2012年1月28日 星期六
DBA Tips: Is your SYSMAN Account Locked??
http://www.articles.freemegazone.com/oracle-sysman-account-locked.php?ref=1
The default super administrator SYSMAN account is created with the password specified by you when you install Enterprise Manager. Many database administrators like me must have faced the scenario when they are unable to connect to database engine because instead of a normal login screen they get an error message “Enterprise Manager is not able to connect to database instance. The state of the components are listed below……”
Everything is up and running but still your Enterprise Manager can not connect to the database instance. How frustrating it is, right?
In this article I will discuss how to troubleshoot the problem if one day or another you are unable to connect to the database instance as a result of error like this.
Check Enterprise Manager Log File:
In the first step we will check the enterprise manager log file as follows.
[oracle@myserver log]$ pwd
/opt/oracle/product/11.1.0/db/myserver.mydomain_DWHD
/sysman/log
[oracle@ myserver log]$ tail -50 emoms.log
.
.
.
2008-02-11 23:12:04,968 [ApplicationServerThread-11]
ERROR app.SessionObjectManager sessionDestroyed.128 -
java.sql.SQLException: ORA-28000: the account is locked
java.sql.SQLException: ORA-28000: the account is locked
.
.
.
We can see that the log file contains ORA-28000 error (ORA-28000: the account is locked). Generally we get ORA-28000 error if the user has consequently entered wrong password for maximum number of times specified by the user profile parameter FAILED_LOGIN_ATTEMPTS or the account is locked by DBA.
Check Database Users:
Now we will check database users.
SYSTEM> select username, account_status from dba_users;
USERNAME ACCOUNT_STATUS
------------------- -------------------------------
MGMT_VIEW OPEN
SYS OPEN
SYSTEM OPEN
DBSNMP OPEN
SYSMAN LOCKED(TIMED)
Here we can see that the all other accounts are working fine but the SYSMAN account is locked.
Stop Database Console:
Now we will stop the Database Console
[oracle@myserver dbascripts]$ emctl stop dbconsole
Oracle Enterprise Manager 11g Database Control Release 11.1.0.6.0
Copyright (c) 1996, 2007 Oracle Corporation. All rights reserved.
https://myserver.mydomain:1158/em/console/aboutApplication
Stopping Oracle Enterprise Manager 11g Database Control ...
... Stopped.
Reset SYSMAN Account:
Once the database console is stopped then we will reset the SYSMAN account.
[oracle@myserver log]$ sqlplus "/ as sysdba"
SQL*Plus: Release 11.1.0.6.0 - Production on Tue Feb 12 09:51:59 2008
Copyright (c) 1982, 2007, Oracle. All rights reserved.
Connected to:
Oracle Database 11g Enterprise Edition Release 11.1.0.6.0 - 64bit Production
With the Partitioning, OLAP, Data Mining and Real Application Testing options
SYS> alter user sysman identified by <new_password> account unlock;
User altered.
Now our SYSMAN account is successfully reset. Now we need to reset SYSMAN account in the targets.xml file. The targets.xml file is located in $ORACLE_HOME/myserver.mydomain _mySID/sysman/emd
We will modify the properties ‘Username' and ‘Password'.
[oracle@myserver emd]$ pwd
/opt/oracle/product/11.1.0/db/myserver.mydomain_DWHD/sysman/emd
[oracle@myserver emd]$ cp targets.xml targets.xml.ori
[oracle@myserver emd]$ vi targets.xml
.
.
.
<Property NAME="UserName" VALUE="SYSMAN" ENCRYPTED="FALSE"/>
<Property NAME="password" VALUE="<new_password>" ENCRYPTED="FALSE"/>
.
.
.
After modifying targets.xml file then we will reset the SYSMAN account in emoms.properties file in $ORACLE_HOME/myserver.my_domain_mySID/sysman.config. We will modify the parameters ‘oracle.sysman.eml.mntr.emdRepPwd' and ‘oracle.sysman.eml.mntr.emdRepPwdEncrypted'.
[oracle@myserver config]$ pwd
/opt/oracle/product/11.1.0/db/myserver.mydomain_DWHD/sysman/config
[oracle@myserver config]$ cp emoms.properties emoms.properties.ori
[oracle@myserver config]$ vi emoms.properties
.
.
.
oracle.sysman.eml.mntr.emdRepPwd= <new_password>
.
.
.
oracle.sysman.eml.mntr.emdRepPwdEncrypted= FALSE
.
.
.
Start the Database Console:
At the end we will start the database console.
[oracle@myserver dbascripts]$ emctl start dbconsole
Oracle Enterprise Manager 11g Database Control Release 11.1.0.6.0
Copyright (c) 1996, 2007 Oracle Corporation. All rights reserved.
https://myserver.mydomain:1158/em/console/aboutApplication
Starting Oracle Enterprise Manager 11g Database Control ...... started.
-----------------------------------------------------------------------------------------------
Logs are generated in directory
/opt/oracle/product/11.1.0/db/myserver.mydomain_DWHD/sysman/log
Here you are... Enjoy your Enterprise Manager!! Read Again!!
