转:Oracle 角色、配置文件

--================================

--Oracle 角色、配置文件

--================================

 

一、角色

    1.角色

           权限的集合,可以分配给一个用户或其他角色,但角色不能授予自己,也不能循环授予

       角色的优点

           可以先创建角色,向该角色赋予一系列权限,然后再将该角色授予多个用户或角色

           增加或删除角色中的某一权限,被授予该角色的所有用户或角色自动地获得新增权限或删除旧的权限

           可以为角色设置密码

          

    2.创建修改角色

       CREATE ROLE role_name

       [NOT IDENTIFIED(默认) | IDENTIFIED BY password | EXTERNALLY |GLOBALLY];

 

       注:同一个数据库中角色名称必须唯一,且不能使用已存在的用户名称

           不支持with grant option 为角色授予对象权限

           支持with admin option 为角色授予系统权限或另一个角色

           使用Enterprise Manager创建某个用户时,该用户被自动授予了CONNECT角色,

           即同时具有了该角色的所有权限

          

       IDENTIFIED BY EXTERNALLY

           意味着了启用一个角色,用户必须是某个操作系统组的一个成员,该操作系统组的名称应当与角色相对应。

           当希望通过操作系统对角色进行身份认证,则需要设置OS_ROLE参数为TRUE

           且当设定了使用IDENTIFIED BY EXTERNALLY身份验证,必须在数据库驻留的服务器上按以下格式创建组

              ora_<SID>_<ROLE>[_[d][a]]

           d:指示<ROLE>部分指定的角色为用于用户的默认角色

           a:指示可以使用with admin option为用户授予<ROLE>部分所指定的角色      

      

       关于外部身份验证,请参考:Oracle 密码文件

      

       常用的角色

          

           角色                               被授予的权限

           DBA                                 几乎所有系统权限

           SELECT_CATALOG_ROLE                 数据字典上的对象权限,未被授予任何系统权限

           EXECUTE_CATALOG_ROLE                数据字典上的程序包、过程、函数的对象权限

           DELETE_CATALOG_ROLE                 DELETE ON SYS.AUD$

                                          DELETE ON SYS.FGA_LOG$

           EXP_FULL_DATABASE                从数据库中导出数据时查询任何表或序列、执行任何过程或类型以及修改

                                          数据字典对象的权限

           IMP_FULL_DATABASE               执行导入时,在数据库内除了sys模式之外的任何模式中创建对象的权限   

           CONNECT                             ALTER SESSION

                                          CREATE CLUSTER

                                          CREATE DATABASE LINK

                                          CREATE SEQUENCE

                                           CREATE SESSION

                                          CREATE SYNONYM

                                          CREATE TABLE

                                          CREATE VIEW

           RESOURCE                            CREATE CLUSTER

                                          CREATE INDEXTYPE

                                          CREATE OPERATOR

                                          CREATE PROCEDURE

                                          CREATE SEQUENCE

                                          CREATE TABLE

                                          CREATE TRIGGER

                                          CREATE TYPE

                                          UNLIMITED TABLESPACE (when granted)

           AQ_ADMINISTRATOR_ROLE               Advanced Queuing 对象上的对象权限

                                          CREATE EVALUATION CONTEXT

                                          CREATE RULE

                                          CREATE RULE SET

                                          DEQUEUE ANY QUEUE

                                          ENQUEUE ANY QUEUE

                                          MANAGE ANY QUEUE

           AQ_USER_ROLE                        EXECUTE ON SYS.DBMS_AQ

                                          EXECUTE ON SYS.DBMS_AQIN

                                          EXECUTE ON SYS.DBMS_AQJMS_INTERNAL

                                          EXECUTE ON SYS.DBMS_TRANSFORM

           SCHEDULER_ADMIN                     CREATE ANY JOB

                                          CREATE JOB

                                          EXECUTE ANY CLASS

                                          EXECUTE ANY PROGRAM

                                          MANAGE SCHEDULE

                                          (使用WITH ADMIN OPTION授予上述所有权限)

