數(shù)據(jù)庫系統(tǒng)管理與應(yīng)用 課件 知識(shí)點(diǎn)6.2 用戶管理改

達(dá)夢(mèng)數(shù)據(jù)庫用戶管理數(shù)據(jù)庫系統(tǒng)管理與應(yīng)用

習(xí)標(biāo)學(xué)目達(dá)夢(mèng)數(shù)據(jù)庫初始用戶01創(chuàng)建用戶02修改用戶03刪除用戶04達(dá)夢(mèng)數(shù)據(jù)庫初始用戶01數(shù)據(jù)庫管理員DBA數(shù)據(jù)庫安全員SSO數(shù)據(jù)庫審計(jì)員AUDITOR達(dá)夢(mèng)數(shù)據(jù)庫初始用戶數(shù)據(jù)庫對(duì)象操作員DBO用戶名：SYSDBA默認(rèn)口令：SYSDBA用戶名：SYSSSO默認(rèn)口令：SYSSSO用戶名：SYSAUDITOR默認(rèn)口令：SYSAUDITOR用戶名：SYSDBO默認(rèn)口令：SYSDBO01數(shù)據(jù)庫管理員（DBA）每個(gè)數(shù)據(jù)庫至少需要一個(gè)DBA來管理，DBA可以是一個(gè)人，也可以是一個(gè)團(tuán)隊(duì)。達(dá)夢(mèng)數(shù)據(jù)庫初始用戶數(shù)據(jù)庫管理員的職責(zé)主要包括：評(píng)估數(shù)據(jù)庫服務(wù)器所需的軟、硬件運(yùn)行環(huán)境；安裝和升級(jí)達(dá)夢(mèng)服務(wù)器；數(shù)據(jù)庫結(jié)構(gòu)設(shè)計(jì)；監(jiān)控和優(yōu)化數(shù)據(jù)庫的性能；計(jì)劃和實(shí)施備份與故障恢復(fù)。02數(shù)據(jù)庫安全員（SSO）數(shù)據(jù)庫安全員對(duì)于限制和監(jiān)控?cái)?shù)據(jù)庫管理員的所有行為起著至關(guān)重要的作用。達(dá)夢(mèng)數(shù)據(jù)庫初始用戶主要職責(zé)：制定并應(yīng)用安全策略，強(qiáng)化系統(tǒng)安全機(jī)制。數(shù)據(jù)庫安全員SYSSSO是達(dá)夢(mèng)數(shù)據(jù)庫初始化的時(shí)候就已經(jīng)創(chuàng)建好的，可以使用該用戶登錄到達(dá)夢(mèng)數(shù)據(jù)庫來創(chuàng)建新的數(shù)據(jù)庫安全員。數(shù)據(jù)庫安全員也可以創(chuàng)建和刪除新的安全用戶，向這些用戶授予和回收安全相關(guān)的權(quán)限。數(shù)據(jù)庫安全員不能對(duì)用戶數(shù)據(jù)進(jìn)行增、刪、改、查，也不能執(zhí)行普通的DDL操作，如創(chuàng)建表、視圖等。他們只負(fù)責(zé)制定安全機(jī)制，將合適的安全標(biāo)記應(yīng)用到主體和客體，通過這種方式可以有效的對(duì)DBA的權(quán)限進(jìn)行限制，DBA此后就不能直接訪問添加有安全標(biāo)記的數(shù)據(jù)，除非安全員給DBA也設(shè)定了與之匹配的安全標(biāo)記，DBA的權(quán)限受到了有效的約束。數(shù)據(jù)庫安全員用戶或者新的數(shù)據(jù)庫安全員都可以制定自己的安全策略，在安全策略中定義安全級(jí)別、范圍和組，然后基于定義的安全級(jí)別、范圍和組來創(chuàng)建安全標(biāo)記，并將安全標(biāo)記分別應(yīng)用到主體和客體，以便啟用強(qiáng)制訪問控制功能。03數(shù)據(jù)庫審計(jì)員（AUDITOR）數(shù)據(jù)庫審計(jì)員對(duì)于限制和監(jiān)控?cái)?shù)據(jù)庫管理員的所有行為起著至關(guān)重要的作用。達(dá)夢(mèng)數(shù)據(jù)庫初始用戶主要職責(zé)：創(chuàng)建和刪除數(shù)據(jù)庫審計(jì)員，設(shè)置/取消對(duì)數(shù)據(jù)庫對(duì)象和操作的審計(jì)設(shè)置，查看和分析審計(jì)記錄等。