Curso de Oracle Rapido Usuarios

7/31/2019 Curso de Oracle Rapido Usuarios

1/65

Gestin de seguridad

La gestin de seguridad tiene mucho que ver con lagestin de usuarios y con la concesin y supresinde privilegios a los usuarios.

El administrador de la base de datos es elresponsable de permitir o denegar el acceso a losusuarios a determinados objetos o recursos de labase de datos.

Podemos clasificar la seguridad de la base de datosen dos categoras: seguridad del sistemayseguridadde los datos.


2/65


3/65

Gestin de seguridad

La seguridad de los datos incluye los mecanismosque controlan el acceso y uso de la base de datos anivel de objetos.

Por ejemplo: cada vez que se conecta un usuario aun objeto (una tabla, una vista, etc.), losmecanismos de seguridad comprobarn si elusuario puede acceder a ese objeto y qu tipo de

operacin puede hacer con l (SELECT, INSERT,etc.).


4/65

Gestin de seguridad

USUARIOS

Un usuario es un nombre definido en la base dedatos que se puede conectar a ella y acceder a

determinados objetos segn ciertas condicionesque define el administrador.

Para acceder a la base de datos, los usuarios debenejecutar la aplicacin de base de datos, como

SQL*Plus, Oracle Forms y conectarse usando elnombre definido en la base de datos.

Tambin pueden acceder a travs de un navegadorweb.


5/65

Gestin de seguridad

USUARIOS

Asociado con cada usuario de la base de datos hayun esquema con el mismo nombre.

Un esquema es una coleccin lgica de objetos(tablas, vistas, secuencias, sinnimos, ndices,clusters, procedures, funciones, paquetes, etc.)

Por defecto, cada usuario tiene acceso a todos los

objetos de su esquema correspondiente, y puedeacceder a los objetos de otro usuario siempre ycuando ste otro le haya concedido el privilegio dehacerlo.


6/65

Gestin de seguridad

USUARIOS Creacin de usuarios

Al instalar Oracle se crean automticamente dos

usuarios con privilegio de administrador (DBA): Elusuario SYS y SYSTEM.

El usuario SYS es el propietario de las tablas deldiccionario de datos

En ellas se almacena informacin sobre el resto de lasestructuras de la base de datos.

Oracle maneja las tablas del usuario SYS y ningnusuario, ni el administrador, puede modificarlas.


7/65

Gestin de seguridad


Slo nos conectamos como usuario SYS cuando las

instrucciones de Oracle lo exijan. El diccionario de datos est formado por un conjunto

de tablas y vistas en el tablespace SYSTEM.

Los usuarios tienen acceso de slo lectura a las vistas

de este diccionario, el cual se crea a la vez que la basede datos y es propiedad del usuario SYS.

Contiene objetos de la base de datos, nombres deusuario, derechos y autorizaciones, restricciones,informacin sobre el espacio libre, exportacin y

otros objetos.


8/65

Gestin de seguridad


Los objetos del diccionario de datos a los que un

usuario puede acceder se encuentran en la vistaDICTIONARY, que es propiedad del usuario SYS.

Con la siguiente orden se visualizan los objetos deldiccionario de datos a los que se puede acceder.

SQL> SELECT TABLE_NAME FROM DICTIONARY

El prefijo de una vista del diccionario indica el nivelde acceso a l:

Vistas USER y ALL Accesibles para todos los usuarios

Vistas DBA Slo el administrador puede usarlas.


9/65

Gestin de seguridad


El usuario SYSTEM es creado por Oracle para

realizar las tareas de administracin de la base dedatos.

No se suelen crear tablas de usuario en el esquemaSYSTEM.

Para crear otros usuarios es preciso conectarse comousuario SYSTEM, ya que ste posee el correspondienteprivilegio.


10/65

Gestin de seguridad


El administrador de la base de datos ha de crearse un

usuario para s mismo con los derechos deadministrador y realizar todas las tareas deadministracin con este nombre de usuario.

Para crear usuarios se necesita el privilegio CREATEUSER.


