8.1  用户管理

每个用户有一系列的属性，包括以下几个方面：

A. 唯一的用户名，必须字母开头，最多30字节，不能有特殊字符。
B. 认证： 通常使用密码认证
C. 默认表空间： 用户创建后，如果在用户下创建了对象，那么生成与用户同名的schema,
即schema与用户名的区别在于是否存在用户对象。10g之前，如果没有指定default tbs,
那么system会被作为默认表空间；10g或之后，在建库的时候就可以指定一个数据库级的
默认表空间，这样定义用户没有指定默认表空间的话，默认就使用这个数据库级的TBS.
可以通过下面的语句查询：
select * from database_properties ;
或者 select name,value$ from props$ where name like 'DEFAULT%'
D. 默认临时表空间： Oracle9i之前，如果没有指定，会使用system作为临时表空间，9i开始，
可以为数据库指定默认临时表空间，定义用户时没有指定的话，使用数据库默认的临时表空间。
E. profile(配置文件)，用于控制用户密码策略以及资源使用。
F. 用户组
G. 锁定状态： 可以将用户锁定和解锁 。

 

数据库创建后，会预先建立两个非常重要的用户：sys及system, sys是超级用户，权限太大，
所以登陆的时候需要加入as sysdba 增强安全性，因为以as sysdba登陆后，登陆的时间信息
会记录在审计文件中。system仅仅时候数据库管理员，没有sys那么大权限。

通常我们不使用sys及system等用户登入数据库进行管理，而是创建一个用户，赋予该用户DBA
角色权限，用该用户来进行日常管理工作。

8.1.1  创建和删除用户

CREATE USER sidney
    IDENTIFIED BY out_standing1
    DEFAULT TABLESPACE example
    QUOTA 10M ON example
    TEMPORARY TABLESPACE temp
    QUOTA 5M ON system
    PROFILE app_user
    PASSWORD EXPIRE;

认证方式： 密码认证，外部认证，全局认证

外部认证 -
密码认证大家都熟悉，这里介绍一下外部认证。使用外部认证需要使用参数os_authent_prefix，
如果操作系统存在一个用户susan,  而数据库中存在一个用户ops$susan, 则只要以susan用户登
陆OS, 当登陆数据库时，可以不用提供用户密码，即可以以ops$susan登陆到数据库。若此参数为
空，那么只要数据库中存在与操作系统同名的用户，该用户就可以通过外部认证登陆数据库，因
为不完全，oracle不建议采用该认证方式。 

SQL> show parameter os_authent_prefix

NAME                                 TYPE        VALUE
------------------------------------ ----------- ------------------------------
os_authent_prefix                    string      ops$

全局认证 -  需要采用oracle的高级安全设置.

 

-------------- 

创建用户语法：
  CREATE USER username
            IDENTIFIED {BY password|EXTERNALLY}
           [DEFAULT TABLESPACE tablespace_name]
           [TEMPORARY TABLESPACE tablespace_name]
           [QUOTA [n [K|M]] ON tablespace_name]
           [PASSWORD EXPIRE]
           [ACCOUNT LOCK|UNLOCK]
           [PROFILE filename];

参数：

IDENTIFIED BY password:
     用来指定用户的确认方式为数据库确认，password是为该用户指定的密码

IDENTIFIED   EXTERNALLY:
     指定确认方式为操作系统确认，并且生成一个用操作系统确认的用户

DEFAULT TABLESPACE:
     用户默认的表空间，用于在该用户模式下创建的对象(如表、索引、簇、视图等)没有指
定表空间时数据库默认的存储表空间

TEMPORARY TABLESPACE:
        临时表空间，用于存储排序等事务处理时的存储空间用户暂存段表空间

QUOTA [n [K|M]] [UNLIMITD] ON tsname:
        指定表空间的限制配额，就是限制允许用户使用的表空间的数量(大小)，UNLIMITD
表示无大小限制

PASSWORD EXPIRE:
     表明用户第一次登录时要修改密码

ACCOUNT LOCK|UNLOCK:
         锁定用户,lock为锁定，unlock为未锁定或解锁，默认为不锁定(unlocked)

PROFILE filename:
         用户的配置文件，用于限制用户对系统资源的使用，如果没有指定，则系统使用默
认的用户配置文件

 

