環境:Oracle 11g
一.權限的傳遞
1.如果傳遞的是對象權限,就在後面加入with grant option;
eg:system用戶有張temp的表,只想usertest用戶擁有查詢的權限,則:
grant select on temp to usertest with grant option;
2.如果傳遞的是系統權限,則加入with admin option;
eg:system用戶將connect角色傳遞給usertest用戶:
grant connect to usertest with admin option;
二.Profile使用詳解
1.目的:
Oracle數據庫系統中的Profile可以用來對用戶所能使用的數據庫資源進行限制,使用create Profile命令創建一個Profile,用它來實現對數據庫資源的限制使用。如果將Profile分配給用戶,則該用戶所能使用的數據庫資源都在該Profile的限制之內。
2.條件:
必須擁有dba的權限才能配置Profile文件。
3.語法:
CREATE PROFILE profile
LIMIT { resource_parameters
| password_parameters
}
[ resource_parameters
| password_parameters
]... ;
<resource_parameters>
{ { SESSIONS_PER_USER
| CPU_PER_SESSION
| CPU_PER_CALL
| CONNECT_TIME
| IDLE_TIME
| LOGICAL_READS_PER_SESSION
| LOGICAL_READS_PER_CALL
| COMPOSITE_LIMIT
}
{ integer | UNLIMITED | DEFAULT }
| PRIVATE_SGA
{ integer [ K | M ] | UNLIMITED | DEFAULT }
}
4.語法解釋:
Resource_parameter部分
Session_per_user:指定限制用戶的並發會話的數目。
Cpu_per_session:指定會話的CPU時間限制,單位為百分之一秒。
Cpu_per_call:指定一次調用(解析、執行和提取)的CPU時間限制,單位為百分之一秒。
Connect_time:指定會話的總的連接時間,以分鐘為單位。
Idle_time:指定會話允許連續不活動的總的時間,以分鐘為單位,超過該時間,會話將斷開。但是長時間運行查詢和其他操作的不受此限制。
Logical_reads_per_session:指定一個會話允許讀的數據塊的數目,包括從內存和磁盤讀的所有數據塊。
Logical_read_per_call:指定一次執行SQL(解析、執行和提取)調用所允許讀的數據塊的最大數目。
Private_sga:指定一個會話可以在共享池(SGA)中所允許分配的最大空間,以字節為單位。(該限制只在使用共享服務器結構時才有效,會話在SGA中的私有空間包括私有的SQL和PL/SQL,但不包括共享的SQL和PL/SQL)。
Composite_limit:指定一個會話的總的資源消耗,以service
units單位表示。Oracle數據庫以有利的方式計算
cpu_per_session,connect_time,logical_reads_per_session和private-sga總的
service units
Password_parameter部分:
Failed_login_attempts:指定在帳戶被鎖定之前所允許嘗試登陸的的最大次數。
Password_life_time:指定同一密碼所允許使用的天數。如果同時指定了password_grace_time參數,如果在grace
period內沒有改變密碼,則密碼會失效,連接數據庫被拒絕。如果沒有設置password_grace_time參數,默認值unlimited將引
發一個數據庫警告,但是允許用戶繼續連接。
Password_reuse_time和password_reuse_max:這兩個參數必須互相關聯設置,password_reuse_time
指定了密碼不能重用前的天數,而password_reuse_max則指定了當前密碼被重用之前密碼改變的次數。兩個參數都必須被設置為整數。
1>.如果為這兩個參數指定了整數,則用戶不能重用密碼直到密碼被改變了password_reuse_max指定的次數以後在password_reuse_time指定的時間內。
如:password_reuse_time=30,password_reuse_max=10,用戶可以在30天以後重用該密碼,要求密碼必須被改變超過10次。
2>.如果指定了其中的一個為整數,而另一個為unlimited,則用戶永遠不能重用一個密碼。
3>.如果指定了其中的一個為default,Oracle數據庫使用定義在profile中的默認值,默認情況下,所有的參數在profile中都被設置為unlimited,如果沒有改變profile默認值,數據庫對該值總是默認為unlimited。
4>.如果兩個參數都設置為unlimited,則數據庫忽略他們。
Password_lock_time:指定登陸嘗試失敗次數到達後帳戶的縮定時間,以天為單位。
Password_grace_time:指定寬限天數,數據庫發出警告到登陸失效前的天數。如果數據庫密碼在這中間沒有被修改,則過期會失效。
Password_verify_function:該字段允許將復雜的PL/SQL密碼驗證腳本做為參數傳遞到create
profile語句。Oracle數據庫提供了一個默認的腳本,但是自己可以創建自己的驗證規則或使用第三方軟件驗證。
對Function名稱,指定的是密碼驗證規則的名稱,指定為Null則意味著不使用密碼驗證功能。如果為密碼參數指定表達式,則該表達式可以是任意格
式,除了數據庫標量子查詢。
5.實例:
實例1>限制usertest用戶嘗試輸入密碼的次數為3次,3次輸入錯誤,則鎖定賬號3天:
賬戶的解鎖,使用如下語句:
SQL>alter user usertest(your_user_name) account unlock;
實例2>強制用戶定期修改密碼。讓usertest用戶每隔10天修改登陸密碼,寬限期為2天:
實例3>希望用戶在修改密碼的時候不能使用上一次使用過的密碼:
使用口令歷史,這樣Oracle數據庫就會將口令修改的信息存放到數據字典中,這樣當用戶修改密碼時,就會對新舊密碼進行匹配,發現一致時,提醒用戶重新輸入密碼
6.刪除Profile配置
drop profile your_profile_name [cascade];