Bài giảng Hệ quản trị cơ sở dữ liệu Oracle: Chương 5 - Ngô Thùy Linh

QUẢN LÝ NGƯỜI DÙNG

 Giảng viên: Ngô Thùy Linh  https://sites.google.com/site/linhntmisba/

Khoa Hệ thống thông tin quản lý – Học viện Ngân Hàng

Nội dung chính

 Quản lý user • Account • Privilege • Role • Profile • Bảo mật mật khẩu • Hạn mức

5-2

Khoa Hệ thống thông tin quản lý – Học viện Ngân Hàng

Account (tài khoản)

 Mỗi tài khoản có đặc điểm:

> Account Xác thực Privilege Role Profile PW Security Quota

Tên duy nhất

• • Dùng phương thức xác thực nhất định • Có một tablespace mặc định • Có một tablespace tạm • Có danh sách các tài nguyên mà user

được sử dụng • Consumer group • Có trạng thái

5-3

Khoa Hệ thống thông tin quản lý – Học viện Ngân Hàng

Tạo tài khoản

5-4

Khoa Hệ thống thông tin quản lý – Học viện Ngân Hàng

5-5

Khoa Hệ thống thông tin quản lý – Học viện Ngân Hàng

Sửa tài khoản

Select the user, and click Unlock User.

5-6

Khoa Hệ thống thông tin quản lý – Học viện Ngân Hàng

Xác thực user

Account > Xác thực Privilege Role Profile PW Security Quota

• Password • External • Global

5-7

Khoa Hệ thống thông tin quản lý – Học viện Ngân Hàng

Xác thực user (Authenticating Users)

 Password: This is also referred to as authentication by the Oracle database. Create each user with an associated password that must be supplied when the user attempts to establish a connection

 External: This is also referred to as authentication by the operating system. Users can connect to the Oracle database without specifying a username or password

5-8

Khoa Hệ thống thông tin quản lý – Học viện Ngân Hàng

Xác thực user (Authenticating Users)

 Global: Using the Oracle Advanced Security option, global authentication (which is a strong authentication) allows users to be identified through the use of biometrics, x509 certificates, token devices, and Oracle Internet Directory

5-9

Khoa Hệ thống thông tin quản lý – Học viện Ngân Hàng

Privilege (quyền)

Account Xác thực > Privilege Role Profile PW Security Quota

 Có 2 loại quyền:

thao tác đối với cơ sở dữ liệu

• Hệ thống: cho phép người dùng thực hiện một số PRIVILEGE • Đối tượng: cho phép người dùng truy cập và thực là gì? hiện một số thao tác đối với đối tượng trong cơ sở dữ liệu

Sự cho phép thực thi một loại lệnh SQL hoặc cho phép truy cập vào đối tượng HR_DBA của người dùng khác

5-10

Khoa Hệ thống thông tin quản lý – Học viện Ngân Hàng

Tạo session Sửa bảng EMP

Quyền hệ thống

5-11

Khoa Hệ thống thông tin quản lý – Học viện Ngân Hàng

Quyền hệ thống

Loại Quyền Loại Quyền

Database Alter database Table Create table

Alter system Create any table

Audit system Alter any table

Audit any Drop any table

Indexs Create any index Comment any table

Alter any index Select any table

Drop any index Insert any table

Tablespace Create tablespaces Update any table

Alter tablespace Delete any table

Drop tablespace Lock any table

5-12

Khoa Hệ thống thông tin quản lý – Học viện Ngân Hàng

Manage tablespace Flashback any table

Quyền hệ thống

Session

CREATE SESSION

Permits the grantee to connect to the database. This privilege is required for user accounts, but may be undesirable for application owner accounts.

ALTER SESSION Permits the grantee to execute ALTER SESSION

ALTER RESOURCE COST

Permits the grantee to change the way that Oracle calculates resource cost for resource restrictions in a profile

statements.