举例：

1. 创建一个数据库验证的用户：

  CREATE USER testUser
      IDENTIFIED BY test
      DEFAULT TABLESPACE basedata
      TEMPORARY TABLESPACE TEMP
      QUOTA UNLIMITED ON USERS
      PASSWORD EXPIRE
      ACCOUNT UNLOCK
      PROFILE DEFAULT;
2. 授予用户连接权限 (用户只有拥有CREATE SESSION 权限才可能与数据库建立连接)
     GRANT CREATE SESSION TO testUser;
3. 修改用户信息：
     ALTER USER testUser IDENTIFIED BY temp;     -- 修改密码
     ALTER USER testUser ACCOUNT LOCK;       -- 锁定用户
4. 删除用户：
     DROP USER testUser CASCADE;    -- 级联删除，即将此用户拥有的全部对象一起删除
5. 查询用户信息：
     SELECT * FROM ALL_USERS;
     SELECT username, password, account_status FROM DBA_USERS;
 

 

 

8.1.1.2  sysdba的认证方式

对于sys用户来说，oracle提供了比较特殊的认证方式。 对于sys的认证就是oracle是否允许
我们以sysdba的权限登陆到数据库进行管理工作，因为数据库内建用户都放在数据字典中，数
据库没有开启之前无法访问数据字典，普通用户无法通过数据库验证身份，sys如果也放在数据
字典，同样无法登陆数据库，数据库启动都无法实现。

所以Oracle对sys用户认证提供两种方式： 操作系统认证和密码文件认证

A. 操作系统认证 -

数据库用户A同时也是服务器数据库管理员组的成员(unix上是dba组，windows是ora_dba组),表示
A已经具有操作系统权限，不再需要提供sys的密码了，而是直接以sysdba权限登陆。比如：
SQL> connect  /   as sysdba 

设置操作系统认证： sqlnet.ora

sqlnet.authentication_services=(NTS)
如果是NTS, 表示要进行操作系统验证，如果没有sqlnet.ora文件，或该文件没有记录该条目，也
表示进行操作系统认证。否则，如果记录为NONE,

sqlnet.authentication_services=(NONE)
如果是NONE, 表示不进行操作系统认证，即便是dba组成员登陆OS, 如果想以sys的身份登入还是
需要输入密码，这个密码在密码文件中。

B. 密码文件认证 -

对于unix/linux而言，密码文件存放在$ORACLE_HOME/dbs目录下，对于windows而言，%ORACLE_HOME%\
database下，unix下密码文件格式为orapw.ora，如果环境变量中ORACLE_SID为大写，比如TEST,
那么密码文件中的部分也要大写，小写也一样要匹配，否则登入会报错。windows下面文件格式为
PWD.ora, SID部分也要遵循大小写规则。

 

创建密码文件 -
linux/unix下面(在dbs目录下)：
$orapwd file=orapwora10g.ora password=oracle entries=5 

window下面(在database目录下)：
$orapwd file=PWDora10g.ora password=oracle entries=5 

其中entries表示同时有几个用户拥有sysdba的权限，同时他们的密码都放在密码文件中。
建立密码文件后，必须重新启动数据库才能使它生效。

 

参数remote_login_passwordfile -
该参数用来控制能否使用密码文件验证，参数有三个值：
A. None, 远程用户无法通过网络方式以sysdba的权限登陆到数据库。
B. Exclusive, 默认值，表示该密码文件只能被一个实例使用，可以向密码文件添加新的用户，若
密码丢失，用户同样无法通过密码认证的方式登陆到数据库。
C. Shared,  该密码文件可以被多个实例共享(用于RAC), 但是密码文件只能存放sys及system用户
的密码，不能添加其他用户。

 

8.1.1.3  删除用户

SQL> drop user susan ; 如果有其他session以该身份登入，删除用户会失败，需要中断以该用户
登入实行的session , 然后等待PMON回收资源(查询v$session), 最后删除用户。

如果用户下面有对象存在，也会报错，需要加入cascade ;
SQL> drop user susan cascade ;  删除该用户及其下面的对象全部删除。

 

 

8.1.2   Profile与用户管理

可以使用Profile对用户所能使用的资源进行管理，profile存放在数据字典中，默认就有一个名为
default的profile . 可以通过dba_profiles 显示或者通过工具比如toad查看。

