Upload
benyaminemalki
View
63
Download
14
Embed Size (px)
DESCRIPTION
Administration Oracle
Citation preview
Administration Oracle
2
Plan Introduction Architecture interne d'Oracle Gestion des instances Privilges et rle Profil Gestion des utilisateurs Sauvegarde et restauration Quelques utilitaires
Administration Oracle
Privilges et rles
Privilges et Rles
Concepts mis en uvre pour protger une BD en accordant/retirant des droits des utilisateurs.
Privilge : droit Rle : ensemble de privilges
Types de Privilges
Deux types de privilges : Privilge Systme : cration, modification
et suppression dobjets (tables, vues, )Grant create table to scott
Privilge Objet : manipulation des objets dune BD.Grant select on Emp to scott
Octroi dun Privilge Systme
Grant sys_priv to user|rle|all [with admin option]
oSys_priv : liste de privilges systmesUser : nom dun utilisateur Rle : rle dj creAll : tous les utilisateursWith admin option : droit dassigner, retirer,
modifier ou supprimer les privilges reus
Octroi dun Privilge Systme
Exemple : supposons que nous avons deux utilisateurs abdou et yassine
Grant create session to abdoudroit de se connecter la base
Grant create table, create view to abdou with admin optiondroit de crer des tables et des vues. Abdou peut
donner ce droit ( yassine, par exemple)
Retrait dun Privilge Systme
Revoke sys_priv From user|rle|all
ExempleRevoke create session from yassineYassine na plus le droit de se connecter,
mme sil possde un compte
Octroi dun Privilge ObjetGrant Obj_Priv on Objets to user|rle|all [with
grant option]OObj_priv : liste de privilges objetsUser : nom dun utilisateur Rle : rle dj creAll : tous les utilisateursWith grant option : droit dassigner, retirer,
modifier ou supprimer les privilges reus
Octroi dun Privilge Objet
Grant select, insert on scott.emp to yassine
Yassine peut consulter et alimenter la table Emp de scott
Grant select, update (job, Mgr) on scott.emp to abdou
Abdou peut consulter la table emp de scott, mais ne peut modifier que la fonction et le numro du suprieur
Octroi dun Privilge Objet
Un utilisateur ne peut pas donner des droits sur les objets qui ne lui appartiennent pas, mme sil est DBA.
Un utilisateur possde automatiquement tous les droits sur ses propres objets
Retrait dun Privilge Objet
Revoke obj_priv on objet From user|rle|all
ExempleRevoke all privileges on scott.emp From
yassineRetire tous les privilges de yassine
Utilisation dun Rle
Un rle est un ensemble de privilges Permet de faciliter ladministration tapes dutilisation dun rle :
Cration dun rle vide Assignation des privilges un rle Assignation du rle cre un utilisateur
Utilisation dun RleCreate role compt;Cration dun rle vide (ne contient aucun privilge)Grant select, insert, update(job) on scott.emp to comptAssignation des privilges au rle comptGrant compt to yassine, abdouOctroi du rle compt to yassine et abdouRevoke compt from yassine, abdouRetrait du rle compt des utilisateurs yassine et abdouDrop role comptSupression du rle compt
Administration Oracle
Gestion des profiles
Profiles
Ensemble dactions permettant de limiter laccs aux ressources systme
Une fois quun profile est cre, on ne peut pas dpasser les limites imposes.
Deux types de limitations : Limitation des mots de passe Limitation des ressources systme
Limitation des mots de passe
Plusieurs options permettant daugmenter la scurit des mots de passe :
Failed_Login_Attempts Password_Lock_Time Password_Life_Time Password_Reuse_Time Password_Verify_Time
Utilisateur
Dure de vie et expiration des mots de passe
Vrification des mots de passe
Historique des mots de passe
Verrouillage d'un
compte
Configurer des profils
Gestion des mots de passe
Verrouillage d'un compte
Paramtre Nombre d'checs de connexionavant verrouillage du compte
Dure, en jours, de verrouillage du compte aprs le nombre d'checs de connexion dfini
FAILED_LOGIN_ATTEMPTS
PASSWORD_LOCK_TIME
Description
Paramtre Dure de vie, en jours, du mot de passe avant expiration
Nombre maximum de rutilisations d'un mot de passe
PASSWORD_LIFE_TIME
PASSWORD_REUSE_MAX
Paramtre
Dure de vie et expiration des mots de passe
Vrifier les mots de passe
Paramtre Fonction PL/SQL qui vrifie la complexit d'un mot de passe avant que celui-ci ne soit affect
PASSWORD_VERIFY_FUNCTIONDescription
CREATE PROFILE grace_5 LIMIT FAILED_LOGIN_ATTEMPTS 3
PASSWORD_LOCK_TIME UNLIMITED PASSWORD_LIFE_TIME 30
PASSWORD_REUSE_Max 30;
Exemple
Limitations des ressources systme
Restreindre laccs des ressources du systme : processeur, mmoire,
Sessions_Per_User CPU_Per_Session Connect_Time Private_SGA
Gestion des ressources
Les limites relatives la gestion des ressources peuvent s'appliquer au niveau session, au niveau appel ou aux deux.
