Plan ćwiczenia. Rozdział 16 Uwierzytelnianie i autoryzacja w bazie danych. Użytkownicy i schematy (1) Użytkownicy i schematy (2) baza danych: ZESP99

Podobne dokumenty
Plan ćwiczenia. Rozdział 16 Uwierzytelnianie i autoryzacja w bazie danych. UŜytkownicy i schematy (2) UŜytkownicy i schematy (1) baza danych: ZESP99

Baza danych inside. Biologiczne Aplikacje Baz Danych

Uprawnienia, role, synonimy

Ćwiczenie 14 autoryzacja

Zbiór pytań nr 5. 2 Które stwierdzenie opisuje najlepiej zbiór uprawnień dostępny po wykonaniu

Użytkownicy, uprawnienia, role, obserwacja bazy danych. (c) Instytut Informatyki Politechniki Poznańskiej 60

PLAN WYKŁADU BAZY DANYCH PODSTAWOWE KWESTIE BEZPIECZEŃSTWA OGRANICZENIA DOSTĘPU DO DANYCH

Zarządzanie kontami użytkowników w i uprawnieniami

Bazy danych. Bazy danych. Zapytania SELECT. Dr inż. Paweł Kasprowski.

Tworzenie u ytkownika. ORACLE (Wykład 6) Uwierzytelnianie u ytkowników. Przył czenie u ytkownika do bazy. Nadawanie uprawnie systemowych

SQL w języku PL/SQL. 2) Instrukcje języka definicji danych DDL DROP, CREATE, ALTER, GRANT, REVOKE

CREATE USER

SQL> startup pfile=./admin/pfile/initdbx.ora. SQL> create spfile from pfile='$home/admin/pfile/initdbx.ora' create user bolek identified by bolek;

SQL 4 Structured Query Lenguage

Wyzwalacz - procedura wyzwalana, składowana fizycznie w bazie, uruchamiana automatycznie po nastąpieniu określonego w definicji zdarzenia

Po instalacji serwera MYSQL dostępne jest konto o nazwie root. Domyślnie nie ma ono przypisanego hasła, aczkolwiek podczas procesu konfiguracji jest

Zarządzanie użytkownikami bazy danych Oracle11g

Język SQL. Rozdział 10. Perspektywy Stosowanie perspektyw, tworzenie perspektyw prostych i złożonych, perspektywy modyfikowalne i niemodyfikowalne.

Instrukcja instalacji aplikacji PlanSoft.org

Procedury wyzwalane. (c) Instytut Informatyki Politechniki Poznańskiej 1

Zaawansowane bazy danych i hurtownie danych semestr I

Pakiety podprogramów Dynamiczny SQL

Zarzdzanie uytkownikami Uytkownicy, przywileje, role, audyt

UPDATE Studenci SET Rok = Rok + 1 WHERE Rodzaj_studiow =' INŻ_ST'; UPDATE Studenci SET Rok = Rok 1 WHERE Nr_albumu IN ( '111345','100678');

Perspektywy Stosowanie perspektyw, tworzenie perspektyw prostych i złożonych, perspektywy modyfikowalne i niemodyfikowalne, perspektywy wbudowane.

Język PL/SQL. Rozdział 5. Pakiety podprogramów. Dynamiczny SQL

Instrukcja instalacji aplikacji Plansoft.org

Bazy danych. Wykład IV SQL - wprowadzenie. Copyrights by Arkadiusz Rzucidło 1

Oracle11g: Wprowadzenie do SQL

Wykład V. Indeksy. Struktura indeksu składa się z rekordów o dwóch polach

Rozproszone i obiektowe systemy baz danych Charakterystyka rozproszonego systemu baz danych

Język SQL. Rozdział 9. Język definiowania danych DDL, część 2.

