Chương 6. Quản trị người dùng

09/02/2012 1 1 Chương 6. Quản trị người dùng NỘI DUNG 2 09/02/2012 2 NỘI DUNG 3  Giới thiệu  Tablespace  Tạo va ̀ cấp quyền cho người dùng  User profile  Quyền và role  Từ điển dữ liệu GiỚI THIỆU 4  Một database yêu cầu ít nhất 1 người quản trị (DBA). Trong hệ thống Database lớn có thể yêu cầu nhiều người quản trị. Do đó, quản trị cơ sở dự liệu đôi khi không phải là công việc của một người mà là công việc của một nhóm người DBA chia sẻ trách nhiệm. Trách nhiệm quản trị CSDL có thể gồm những nhiệm vụ sau đây: 09/02/2012 3 Giới thiệu (tt) 5  Cài đặt va ̀ nâng cấp máy chu ̉ csdl va ̀ các công cụ ứng dụng.  Bố trí hệ thống lưu trữ va ̀ lập kế hoạch lưu trữ trong tương lai.  Tạo cấu trúc csdl chính (tablespace).  Tạo các đối tượng chính.  Sửa đổi cấu trúc dữ liệu.  Đăng ký người sử dụng va ̀ duy trì an ninh hệ thống.  Đảm bảo tuân thu ̉ các thỏa thuận giấy phép Oracle.  Kiểm soát va ̀ giám sát người dùng.  Giám sát va ̀ tối ưu hóa hiệu suất của csdl.  Lập kế hoạch sao lưu va ̀ phục hồi các thông tin của csdl  Duy trì dữ liệu trên băng.  Sao lưu va ̀ phục hồi  Liên hệ với oracle hỗ trợ kỹ thuật Giới thiệu (tt) 6  Nhiệm vụ của người quản trị csdl  Đánh gia ́ phần cứng server database  Cài đặt phần mềm Oracle  Kế hoạch csdl  Tạo va ̀ mở csdl  Sao lưu csdl  Đăng ký người dùng hệ thống  Thực hiện va ̀ thiết kế csdl  Sao lưu csdl đầy đủ chức năng  Hiệu suất csdl  Tải va ̀ cài đặt các bản va ́ lỗi  Bổ sung máy chu ̉ 09/02/2012 4 Giới thiệu (tt) 7  Database oracle gồm nhiều oracle instance.  Thiết lập biến môi trường trong window SET ORACLE_SID=orcl  Nối kết với schema mặc định sys với user là sysdba connect sys as sysdba hoặc CONNECT / AS SYSDBA Giới thiệu (tt) 8  Khi tạo csdl Oracle, user SYS tự động được tạo ra được cấp với vai trò DBA. Vai trò này chứa hầu hết tất cả các quyền csdl hệ thống. 09/02/2012 5 Tablespace 9  Database có thể chỉ có duy nhất 1 SYSTEM Tablespace, tuy nhiên Oracle luôn khuyến cáo sử dụng các Tablespace khác nhằm mục đích lưu trữ các thành phần như user data, user index, undo segment, temporary segment.. Điều đó giúp chúng ta linh động hơn trong việc quản trị DB, giảm thiểu sự xung đột giữa các object của các user trong cùng 1 DB Một CSDL có 2 tablespace SYSTEM và USERS. Tablespace SYSTEM chứa 2 datafile là DATA1.ORA và DATA2.ORA Tablespace 10  Một tablespace chứa 2 datafile. Bên trong các datafile là các đối tượng, như là table và index. Các đối tượng trong tablespace có thể nằm trên vài datafile. 09/02/2012 6 Tablespace 11  Tính chất của tablespace - Dữ liệu của 1 Oracle Database được lưu trữ trong Tablespaces. - 1 Tablespace chỉ thuộc về duy nhất 1 Oracle Database tại 1 thời điểm - Mỗi một Tablespace bao gồm 1 hoặc nhiều data files (có mở rộng là .dbf) nhưng 1 datafile chỉ được liên kết với duy nhất 1 Tablespace - 1 Tablespace bao gồm 1 hoặc nhiều segment (hoặc có thể không có segment) - Ngoại trừ SYSTEM tablespace, hoặc 1 tablespace đang có 1 undo segment được active thì các tablespace