Аутентификация

Способы обеспечения безопасности в Oracle

СУБД Oracle предлагает большой выбор возможностей, позволяющих исключить несанкционированный доступ к БД и помогающий защитить данные от просмотра и изменения неавторизованными пользователями. Основными концепциями безопасности Oracle являются аутентификация, профили, привилегии, роли и аудит.

Аутентификацией называется процесс распознавания авторизованных пользователей. По существу, процедура аутентификации позволяет системе убедиться, что пользователь действительно является тем, за кого себя выдает. В основе безопасности Oracle лежит концепция индивидуальной авторизации пользователей.

Системные пользователи. При установке Oracle всегда создаются два пользователя базы данных:

- SYS,

- SYSTEM.

Схема SYS содержит базовые таблицы и представления словаря данных, которые не рекомендуется изменять ни при каких обстоятельствах. Пользователь SYS получает роль DBA. По умолчанию пользователю SYS назначается пароль CHANGE_ON_INSTALL.

Пользователь SYSTEM нужен для создания дополнительных таблиц и представлений, содержащих административную информацию. Этот пользователь также получает роль DBA. По умолчанию ему назначается пароль MANAGER.

Для ограничения доступа к обширным возможностям этих пользователей можно при создании базы данных Oracle командой CREATE DATABASE применять инструкции USER SYS IDENTIFIED BY пароль и USER SYSTEM IDENTIFIED BY пароль.

Первый шаг на пути к аутентификации – это создание пользователей. Новые пользователи создаются командой CREATE USER, а свойства существующих пользователей можно изменять командой ALTER USER.

Синтаксис команды CREATE USER, которая создает пользователя и определяет его основные характеристики:

CREATE USER имя_пользователя

IDENTIFIED {BY пароль | EXTERNALLY | GLOBALLY AS ' внешнее_имя' }

[DEFAULT TABLESPACE имя_табличного_пространства ]

[TEMPORARY TABLESPACE имя_табличного_пространства ]

[QUOTA { целое_число (K | M) | UNLIMITED}ON имя_табличного_пространства ]

[QUOTA {целое_число (K | M) | UNLIMITED} ON имя_табличного_пространства …]

[PROFILE имя_профиля ]

[PASSWORD EXPIRE]

[ACCOUNT LOCK | UNLOCK]

В инструкции используются следующие ключевые слова:

Таблица

Ключевое слово	Назначение
IDENTIFIED BY	Определяет один из трех способов аутентификации пользователя PASSWORD, EXTERNALLY или GLOBALLY AS.
PASSWORD	Пользователь идентифицируется с помощью хранимого локально пароля. Пароль должен состоять из однобайтовых символов, принадлежащих набору символов базы данных
EXTERNALLY	Пользователь идентифицируется внешней службой, в частности, операционной системой. Если пользователь должен получить доступ согласно его учетной записи в операционной системе, его имя должно начинаться значением параметра OS_AUTHENT_PREFIX.
GLOBALLY AS	Пользователь идентифицируется службой каталогов предприятия. Значение внешнее_имя может содержать характерное имя (Distinguished Name), имеющееся в каталоге или пустую строку, означающую, что каталог отобразит пользователя на соответствующую схему базы данных.
DEFAULT TABLESPACE	Указывает табличное пространство, в которое по умолчанию помещаются объекты, создаваемые пользователем. По умолчанию это табличное пространство SYSTEM
TEMPORARY TABLESPACE	Указывает табличное пространство, отведенное для хранения временных сегментов пользователя. По умолчанию это табличное пространство SYSTEM.
QUOTA	Указывает размер области, доступной пользователю в указанном табличном пространстве. Можно указать несколько инструкций QUOTA для нескольких табличных пространств. Допускается указание в килобайтах (K) или в мегабайтах (M). Значение UNLIMITED снимает ограничения по расходованию пространства пользователем.
PROFILE	Указывает профиль, назначенный пользователю.
PASSWORD EXPIRE	Указывает на то, что пользователю или администратору БД необходимо изменить пароль, прежде чем пользователь сможет получить доступ к базе данных.
ACCOUNT LOCK \| UNLOCK	Разрешает и запрещает доступ для данной учетной записи

Синтаксис команды ALTER USER:

ALTER USER имя_пользователя

[IDENTIFIED {BY пароль [REPLACE старый_пароль ]

EXTERNALLY | GLOBALLY AS 'внешнее_имя' }]

[DEFAULT TABLESPACE имя_табличного_пространства ]

[TEMPORARY TABLESPACE имя_табличного_пространства ]

[QUOTA { целое_число (K | M) | UNLIMITED}ON имя_табличного_пространства ]

[QUOTA {целое_число (K | M) | UNLIMITED} ON имя_табличного_пространства …]

[PROFILE имя_профиля ]

[DEFAULT ROLE {[ имя_роли [, имя_роли …] |

ALL {EXCEPT [ имя_роли [, имя_роли …]} | NONE

[PASSWORD EXPIRE]

[ACCOUNT LOCK | UNLOCK]

[ имя_пользователя [, имя_пользователя … инструкция_прокси_сервера ]

Большинство ключевых слов в команде ALTER USER имеют то же значение, что и в команде CREATE USER. Следующие ключевые слова применяются только в команде ALTER USER:

Таблица

Ключевое слово	Назначение
REPLACE старый_пароль	Если включена функция проверки сложности пароля, то при изменении пароля необходимо указать его старое значение.
DEFAULT ROLE	Механизм ролей позволяет управлять группами привилегий для групп пользователей. Можно выдать пользователю несколько ролей, все роли (ALL), все кроме перечисленных (ALL EXEPT) или не выдать ни одной
инструкция_прокси_сервера	Имеет свой синтаксис, разрешает или запрещает соединение через прокси, может относиться к нескольким именам пользователей.

<== предыдущая лекция	\|	следующая лекция ==>
Разрешение и запрещение ролей	\|	Профили

Поделиться с друзьями:

Дата добавления: 2014-01-04; Просмотров: 431; Нарушение авторских прав?; Мы поможем в написании вашей работы!

Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет

studopedia.su - Студопедия (2013 - 2025) год. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав! Последнее добавление

Генерация страницы за: 0.012 сек.