解决"ORA-28001: the password has expired”
http://lysming.iteye.com/blog/695759
OracleSQLXML
Oracle 10g 以上密码失效问题
oracle em无法登录,我自己遇到的问题总结如下:
其中有两个用户可能密码失效
1、 sysman
2、 dbsnmp
首先,以SYS DBA身份进入sqlpuls
打开sqlpuls
SQL->请输入用户名:sys as sysdba
SQL->密码:
登录成功以后查询DBA用户状态
SQL->select username,account_status from dba_users;
查看其中常用的用户状态是否是EXPIRED 还是LOCKED
有的是LOCKED<TIME>
如果sysman状态是过期,修改密码方法:
1、执行emctl stop dbconsole
执行完成后再停止agent:emctl stop agent
使用下面的命令来检查是否缺失停止了:
emctl status dbconsole
emctl status agent
确认停止以后就可以在sqlpuls里改密码了
2、执行下面的命令修改sysman密码:
SQL->alter user sysman identified by <你要改的密码>;
不过首先你得确认一下sysman是否被锁定,就是执行
SQL->select username,account_status from dba_users;
看sysman的状态,如果是LOCKED,那么你先得解锁:
SQL->alter user sysman account unlock;
解锁完成后再修改密码,或者修改后再解锁都行,步骤可以颠倒,但是绝对不能少。
修改完成后
SQL->connect sysman/密码
如果连接成功就可以进行下一步了。
3、修改emoms.properties
在路径 ORACLE_HOME\[HOST]_[SID]\sysman\config下
找到文件后编辑以下两句:
oracle.sysman.eml.mntr.emdRepPwd= [Your encrypted password]
oracle.sysman.eml.mntr.emdRepPwdEncrypted=True
找到后把[Your encrypted password]改成你这个用户要改的密码(明文),然后把下面的True改成False.
4、重新启动dbConsole
emctl start dbconsole
emctl start agent
两个都启动了以后你再到emoms.properties里看,是不是密码给你加密了,而且emdRepPwdEncrypted变成了True!
如果用户dbsnmp也失效的话,同样的办法,先停止dbconsole和agent然后在sqlplus里确保他的状态是open,修改密码,然后再去文件中改,不过这次文件不一样,变成了targets.xml ,它的路径在
ORACLE_HOME\[HOST]_[SID]\sysman\emd
修改以下行:
<Property NAME="password" VALUE="<[Your encrypted password]>" ENCRYPTED="TRUE"/>
同样把<[Your encrypted password]>改成你要改的密码,把后面的TRUE改成FALSE,保存。重新启动dbconsole和agent.
2012年1月22日 星期日
oracle數據庫的啟動與關閉過程詳解
http://taven.chinaorg.net/1034635
SQL> startup nomount;
ORACLE例程已經啟動。
Total System Global Area 167772160 bytes
Fixed Size 1247900 bytes
Variable Size 75498852 bytes
Database Buffers 88080384 bytes
Redo Buffers 2945024 bytes
SQL>
有時在某些維護操作和恢復過程中,不能打開數據庫讓大家訪問。在此情形下可以以這種方式啟動。在數據庫創建過程中且必須重建控制文件時,也需要使用nomount啟動模式。
如果已經以以非安裝模式啟動了數據庫,應該使用一下命令:
SQL> alter database mount;
數據庫已更改。
SQL>
為了以安裝模式直接啟動,可使用如下命令:
SQL> startup mount;
ORACLE例程已經啟動。
Total System Global Area 167772160 bytes
Fixed Size 1247900 bytes
Variable Size 75498852 bytes
Database Buffers 88080384 bytes
Redo Buffers 2945024 bytes
數據庫裝載完畢。
SQL>
在進行諸如全數據庫恢復、更改數據庫的歸檔日誌模式或重命名數據文件這一類的活動時,通常需要以安裝模式啟動數據庫。請注意,這三種操作都要求oracle訪問數據文件,但不提供對文件的用戶操作。
SQL>
alter database open;
數據庫已更改。
SQL>
更常見的是使用STARTUP命令同時安裝和打開數據庫:
SQL> startup;
ORACLE例程已經啟動。
Total System Global Area 167772160 bytes
Fixed Size 1247900 bytes
Variable Size 75498852 bytes
Database Buffers 88080384 bytes
Redo Buffers 2945024 bytes
數據庫裝載完畢。
數據庫已經打開。
SQL>
為了打開數據庫,oracle服務器首先打開所有數據文件和聯機重做日誌文件,並確認數據庫是一致的。如果數據庫不一致,例如,如果控制文件中的SCN與數據文件頭中的某些SCN不匹配,則後台進程將自動在打開數據庫前進行一個實例恢復。如果需要介質恢復而不是實例恢復,oracle將指出需要數據庫恢復,並且在你完成恢復前不能打開數據庫。
SQL>shutdown
normal;
以下是SHUTDOWN NORMAL命令的詳細說明:
TRANSACTIONAL命令,如下發布此命令:
SQL>shutdown
transactional;
以下是SHUTDOWN TRANSACTIONAL命令的詳細說明:
SQL>shutdown
immediate;
以下是SHUTDOWN IMMEDIATE命令的詳細說明:
SQL>shutdown abort;
下面是SHUTDOWN ABORT命令的詳細說明:
命令行啟動數據庫
在發布startup命令啟動數據庫時,oracle將在默認位置$ORACLE_HOME/dbs(UNIX/Linux)中查找初始化參數文件。Oracle將以下面的順序在其中尋找合適的初始化文件
Ø Spfile$ORACLE_SID.ora
Ø Spfile.ora
Ø Init$ORACLE_SID.ora
可以用幾種方式啟動oracle數據庫。
a) STARTUP NOMOUNT命令
