2014-02-02
463
Пользователи и роли.
Соответствие между объектами быза данных и привелегиями.
Объектные привилегии
| Наименовнаие | Назначение |
| ALL | Выдаются все привилегии для данного объекта |
| ALL PRIVILEGES | То же что и ALL |
| ALTER | Позволяет изменить определение |
| DELETE | Позволяет удалить строки |
| EXECUTE | Позволяет выполнить объект, а также осуществлять доступ к его переменным |
| INDEX | Позволяет создавать индекс |
| INSERT | Позволяет добавлять строки |
| REFERENCES | Позволяет создавать ограничение, которое ссылается на таблицу. Эту привилегию нельзя предоставлять роли |
| SELECT | Позволяет осуществлять запрос |
| UPDATE | Позволяет изменять строки |
| Наименование привилегии | Таблицы | Представления | Последова- тельности | Процедуры Функции Пакеты | Моментальные копии |
| ALTER | Х | Х | |||
| DELETE | Х | Х | |||
| EXECUTE | Х | ||||
| INDEX | Х | ||||
| INSERT | Х | Х | |||
| REFERENCES | Х | ||||
| SELECT | Х | Х | Х | Х | |
| UPDATE | Х | Х | Х |
Роль - тип объекта, который используется, для упрощения управления привилегиями системного и объектного уровня. Вместо того, чтобы назначать привилегии непосредственно учетным разделам пользователей, можно назначать привилегии ролям, которые затем назначаются пользователям.
Роли, по существу, - группы привилегий системного и объектного уровня. Они делают управление привилегиями намного проще, так как можно один раз сконфигурировать привилегии для отдельных типов пользователей и затем назначать эти привилегии ролям. Когда пользователь нуждается в какой-то группе привилегий, можно использовать единственную команду назначения роли, чтобы удовлетворить этого пользователя. Без ролей пришлось бы вводить по несколько команд для каждой из требуемых привилегий.
Кроме того, можно создавать различные роли с привилегиями, даже если еще нет учетных разделов пользователей Oracle, которые нуждаются в этих ролях. Можно назначать роль другой роли, формируя их иерархию. Также можно защитить роль паролем, который пользователь должен ввести для активизации роли.
Как уже говорилось, физическая база данных может содержать много учетных разделов пользователей Oracle, которые защищены паролями. Вы должны ввести имя пользователя и пароль независимо от того, какой инструмент вы используете, для получения доступа к базе данных. Роли - это не то же самое, что пользователи Oracle; вы не можете соединяться с базой данных, вводя имя роли и пароль.
Механизм протоколирования Oracle обеспечивает три типа протоколов.
1. Протокол привилегий прослеживает, какие системные привилегии используются.
2. Протокол операторов отслеживает, какие операторы SQL используются для всех объектов.
3. Протокол объектного уровня контролирует доступ к объектам.
Вы можете запустить эти протоколы, чтобы проследить, когда операторы отрабатываются успешно и когда они терпят неудачу. Вы можете использовать протоколирование, чтобы отследить любую попытку вторжения в систему.
Кроме того, можно устанавливать, что записывается в протокол. Может записываться один элемент на операцию независимо от того, сколько попыток выполнить операции было сделано в течение сеанса соединения. Или, альтернативно, записывается один элемент протокола для каждой попытки (успешной или нет) операции в течение сеанса.
Информация протокола хранится в таблице словаря данных, которая содержит протоколируемую операцию, идентификатор пользователя, выполняющего операцию, дату и время операции. Oracle обеспечивает набор представлений словаря данных, чтобы сделать информацию в таблице протокола более читабельной. Вставленные в протокол строки продолжают храниться, даже если пользователь отменяет транзакцию.
Администратор базы данных может периодически очищать или архивировать протокол.
