Характеристики и квоты различных табличных пространств.

Табличное пространство – это дисковое пространство, где можно хранить создаваемые объекты: таблицы, виды, триггеры …

Существует три типа табличных пространств:

· табличные пространства по умолчанию

· временные табличные пространства

· квоты пользователя для каждого табличного пространства, к которому пользователь имеет доступ

При создании пользователя необходимо назначить как минимум два пространства: пространство для создания файлов (здесь можно использовать квоты ограниченные и неограниченные) и временное пространство. На временное пространство не назначаются никакие квоты, и оно используется только для выполнения операций SQL для создания временных сегментов: выборка, выполнение транзакции. После завершения операции временное пространство освобождается от пользователя.

Каждому пользователю может быть назначена квота для любого табличного пространства, которое существует в БД. Как уже было сказано, квоты бывают ограниченные и неограниченные. Ограниченные квоты определяют размер объектов.

Через команду ALTER USER можно изменять квоты на различные табличные пространства. При нулевой квоте пользователь к табличным пространствам не имеет, но при этом объекты существуют.

Есть специальная группа пользователей, которая носит название public. Эта группа предоставляет доступ к объектам схемы, при этом она снабжает пользователей специфическими системными привилегиями. Каждый пользователь принадлежит автоматически этой группе. При назначении системных привилегий или ролей группе public назначенные привилегии получат все пользователи.

Но есть несколько ограничений на группу public:

· нельзя назначить этой группе квоту на табличное пространство

· можно создавать только два объекта public: связи БД и синонимы

Особенностью объектов public является то, что пои доступе к ним не нужно указывать схему public.

Ресурсные лимиты и профили пользователей.

В Oracle существует возможность создания профилей с указанием ресурсных лимитов. А затем его можно назначить для какой-либо программы. Существуют также профили по умолчанию.

Профиль – это поименованный набор ресурсных лимитов, которые могут быть назначены любому действительному имени пользователя.

Типы ресурсных лимитов:

¨ время процессора определяет сколько времени затрачивается на выполнение вызова (в сотых долях секунды)

¨ операции на логическое чтение определяет лимиты на чтение как на один вызов, так и на всю сессию; подразделяются на:

· число операций непосредственной работы с диском

· число операций непосредственной работы с буфером

¨ число одновременных сессий

¨ время простоя сессии

¨ время продолжительности сессии

¨ количество личного пространства SGA (SQL GLOBAL AREA), в котором происходит семантический разбор операторов

Лицензирование.

Пользователю предлагается два вида лицензирования по умолчанию, но можно создать свои собственные виды лицензирования. При лицензировании можно установить количество одновременных сессий или максимальное конкретное число пользователей. Если администратора не устраивает определенный ресурс, то он может предусмотреть соглашение (лицензию) на этот случай. Лицензию можно ввести на количество сессий и на сообщения, которые будут выдаваться при работе.

Лицензию можно изменить с помощью команды ALTER SYSTEM. Лимиты на число сессий распространяются на пользовательские сессии. Через специальный вид V$LISENCE вы можете получить такую информацию как: число работающих пользователей и т.д.

 

Привилегии и роли.

Привилегия – это право выполнять определенный тип предложения SQL или обращаться к объекту другого пользователя. Все привилегии делятся на два типа: системная и объектная.

Привилегии назначаются конкретным пользователям для выполнения их работы. Любой пользователь может получить привилегию явным способом (привилегию пользователю назначает администратор) и неявным, когда привилегии назначаются определенным ролям, а затем уже эта роль назначается конкретному пользователю. Иногда назначить привилегию через роль нельзя.

Привилегию можно назначить с помощью:

· пакета Security Manager

· команд GRANT и REVOKE

Если привилегия назначается с ключом admin option, то обладатель этой привилегии может назначать ее другим пользователям или ролям.

Привилегия объекта – это право выполнять конкретные действия на конкретной таблице, обзоре, последовательности, … В зависимости от объекта назначения привилегии существуют различные типы объектных привилегий. Некоторые из объектов, например: триггеры, связи БД – не имеют специфицируемых привилегий, а имеют лишь системные. Назначаются и отзываются объектные привилегии с помощью команд GRANT и REVOKE. Владелец объекта может назначить любую объектную привилегию на этот объект любому пользователю или роли. Однако, если в команде GRANT, по которой пользователь получил объектную привилегию, указать опцию grant option, то получивший эту привилегию может назначать ее другим пользователям.

Защита таблиц.

Объектные привилегии для таблиц позволяют реализовать защиту на двух уровнях:

1. На уровне языка манипулирования данными (это привилегии Select, Delete, Insert, Update; привилегии Insert и Update можно назначать на конкретные столбцы таблицы; при добавлении записи ячейки столбцов, запрещенных для изменения, будут заполняться автоматически значениями по умолчанию или значением NULL).