可以在SQL*Plus會話中使用STARTUP NOMOUNT命令啟動實例,這樣啟動僅有實例運行。如果以這種方式啟動,將不讀控制文件,而且數據文件也不打開。操作系統啟動Oracle後台進程,並且給oracle分配SGA。事實上,只有實例本身在運行。SQL> startup nomount;
ORACLE例程已經啟動。
Total System Global Area 167772160 bytes
Fixed Size 1247900 bytes
Variable Size 75498852 bytes
Database Buffers 88080384 bytes
Redo Buffers 2945024 bytes
SQL>
有時在某些維護操作和恢復過程中,不能打開數據庫讓大家訪問。在此情形下可以以這種方式啟動。在數據庫創建過程中且必須重建控制文件時,也需要使用nomount啟動模式。
b) STARTUP MOUNT命令
在啟動過程中,實例啟動後的下一步是安裝數據庫。在安裝步驟中,oracle把實例與數據庫關聯。Oracle打開並讀取控制文件,獲取數據文件和重做日誌文件的名稱和位置。如果已經以以非安裝模式啟動了數據庫,應該使用一下命令:
SQL> alter database mount;
數據庫已更改。
SQL>
為了以安裝模式直接啟動,可使用如下命令:
SQL> startup mount;
ORACLE例程已經啟動。
Total System Global Area 167772160 bytes
Fixed Size 1247900 bytes
Variable Size 75498852 bytes
Database Buffers 88080384 bytes
Redo Buffers 2945024 bytes
數據庫裝載完畢。
SQL>
在進行諸如全數據庫恢復、更改數據庫的歸檔日誌模式或重命名數據文件這一類的活動時,通常需要以安裝模式啟動數據庫。請注意,這三種操作都要求oracle訪問數據文件,但不提供對文件的用戶操作。
c) STARTUP OPEN命令
啟動過程的最後一步是打開數據庫。當數據庫以打開模式啟動時,所有有效用戶可以連接到數據庫,執行數據庫操作。在此步驟之前,一般用戶根本就不能連接到數據庫。通過發布下面的命令讓數據庫出於打開模式:SQL>
alter database open;
數據庫已更改。
SQL>
更常見的是使用STARTUP命令同時安裝和打開數據庫:
SQL> startup;
ORACLE例程已經啟動。
Total System Global Area 167772160 bytes
Fixed Size 1247900 bytes
Variable Size 75498852 bytes
Database Buffers 88080384 bytes
Redo Buffers 2945024 bytes
數據庫裝載完畢。
數據庫已經打開。
SQL>
為了打開數據庫,oracle服務器首先打開所有數據文件和聯機重做日誌文件,並確認數據庫是一致的。如果數據庫不一致,例如,如果控制文件中的SCN與數據文件頭中的某些SCN不匹配,則後台進程將自動在打開數據庫前進行一個實例恢復。如果需要介質恢復而不是實例恢復,oracle將指出需要數據庫恢復,並且在你完成恢復前不能打開數據庫。
2、 命令行關閉數據庫
為進行某種類型的備份或者軟件的升級等活動,可能需要關閉一個正在運行的數據庫,關閉數據庫有幾種方式。所選擇的方式將影響關閉數據庫所花費的時間,並且在重啟數據庫時可能需要進行數據庫實例恢復。下面是關閉數據庫的4種可用方式。
a) SHUTDOWN NORMAL命令
如下發布此命令:SQL>shutdown
normal;
以下是SHUTDOWN NORMAL命令的詳細說明:
Ø 一旦發布此命令,不允許任何用戶進行新的連接;
Ø 在關閉數據庫之前,oracle等待所有的用戶退出會話;
Ø 重啟數據庫時不需要實例恢復,因為oracle會在關閉以前把所有重做日誌緩衝區和數據塊緩衝區內容寫入磁盤,從而使數據庫關閉時是一致的;
Ø Oracle關閉數據文件並終止後台進程,釋放內存。
b) SHUTDOWN TRANSACTIONAL命令
如果不想等待某用戶退出而花費很長時間,可以使用SHUTDOWNTRANSACTIONAL命令,如下發布此命令:
SQL>shutdown
transactional;
以下是SHUTDOWN TRANSACTIONAL命令的詳細說明:
Ø 一旦發布此命令,不允許任何用戶進行新的連接;
Ø 現有用戶不能啟動新事務,並且將斷開連接;
Ø 如果某用戶有一個正在執行的事務,在斷開該用戶的連接前,oracle將等待直到該事務完成;
Ø 重啟數據庫時不需要實例恢復,因為oracle會在關閉以前把所有重做日誌緩衝區和數據塊緩衝區內容寫入磁盤,從而使數據庫關閉時是一致的;
Ø 在所有現有事務完成後,oracle關閉實例並釋放內存;
c) SHUTDOWN IMMEDIATE命令
有時,在決定關閉數據庫時,某用戶可能正在執行非常長得事務。在這樣的情形下,前面介紹的兩種方式都不適用。可以使用SHUTDOWN IMMEDIATE命令關閉數據庫。如下發布此命令:SQL>shutdown
immediate;
以下是SHUTDOWN IMMEDIATE命令的詳細說明:
Ø 一旦發布此命令,不允許任何用戶進行新的連接;
Ø 立即斷開所有用戶的連接;
Ø 終止所有當前正在執行的事務;
Ø 對於所有半途終止的事務,oracle將進行回退,使數據庫保持一致。隨後終止後台進程並釋放內存。
Ø 重啟數據庫時不需要實例恢復,因為它在關閉時是一致的。
d) SHUTDOWN ABORT命令
就oracle而言,使用這個選項相當於斷電。如下發布此命令:SQL>shutdown abort;
下面是SHUTDOWN ABORT命令的詳細說明:
Ø 一旦發布此命令,不允許任何用戶進行新的連接;
Ø 現有會話被終止,不管它們是否有活動的事務;
Ø 不回退被終止的事務;
Ø 不將重做日誌緩衝區和數據緩衝區寫到磁盤;
Ø 終止後台進程、立即釋放內存並關閉數據庫;
Ø 在重啟時,oracle將執行自動實例恢復,因為不能保證數據庫在關閉時是一致的。
2012年1月8日 星期日
Oracle 用戶、對象權限、系統權限
http://tc.itkee.com/database/detail-1606.html
--================================
--Oracle 用戶、對象權限、系統權限
--================================
一、用戶與模式
用戶:對數據庫的訪問,需要以適當用戶身份通過驗證,並具有相關權限來完成一系列動作
SYS用戶,缺省始終創建,且未被鎖定,擁有數據字典及其關聯的所有對象
SYSTEM用戶,缺省始終創建,且未被鎖定,可以訪問數據庫內的所有對象
模式(schema):是某個用戶擁有所有對象的集合。具有創建對象權限並創建了對象的用戶稱爲擁有某個模式
注意:創建數據庫對象(視圖,表等)的任一用戶都擁有一個以該用戶名稱開頭的模式,且被視爲模式用戶
二、創建及修改用戶
條件:需要具有創建用戶的權限,如sys,system,sysdba,dba role等
語法:
CREATE USER user