CREATE PROFILE DEFAULT LIMIT
  SESSIONS_PER_USER UNLIMITED
  CPU_PER_SESSION UNLIMITED
  CPU_PER_CALL UNLIMITED
  CONNECT_TIME UNLIMITED
  IDLE_TIME UNLIMITED
  LOGICAL_READS_PER_SESSION UNLIMITED
  LOGICAL_READS_PER_CALL UNLIMITED
  COMPOSITE_LIMIT UNLIMITED
  PRIVATE_SGA UNLIMITED
  FAILED_LOGIN_ATTEMPTS 10  
  PASSWORD_LIFE_TIME UNLIMITED
  PASSWORD_REUSE_TIME UNLIMITED
  PASSWORD_REUSE_MAX UNLIMITED
  PASSWORD_LOCK_TIME UNLIMITED
  PASSWORD_GRACE_TIME UNLIMITED
  PASSWORD_VERIFY_FUNCTION NULL;

从字段RESOURCE_TYPE中可以看出，profile管理的资源包括两类： password和kernel .

密码管理：
A.  FAILED_LOGIN_ATTEMPTS  10 , 连续登陆10次不成功锁定账号
B.  PASSWORD_LIFE_TIME UNLIMITED , 密码在多少天后失效，失效后必须修改密码
C.  PASSWORD_REUSE_TIME UNLIMITED, 指定的天数内，设置的密码不能重复
D.  PASSWORD_REUSE_MAX UNLIMITED,  指定的密码修改次数之内，密码不能重复
E.  PASSWORD_LOCK_TIME UNLIMITED,  一旦登陆次数超过指定的值，则锁定账号多少天
F.  PASSWORD_GRACE_TIME UNLIMITED,  密码失效缓冲期，期间可以登陆，但是每次都提示更改密码，
                                    指定的天数内还不更改密码，超过天数后账号被锁定。
G.  PASSWORD_VERIFY_FUNCTION NULL,  指定函数控制密码复杂度，函数样例在utlpwdmg.sql脚本中。

内部资源管理：
A. SESSIONS_PER_USER , 同一个用户最多能产生多少session
B. CPU_PER_SESSION , 每个session一次最多能持续占用CPU多长时间，百分之一秒为单位。
C. CPU_PER_CALL,  一次调用最多能持续占用cpu多长时间，比如执行SQL时，会有解析调用，执行调用等。
D. LOGICAL_READS_PER_SESSION, 每个session能够进行的逻辑读的最大个数
E. LOGICAL_READS_PER_CALL, 一次调用能够进行的逻辑读的最大个数
F. IDLE_TIME,  session持续idle时间超过该参数指定的时间，则中断该session的连接。idel指
session既没有消耗CPU, 也没有等待I/O.
G. CONNECT_TIME, 持续connect时间超过该参数指定的时间，则中断该session的连接。
H. PRIVATE_SGA,  每个session 能够使用的pga的最大尺寸。
I. COMPOSITE_LIMIT,  该参数是基于以上的参数的权重而进行的控制。

在删除profile时，如果被删除的profile已经分配给用户了，那么该profile不能被删除，可以添加
cascade, 表示删除profile, 并将名为default的默认pfofile应用到那些受影响的用户上。
SQL> drop profile my_profile cascade ;

 

 

8.2  权限管理

系统权限和物件权限

1. 系统权限 - 是指用户能够做什么事情的权限，比如创建表等，10g中有100多个系统权限，其中很多
含有any的字样，比如 create table权限表示可以在自己的schema中建表，相应的，create any table
表示可以在其他schema中建表，所有系统权限存放在system_privilege_map的数据字典表中。

对于管理而言，有一些常用的系统权限：

A. sysdba, sysoper , 最重要也是最大的权限，能在库中做任何事情。
B. restricted session , 以restricted模式开启，通常在进行维护性工作时，不希望其他用户登入，
会采用这种方式。 默认只有sys具有该权限。
C. create 或 create any 开头的权限
D. drop 或 drop any 权限
E. create session , 用户要登陆数据库，至少要有该权限。

权限赋予 -
SQL> grant create session, create table to susan ; 
加入admin option 表示该用户也可以把以该admin option方式获得的权限赋给其他用户。
SQL> grant create session, create table to susan with admin option ;

SQL> connect susan/passwd
SQL> grant create session  to susan2 ;

权限回收 - 
SQL> revoke create session, create table from susan ; 
权限从susan回收后，不影响已经分配给susan2的权限。

 

空间配额quota -

SQL> alter user susan quota 100M on base_data ;
可以查询dba_ts_quotas 查看；