码迷,mamicode.com
首页 > 数据库 > 详细

Ora_Security -1创建和管理数据库用户

时间:2016-06-18 01:35:16      阅读:252      评论:0      收藏:0      [点我收藏+]

标签:oracle security user

一、用户账户属性

 

1、用户名

(字母、数字 $  _)组成,字符数小于30个。不能为保留字。字母不区分大小写。用户名一经创建,不允许修改。如果必须更改它,必须先删除账户,再创建一个。

注:双引号中指定用户名,不遵循执行规则(长度除外)

SQL>create user  peenboo identified bypassword;

SQL>create user "peenboo#%" identified by pa55w0rd;

 

 

2、默认表空间和配额

2.1 每个用户账户都有默认表空间。用户创建的任何模式对象(如表或视图等)将保存在此表空间中。除非在创建对象的时候指定另一个表空间,否则将被放在默认表空间中。

可以在创建数据库时设置默认表空间,也可以通过以下语法进行更改:

 

ALTERDATABASE DEFAULT TABLESAPCE  tablespacename;

 

注:如何创建数据库时没有指定默认表空间,则将SYSTEM设置为默认表空间。

 

 

2.2 配额(quota)是表空间中为用户的模式对象分配的空间量。

 

SQL>select username,DEFAULT_TABLESPACE,temporary_tablespace from dba_users

           where username=‘PEENBOO‘;

 

SQL>alter user peenboo quota 10m on users;

 

SQL>alter user peenboo quota unlimited  onexample;

 

SQL>select tablespace_name ,bytes, max_bytes from dba_ts_quotas;

 

 

临时表空间(temporary tablespace

 临时表空间的管理完全自动完成。临时表空间中的对象并不归用户真正拥有,而是属于SYS用户,SYS用户拥有所有表空间上的无限配额。

更改用户的临时表空间:

ALTERUSER username temporary tablespace tablespace_name;

 

配置文件

配置文件是管理口令和资源的有效方法,但实际上只适用于每个应用程序都有自己的数据库用户账户的环境。

 

5、账户状态

通过 DBA_USERS ACCOUNT_STATUS可以看到每个用户账户的状态。

OPEN  --打开(可用状态)

LOCKED --锁定DBA故意锁定,任何用户无法连接到该账户)

EXPIRED --过期(表示口令的生命周期已经终结)

EXPIRED&LOCKED--不仅被锁定,而且其口令已经过期

EXPIRED(GRACE) --"正常时间段生效",口令在生命周期结束时并立即过期,可以配置一个正常时间段,此间可以修改口令。

LOCKED(TIMED) --由于登录尝试失败,账户已被锁定

EXPIRED&LOCKED(TIMED) --过期且超时锁定

EXPIRED(GRACE)&LOCKED --正常过期且锁定

EXPIRED(GRACE)&LOCKEDTIMED --正常过期且超时锁定

 

--锁定和解锁的语法如下:

ALTERUSER username ACCOUNT LOCK;

ALTERUSER username ACCOUNT UNLOCK;

 

--强制用户下次尝试登录时更改口令:

ALTERUSER username PASSWORD EXPIRE;

 

 

 

二、身份验证方法

 

1、操作系统和口令文件身份验证

要为账户进行操作系统和口令文件身份验证,必须为用户授权(SYSDBA or SYSOPER)权限:

GRANT  [sysdba | sysoper]  To  username;

 

使用sqlplus进行登录时,语法连接如下:

CONNECT username/password [@db_alias]  AS  [ sysdba | sysoper]

 

注:要确定为谁授予了SYSDBASYSOPER权限,可以通过V$PWFILE_USERS进行查询。

必须对所有用户会话进行身份验证。不存在“匿名登录”的说法。

 

2、口令身份验证

SQL> CONNECT  username/password [@db_alias]

 

无论更改自己还是其他人的口令,语法都为:

ALTER USER usernameIDENTIFIED BY  password;

 

 

3、外部身份验证

在取得AdvancedSecurity 认证,可以使用外部服务Kerberos服务器、RADIUS服务器或Windows环境中的Windows本地省份验证服务。

如果未启用AdvancedSecurity详细,则唯一可以使用的外部身份验证是操作系统身份验证。此项技术使用与操作系统用户账户同样的名称创建ORACLE账户,但前面加上了OS_AUTHENT_PREFIX实例参数指定的字符串。字符串默认为OPS$。也可通过以下方式查询:

SQL>select  value from v$parameter where name = ‘os_authent_prefix‘;

 

 

若在linuxUnix上,更为简单,如用户名为peenboo

SQL>create user ops$peenboo identified by externally;

SQL>grant create session to ops$peenboo;

 

SQL>sqlplus   /

 

 

4、全局身份认证global  authentication

使用LDAP服务器,全局用户(global user)是在LDAP 目录中定义的用户。

有两种全局身份认证技术:

可以在目录,也可以在数据库中定义用户。

只能在目录中定义用户。

 

 

三、创建账户

1   CREATE USER 必须包含两个必需参数:用户名和身份验证方法。

SQL>createuser scott identified by tiger

Default  tablespace user temporary tablespace temp

Quota100m on users, quota unlimited on example

Profiledeveloper_profile

Password  expire

Accountunlock;

 

除了名称以外,可以通过ALTER USER 命令调整账户上的每个属性。

1)修改口令

  SQL> alter user scott identified by lion;

 

 2)修改默认表空间和临时表空间

  SQL> alter user scott default tablespacetbs_peenboo temporary tablespace  pbtemp;

 

 3)修改配额

  SQL> alter user scott quato unlimited ontbs_peenboo, quato 0 on users;

 

 4)修改配置文件

  SQL>alter user scott profile  prod_profile;

 

  5)强制更改口令

  SQL > alter user scoot password expire;

 

   6)锁定用户

  SQL> alter user scott account lock;

 

    7)已经创建用户,需要删除重建

  SQL> drop user scott;

 

    8)用户为非空用户,需要以下命令:

  SQL> drop user scott cascade;

 

 

PUBLIC用户,是一个概念用户,如果要将权限授予每个用户,可将权限授予PUBLIC用户。


本文出自 “奋斗不止” 博客,请务必保留此出处http://peenboo.blog.51cto.com/2865551/1790443

Ora_Security -1创建和管理数据库用户

标签:oracle security user

原文地址:http://peenboo.blog.51cto.com/2865551/1790443

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!