為了能夠及時(shí)找到DBA或者其他用戶的非法操作，在達(dá)夢(mèng)數(shù)據(jù)庫系統(tǒng)建設(shè)初期，就由數(shù)據(jù)庫審計(jì)員（SYSAUDITOR或者其他由SYSAUDITOR創(chuàng)建的審計(jì)員）來設(shè)置審計(jì)策略（包括審計(jì)對(duì)象和操作），在需要時(shí)，數(shù)據(jù)庫審計(jì)員可以查看審計(jì)記錄，及時(shí)分析并查找出幕后真兇。達(dá)夢(mèng)數(shù)據(jù)庫初始化時(shí)創(chuàng)建的數(shù)據(jù)庫審計(jì)員為SYSAUDITOR，缺省口令為SYSAUDITOR。04數(shù)據(jù)庫對(duì)象操作員（DBO）達(dá)夢(mèng)數(shù)據(jù)庫初始用戶數(shù)據(jù)庫對(duì)象操作員是達(dá)夢(mèng)安全版本提供的一類用戶，使用安全版本時(shí)，可在創(chuàng)建達(dá)夢(mèng)數(shù)據(jù)庫時(shí)通過建庫參數(shù)PRIV_FLAG設(shè)置使用“三權(quán)分立”或“四權(quán)分立”安全機(jī)制，0表示“三權(quán)分立”，1表示“四權(quán)分立”（該參數(shù)僅安全版本提供）。采用“四權(quán)分立”安全機(jī)制新增的數(shù)據(jù)庫對(duì)象操作員賬戶SYSDBO，其缺省口令為SYSDBO。數(shù)據(jù)庫對(duì)象操作員可以創(chuàng)建數(shù)據(jù)庫對(duì)象，并對(duì)自己擁有的數(shù)據(jù)庫對(duì)象（表、視圖、存儲(chǔ)過程、序列、包、外部鏈接等）具有所有的對(duì)象權(quán)限并可以授予與回收，但其無法管理與維護(hù)數(shù)據(jù)庫對(duì)象。

習(xí)標(biāo)學(xué)目達(dá)夢(mèng)數(shù)據(jù)庫初始用戶01創(chuàng)建用戶02修改用戶03刪除用戶04創(chuàng)建用戶0201SQL命令創(chuàng)建用戶--命令格式創(chuàng)建用戶語法格式如下：CREATEUSER<用戶名>IDENTIFIED<身份驗(yàn)證模式>[PASSWORD_POLICY<密碼策略>][<鎖定子句>][<存儲(chǔ)加密秘鑰>][<空間限制子句>][<只讀標(biāo)志>][<資源限制子句>][<允許IP子句>][<禁止IP子句>][<允許時(shí)間子句>][<禁止時(shí)間子句>][<TABLESPACE子句>][<INDEX_TABLESPACE子句>];創(chuàng)建用戶的操作一般只能由系統(tǒng)預(yù)設(shè)用戶SYSDBA、SYSSSO和SYSAUDITOR完成，如果普通用戶需要?jiǎng)?chuàng)建用戶，必須具有CREATEUSER權(quán)限。創(chuàng)建用戶包括為用戶指定用戶名、認(rèn)證模式、口令、口令策略、空間限制、只讀屬性以及資源限制。01SQL命令創(chuàng)建用戶命令中各子句說明創(chuàng)建用戶<用戶名>::=長(zhǎng)度為1~128個(gè)字符。用戶名可以用雙引號(hào)括起來，也可以不用，但如果用戶名以數(shù)字開頭，必須用雙引號(hào)括起來。<身份驗(yàn)證模式>::=<數(shù)據(jù)庫身份驗(yàn)證模式>|<外部身份驗(yàn)證模式><數(shù)據(jù)庫身份驗(yàn)證模式>::=BY<密碼>[<散列選項(xiàng)>]<密碼>::=用戶密碼最長(zhǎng)為48字節(jié)<散列選項(xiàng)>::=HASHWITH[<密碼引擎名>.]<散列算法>[<加鹽選項(xiàng)>]<散列算法>::=MD5|SHA1|SHA224|SHA256|SHA384|SHA512<加鹽選項(xiàng)>::=[NO]SALT<外部身份驗(yàn)證模式>::=EXTERNALLY|EXTERNALLYAS<用戶DN>外部身份驗(yàn)證僅在達(dá)夢(mèng)安全版本中才提供支持。外部身份驗(yàn)證模式支持基于操作系統(tǒng)(OS)的身份驗(yàn)證、LDAP身份驗(yàn)證和KERBEROS身份驗(yàn)證。