Oracle用户,权限,角色以及登录管理
2016-12-14 10:50
701 查看
1. sys和system用户的区别
system用户只能用normal身份登陆em。除非你对它授予了sysdba的系统权限或者syspoer系统权限。sys用户具有“SYSDBA”或者“SYSOPER”权限,登陆em也只能用这两个身份,不能用normal。--最重要的区别,存储的数据的重要性不同sys所有Oracle的数据字典的基表和视图都存放在sys用户中,这些基表和视图对于oracle的运行是至关重要的,由数据库自己维护,任何用户都不能手动更改。sys用户拥有dba,sysdba,sysoper等角色或权限,是oracle权限最高的用户。system用户用于存放次一级的内部数据,如oracle的一些特性或工具的管理信息。system用户拥有普通dba角色权限。“SYSOPER”权限,即数据库操作员权限,权限包括: 打开数据库服务器 关闭数据库服务器 备份数据库 恢复数据库 日志归档 会话限制“SYSDBA”权限,即数据库管理员权限,权限包括: 打开数据库服务器 关闭数据库服务器 备份数据库 恢复数据库 日志归档 会话限制 管理功能 创建数据库2.normal 、sysdba、 sysoper区别
normal 是普通用户,只有通过被sys授权之后才可以对数据库进行操作sysdba拥有最高的系统权限sysoper主要用来启动、关闭数据库,sysoper 登陆后用户是 publicsysdba登陆后是sys,而且只能是SYS登录sysdba.[html] view plaincopy![](https://oscdn.geek-share.com/Uploads/Images/Content/201611/a7c8e286f463007e2a900848b93dd72c.png)
系统权限 | sysdba | sysoper |
区别 | Startup(启动数据库) | startup |
Shutdown(关闭数据库) | shutdown | |
alter database open/mount/backup | alter database open/mount/backup | |
改变字符集 | none | |
create database(创建数据库) | None不能创建数据库 | |
drop database(删除数据库) | none | |
create spfile | create spfile | |
alter database archivelog(归档日志) | alter database archivelog | |
alter database recover(恢复数据库) | 只能完全恢复,不能执行不完全恢复 | |
拥有restricted session(会话限制)权限 | 拥有restricted session权限 | |
可以让用户作为sys用户连接 | 可以进行一些基本的操作,但不能查看用户数据 | |
登录之后用户是sys | 登录之后用户是public |
![](https://oscdn.geek-share.com/Uploads/Images/Content/201611/a7c8e286f463007e2a900848b93dd72c.png)
3.dba和sysdba的区别
dba、sysdba这两个系统角色有什么区别呢 在说明这一点之前我需要说一下oracle服务的创建过程·创建实例·启动实例·创建数据库(system表空间是必须的)启动过程·实例启动·装载数据库·打开数据库sysdba,是管理oracle实例的,它的存在不依赖于整个数据库完全启动,只要实例启动了,它就已经存在,以sysdba身份登陆,装载数据库、打开数据库只有数据库打开了,或者说整个数据库完全启动后,dba角色才有了存在的基础,dba只是个角色而已.4.在查询用户角色表的时候,没有看到sysdba等角色,为什么?