Les limites peuvent tre dfinies par des profils via la commande CREATE PROFILE.
Ressource CPU_PER_SESSION
SESSIONS_PER_USER
CONNECT_TIME IDLE_TIME
LOGICAL_READS_PER _SESSIONPRIVATE_SGA
Description Temps CPU total calcul en centimes de secondes Nombre de sessions simultanes autorises pour chaque nom utilisateur Temps de connexion calcul en minutes Priodes d'inactivit calcules en minutes Nombre de blocs de donnes (lectures physiques et logiques) Espace priv de la mmoire SGA mesur en octets (dans le cas d'un serveur partag uniquement)
Dfinir des limites relatives aux ressources au niveau session
Ressource
CPU_PER_CALL
LOGICAL_READS_PER _CALL
Description
Temps CPU par appel en centimes de secondes
Nombre de blocs de donnes pouvant tre lus par appel
Dfinir des limites relatives aux ressources au niveau appel
CREATE PROFILE developer_prof LIMIT SESSIONS_PER_USER 2 CPU_PER_SESSION 10000 IDLE_TIME 60 CONNECT_TIME 480;
Exemple
Cration dun profile
tapes suivre : tablir les limitations des mots de passe tablir les limitations des ressources
systme Crer le profile (Create Profile Limit) Attribuer le profile aux utilisateurs qui
devront tre limits
Cration dun profile
Create profile prof_userLimitSessions_Per_User unlimitedConnect_Time 45Private_SGA 15KFailed_Login_Attempts 3
Assignation dun profile
Lattribution dun profile un utilisateur se fait Au moment de la cration de lutilisateur
(voir gestion des utilisateur) Avec linstruction Alter
Alter user yassine profile prof_user
Par dfaut, un utilisateur se voit assigner le profile DEFAULT
Suppression dun profile
Suppression dun profile non assign aucun utilisateurDrop profile prof_user
Suppression dun profile assign un utilisateurDrop profile prof_user cascade
Administration Oracle
Gestion des utilisateurs
Gestion des utilisateurs
Objectif Crer et configurer un utilisateur dune BD. Se connecter et effectuer des actions sur la
BD.
Quand un utilisateur est cre, il ne possde aucun droit, mme pas la possibilit de se connecter
Etapes de cration dun utilisateur
choisir un nom dutilisateur choisir une mthode dauthentification Crer lutilisateur Assigner les rles et privilges
lutilisateur
Mthode dauthentification
Deux types trs utiliss Par la Base de Donnes. Par le systme dexploitation
Authentification par la BASE DE DONNES.
Mode le plus courant, par dfaut Utilisation de : Identified by
Exemple Create user yassine identied by Yassine Connect yassine/Yassine
Authentification par SE Oracle se base sur lauthentification du SE On na pas besoin quune seule fois (avantage) Si on oublie de fermer sa session SE (se
dconnecter), un autre peut accder la BD (inconvnient).
ExempleCreate user yassine identified externally
Cration de lutilisateur
Create user yassine identified by YassineProfile prof_usersPassword expireAccount lock|unlock
Manipulation des utilisateurs
Modification Alter user yassine identified by 123 Alter user yassine account unlock ..
Manipulation des utilisateurs
Suppression Drop user yassineSupprime un schma vide Drop user yassine cascadeSupprime un utilisateur avec tous ses objets
Un utilisateur connect ne pourra pas tre supprim !
Diapo 1Diapo 2Diapo 3Diapo 4Diapo 5Diapo 6Diapo 7Diapo 8Diapo 9Diapo 10Diapo 11Diapo 12Diapo 13Diapo 14Diapo 15Diapo 16Diapo 17Diapo 18Diapo 19Diapo 20Diapo 21Diapo 22Diapo 23Diapo 24Diapo 25Diapo 26Diapo 27Diapo 28Diapo 29Diapo 30Diapo 31Diapo 32Diapo 33Diapo 34Diapo 35Diapo 36Diapo 37Diapo 38Diapo 39Diapo 40