khác có thể được đưa vào trạng thái offline hoặc xóa bỏ khỏi Database - Tablespace có thể được chuyển từ trạng thái READ-WRITE sang trạng thái READ-ONLY. Tablespace 12  Cú pháp CREATE TABLESPACE tablespace_name [DATAFILE clause] [MINIMUM EXTENT integer[K|M]] [BLOCKSIZE integer [K]] [LOGGING|NOLOGGING] [DEFAULT storage_clause ] [ONLINE|OFFLINE] [PERMANENT|TEMPORARY]  Ví dụ create tablespace sample_tablespace datafile 'sample_tablespace.dbf' size 50m autoextend on next 10m maxsize 100m; 09/02/2012 7 Tablespace 13  Cú pháp thay đổi các thông số table space: ALTER TABLESPACE tablespace_name [MINIMUM EXTEXT integer[K|M]] DEFAULT storage_clause] Ví dụ: ALTER TABLESPACE sample_tablespace add datafile ‘sample_tablespace.dbf' size 100M; Tablespace 14  Temporary tablespace: được sử dụng để dành riêng cho các thao tác sắp xếp dữ liệu. CREATE TEMPORARY TABLESPACE Oratemp tempfile ‘oratemp.dbf‘ size 100M extent management local uniform size 272K; 09/02/2012 8 Tablespace 15 Cú pháp xóa table space DROP TABLESPACE tablespace_name; Ví dụ: DROP TABLESPACE oratemp; TẠO VÀ CẤP QUYỀN CHO NGƯỜI DÙNG 16  Trước khi cấp quyền người dùng, DBA cần xem xét một số vấn đề sau: Tên tài khoản Có cho phép đăng nhập ngoài hay không? Nếu không cần phải tạo mật khẩu ban đầu. User có các quyền tạo segment hay không? Nếu có sẽ tạo trên table space nào Table space dùng cho các thao tác tạm thời gì? Thông thường table space được dùng là temp 09/02/2012 9 TẠO VÀ CẤP QUYỀN CHO NGƯỜI DÙNG (tt) 17  Bao nhiêu không gian bộ nhớ sẽ được cấp cho user?  User có quyền tạo segment hay không? Nếu có sẽ tạo trên table space nào?  Loại profile sẽ được dùng để cấp phát cho các user là gì? TẠO VÀ CẤP QUYỀN CHO NGƯỜI DÙNG (tt) 18 Cú pháp CREATE USER userid IDENTIFIED BY password | EXTERNALLY [DEFAULT TABLESPACE tablespace] [TEMPORARY TABLESPACE tablespace] [QUOTA value | UNLIMITED] ON tablespace] ... [PROFILE profile] [Password EXPIRE] [ACCOUNT ] 09/02/2012 10 TẠO VÀ CẤP QUYỀN CHO NGƯỜI DÙNG(tt) 19 Trong đó: Userid: tên user được tạo. Nếu user muốn dùng cơ chế đăng nhập ngoài cần thiết lập thông số os_authent_prefix By pasword | EXTERNALLY: nếu user không dùng cơ chế đăng nhập ngoài, cần phải cung cấp mật khẩu ban đầu Default table space: nếu user được phép tạo segment, chỉ ra tablespce mặc định mà user tạo trên đó. Nếu không chỉ định tablespace, user tạo segment trên SYSTEM tablespace TẠO VÀ CẤP QUYỀN CHO NGƯỜI DÙNG(tt) 20  TEMPORARY TABLESPACE: trong các thao tác sắp xếp, oracle đòi hỏi một vùng nhớ để làm các công việc này. Nêu không chỉ ra một tablespace tường minh, oracle sẽ dùng SYSTEM tablespace de làm viec này 09/02/2012 11 TẠO VÀ CẤP QUYỀN CHO NGƯỜI DÙNG(tt) 21  QUOTA value| UNLIMITED ON tablespace: việc cấp chỉ tiêu cho user trên một tablespace nào đó giúp kiểm soát lượng bộ nhớ mà user dùng khi tạo segment. Giá trị của chỉ tiêu là số nguyên. Đơn vị tính là MB hoặc KB. Nếu không chỉ rõ đơn vị tính, Oracle sẽ dùng đơn vị là byte.  