[html] view plaincopy![](https://oscdn.geek-share.com/Uploads/Images/Content/201611/a7c8e286f463007e2a900848b93dd72c.png)
![](https://oscdn.geek-share.com/Uploads/Images/Content/201611/a7c8e286f463007e2a900848b93dd72c.png)
5.Oracle数据库登录一些命令及解释
1、启动oracle数据库: 从root切换到oracle用户进入:su - oracle进入sqlplus环境,nolog参数表示不登录:sqlplus /nolog以管理员模式登录:sqlplus / as sysdba启动数据库startup;停止数据库shutdown immediate远程连接数据库sqlplus /nologconn sys/sys@ip:1521/orainstance as sysdba也可以直接运行:dbstart#启动数据库的脚本dbshut#停止数据库的脚本2、数据库监听:启动监听服务:lsnrctl start停止监听服务:lsnrctl stop查看监听状态:lsnrctl status3、用户权限管理:注:以下命令都需要DBA权限。创建用户:create user ittbank identified by 123456 ;赋予用户的表空间权限:alter user ittbank default tablespace ittbank;;或者两条命令合并为:create user ittbank identified by 123456 default tablespace ittbank;注:刚刚创建完的新用户是没有任何权限的,甚至连登录数据库的权限都没有。这时使用conn 用户名/密码 会提示没有权限。在新建一个用户之后还要对这个用户进行授权操作。当然是要使用有能力授权的用户,如sys、system。角色是指由系统权限集合。通常给某个用户授予权限时如果没有角色存在的话,那么需要一条一条的操作,角色的存在就是使得授权变得很方便。通常一个角色由多个系统权限组成。常用的角色有三个connect(7种权限)、dba、resource(在任何表空间建表)。授予用户管理权限:grant connect,resource,dba to ittbank ;删除用户drop user“name”cascade;注:cascade参数是级联删除该用户所有对象,经常遇到如用户有对象而未加此参数则用户删不了的问题,所以习惯性的加此参数。“name”的引号有无都是一样的。修改用户密码password ittbank( 在用户已经连接的情况下 )或者alter user ittbank identified by newpassword注意:在给其他用户修改密码时,需要具有DBA的权限或拥有alter user的系统权限。查看当前用户的角色select * from user_role_privs;select * from session_privs;查看当前用户的系统权限和表级权限select * from user_sys_privs;select * from user_tab_privs;查询用户表select name from dba_users;修改用户口令alter user "name" identified by "password";显示当前用户show user;6.ORACLE用户权限管理笔记整理
select username from dba_users; 查询系统所有用户select * from dba_users where username = 'XXXX';查询用户相关信息select * from dba_roles; 查询系统所有角色DBA_ROLE_PRIVS 查询某个用户具有的角色或者某个角色下的有哪些用户select * from dba_role_privs wheregrantee ='SYS';select * fromdba_role_privs where granted_role ='RESOURCE';DBA_SYS_PRIVS 查询某个用户具有的系统权限select grantee,privilege from dba_sys_privs where grantee='XXXX';ROLE_SYS_PRIVS显示授予角色的系统权限select* from role_sys_privs where role = 'RESOURCE';查询RESOURCE角色相关的权限ROLE_TAB_PRIVS显示授予角色的表权限管理用户、角色和权限的DBA视图:DBA_USERS 提供用户的信息DBA_ROLES 显示数据库中所有角色DBA_COL_PRIVS 显示列级对象授权DBA_ROLE_PRIVS 显示用户及其角色DBA_SYS_PRIVS 显示被授予系统权限的用户DBA_TAB_PRIVS 显示用户及他们在表上的权限ROLE_ROLE_PRIVS 显示授予角色的角色ROLE_SYS_PRIVS 显示授予角色的系统权限ROLE_TAB_PRIVS 显示授予角色的表权限SESSION_PRIVS 显示允许用户使用的权限SESSION_ROLES 显示当前允许用户使用的角色select * from session_privs;查询用户本身拥有的权限select * from user_role_privs;查询用户本身拥有的角色select * from dba_sys_privs where grantee='CONNECT'; 查询角色所拥有的权限select * from role_sys_privs where role='CONNECT';查询角色所拥有的权限7.权限讲解
![](https://oscdn.geek-share.com/Uploads/Images/Content/201601/5f60efcaccfa40b26873a6a9cb266119.gif)