           PUBLIC                      不具有特殊的权限,不过为public角色授予权限时,所有用户都会继承该权限

          

           --创建不要口令的角色clerk

              SQL> CREATE ROLE clerk;

 

           --创建要口令的角色sales

              SQL> CREATE ROLE sales IDENTIFIED BY money;

 

           --创建一个需要使用外部标识(如操作系统)的角色manager

              SQL> CREATE ROLE manager IDENTIFIED EXTERNALLY;

 

           --创建后查看角色:

 

              SQL> SELECT role,password_required FROM dba_roles;

 

              ROLE                           PASSWORD

              ------------------------------ --------

              CLERK                          NO

              SALES                          YES

              MANAGER                        EXTERNAL

 

       角色修改:

           ALTER ROLE rolename

           [NOT IDENTIFIED | IDENTIFIED

           BY password | EXTERNALLY | GLOBALLY];

      

           一个角色在创建后可以修改,但只能修改它的验证方法。

      

           但只有角色是使用带有with ADMIN option 选项的GRANT 语句授予的或者具

           有ALTER ANY ROLE 系统权限的用户时,才可以修改这个角色

 

           --将角色clerk 的验证方法改为使用外部(如操作系统)标识

              SQL> ALTER ROLE clerk IDENTIFIED EXTERNALLY;

 

           --将角色sales 的验证方法改为不使用任何标识方法

              SQL> ALTER ROLE sales NOT IDENTIFIED;

 

           --将角色manager 的验证方法改为使用口令标识,口令为vampire

              SQL> ALTER ROLE manager IDENTIFIED BY vampires;

 

           --再查询后即可看到变化

              SELECT role,password_required FROM dba_roles

 

    3.为角色授予和取消权限

       a.角色授权 

           为角色授予系统权限语法

              GRANT system_priv [, system_priv, ...]

              TO role | PUBLIC [, role | PUBLIC, ...]

              [WITH ADMIN OPTION];

          

           为角色授予对象权限语法

              GRANT ALL [PRIVILEGES] | object_priv [(column, column, ...)]

              [, object_priv [(column, column, ...(] , ...]

              ON [schema_name.]object_name

              TO role | PUBLIC [, role | PUBLIC, ...];

          

           --为角色赋予权限(GRANT):

              SQL> show user;

              USER is "SYSTEM"

              SQL> CREATE ROLE manager;

 

              Role created.

             

              --赋予系统权限

              SQL> GRANT CREATE TABLE,CREATE VIEW,CREATE SESSION TO manager WITH ADMIN OPTION;

 

              Grant succeeded.

             

              --赋予对象权限

              SQL> GRANT SELECT ,INSERT ,UPDATE ON scott.emp TO manager;

 

              Grant succeeded.

 

           --查看角色的系统权限(role_sys_privs)

              SQL> SELECT * FROM role_sys_privs WHERE role = 'MANAGER';

             

              ROLE                           PRIVILEGE            ADM

              ------------------------------ -------------------- ---

              MANAGER                        CREATE SESSION       YES

              MANAGER                        CREATE TABLE         YES

              MANAGER                        CREATE VIEW          YES

          

           --查看角色的对象权限(role_tab_privs)

              SQL> SELECT * FROM role_tab_privs WHERE role = 'MANAGER';

 

              ROLE                      OWNER                TABLE_NAME           COLUMN_NAME PRIVILEGE            GRA

              ------------------------- -------------------- -------------------- ----------- -------------------- ---

              MANAGER                   SCOTT                EMP                              UPDATE               NO

              MANAGER                   SCOTT                EMP                              INSERT               NO

              MANAGER                   SCOTT                EMP

 

       b.取消角色所拥有的权限

           取消角色拥有的系统权限语法

              REVOKE system_priv | role_name [, system_priv | role_name, ...]