Użytkownicy, uprawnienia, role w SQL Server (W oparciu o SQL Server 2008R2 Books Online)

Systemowe aspekty baz

Kolekcje Zbiory obiektów, rodzaje: tablica o zmiennym rozmiarze (ang. varray) (1) (2) (3) (4) (5) Rozszerzenie obiektowe w SZBD Oracle

KOLEKCJE - to typy masowe,zawierające pewną liczbę jednorodnych elementów

Plan bazy: Kod zakładający bazę danych: DROP TABLE noclegi CASCADE; CREATE TABLE noclegi( id_noclegu SERIAL NOT NULL,

Język PL/SQL Procedury i funkcje składowane

BAZA DANYCH SIECI HOTELI

Język SQL. Rozdział 9. Język definiowania danych DDL, część 2. zadania

Oracle PL/SQL. Paweł Rajba.

Rozdział 17. Zarządzanie współbieżnością zadania dodatkowe

Język SQL. Rozdział 8. Język manipulowania danymi DML

Pakiety są logicznymi zbiorami obiektów takich jak podprogramy, typy, zmienne, kursory, wyjątki.

mysql> UPDATE user SET Password=PASSWORD('pass') WHERE user='root'; Query OK, 2 rows affected (0.05 sec) Rows matched: 2 Changed: 2 Warnings: 0

PODSTAWY BAZ DANYCH 13. PL/SQL

Systemowe aspekty baz danych

P o d s t a w y j ę z y k a S Q L

1. Wyzwalacze BD (ang. triggers)

Hurtownia Świętego Mikołaja projekt bazy danych

Tworzenie widoku CREATE OR REPLACE VIEW [nazwa_widoku] AS SELECT [nazwy_kolumn] FROM [nazwa_tablicy];

Bazy danych - Materiały do laboratoriów VIII

Programowanie w SQL procedury i funkcje. UWAGA: Proszę nie zapominać o prefiksowaniu nazw obiektów ciągiem [OLIMP\{nr indeksu}] Funkcje użytkownika

Autor: Joanna Karwowska

Bazy Danych i Usługi Sieciowe

Składowane procedury i funkcje

Język PL/SQL. Rozdział 6. Procedury wyzwalane

Wprowadzenie do BD Operacje na bazie i tabelach Co poza zapytaniami? Algebra relacji. Bazy Danych i Systemy informacyjne Wykład 2.

Instrukcja podwaja zarobki osób, których imiona zaczynają się P i dalsze litery alfabetu zakładamy, że takich osbób jest kilkanaście.

Ćwiczenie 4. Użytkownicy

INTERNETOWE BAZY DANYCH materiały pomocnicze - wykład X

Wyzwalacze. do automatycznego generowania wartości kluczy głównych. Składnia instrukcji tworzacej wyzwalacz

Wyzwalacze. Anna Fiedorowicz Bazy danych 2

Oracle PL/SQL. Paweł Rajba.

SQL język zapytań (query language) cz.1

Administracja i programowanie pod Microsoft SQL Server 2000

Wykład IV Modelowanie danych, projektowanie systemu informatycznego Modelowanie konceptualne implementacyjne Modelowanie pojęciowe na encjach

Prawa dostępu do serwera. Nadawanie i odbieranie uprawnień DCL. Użytkownicy a role

Bazy danych i usługi sieciowe

Procedury wyzwalane. Rozdział 13. Procedury wyzwalane. Cele stosowania procedur wyzwalanych. Definiowanie procedury wyzwalanej DML

Podstawowe pojęcia dotyczące relacyjnych baz danych. mgr inż. Krzysztof Szałajko

Język SQL, zajęcia nr 1

Podnoszenie poziomu bezpieczeństwa instalacji i baz danych Oracle

Bazy danych i usługi sieciowe

Zaawansowane bazy danych i hurtownie danych studia zaoczne II stopnia, sem. I

I. Język manipulowania danymi - DML (Data Manipulation Language). Polecenia INSERT, UPDATE, DELETE

Blaski i cienie wyzwalaczy w relacyjnych bazach danych. Mgr inż. Andrzej Ptasznik

Literatura: SQL Ćwiczenia praktyczne Autor: Marcin Lis Wydawnictwo: Helion. Autor: Joanna Karwowska

Bazy danych. Plan wykładu. Diagramy ER. Podstawy modeli relacyjnych. Podstawy modeli relacyjnych. Podstawy modeli relacyjnych

1: 2: 3: 4: 5: 6: 7: 8: 9: 10:

SQL - DDL. 1 Tabele systemowe. 2 Typy danych

Przestrzenne bazy danych Podstawy języka SQL

Materiały. Technologie baz danych. Plan wykładu Kursory. Wykład 5: Kursory jawne. Podprogramy. Kursory jawne. Kursory niejawne

Bazy danych 2. Wykład 5 Structured Query Language (SQL) c.d. DDL

Używany kiedy pełna treść instrukcji SQL jest nieznana przed uruchomieniem programu.