RESTRICTED SESSION

5-13

Khoa Hệ thống thông tin quản lý – Học viện Ngân Hàng

Permits the grantee to change the way that Oracle calculates resource cost for resource restrictions in a profile

Quyền đối tượng

5-14

Khoa Hệ thống thông tin quản lý – Học viện Ngân Hàng

Quyền đối tượng

 Sử dụng lệnh Grant

 Public: là một user đặc biệt

 With Grant Option: cho phép người được gán quyền có thể gán các quyền đó cho user khác

user

role

5-15

Khoa Hệ thống thông tin quản lý – Học viện Ngân Hàng

public

Quyền đối tượng

Table View

Sequence Function/ Procedure

Select X X X

Insert X X

Update X X

Delete X X

Debug

X

X

X

Alter X X

Index X

Reference X X

5-16

Khoa Hệ thống thông tin quản lý – Học viện Ngân Hàng

Execute X

Gỡ quyền

5-17

Khoa Hệ thống thông tin quản lý – Học viện Ngân Hàng

Cơ chế gỡ quyền

5-18

Khoa Hệ thống thông tin quản lý – Học viện Ngân Hàng

Quyền hệ thống

ROLE

Account Xác thực Privilege > Role Profile PW Security Quota

 Role là một nhóm quyền.  Lợi ích của role:

• Dễ dàng quản lý quyền • Quản lý quyền “động” • Bật/tắt quyền dễ dàng

5-19

Khoa Hệ thống thông tin quản lý – Học viện Ngân Hàng

Privilege, Role và user

Users

Jenny David Rachel

Roles HR_CLERK HR_MGR

Delete employees.

Select employees.

Update employees.

Privileges

5-20

Khoa Hệ thống thông tin quản lý – Học viện Ngân Hàng

Insert employees.

Quản lý role

 Tạo và gán quyền cho role

 Gỡ quyền của role

 Bật/tắt role

 Gán role cho user

 Xóa role

5-21

Khoa Hệ thống thông tin quản lý – Học viện Ngân Hàng

Quản lý role (sử dụng EM)

 Tạo role

5-22

Khoa Hệ thống thông tin quản lý – Học viện Ngân Hàng

Quản lý role (sử dụng EM)…

 Gán role cho user

5-23

Khoa Hệ thống thông tin quản lý – Học viện Ngân Hàng

Account mặc định

 SYS

• Có role DBA • Có toàn quyền • Được phép tắt/bật dịch vụ • Quản lý data dictionary • Quản lý Automatic Workload Repository (AWR)

 SYSTEM

• Có role DBA • Không có toàn quyền như SYS

Trường hợp nào thì dùng account này?

5-24

Khoa Hệ thống thông tin quản lý – Học viện Ngân Hàng

Account mặc định

SYS

The SYS user owns all the internal Oracle tables that constitute the data dictionary. Normally, you should not perform any actions as the SYS user and should ensure that this account is locked down. Also, don’t manually modify the underlying objects owned by the SYS user.

administrative tables and views. This account should also be locked down to prevent unauthorized use of it. The user SYSTEM has access to all objects in the database

SYSTEM SYSTEM is an additional support user that contains additional

DBSNMP DBSNMP is a login used by the Enterprise Manager facility to monitor

and gather performance statistics about the database

SYSMAN SYSMAN is the equivalent of the SYS user for the Enterprise Manager

5-25

Khoa Hệ thống thông tin quản lý – Học viện Ngân Hàng

facility. This Enterprise Manager administrator can create and modify other Enterprise Manager administrator accounts, as well as administer the database instance itself.

Các role mặc định

CONNECT

CREATE SESSION, Enables a user to connect to the database. Grant this role to any user or application that needs database access

RESOURCE

CREATE CLUSTER, CREATE INDEXTYPE, CREATE OPERATOR, CREATE PROCEDURE, CREATE SEQUENCE, CREATE TABLE, CREATE TRIGGER, CREATE TYPE

SCHEDULER_ ADMIN

CREATE ANY JOB, CREATE EXTERNAL JOB, CREATE JOB, EXECUTE ANY CLASS, EXECUTE ANY PROGRAM, MANAGE SCHEDULER

DBA

It grants all system privileges, but does not include the privileges to start up or shut down the database. It is by default granted to user SYSTEM.