![](https://oscdn.geek-share.com/Uploads/Images/Content/201601/5b24fae4cde99750994428c024162093.gif)
8.Oracle 用户管理
一、创建用户的Profile文件SQL> create profile student limit // student为资源文件名 FAILED_LOGIN_ATTEMPTS 3 //指定锁定用户的登录失败次数 PASSWORD_LOCK_TIME 5 //指定用户被锁定天数 PASSWORD_LIFE_TIME 30 //指定口令可用天数 二、创建用户SQL> Create User username Identified by password Default Tablespace tablespace Temporary Tablespace tablespace Profile profile Quota integer/unlimited on tablespace;例:SQL> Create user acc01 identified by acc01 // 如果密码是数字,请用双引号括起来 default tablespace account temporary tablespace temp profile default quota 50m on account;SQL> grant connect, resource to acc01;[*] 查询用户缺省表空间、临时表空间SQL> select username, default_tablespace, temporary_tablespace from dba_users;[*] 查询系统资源文件名:SQL> select * from dba_profiles;资源文件类似表,一旦创建就会保存在数据库中。SQL> select username, profile, default_tablespace, temporary_tablespace from dba_users;SQL> create profile common limit failed_login_attempts 5 idle_time 5; --指定用户资源文件给用户SQL> Alter user acc01 profile common; 三、修改用户:SQL> Alter User 用户名 Identified 口令 Default Tablespace tablespace Temporary Tablespace tablespace Profile profile Quota integer/unlimited on tablespace; 1、修改口令字:SQL>Alter user acc01 identified by "12345";2、修改用户缺省表空间:SQL> Alter user acc01 default tablespace users;3、修改用户临时表空间SQL> Alter user acc01 temporary tablespace temp_data;4、强制用户修改口令字:SQL> Alter user acc01 password expire;5、将用户加锁SQL> Alter user acc01 account lock; // 加锁SQL> Alter user acc01 account unlock; // 解锁 四、删除用户SQL>drop user 用户名; //用户没有建任何实体SQL> drop user 用户名 CASCADE; // 将用户及其所建实体全部删除*1. 当前正连接的用户不得删除。五、监视用户:1、查询用户会话信息:SQL> select username, sid, serial#, machine from v$session;2、删除用户会话信息:SQL> Alter system kill session 'sid, serial#';3、查询用户SQL语句:SQL> select user_name, sql_text from v$open_cursor;1.授权 grant <privilege1,privilege2,....> to <user_name> [with admin|grant option]; 如果需要让user_name同时拥有分配这些权限的权限可以添加:With admin option: 可以分配系统权限。With grant option: 可以分配对象权限。2.授权撤销 revoke <privilege1,privilege2,...> from <user_name>;9.Oracle 角色管理
一、何为角色 角色。角色是一组权限的集合,将角色赋给一个用户,这个用户就拥有了这个角色中的所有权限。二、系统预定义角色 预定义角色是在数据库安装后,系统自动创建的一些常用的角色。下介简单的介绍一下这些预定角色。角色所包含的权限可以用以下语句查询:sql>select * from role_sys_privs where role='角色名';1.CONNECT, RESOURCE, DBA这些预定义角色主要是为了向后兼容。其主要是用于数据库管理。oracle建议用户自己设计数据库管理和安全的权限规划,而不要简单的使用这些预定角色。将来的版本中这些角色可能不会作为预定义角色。2.DELETE_CATALOG_ROLE, EXECUTE_CATALOG_ROLE, SELECT_CATALOG_ROLE这些角色主要用于访问数据字典视图和包。3.EXP_FULL_DATABASE, IMP_FULL_DATABASE这两个角色用于数据导入导出工具的使用。 4.AQ_USER_ROLE, AQ_ADMINISTRATOR_ROLEAQ:Advanced Query。这两个角色用于oracle高级查询功能。5. SNMPAGENT用于oracle enterprise manager和Intelligent Agent6.RECOVERY_CATALOG_OWNER用于创建拥有恢复库的用户。