PROFILE profile: cho phép tạo một hồ sơ an ninh cho user TẠO VÀ CẤP QUYỀN CHO NGƯỜI DÙNG(tt) 22  Password EXPIRE: tùy chọn này buộc user phải sửa mật khẩu ngay lần đăng nhập nêu không nó sẽ tự động mất hiệu lực  ACCOUNT LOCK| UNLOCK: trong trường hợp nào đó, khi chưa cho phép user được phép đăng nhập vào hệ thống ngay sau khi được tạo. dùng tùy chọn này để khóa user lại. 09/02/2012 12 TẠO VÀ CẤP QUYỀN CHO NGƯỜI DÙNG(tt) 23  Ví dụ tạo user salapti với mật khẩu là sammmy1 CREATE USER salapati IDENTIFIED BY sammyy1  Hiển thị tablespace của user vừa mới tạo SELECT default_tablespace, temporary_tablespace FROM dba_users WHERE username='SALAPATI'; TẠO VÀ CẤP QUYỀN CHO NGƯỜI DÙNG(tt) 24  Để user vừa mới tạo có thể login được, ta phải cấp quyền CREATE SESSION. GRANT CREATE SESSION TO salapati  Để user có thể tạo được các object là ta phải cấp quota cho user trên các tablespace tương ứng. Một user có thể được cấp quota sử dụng trên 1 hoặc nhiều tablespace. ALTER USER salapati QUOTA 100M ON users; 09/02/2012 13 TẠO VÀ CẤP QUYỀN CHO NGƯỜI DÙNG(tt) 25 Tạo user gán tablespace, cấp phát quota, và thay đổi password lần đầu tiên đăng nhập hệ thống CREATE USER paris IDENTIFIED BY p123 DEFAULT TABLESPACE users TEMPORARY TABLESPACE temp QUOTA 100m ON users QUOTA 0 ON system Password EXPIRE TẠO VÀ CẤP QUYỀN CHO NGƯỜI DÙNG(tt) 26 Thay đổi đặc tính user ALTER USER userid [IDENTIFIED BY password | EXTERNALLY] [DEFAULT TABLESPACE tablespace] [TEMPORARY TABLESPACE tablespace] [QUOTA value | UNLIMITED] ON tablespace] ... [PROFILE profile] [Password EXPIRE] [ACCOUNT ] [DEFAULT ROLE <ROLE [, ROLE]... | ALL [EXCEPT ROLE [, ROLE]...] | NONE >] 09/02/2012 14 TẠO VÀ CẤP QUYỀN CHO NGƯỜI DÙNG(tt) 27  Thay đổi password: ALTER USER salapati IDENTIFIED BY susana;  Chuyển password hết hạn ALTER USER salapati PASSWORD EXPIRE;  Thay đổi trạng thái tài khoản (lock/unlock) của một user để cho phép/không cho phép user đó truy xuất vào CSDL. ALTER USER salapati ACCOUNT LOCK; ALTER USER paris ACCOUNT UNLOCK;  Xem trạng thái tài khoản (Account Status) của tất cả các user: SELECT username, account_status FROM dba_users; TẠO VÀ CẤP QUYỀN CHO NGƯỜI DÙNG(tt) 28  Xóa User DROP USER userid [CASCADE] Lưu ý: Khi user đã có object thì phải dùng thêm tùy chọn CASCADE DROP USER salapati CASCADE 09/02/2012 15 USER PROFILE 29  Profile là một tập hợp có tên của các giới hạn tài nguyên, được gán cho một hay nhiều user trong CSDL Oracle.  Sử dụng Profile Hạn chế users thực hiện các thao tác đòi hỏi sử dụng nhiều tài nguyên hệ thống. Đảm bảo cắt kết nối của users với database mỗi khi session của user đó không hoạt động nữa. Quản lý việc sử dụng tài nguyên dạng dữ liệu lớn và phức tạp trong hệ thống database có nhiều người dùng. Điều chỉnh việc sử dụng mật khẩu của user. USER PROFILE (tt) 30  Cú pháp Tạo Profile CREATE PROFILE name_profile LIMIT [SESSIONS_PER_USER max_value] [CPU_PER_SESSION max_value] [CPU_PER_CALL max_value] [FAILED_LOGIN_ATTEMPTS max_value] [PASSWORD_LIFE_TIME max_value] [PASSWORD_REUSE_TIME max_value [PASSWORD_REUSE_MAX} max_value] [ACCOUNT_LOCK_TIME