Oracle DBA Forum  

Вернуться   Oracle DBA Forum > Oracle University Official Study Notes (RUS) > База данных Oracle 10g Администрирование > База данных Oracle 10g Администрирование I

Ответ
 
Опции темы Опции просмотра
  #1  
Старый 24.09.2009, 01:35
Marley Marley вне форума
Senior Member
 
Регистрация: 19.09.2009
Сообщений: 7,385
По умолчанию 06 Администрирование параметров безопасности пользователей

__________________
Чат форума (требуется аккаунт на github или twitter)
Ответить с цитированием
  #2  
Старый 24.09.2009, 01:35
Marley Marley вне форума
Senior Member
 
Регистрация: 19.09.2009
Сообщений: 7,385
По умолчанию Рассматриваемые вопросы



Рассматриваемые вопросы

Следующие термины имеют отношение к администрированию пользователей базы данных. Они отражают вопросы, которые будут рассмотрены в этом уроке:


Учетная запись пользователя базы данных (database user account) - средство упорядочения прав владения и доступа к объектам БД.


Пароль (password) - используется при аутентификации пользователей, выполняемой базой данных Oracle.


Привилегия (privilege) - право выполнения команд SQL определенного типа или право доступа к объекту другого пользователя.


Роль (role) - именованная группа связанных привилегий, предоставляемая пользователям или другим ролям.


Профиль (profile) - именованный набор ограничений на использование базы данных и ресурсов экземпляра.


Квота (quota) - ограничение на общее пространство, которое может быть предоставлено в данном табличном пространстве. Это один из способов контроля использования ресурсов пользователями.
__________________
Чат форума (требуется аккаунт на github или twitter)

Последний раз редактировалось Marley; 24.09.2009 в 02:00.
Ответить с цитированием
  #3  
Старый 24.09.2009, 02:02
Marley Marley вне форума
Senior Member
 
Регистрация: 19.09.2009
Сообщений: 7,385
По умолчанию Учетные записи пользователей базы данных



Учетные записи пользователей базы данных

Чтобы получить доступ к базе данных, необходимо указать правильное имя пользователя БД и успешно пройти процедуру аутентификации, как того требует учетная запись этого пользователя. Oracle рекомендует, чтобы каждый пользователь имел свою учетную запись в базе данных. Это лучше всего помогает устранять бреши в безопасности и предоставляет информацию для проведения аудита операций. Однако в редких случаях пользователи могут совместно использовать общую учетную запись в базе данных. При этом операционная система и приложения должны обеспечить соответствующую безопасность базы данных.

Каждая учетная запись пользователя содержит:


Уникальное имя пользователя. Это имя не может содержать более 30 символов, не может содержать специальные символы и должно начинаться с буквы.

Метод аутентификации. Наиболее общий метод аутентификации - это использование пароля. Кроме того, база данных Oracle 10g поддерживает и другие методы аутентификации (биометрический, а также использующие сертификаты и маркеры (token authentication).

Табличное пространство по умолчанию. В нем пользователи создают свои объекты, если в команде не указывается другое табличное пространство. Отметим, что наличие такого табличного пространства не подразумевает, что пользователь имеет привилегию создания объектов в этом табличном пространстве и что у него есть квота использования этого табличного пространства при создании объектов. Обе эти возможности предоставляются отдельно.

Временное табличное пространство. Место для создания пользователями временных объектов, например, промежуточных результатов сортировок и временных таблиц.

Профиль пользователя. Набор ограничений пользователя, накладываемых на пароли и системные ресурсы.

Группа потребителей. Используется ресурсным менеджером.

Статус блокирования. Пользователи получают доступ к базе данных только при условии, что их учетная запись "разблокирована".
__________________
Чат форума (требуется аккаунт на github или twitter)
Ответить с цитированием
  #4  
Старый 24.09.2009, 02:05
Marley Marley вне форума
Senior Member
 
Регистрация: 19.09.2009
Сообщений: 7,385
По умолчанию Предопределенные учетные записи SYS и SYSTEM



Предопределенные учетные записи SYS и SYSTEM

Пользователям SYS и SYSTEM по умолчанию предоставлена роль DBA (роль администратора базы данных).

Кроме того, пользователь SYS имеет все привилегии с атрибутом WITH ADMIN OPTION, а также является владельцем словаря данных. При подсоединении к пользователю SYS необходимо использовать фразу AS SYSDBA. Любой пользователь, которому предоставлена привилегия SYSDBA, может подсоединиться с использованием учетной записи SYS, указав для этого фразу AS SYSDBA. Только "привилегированным" пользователям, обладающим привилегией SYSDBA или SYSOPER, разрешено запускать и останавливать экземпляр базы данных.
По умолчанию пользователю SYSTEM предоставлена роль DBA, но не выделена привилегия SYSDBA.