DECLARE VARIABLE zmienna1 typ danych; BEGIN

SQL Server i T-SQL w mgnieniu oka : opanuj język zapytań w 10 minut dziennie / Ben Forta. Gliwice, Spis treści

Język PL/SQL Pakiety podprogramów

Procedury i funkcje składowane

Język SQL, zajęcia nr 2

1 Projekt fizyczny 1. 3 Perspektywy słownika danych Źródła 12

Cele. Definiowanie wyzwalaczy

Język PL/SQL. Rozdział 4. Procedury i funkcje składowane

Paweł Rajba

Wykład 8. SQL praca z tabelami 5

15. Funkcje i procedury składowane PL/SQL

Administracja i programowanie pod Microsoft SQL Server 2000

Administrowanie serwerami baz danych ZADANIA ADMINISTRATORA BAZ DANYCH

Modelowanie wymiarów

77. Modelowanie bazy danych rodzaje połączeń relacyjnych, pojęcie klucza obcego.

Transkrypt:

Plan ćwiczenia Rozdział 16 Uwierzytelnianie i autoryzacja w bazie danych Użytkownicy i schematy bazy danych. Uwierzytelnianie i autoryzacja. Przywileje systemowe i obiektowe. Role. Synonimy. Uprawnienia, role, synonimy 1 2 Użytkownicy i schematy (1) Użytkownicy i schematy (2) Użytkownik osoba lub aplikacja, uprawniona do dostępu do danych zgromadzonych w bazie danych. Schemat kolekcja logicznych struktur danych (relacji, perspektyw, ograniczeń, indeksów, programów składowanych, itd.), schemat posiada swoją nazwę, schemat jest własnością określonego użytkownika. SELECT* FROM zespoly; baza danych: ZESP99 schemat: ALA schemat: OLEK użytkownik: ALA SELECT * FROM OLEK.zespoly; użytkownik: OLEK SELECT * FROM zespoly; 3 4

Informacje o użytkownikach Uwierzytelnianie użytkowników ALL_USERS DBA_USERS USER_USERS SELECT * FROM user_users; Zawiera nazwy i daty utworzenia wszystkich użytkowników w bazie danych Zawiera nazwę, identyfikator, zakodowane hasło, nazwę domyślnej przestrzeni tabel,nazwę tymczasowej przestrzeni tabel, datę utworzenia i profil każdego użytkownika bazy danych Zawiera nazwę, identyfikator, domyślną przestrzeń tabel, tymczasową przestrzeń tabel i datę utworzenia aktualnego użytkownika Uwierzytelnianie to proces weryfikacji tożsamości użytkownika bazy danych. Metody uwierzytelniania, wykorzystywane przez SZBD: uwierzytelnianie przez SZBD, uwierzytelnianie przez system operacyjny, uwierzytelnianie przez usługę sieciową (Kerberos, RADIUS,?), uwierzytelnianie wielowarstwowe. SELECT username FROM all_users; 5 6 Autoryzacja użytkowników Przywileje Autoryzacja jest procesem weryfikacji uprawnień użytkownika do wykonania określonej operacji: ograniczenia co do obiektów i operacji, jakie użytkownik może na nich realizować: system przywilejów, role bazodanowe, ograniczenie wykorzystania zasobów systemowych (czasu procesora, czasu połączenia, itd.) przy realizacji operacji: profile. Przywilej prawo wykonywania przez użytkownika określonej akcji w bazie danych lub dostępu do określonego obiektu, np.: przyłączenie się do bazy danych, odczyt danych określonej relacji, wykonanie dowolnej składowanej w bazie danych procedury, utworzenia perspektywy, itd. Rodzaje przywilejów: systemowe, obiektowe. 7 8

