administrando usuarios de oracle database. z052 08
TRANSCRIPT
Administrando cuentas de Usuario
http://BasesDeDatosUES.blogspot.com
Company Logo
Contents
Ejercicios
Perfiles
Roles
Privilegios
Cuentas de Usuario
Universidad de El Salvador
Cuentas de Usuario
Para establecer una sesion a una instancia, un usuario debe conectarse empleando una cuenta.
En muchas aplicaciones cada usuario es una cuenta individual en la base de datos. En sistemas grandes muchos usuarios pueden conectarse con la misma cuenta y se requiere una mayor auditoria
Universidad de El Salvador
Atributos de una cuenta
Username El nombre de usuario debe ser unico y
complir con estas reglas:• No mas de 30 caracteres de largo• Tener letras, digitos y el carácter $ y/o _• No se puede utilizar palabras reservadas• El nombre es case sensitive pero el gestor
convierte a mayusculas.
Las reglas pueden omitirse (menos la primera) empleando doble comilla.
http://BasesDeDatosUES.blogspot.com
Universidad de El Salvador
Un nombre de usuario NUNCA puede ser cambiado después de su creación, si se necesita cambiar debe ser eliminado y vuelto a crear.
http://BasesDeDatosUES.blogspot.com
Universidad de El Salvador
TableSpace y Cuotas
Todas las cuentas tienen un tablespace, indica donde se almacenan los objetos creados por el usuario.
Una cuota es un espacio que un usuario puede utilizar dentro de un tablespace
http://BasesDeDatosUES.blogspot.com
Universidad de El Salvador
Tablespace TEMP
Objetos permanentes son almacenados en tablespace permanentes.
Una sesion necesita espacio en tablespace temporal para ciertas operaciones.
Los tablespace temporales NO poseen datafiles, solo existen en memoria.
http://BasesDeDatosUES.blogspot.com
Universidad de El Salvador
Status de cuentas
OPEN: cuenta disponible para su uso
LOCKED: cuenta bloqueda por el DBA
EXPIRED: la clave a expirado y se debe resetear para poder iniciar sesion.
EXPIRED & LOCKED
LOCKED (TIMED) la cuenta se bloqueo por intentos fallidos de loggin.
ALTER USER username ACCOUNT LOCK
http://BasesDeDatosUES.blogspot.com
Universidad de El Salvador
Autenticacion de Sistema Operativo
Para ello debemos conectarnos como SYS o SYSOPER
CONNECT / AS SYSDBA
El único usuario con este privilegio es SYS Solo se realiza para tareas de administracion
de la base de datos como ejecutar STARTUP
http://BasesDeDatosUES.blogspot.com
Universidad de El Salvador
Autenticacion con Password
Connect usuario/clave@orcl• La instancia valida al usuario que esta
almacenado en el diccionario de datos.• Usuario SYS no puede conectarse bajo este
formato debe emplear SYSDBA• Nombres de usuario son case sensitive pero se
convierten a mayusculas automaticamente.• En entorno de Red se encriptan los datos
utilizando AES
ALTER USER usuario IDENTIFIED BY clave
http://BasesDeDatosUES.blogspot.com
Company Logo
Otros metodos
External AutenticationOracle delega la autenticacion a un servicio externo: KERBEROS, RADIUS, SISTEMA OPERATIVO
Otros
Global Autentication LDAP es un mecanismo emergente de autenticacion, que puede ser utilizado por Oracle.
Universidad de El Salvador
Creando usuarios
1. Create user scott identified by tiger
2. Default tablespace users temporary tablespace temp
3. Quota 100m on users, quota unlimited on example
4. Password expire
5. Account unlock;
http://BasesDeDatosUES.blogspot.com
Universidad de El Salvador
Modificando la cuenta
Alter user scott identified by lion;
Alter user scott default tablespace hr_data temporary tablespace hr_temp;
alter user scott password expire;
Alter user scott account lock;
Drop user scott cascade;
http://BasesDeDatosUES.blogspot.com
Universidad de El Salvador
Ejercicio 8-1 pagina 294
http://BasesDeDatosUES.blogspot.com
Universidad de El Salvador
Privilegios
Por defecto un usuario no posee ningun privilegio en Oracle, estos deben ser asignados.