              FROM role | PUBLIC [,role | PUBLIC, ...];

             

           取消角色用户的对象权限语法

              REVOKE ALL [PRIVILEGES] | object_priv [, object_priv, ...]

              ON [schema_name.]object_name

              FROM role | PUBLIC [,role | PUBLIC, ...]

              [CASCADE CONSTRAINTS]

          

           --取消角色的系统权限

              SQL> REVOKE CREATE VIEW FROM manager;

 

              Revoked succeeded.  

          

           --取消角色的对象权限

              SQL> REVOKE INSERT ,UPDATE ON scott.emp FROM manager;

 

              Revoked succeeded.  

          

           --查看被取消权限后所剩余的权限的集合

              SQL> SELECT role,'System_privs' owner,privilege

                2  FROM role_sys_privs

                3  WHERE role = 'MANAGER'

                4  UNION                

                5  SELECT role,owner,privilege

                6  FROM role_tab_privs

                7  WHERE role = 'MANAGER';

 

              ROLE                           OWNER                PRIVILEGE

              ------------------------------ -------------------- --------------------

              MANAGER                        SCOTT                SELECT

              MANAGER                        System_privs         CREATE SESSION

              MANAGER                        System_privs         CREATE TABLE

          

     4.角色赋予与角色取消

     

       a.将角色赋予用户(grant):

           语法:

              GRANT role_name [, role_name, ...]

              TO user_name | role | PUBLIC [, user_name | role | PUBLIC, ...]

              [WITH ADMIN OPTION];

          

           --将角色赋予robinson且使用了WITH ADMIN OPTION

              SQL> GRANT manager TO robinson WITH ADMIN OPTION;

 

              Grant succeeded.

           --robinson有权将角色授予john,如下

              SQL> CONN robinson/lion;

              Connected.

              SQL> GRANT manager TO john;

 

              Grant succeeded.

 

           --查看角色授予了哪些用户(dba_role_privs)

              SQL> SELECT * FROM dba_role_privs WHERE granted_role = 'MANAGER';

 

              GRANTEE              GRANTED_ROLE                   ADM DEF

              -------------------- ------------------------------ --- ---

              SYSTEM               MANAGER                        YES YES

              JOHN                 MANAGER                        NO  YES

              ROBINSON             MANAGER                        YES YES

             

           --查看用户拥有哪些角色

              SQL> CONN scott/tiger;

              Connected.

              SQL> SELECT * FROM user_role_privs;

 

              USERNAME                       GRANTED_ROLE                   ADM DEF OS_

              ------------------------------ ------------------------------ --- --- ---

              SCOTT                          CONNECT                        NO  YES NO

              SCOTT                          RESOURCE                       NO  YES NO

      

           --查看用户拥有哪些角色(使用session_roles)

              SQL> SELECT * FROM session_roles;

 

              ROLE

              ------------------------------

              CONNECT

              RESOURCE

             

       b.取消用户拥有的角色

           语法:

              REVOKE role_name [, role_name, ...]

              FROM user_name | role | PUBLIC [, user_name | role | PUBLIC, ...];

          

           --取消用户角色

              SQL> REVOKE resource FROM scott;

 

              Revoke succeeded.

          

           --查看resource 角色已被取消

              SQL> CONN scott/tiger;        

              Connected.

              SQL> SELECT * FROM user_role_privs;

 

              USERNAME                       GRANTED_ROLE                   ADM DEF OS_

              ------------------------------ ------------------------------ --- --- ---

              SCOTT                          CONNECT                        NO  YES NO

          

           --对于使用WITH ADMIN OPTION参数,收回robinson角色,并不影响john的级联角色,如下:

              SQL> select * from dba_role_privs where grantee='JOHN';

 

              GRANTEE              GRANTED_ROLE                   ADM DEF

              -------------------- ------------------------------ --- ---

              JOHN                 MANAGER                        NO  YES

 

              SQL> revoke manager from robinson;

 

              Revoke succeeded.