IDENTIFIED {BY password | EXTERNALLY | GLOBALLY AS external name }
[DEFAULT TABLESPACE tablespace_name]
[TEMPORARY TABLESPACE tablespace_name]
[QUOTA {n {[K|M] | UNLIMITED } ON tablespace_name
QUOTA {n {[k|M] | UNLIMITED } ON tablespace_name ... ]
[PASSWORD EXPIRE]
[ACCOUNT { LOCK | UNLOCK }]
[PROFILE { profile_name | DEFAULT }]
eg:
CREATE USER robinson IDENTIFIED BY tiger;
--省略了DEFAULT TABLESPACE和TEMPORARY TABLESPACE 時,則由database_properties中對應的參數確定
SQL> SELECT property_name,property_value FROM database_properties WHERE property_name LIKE 'DEFAULT%';
PROPERTY_NAME PROPERTY_VALUE
------------------------------ --------------------------------------------------
DEFAULT_TEMP_TABLESPACE TEMP
DEFAULT_PERMANENT_TABLESPACE USERS
DEFAULT_TBS_TYPE SMALLFILE
更多關於表空間的請參考:Oracle 表空間與數據文件
1.修改用戶
修改用戶的語法同創建用戶,僅僅講關鍵字create替換爲alter,alter user可以修改除用戶名之外的任一屬性
ALTER USER robinson ACCOUNT LOCK;
2.修改密碼
DBA 可以創建用戶和修改密碼
用戶本人可以使用ALTER USER 語句修改密碼
SQL> ALTER robinson IDENTIFIED BY newpassword;
3.刪除用戶:
DROP USER username [CASCADE]
CASECADE 連同用戶創建的對象一併刪除,如果該用戶創建了對象,要加CASCADE刪除,否則刪除不掉
另外,不能刪除當前正在與ORACLE服務器相連的用戶。
4.改變用戶在表空間上的配額:
ALTER USER username QUOTA 0 ON system;
ALTER USER scott QUOTA UNLIMITED ON USERS;
ALTER USER dog QUOTA 30M ON system;
5.查看用戶表空間配額(dba_ts_quotas):
SQL> SELECT USERNAME,TABLESPACE_NAME,MAX_BYTES/1024/1024 "Max MB"
2 FROM dba_ts_quotas WHERE USERNAME='SCOTT';
USERNAME TABLESPACE_NAME Max MB
------------------------------ --------------------------
SCOTT SYSTEM 30
6.查看特定對象下用戶所擁有的對象
使用dba_objects視圖
SQL> SELECT owner,object_name, object_type FROM dba_objects WHERE owner= 'SCOTT';
三、ORACLE權限:
系統權限: 允許用戶執行特定的數據庫動作,如創建表、創建索引、連接實例等
對象權限: 允許用戶操縱一些特定的對象,如讀取視圖,可更新某些列、執行存儲過程等
1.系統權限
超過一百多種有效的權限(SELECT * FROM SYSTEM_PRIVILEGE_MAP查)
數據庫管理員具有高級權限以完成管理任務,例如:
C創建新用戶
C刪除用戶
C刪除表
C備份表
a.常用的系統權限:
CREATE SESSION 創建會話
CREATE SEQUENCE 創建序列
CREATE SYNONYM 創建同名對象
CREATE TABLE 在用戶模式中創建表
CREATE ANY TABLE 在任何模式中創建表
DROP TABLE 在用戶模式中刪除表
DROP ANY TABLE 在任何模式中刪除表
CREATE PROCEDURE 創建存儲過程
EXECUTE ANY PROCEDURE 執行任何模式的存儲過程
CREATE USER 創建用戶
DROP USER 刪除用戶
CREATE VIEW 創建視圖
b.授予用戶系統權限
GRANT privilege [, privilege...] TO user [, user| role, PUBLIC...]
[WITH ADMIN OPTION];
PUBLIC 所有用戶
WITH ADMIN OPTION 使用戶同樣具有分配權限的權利,可將此權限授予別人
SQL> GRANT CREATE SESSION,CREATE TABLE,CREATE USER TO scott;
SQL> GRANT EXECUTE ANY PROCEDURE TO scott WITH ADMIN OPTION;
SQL> CONN scott; --scott具有WITH ADMIN OPTION,故可以將EXECUTE ANY PROCEDURE授予robinson
Enter password:
Connected.
SQL> GRANT EXECUTE ANY PROCEDURE TO robinson;
Grant succeeded.
SQL> GRANT EXECUTE ANY PROCEDURE TO PUBLIC; --將EXECUTE ANY PROCEDURE授予所有用戶
Grant succeeded.
SQL> CONN system/redhat; --使用system爲robinson授予CREATE TABLE、CREATE SESSION權限
Connected.
SQL> GRANT CREATE TABLE,CREATE SESSION TO robinson;
Grant succeeded.
c.使用系統權限
--使用robinson具有創建會話、創建表
SQL> CREATE TABLE tb1 AS SELECT * FROM USER_TABLES; --下面提示沒有權限在users表空間創建對象
CREATE TABLE tb1 AS SELECT * FROM USER_TABLES
*
ERROR at line 1:
ORA-01950: no privileges on tablespace 'USERS'
SQL> CONN sys as sysdba; --使用sys帳戶登陸併爲robinson在users表空間指定配額後可以創建表tb1
Enter password:
Connected.
SQL> ALTER USER robinson QUOTA 10M ON USERS;
User altered.
SQL> CONN robinson/lion;
Connected.