max_value] [PASSWORD_GRACE_TIME max_value] 09/02/2012 16 USER PROFILE (tt) 31  Thiết lập các giới hạn về tài nguyên Tài nguyên Diễn giải CPU_PER_SESSION Tổng lượng thời gian CPU, được xác định theo đơn vị trăm giây. SESSIONS_PER_USER Số lượng tối đa các session có thể sử dụng đồng thời bởi cùng một user CONNECT_TIME Thời gian kết nối tối đa, tính theo đơn vị phút IDLE_TIME Thời gian trễ, tính theo đơn vị phút LOGICAL_READS_PER_SESSION Số lượng block dữ liệu được đọc PRIVATE_SGA Vùng không gian giành riêng trong SGA, tính theo đơn vị byte LOGICAL_READS_PER_CALL Số lượng block được đọc tối đa CPU_PER_CALL Thời gian sử dụng CPU cho mỗi lần gọi, tính theo đơn vị trăm giây. USER PROFILE (tt) 32  Các tham số điều chỉnh mật khẩu Tài nguyên Diễn giải FAILED_LOGIN_ATTEMPTS Số lần kết nối hỏng (do nhập sai tên hay mật khẩu) tối đa PASSWORD_LOCK_TIME Số ngày lock account của user kể từ khi hết hạn sử dụng mật khẩu PASSWORD_LIFE_TIME Số ngày sử dụng mật khẩu mới kết từ khi bắt đầu thay đổi mật khẩu PASSWORD_GRACE_TIME Thời gian gia hạn cho việc thay đổi mật khẩu bắt đầu sau khi mk truy cập hết hạn PASSWORD_REUSE_TIME Thời gian tối thiểu tính theo ngày, có thể tái sử dụng mật khẩu cũ PASSWORD_REUSE_MAX Số lần tối đa có thể sử dụng lại một mật khẩu. PASSWORD_VERIFY_FUNCTION Hàm PL/SQL thực hiện mã hoá và kiểm tra mật khẩu trước khi nó được sử dụng 09/02/2012 17 USER PROFILE (tt) 33 Ví dụ: CREATE PROFILE app_user LIMIT FAILED_LOGIN_ATTEMPTS 3 SESSIONS_PER_USER UNLIMITED CPU_PER_SESSION UNLIMITED CPU_PER_CALL 3000 CONNECT_TIME 45 IDLE_TIME 60 Lưu ý, để tạo PROFILE, cần có quyền CREATE PROFILE. USER PROFILE (tt) 34  Gán profile cho user khi tạo mới user: CREATE USER salapati IDENTIFIED BY sammyy1 TEMPORARY TABLESPACE TEMPTBS01 DEFAULT TABLESPACE USERS GRANT QUOTA 500M ON USERS PROFILE app_user;  Gán profile cho user đã tồn tại: ALTER USER salapati PROFILE app_user; 09/02/2012 18 USER PROFILE (tt) 35  Khi tạo mới user, nếu không gán tường minh thì user sẽ được gán profile mặc định: - CREATE USER venice IDENTIFIED BY sammyy1; - SELECT profile FROM dba_users WHERE username = 'VENICE'; USER PROFILE (tt) 36  Thay đổi profile Cú pháp: ALTER PROFILE profilename LIMIT [SESSIONS_PER_USER max_value] [CPU_PER_SESSION max_value] ... Ví dụ: ALTER PROFILE app_user LIMIT SESSIONS_PER_USER 4 FAILED_LOGIN_ATTEMPTS 4; 09/02/2012 19 USER PROFILE (tt) 37  Xóa profile: Cú pháp: DROP PROFILE profileNAME [CASCADE] - Với: CASCADE huỷ tất cả các profile đã được gán cho user. Ví dụ: DROP PROFILE app_user; Hoặc DROP PROFILE app_user CASCADE; Quyền và role 38  Quyền (privilege): quyền là 1 sự cho phép thực hiện 1 câu lệnh SQL nào đó hoặc được phép truy xuất đến một đối tượng nào đó (vd: quyền tạo bảng CREATE TABLE, quyền connect đến cơ sở dữ liệu CREATE SESSION, quyền SELECT trên một bảng cụ thể nào đó,).  Chỉ cấp cho user chính xác những quyền mà user cần đến. Việc cấp dư thừa những quyền không cần thiết có thể gây nguy hại cho việc bảo mật hệ thống.  