СУБД Oracle предлагает большой выбор возможностей, позволяющих исключить несанкционированный доступ к БД и помогающий защитить данные от просмотра и изменения неавторизованными пользователями. Основными концепциями безопасности Oracle являются аутентификация, профили, привилегии, роли и аудит.
Аутентификацией называется процесс распознавания авторизованных пользователей. По существу, процедура аутентификации позволяет системе убедиться, что пользователь действительно является тем, за кого себя выдает. В основе безопасности Oracle лежит концепция индивидуальной авторизации пользователей.
Системные пользователи.При установке Oracle всегда создаются два пользователя базы данных:
- SYS,
- SYSTEM.
Схема SYS содержит базовые таблицы и представления словаря данных, которые не рекомендуется изменять ни при каких обстоятельствах. Пользователь SYS получает роль DBA. По умолчанию пользователю SYS назначается пароль CHANGE_ON_INSTALL.
Пользователь SYSTEM нужен для создания дополнительных таблиц и представлений, содержащих административную информацию. Этот пользователь также получает роль DBA. По умолчанию ему назначается пароль MANAGER.
Для ограничения доступа к обширным возможностям этих пользователей можно при создании базы данных Oracle командой CREATE DATABASE применять инструкции USER SYS IDENTIFIED BY пароль и USER SYSTEM IDENTIFIED BY пароль.
Первый шаг на пути к аутентификации – это создание пользователей. Новые пользователи создаются командой CREATE USER, а свойства существующих пользователей можно изменять командой ALTER USER.
Синтаксис команды CREATE USER, которая создает пользователя и определяет его основные характеристики:
CREATE USER имя_пользователя
IDENTIFIED {BY пароль | EXTERNALLY | GLOBALLY AS 'внешнее_имя'}
[QUOTA {целое_число (K | M) | UNLIMITED}ON имя_табличного_пространства]
[QUOTA {целое_число (K | M) | UNLIMITED} ON имя_табличного_пространства …]
[PROFILE имя_профиля]
[PASSWORD EXPIRE]
[ACCOUNT LOCK | UNLOCK]
В инструкции используются следующие ключевые слова:
Таблица
Ключевое слово
Назначение
IDENTIFIED BY
Определяет один из трех способов аутентификации пользователя PASSWORD, EXTERNALLY или GLOBALLY AS.
PASSWORD
Пользователь идентифицируется с помощью хранимого локально пароля. Пароль должен состоять из однобайтовых символов, принадлежащих набору символов базы данных
EXTERNALLY
Пользователь идентифицируется внешней службой, в частности, операционной системой. Если пользователь должен получить доступ согласно его учетной записи в операционной системе, его имя должно начинаться значением параметра OS_AUTHENT_PREFIX.
GLOBALLY AS
Пользователь идентифицируется службой каталогов предприятия. Значение внешнее_имя может содержать характерное имя (Distinguished Name), имеющееся в каталоге или пустую строку, означающую, что каталог отобразит пользователя на соответствующую схему базы данных.
DEFAULT TABLESPACE
Указывает табличное пространство, в которое по умолчанию помещаются объекты, создаваемые пользователем. По умолчанию это табличное пространство SYSTEM
TEMPORARY TABLESPACE
Указывает табличное пространство, отведенное для хранения временных сегментов пользователя. По умолчанию это табличное пространство SYSTEM.
QUOTA
Указывает размер области, доступной пользователю в указанном табличном пространстве. Можно указать несколько инструкций QUOTA для нескольких табличных пространств. Допускается указание в килобайтах (K) или в мегабайтах (M). Значение UNLIMITED снимает ограничения по расходованию пространства пользователем.
PROFILE
Указывает профиль, назначенный пользователю.
PASSWORD EXPIRE
Указывает на то, что пользователю или администратору БД необходимо изменить пароль, прежде чем пользователь сможет получить доступ к базе данных.
ACCOUNT LOCK | UNLOCK
Разрешает и запрещает доступ для данной учетной записи
Большинство ключевых слов в команде ALTER USER имеют то же значение, что и в команде CREATE USER. Следующие ключевые слова применяются только в команде ALTER USER:
Таблица
Ключевое слово
Назначение
REPLACE старый_пароль
Если включена функция проверки сложности пароля, то при изменении пароля необходимо указать его старое значение.
DEFAULT ROLE
Механизм ролей позволяет управлять группами привилегий для групп пользователей. Можно выдать пользователю несколько ролей, все роли (ALL), все кроме перечисленных (ALL EXEPT) или не выдать ни одной
инструкция_прокси_сервера
Имеет свой синтаксис, разрешает или запрещает соединение через прокси, может относиться к нескольким именам пользователей …