SQL> CREATE TABLE tb1 AS SELECT * FROM USER_TABLES;
Table created.
d.查看系統權限
dba_sys_privs --針對所有用戶被授予的系統權限
user_sys_privs --針對當前登陸用戶被授予的系統權限
SQL> SELECT grantee,privilege,admin_option FROM dba_sys_privs
2 WHERE grantee IN ('SCOTT','ROBINSON')
3 ORDER BY grantee;
GRANTEE PRIVILEGE ADM
------------------------------ ---------------------------------------- ---
ROBINSON CREATE SESSION NO
ROBINSON CREATE TABLE NO
ROBINSON EXECUTE ANY PROCEDURE NO
SCOTT CREATE PUBLIC SYNONYM NO
SCOTT CREATE SESSION NO
SCOTT CREATE SYNONYM NO
SCOTT CREATE TABLE NO
SCOTT CREATE USER NO
SCOTT CREATE VIEW NO
SCOTT EXECUTE ANY PROCEDURE YES
SCOTT UNLIMITED TABLESPACE NO
e.回收系統權限
REVOKE {privilege | role} FROM {user_name | role_name | PUBLIC}
--下面的示例中並沒有回收掉原來由scott授予給robisnon EXECUTE ANY PROCEDURE 的權限
SQL> REVOKE EXECUTE ANY PROCEDURE FROM scott;
Revoke succeeded.
SQL> select grantee,privilege,admin_option from dba_sys_privs
2 where grantee in ('SCOTT','ROBINSON') and privilege = 'EXECUTE ANY PROCEDURE'
3 order by grantee;
GRANTEE PRIVILEGE ADM
------------------------------ ---------------------------------------- ---
ROBINSON EXECUTE ANY PROCEDURE NO
注意:對於使用with admin option 爲某個用戶授予系統權限,那麼對於被這個用戶授予相同權限的所有
用戶來說,取消該用戶的系統權限並不會級聯取消這些用戶的相同權限
2.對象權限
不同的對象具有不同的對象權限
對象的擁有者擁有所有權限
對象的擁有者可以向外分配權限
ORACLE一共有種對象權限
對象權限 表 視圖 序列 過程
修改(alter) √ √
刪除(delete) √ √
執行(execute) √
索引(index) √
插入(insert) √ √
關聯(references) √ √
選擇(select) √ √ √
更新(update) √ √
a.對象授權
GRANT object_priv|ALL [(columns)]
ON object
TO {user|role|PUBLIC}
[WITH GRANT OPTION];
ALL:所有對象權限
PUBLIC:授給所有的用戶
WITH GRANT OPTION:允許用戶再次給其它用戶授權
b.授予系統權限與授予對象權限的語法差異:
授予對象權限時需要指定關鍵字ON,從而能夠確定權限所應用的對象。對於表和視圖可以指定特定的列來授權。
--對象授權示例
SQL> SHOW USER;
USER is "SCOTT"
SQL> GRANT SELECT ON emp TO robinson;
Grant succeeded.
SQL> GRANT UPDATE(sal,mgr) ON emp TO robinson WITH GRANT OPTION;
Grant succeeded.
--新創建一個用戶john,使用robinson賬戶授予更新scott.emp(sal,mgr)的權限
SQL> CREATE USER john IDENTIFIED BY john;
User created.
SQL> GRANT CREATE SESSION TO john;
Grant succeeded.
SQL> CONN ROBINSON/LION
Connected.
SQL> GRANT UPDATE(sal,mgr) ON scott.emp TO john; --授予scott.emp(sal,mgr)的更新權限
Grant succeeded.
SQL> UPDATE scott.emp SET sal = sal + 100 WHERE ename = 'SCOTT'; --成功更新
1 row updated.
--向數據庫中所有用戶分配權限
SQL> GRANT SELECT ON dept TO PUBLIC;
Grant succeeded.
c.查詢權限分配情況
數據字典視圖 描述
ROLE_SYS_PRIVS 角色擁有的系統權限
ROLE_TAB_PRIVS 角色擁有的對象權限
USER_TAB_PRIVS_MADE 查詢授出去的對象權限(通常是屬主自己查)
USER_TAB_PRIVS_RECD 用戶擁有的對象權限
USER_COL_PRIVS_MADE 用戶分配出去的列的對象權限
USER_COL_PRIVS_RECD 用戶擁有的關於列的對象權限
USER_SYS_PRIVS 用戶擁有的系統權限
USER_TAB_PRIVS 用戶擁有的對象權限
USER_ROLE_PRIVS 用戶擁有的角色
--查詢已授予的對象權限(即某個用戶對哪些表對哪些用戶開放了對象權限)
SQL> SELECT * FROM user_tab_privs_made; --下面是scott用戶開放的對象權限
GRANTEE TABLE_NAME GRANTOR PRIVILEGE GRA HIE
-------------------- ------------------------ ------------------------- -------------------- --- ---
PUBLIC DEPT SCOTT SELECT NO NO
ROBINSON EMP SCOTT SELECT NO NO
--查詢列上開放的對象權限
SQL> SELECT * FROM user_col_privs_made;
GRANTEE TABLE_NAME COLUMN_NAME GRANTOR PRIVILEGE GRA
-------------------- -------------------- --------------------- -------------- -------------------- ---
ROBINSON EMP SAL SCOTT UPDATE YES
JOHN EMP MGR ROBINSON UPDATE NO
ROBINSON EMP MGR SCOTT UPDATE YES
JOHN EMP SAL ROBINSON UPDATE NO
--查詢已接受的對象特權(即某個用戶被授予了哪些表上的哪些對象特權)
SQL> SELECT * FROM user_tab_privs_recd;
OWNER TABLE_NAME GRANTOR PRIVILEGE GRA HIE
-------------------- -------------------- ------------------------------ -------------------- --- ---
SCOTT EMP SCOTT SELECT NO NO
--查詢用戶已接受列的對象權限
SQL> SELECT * FROM user_col_privs_recd;
OWNER TABLE_NAME COLUMN_NAME GRANTOR PRIVILEGE GRA
-------------------- ------------------ ---------------- -------------------- -------------------- ---
SCOTT EMP MGR SCOTT UPDATE YES
SCOTT EMP SAL SCOTT UPDATE YES
d.收回對象權限
使用REVOKE 語句收回權限
使用WITH GRANT OPTION 子句所分配的權限同樣被收回
REVOKE {privilege [, privilege...]|ALL}
ON object
FROM {user[, user...]|role|PUBLIC}
[CASCADE CONSTRAINTS];
CASCADE CONSTRAINTS 爲處理引用完整性時需要
--收回權限示例
SQL> conn scott/tiger;
Connected.