Подсказка по наилучшему практическому подходу. В соответствие с принципом выделения наименьших привилегий эти пользователи не используются для выполнения рутинных операций. Для пользователей, которым необходимы привилегии АБД, создаются свои отдельные учетные записи и выделяются требуемые привилегии. Например, Джим использует пользователя jim с небольшими привилегиями и "привилегированного" пользователя jim_dba. Такой подход позволяет применить метод наименьших привилегий, устраняет совместное использование учетных записей и дает возможность осуществлять аудит отдельных действий.

SYS и SYSTEM - обязательные пользователи базы данных. Их нельзя удалить.
__________________
Чат форума (требуется аккаунт на github или twitter)
Ответить с цитированием
  #5  
Старый 24.09.2009, 02:07
Marley Marley вне форума
Senior Member
 
Регистрация: 19.09.2009
Сообщений: 7,385
По умолчанию Создание пользователя



Создание пользователя

Oracle Enterprise Manager позволяет сопровождать перечень пользователей, которым разрешен доступ к базе данных. После перехода на страницу Users можно создавать, удалять и изменять установочные параметры пользователя.

Чтобы создать пользователя:

1. В Database Control выберите Administration > Schema > Users & Privileges > Users.
2. Щелкните на кнопке Create.

Введите требуемые данные. Звездочкой помечены обязательные элементы, например, имя пользователя (поле Name).


Дополнительные сведения об аутентификации приводятся на следующих страницах.

Кроме того, позднее в этом уроке будут рассмотрены профили.

Назначайте каждому пользователю табличное пространство по умолчанию и временное табличное пространство. Это позволит контролировать месторасположение создаваемых объектов, когда пользователь не указывает табличное пространство, в котором должен быть создан объект.

Если для создаваемого пользователя не указывается постоянное табличное пространство, тогда используется табличное пространство, определенное в системе по умолчанию. Подобным образом, если не указано временное табличное пространство, пользователю назначается определенное в системе по умолчанию временное табличное пространство.
__________________
Чат форума (требуется аккаунт на github или twitter)
Ответить с цитированием
  #6  
Старый 24.09.2009, 02:09
Marley Marley вне форума
Senior Member
 
Регистрация: 19.09.2009
Сообщений: 7,385
По умолчанию Аутентификация пользователей




Аутентификация пользователей

Аутентификация (authentication) означает проверку идентичности кого-то или чего-то (пользователя, устройства и других объектов), кто хочет использовать данные, ресурсы или приложения. Она производится для установления доверительного отношения (trust relationship) перед дальнейшим взаимодействием. Кроме того, аутентификация предоставляет возможность идентификации, позволяя связывать доступ и действия со определенными личностями (identities). После аутентификации процесс авторизации (authorization) может предоставить или ограничить уровни доступа и действия, разрешенные данному объекту.

При создании пользователя необходимо решить, какой метод аутентификации будет использоваться. Этот метод позднее может быть изменен.

Password (метод аутентификации с использованием пароля)

Этот метод также принято называть аутентификацией, выполняемой базой данных Oracle, в которой каждый пользователь создается вместе с паролем. Этот пароль должен указываться пользователем при попытке установления соединения. Когда администратор назначает пароль, он должен сразу же установить для него истечение срока годности (expire). Это заставит пользователя изменить пароль при первом соединении. Однако при этом необходимо позаботиться о том, чтобы пользователь имел возможность изменить пароль. Некоторые приложения не позволяют это сделать.

Пароль всегда автоматически и прозрачно шифруется при установлении сетевого соединения (в архитектуре клиент/сервер и сервер/сервер). Для шифрования пароля перед передачей его по сети применяется модифицированный алгоритм DES (Data Encryption Standard).

External (метод внешней аутентификации)

Этот метод также принято называть аутентификацией, выполняемой на уровне операционной системы. При использовании этого метода пользователи могут соединяться с Oracle более просто, без указания имени и пароля. База данных полагается на операционную систему или на службу сетевой аутентификации, когда ограничивает доступ к учетным записям пользователей БД. Пароль базы данных не используется при этом виде установления соединения. Этот метод аутентификации может использоваться, если это позволяет сделать операционная система или сетевая служба. Когда такое возможно, установите в параметре инициализации OS_AUTHENT_PREFIX значение префикса, используемого в именах пользователей Oracle. Этот префикс Oracle подставляет к началу наименования учетной записи каждого пользователя операционной системы. По умолчанию значение параметра - OPS$, что обеспечивает совместимость с предыдущими версиями сервера Oracle. Когда пользователь ОС пытается подсоединиться, Oracle соединяет префикс с именем пользователя в ОС, а затем сопоставляет полученную строку с именами пользователей в базе данных.