关于恢复库的信息,参考oracle文档《Oracle9i User-Managed Backup and Recovery Guide》 7.HS_ADMIN_ROLEA DBA using Oracle's heterogeneous services feature needs this role to access appropriate tables in the data dictionary. 三、管理角色1.建一个角色sql>create role role1;2.授权给角色sql>grant create any table,create procedure to role1;3.授予角色给用户sql>grant role1 to user1;4.查看角色所包含的权限sql>select * from role_sys_privs;5.创建带有口令以角色(在生效带有口令的角色时必须提供口令)sql>create role role1 identified by password1;6.修改角色:是否需要口令sql>alter role role1 not identified;sql>alter role role1 identified by password1;7.设置当前用户要生效的角色(注:角色的生效是一个什么概念呢?假设用户a有b1,b2,b3三个角色,那么如果b1未生效,则b1所包含的权限对于a来讲是不拥有的,只有角色生效了,角色内的权限才作用于用户,最大可生效角色数由参数MAX_ENABLED_ROLES设定;在用户登录后,oracle将所有直接赋给用户的权限和用户默认角色中的权限赋给用户。)sql>set role role1;//使role1生效sql>set role role,role2;//使role1,role2生效sql>set role role1 identified by password1;//使用带有口令的role1生效sql>set role all;//使用该用户的所有角色生效sql>set role none;//设置所有角色失效sql>set role all except role1;//除role1外的该用户的所有其它角色生效。sql>select * from SESSION_ROLES;//查看当前用户的生效的角色。8.修改指定用户,设置其默认角色sql>alter user user1 default role role1;sql>alter user user1 default role all except role1;详见oracle参考文档9.删除角色sql>drop role role1;角色删除后,原来拥用该角色的用户就不再拥有该角色了,相应的权限也就没有了。说明:1)无法使用WITH GRANT OPTION为角色授予对象权限2)可以使用WITH ADMIN OPTION 为角色授予系统权限,取消时不是级联10.sqlplus / as sysdba方式登录
以sqlplus / as sysdba方式登录时,采用的是操作系统验证的方式,所以用户名/密码输与不输入是一样的?真的是这样的吗?Oracle的用户信息一般来说是保存在数据字典里的,所以常规用户在Oracle数据库没有启动的时候是无法登陆的。但有两类用户例外,这就是具有sysdba或者sysoper权限的用户。Oracle sysdba或者sysoper用户的登陆有两种方式:一是通过OS认证,二是通过密码文件验证。究竟使用哪一种验证方式以及能否成功登陆取决于三个方面的因素:1. sqlnet.ora中SQLNET.AUTHENTICATION_SERVICES的设置2. 参数文件中REMOTE_LOGIN_PASSWORDFILE的设置3. 密码文件 PWD%sid%.oraOracle进行权限验证的大致顺序如下:1. 根据SQLNET.AUTHENTICATION_SERVICES的值决定是进行os验证还是密码文件验证。2. 如果是os验证,根据当前用户的用户组判断是否具有sysdba权限。如果os验证失败,则进行密码文件验证。2. 如果是密码文件验证,REMOTE_LOGIN_PASSWORDFILE的值以及密码文件是否存在决定了验证是否成功。sqlnet.ora windows中sqlnet.ora文件为空时采用Oracle密码文件验证,Linux相反! SQLNET.AUTHENTICATION_SERVICES= (NTS) 基于操作系统验证; SQLNET.AUTHENTICATION_SERVICES= (NONE) 基于Oracle密码文件验证 SQLNET.AUTHENTICATION_SERVICES= (NONE,NTS) 二者并存,注意是半角,否则不识别(windows) 默认情况下Unix/Linux下的sqlnet.ora文件是没有SQLNET.AUTHENTICATION_SERVICES参数的,此时是操作系统验证和Oracle密码验证并存,加上SQLNET.AUTHENTICATION_SERVICES这个参数后,不管SQLNET.AUTHENTICATION_SERVICES设置为NONE还是NTS还是(NONE,NTS),都是基于Oracle密码验证。设定sqlnet.authentication_services:none:作用是不允许通过os系统用户登录数据库,需要提供用户名及密码;all:作用是允许所有的登录方式;nts:作用是windows的本地操作系统用户认证;注:需要说明的是据试验该用户名和密码是指具有sysdba权限的用户;在linux上若用系统用户oracle登录数据库需要设定为all或是注销该字段;注:linux上默认是没有该文件的,可以手动创建,参考$ORACLE_HOME/network/admin/samples/sqlnet.ora内容,并将之设定在$ORACLE_HOME/network/admin/目录下。如果是密码文件验证的话,需要确认密码文件是否存在!即:$ORACLE_HOME/dbs/下有没有orapw$ORACLE_SID的文件密码文件是可以通过参数REMOTE_LOGIN_PASSWORDFILE开启(EXCLUSIVE或者SHARED)或者是禁用(none)的show parameter xxxxxxxxx--查看 alter system set remote_login_passwordfile = none scope=spfile;--修改--查看具有sysdba或者sysoper权限的用户