SQL> REVOKE SELECT ON emp FROM robinson;
Revoke succeeded.
SQL> REVOKE UPDATE(sal,mgr) ON emp FROM robinson; --注意此處的提示revoke的是整個表,而非列
REVOKE UPDATE(sal,mgr) ON emp FROM robinson
*
ERROR at line 1:
ORA-01750: UPDATE/REFERENCES may only be REVOKEd from the whole table, not by column
SQL> REVOKE UPDATE ON emp FROM robinson;
Revoke succeeded.
--用戶robinson的update 權限被revoke,曾級聯賦予john的權限也被收回,
--如下提示表、視圖不存在,user_col_privs_recd中無記錄
SQL> CONN john/john;
Connected.
SQL> UPDATE scott.emp SET sal = sal - 100 WHERE ename = 'SCOTT';
UPDATE scott.emp SET sal = sal - 100 WHERE ename = 'SCOTT'
*
ERROR at line 1:
ORA-00942: table or view does not exist
SQL> SELECT * FROM user_col_privs_recd;
no rows selected
注意:如果取消某個用戶的對象權限,對於該用戶使用with grant option授予其它用戶相同權限來說,
將級聯刪除這些用戶權限
e.其它
檢查DBA權限的用戶
select * from dba_role_privs where granted_role='DBA';
查看用戶具有的系統權限:
SELECT * FROM session_privs;
四、總結
1.使用create user語句創建用戶,alter user語句修改用戶,其語法大致相同
drop user username [CASCADE] 會刪除用戶所擁有的所有對象及數據
2.系統權限允許用戶在數據庫中執行特定的操作,如執行DDL語句。
with admin option 使得該用戶具有將自身獲得的權限授予其它用戶的功能
但收回系統權限時,不會從其它帳戶級聯取消曾被授予的相同權限
3.對象權限允許用戶對數據庫對象執行特定的操作,如執行DML語句。
with grant option 使得該用戶具有將自身獲得的對象權限授予其它用戶的功能
但收回對象權限時,會從其它帳戶級聯取消曾被授予的相同權限
4.系統權限與對象權限授予時的語法差異爲對象權限使用了ON object_name 子句
5. PUBLIC 爲所有的用戶
6. ALL:對象權限中的所有對象權限
--================================
--Oracle 用戶、對象權限、系統權限
--================================
一、用戶與模式
用戶:對數據庫的訪問,需要以適當用戶身份通過驗證,並具有相關權限來完成一系列動作
SYS用戶,缺省始終創建,且未被鎖定,擁有數據字典及其關聯的所有對象
SYSTEM用戶,缺省始終創建,且未被鎖定,可以訪問數據庫內的所有對象
模式(schema):是某個用戶擁有所有對象的集合。具有創建對象權限並創建了對象的用戶稱爲擁有某個模式
注意:創建數據庫對象(視圖,表等)的任一用戶都擁有一個以該用戶名稱開頭的模式,且被視爲模式用戶
二、創建及修改用戶
條件:需要具有創建用戶的權限,如sys,system,sysdba,dba role等
語法:
CREATE USER user
IDENTIFIED {BY password | EXTERNALLY | GLOBALLY AS external name }
[DEFAULT TABLESPACE tablespace_name]
[TEMPORARY TABLESPACE tablespace_name]
[QUOTA {n {[K|M] | UNLIMITED } ON tablespace_name
QUOTA {n {[k|M] | UNLIMITED } ON tablespace_name ... ]
[PASSWORD EXPIRE]
[ACCOUNT { LOCK | UNLOCK }]
[PROFILE { profile_name | DEFAULT }]
eg:
CREATE USER robinson IDENTIFIED BY tiger;
--省略了DEFAULT TABLESPACE和TEMPORARY TABLESPACE 時,則由database_properties中對應的參數確定
SQL> SELECT property_name,property_value FROM database_properties WHERE property_name LIKE 'DEFAULT%';
PROPERTY_NAME PROPERTY_VALUE
------------------------------ --------------------------------------------------
DEFAULT_TEMP_TABLESPACE TEMP
DEFAULT_PERMANENT_TABLESPACE USERS
DEFAULT_TBS_TYPE SMALLFILE
更多關於表空間的請參考:Oracle 表空間與數據文件
1.修改用戶
修改用戶的語法同創建用戶,僅僅講關鍵字create替換爲alter,alter user可以修改除用戶名之外的任一屬性
ALTER USER robinson ACCOUNT LOCK;
2.修改密碼
DBA 可以創建用戶和修改密碼
用戶本人可以使用ALTER USER 語句修改密碼
SQL> ALTER robinson IDENTIFIED BY newpassword;
3.刪除用戶:
DROP USER username [CASCADE]
CASECADE 連同用戶創建的對象一併刪除,如果該用戶創建了對象,要加CASCADE刪除,否則刪除不掉
另外,不能刪除當前正在與ORACLE服務器相連的用戶。
4.改變用戶在表空間上的配額:
ALTER USER username QUOTA 0 ON system;
ALTER USER scott QUOTA UNLIMITED ON USERS;
ALTER USER dog QUOTA 30M ON system;
5.查看用戶表空間配額(dba_ts_quotas):
SQL> SELECT USERNAME,TABLESPACE_NAME,MAX_BYTES/1024/1024 "Max MB"
2 FROM dba_ts_quotas WHERE USERNAME='SCOTT';
USERNAME TABLESPACE_NAME Max MB
------------------------------ --------------------------
SCOTT SYSTEM 30
6.查看特定對象下用戶所擁有的對象
使用dba_objects視圖
SQL> SELECT owner,object_name, object_type FROM dba_objects WHERE owner= 'SCOTT';
三、ORACLE權限:
系統權限: 允許用戶執行特定的數據庫動作,如創建表、創建索引、連接實例等
對象權限: 允許用戶操縱一些特定的對象,如讀取視圖,可更新某些列、執行存儲過程等
1.系統權限
超過一百多種有效的權限(SELECT * FROM SYSTEM_PRIVILEGE_MAP查)
數據庫管理員具有高級權限以完成管理任務,例如:
C創建新用戶
C刪除用戶
C刪除表
C備份表
a.常用的系統權限:
CREATE SESSION 創建會話
CREATE SEQUENCE 創建序列
CREATE SYNONYM 創建同名對象
CREATE TABLE 在用戶模式中創建表
CREATE ANY TABLE 在任何模式中創建表
DROP TABLE 在用戶模式中刪除表
DROP ANY TABLE 在任何模式中刪除表
CREATE PROCEDURE 創建存儲過程
EXECUTE ANY PROCEDURE 執行任何模式的存儲過程
CREATE USER 創建用戶
DROP USER 刪除用戶
CREATE VIEW 創建視圖
b.授予用戶系統權限
GRANT privilege [, privilege...] TO user [, user| role, PUBLIC...]