11/65

Gestin de seguridad


El formato de la orden CREATE USER es:

CREATE USER nombre_usuario

IDENTIFIED BY clave_acceso

[DEFAULT TABLESPACE espacio_tabla]

[TEMPORARY TABLESPACE espacio_tabla][QUOTA {entero {K|M} | UNLIMITED} ON espacio_tabla]

[PROFILE perfil];


12/65

Gestin de seguridad


La primera opcin, CREATE USER, crea un nombre de

usuario que ser identificado por el sistema. La segunda opcin, IDENTIFIED BY, permite dar una

clave de acceso al usuario creado.

DEFAULT TABLESPACE asigna a un usuario el

tablespace por defecto para almacenar los objetos quecree. Si no se asigna, por defecto es USERS.

TEMPORARY TABLESPACE especifica el nombre detablespace para trabajos temporales, por defecto TEMP.


13/65

Gestin de seguridad


QUOTA asigna un espacio en megabytes o en kilobytes

en el tablespace asignado. Si no se establece esta clusula, el usuario no tiene

cuota asignada y no podr crear objetos en eltablespace.

Si un usuario dispone de acceso y de recursosilimitados a cualquier tablespace, se le debe dar elprivilegio UNLIMITED TABLESPACE con la ordenGRANT.


14/65


15/65

Gestin de seguridad


Vistas con informacin de usuarios:

USER_USERS obtiene del usuario actual: la fecha decreacin, los tablespaces asignados, el identificador,etc.

ALL_USERS obtiene informacin de todos losusuarios creados en la base de datos: el nombre, lafecha de creacin y su identificador.


16/65

Gestin de seguridad

USUARIOS Modificacin de usuarios

Las opciones dadas a un usuario en la orden CREATE

USER se pueden modificar con la ordenALTER USER. El formato es el siguiente:

ALTER USER nombre_usuario

IDENTIFIED BY clave_acceso[DEFAULT TABLESPACE espacio_tabla]

[TEMPORARY TABLESPACE espacio_tabla]

[QUOTA {entero {K|M} | UNLIMITED} ON espacio_tabla]

[PROFILE perfil];


17/65

Gestin de seguridad

USUARIOS Modificacin de usuarios

Los parmetros de ALTER USER significan lo mismo

que en la orden CREATE. Cada usuario puede cambiar nicamente su clave de

acceso, no puede cambiar nada ms a no ser que tengael privilegio ALTER USER.

Por ejemplo el USUARIO1 cambia su clave.

ALTER USER USUARIO1 IDENTIFIED BY NUEVACLAVE;


18/65

Gestin de seguridad

USUARIOS Borrado de usuarios

Podemos borrar un usuario de la base de datos,

incluidos los objetos que contiene. Para borrar usuarios se usa la orden DROP USER:

DROP USER usuario [CASCADE];

La opcin CASCADE suprime todos los objetos delusuario antes de borrar el usuario.

Para poder borrar usuarios es necesario tener elprivilegio DROP USER.


19/65

Gestin de seguridad

PRIVILEGIOS Un privilegio es la capacidad de un usuario, dentro de

la base de datos, de realizar determinadas operaciones

o acceder a determinados objetos de otros usuarios. Ningn usuario puede llevar a cabo ninguna operacin

si antes no se le ha concedido permiso.

Mediante la asignacin de privilegios se permite orestringe el acceso a los datos o la realizacin de

cambios en los datos, la creacin de funciones, etc.


20/65

Gestin de seguridad

PRIVILEGIOS Cuando se crea un usuario es necesario darle

privilegios para que pueda hacer algo.

Oracle ofrece varios roles o funciones. Tres de ellos se aplican al entorno de desarrollo:

CONNECT

RESOURCE

DBA

El resto estn relacionados con la administracin de labase de datos.


21/65


22/65

Gestin de seguridad

PRIVILEGIOS Hay dos tipos de privilegios que podemos definir en la

base de datos:privilegios sobre los objetosyprivilegios

del sistema. Privilegios sobre los objetos

Estos privilegios nos permiten acceder y realizarcambios en los datos de los objetos de otros usuarios.

Por ejemplo, el privilegio de consultar la tabla de otrousuario es un privilegio sobre objetos.


