当前位置: 代码迷 >> Oracle开发 >> Oracle学习第二天-Profile的使用
  详细解决方案

Oracle学习第二天-Profile的使用

热度:145   发布时间:2016-04-24 06:24:49.0
Oracle学习第二天---Profile的使用

环境:Oracle 11g

一.权限的传递

  1.如果传递的是对象权限,就在后面加入with grant option;

  eg:system用户有张temp的表,只想usertest用户拥有查询的权限,则:

grant select on temp to usertest with grant option;

  2.如果传递的是系统权限,则加入with admin option;

  eg:system用户将connect角色传递给usertest用户:

grant connect to usertest with admin option;

二.Profile使用详解

  1.目的:

  Oracle数据库系统中的Profile可以用来对用户所能使用的数据库资源进行限制,使用create Profile命令创建一个Profile,用它来实现对数据库资源的限制使用。如果将Profile分配给用户,则该用户所能使用的数据库资源都在该Profile的限制之内。

  2.条件:

  必须拥有dba的权限才能配置Profile文件。

  3.语法:

 CREATE PROFILE profile

  LIMIT { resource_parameters

 

  | password_parameters

 

  }

 

  [ resource_parameters

 

  | password_parameters

 

  ]... ;

 

  <resource_parameters>

 

  { { SESSIONS_PER_USER

 

  | CPU_PER_SESSION

 

  | CPU_PER_CALL

 

  | CONNECT_TIME

 

  | IDLE_TIME

 

  | LOGICAL_READS_PER_SESSION

 

  | LOGICAL_READS_PER_CALL

 

  | COMPOSITE_LIMIT

 

  }

 

  { integer | UNLIMITED | DEFAULT }

 

  | PRIVATE_SGA

 

  { integer [ K | M ] | UNLIMITED | DEFAULT }

 

  }

  4.语法解释:

  Resource_parameter部分
       Session_per_user:指定限制用户的并发会话的数目。
       Cpu_per_session:指定会话的CPU时间限制,单位为百分之一秒。
       Cpu_per_call:指定一次调用(解析、执行和提取)的CPU时间限制,单位为百分之一秒。
       Connect_time:指定会话的总的连接时间,以分钟为单位。
       Idle_time:指定会话允许连续不活动的总的时间,以分钟为单位,超过该时间,会话将断开。但是长时间运行查询和其他操作的不受此限制。
       Logical_reads_per_session:指定一个会话允许读的数据块的数目,包括从内存和磁盘读的所有数据块。
       Logical_read_per_call:指定一次执行SQL(解析、执行和提取)调用所允许读的数据块的最大数目。
       Private_sga:指定一个会话可以在共享池(SGA)中所允许分配的最大空间,以字节为单位。(该限制只在使用共享服务器结构时才有效,会话在SGA中的私有空间包括私有的SQL和PL/SQL,但不包括共享的SQL和PL/SQL)。
       Composite_limit:指定一个会话的总的资源消耗,以service units单位表示。Oracle数据库以有利的方式计算cpu_per_session,connect_time,logical_reads_per_session和private-sga总的service units
      
       Password_parameter部分:  
       Failed_login_attempts:指定在帐户被锁定之前所允许尝试登陆的的最大次数。
       Password_life_time:指定同一密码所允许使用的天数。如果同时指定了password_grace_time参数,如果在grace period内没有改变密码,则密码会失效,连接数据库被拒绝。如果没有设置password_grace_time参数,默认值unlimited将引发一个数据库警告,但是允许用户继续连接。
       Password_reuse_time和password_reuse_max:这两个参数必须互相关联设置,password_reuse_time指定了密码不能重用前的天数,而password_reuse_max则指定了当前密码被重用之前密码改变的次数。两个参数都必须被设置为整数。
       1>.如果为这两个参数指定了整数,则用户不能重用密码直到密码被改变了password_reuse_max指定的次数以后在password_reuse_time指定的时间内。
       如:password_reuse_time=30,password_reuse_max=10,用户可以在30天以后重用该密码,要求密码必须被改变超过10次。
       2>.如果指定了其中的一个为整数,而另一个为unlimited,则用户永远不能重用一个密码。
       3>.如果指定了其中的一个为default,Oracle数据库使用定义在profile中的默认值,默认情况下,所有的参数在profile中都被设置为unlimited,如果没有改变profile默认值,数据库对该值总是默认为unlimited。
       4>.如果两个参数都设置为unlimited,则数据库忽略他们。
       Password_lock_time:指定登陆尝试失败次数到达后帐户的缩定时间,以天为单位。
       Password_grace_time:指定宽限天数,数据库发出警告到登陆失效前的天数。如果数据库密码在这中间没有被修改,则过期会失效。
       Password_verify_function:该字段允许将复杂的PL/SQL密码验证脚本做为参数传递到create profile语句。Oracle数据库提供了一个默认的脚本,但是自己可以创建自己的验证规则或使用第三方软件验证。 对Function名称,指定的是密码验证规则的名称,指定为Null则意味着不使用密码验证功能。如果为密码参数指定表达式,则该表达式可以是任意格式,除了数据库标量子查询。

  5.实例:

  实例1>限制usertest用户尝试输入密码的次数为3次,3次输入错误,则锁定账号3天:

 

  账户的解锁,使用如下语句:

    SQL>alter user usertest(your_user_name) account unlock;

   实例2>强制用户定期修改密码。让usertest用户每隔10天修改登陆密码,宽限期为2天:

  实例3>希望用户在修改密码的时候不能使用上一次使用过的密码:

  使用口令历史,这样Oracle数据库就会将口令修改的信息存放到数据字典中,这样当用户修改密码时,就会对新旧密码进行匹配,发现一致时,提醒用户重新输入密码

  6.删除Profile配置

drop profile your_profile_name [cascade];

 

  相关解决方案