Oracle學習第二天---Profile的使用

標籤：

環境：Oracle 11g

一.許可權的傳遞

　　1.如果傳遞的是對象許可權，就在後面加入with grant option；

　　eg：system使用者有張temp的表，只想usertest使用者擁有查詢的許可權，則：

grant select on temp to usertest with grant option;

　　2.如果傳遞的是系統許可權，則加入with admin option;

　　eg:system使用者將connect角色傳遞給usertest使用者：

grant connect to usertest with admin option;

二.Profile使用詳解

　　1.目的：

　　Oracle資料庫系統中的Profile可以用來對使用者所能使用的資料庫資源進行限制，使用create Profile命令建立一個Profile，用它來實現對資料庫資源的限制使用。如果將Profile分配給使用者，則該使用者所能使用的資料庫資源都在該Profile的限制之內。

　　2.條件：

　　必須擁有dba的許可權才能配置Profile檔案。

　　3.文法：

 CREATE PROFILE profile

　　LIMIT { resource_parameters

 

　　| password_parameters

 

　　}

 

　　[ resource_parameters

 

　　| password_parameters

 

　　]... ;

 

　　<resource_parameters>

 

　　{ { SESSIONS_PER_USER

 

　　| CPU_PER_SESSION

 

　　| CPU_PER_CALL

 

　　| CONNECT_TIME

 

　　| IDLE_TIME

 

　　| LOGICAL_READS_PER_SESSION

 

　　| LOGICAL_READS_PER_CALL

 

　　| COMPOSITE_LIMIT

 

　　}

 

　　{ integer | UNLIMITED | DEFAULT }

 

　　| PRIVATE_SGA

 

　　{ integer [ K | M ] | UNLIMITED | DEFAULT }

 

　　}

　　4.文法解釋：

　　Resource_parameter部分
       Session_per_user：指定限制使用者的並發會話的數目。
       Cpu_per_session：指定會話的CPU時間限制，單位為百分之一秒。
       Cpu_per_call：指定一次調用（解析、執行和提取）的CPU時間限制，單位為百分之一秒。
       Connect_time：指定會話的總的連線時間，以分鐘為單位。
       Idle_time：指定會話允許連續不活動的總的時間，以分鐘為單位，超過該時間，會話將斷開。但是長時間執行查詢和其他動作的不受此限制。
       Logical_reads_per_session：指定一個會話允許讀的資料區塊的數目，包括從記憶體和磁碟讀的所有資料區塊。
       Logical_read_per_call：指定一次執行SQL（解析、執行和提取）調用所允許讀的資料區塊的最大數目。
       Private_sga：指定一個會話可以在共用池（SGA）中所允許分配的最大空間，以位元組為單位。（該限制只在使用共用伺服器結構時才有效，會話在SGA中的私人空間包括私人的SQL和PL/SQL，但不包括共用的SQL和PL/SQL）。
       Composite_limit：指定一個會話的總的資源消耗，以service units單位表示。Oracle資料庫以有利的方式計算cpu_per_session，connect_time，logical_reads_per_session和private-sga總的service units
      
       Password_parameter部分：  
       Failed_login_attempts：指定在帳戶被鎖定之前所允許嘗試登陸的的最大次數。
       Password_life_time：指定同一密碼所允許使用的天數。如果同時指定了password_grace_time參數，如果在grace period內沒有改變密碼，則密碼會失效，串連資料庫被拒絕。如果沒有設定password_grace_time參數，預設值unlimited將引發一個資料庫警告，但是允許使用者繼續串連。
       Password_reuse_time和password_reuse_max：這兩個參數必須互相關聯設定，password_reuse_time指定了密碼不能重用前的天數，而password_reuse_max則指定了當前密碼被重用之前密碼改變的次數。兩個參數都必須被設定為整數。
       1>．如果為這兩個參數指定了整數，則使用者不能重用密碼直到密碼被改變了password_reuse_max指定的次數以後在password_reuse_time指定的時間內。
       如：password_reuse_time=30，password_reuse_max=10，使用者可以在30天以後重用該密碼，要求密碼必須被改變超過10次。
       2>．如果指定了其中的一個為整數，而另一個為unlimited，則使用者永遠不能重用一個密碼。
       3>．如果指定了其中的一個為default，Oracle資料庫使用定義在profile中的預設值，預設情況下，所有的參數在profile中都被設定為unlimited，如果沒有改變profile預設值，資料庫對該值總是預設為unlimited。
       4>．如果兩個參數都設定為unlimited，則資料庫忽略他們。
       Password_lock_time：指定登陸嘗試失敗次數到達後帳戶的縮定時間，以天為單位。
       Password_grace_time：指定寬限天數，資料庫發出警告到登陸失效前的天數。如果資料庫密碼在這中間沒有被修改，則到期會失效。
       Password_verify_function：該欄位允許將複雜的PL/SQL密碼驗證指令碼做為參數傳遞到create profile語句。Oracle資料庫提供了一個預設的指令碼，但是自己可以建立自己的驗證規則或使用第三方軟體驗證。 對Function名稱，指定的是密碼驗證規則的名稱，指定為Null則意味著不使用密碼驗證功能。如果為密碼參數指定運算式，則該運算式可以是任意格式，除了資料庫標量子查詢。

　　5.執行個體：

　　執行個體1>限制usertest使用者嘗試輸入密碼的次數為3次，3次輸入錯誤，則鎖定帳號3天：

 

　　賬戶的解鎖，使用如下語句：

　　　　SQL>alter user usertest(your_user_name) account unlock;

 　　執行個體2>強制使用者定期修改密碼。讓usertest使用者每隔10天修改登陸密碼，寬限期為2天：

　　執行個體3>希望使用者在修改密碼的時候不能使用上一次使用過的密碼：

　　使用口令曆史，這樣Oracle資料庫就會將口令修改的資訊存放到資料字典中，這樣當使用者修改密碼時，就會對新舊密碼進行匹配，發現一致時，提醒使用者重新輸入密碼

　　6.刪除Profile配置

drop profile your_profile_name [cascade];

 

Oracle學習第二天---Profile的使用