Аутентификация и управление доступом к БД

Учет имен пользователей. Для обеспечения контроля доступа к работе с базой данных Oracle каждому пользователю назначается имя (username). Создание имени пользователя можно выполнить с помощью команды CREATE USER языка SQL.

Аутентификация пользователей. Суть аутентификации заключается в подтверждении достоверности имени пользователя. В Oracle аутентификация пользователей может выполняется следующими тремя способами:

• по паролю;
• с помощью операционной системы;
• с помощью внешней службы защиты (внешняя аутентификация).

Аутентификация пользователей по паролю выполняется средствами Oracle. При запуске приложения пользователь должен ввести имя и соответствующий этому имени пароль. На основе пароля Oracle определяет подлинность запроса на соединение с помощью информации из учетных сведений пользователя, хранимых в базе данных. Такая аутентификация обычно применяется в клиент-серверных системах при подключении пользователей к серверу баз данных Oracle с помощью клиентских персональных компьютеров.

При использовании аутентификации по паролю целесообразно задавать достаточно сложные пароли и отслеживать периодическое изменение паролей пользователями. Последнее осуществляется системой Oracle на основе учетных сведений пользователей. Каждый пароль имеет заданный период действия, по истечении которого он должен быть изменен. В противном случае выполняется блокирование учетной записи пользователя.

При управлении паролями допускается выполнять контроль уровня сложности пароля. По умолчанию процедура проверки сложности пароля проверяет следующие условия: включает не менее четырех символов; не совпадает с именем пользователя; включает хотя бы один символ, одну цифру и один разделительный знак; не совпадает ни с одним из слов внутреннего списка простых слов.

Аутентификация с помощью операционной системы. Выполняется с помощью операционной системы, управляющей работой компьютера с сервером баз данных. При запуске приложение передает СУБД Oracle учетные сведения пользователей от операционной системы. При этом Oracle проверяет наличие регистрации пользователей в базе данных. Такая аутентификация обычно применяется в случае размещения сервера баз данных на хост-машине и работе пользователей с помощью терминалов, непосредственно соединенных с ней.

Аутентификация с помощью внешней сетевой службы выполняется для подтверждения подлинности глобального имени пользователя (global username). При запуске приложения и выдаче запроса на соединение Oracle проверяет его подлинность с помощью информации о пользователе, предоставляемой внешней службой защиты. В составе СУБД Oracle имеется собственный сервер защиты Oracle Security Server, который можно использовать для управления доступом к базам данных глобальных пользователей. Такой вариант аутентификации используется в сетях с недостаточно высоким уровнем защищенности при необходимости доступа к нескольким базам данных Oracle.

Управление доступом к базам данных в СУБД Oracle может осуществляться путем блокирования (lock) и разблокирования (unlock) учетных сведений пользователей. В случае блокирования учетных сведений пользователь не имеет возможности доступа к базе данных. Для обеспечения возможности доступа пользователя к БД учетные записи нужно разблокировать.

Блокирование учетных сведений пользователей может выполняться в следующих случаях: при временном отсутствии пользователя; при увольнении пользователя и необходимости сохранить применяемые им объекты; при необходимости сохранить сведения, играющие роль схемы для логического хранения объектов приложения базы данных; при истечении срока действия пароля пользователя; при нескольких последовательных попытках неудачного соединения.

Пояснить, каким образом можно выполнить блокирование.