[WITH ADMIN OPTION];
PUBLIC 所有用戶
WITH ADMIN OPTION 使用戶同樣具有分配權限的權利,可將此權限授予別人
SQL> GRANT CREATE SESSION,CREATE TABLE,CREATE USER TO scott;
SQL> GRANT EXECUTE ANY PROCEDURE TO scott WITH ADMIN OPTION;
SQL> CONN scott; --scott具有WITH ADMIN OPTION,故可以將EXECUTE ANY PROCEDURE授予robinson
Enter password:
Connected.
SQL> GRANT EXECUTE ANY PROCEDURE TO robinson;
Grant succeeded.
SQL> GRANT EXECUTE ANY PROCEDURE TO PUBLIC; --將EXECUTE ANY PROCEDURE授予所有用戶
Grant succeeded.
SQL> CONN system/redhat; --使用system爲robinson授予CREATE TABLE、CREATE SESSION權限
Connected.
SQL> GRANT CREATE TABLE,CREATE SESSION TO robinson;
Grant succeeded.
c.使用系統權限
--使用robinson具有創建會話、創建表
SQL> CREATE TABLE tb1 AS SELECT * FROM USER_TABLES; --下面提示沒有權限在users表空間創建對象
CREATE TABLE tb1 AS SELECT * FROM USER_TABLES
*
ERROR at line 1:
ORA-01950: no privileges on tablespace 'USERS'
SQL> CONN sys as sysdba; --使用sys帳戶登陸併爲robinson在users表空間指定配額後可以創建表tb1
Enter password:
Connected.
SQL> ALTER USER robinson QUOTA 10M ON USERS;
User altered.
SQL> CONN robinson/lion;
Connected.
SQL> CREATE TABLE tb1 AS SELECT * FROM USER_TABLES;
Table created.
d.查看系統權限
dba_sys_privs --針對所有用戶被授予的系統權限
user_sys_privs --針對當前登陸用戶被授予的系統權限
SQL> SELECT grantee,privilege,admin_option FROM dba_sys_privs
2 WHERE grantee IN ('SCOTT','ROBINSON')
3 ORDER BY grantee;
GRANTEE PRIVILEGE ADM
------------------------------ ---------------------------------------- ---
ROBINSON CREATE SESSION NO
ROBINSON CREATE TABLE NO
ROBINSON EXECUTE ANY PROCEDURE NO
SCOTT CREATE PUBLIC SYNONYM NO
SCOTT CREATE SESSION NO
SCOTT CREATE SYNONYM NO
SCOTT CREATE TABLE NO
SCOTT CREATE USER NO
SCOTT CREATE VIEW NO
SCOTT EXECUTE ANY PROCEDURE YES
SCOTT UNLIMITED TABLESPACE NO
e.回收系統權限
REVOKE {privilege | role} FROM {user_name | role_name | PUBLIC}
--下面的示例中並沒有回收掉原來由scott授予給robisnon EXECUTE ANY PROCEDURE 的權限
SQL> REVOKE EXECUTE ANY PROCEDURE FROM scott;
Revoke succeeded.
SQL> select grantee,privilege,admin_option from dba_sys_privs
2 where grantee in ('SCOTT','ROBINSON') and privilege = 'EXECUTE ANY PROCEDURE'
3 order by grantee;
GRANTEE PRIVILEGE ADM
------------------------------ ---------------------------------------- ---
ROBINSON EXECUTE ANY PROCEDURE NO
注意:對於使用with admin option 爲某個用戶授予系統權限,那麼對於被這個用戶授予相同權限的所有
用戶來說,取消該用戶的系統權限並不會級聯取消這些用戶的相同權限
2.對象權限
不同的對象具有不同的對象權限
對象的擁有者擁有所有權限
對象的擁有者可以向外分配權限
ORACLE一共有種對象權限
對象權限 表 視圖 序列 過程
修改(alter) √ √
刪除(delete) √ √
執行(execute) √
索引(index) √
插入(insert) √ √
關聯(references) √ √
選擇(select) √ √ √
更新(update) √ √
a.對象授權
GRANT object_priv|ALL [(columns)]
ON object
TO {user|role|PUBLIC}
[WITH GRANT OPTION];
ALL:所有對象權限
PUBLIC:授給所有的用戶
WITH GRANT OPTION:允許用戶再次給其它用戶授權
b.授予系統權限與授予對象權限的語法差異:
授予對象權限時需要指定關鍵字ON,從而能夠確定權限所應用的對象。對於表和視圖可以指定特定的列來授權。
--對象授權示例
SQL> SHOW USER;
USER is "SCOTT"
SQL> GRANT SELECT ON emp TO robinson;
Grant succeeded.
