Administrarea rolurilor Oracle9I

Beneficiile utilizarii rolurilor

Oracle ofera o modalitate usoara de control si de administrare a privilegiilor prin intermediul rolurilor. Rolurile sunt grupuri de privilegii care sunt grantate unui utilizator sau altor roluri.

Caracteristicile rolurilor:

Pot fi grantate sau revocate utilizatorilor folosind aceleasi comenzi utilizate pentru grantarea/revocarea privilegiilor de sistem(GRANT si REVOKE)

Modificarea privilegiilor asociate unui rol implica modificarea automata si imediata a drepturilor utilizatorilor care au rolul respectiv grantat;

Rolurile pot fi grantate oricarui utilizator sau rol. Nu se permite grantarea unui rol la sine insusi sau grantari circulare;

Rolul poate include atat grantari de privilegii sistem cat si de privilegii referitoare la obiecte;

Un rol poate fi activat dezactivat pentru un utilizator si poate solicita autentificarea prin parola pentru accesul la rol;

• Rolurile nu sunt cuprinse in nici o schema;

Crearea rolurilor

Sintaxa comenzii de creare a unui rol este urmatoarea:

CREATE ROLE nume_rol [NOT IDENTIFIED | IDENTIFIED

]

unde,

nume_rol - reprezinta numele rolului;

NOT IDENTIFIED - specifica faptul ca nu se solicita autentificarea la rol;

IDENTIFIED - specifica faptul ca se solicita autentificarea la rol prin parola;

EXTERNALLY - utilizatorul trebuie sa fie autentificat de sistemul de operare;

O varianta alternativa de creare a unui rol este folosirea utilitarului Oracle Entreprise Manager:

Din meniul corespunzator bazei de date la care s-a realizat conexiunea se efectueaza urmatoarele operatii:

selecteaza Database

se selecteaza Security

se selecteaza Roles.

se selecteaza Create folosind click-dreapta;

se selecteaza pagina System Privileges

se completeaza infomatiile referitoare la rol;

Pentru finalizarea actiunilor se apasa butonul Create.

In figura 1 se creaza rolul ROLE_TEST.

Figura 1

Roluri predefinite

La nivelul bazei de date exista o serie de roluri predefinite, ca de exemplu: CONNECT, RESOURCE, DBA, EXP_FULL_DATABASE, IMP_FULL_DATABASE, etc.

Modificarea rolurilor

Asupra unui rol se poate efectua modificari, sintaxa comenzii fiind urmatoarea:

ALTER ROLE nume_rol [NOT IDENTIFIED | IDENTIFIED

]

unde,

nume_rol - reprezinta numele rolului;

NOT IDENTIFIED - specifica faptul ca nu se solicita autentificarea la rol;

IDENTIFIED - specifica faptul ca se solicita autentificarea la rol prin parola;

EXTERNALLY - utilizatorul trebuie sa fie autentificat de sistemul de operare;

O varianta alternativa de modificare a unui rol este folosirea utilitarului Oracle Entreprise Manager:

Din meniul corespunzator bazei de date la care s-a realizat conexiunea se efectueaza urmatoarele operatii:

selecteaza Database

se selecteaza Security

se selecteaza Roles si se selecteaza rolul care va fi modificat;

se selecteaza View/Edit Details folosind click-dreapta;

se efectueaza modificarile;

Pentru finalizarea actiunilor se apasa butonul Ok.

In figura 2 se modifica rolul ROLE_TEST.

Figura 2

Asignarea rolurilor

Asignarea rolurilor unui utilizator se realizeaza prin intermediul comenzii:

GRANT  nume_rol [, nume_rol] .

TO

[WITH ADMIN OPTION]

unde

nume_rol - reprezinta numele rolului;

PUBLIC - specifica faptul ca se granteaza la toti utilizatorii

WITH ADMIN OPTION - specifica faptul ca utilizatorul caruia i se  granteaza rolul poate sa il granteze si el mai departe;

O varianta alternativa de modificare a unui rol este folosirea utilitarului Oracle Entreprise Manager:

Din meniul corespunzator bazei de date la care s-a realizat conexiunea se efectueaza urmatoarele operatii:

selecteaza Database, Security

se selecteaza Roles si se selecteaza rolul care va fi modificat;

se selecteaza Grantees folosind click-dreapta;

se selecteza utilizatorul care va fi asignat la rol din pagina Users;

se selecteaza cu sageata-jos utilzatorul;

Pentru finalizarea actiunilor se apasa butonul Ok.

In figura 3 se granteza utilizatorului AUDITOR rolul ROLE_TEST.

Figura 3

Stabilirea rolului implicit

Modificarea rolurilor implicite ale unui utilizator se realizeaza prin intermediul comenzii:

ALTER USER utilizator DEFAULT ROLE

Revocarea rolurilor

Revocare accesului la un rol pentru un utilizator se realizeaza prin intermediul comenzii:

REVOKE nume_rol [, nume_rol] .

FROM

unde

nume_rol - reprezinta numele rolului;

PUBLIC - specifica faptul ca se granteaza la toti utilizatorii

Stergerea rolurilor

Stergerea unui rol se realizeaza prin intermediul comenzii:

DROP ROLE nume_rol

Obtinerea informatiilor referitoare la roluri

Obtinerea infomatiilor referitoare la roluri poate fi obtinuta prin interogarea urmatoarelor vederi:

DBA_ROLES - permite aflarea tuturor rolurilor;

DBA_ROLES_PRIVS - permite interogarea rolurilor grantate utilizatorilor si rolurilor;

ROLE_ROL_PRIVS - permite interogarea rolurilor grantate la roluri;

DBA_SYS_PRIVS - permite interogarea privilegiilor sistem grantate la utilizatori si la roluri;

ROLE_SYS_PRIVS - permite interogarea privilegiilor sistem grantate la roluri;

ROLE_TAB_PRIVS - permite interogarea privilegiilor referitoare la obiecte grantate la roluri;

SESSION_ROLES - permite interogarea rolurilor pe care utilizatorul curent le are activate;