select *from v$pwfile_users;每次使用grant sysdba/sysoper授予新用户特殊权限或是alter user命令修改拥有sysdba/sysoper权限的用户密码的时候,Oracle都会自动的同步密码文件,这样保证在数据库没有打开的情况拥有特殊权限的用户能正常的登陆数据库以进行管理操作。[html] view plaincopy
![](https://oscdn.geek-share.com/Uploads/Images/Content/201611/a7c8e286f463007e2a900848b93dd72c.png)
11:sqlplus连接时的三种方式
SQLPlus 在连接时通常有三种方式1. sqlplus / as sysdba 操作系统认证,不需要数据库服务器启动listener,也不需要数据库服务器处于可用状态。比如我们想要启动数据库就可以用这种方式进入 sqlplus,然后通过startup命令来启动。2. sqlplus username/password 连接本机数据库,不需要数据库服务器的listener进程,但是由于需要用户名密码的认证,因此需要数据库服务器处于可用状态才行。3. sqlplus usernaem/password@orcl 通过网络连接,这是需要数据库服务器的listener处于监听状态。此时建立一个连接的大致步骤如下 a. 查询sqlnet.ora,看看名称的解析方式,默认是TNSNAME b. 查询tnsnames.ora文件,从里边找orcl的记录,并且找到数据库服务器的主机名或者IP,端口和service_name c. 如果服务器listener进程没有问题的话,建立与listener进程的连接。 d. 根据不同的服务器模式如专用服务器模式或者共享服务器模式,listener采取接下去的动作。默认是专用服务器模式,没有问题的话客户端 就连接上了数据库的server process。 e. 这时连接已经建立,可以操作数据库了。整理自: http://blog.csdn href="http://lib.csdn.net/base/dotnet" target=_blank>.NET/wanghai__/article/details/4791879 http://blog.csdn.net/inthirties/article/details/4159489 http://www.ha97.com/4981.html http://blog.csdn.net/junmail/article/details/4381287 http://slbszq.iteye.com/blog/2003234 http://hi.baidu.com/zyaijava/item/91b17adc58744c8e6dce3fb9 http://gaozhifei.blog.51cto.com/4108324/1144483 http://www.cnblogs.com/sky100/articles/1606164.html http://logicgate.iteye.com/blog/335179系统权限 | sysdba | sysoper |
区别 | Startup(启动数据库) | startup |
Shutdown(关闭数据库) | shutdown | |
alter database open/mount/backup | alter database open/mount/backup | |
改变字符集 | none | |
create database(创建数据库) | None不能创建数据库 | |
drop database(删除数据库) | none | |
create spfile | create spfile | |
alter database archivelog(归档日志) | alter database archivelog | |
alter database recover(恢复数据库) | 只能完全恢复,不能执行不完全恢复 | |
拥有restricted session(会话限制)权限 | 拥有restricted session权限 | |
可以让用户作为sys用户连接 | 可以进行一些基本的操作,但不能查看用户数据 | |
登录之后用户是sys | 登录之后用户是public |
相关文章推荐
- Oracle用户,权限,角色以及登录管理
- Oracle用户,权限,角色以及登录管理 scoot 授权
- Oracle用户,权限,角色以及登录管理【不错小结】
- Oracle用户,权限,角色以及登录管理
- Oracle用户,权限,角色以及登录管理【不错小结】
- Oracle专题2之用户、权限、角色以及表空间的管理
- Oracle中管理用户(创建用户,用户加锁,用户解锁,修改用户密码,授权登录权限,撤销登录权限,授权连接权限,conn命令,创建角色,并为角色赋权限,将角色赋给指定用户)
- oracle的用户创建以及要注意的权限,角色,对象等管理
- Oracle用户、权限、角色管理与登录
- Oracle用户、权限、角色管理 (转)
- Oracle用户角色权限管理
- Oracle用户角色权限管理
- (oracle)ORACLE创建用户、角色及权限管理
- Oracle用户、角色、权限管理
- Oracle用户、权限、角色管理
- Oracle用户、权限、角色管理
- Oracle用户权限,管理与角色
- Oracle用户、权限、角色管理
- Oracle用户、权限、角色管理
- Oracle用户、权限、角色管理