Có 2 loại quyền:  Quyền hệ thống: cấp quyền truy cập vào cơ sở dữ liệu.  Quyền trên đối tượng: thao tác trên đối tượng cơ sở dữ liệu 09/02/2012 20 Quyền và role (tt) 39  Cú pháp cấp quyền: GRANT ON TO [WITH ADMIN OPTION]  Các quyền hệ thống gồm: - CREATE SESSION - CREATE CONNECT - CREATE TABLE - CREATE RESOURCE - CREATE SEQUENCE - CREATE VIEW - CREATE PROCEDURE - CREATE FUNCTION, Quyền và role (tt) 40  Trong đó: : read, select, write (ghi), insert update, delete, create, run. Đây là các thao tác được thực hien trong SQL : tên bảng, tên khung nhìn : tên một user, một nhóm user hay một danh sách user Từ khóa WITH GRANT OPTION đảm bảo cho người dùng trong có thể tiếp tục lan truyền các quyền và được cấp cho những người dùng khác 09/02/2012 21 Quyền và role (tt) 41  Cấp quyền cho user salapati các quyền sau:  GRANT CREATE SESSION TO salapati  GRANT create table, create view TO salapati  GRANT select ON NhanVien TO salapati  GRANT update (MaCN) ON PhongBan TO salapati  GRANT insert ON PhongBan TO salapati  GRANT select ON NhanVien TO salapati WITH ADMIN OPTION Quyền và role (tt) 42  Role: là một tập hợp bao gồm các quyền và các role khác  Role giúp cho việc quản trị người dùng dễ dàng và tiết kiệm công sức hơn. 09/02/2012 22 Quyền và role (tt) 43  Có một số role có sẵn do hệ thống định nghĩa(vd: DBA, RESOURCE, CONNECT,) nhưng đa phần các role là do người quản trị CSDL tạo ra.  Role không phải là một đối tượng schema (schema object) nên không được lưu trữ trong schema của user tạo ra nó. Do vậy, user tạo ra một role có thể bị xóa mà không ảnh hưởng đến role đó.  Điều kiện để user có thể cấp 1 role:  User đã được cấp role đó với tùy chọn WITH ADMIN OPTION.  User có quyền GRANT ANY ROLE. Quyền và role (tt) 44  Cấp quyền hệ thống tạo role cho salapati Grant create role to salapati  Đăng nhập và salapati và tạo role CREATE ROLE myrole;  Gán quyền hệ thống GRANT DELETE ANY TABLE TO salapati; GRANT CREATE USER TO myrole;  Gán role cho salapati GRANT myrole TO salapati; 09/02/2012 23 Quyền và role (tt) 45  Dùng từ khóa PUBLIC nếu muốn cấp quyền/role cho mọi user: GRANT CREATE SESSION TO PUBLIC;  Dùng từ khóa ALL PRIVILEGES nếu muốn cấp tất cả các quyền hệ thống (trừ quyền SELECT ANY DICTIONARY): GRANT ALL PRIVILEGES TO salapati;  Tùy chọn WITH ADMIN OPTION sẽ cho phép người được cấp role/quyền: GRANT CREATE SESSION TO salapati WITH ADMIN OPTION; Quyền và role (tt) 46  Quyền trên đối tượng 09/02/2012 24 Quyền và role (tt) 47  Cú pháp gán quyền đối tượng • Gán quyền đối tượng – GRANT SELECT,INSERT,UPDATE,DELETE ON mytable TO salapati; – GRANT SELECT ON salapati.xyz TO myrole; – GRANT update (department_name, location_id) ON departments TO scott, manager; Quyền và role (tt) 48  Cấp quyền cho nhóm quyền:  GRANT create table, create view TO myrole;  GRANT select any table TO myrole;  GRANT update any table TO myrole;  GRANT select_catalog_role TO myrole;  GRANT exp_full_database TO myrole;  GRANT imp_full_database TO myrole;  Cấp nhóm quyền vừa tạo cho user