01SQL命令創(chuàng)建用戶命令中各子句說明創(chuàng)建用戶<密碼策略>::=密碼策略項(xiàng)的任意組合，系統(tǒng)支持的口令策略有：0無限制，但總長(zhǎng)度不得超過48個(gè)字節(jié)；1禁止與用戶名相同；2口令長(zhǎng)度不小于9字節(jié)；4至少包含一個(gè)大寫字母（A-Z）；8至少包含一個(gè)數(shù)字（0-9）；16至少包含一個(gè)標(biāo)點(diǎn)符號(hào)（英文輸入法狀態(tài)下，除‘’和空格外的所有符號(hào)）密碼策略可以單獨(dú)應(yīng)用，也可組合應(yīng)用。組合應(yīng)用時(shí)，如需要應(yīng)用策略2和4，則設(shè)置密碼策略為2+4=6即可。若在創(chuàng)建用戶時(shí)沒有使用PASSWORD_POLICY<口令策略>子句指定用戶的密碼策略，則使用系統(tǒng)的默認(rèn)口令策略2。<鎖定子句>::=ACCOUNTLOCK|ACCOUNTUNLOCK<存儲(chǔ)加密秘鑰>::=ENCRYPTBY<口令><空間限制子句>::=DISKSPACELIMIT<空間大小>|DISKSPACEUNLIMITED<只讀標(biāo)志>::=READONLY|NOTREADONLY01SQL命令創(chuàng)建用戶命令中各子句說明創(chuàng)建用戶<資源限制子句>::=LIMIT<資源設(shè)置項(xiàng)>{<資源設(shè)置項(xiàng)>……}<資源設(shè)置項(xiàng)>::=SESSION_PER_USER<參數(shù)設(shè)置>#最大會(huì)話數(shù)：1~32768，默認(rèn)值0CONNECT_TIME<參數(shù)設(shè)置>#會(huì)話空閑期，單位分鐘，1~1440，默認(rèn)值0CONNECT_IDLE_TIME<參數(shù)設(shè)置>#會(huì)話持續(xù)期，單位分鐘，1~1440，默認(rèn)值0FAILED_LOGIN_ATTEMPS<參數(shù)設(shè)置>#登陸失敗次數(shù)，單位次，1~100，默認(rèn)值3PASSWORD_LIFE_TIME<參數(shù)設(shè)置>#口令有效期，單位天，1~365，默認(rèn)值0PASSWORD_REUSE_TIME<參數(shù)設(shè)置>#口令等待期，單位天，1~365，默認(rèn)值0PASSWORD_REUSE_MAX<參數(shù)設(shè)置>#口令變更次數(shù)，單位次，1~32768，默認(rèn)值0PASSWORD_LOCK_TIME<參數(shù)設(shè)置>#口令鎖定期，單位分鐘，1~1440，默認(rèn)值1PASSWORD_GRACE_TIME<參數(shù)設(shè)置>#口令寬限期，單位天，1~30，默認(rèn)值0CPU_PER_SESSION<參數(shù)設(shè)置>#會(huì)話使用CPU時(shí)間，單位秒，1~31536000，默認(rèn)值0CPU_PER_CALL<參數(shù)設(shè)置>#請(qǐng)求使用CPU時(shí)間，，單位秒，1~86400，默認(rèn)值0READ_PER_SESSION<參數(shù)設(shè)置>#會(huì)話讀取頁數(shù)1~2147483646，默認(rèn)值0READ_PER_CALL<參數(shù)設(shè)置>#請(qǐng)求讀取頁數(shù)，1~2147483646，默認(rèn)值0MEM_SPACE<參數(shù)設(shè)置>#會(huì)話私有內(nèi)存，1~2147483646，默認(rèn)值0<參數(shù)設(shè)置>::=<參數(shù)值>|UNLIMITED#參數(shù)值最小值都是1，0表示無限制。01SQL命令創(chuàng)建用戶命令中各子句說明創(chuàng)建用戶<允許IP子句>::=ALLOW_IP<IP項(xiàng)>{,<IP項(xiàng)>}<禁止IP子句>::=NOT_ALLOW_IP<IP項(xiàng)>{,<IP項(xiàng)>}<IP項(xiàng)>::=<具體IP>|<網(wǎng)段><允許時(shí)間子句>::=ALLOW_DATETIME<時(shí)間項(xiàng)>{,<時(shí)間項(xiàng)>}<禁止時(shí)間子句>::=NOT_ALLOW_DATETIME<時(shí)間項(xiàng)>{,<時(shí)間項(xiàng)>}<時(shí)間項(xiàng)>::=<具體時(shí)間段>|<規(guī)則時(shí)間段><具體時(shí)間段>::=<具體日期><具體時(shí)間>TO<具體日期><具體時