2014-02-09
1322
Пользователи - администраторы
Учетная запись DBA
Для выполнения этих задач DBA должен иметь специальные привилегии. Эти привилегии позволяют выполнять те команды, которые недоступны обычным пользователям Oracle. При инсталляции СУБД Oracle автоматически создаются несколько учетных записей с этими привилегиями. Вот они:
INTERNAL - существует в основном для обратной совместимости с предыдущими версиями Oracle, но, тем не менее, может быть использован для некоторых задач. Например, для запуска и выключения экземпляра. Учетная запись INTERNAL выглядит как SYS в списке активных сессий. Есть еще одна особенность - эта учетная запись доступна всегда. Даже если не создана база данных и не запущен ни один экземпляр.
SYS - эта учетная запись автоматически создается каждый раз при создании новой базы данных. Используется в основном для администрирования словаря данных. Этой учетной записи предоставлены роли (права) DBA, CONNECT и RESOURCE.
SYSTEM - также создается автоматически при создании базы данных. В основном предназначен для создания таблиц и представлений, нужных для функционирования СУРБД. Эта учетная запись имеет роль DBA.
|
|
|
Желательно создать индивидуальные пользовательские учетные записи и предоставить роль DBA тем пользователям, которые должны управлять СУРБД Oracle. В этом случае меньше пользователей пользуются одной и той же учетной записью. Кроме того, если работает служба аудита, то можно будет узнать, кто произвел те или иные системные изменения.
Следует избегать пользоваться административными учетными записями, которые даны по умолчанию. Если DBA авторизовались с соответствующими правами, они могут выполнять все свои задачи и даже управлять своей собственной учетной записью. Это позволит определить, кто из DBA произвел системные изменения, а также тех, кто активен в настоящий момент.
Существует несколько ролей, которые можно присвоить администраторам БД. Роль - это набор привилегий, которые ей присвоены. Каждая роль может быть присвоена пользователю, в результате пользователю даются все привилегии, необходимые для выполнения определенной задачи. Разберем роли и привилегии Oracle DBA.
DBA - состоит из большинства других ролей и привилегий Oracle. Фактически не существует задачи, которую не смог бы выполнить пользователь с ролью DBA. Эта роль должна присваиваться только доверенным пользователям, которые являются администраторами системы.
OSOPER - это одна из двух специальных ролей уровня операционной системы. Они должны назначаться тем учетным записям, которые нуждаются в аутентификации операционной системы. Необходимость в аутентификации уровня операционной системы диктуется тем, что аутентификация уровня Oracle может быть произведена только при открытой базе данных. Если БД выключена, то Oracle не может проверять права пользователей.
|
|
|
Роль OSOPER (OS Operation Person) дает пользователям возможность выполнять следующие команды:
- STARTUP and SHUTDOWN (запуск и выключение);
- ALTER DATABASE MOUNT (эту и другие рассмотрим позже);
- ALTER DATABASE OPEN;
- ALTER DATABASE BACKUP;
- ALTER DATABASE RECOVER;
- ALTER DATABASE ARCHIVE LO.
После запуска БД другие пользователи могут аутентифицироваться через систему безопасности Oracle. Все эти операции нуждаются в специальном методе аутентификации, поскольку БД не доступна.
OSDBA - включает все права роли OSOPER, плюс некоторые дополнительные. Это возможность выполнения команды CREATE DATABASE, а также все системные привилегии с опцией ADMIN OPTION. ADMIN OPTION позволяет назначать эти права другим ролям или пользователям.