Para ello se emplean las instrucciones GRANT y REVOKE.
Usuarios DBA tienen derechos a asignar todos los tipos de privilegios
http://BasesDeDatosUES.blogspot.com
Universidad de El Salvador
Privilegios
Existen 200 privilegios del sistema, veremos los mas importantes
• CREATE SESSION: permite que un usuario pueda conectarse a la base de datos
• ALTER DATABASE: permite ejecutar comandos para modificar la estructura fisica.
• ALTER SYSTEM: permite modificar parametros de la instancia y estructuras de memoria
• CREATE TABLE: permite ejecutar DML y DDL en el esquema del propietario
• CREATE ANY TABLE• SELECT ANY TABLE
http://BasesDeDatosUES.blogspot.com
Universidad de El Salvador
Ejemplo
1. Grant create session, alter session, create table, create view, create synonym, create cluster, create database link, create sequence, create trigger, create type, create procedure, create operator to JuanPerez;
http://BasesDeDatosUES.blogspot.com
Universidad de El Salvador
http://BasesDeDatosUES.blogspot.com
Universidad de El Salvador
Privilegios sobre objetos
Brinda la capacidad de poder hacer SELECT, INSERT, UPDATE, DELETE, ALTER y EXECUTE sobre tablas y objetos PL/Sql
Grant select ON hr.regions to scott;Grant all on hr.regions to scott;
http://BasesDeDatosUES.blogspot.com
Universidad de El Salvador
Ejercicio 8-2 pagina 303
http://BasesDeDatosUES.blogspot.com
Universidad de El Salvador
ROLES
Asignar privilegios es complicado y tedioso porque puede ser necesario digitar cientos de grant.
Un ROL agrupa un gran conjunto de privilegios.
CREATE ROLE NombreRol;
Los grant a un rol normalmente incluyen WITH ADMIN o WITH OPTION
http://BasesDeDatosUES.blogspot.com
Universidad de El Salvador
Se crearan 3 roles con privilegios. Create role hr_junior; Grant create session to hr_junior; Grant select on hr.regions to hr_junior;
Create Role hr_senior; Grant hr_junior to hr_senior with admin
option; Grant insert, update, delete on hr.regions to
hr_senior;
http://BasesDeDatosUES.blogspot.com
Universidad de El Salvador
Roles Pre-Definidos
Connect: por compatibilidad ahora equivale al privilegio CREATE SESSION
Resource: por compatibilidad DBA SCHEDULER_ADMIN: privilegios para
manejar trabajos planificados.
http://BasesDeDatosUES.blogspot.com
Universidad de El Salvador
Ejercicio 8-3 pagina 309
http://BasesDeDatosUES.blogspot.com
Universidad de El Salvador
Profile
Para obligar una politica de password y para restringir los recursos a una sesion.
La politica de password siempre esta activa, la limitacion a recursos a una sesion debe indicarse en el parametro RESOURCE_LIMIT
http://BasesDeDatosUES.blogspot.com
Universidad de El Salvador
Administracion de Passwordhttp://BasesDeDatosUES.blogspot.com
Universidad de El Salvador
Limitar Recursos
Alter system set resource_limit=true;
http://BasesDeDatosUES.blogspot.com
Universidad de El Salvador
Ver la configuracion del profile
Para ver los profiles asignados a los usuarios: Select username, profile from dba_users;
Select * from dba_profiles where profile=‘DEFAULT’;
http://BasesDeDatosUES.blogspot.com
Universidad de El Salvador
Creando un nuevo profile
Create profile dba_profile limit sessions_per_user unlimited password_life_time 7 password_grace_time 1;
Alter user sys profile dba_profile; Alter user system profile dba_profile; Alter user Juancito profile dba_profile;
http://BasesDeDatosUES.blogspot.com
Universidad de El Salvador
Ejercicio 8-4 pagina 294
http://BasesDeDatosUES.blogspot.com