(shí)間><規(guī)則時(shí)間段>::=<規(guī)則時(shí)間標(biāo)志><具體時(shí)間>TO<規(guī)則時(shí)間標(biāo)志><具體時(shí)間><規(guī)則時(shí)間標(biāo)志>::=MON|TUE|WED|THURS|FRI|SAT|SUN<TABLESPACE子句>::=DEFAULTTABLESPACE<表空間名><INDEX_TABLESPACE子句>::=DEFAULTINDEXTABLESPACE<表空間名>02DM管理工具創(chuàng)建用戶創(chuàng)建用戶使用SYSDBA用戶登錄DM管理工具，展開用戶模塊，右鍵單擊【管理用戶】，選擇【新建用戶】，在打開的“新建用戶”窗口，在【常規(guī)】選項(xiàng)卡輸入用戶名、密碼信息，選擇驗(yàn)證方式，設(shè)置密碼策略，并關(guān)聯(lián)相應(yīng)表空間。02DM管理工具創(chuàng)建用戶創(chuàng)建用戶在【資源設(shè)置項(xiàng)】選項(xiàng)卡輸入相應(yīng)資源設(shè)置項(xiàng)的參數(shù)值。如下圖所示。02DM管理工具創(chuàng)建用戶創(chuàng)建用戶在管理工具中，默認(rèn)設(shè)置情況如下：用戶名、口令、表空間名可以帶雙引號(hào)，也可以不帶；表空間名不帶雙引號(hào)的時(shí)候，會(huì)被管理工具轉(zhuǎn)換為大寫；表空間名帶上雙引號(hào)的時(shí)候，會(huì)保持原來的大小寫；用戶名不管是否加雙引號(hào)，都會(huì)轉(zhuǎn)換成大寫；口令不管是否加雙引號(hào)，都會(huì)保持原來的大小寫。修改用戶0301SQL命令修改用戶修改用戶語法格式如下：ALTERUSER<用戶名>[IDENTIFIED<身份驗(yàn)證模式>][PASSWORD_POLICY<口令策略>][<鎖定子句>][<存儲(chǔ)加密密鑰>][<空間限制子句>][<只讀標(biāo)志>][<資源限制子句>][<允許IP子句>][<禁止IP子句>][<允許時(shí)間子句>][<禁止時(shí)間子句>][<TABLESPACE子句>][<SCHEMA子句>];每個(gè)子句的具體語法與創(chuàng)建用戶的語法一致。用戶信息可以修改，SYSDBA、SYSSSO、SYSAUDITOR可以無條件修改同類型的用戶的信息；普通用戶修改信息，必須具有ALTERUSER數(shù)據(jù)庫權(quán)限。使用ALTERUSER語句可修改用戶口令、用戶的口令策略、空間限制、只讀屬性以及資源限制等。修改用戶口令時(shí)，口令策略應(yīng)符合創(chuàng)建該用戶時(shí)指定的口令策略02DM管理工具修改用戶修改用戶方法如下：使用SYSDBA用戶登錄DM管理工具，展開【用戶】-【管理用戶】節(jié)點(diǎn)，在需要修改的用戶上右鍵單擊【修改】選項(xiàng)，在打開的“修改用戶”窗口修改用戶信息。見圖所示。刪除用戶0401SQL命令刪除用戶刪除用戶語法格式如下：DROPUSER[IFEXISTS]<用戶名>[RESTRICT|CASCADE];說用說明：[IFEXISTS]選項(xiàng)，指定該關(guān)鍵字刪除不存在的用戶時(shí)不會(huì)報(bào)錯(cuò)，否則會(huì)報(bào)錯(cuò)。[RESTRICT|CASCADE]選項(xiàng)，缺省使用RESTRICT選項(xiàng)。如果在刪除用戶時(shí)未使用CASCADE選項(xiàng)，若該用戶建立了數(shù)據(jù)庫對(duì)象，達(dá)夢(mèng)數(shù)據(jù)庫將返回錯(cuò)誤信息，而不刪除此用戶。如果在刪除用戶時(shí)使用了CASCADE選項(xiàng)，除數(shù)據(jù)庫中該用戶及其創(chuàng)建的所有對(duì)象被刪除外，若其他用戶創(chuàng)建的對(duì)象引用了該用戶的對(duì)象，達(dá)夢(mèng)數(shù)據(jù)庫還將自動(dòng)刪除相應(yīng)的引用完整性約束及依賴關(guān)系。刪除用戶的操作一般由SYSDBA、SYSSSO、SYSAUDITOR用戶完成，他們可以刪除同類型的其他用戶；普通用戶要?jiǎng)h除其他用戶，需要具有DROPUSER權(quán)限。02DM管理工具刪除用戶刪除用戶使用SYS