Oracle DBA Forum  

Вернуться   Oracle DBA Forum > Oracle University Official Study Notes (RUS) > База данных Oracle 10g Администрирование > База данных Oracle 10g Администрирование I

Ответ
 
Опции темы Опции просмотра
  #11  
Старый 24.09.2009, 02:19
Marley Marley вне форума
Senior Member
 
Регистрация: 19.09.2009
Сообщений: 7,211
По умолчанию Объектные привилегии



Объектные привилегии

Чтобы предоставить объектные привилегии, щелкните на закладке Object Privileges страницы Edit User, выберите вид объекта и щелкните на кнопке Add.

Выберите объекты, к которым вы хотите дать привилегии доступа. Для этого либо введите имя_пользователя.имя объекта, либо выберите объекты из списка.

Затем выберите необходимые привилегии в окне списка Available Privileges и щелкните на стрелке Move. После того, как будет закончен выбор привилегий, щелкните на кнопке ОК.

Происходит переход обратно на страницу Edit User. Если это необходимо, отметьте поле Grant Option в списке объектных привилегий для того, чтобы разрешить пользователю предоставлять другим пользователям доступ к этому объекту.
__________________
Телеграм чат
Ответить с цитированием
  #12  
Старый 24.09.2009, 02:21
Marley Marley вне форума
Senior Member
 
Регистрация: 19.09.2009
Сообщений: 7,211
По умолчанию Отмена системных привилегий



Отмена системных привилегий

Системные привилегии, которые были предоставлены по команде GRANT, могут быть отобраны по команда REVOKE. Пользователи, получившие системную привилегию с параметром WITH ADMIN OPTION, могут отобрать привилегию у любого другого пользователя базы данных. Тот, кто отбирает привилегию, необязательно должен быть тем, кто эту привилегию первоначально выдал.

Отмена системной привилегии не приводит к каскадным отменам, даже если эта привилегия предоставлялась с помощью параметра WITH ADMIN OPTION.

Следующий сценарий иллюстрирует такую ситуацию.


Сценарий:

1. Администратор базы данных (DBA) предоставляет пользователю Jeff системную привилегию CREATE TABLE с параметром WITH ADMIN OPTION.
2. Пользователь Jeff создает таблицу.
3. Пользователь Jeff предоставляет системную привилегию CREATE TABLE пользователю Emi.
4. Пользователь Emi создает таблицу.
5. Администратор базы данных (DBA) отбирает у пользователя Jeff системную привилегию CREATE TABLE.


Результат:

Таблица пользователя Jeff еще существует, однако этот пользователь больше не может создавать новые таблицы.
У пользователя Emi осталась своя таблица и системная привилегию CREATE TABLE.
__________________
Телеграм чат
Ответить с цитированием
  #13  
Старый 24.09.2009, 02:22
Marley Marley вне форума
Senior Member
 
Регистрация: 19.09.2009
Сообщений: 7,211
По умолчанию Отмена объектных привилегий



Отмена объектных привилегий

Каскадный эффект наблюдается, когда отменяется системная привилегия, от которой зависит операция DML. Например, привилегия SELECT ANY TABLE была предоставлена пользователю, и затем пользователь создал процедуры, которые используют таблицы из других схем. После отмены привилегии все процедуры в схеме пользователя должны быть повторно перекомпилированы перед их использованием.

Если объектные привилегии предоставлялись с параметром WITH GRANT OPTION, то отмена этих привилегий будет каскадной.
Следующий сценарий иллюстрирует такую ситуацию.

Сценарий:

1. Пользователю Jeff объектная привилегия SELECT была предоставлена с параметром WITH GRANT OPTION.
2. Пользователь Jeff предоставил пользователю Emi привилегию SELECT на таблицу EMPLOYEES.
3. Если затем привилегия SELECT отбирается у пользователя Jeff, то эта привилегия также каскадно отбирается у пользователя Emi.
__________________
Телеграм чат
Ответить с цитированием
  #14  
Старый 24.09.2009, 02:23
Marley Marley вне форума
Senior Member
 
Регистрация: 19.09.2009
Сообщений: 7,211
По умолчанию Преимущества ролей



Преимущества ролей


Упрощение сопровождения привилегий

Роли используются для облегчения сопровождения привилегий. Вместо того, чтобы повторно предоставлять один и тот же набор привилегий нескольким пользователям, можно выдать эти привилегии роли, а затем выдать эту роль каждому пользователю.


Динамическое сопровождение привилегий

Если привилегии, связанные с ролью, изменяются, то на всех пользователей, которым предоставлена данная роль, автоматически и немедленно распространяются эти изменения.


Избирательная доступность привилегий

Для временного предоставления или отмены привилегий можно включать или выключать роли. Включение роли также используется для проверки, предоставлена ли пользователю данная роль.
__________________
Телеграм чат
Ответить с цитированием
  #15  
Старый 24.09.2009, 02:24
Marley Marley вне форума
Senior Member
 
Регистрация: 19.09.2009
Сообщений: 7,211
По умолчанию Выделение привилегий ролям, а ролей пользователям



Выделение привилегий ролям, а ролей пользователям

В большинстве систем выделение по отдельности необходимых пользователю привилегий может занять слишком много времени и вызвать с высокой вероятностью появление ошибок. Oracle предоставляет возможность простого и контролируемого сопровождения привилегий с помощью ролей. Роли - это именованные группы связанных привилегий, которые предоставляются пользователям или другим ролям. Они разработаны для облегчения сопровождений привилегий в базе данных и улучшают безопасность.