Przywileje systemowe (1) Przywileje systemowe (2) Prawa wykonania: określonej akcjiw bazie danych, lub określonej operacjina wskazanym typie obiektu we wskazanym/dowolnym schemacie bazy danych. Przykłady: CREATE SESSION CREATE TABLE CREATE ANY TABLE SELECT ANY TABLE INSERT ANY TABLE DROP ANY VIEW Nadawanie przywilejów systemowych: GRANT <lista_przywilejów_systemowych> TO <lista_użytkowników> PUBLIC [WITH ADMIN OPTION]; Odbieranie przywilejów systemowych: REVOKE <lista_przywilejów> FROM <lista_użytkowników> PUBLIC; Przykład: GRANT CREATE SESSION, SELECT ANY TABLE TO OLEK; GRANT CREATE TABLE TO ALA; REVOKE SELECT ANY TABLE FROM OLEK; 9 10 Informacje o przywilejach systemowych Przywileje obiektowe (1) USER_SYS_PRIVS -uprawnienia systemowe nadane użytkownikowi bezpośrednio SESSION_PRIVS -uprawnienia systemowe nadane użytkownikowi zarówno bezpośrednio jak i przez role SQL> SELECT* FROM user_sys_privs; USERNAME PRIVILEGE ADMIN_OPTION Prawa wykonania określonej operacjina wskazanym obiekciew określonym schemacie bazy danych. Przykłady: SELECT ON pracownicy ALTER ON zespoly EXECUTE ON PoliczPracownikow REFERENCES ON etaty ------------------------------------------------------------------------------------- OLEK CREATE SESSION NO OLEK INSERT ANY TABLE NO OLEK UNLIMITED TABLESPACE YES OLEK CREATE VIEW YES Uwaga! Użytkownik posiada wszystkie uprawnienia do obiektu, którego jest właścicielem! Nie można mu tych przywilejów odebrać. 11 12

Przywileje obiektowe (2) Nadawanie przywilejów obiektowych Przywilej Relacja Perspektywa Procedura/ funkcja/pakiet Sekwencja Polecenie: ALTER + + DELETE + + EXECUTE + GRANT <lista_przywilejów> ALL ON <nazwa_obiektu> TO <lista_użytkowników> PUBLIC [WITH GRANT OPTION]; INDEX + INSERT + + REFERENCES + + przywileje INSERT, UPDATE i REFERENCES mogą dodatkowo specyfikować kolumny relacji, np.: INSERT(id_prac, nazwisko) SELECT + + + UPDATE + + 13 Odbieranie przywilejów obiektowych Przykłady operacji z przywilejami obiektowymi Polecenie: Nadawanie przywilejów: REVOKE <lista_przywilejów> ALL ON <nazwa_obiektu> FROM <lista_użytkowników> PUBLIC [CASCADE CONSTRAINTS]; brak możliwości specyfikacji kolumn relacji przy odbieraniu przywilejów INSERT, UPDATE i REFERENCES odebranie przywileju REFERENCES wymaga dodania opcji CASCADE CONSTRAINTS, powodującej automatyczne usunięcie kluczy obcych zdefiniowanych w czasie obowiązywania przywileju ALA> GRANT SELECT ON zespoly TO OLEK; ALA> GRANT REFERENCES(id_prac) ON pracownicy TO OLEK; OLEK> GRANT UPDATE(placa_pod, placa_dod) ON pracownicy TO ALA; Odbieranie przywilejów: OLEK> REVOKE UPDATE ON pracownicy FROM ALA; ALA> REVOKE REFERENCES ON pracownicy FROM OLEK CASCADE CONSTRAINTS; 15 16