 

              SQL> select * from dba_role_privs where grantee='JOHN';

 

              GRANTEE              GRANTED_ROLE                   ADM DEF

              -------------------- ------------------------------ --- ---

              JOHN                 MANAGER                        NO  YES

 

              SQL> select * from dba_role_privs where grantee='ROBINSON';

 

              no rows selected

             

    5.设置默认角色

       可以将多个角色授予一个用户。默认角色是这些角色的一个子集,默认角色在用户登录系统时

       自动激活(开启)。在默认情况下,所有赋予用户的角色在用户登录时不需要口令就被激活。

       可以使用ALTER USER语句来限制用户有的默认角色。

 

       语法:

           ALTER USER username DEFAULT ROLE

           role [, role, ...] | ALL [EXCEPT role [, role, ...]] | NONE;

          

       ALTER USER语句中的DEFAULT ROLE子句只适用于那些使用GRANT语句直接授予用户的角色。

       DEFAULT ROLE子句在下列情况下是不能使用的:

           通过其它角色授予的角色

           没有直接授予该用户的角色

           通过外部服务(如操作系统)管理的角色

 

       --创建用户martin并授予resource,connect角色

           SQL> CREATE USER martin IDENTIFIED BY abc;

 

           User created.

 

           SQL> GRANT RESOURCE,CONNECT TO martin;

 

           Grant succeeded.

 

           SQL> CONN martin/abc;

           Connected.

           SQL> CONN system/redhat

           Connected.

          

       --设置缺省的角色为NONE后,无法登陆

           SQL> ALTER USER martin DEFAULT ROLE NONE;

 

           User altered.

 

           SQL> CONN martin/abc;

           ERROR:

           ORA-01045: user MARTIN lacks CREATE SESSION privilege; logon denied

 

 

           Warning: You are no longer connected to ORACLE.

           SQL> CONN system/redhat;

           Connected.

          

       --重置角色后可以正常登陆

           SQL> ALTER USER martin DEFAULT ROLE ALL;

 

           User altered.

 

           SQL> CONN martin/abc;

           Connected.

      

       --默认角色为除resource之外的所有角色

           SQL> ALTER USER martin DEFAULT ROLE ALL EXCEPT RESOURCE;

 

           User altered.

 

 

    6.激活和禁止角色(SET ROLE)

       语法:

           SET ROLE ALL [EXCEPT role_name [,role_name]] | NONE |

           role_name [IDENTIFIED BY password] [, role_name [IDENTIFIED BY password, ...];

      

       SQL> CONN robinson/lion

       Connected.

      

       --查看用户拥有的所有角色

           SQL> SELECT * FROM user_role_privs;

 

           USERNAME                       GRANTED_ROLE                   ADM DEF OS_

           ------------------------------ ------------------------------ --- --- ---

           ROBINSON                       MANAGER                        NO  YES NO

           ROBINSON                       RESOURCE                       NO  YES NO

 

       --查看用户拥有的所有权限

           SQL> SELECT * FROM session_privs;

 

           PRIVILEGE

           ----------------------------------------

           CREATE SESSION

           CREATE TABLE

           CREATE CLUSTER

           CREATE SEQUENCE

           CREATE PROCEDURE

           CREATE TRIGGER

           CREATE TYPE

           CREATE OPERATOR

           CREATE INDEXTYPE

 

           9 rows selected.

      

       --禁用所有的角色后,用户的权限无显示记录

           SQL> SET ROLE NONE;

 

           Role set.

 

           SQL> SELECT * FROM session_privs;

 

           no rows selected

 

      

       --用户重新启用所有角色

           SQL> SET ROLE ALL  

 

           Role set.

      

       --启用一个manager角色

           SQL> SET ROLE manager;

 

           Role set.