23/65

Gestin de seguridad

PRIVILEGIOS Privilegios sobre los objetos

Se dispone de los siguientes privilegios sobre los

objetos tablas, vistas, secuencias y procedures:Privilegio Tabla Vista Secuencia Procedure

ALTER X X

DELETE X X

EXECUTE X

INDEX X

INSERT X X

REFERENCES X

SELECT X X X

UPDATE X X


24/65

Gestin de seguridad

PRIVILEGIOS Privilegios sobre los objetos La orden para dar privilegios sobre los objetos es GRANT, con el

siguiente formato:GRANT {priv_objeto [,priv_objeto]...|ALL [PRIVILEGES]}

*(columna *,columna+)+

ON [usuario.]objeto}

TO {usuario|rol|PUBLIC [,{usuario|rol|PUBLIC-+[WITH GRANT OPTION];

Mediante GRANT se pueden conceder privilegios INSERT,UPDATE o REFERENCES sobre determinados campos de la tabla.


25/65

Gestin de seguridad

PRIVILEGIOS Privilegios sobre los objetos

ON especifica el objeto sobre el que se dan los privilegios.

TO identifica a los usuarios o roles a los que se conceden losprivilegios.

ALL concede todos los privilegios sobre el objetoespecificado.

WITH GRANT OPTION permite que el receptor del

privilegio o rol se lo asigne a otros usuarios o roles. PUBLIC asigna los privilegios a todos los usuarios actuales y

futuros, de este modo se garantiza el acceso a determinadosobjetos a todos los usuarios de la base de datos.


26/65

Gestin de seguridad

PRIVILEGIOS Privilegios sobre los objetos. Ejemplos

Se concede al usuario FRANCISCO los privilegios de SELECT

e INSERT en la TABLA1:GRANT SELECT, INSERT ON TABLA1 TO FRANCISCO;

Se concede todos los privilegios sobre TABLA1 a todos losusuarios, incluyendo a los que se creen despus:

GRANT ALL ON TABLA1 TO PUBLIC;

Se concede privilegios al usuario JUAN sobre TABLA1 paraque pueda modificar slo el campo TEMPERATURA:

GRANT UPDATE (TEMPERATURA) ON TABLA1 TO JUAN;


27/65

Gestin de seguridad

PRIVILEGIOS Privilegios del sistema

Son los que dan derecho a ejecutar un tipo de comando

SQL o a realizar alguna accin sobre objetos de un tipoespecificado.

Por ejemplo, el privilegio para crear tablespaces es unprivilegio del sistema.

Existen ms de 80 tipos de privilegios distintosdisponibles.


28/65

Gestin de seguridad


Privilegio Operaciones autorizadasINDEX

CREATE ANY INDEX Crear un ndice en cualquier esquema, en

cualquier tabla.

ALTER ANY INDEX Modificar cualquier ndice de la base de

datos.

DROP ANY INDEX Borrar cualquier ndice de la base de datos.

PRIVILEGE

GRANT ANY PRIVILEGE Conceder cualquier privilegio de sistema.


29/65

Gestin de seguridad


Privilegio Operaciones autorizadas

PROCEDURE

CREATE ANY PROCEDURE Crear procedimientos almacenados, funciones y

paquetes en cualquier esquema.

CREATE PROCEDURE Crear procedimientos almacenados, funciones y

paquetes en nuestro esquema.

ALTER ANY PROCEDURE Modificar procedimientos almacenados, funciones

y paquetes en cualquier esquema.

DROP PROCEDURE Borrar procedimientos almacenados, funciones y

paquetes en cualquier esquema.

EXECUTE ANY PROCEDURE Ejecutar procedimientos, funciones o referencias a

paquetes pblicos en cualquier esquema.


30/65

Gestin de seguridad



PROFILE

CREATE PROFILE Crear un perfil de usuario.

ALTER PROFILE Modificar cualquier perfil.

DROP PROFILE Borrar cualquier perfil.


31/65

Gestin de seguridad



ROLE

CREATE ROLE Crear roles.

ALTER ANY ROLE Modificar roles.

DROP ANY ROLE Borrar cualquier rol.

GRANT ANY ROLE Dar permisos para cualquier rol de la base dedatos.


32/65

Gestin de seguridad



SEQUENCE

CREATE SEQUENCE Crear secuencias en nuestro esquema.

ALTER ANY SEQUENCE Modificar cualquier secuencia de la base de datos.

DROP ANY SEQUENCE Borrar secuencias de cualquier esquema.

SELECT ANY SEQUENCE Referenciar secuencias de cualquier esquema.


33/65

Gestin de seguridad



SESSION

CREATE SESSION Conectarnos a la base de datos.

ALTER SESSION Manejar la orden ALTER SESSION.

RESTRICTED SESSION Conectarnos a la base de datos cuando se ha

levantado con STARUP RESTRICT.


34/65

Gestin de seguridad



SYNONYM

CREATE SYNONYM Crear sinnimos en nuestro esquema.

CREATE PUBLIC SYNONYM Crear sinnimos pblicos.

DROP PUBLIC SYNONYM Borrar sinnimos pblicos.

CREATE ANY SYNONYM Crear sinnimos en cualquier esquema.DROP ANY SYNONYM Borrar sinnimos en cualquier esquema.


35/65

Gestin de seguridad



TABLECREATE TABLE Crear tablas en nuestro esquema.

CREATE ANY TABLE Crear una tabla en cualquier esquema.

ALTER ANY TABLE Modificar una tabla en cualquier esquema.

DROP ANY TABLE Borrar una tabla en cualquier esquema.

LOCK ANY TABLE Bloquear una tabla en cualquier esquema.

SELECT ANY TABLE Hacer SELECT en cualquier tabla.

INSERT ANY TABLE Insertar registros en cualquier tabla.

UPDATE ANY TABLE Modificar registros en cualquier tabla.

DELETE ANY TABLE Borrar registros de cualquier tabla.


36/65

Gestin de seguridad



TABLESPACES

CREATE TABLESPACE Crear espacios de tablas.

ALTER TABLESPACE Modificar tablespaces.

MANAGE TABLESPACE Poner on-line u off-line cualquier tablespace.

DROP TABLESPACE Eliminar tablespaces.UNLIMITED TABLESPACE Utilizar cualquier espacio de cualquier tablespace.


37/65

Gestin de seguridad



TYPECREATE TYPE Crea tipos de objeto y cuerpos de tipos de objeto en el

propio esquema.

CREATE ANY TYPE Crea tipos de objeto y cuerpos de tipos de objeto en

cualquier esquema.

ALTER ANY TYPE Modifica tipos de objeto en cualquier esquema.

DROP ANY TYPE Elimina tipos de objeto y cuerpos de tipos de objeto

en cualquier esquema.

EXECUTE ANY TYPE Utiliza y hace referencia a tipos de objeto y tipos de

coleccin en cualquier esquema.

UNDER ANY TYPE Crea subtipos a partir de cualquier tipo de objeto.


38/65

Gestin de seguridad



USERCREATE USER Crear usuarios y crear cuotas sobre cualquier espacio

de tablas, establecer espacios de tablas por omisin y

temporales

ALTER USER Modificar cualquier usuario. Este privilegio autoriza al

que lo recibe a cambiar la contrasea de otro usuario,a cambiar cuotas sobre cualquier espacio de tablas, a

establecer espacios de tablas por omisin, etc

DROP USER Eliminar usuarios.


39/65

Gestin de seguridad



VIEWCREATE VIEW Crear vistas en el esquema propio.

CREATE ANY VIEW Crear vistas en cualquier esquema.

DROP ANY VIEW Borrar vistas en cualquier esquema.

OTROS

SYSDBA Ejecutar operaciones STARTUP y SHUTDOWN, ALTER

DATABASE, CREATE DATABASE, ARCHIVELOG y

RECOVERY, etc.

SYSOPER Ejecutar operaciones STARTUP y SHUTDOWN, ALTER

DATABASE, CREATE DATABASE, ARCHIVELOG y

RECOVERY, etc.


40/65

Gestin de seguridad


El formato de la orden GRANT para asignar privilegios

del sistema es:GRANT {privilegio|rol} [, {privilegio|rol- , +

TO {usuario|rol|PUBLIC [,{usuario|rol|PUBLIC-+

[WITH ADMIN OPTION];

TO identifica a los usuario o roles a los que se conceden losprivilegios

WITH ADMIN OPTION permite que se puedan concederesos mismos privilegios a otros usuarios o roles.


41/65

Gestin de seguridad

PRIVILEGIOS Retirada de privilegios

Al igual que se conceden privilegios, se pueden retirar.

Para retirar privilegios se usa la orden REVOKE. El formato para retirar privilegios de objetos a los

usuarios o roles es:

REVOKE {priv_objeto [, {priv_objeto+ |ALL *PRIVILEGES+-

ON [usuario.]objetoFROM {usuario|rol|PUBLIC} [,{usuario|rol|PUBLIC-+;


42/65

Gestin de seguridad

PRIVILEGIOS Retirada de privilegios

El formato para retirar privilegios de sistema o roles a

usuarios o para retirar privilegios de roles es:REVOKE {priv_sistema|rol} [, {priv_sistema|rol- +

FROM {usuario|rol|PUBLIC} [,{usuario|rol|PUBLIC-+;


43/65

Gestin de seguridad

PRIVILEGIOS Retirada de privilegios. Ejemplos

Retirar los privilegios SELECT y UPDATE sobre TABLA1

a FRANCISCOREVOKE SELECT, UPDATE ON TABLA1 FROM FRANCISCO;

Retirar todos los privilegios concedidos a FRANCISCOy a JUAN

REVOKE ALL ON TABLA1 FROM FRANCISCO, JUAN;


44/65

Gestin de seguridad

PRIVILEGIOS Vistas con informacin de los privilegios

Para conocer los privilegios que han concedido o

recibido los usuarios sobre los objetos o a nivel desistema, podemos consultar las siguientes vistas deldiccionario de datos: SESSION_PRIVS: privilegios del usuario activo.

USER_SYS_PRIVS: privilegios de sistema asignados al usuario.

DBA_SYS_PRIVS: privilegios de sistema asignados a losusuarios o a los roles.

USER_TAB_PRIVS: concesiones sobre objetos que sonpropiedad del usuario, concedidos o recibidos por ste.


45/65

Gestin de seguridad

PRIVILEGIOS Vistas con informacin de los privilegios

USER_TAB_PRIVS_MADE: concesiones sobre objetos querecibe el usuario.

USER_COL_PRIVS: concesiones sobre campos (columnas) enlas que el usuario es el propietario, asigna el privilegio o lorecibe.

USER_COL_PRIVS_MADE: todas las concesiones sobre campos(columnas) de objetos que son propiedad del usuario.

USER_COL_PRIVS_RECD: concesiones sobre campos(columnas) recibidas por el usuario.


46/65

Gestin de seguridad

ROLES Cuando necesitemos que un conjunto de usuarios

tengan los mismos privilegios para trabajar con ciertos

datos, podemos agrupar dicho conjunto de privilegiosen un rol.

Un rol o funcin es un conjunto de privilegios querecibe un nombre comn para facilitar la tarea deasignacin de stos a los usuarios o a otros roles.

Los privilegios de un rol pueden ser de sistema y a nivelde objeto.


47/65

Gestin de seguridad

ROLES En primer lugar creamos el rol con la orden SQL CREATE

ROLEy, a continuacin, asignamos privilegios con la

ordenGRANT

. El formato es:CREATE ROLE NombreRol;

Para crear un rol se requiere el privilegio CREATEROLE.

Por ejemplo, creamos un rol llamado ACCESO.

CREATE ROLE ACCESO;


48/65

Gestin de seguridad

ROLES Conceder privilegios a los roles

Una vez creado un rol tenemos que concederle

privilegios usando la orden GRANT. Por ejemplo, asignamos los privilegios al rol ACCESO:

GRANT SELECT, INSERT ON EMPLE TO ACCESO;

GRANT INSERT ON DEPART TO ACCESO;

GRANT CREATE SESSION TO ACCESO;


49/65

Gestin de seguridad

ROLES Conceder privilegios a los roles

Para conceder el rol a un usuario escribimos:

GRANT ACCESO TO USUARIO;

El usuario podr conectarse a la base de datos y hacerSELECT e INSERT en la tabla EMPLE, e INSERT en latabla DEPART.

Se pueden aadir privilegios al rol ejecutando otraorden GRANT.

GRANT SELECT ON DEPART TO ACCESO;


50/65


51/65

Gestin de seguridad

ROLES Supresin de un rol

La orden DROP ROLE permite eliminar un rol de la

base de datos. Oracle retira el rol concedido a todos los usuarios y

roles a los que se concedi.

Para poder eliminar un rol es necesario seradministrador o tener el privilegio DROP ANY ROLE.

El formato es:

DROP ROLE NombreRol;


52/65

Gestin de seguridad

ROLES Establecer un rol por defecto

Es posible establecer un rol por defecto a un usuario

mediante la ordenALTER USER. El formato es:

ALTER USER NombreUsuario DEFAULT ROLE NombreRol;

Por ejemplo establecemos el rol ACCESO por defecto

para el USUARIO creado anteriormente:

ALTER USER USUARIO DEFAULT ROLE ACCESO;


53/65

Gestin de seguridad

ROLES Informacin sobre roles en el diccionario de datos

Para saber a qu usuarios se ha concedido acceso a un

rol, o los privilegios que se han concedido a un rol, sepueden consultar las vistas del diccionario de datos:

ROLE_SYS_PRIVS: privilegios del sistema asignados a roles.

ROLE_TAB_PRIVS: privilegios sobre tablas aplicados a roles.

ROLE_ROLE_PRIVS: roles asignados a otros roles.

SESSION_ROLES: roles activos para el usuario.

USER_ROLE_PRIVS: roles asignados al usuario.


54/65

Gestin de seguridad

PERFILES Un perfil es un conjunto de lmites a los recursos de la

base de datos.

Se pueden utilizar perfiles para poner lmites a lacantidad de recursos del sistema y de la base de datosdisponibles para un usuario y para gestionar lasrestricciones de contrasea.

Por ejemplo, se puede crear un perfil que limite el

tiempo de conexin a la BD; si se asigna ese perfil a unusuario y este rebasa el tiempo lmite, no podr utilizarla BD a menos que se realice de nuevo la conexin.


55/65

Gestin de seguridad

PERFILES Si no se crean perfiles en una base de datos, entonces se

utiliza el perfil por defecto (DEFAULT) que especificarecursos ilimitados para todos los usuarios.

La sentencia SQL para crear un perfil es CREATEPROFILE, cuyo formato es:

CREATE PROFILE NombrePerfil LIMIT

{parmetros_recursos|parmetros_contrasea}{entero [K|M] | UNLIMITED | DEFAULT};

UNLIMITED, significa que no hay lmite sobre un recurso particular.

DEFAULT coge el lmite del perfil DEFAULT.


56/65

Gestin de seguridad

PERFILES parmetros_recursos:

SESSIONS_PER_USER, CPU_PER_SESSION, CPU_PER_CALL,

CONNECT_TIME, IDLE_TIME, LOGICAL_READS_PER_SESSION,LOGICAL_READS_PER_CALL, PRIVATE_SGA,COMPOSITE_LIMIT

parmetros_contrasea:

FAILED_LOGING_ATTEMPTS, PASSWORD_LIFE_TIME,

PASSWORD_REUSE_TIME, PASSWORD_REUSE_MAX,PASSWORD_LOCK_TIME, PASSWORD_GRACE_TIME,PASSWORD_VERIFY_FUNCTION


57/65

Gestin de seguridad

PERFILES

Recursos a limitar

RECURSO FUNCIN

SESSIONS_PER_USER Nmero de sesiones mltiplesconcurrentes permitidas por nombre

de usuario

CONNECT_TIME Limita el tiempo de conexin

permitida por sesin antes de que el

usuario sea

desconectado (minutos)

IDLE_TIME Limita el tiempo de inactividad

permitido antes de que el

usuario sea desconectado

(minutos)


58/65

Gestin de seguridad

PERFILES

Recursos a limitar

RECURSO FUNCIN

CPU_PER_SESSION Limita el tiempo mximo de CPU porsesin. Este valor se

expresa en centsimas de

segundo.