Informacje o przywilejach obiektowych USER_TAB_PRIVS Uprawnienia do obiektów, których użytkownik jest właścicielem oraz uprawnienia obiektowe, które użytkownik otrzymał lub przyznał USER_TAB_PRIVS_MADE Uprawnienia do obiektów, będących własnością użytkownika USER_TAB_PRIVS_RECD Uprawnienia obiektowe, które użytkownik otrzymał USER_COL_PRIVS Uprawnienia do atrybutów, których użytkownik jest właścicielem oraz uprawnienia do atrybutów, które użytkownik otrzymał lub przyznał USER_COL_PRIVS_MADE Uprawnienia do atrybutów będących własnością użytkownika USER_COL_PRIVS_RECD Uprawnienia do atrybutów, które użytkownik otrzymał SELECT * FROM user_tab_privs_made; SELECT * FROM user_tab_privs_recd; 17 Opcja administracyjna przywilejów umożliwia użytkownikowi przekazanie innym użytkownikom otrzymanego przywileju (systemowego lub obiektowego), przywileje systemowe: ADMIN: GRANT SELECT ANY TABLE TO SCOTT WITH ADMIN OPTION; SCOTT: GRANT SELECT ANY TABLE TO JONES; odebranie przywileju systemowego użytkownikowi SCOTT nie powoduje odebrania przywileju użytkownikowi JONES przywileje obiektowe: SCOTT: GRANT INSERT ON ETATY TO JONES WITH GRANT OPTION; JONES: GRANT INSERT ON SCOTT.ETATY TO SMITH; odebranie przywileju obiektowego użytkownikowi JONES powoduje odebranie przywileju również użytkownikowi SMITH 18 Przywilej EXECUTE (1) Przywilej EXECUTE (2) Domyślnie kod składowany wykonywany jest z zestawem przywilejów użytkownika definiującego(domyślna klauzula AUTHID DEFINER) Można zdefiniować kod składowany wykonywany z zestawem przywilejów użytkownika wykonującego(dodatkowa klauzula AUTHID CURRENT_USER) ALA> CREATE FUNCTION Ile RETURN NUMBER AUTHID DEFINER IS vile number; BEGIN SELECT count(*) INTO vile RETURN vile; END Ile; ALA> GRANT EXECUTE ON Ile TO olek; OLEK> SELECT ala.ile FROM dual; ALA> CREATE FUNCTION Ile AUTHID CURRENT_USER ALA> GRANT EXECUTE ON Ile TO olek; ALA> GRANT SELECT ON pracownicy TO olek; OLEK> SELECT ala.ile FROM dual; OLEK> SELECT ala.ile FROM dual; 19 20

Role (1) Role (2) Rola nazwany zbiór powiązanych przywilejów. Ułatwiają zarządzanie systemem przywilejów. Użytkownik może mieć nadanych wiele ról, rola może zostać przyznana wielu użytkownikom lub rolom. Przykłady zastosowań: role aplikacyjne grupują przywileje niezbędne do działania określonej aplikacji, role użytkowników tworzone dla grup użytkowników, wymagających tych samych przywilejów. Predefiniowane role w SZBD Oracle (niektóre): CONNECT przywilej: CREATE SESSION, RESOURCE przywileje: CREATE CLUSTER, CREATE INDEXTYPE, CREATE OPERATOR, CREATE PROCEDURE, CREATE SEQUENCE, CREATE TABLE, CREATE TRIGGER, CREATE TYPE DBA wszystkie przywileje systemowe z opcją administracyjną (WITH ADMIN OPTION). 21 22 Role (3) Role (4) Tworzenie roli: bez uwierzytelniania: CREATE ROLE <nazwa_roli> [NOT IDENTIFIED]; uwierzytelnianej przez SZBD: CREATE ROLE <nazwa_roli> IDENTIFIED BY <hasło>; uwierzytelnianej przez pakiet: CREATE ROLE <nazwa_roli> IDENTIFIED USING <nazwa_pakietu>; Usunięcie roli: DROP ROLE <nazwa_roli>; Nadawanie przywilejów roli: GRANT <lista_przywilejów> [ON <nazwa_obiektu>] TO <lista_ról>; Nadawanie roli użytkownikowi/roli: GRANT <lista_ról> TO <lista_użytkowników> <lista_ról> PUBLIC [WITH ADMIN OPTION]; Odbieranie przywilejów roli: REVOKE <lista_przywilejów> [ON <nazwa_obiektu>] FROM <lista_ról>; Odbieranie roli użytkownikowi/roli: REVOKE <lista_ról> FROM <lista_użytkowników> <lista_ról> PUBLIC; 23 24