SQL> GRANT UPDATE(sal,mgr) ON emp TO robinson WITH GRANT OPTION;
Grant succeeded.
--新創建一個用戶john,使用robinson賬戶授予更新scott.emp(sal,mgr)的權限
SQL> CREATE USER john IDENTIFIED BY john;
User created.
SQL> GRANT CREATE SESSION TO john;
Grant succeeded.
SQL> CONN ROBINSON/LION
Connected.
SQL> GRANT UPDATE(sal,mgr) ON scott.emp TO john; --授予scott.emp(sal,mgr)的更新權限
Grant succeeded.
SQL> UPDATE scott.emp SET sal = sal + 100 WHERE ename = 'SCOTT'; --成功更新
1 row updated.
--向數據庫中所有用戶分配權限
SQL> GRANT SELECT ON dept TO PUBLIC;
Grant succeeded.
c.查詢權限分配情況
數據字典視圖 描述
ROLE_SYS_PRIVS 角色擁有的系統權限
ROLE_TAB_PRIVS 角色擁有的對象權限
USER_TAB_PRIVS_MADE 查詢授出去的對象權限(通常是屬主自己查)
USER_TAB_PRIVS_RECD 用戶擁有的對象權限
USER_COL_PRIVS_MADE 用戶分配出去的列的對象權限
USER_COL_PRIVS_RECD 用戶擁有的關於列的對象權限
USER_SYS_PRIVS 用戶擁有的系統權限
USER_TAB_PRIVS 用戶擁有的對象權限
USER_ROLE_PRIVS 用戶擁有的角色
--查詢已授予的對象權限(即某個用戶對哪些表對哪些用戶開放了對象權限)
SQL> SELECT * FROM user_tab_privs_made; --下面是scott用戶開放的對象權限
GRANTEE TABLE_NAME GRANTOR PRIVILEGE GRA HIE
-------------------- ------------------------ ------------------------- -------------------- --- ---
PUBLIC DEPT SCOTT SELECT NO NO
ROBINSON EMP SCOTT SELECT NO NO
--查詢列上開放的對象權限
SQL> SELECT * FROM user_col_privs_made;
GRANTEE TABLE_NAME COLUMN_NAME GRANTOR PRIVILEGE GRA
-------------------- -------------------- --------------------- -------------- -------------------- ---
ROBINSON EMP SAL SCOTT UPDATE YES
JOHN EMP MGR ROBINSON UPDATE NO
ROBINSON EMP MGR SCOTT UPDATE YES
JOHN EMP SAL ROBINSON UPDATE NO
--查詢已接受的對象特權(即某個用戶被授予了哪些表上的哪些對象特權)
SQL> SELECT * FROM user_tab_privs_recd;
OWNER TABLE_NAME GRANTOR PRIVILEGE GRA HIE
-------------------- -------------------- ------------------------------ -------------------- --- ---
SCOTT EMP SCOTT SELECT NO NO
--查詢用戶已接受列的對象權限
SQL> SELECT * FROM user_col_privs_recd;
OWNER TABLE_NAME COLUMN_NAME GRANTOR PRIVILEGE GRA
-------------------- ------------------ ---------------- -------------------- -------------------- ---
SCOTT EMP MGR SCOTT UPDATE YES
SCOTT EMP SAL SCOTT UPDATE YES
d.收回對象權限
使用REVOKE 語句收回權限
使用WITH GRANT OPTION 子句所分配的權限同樣被收回
REVOKE {privilege [, privilege...]|ALL}
ON object
FROM {user[, user...]|role|PUBLIC}
[CASCADE CONSTRAINTS];
CASCADE CONSTRAINTS 爲處理引用完整性時需要
--收回權限示例
SQL> conn scott/tiger;
Connected.
SQL> REVOKE SELECT ON emp FROM robinson;
Revoke succeeded.
SQL> REVOKE UPDATE(sal,mgr) ON emp FROM robinson; --注意此處的提示revoke的是整個表,而非列
REVOKE UPDATE(sal,mgr) ON emp FROM robinson
*
ERROR at line 1:
ORA-01750: UPDATE/REFERENCES may only be REVOKEd from the whole table, not by column
SQL> REVOKE UPDATE ON emp FROM robinson;
Revoke succeeded.
--用戶robinson的update 權限被revoke,曾級聯賦予john的權限也被收回,
--如下提示表、視圖不存在,user_col_privs_recd中無記錄
SQL> CONN john/john;
Connected.
SQL> UPDATE scott.emp SET sal = sal - 100 WHERE ename = 'SCOTT';
UPDATE scott.emp SET sal = sal - 100 WHERE ename = 'SCOTT'
*
ERROR at line 1:
ORA-00942: table or view does not exist
SQL> SELECT * FROM user_col_privs_recd;
no rows selected
注意:如果取消某個用戶的對象權限,對於該用戶使用with grant option授予其它用戶相同權限來說,
將級聯刪除這些用戶權限
e.其它
檢查DBA權限的用戶
select * from dba_role_privs where granted_role='DBA';
查看用戶具有的系統權限:
SELECT * FROM session_privs;
四、總結
1.使用create user語句創建用戶,alter user語句修改用戶,其語法大致相同
drop user username [CASCADE] 會刪除用戶所擁有的所有對象及數據
2.系統權限允許用戶在數據庫中執行特定的操作,如執行DDL語句。
with admin option 使得該用戶具有將自身獲得的權限授予其它用戶的功能
但收回系統權限時,不會從其它帳戶級聯取消曾被授予的相同權限
3.對象權限允許用戶對數據庫對象執行特定的操作,如執行DML語句。
with grant option 使得該用戶具有將自身獲得的對象權限授予其它用戶的功能
但收回對象權限時,會從其它帳戶級聯取消曾被授予的相同權限
4.系統權限與對象權限授予時的語法差異爲對象權限使用了ON object_name 子句
5. PUBLIC 爲所有的用戶
6. ALL:對象權限中的所有對象權限
訂閱:
文章 (Atom)