETWORK\ADMIN\sqlnet.oraSQLNET.AUTHENTICATION_SERVICES=(NTS)在Windows中建立ORA_DBA用戶(hù)組將某個(gè)操作系統(tǒng)用戶(hù)加入該組和WindowsAdministrators組以該用戶(hù)登錄操作系統(tǒng)，以SYSDBA身份連接Oracle數(shù)據(jù)庫(kù)時(shí)，不再需要驗(yàn)證SYS用戶(hù)口令網(wǎng)絡(luò)連接配置與系統(tǒng)安全概述第32頁(yè)1.配置身份驗(yàn)證使用Oracle口令文件驗(yàn)證DBA用戶(hù)初始化參數(shù)remote_login_passwordfile=EXCLUSIVE/SHAREDORACLE_HOME\NETWORK\ADMIN\sqlnet.ora

注釋掉SQLNET.AUTHENTICATION_SERVICES=(NTS)用orapwd創(chuàng)建口令文件orapwdfile=filenamepassword=passwordentries=max_users為口令文件增加DBA特權(quán)用戶(hù)GRANT{SYSDBA|SYSOPER}TOuser_name;從口令文件中刪除特權(quán)用戶(hù)REVOKE{SYSDBA|SYSOPER}FROMuser_name;查看口令文件中用戶(hù)SELECT*FROMv_$pwfile_users;網(wǎng)絡(luò)連接配置與系統(tǒng)安全概述第33頁(yè)2.創(chuàng)建與管理用戶(hù)用戶(hù)管理應(yīng)該考慮問(wèn)題身份驗(yàn)證方式默認(rèn)表空間暫時(shí)表空間表空間限額資源與口令限制(概要文件)賬戶(hù)狀態(tài)操作權(quán)限等創(chuàng)建用戶(hù)操作普通由DBA完成用戶(hù)創(chuàng)建完成后不具備任何權(quán)限，也不能連接數(shù)據(jù)庫(kù)，需由DBA為其授予相關(guān)權(quán)限網(wǎng)絡(luò)連接配置與系統(tǒng)安全概述第34頁(yè)2.創(chuàng)建與管理用戶(hù)創(chuàng)建用戶(hù)語(yǔ)法CREATEUSERuser[IDENTIFIED[BYpassword|EXTERNALLY]][DEFAULTTABLESPACEtablespace][TEMPORARYTABLESPACEtablespace][QUOTA{n[K|M]|UNLIMITED}ONTABLESPACE][PASSWORDEXPIRE][ACCOUNT{LOCK|UNLOCK}][PROFILE{profile|DEFAULT}];刪除用戶(hù)語(yǔ)法DROPUSERuser[CASCADE];CASCADE表示級(jí)聯(lián)刪除該用戶(hù)所屬方案對(duì)象網(wǎng)絡(luò)連接配置與系統(tǒng)安全概述第35頁(yè)2.創(chuàng)建與管理用戶(hù)修改用戶(hù)語(yǔ)法ALTERUSERuser[IDENTIFIED[BYpassword|EXTERNALLY]][DEFAULTTABLESPACETABLESPACE][TEMPORARYTABLESPACETABLESPACE][QUOTA{n[K|M]|UNLIMITED}ONTABLESPACE][PASSWORDEXPIRE][ACCOUNT{LOCK|UNLOCK}][PROFILE{profile|DEFAULT}];例3.5用戶(hù)及權(quán)限管理。EXA_03_05.SQL網(wǎng)絡(luò)連接配置與系統(tǒng)安全概述第36頁(yè)3.角色管理角色使用步驟(1)由DBA創(chuàng)建角色(2)為角色授予對(duì)應(yīng)系統(tǒng)特權(quán)和對(duì)象權(quán)限(3)將角色授予相關(guān)數(shù)據(jù)庫(kù)用戶(hù)默認(rèn)表空間可將多個(gè)角色授予同一個(gè)Oracle數(shù)據(jù)庫(kù)用戶(hù)創(chuàng)建角色語(yǔ)法CREATEROLErole[NOTIDENTIFIED|IDENTIFIED[BYPASSWORD|EXTERNALLY]];刪除角色語(yǔ)法DROPROLErole;網(wǎng)絡(luò)連接配置與系統(tǒng)安全概述第37頁(yè)3.角色管理角色應(yīng)被授予需要系統(tǒng)特權(quán)、對(duì)象權(quán)限在創(chuàng)建Oracle數(shù)據(jù)庫(kù)時(shí)，Oracle會(huì)創(chuàng)建預(yù)定義角色并給它們授予相關(guān)系統(tǒng)特權(quán)和對(duì)象權(quán)限例3.6采取角色改進(jìn)學(xué)生試驗(yàn)用戶(hù)權(quán)限管理工作。EXA_03_06.SQL網(wǎng)絡(luò)連接配置與系統(tǒng)安全概述第38頁(yè)對(duì)用戶(hù)資源占用和口令使用進(jìn)行限制有其現(xiàn)實(shí)必要性限制用戶(hù)連接時(shí)間和CPU占用時(shí)間有效預(yù)防口令被破解3.4概要文件(Profile)概要文件是一個(gè)命名資源限制集合，描述怎樣使用系統(tǒng)資源。主要包含兩方面內(nèi)容管理數(shù)據(jù)庫(kù)系統(tǒng)資源管理數(shù)據(jù)庫(kù)口令使用及驗(yàn)證方式系統(tǒng)提供一個(gè)默認(rèn)概要文件(DEFAULT)網(wǎng)絡(luò)連接配置與系統(tǒng)安全概述第39頁(yè)1.創(chuàng)建概要文件創(chuàng)建概要文件語(yǔ)法CREATEPROFILEprofileLIMIT[{SESSIONS_PER_USER|CPU_PER_SESSION|CPU_PER_CALL|CONNECT_TIME|IDLE_TIME|LOGICAL_READS_PER_SESSION|LOGICAL_READS_PER_CALL|COMPOSITE_LIMIT}{n|UNLIMITED|DEFAULT}|PRIVATE_SGA{n{K|M}|UNLIMITED|DEFAULT}|{FAILED_LOGIN_ATTEMPTS|PASSWORD_LOCK_TIME|PASSWORD_GRACE_TIME|PASSWORD_LIFE_TIME|PASSWORD_REUSE_MAX|PASSWORD_REUSE_TIME}{n|UNLIMITED|DEFAULT}|PASSWORD_VERIFY_FUNCTION[function_name|NULL|DEFAULT]];網(wǎng)絡(luò)連接配置與系統(tǒng)安全概述第40頁(yè)刪除概要文件DROPPROFILEprofile;1.創(chuàng)建概要文件例3.7