Например, предположим, что значение параметра следующее:
OS_AUTHENT_PREFIX=OPS$

Когда пользователь операционной системы с именем tsmith подсоединяется к базе данных Oracle и аутентифицируется на уровне ОС, Oracle проверяет, что в базе данных есть соответствующий пользователь OPS$tsmith и, если это так, разрешает соединение пользователя. При всех ссылках на пользователя, аутентифицируемого на уровне операционной системы, необходимо указывать префикс (OPS$tsmith).


Примечание: текстовое значение параметра OS_AUTHENT_PREFIX в некоторых ОС зависит от регистра символов. Дополнительную информацию об этом параметре см. в документации Oracle, относящейся к конкретной ОС.


Global (метод глобальной аутентификации)

Это строгая аутентификация, проводимая с помощью опции Oracle Advanced Security. Глобальная аутентификация позволяет идентифицировать пользователей биометрически, на основе сертификатов х509, маркерных устройств (token devices) и с помощью Oracle Internet Directory. Дополнительная информация об этих усовершенствованных методах аутентификации рассматривается в курсе Oracle Enterprise Identity Management.
__________________
Чат форума (требуется аккаунт на github или twitter)
Ответить с цитированием
  #7  
Старый 24.09.2009, 02:11
Marley Marley вне форума
Senior Member
 
Регистрация: 19.09.2009
Сообщений: 7,385
По умолчанию Аутентификация администраторов



Аутентификация администраторов

Безопасность на уровне операционной системы. В UNIX и Linux администраторы базы данных по умолчанию входят на уровне ОС в группу install. Таким образом им предоставляются привилегии, необходимые для создания и удаления файлов БД.


Администраторы и обеспечение безопасности. Авторизация при подсоединении с привилегией SYSDBA или SYSOPER осуществляется с помощью парольного файла или привилегий и прав доступа на уровне операционной системы. При аутентификации на уровне ОС база данных не проверяет введенное имя пользователя и пароль. Аутентификация на уровне ОС применяется, когда отсутствует парольный файл, когда введенное имя пользователя и пароль не находятся в этом файле, а также когда не предоставляются имя пользователя и пароль.


Когда аутентификация с помощью парольного файла завершается успешно, тогда вход в систему производится на основе имени пользователя Если же успешная аутентификация происходит на основе средств ОС, тогда регистрация соединение вида CONNECT / не соотносится с определенным пользователем.


Примечание. Аутентификация на уровне ОС имеет более высокий приоритет по сравнению с аутентификацией на основе парольного файла. Поэтому, если вы подсоединены в операционной системе как пользователь, входящий в группу OSDBA или OSOPER, тогда установление соединения с привилегией SYSDBA или SYSOPER, осуществляется без учета введенного имени и пароля пользователя.
__________________
Чат форума (требуется аккаунт на github или twitter)
Ответить с цитированием
  #8  
Старый 24.09.2009, 02:12
Marley Marley вне форума
Senior Member
 
Регистрация: 19.09.2009
Сообщений: 7,385
По умолчанию Разблокирование учетной записи пользователя и переустановка пароля



Разблокирование учетной записи пользователя и переустановка пароля

В ходе инсталляции сервера, включающей создание БД, или при отдельном создании базы данных можно разблокировать и перенастроить учетные записи многих пользователей Oracle, используемых для поддержки функциональных возможностей. Если это не было сделано при создании БД, разблокировать пользователя и переустановить пароль можно на странице Users. Выберите для этого нужного пользователя и выполните операцию Unlock User.

Если вы находитесь на странице Edit Users, тогда такие действия производятся следующим образом:

1. Укажите новый пароль в полях Enter Password и Confirm Password.
2. Выберите статус Unlocked.
3. Щелкните на кнопке Apply, чтобы переустановить пароль пользователя и разблокировать его учетную запись.
__________________
Чат форума (требуется аккаунт на github или twitter)
Ответить с цитированием
  #9  
Старый 24.09.2009, 02:13
Marley Marley вне форума
Senior Member
 
Регистрация: 19.09.2009
Сообщений: 7,385
По умолчанию Привилегии



Привилегии

Привилегия - это право на выполнение конкретной команды SQL или право доступа к объектам других пользователей. Oracle предоставляет возможность дифференцированного контроля разрешенных и запрещенных операций пользователя в базе данных. Привилегии делятся на две категории: системные и объектные.


Системные привилегии (system privileges) Каждая системная привилегия, предоставленная пользователю, позволяет ему выполнять в базе данных конкретные операции или классы операций. Например, создание табличных пространств - это системная привилегия. Системные привилегии могут быть предоставлены администратором или кем-то, кому явно предоставлены права по сопровождению привилегий. Имеется более 100 системных привилегий. Многие системные привилегии содержат фразу ANY.