Характеристики ролей:

Привилегии выдаются и отбираются у ролей с помощью тех же команд, которые используются для выдачи и отмены привилегий пользователю.
Роли подобно системным привилегиям могут быть выданы и отобраны у любого пользователя или другой роли.
Могут состоять как из системных, так и из объектных привилегий.
Могут включаться или выключаться для любого пользователя, которому эта роль предоставлена.
Могут требовать пароль для включения.
Роли никому не принадлежат; не находятся ни в какой схеме.


В примере на слайде роль HR_CLERK содержит объектные привилегии SELECT и UPDATE для доступа и изменения данных в таблице employees. Роль HR_M.GR содержит привилегии DELETE и INSERT, позволяющие удалять и вставлять данные в таблицу employees, а также роль HR_CLERK. Поэтому менеджер, которому выделена роль HR_MGR может выбирать, удалять, вставлять и изменять данные в таблице employees.
__________________
Телеграм чат
Ответить с цитированием
  #16  
Старый 24.09.2009, 02:26
Marley Marley вне форума
Senior Member
 
Регистрация: 19.09.2009
Сообщений: 7,211
По умолчанию Предопределенные роли



Предопределенные роли

Существует несколько ролей, определяемых автоматически в процессе выполнения скрипта создания базы данных Oracle. Роль CONNECT выделяется автоматически любому пользователю, создаваемому с помощью Enterprise Manager. В предыдущих версиях БД (до Oracle Database 10g версии 2) роль CONNECT включала больше привилегий, например, CREATE TABLE и CREATE DATABASE LINK, которые были удалены по соображениям безопасности.


Примечание: следует иметь в виду, что при выделении роли RESOURCE одновременно предоставляется системная привилегия UNLIMITED TABLESPACE.


Роли для поддержки дополнительных функций

Другие роли позволяют выполнять администрирование специальных возможностей, если они установлены. Например, роль XDBADMIN содержит привилегии, необходимые для сопровождения установленной базы данных XML (Extensible Markup Language ). Роль AQ_ADMINISTRATOR_ROLE предоставляет привилегии для администрирования фунциональных возможностей обработки сообщений (advanced queuing). Роль HS_ADMIN_ROLE содержит привилегии для администрирования гетерогенных служб. Не следует вносить изменения в привилегии этих ролей без консультации со службой технической поддержки Oracle, поскольку вы можете непреднамеренно отключить необходимые функциональные возможности.
__________________
Телеграм чат
Ответить с цитированием
  #17  
Старый 24.09.2009, 02:27
Marley Marley вне форума
Senior Member
 
Регистрация: 19.09.2009
Сообщений: 7,211
По умолчанию Создание роли



Создание роли

Роль - это именованная группа связанных привилегий, предоставляемая пользователям или другим ролям. АБД использует роли для сопровождения выделяемых привилегий.
Для создания роли выполните следующие шаги:

1. В Enterprise Manager Database Control выберите Administration > Schema > Users & Privileges > Roles.

2. Щелкните на кнопке Create.
__________________
Телеграм чат
Ответить с цитированием
  #18  
Старый 24.09.2009, 02:28
Marley Marley вне форума
Senior Member
 
Регистрация: 19.09.2009
Сообщений: 7,211
По умолчанию Защита ролей



Защита ролей

Роли обычно включены по умолчанию. Это означает, что, когда роль предоставлена пользователю, он может воспользоваться привилегиями этой роли. Возможно и следующее:

Сделать роль не по умолчанию. При выделении роли пользователю уберите отметку в поле DEFAULT. Теперь пользователь должен явно включить роль перед тем, как станут доступны привилегии роли.
Потребовать дополнительную аутентификацию роли. По умолчанию дополнительная аутентификация отключена (NONE), однако можно сделать так, чтобы перед динамическим включением роли обязательно производилась дополнительная аутентификация.
Создание защищаемой роли приложения (secure application role), безопасное включение которой возможно только в результате успешного выполнения процедуры на PL/SQL. В этой процедуре можно, например, проверить сетевой адрес пользователя, имя программы, выполняемой пользователем, время дня или что-либо другое для обеспечения должной безопасности при выделении группы полномочий.
__________________
Телеграм чат
Ответить с цитированием
  #19  
Старый 24.09.2009, 02:28
Marley Marley вне форума
Senior Member
 
Регистрация: 19.09.2009
Сообщений: 7,211
По умолчанию Предоставление ролей пользователям



Предоставление ролей пользователям

Роль - набор привилегий, который может быть предоставлен пользователям и другим ролям. Роли используются для администрирования привилегий базы данных. Привилегии можно добавить в роль, а затем выделить роль пользователю. После этого пользователь может включить роль и воспользоваться привилегиями, входящими в роль. Роль содержит все привилегии, предоставленные этой роли, а также все привилегии других ролей, входящих в эту роль.