salapati  GRANT myrole TO salapati; 09/02/2012 25 Quyền và role (tt) 49  Xem thông tin các quyền hệ thống đã được gán cho user hiện tại:  SELECT * FROM user_sys_privs;  Xem thông tin các quyền đối tượng đã được gán cho user hiện tại:  SELECT * FROM user_tab_privs_recd; Quyền và role (tt) 50 09/02/2012 26 Quyền và role (tt) 51  Thu hồi quyền hệ thống/role:  Ví dụ  REVOKE DELETE ANY TABLE FROM salapati;  Dùng từ khóa PUBLIC để thu hồi 1 quyền hệ thống/role khỏi tất cả các user.  REVOKE CREATE SESSION FROM PUBLIC; Quyền và role (tt) 52  Thu hồi quyền trên đối tượng  Ví dụ:  REVOKE SELECT ON mytable FROM salapati; 09/02/2012 27 Từ điển dữ liệu 53  Mọi CSDL Oracle đều có một tự điển dữ liệu. Tự điển dữ liệu được tạo ra khi CSDL được tạo.  Tự điển dữ liệu trong Oracle là một tập các bảng và view được sử dụng như một tham khảo dạng chỉ đọc (read- only) về bản thân CSDL đó.  Tự điển dữ liệu nằm trên tablespace SYSTEM, thuộc schema của user SYS Từ điển dữ liệu (tt) 54  Một tự điển dữ liệu sẽ lưu trữ tất cả các thông tin về cấu trúc luận lý và cấu trúc vật lý của CSDL:  Định nghĩa của tất cả các đối tượng schema trong CSDL.  Các quy định, giới hạn về sử dụng tài nguyên của các user,v.v  Danh sách các user. Các quyền, role được cấp cho các user.  Các ràng buộc toàn vẹn của dữ liệu  Thông tin audit  Các thông tin CSDL tổng quát khác.  Oracle tự động cập nhật từ điển dữ liệu để phản ánh chính xác trạng thái thực tế của CSDL. 09/02/2012 28 Từ điển dữ liệu (tt) 55  Trong nhiều trường hợp, một tập gồm 3 view chứa những thông tin tương tự như và tên của chúng chỉ khác nhau ở các tiếp đầu ngữ: user, all, dba. USER: hiển thị những gì thuộc schema của user đó. ALL: hiển thị những gì mà user đó có thể truy xuất. DBA: hiển thị tất cả thông tin thuộc schema của mọi user (view dành cho những người quản trị).  Các column trong các view thuộc 1 bộ ba view hầu như là giống nhau, ngoại trừ một số ngoại lệ. Từ điển dữ liệu (tt) 56  DBA_USERS: cung cấp thông tin của các user trong CSDL.  DBA_TABLES: cung cấp thông tin các bảng  DBA_TAB_Columns: cung cấp thông tin các cột  DBA_TS_QUOTAS: cung cấp thông tin quota của các user.  DBA_PROFILES: cung cấp thông tin về các profile.  DBA_SYS_PRIVS: hiển thị những user được cấp các quyền hệ thống.  DBA_ROLES: hiển thị tất cả các role có trong CSDL.  DBA_COL_PRIVS: hiển thị thông tin về việc gán quyền hệ thống mức cột.  DBA_ROLE_PRIVS: hiển thị tất cả các user và role của họ. 09/02/2012 29 Từ điển dữ liệu (tt) 57  DBA_TAB_PRIVS: hiển thị các user và quyền trên các bảng của họ.  DBA_audit_trail: cung cấp thông tin kiểm soát  DBA_audit_object: cung cấp thông tin kiểm soát các đối tượng  ROLE_ROLE_PRIVS: hiển thị thông tin về các role được cấp cho các role.  ROLE_SYS_PRIVS: hiển thị các quyền hệ thống được cấp cho các role.  ROLE_TAB_PRIVS: hiển thị các quyền trên các bảng được cấp cho các role.  SESSION_PRIVS: hiển thị các quyền hiện tại được enable cho user.  SESSION_ROLES: hiển thị các role hiện tại đang được enable cho user.