 

           SQL> SELECT * FROM session_roles;

 

           ROLE

           ------------------------------

           MANAGER

 

       在这里不象一般的ALTER 命令,没有用到ENABLE 和DISABLE 之类的选项。

 

    7.角色删除:

           DROP ROLE role_name

 

       --角色的删除需要适当的权限,如下提示没有权限删除角色     

           SQL> SHOW USER;

           USER is "ROBINSON"

           SQL> DROP ROLE manager;

           DROP ROLE manager

           *

           ERROR at line 1:

           ORA-01031: insufficient privileges

 

       --使用system帐户删除角色

           SQL> CONN system/redhat;

           Connected.

           SQL> DROP ROLE manager;

      

       --帐户robisnon唯一的角色被删除后,再次使用该帐户登陆已提示没有权限

       --即角色的删除,原来所关联的用户会自动分离该角色及所有相关权限

           SQL> CONN robinson/lion;

           ERROR:

           ORA-01045: user ROBINSON lacks CREATE SESSION privilege; logon denied

 

 

           Warning: You are no longer connected to ORACLE.

           Role dropped.

      

       关于connect和resource预定义角色:

 

           connect, resoure 是role,包含很多的权限的

           其中resource具有创建表,索引,视图和其他的Oracle对象的能力,

           同时默认带有unlimited tablespace权限

 

           一般将connect授予所有的普通用户

           connect和resource授予开发人员

 

           oracle声称connect和resource角色是为了与它早期的版兼容而保留的,

           劝告用户尽可能不要使用这两个角色,以避免产生安全漏洞。

 

二、用户配置文件

    配置文件实现中几类安全控制措施:

       帐户上锁

       资源限制

       直接权限

       角色权限

 

    1.资源限制:

       利用配置文件来实现,可用以下两种方法之一来开启资源限制:

           a.在初始化参数文件中将RESOURCE_LIMIT 设为TRUE

           b.使用ALTER SYSTEM 命令将RESOURCE_LIMIT 设为TRUE

              ALTER SYSTEM SET RESOURCE_LIMIT=TRUE;

 

       配置文件的资源限制既可加在会话一级,也可加在调用一级,会话级设置的资源限制是强加在每一个

       连接上的。当超过了会话级的资源限制时,ORACLE系统将返回出错信息。服务器与用户的连接断开

       在会话级可以设置的资源限制如下:

           SESSION_PER_USER:          每个用户所允许的并行会话数

           CPU_PER_SESSION:           总共的CPU时间,其单位是%s

           IDLE_TIME:                 没有活动的时间,单位是分钟

           CONNECT_TIME:              连接时间

           LOGICAL_READS_PER_SESSION:  物理和逻辑读的数据块数。

 

       创建资源限制文件:

           CREATE PROFILE profile_name LIMIT

              [SESSION_PER_USER max_value]

              [CPU_PER_SESSION max_value]

              [CPU_PER_CALL max_value]

              [CONNECT_TIME max_value]

              [IDLE_TIME max_value]

              [LOGICAL_READS_PER_SESSION max_value]

              [LOGICAL_READS_PER_CALL max_value]

 

       --演示创建资源限制配置文件

           SQL> CREATE PROFILE luckly_prof LIMIT

              2  SESSIONS_PER_USER 8                  --同一用户可打开个会话(连接)

              3  CPU_PER_SESSION 168000               --每个会话最多可以使用的CPU时间为个%s

              4  LOGICAL_READS_PER_SESSION 21888      --每个会话最多可以读个数据块

              5  CONNECT_TIME 180                     --每个会话的连接时间最多为分钟

              6  IDLE_TIME 10 ;                       --每个会话的没有活动时间不能超分钟

 

           Profile created.

      

       --查看刚刚创建的配置文件

           SQL> SELECT * FROM dba_profiles WHERE profile = 'LUCKLY_PROF';

 

           PROFILE                        RESOURCE_NAME                    RESOURCE LIMIT

           ------------------------------ -------------------------------- -------- -----------------------

           LUCKLY_PROF                    COMPOSITE_LIMIT                  KERNEL   DEFAULT

           LUCKLY_PROF                    SESSIONS_PER_USER                KERNEL   8

           LUCKLY_PROF                    CPU_PER_SESSION                  KERNEL   168000

           LUCKLY_PROF                    CPU_PER_CALL                     KERNEL   DEFAULT

           LUCKLY_PROF                    LOGICAL_READS_PER_SESSION        KERNEL   21888

           LUCKLY_PROF                    LOGICAL_READS_PER_CALL           KERNEL   DEFAULT

           LUCKLY_PROF                    IDLE_TIME                        KERNEL   10

           LUCKLY_PROF                    CONNECT_TIME                     KERNEL   180

           LUCKLY_PROF                    PRIVATE_SGA                      KERNEL   DEFAULT

           LUCKLY_PROF                    FAILED_LOGIN_ATTEMPTS            PASSWORD DEFAULT

           LUCKLY_PROF                    PASSWORD_LIFE_TIME               PASSWORD DEFAULT

 

           PROFILE                        RESOURCE_NAME                    RESOURCE LIMIT

           ------------------------------ -------------------------------- -------- ------------------------

           LUCKLY_PROF                    PASSWORD_REUSE_TIME              PASSWORD DEFAULT

           LUCKLY_PROF                    PASSWORD_REUSE_MAX               PASSWORD DEFAULT

           LUCKLY_PROF                    PASSWORD_VERIFY_FUNCTION         PASSWORD DEFAULT

           LUCKLY_PROF                    PASSWORD_LOCK_TIME               PASSWORD DEFAULT

           LUCKLY_PROF                    PASSWORD_GRACE_TIME              PASSWORD DEFAULT

      

    2.口令限制

       FAILED_LOGIN_ATTEMPTS    帐户被锁之前可以尝试登录失败的次数

       PASSWORD_LOCK_TIME       尝试指定次数失败后,账户被锁的天数

 

       PASSWORD_LIFE_TIME       口令的生命周期(可使用的天数)

       PASSWORD_GRACE_TIME      口令过期之后第一次成功地使用原口令登录后要改变口令的宽限天数

 

       PASSWORD_REUSE_TIME 在一个口令可以重用之前的天数

       PASSWORD_REUSE_MAX       在一个口令可以重用之前的最大变化数

 

       PASSWORD_VERIFY_FUNCTION    在一个新的口令赋予一个用户之前,要验证口令的复杂性是否满足

                     安全要求的一个PL/SQL函数(该函数要sys用户运行utlpwdmg.sql

                     脚本来生成)

 

       在执行utlpwdmg.sql脚本文件期间,ORACLE服务器将创建VERIFY_FUNCTION函数,并且使用如下

       的ALTER PROFILE 命令来修改luckly_prof概要文件:

 

       --为luckly_prof配置文件增加口令限制

           SQL> ALTER PROFILE luckly_prof LIMIT

           2  PASSWORD_LIFE_TIME 60

           3  PASSWORD_GRACE_TIME 10

           4  PASSWORD_REUSE_TIME 1800

           5  PASSWORD_REUSE_MAX UNLIMITED

           6  FAILED_LOGIN_ATTEMPTS 3

           7  PASSWORD_LOCK_TIME 1/1440;

 

           Profile altered.

      

       之后,ORACLE服务器就要对所有用户提供的口令进行如下检查:

           口令的最小长度为个字符

           口令不应该与用户名相同

           口令应该包含至少一个字符、一个数字和一个特殊字符

           口令应该至少有个字母与以前的口令不同。除了ORACLE提供的默认复杂性检验函数外,

       数据库管理员也可以自己写一个PL/SQL函数进行口令的复杂性检验。

 

       用户提供的口令函数一定要在SYS模式下创建并且必须使用以下函数说明(即函数接口)

           function_name (userid_parameter IN VARCHAR2(30),

                  password_parmeter IN VARCHAR2(30),

                  old_password_parmeter IN VARCHAR2(30)

                  RETURN BOOLEAN

 

       创建口令限制的概要文件:

           同创建资源限制文件一样,只要把口令限制方面的内容加到profile_name中即可。

           如:

           CREATE PROFILE unluck_prof LIMIT

           FAILED_LOGIN_ATTEMPTS 7

           PASSWORD_LOCK_TIME UNLIMITED

           PASSWORD_LIFE_TIME 44

           PASSWORD_REUSE_TIME 24

           PASSWORD_GRACE_TIME 4;

 

 

       --查看资源限制(dba_profiles):

           SQL> SELECT * FROM dba_profiles WHERE profile = 'LUCKLY_PROF';

 

           PROFILE                        RESOURCE_NAME                    RESOURCE LIMIT

           ------------------------------ -------------------------------- -------- ----------------------

           LUCKLY_PROF                    COMPOSITE_LIMIT                  KERNEL   DEFAULT

           LUCKLY_PROF                    SESSIONS_PER_USER                KERNEL   8

           LUCKLY_PROF                    CPU_PER_SESSION                  KERNEL   168000

           LUCKLY_PROF                    CPU_PER_CALL                     KERNEL   DEFAULT

           LUCKLY_PROF                    LOGICAL_READS_PER_SESSION        KERNEL   21888

           LUCKLY_PROF                    LOGICAL_READS_PER_CALL           KERNEL   DEFAULT

           LUCKLY_PROF                    IDLE_TIME                        KERNEL   10

           LUCKLY_PROF                    CONNECT_TIME                     KERNEL   180

           LUCKLY_PROF                    PRIVATE_SGA                      KERNEL   DEFAULT

           LUCKLY_PROF                    FAILED_LOGIN_ATTEMPTS            PASSWORD 3

           LUCKLY_PROF                    PASSWORD_LIFE_TIME               PASSWORD 60

 

           PROFILE                        RESOURCE_NAME                    RESOURCE LIMIT

           ------------------------------ -------------------------------- -------- -----------------------

           LUCKLY_PROF                    PASSWORD_REUSE_TIME              PASSWORD 1800

           LUCKLY_PROF                    PASSWORD_REUSE_MAX               PASSWORD UNLIMITED

           LUCKLY_PROF                    PASSWORD_VERIFY_FUNCTION         PASSWORD DEFAULT

           LUCKLY_PROF                    PASSWORD_LOCK_TIME               PASSWORD .0006

           LUCKLY_PROF                    PASSWORD_GRACE_TIME              PASSWORD 10

 

           16 rows selected.       

 

           RESOURCE_TYPE为KERNEL表示这是一个资源限制,为PASSWORD表示为口令限制。

 

    3.修改配置文件:

       ALTER PROFILE profile_name LIMIT

           ......

 

       例:ALTER PROFILE luck_prof LIMIT

           IDLE_TIME 40

 

    4.将PROFILE赋予用户:

       CREATE USER user_name [PROFILE { profile_name | DEFAULT }]

       ALTER USER user_name [PROFILE { profile_name | DEFAULT }]

      

       请参照:Oracle 用户、对象权限、系统权限        

      

       SQL> CREATE USER andy IDENTIFIED BY oracle PROFILE luckly_prof;

 

       User created.

 

       SQL> ALTER USER robinson PROFILE luckly_prof;

 

       User altered.    

      

    5.删除配置文件:

       DROP PROFILE profile_name [CASCADE]

 

       如果一个概要文件已经赋予了用户,那么在DROP PROFILE时要用CASCADE

       无法删除DEFAULT配置文件,也无法删除MONITORING_PROFILE配置文件

   

       --已被赋予给用的profile删除时需要使用cascade,如下:

           SQL> DROP PROFILE luckly_prof;

           DROP PROFILE luckly_prof

           *

           ERROR at line 1:

           ORA-02382: profile LUCKLY_PROF has users assigned, cannot drop without CASCADE

 

 

           SQL> DROP PROFILE luckly_prof CASCADE;

 

           Profile dropped.

 

posted @ 2013-02-27 13:20  探讨  阅读(258)  评论(0编辑  收藏  举报