5-26

Khoa Hệ thống thông tin quản lý – Học viện Ngân Hàng

Không có quyền hệ thống nhưng có quyền HS_ADMIN_ROLE và hơn 1.700 quyền đối tượng đối tới data dictionary SELECT_ CATALOG_ ROLE

Role mặc định

CONNECT

5-27

Khoa Hệ thống thông tin quản lý – Học viện Ngân Hàng

ALTER SESSION, CREATE CLUSTER, CREATE DATABASE LINK, CREATE SEQUENCE, CREATE SESSION, CREATE SYNONYM, CREATE TABLE, CREATE VIEW

Các role mặc định

 SYSDBA is the highest system privilege (role) in oracle.  SYSOPER system privilege (role) is limited than SYSDBA

SYSDBA SYSOPER

•Perform STARTUP and SHUTDOWN operations • ALTER DATABASE: open, mount, back up, or change character set • CREATE DATABASE • DROP DATABASE • CREATE SPFILE • ALTER DATABASE ARCHIVELOG • ALTER DATABASE RECOVER • Includes the RESTRICTED SESSION privilege • Allows a user to connect as user SYS.

5-28

Khoa Hệ thống thông tin quản lý – Học viện Ngân Hàng

•Perform STARTUP and SHUTDOWN operations • CREATE SPFILE • ALTER DATABASE OPEN/MOUNT/BACKUP • ALTER DATABASE ARCHIVELOG • ALTER DATABASE RECOVER (Complete recovery only. Any form of incomplete recovery, such as UNTIL TIME|CHANGE|CANCEL|CONTROLFI LE requires connecting as SYSDBA.) • Includes the RESTRICTED SESSION privilege • Allows a user to perform basic operational tasks, but without the ability to look at user data.

Profile và user

Account Xác thực Privilege Role > Profile PW Security Quota

 Tại một thời điểm, mỗi user chỉ được gán DUY NHẤT một profile  Profile

• Quản lý tài nguyên được phép dùng của user

• Quản lý trạng thái và ràng buộc về mật khẩu

5-29

Khoa Hệ thống thông tin quản lý – Học viện Ngân Hàng

Bảo mật mật khẩu

Account Xác thực Privilege Role Profile > PW Security Quota

Password complexity verification Password history

User

Setting up profiles

Password aging and expiration Account locking

Chú ý: Không khóa và đặt thời gian hết hiệu lực đối với account SYS, SYSMAN, and DBSNMP.

5-30

Khoa Hệ thống thông tin quản lý – Học viện Ngân Hàng

Tạo mật khẩu cho profile

5-31

Khoa Hệ thống thông tin quản lý – Học viện Ngân Hàng

VERIFY_FUNCTION

 Oracle cung cấp hàm kiểm tra độ tin cậy của mật khẩu – verify_function Tối thiếu 4 kí tự

• • Không trùng với username • Có ít nhất 1 chữ cái, 1 chữ số và 1 kí tự đặc biệt • Khác mật khẩu trước ít nhất 3 kí tự

 Hàm này không có sẵn, muốn sử dụng thì chạy script: /rdbms/admin/utlpwdmg.sql

5-32

Khoa Hệ thống thông tin quản lý – Học viện Ngân Hàng

Thiết lập hạn mức cho user

Account Xác thực Privilege Role Profile PW Security > Quota

 Hạn mức là dung lượng user được phép sử dụng trong 1 tablespace  Có 2 loại hạn mức

• Giá trị xác định (tính bằng MB hoặc

KB)

• Không có hạn mức

5-33

Khoa Hệ thống thông tin quản lý – Học viện Ngân Hàng

5-34

Khoa Hệ thống thông tin quản lý – Học viện Ngân Hàng