2. На уровне Data Definition Language, что позволяет редактировать характеристики таблицы alter, references, index (references реализует контроль зависимости внешних ключей других таблиц от первичного ключа данной таблицы; index позволяет создавать индексы таблиц; alter позволяет изменять поля таблицы).

 

Защита обзоров:

1) привилегия для создания видов в своей схеме create view и в другой – create any view;

2) вам должны быть явно назначены объектные привилегии Insert, Select, Update, Delete на все базовые объекты обзора либо привилегии Insert any table, Select any table, Delete any table, Update any table;

3) дополнительно для передачи доступа другим пользователям вы должны обладать или объектными привилегиями на все базовые объекты обзора, или системные привилегии с опцией admin option.

 

Усиление защиты таблиц через обзоры:

· обзор может предоставить доступ лишь к части столбцов базовой таблицы в случае, если обзор использует не все поля этой таблицы, поэтому пользователю достаточно предоставить привилегию Select View, а не Select Table;

· вы можете обеспечить защиту информации через значения данных (при создании обзора задать с помощью опции WHERE критерий выборки; критерий можно задать со значением псевдостолбца user, который содержит иена пользователей, т.е. можно сделать обзор, вид которого различен и зависит от имени пользователя)

 

Защита процедур.

На процедуру можно назначить одну-единственную привилегию execute. Она позволяет выполнить эту процедуру с привилегиями ее владельца. В процедуре пользователю можно назначить отдельные привилегии, которых он лишится при завершении процедуры.

Для создания процедуры пользователь должен иметь привилегию Create Procedure. В том случае, если пользователь не является владельцем процедуры, то он к тому же еще должен обладать привилегией Alter Procedure.

Процедура обращается к таблицам, поэтому пользователь должен иметь права на работу с ними, причем эти привилегии должны быть предоставлены явно.

Перед выполнением процедуры всегда проверяются текущие привилегии владельца процедуры.

Аналогичные привилегии предоставляются и для пакетов. Особенностью их является то, что они назначаются на пакет в целом, т.е. на все процедуры в нем. Но существуют способы обойти это правило.

 

Роли.

Роли – это именованные группы объектов, которые назначаются пользователям или другим ролям.

Достоинства ролей:

· сокращение времени на администрирование привилегий

· динамическое управление привилегиями

· выборочная доступность привилегий (роли, назначаемые пользователю, могут вклюачться и выключаться)

· открытость для приложений (приложение можно спроектировать таким образом, чтобы оно само включало или выключало роль в зависимости от имени, под которым пользователь зарегистрировался)

· защита, выбираемая приложением (в Oracle существует возможность назначения роли пароля)

Области применения роли:

1) управление привилегиями в приложении БД;

2) управление привилегиями в группе пользователей.

 

Роли приложений – это роль, которой назначены все привилегии, необходимые для выполнения данного приложения. Эту роль можно назначить другим ролям или конкретным пользователям.

Роли пользователей – это роль, созданная для группы пользователей БД, имеющих одинаковое требование к привилегиям (например, роль connect).

Особенности работы с ролями:

1) роли могут быть назначены объектные или системные привилегии;

2) роль может быть назначена другим ролям, но не может быть назначена самой себе; при назначении роли другой роли необходимо следить за тем, чтобы назначение не было цикличным;

3) любая роль может быть назначена любому пользователю БД;

4) каждая роль может быть в состоянии ON или OFF; домен защиты пользователя (совокупность всех привилегий пользователя) включает те привилегии, которые в данный момент включены для данного пользователя;

5) косвенно назначенную роль (роль, назначенную через другую роль) можно явно включать или выключать, но, если включить роль, содержащую другие роли, все косвенно назначенные роли неявно также включаться.

 

Отзывать и назначать роли могут:

· те пользователи, которые имеют системную привилегию GRANT ANY ROLY (в его силах назначать и отзывать любую роль любому пользователю)

· те пользователи, которые имеют роль с опцией Admin Option (в его силах назначать и отзывать эту роль другому пользователю или другой роли)

Замечание: все системные и объектные привилегии, позволяющие пользователю выполнять операции Data Manipulation Language, необходимые для выполнения предложения Data Definition language, считаются неприменимыми, если они получены через роль.

Предопределенные роли, которые определены в любой БД автоматически:

· connect позволяет создавать и закрывать сеанс

· resource позволяет создавать объекты в вашей схеме

· dba привилегия администратора БД

· export full database позволяет выполнять резервное копирование БД

· import full database позволяет выполнять восстановление БД