M2 - Bases de dades / Continguts UF3: Privilegis i usuaris

De wikiserver
La revisió el 19:49, 4 feb 2018 per Rsort (Discussió | contribucions) (Asignar cuotas a Usuarios)
Dreceres ràpides: navegació, cerca

Crear Usuaris y assignar privilegis

El següent és un resum d'algunes consideracions al moment de crear un usuari o compte en Oracle, i els privilegis i rols que li podem assignar.

El nom d'usuari no ha de superar 30 caràcters, no ha de tenir caràcters especials i ha d'iniciar amb una lletra.

Un mètode d'autenticació. El mes comú és una clau o password, però Oracle 10g suporta altres mètodes (com biometric, certificat i autenticació per mitjà de token).

Un Tablespace default, el qual és on l'usuari va a poder crear els seus objectes per defecte, no obstant això, això no significa que pugui crear objectes, o que tingui una quota d'espai. Aquests permisos s'assignen de forma separada, excepte si utilitza el privilegi RESOURCE el que assigna una quota unlimited, fins i tot en el Tablespace SYSTEM! No obstant això si això ocorre, un. pot posteriorment moure els objectes creats en el SYSTEM a un altre Tablespace.

Un Tablespace temporal, on l'usuari crea els seus objectes temporals i fa els sort o ordenaments.

Un perfil o profile d'usuari, que són les restriccions que pot tenir el seu compte (opcional).

Per exemple, connectat com l'usuari SYS, vam crear un usuari i la seva clau així:

SQL> CREATE USER ahernandez IDENTIFIED BY ahz DEFAULT TABLESPACE users;

Si no s'indica un Tablespace per defecte, l'usuari pren el que està definit en la BD (generalment el SYSTEM). Per modificar el Tablespace default d'un usuari es fa de la següent manera:

SQL> ALTER USER jperez DEFAULT TABLESPACE datos;

També podem assignar als usuaris un Tablespace temporal on s'emmagatzemen operacions d'ordenament. Aquestes inclouen les clàusules ORDER BY, GROUP BY, SELECT DISTINCT, MERGE JOIN, o CREATE INDEX (també és utilitzat quan es creen Taules temporals).

SQL> CREATE USER jperez IDENTIFIED BY jpz DEFAULT TABLESPACE users TEMPORARY TABLESPACE temp;

Addicionalment, a cada usuari es pot assignar a un profile o perfil, que té dos propòsits principalment:

  • Limita l'ús de recursos, la qual cosa és recomanable, per exemple en ambients de Desenvolupament.
  • Garanteix i reforça regles de Seguretat a nivell de comptes.


Exemples, quan es crea l'usuari o assignar un perfil existent:

SQL> CREATE USER jperez IDENTIFIED BY jpz DEFAULT TABLESPACE users TEMPORARY TABLESPACE temp PROFILE resource_profile;

SQL> ALTER USER jperez PROFILE perfil_desa;

Modificar comptes d'Usuari

Per modificar un usuari creat, per exemple canviar la seva clau, tenim la sintaxis:

SQL> ALTER USER NOMBRE_USUARIO IDENTIFIED BY CLAVE_ACCESO [DEFAULT TABLESPACE ESPACIO_TABLA] [TEMPORARY TABLESPACE ESPACIO_TABLA] [QUOTA {ENTERO {K | M } | UNLIMITED } ON ESPACIO_TABLA [PROFILE PERFIL];

Privilegis de Sistema i d'Objectes

En Oracle existeixen dos tipus de privilegis d'usuari.

  • System. Que permet a l'usuari fer certes tasques sobre la BD, com per exemple crear un Tablespace. Aquests permisos són atorgats per l'administrador o per algú que hagi rebut el permís per administrar aquest tipus de privilegi. Existeixen com 100 tipus diferents de privilegis d'aquest tipus.

En general els permisos de sistema, permeten executar comandos del tipus DDL (Data definition Language), com CREATE, ALTER i DROP o del tipus DML (Data Manipulation Language). Oracle 10g té mes de 170 privilegis de sistema els quals poden ser vists consultant la vista: SYSTEM_PRIVILEGE_MAP

Entre tots els privilegis de sistema que existeixen, hi ha dos que són els importants: SYSDBA i SYSOPER. Aquests són donats a altres usuaris que seran administradors de base de dades.

Per atorgar diversos permisos alhora, es fa de la següent manera:

SQL> GRANT CREATE USER, ALTER USER, DROP USER TO ahernandez;

  • Object. Aquest tipus de permís li permet a l'usuari realitzar certes accions en objectes de la BD, com una Taula, Vista, un Procedure o Funció, etc. Si a un usuari no se li donen aquests permisos només pot accedir als seus propis objectes (vegeu USER_OBJECTS). Aquest tipus de permisos els dóna l'owner o amo de l'objecte, l'administrador o algú que hagi rebut aquest permís explícitament (amb Grant Option).

Per exemple, per atorgar permisos a una taula Vendes per a un usuari particular:

SQL> GRANT SELECT,INSERT,UPDATE, ON analista.venta TO jperez;

Addicionalment, podem restringir els DML a una columna de la taula esmentada. Si quisieramos que aquest usuari pugui donar permisos sobre la taula Factura a altres usuaris, utilitzem la clàusula WITH GRANT OPTION. Exemple:

SQL> GRANT SELECT,INSERT,UPDATE,DELETE ON venta TO mgarcia WITH GRANT OPTION;

Assignar quotes a Usuaris

Per defecte ningun usuari té quota en els Tablespaces i es tenen tres opcions per poder proveir a un usuari d'una quota:

  • Sense limiti, que permet a l'usuari usar tot l'espai disponible d'un Tablespace.
  • Per mitjà d'un valor, que pot ser en kilobytes o megaoctets que l'usuari pot usar. Aquest valor pot ser major o nenor que la grandària del Tablespace assignat a ell.
  • Per mitjà del privilegi UNLIMITED TABLESPACE, es té prioritat sobre qualsevol quota donada en un Tablespace pel que tenen disponibilitat de tot l'espai incloent en SYSTEM i SYSAUX.

No es recomana donar quotes als usuaris en els Tablespaces SYSTEM i SYSAUX, doncs tipicamente només els usuaris SYS i SYSTEM poden crear objectes en aquests. Tampoc donar quotes en els Tablespaces Temporal o del tipus Undo.

Roles

Finalmente los Roles, que son simplemente un conjunto de privilegios que se pueden otorgar a un usuario o a otro Rol. De esa forma se simplifica el trabajo del DBA en esta tarea.

Por default cuando creamos un usuario desde el Enterprise Manager se le asigna el permiso de connect, lo que permite al usuario conectarse a la BD y crear sus propios objetos en su propio esquema. De otra manera, debemos asignarlos en forma manual.

Para crear un Rol y asignarlo a un usuario se hace de la siguiente manera:

SQL> CREATE ROLE appl_dba;

Opcionalmente, se puede asignar una clave al Rol:

SQL> SET ROLE appl_dba IDENTIFIED BY app_pwd;

Para asignar este Rol a un usuario:

SQL> GRANT appl_dba TO jperez;

Otro uso común de los roles es asignarles privilegios a nivel de Objetos, por ejemplo en una Tabla de Facturas en donde sólo queremos que se puedan hacer Querys e Inserts:

SQL> CREATE ROLE consulta;

SQL> GRANT SELECT,INSERT on analista.factura TO consulta;

Y finalmente asignamos ese rol con este “perfil” a distintos usuarios finales:

SQL> GRANT consulta TO ahernandez;

Nota: Existen algunos roles predefinidos, tales como: CONNECT, CREATE SESSION, CREATE TABLE, CREATE VIEW, CREATE SYNONYM, CREATE SEQUENCE, CREATE DATABASE LINK, CREATE CLUSTER, ALTER SESSION, RESOURCE, CREATE PROCEDURE, CREATE SEQUENCE, CREATE TRIGGER, CREATE TYPE, CREATE CLUSTER, CREATE INDEXTYPE, CREATE OPERATOR SCHEDULER, CREATE ANY JOB, CREATE JOB, EXECUTE ANY CLASS, EXECUTE ANY PROGRAM, MANAGE SCHEDULER, etc.

  • DBA: Tiene la mayoría de los privilegios, no es recomendable asignarlo a usuarios que no son administradores.
  • SELECT_CATALOG_ROLE: No tiene privilegios de sistema, pero tiene cerca de 1600 privilegios de objeto.

Para consultar los roles definidos y los privilegios otorgados a través de ellos, utilize las vistas:

SQL> select * from DBA_ROLES; SQL> select * from DBA_ROLE_PRIVS order by GRANTEE;

Obtingut de «http://wikiserver.infomerce.es/index.php?title=M2_-_Bases_de_dades_/_Continguts_UF3:_Privilegis_i_usuaris&oldid=9319»