По умолчанию Enterprise Manager автоматически предоставляет новому пользователю роль CONNECT. Это позволяет пользователям подсоединяться к базе данных и после получения других привилегий создавать объекты базы данных в своей схеме. Для того, чтобы выделить роль пользователю, выполните следующие шаги:

1. В Enterprise Manager Database Control выберите Administration > Schema > Users & Privileges > Users.
2. Выберите пользователя, а затем щелкните на кнопке Edit.
3. Щелкните на закладке Roles, а затем на кнопке Edit List.
4. Выберите необходимую роль в списке Available Roles и переместите ее в перечень Selected Roles.
5. После завершения формирования перечня выбранных ролей щелкните на кнопке ОК.
__________________
Телеграм чат
Ответить с цитированием
  #20  
Старый 24.09.2009, 02:31
Marley Marley вне форума
Senior Member
 
Регистрация: 19.09.2009
Сообщений: 7,211
По умолчанию Профили и пользователи



Профили и пользователи

Профили накладывают именованный набор ограничений на использование ресурсов базы данных и экземпляра. Профили также содержат ограничения на пароли пользователей (длина, срок действия пароля и его истечение и т.д.). Каждому пользователю назначается профиль и только один профиль может быть назначен пользователю в текущий момент. Изменения, внесенные в профиль, начинают действовать в будущих сеансах пользователей и не распространяются на их текущие сеансы.

На параметры стандартного профиля DEFAULT можно ссылаться в других профилях. Как видно на слайде, ограничения могут быть указаны либо явно (CPU/Session), либо как unlimited (CPU/Call), либо в виде ссылки на значение в профиле DEFAULT (Connect Time).

Профили не вызывают проверки ресурсных ограничений до тех пор, пока не будет установлено значение TRUE для параметра инициализации RESOURCE_LIMIT. Если значение этого параметра FALSE, ресурсные ограничения игнорируются.
Профили позволяют администратору контролировать следующие системные ресурсы:

CPU. Ограничение на использование ресурсов центрального процессора (CPU) может быть наложено на уровне сеанса или на уровне отдельного вызова. Значение 1 ООО для ограничения CPu/session означает, что, если в любом сеансе, использующем этот профиль, потребляется более 10 секунд процессорного времени (ограничение на время CPU задается в сотых долях секунды), тогда выдается следующее сообщение об ошибке и происходит отсоединение этого сеанса:

ORA-02392: exceeded session limit on CPU usage, you are being logged off
Ограничение на уровне вызова осуществляет подобную проверку для каждой отдельной команды, предотвращая потребление слишком большого времени центрального процессора. Если параметр CPU/Call ограничен и пользователь превысил установленное значение, тогда выполнение команды прерывается и пользователь получает сообщение об ошибке:
ORA-02393: exceeded call limit on CPU usage

Сеть/память: каждый сеанс потребляет ресурсы системной памяти, а также сетевые ресурсы (если пользователь не установил соединение локально с того же компьютера, на котором выполняется сервер БД).

- Connect Time: определяет, сколько минут пользователь может быть соединен с БД перед тем, как будет автоматически отсоединен.

- Idle Time: сколько минут сеанс пользователя может простаивать перед тем, как будет автоматически отсоединен. Время простоя (idle time) подсчитывается только для серверного процесса. Действия, выполняемые приложением, не принимаются во внимание. Ограничение IDLE_TIME не действует на длительно выполняемые запросы и другие операции.

- Concurrent Sessions: сколько одновременных сеансов может быть установлено с использованием одной и той же учетной записи пользователя БД.

- Private SGA: ограничение на размер пространства, потребляемого внутри SGA для сортировки, слияния битовых матриц и т.д. Это ограничение действует только, когда используется разделяемый сервер (разделяемые серверные процессы рассматриваются в уроке "Конфигурирование сетевой среды Oracle").

Дисковый ввод-вывод: задаются ограничения на размер информации, которую пользователь может прочитать в течении всего сеанса либо за один вызов команды. Параметры Reads/Session и Reads/Call определяют ограничения на общее число чтений из оперативной памяти и с диска. Они позволяет исключить появление команд с интенсивным вводом-выводом, которые при этом потребляют память и ограничивают доступ к диску.


Профили также предоставляют сводное ограничение (composite limit). Это - взвешенная сумма параметров профиля: CPU/Session, Reads/Session, Connect Time и Private SGA. Использование сводного ограничения подробно рассматриваются в документе Oracle Database Security Guide.


Для создания профиля выберите Administration > Schema > Users & Privileges > Profiles, а затем щелкните на кнопке Create.


Примечание: Подобные ограничения можно также установить с помощью ресурсного менеджера. Дополнительные сведения о ресурсном менеджере см. в документе Oracle Database Administrator's Guide.
__________________
Телеграм чат
Ответить с цитированием
Ответ
Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 13:58. Часовой пояс GMT +3.


Powered by vBulletin®