CPU_PER_CALL Limita el tiempo mximo por CPU por

llamada (de anlisis, ejecucin o

bsqueda). En centsimas de

segundo.

LOGICAL_READS_PER_SESSION Limita el nmero de bloque de datos

ledos en una sesin


59/65

Gestin de seguridad

PERFILES

Recursos a limitar

RECURSO FUNCIN

LOGICAL_READS_PER_CALL Limita el nmero de bloques de datosledos por llamada (de anlisis, ejecucin o

bsqueda)

PRIVATE_SGA Limita el nmero de bytes

enteros de espacio privado en la SGA (til

para sistemas que utilicen multi-threaded)

COMPOSITE_LIMIT Limita el coste total de recursos para una

sesin en unidades de servicio basadas en

una suma de los siguientes recursos:

CPU_PER_SESSION, CONNECT_TIME,

LOGICAL_READS_PER_SESSION y

PRIVATE_SGA


60/65

Gestin de seguridad

PERFILES

Recursos a limitar

RECURSO FUNCIN

FAILED_LOGIN_ATTEMPS Nmero de intentos de acceso sin xitoconsecutivos que producir el bloqueo de

la cuenta.

PASSWORD_LIFE_TIME Nmero de das que puede utilizarse una

contrasea antes de que caduque.

PASSWORD_REUSE_TIME Nmero de das que deben pasar antes deque se pueda reutilizar una contrasea.

PASSWORD_REUSE_MAX Nmero de veces que debe cambiarse una

contrasea antes de poder reutilizarla.


61/65

Gestin de seguridad

PERFILES

Recursos a limitar

RECURSO FUNCIN

PASSWORD_LOCK_TIME Nmero de das que quedar bloqueadauna cuenta si se sobrepasa el valor del

parmetro FAILED_LOGIN_ATTEMPTS.

PASSWORD_GRACE_TIME Nmero de das del periodo de gracia

durante el cual una contrasea puede

cambiarse cuando ha alcanzado su valor

PASSWORD_LIFE_TIME.


62/65

Gestin de seguridad

PERFILES Para activar el uso de perfiles en el sistema, el

administrador ha de ejecutar esta orden:

ALTER SYSTEM SET RESOURCE_LIMIT=TRUE; FALSE desactiva la utilizacin de perfiles.

Para asignar un perfil a un usuario se puede utilizar laorden ALTER USER:

ALTER USER USUARIO PROFILE nombreperfil;

O bien al crear el usuario se le puede asignar un perfil.


63/65

Gestin de seguridad

PERFILES. Ejemplos Creamos el perfil PERFIL1, en el que limitamos a uno el

nmero de sesiones concurrentes por usuario ya dosminutos el tiempo de conexin permitido por sesin:

CREATE PROFILE PERFIL1 LIMIT SESSIONS_PER_USER 1CONNECT_TIME 2;

A continuacin se crea el usuario PRUEBA, se le asigna elPERFIL1y se le concede el rol CONNECT:

SQL>CREATE USER PRUEBA IDENTIFIED BY PRUEBA

QUOTA 100K ON USERS PROFILE PERFIL1;

SQL>GRANT CONNECT TO PRUEBA;


64/65

Gestin de seguridad

PERFILES. Ejemplos Creamos el perfil PERFIL2, en el se permiten tres intentos

de acceso fallidos para la cuenta, el cuarto producir elbloqueo de la cuenta:

CREATE PROFILE PERFIL2 LIMIT FAILED_LOGIN_ATTEMPTS 3;

Se asigna al usuario prueba

ALTER USER PRUEBA PROFILE PERFIL2;

Si hay 3 conexiones fallidas consecutivas en la cuentaPRUEBA quedar bloqueada por Oracle. Para desbloquearuna cuenta, el administrador tiene que ejecutar:

ALTER USER PRUEBA ACCOUNT UNLOCK;


65/65

Curso de Oracle Rapido Usuarios

Documents

Transcript of Curso de Oracle Rapido Usuarios