Role (5) Role (6) Przykład: CREATE ROLE KASJER; GRANTSELECT, UPDATE, DELETE ONPRACOWNICY TO KASJER; GRANT KASJER TO KOWALSKI; Zablokowanie/odblokowanie roli dla bieżącej sesji: SET ROLE[ <nazwa_roli> [ IDENTIFIED BY <hasło> ] ALL[EXCEPT <nazwa_roli> NONE ]; Przykład: CREATE ROLE KIEROWNIK IDENTIFIED BY pass123; GRANT ALL ON PRACOWNICY TO KIEROWNIK; GRANT KIEROWNIK TO NOWAK; użytkownik NOWAK włączy rolę poleceniem: SET ROLE KIEROWNIK IDENTIFIED BY pass123; 25 26 Informacje o rolach Efekty operacji GRANT i REVOKE (1) USER_ROLE_PRIVS Role przyznane użytkownikowi ROLE_ROLE_PRIVS Role przyznane innym rolom ROLE_SYS_PRIVS ROLE_TAB_PRIVS SESSION_ROLES SELECT role, table_name, privilege FROM role_tab_privs; SELECT * FROM session_roles; Uprawnienia systemowe przyznane rolom Uprawnienia obiektowe przyznane rolom Role użytkownika aktywowane w bieżącej sesji Efekty operacji nadawania i odbierania przywilejów systemowych i obiektowych komukolwiek (użytkownikom, rolom, grupie PUBLIC) wchodzą w życie natychmiastw bieżącej sesji użytkownika. ALA> GRANT SELECT ON pracownicy TO olek; COUNT(*) ---------- 27 28

Efekty operacji GRANT i REVOKE (2) Synonimy (1) Efekty operacji nadawania i odbierania ról komukolwiek (użytkownikom, innym rolom, grupie PUBLIC) wchodzą w życie, gdy użytkownik: w bieżącej sesji wykona polecenie SET ROLE włączając rolę, lub zakończy bieżącą sesję i rozpocznie nową. ALA> CREATE ROLE dla_olka; ALA> GRANT SELECT ON pracownicy TO dla_olka; ALA> GRANT dla_olka TO olek; Uwaga! Usunięcie roli powoduje natychmiastowe odebranie związanych z nią przywilejów. OLEK> SET ROLE dla_olka; COUNT(*) ---------- 29 Synonim alternatywna nazwa dla obiektu. Cele stosowania: uproszczenie konstrukcji poleceń SQL, ukrycie nazwy oryginalnego obiektu, ukrycie lokalizacji oryginalnego obiektu (np. z innego schematu, ze zdalnej bazy danych). Rodzaje synonimów: synonim prywatny jest własnością określonego użytkownika, dostępny tylko dla właściciela oraz użytkowników, którzy uzyskają prawo dostępu, synonim publiczny dostępny dla każdego użytkownika bazy danych. 30 Synonimy (2) Synonimy (3) Tworzenie: CREATE [PUBLIC] SYNONYM <synonim> FOR <nazwa_obiektu>; Przykład: użytkownik OLEK wykonuje: Usuwanie: OLEK> GRANT SELECT, INSERT ON pracownicy TO ALA; DROP [PUBLIC] SYNONYM <synonim>; użytkownik ALA wykonuje: ALA> SELECT * FROM OLEK.pracownicy; ALA> CREATE SYNONYM prac_olek FOR OLEK.pracownicy; ALA> SELECT * FROM prac_olek; 31 32

Informacje o synonimach Podsumowanie ALL_SYNONYMS USER_SYNONYMS SELECT synonym_name, table_name FROM user_synonyms; Synonimy publiczne i prywatne dostępne dla użytkownika Synonimy prywatne, będące własnością użytkownika Użytkownik zostaje uwierzytelniony przed przyłączeniem do bazy danych. Autoryzacja jest procesem weryfikacji uprawnień użytkownika do wykonania określonej operacji w bazie danych. Przywilej to prawo wykonywania przez użytkownika określonej akcji w bazie danych lub dostępu do określonego obiektu bazy danych. Rola to nazwany zbiór przywilejów, ułatwiający zarządzanie systemem autoryzacji. Synonim jest alternatywną nazwą obiektu w bazie danych. 33 34

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres