Bài giảng Hệ quản trị cơ sơ dữ liệu oracle - Chương 5: Quản lý người dùng - Ngô Thùy Linh

Khoa Hệ thống thông tin quản lý – Học viện Ngân Hàng 
QUẢN LÝ NGƯỜI DÙNG 
 Giảng viên: Ngô Thùy Linh 
 https://sites.google.com/site/linhntmisba/ 
Khoa Hệ thống thông tin quản lý – Học viện Ngân Hàng 5-2 
Nội dung chính 
 Quản lý user 
• Account 
• Privilege 
• Role 
• Profile 
• Bảo mật mật khẩu 
• Hạn mức 
Khoa Hệ thống thông tin quản lý – Học viện Ngân Hàng 5-3 
Account (tài khoản) 
 Mỗi tài khoản có đặc điểm: 
• Tên duy nhất 
• Dùng phương thức xác thực nhất định 
• Có một tablespace mặc định 
• Có một tablespace tạm 
• Có danh sách các tài nguyên mà user 
được sử dụng 
• Consumer group 
• Có trạng thái 
> Account 
 Xác thực 
 Privilege 
 Role 
 Profile 
 PW Security 
 Quota 
Khoa Hệ thống thông tin quản lý – Học viện Ngân Hàng 5-4 
Tạo tài khoản 
Khoa Hệ thống thông tin quản lý – Học viện Ngân Hàng 5-5 
Khoa Hệ thống thông tin quản lý – Học viện Ngân Hàng 5-6 
Sửa tài khoản 
Select the user, and click Unlock User. 
Khoa Hệ thống thông tin quản lý – Học viện Ngân Hàng 5-7 
Xác thực user 
• Password 
• External 
• Global 
 Account 
> Xác thực 
 Privilege 
 Role 
 Profile 
 PW Security 
 Quota 
Khoa Hệ thống thông tin quản lý – Học viện Ngân Hàng 5-8 
Xác thực user (Authenticating Users) 
 Password: This is also referred to as authentication 
by the Oracle database. Create each user with an 
associated password that must be supplied when the 
user attempts to establish a connection 
 External: This is also referred to as authentication by 
the operating system. Users can connect to the Oracle 
database without specifying a username or password 
Khoa Hệ thống thông tin quản lý – Học viện Ngân Hàng 5-9 
Xác thực user (Authenticating Users) 
 Global: Using the Oracle Advanced Security 
option, global authentication (which is a strong 
authentication) allows users to be identified through 
the use of biometrics, x509 certificates, token devices, 
and Oracle Internet Directory 
Khoa Hệ thống thông tin quản lý – Học viện Ngân Hàng 5-10 
Privilege (quyền) 
 Có 2 loại quyền: 
• Hệ thống: cho phép người dùng thực hiện một số 
thao tác đối với cơ sở dữ liệu 
• Đối tượng: cho phép người dùng truy cập và thực 
hiện một số thao tác đối với đối tượng trong cơ sở 
dữ liệu 
Tạo session 
HR_DBA 
Sửa bảng EMP 
PRIVILEGE 
là gì? 
Sự cho phép thực thi một loại lệnh SQL 
hoặc cho phép truy cập vào đối tượng 
của người dùng khác 
 Account 
 Xác thực 
> Privilege 
 Role 
 Profile 
 PW Security 
 Quota 
Khoa Hệ thống thông tin quản lý – Học viện Ngân Hàng 5-11 
Quyền hệ thống 
Khoa Hệ thống thông tin quản lý – Học viện Ngân Hàng 5-12 
Quyền hệ thống 
Loại Quyền 
Database Alter database 
Alter system 
Audit system 
Audit any 
Indexs Create any index 
Alter any index 
Drop any index 
Tablespace Create tablespaces 
Alter tablespace 
Drop tablespace 
Manage tablespace 
Loại Quyền 
Table Create table 
Create any table 
Alter any table 
Drop any table 
Comment any table 
Select any table 
Insert any table 
Update any table 
Delete any table 
Lock any table 
Flashback any table 
Khoa Hệ thống thông tin quản lý – Học viện Ngân Hàng 5-13 
Quyền hệ thống 
Session 
CREATE 
SESSION 
Permits the grantee to connect to the database. 
This privilege is required for user accounts, but 
may be undesirable for application owner 
accounts. 
ALTER SESSION Permits the grantee to execute ALTER SESSION 
statements. 
ALTER 
RESOURCE 
COST 
Permits the grantee to change the way that 
Oracle calculates 
resource cost for resource restrictions in a profile 
RESTRICTED 
SESSION 
Permits the grantee to change the way that 
Oracle calculates 
resource cost for resource restrictions in a profile 
Khoa Hệ thống thông tin quản lý – Học viện Ngân Hàng 5-14 
Quyền đối tượng 
Khoa Hệ thống thông tin quản lý – Học viện Ngân Hàng 5-15 
Quyền đối tượng 
 Sử dụng lệnh Grant 
 Public: là một user đặc biệt 
 With Grant Option: cho phép người được gán 
quyền có thể gán các quyền đó cho user khác 
user public role 
Khoa Hệ thống thông tin quản lý – Học viện Ngân Hàng 5-16 
Quyền đối tượng 
Table View Sequence Function/ 
Procedure 
Select X X X 
Insert X X 
Update X X 
Delete X X 
Alter X X 
Debug X X X 
Index X 
Reference X X 
Execute X 
Khoa Hệ thống thông tin quản lý – Học viện Ngân Hàng 5-17 
Gỡ quyền 
Khoa Hệ thống thông tin quản lý – Học viện Ngân Hàng 5-18 
Cơ chế gỡ quyền 
Quyền hệ thống 
Khoa Hệ thống thông tin quản lý – Học viện Ngân Hàng 5-19 
ROLE 
 Role là một nhóm quyền. 
 Lợi ích của role: 
• Dễ dàng quản lý quyền 
• Quản lý quyền “động” 
• Bật/tắt quyền dễ dàng 
 Account 
 Xác thực 
 Privilege 
> Role 
 Profile 
 PW Security 
 Quota 
Khoa Hệ thống thông tin quản lý – Học viện Ngân Hàng 5-20 
Privilege, Role và user 
Users 
Privileges 
Roles HR_CLERK HR_MGR 
Jenny David Rachel 
Delete 
employees. 
Select 
employees. 
Update 
employees. 
Insert 
employees. 
Khoa Hệ thống thông tin quản lý – Học viện Ngân Hàng 5-21 
Quản lý role 
 Tạo và gán quyền cho role 
 Gỡ quyền của role 
 Bật/tắt role 
 Gán role cho user 
 Xóa role 
Khoa Hệ thống thông tin quản lý – Học viện Ngân Hàng 5-22 
Quản lý role (sử dụng EM) 
 Tạo role 
Khoa Hệ thống thông tin quản lý – Học viện Ngân Hàng 5-23 
Quản lý role (sử dụng EM) 
 Gán role cho user 
Khoa Hệ thống thông tin quản lý – Học viện Ngân Hàng 5-24 
Account mặc định 
 SYS 
• Có role DBA 
• Có toàn quyền 
• Được phép tắt/bật dịch vụ 
• Quản lý data dictionary 
• Quản lý Automatic Workload Repository (AWR) 
 SYSTEM 
• Có role DBA 
• Không có toàn quyền như SYS 
Trường hợp nào thì dùng account này? 
Khoa Hệ thống thông tin quản lý – Học viện Ngân Hàng 5-25 
Account mặc định 
SYS The SYS user owns all the internal Oracle tables that constitute the 
data dictionary. Normally, you should not perform any actions as the 
SYS user and should ensure that this account is locked down. Also, 
don’t manually modify the underlying objects owned by the SYS user. 
SYSTEM SYSTEM is an additional support user that contains additional 
administrative tables and views. This account should also be locked 
down to prevent unauthorized use of it. The user SYSTEM has access 
to all objects in the database 
DBSNMP DBSNMP is a login used by the Enterprise Manager facility to monitor 
and gather performance statistics about the database 
SYSMAN SYSMAN is the equivalent of the SYS user for the Enterprise Manager 
facility. This Enterprise Manager administrator can create and modify 
other Enterprise Manager administrator accounts, as well as administer 
the database instance itself. 
Khoa Hệ thống thông tin quản lý – Học viện Ngân Hàng 5-26 
Các role mặc định 
CONNECT CREATE SESSION, Enables a user to connect to 
the database. Grant this role to any user or 
application that needs database access 
RESOURCE CREATE CLUSTER, CREATE INDEXTYPE, 
CREATE OPERATOR, CREATE PROCEDURE, 
CREATE SEQUENCE, CREATE TABLE, CREATE 
TRIGGER, CREATE TYPE 
SCHEDULER_ 
ADMIN 
CREATE ANY JOB, CREATE EXTERNAL JOB, 
CREATE JOB, EXECUTE ANY CLASS, EXECUTE 
ANY PROGRAM, MANAGE SCHEDULER 
DBA It grants all system privileges, but does not include 
the privileges to start up or shut down the 
database. It is by default granted to user SYSTEM. 
SELECT_ 
CATALOG_ 
ROLE 
Không có quyền hệ thống nhưng có quyền 
HS_ADMIN_ROLE và hơn 1.700 quyền đối tượng 
đối tới data dictionary 
Khoa Hệ thống thông tin quản lý – Học viện Ngân Hàng 5-27 
Role mặc định 
CONNECT 
ALTER SESSION, 
CREATE CLUSTER, 
CREATE DATABASE LINK, 
CREATE SEQUENCE, 
CREATE SESSION, 
CREATE SYNONYM, 
CREATE TABLE, 
CREATE VIEW 
Khoa Hệ thống thông tin quản lý – Học viện Ngân Hàng 5-28 
Các role mặc định 
 SYSDBA is the highest system privilege (role) in oracle. 
 SYSOPER system privilege (role) is limited than SYSDBA 
SYSDBA SYSOPER 
•Perform STARTUP and SHUTDOWN 
operations 
• ALTER DATABASE: open, mount, 
back up, or change character set 
• CREATE DATABASE 
• DROP DATABASE 
• CREATE SPFILE 
• ALTER DATABASE ARCHIVELOG 
• ALTER DATABASE RECOVER 
• Includes the RESTRICTED 
SESSION privilege 
• Allows a user to connect as user 
SYS. 
•Perform STARTUP and SHUTDOWN 
operations 
• CREATE SPFILE 
• ALTER DATABASE 
OPEN/MOUNT/BACKUP 
• ALTER DATABASE ARCHIVELOG 
• ALTER DATABASE RECOVER 
(Complete recovery only. Any form of 
incomplete recovery, such as UNTIL 
TIME|CHANGE|CANCEL|CONTROLFI
LE requires connecting as SYSDBA.) 
• Includes the RESTRICTED 
SESSION privilege 
• Allows a user to perform basic 
operational tasks, but without the 
ability to look at user data. 
Khoa Hệ thống thông tin quản lý – Học viện Ngân Hàng 5-29 
Profile và user 
 Tại một thời điểm, 
mỗi user chỉ được gán 
DUY NHẤT một profile 
 Profile 
• Quản lý tài nguyên 
được phép dùng 
của user 
• Quản lý trạng thái 
và ràng buộc về 
mật khẩu 
 Account 
 Xác thực 
 Privilege 
 Role 
> Profile 
 PW Security 
 Quota 
Khoa Hệ thống thông tin quản lý – Học viện Ngân Hàng 5-30 
Bảo mật mật khẩu Account 
 Xác thực 
 Privilege 
 Role 
 Profile 
> PW Security 
 Quota 
Password 
history 
Account 
locking 
Password aging 
and expiration 
Password 
complexity 
verification 
User Setting up 
profiles 
Chú ý: Không khóa và đặt thời gian hết hiệu lực đối với account 
SYS, SYSMAN, and DBSNMP. 
Khoa Hệ thống thông tin quản lý – Học viện Ngân Hàng 5-31 
Tạo mật khẩu cho profile 
Khoa Hệ thống thông tin quản lý – Học viện Ngân Hàng 5-32 
VERIFY_FUNCTION 
 Oracle cung cấp hàm kiểm tra độ tin cậy của 
mật khẩu – verify_function 
• Tối thiếu 4 kí tự 
• Không trùng với username 
• Có ít nhất 1 chữ cái, 1 chữ số và 1 kí tự đặc biệt 
• Khác mật khẩu trước ít nhất 3 kí tự 
 Hàm này không có sẵn, muốn sử dụng thì chạy 
script: 
/rdbms/admin/utlpwdmg.sql 
Khoa Hệ thống thông tin quản lý – Học viện Ngân Hàng 5-33 
Thiết lập hạn mức cho user 
 Hạn mức là dung lượng user được 
phép sử dụng trong 1 tablespace 
 Có 2 loại hạn mức 
• Giá trị xác định (tính bằng MB hoặc 
KB) 
• Không có hạn mức 
 Account 
 Xác thực 
 Privilege 
 Role 
 Profile 
 PW Security 
> Quota 
Khoa Hệ thống thông tin quản lý – Học viện Ngân Hàng 5-34