Объектные привилегии (object privileges). Каждая объектная привилегия, выданная пользователю, позволяет ему выполнять конкретные действия над определенным объектом (например, таблицей, представлением, последовательностью, процедурой, функцией или пакетом). Без специального разрешения пользователи имеют доступ только к своим собственным объектам. Объектные привилегии могут быть предоставлены владельцем объекта либо кем-то, кому явно предоставлено право выдавать привилегии на объект.
__________________
Чат форума (требуется аккаунт на github или twitter)
Ответить с цитированием
  #10  
Старый 24.09.2009, 02:14
Marley Marley вне форума
Senior Member
 
Регистрация: 19.09.2009
Сообщений: 7,385
По умолчанию Системные привилегии



Системные привилегии

Чтобы предоставить системные привилегии, щелкните на ссылке Systems Privileges, расположенной на странице Edit User. Выберите необходимые привилегии из списка доступных привилегий и переместите их, щелкнув на стрелке Move, в окно списка Selected System Privileges.

Предоставление привилегии с фразой ANY означает, что действие привилегии не ограничивается схемой пользователя. Например, привилегия CREATE TABLE позволяет пользователю создавать таблицы, но только в своей собственной схеме. Привилегия SELECT ANY TABLE разрешает пользователю делать запросы к таблицам, принадлежащим другим пользователям.

Отметка, сделанная в поле Admin Option, дает право этому пользователю быть администратором привилегии и выдавать ее другим пользователям.
Перед предоставлением системных привилегий тщательно обсудите требования безопасности. Некоторые системные привилегии обычно предоставляются только администраторам. К ним относятся:

RESTRICTED SESSION; эта привилегия разрешает пользователю подсоединяться к базе данных, когда она открыта и находится в режиме ограниченного доступа.

SYSDBA и SYSOPER; эти привилегии разрешают останавливать и запускать экземпляр базы данных, выполнять восстановление, а также решать другие задачи по сопровождению базы данных. Привилегия SYSOPER позволяет выполнять основные операционные задачи, но без возможности просмотра данных пользователей. Эта привилегия содержит следующие системные привилегии:

- STARTUP и SHUTDOWN
- CREATE SPFILE
- ALTER DATABASE OPEN/MOUNT/BACKUP
- ALTER DATABASE ARCHIVELOG
- ALTER DATABASE RECOVER (только полное восстановление; для неполного восстановления, например, UNTIL TIME I CHANGE | CANCEL | CONTROLFILE требуется подсоединение с привилегией SYSDBA)
- RESTRICTED SESSION


Системная привилегия SYSDBA дает право выполнять неполное восстановление и удалять базу данных. Пользователь, использующий системную привилегию SYSDBA при подсоединении, устанавливает соединение как пользователь SYS.

DROP ANY <объект>; такие привилегии разрешают пользователям удалять объекты, находящиеся в схемах, принадлежащих другим пользователям.

CREATE, MANAGE, DROP, ALTER TABLESPACE; эти привилегии позволяют производить действия по администрированию табличных пространств, включая создание, удаление и изменение их атрибутов.

CREATE ANY DIRECTORY; база данных Oracle предоставляет возможность разработчикам вызывать из PL/SQL внешний код (например, программу из библиотеки С). Средством обеспечения безопасности служит объект типа DIRECTORY, представляющий собой виртуальный каталог, с которым должна быть связана директория операционной системы, в которой находится код. Имея привилегию CREATE ANY DIRECTORY, пользователь потенциально может вызвать нарушающий безопасность кодовый объект.

Привилегия CREATE ANY DIRECTORY дает пользователю право создавать объект DIRECTORY (с правами доступа read и write) для любого каталога, к которому может обратиться владелец программного обеспечения Oracle. Это означает, что пользователь может вызвать внешние процедуры из таких директорий. Кроме того, пользователь может попытаться напрямую читать или писать в файл базы данных, например, .в оперативный журнал или файлы аудита. Стратегия безопасности, принятая в организации, должна препятствовать неправильному применению подобных привилегий, которые предоставляют такие мощные возможности.

GRANT ANY OBJECT PRIVILEGE; эта привилегия позволяет пользователю предоставлять разрешения на доступ к объектам, которые ему не принадлежат.

ALTER DATABASE и ALTER SYSTEM; это очень мощные по предоставляемым возможностям привилегии, позволяющие изменять базу данных и экземпляр Oracle, например, переименовывать файл данных и очищать (flush) кэш буферов.
__________________
Чат форума (требуется аккаунт на github или twitter)

Последний раз редактировалось Marley; 24.09.2009 в 02:18.
Ответить с цитированием
Ответ
Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 21:03. Часовой пояс GMT +3.


Powered by vBulletin®