Utilizatori

La o bază de date au acces mai mulţi utilizatori. O metodă de păstrare a securităţii unei baze de date constă în stabilirea unor drepturi pentru utilizatori, corespunzător sarcinilor pe care le au de rezolvat.
Tipuri de utilizatori:

Administratorii bazei de date
Utilizatorii unei baze de date
Utilizatorii unei aplicaţii

Pentru un utilizator al bazei de date se gestionează:

un nume şi eventual o parolă
un profil
o mulţime de privilegii

Observaţii:

Profil: dreptul de acces la resursele sistemului Oracle
Privilegiu: dreptul de a folosi o componentă din baza de date, într-un anumit mod. Deoarece accesul la baze de date se realizează prin instrucţiuni SQL, un privilegiu poate fi considerat ca dreptul de a executa anumite instrucţiuni.

Gestiunea profilelor

Instructiuni SQL pentru gestiunea unui profil:

CREATE PROFILE nume_profil LIMIT parametru valoare

unde:

parametru	valoare	Semnificaţie
SESSIONS_PER_USER	{UNLIMITED \| DEFAULT \| întreg}	nr. maxim de sesiuni simultane pe care le poate lansa utilizatorul ce are acest profil
CPU_PER_SESSION		timpul unităţii centrale (în sutimi de secundă) pentru o sesiune de lucru
CPU_PER_CALL		timpul unităţii centrale (în sutimi de secundă) pentru un apel (execuţia unei instrucţiuni, proceduri, bloc)
CONNECT_TIME		timpul total maxim de conectare într-o sesiune de lucru
IDLE_TIME		durata maximă de inactivitate continuă, după care se închide sesiunea de lucru
LOGICAL_READS_PER_SESSION		numărul de blocuri de date citite într-o sesiune de lucru
LOGICAL_READS_PER_CALL		nr. de blocuri de date citite la execuţia unei instrucţiuni SQL
COMPOSITE_LIMIT		un cost al sesiunii, ca suma unora din valorile acestui tabel (cu unele ponderi)
PRIVATE_SGA	{UNLIMITED \| DEFAULT \| intreg} {K \| M}	dimensiunea spaţiului de memorie pentru zonele de lucru ale utilizatorului

Observaţie. Valoarea DEFAULT corespunde la un profil DEFAULT. Acesta este un profil predefinit, care iniţial conţine resurse nelimitate, dar diverşi parametri pot să-şi schimbe această valoare.

Alţi parametri:

parametru	valoare	Semnificaţie
PASSWORD_LIFE_TIME	{UNLIMITED \| DEFAULT \| valoare}	nr. max. de zile cât parola se poate folosi, după care expiră (trebuie schimbată)
PASSWORD_GRACE_TIME		nr. de zile după care parola e blocată, după expirarea precizată de PASSWORD_LIFE_TIME
PASSWORD_REUSE_TIME		nr. de zile cât o parola nu poate fi folosită
PASSWORD_REUSE_MAX		nr. de modificări ale unei parole înainte de a putea fi reutilizată
FAILED_LOGIN_ATTEMPTS		nr. max. de încercări de conectare eronate după care parola se blochează
PASSWORD_LOCK_TIME		după un număr de conectări eronate se blochează parola un nr. de zile. Se poate face deblocarea înainte de expirare cu o comanda ALTER USER

Observaţie: Pentru numărul de zile se poate folosi şi o fracţiune: 1/24 pt. o ora, 1/1440 pt. un minut.

CREATE PROFILE nume_profil LIMIT PASSWORD_VERIFY_FUNCTION {functie_plsql | NULL | DEFAULT}

precizează eventuale verificări suplimentare ale utilizatorului (la autentificare)

Pentru modificarea unor parametri dintr-un profil se poate folosi:
```
ALTER PROFILE nume_profil LIMIT parametru valoare
```
DROP PROFILE nume_profil
Un profil definit se poate asocia la utilizatori

Gestiunea utilizatorilor

Crearea unui utilizator

CREATE USER nume_utilizator
      IDENTIFIED {BY parola | EXTERNALLY}
         optiuni;

unde în lista de opţiuni pot apare:

DEFAULT TABLESPACE spaţiu_tabel
TEMPORARY TABLESPACE spaţiu_tabel
QUOTA int {K | M} ON spaţiu_tabel - dimensiunea alocată în spaţiul precizat
QUOTA UNLIMITED ON spaţiu_tabel - în spaţiul precizat nu se limitează dimensiunea
PROFILE nume_profil - denumirea profilului asociat
PASSWORD EXPIRE - parola expiră după execuţia comenzii, noua parolă se va cere la prima autentificare
ACCOUNT {LOCK|UNLOCK} - blochează/deblochează contul

Cu serverul Oracle se poate face autentificarea utilizatorilor prin doua metode diferite:

prin nume şi parolă (autentificarea se face efectiv de serverul Oracle folosind informaţii păstrate în baza de date). Pentru acest tip de autentificare se foloseste clauza IDENTIFIED BY de la definirea utilizatorului.
autentificare se face la nivelul sistemului de operare (serverul Oracle foloseste informaţiile obţinute de la sistemul de operare)

Exemplu:

CREATE USER student IDENTIFIED EXTERNALLY
CREATE USER blbd0033 IDENTIFIED BY abc123

La crearea unui utilizator, sau mai târziu prin modificarea acestuia, trebuie să fie precizate spaţiile tabel necesare (implicit pentru segmente, pentru segmente temporare) şi dimensiunile prestabilite în aceste spaţii tabel. Se mai poate preciza şi un profil asociat (prin lipsă se ia profilul DEFAULT).

Modificarea unui utilizator

ALTER USER nume_utilizator opţiuni;

unde opţiunile sunt cele de la instrucţiunea CREATE USER.

Exemplu pentru modificarea parolei unui utilizator:

ALTER USER blbd0033 IDENTIFIED BY abc123

Stergerea unui utilizator

DROP USER nume_utilizator

Privilegii şi roluri

Privilegiu: dreptul de a folosi o componentă (un obiect) din baza de date (sau dreptul de a executa anumite instrucţiuni).
Rol: o mulţime de privilegii

La un utilizator se pot asocia:

o mulţime de privilegii
o mulţime de roluri

deci în final, utilizatorul are o mulţime de privilegii.

Privilegiile sunt de două tipuri:

sistem: dreptul de a efectua o acţiune asupra unei componente (un obiect) din baza de date. In Oracle 11g există peste 200 de astfel de privilegii. Lista acestora se poate obtine prin:
```
select name from system_privilege_map order by 1
```
Dintre cele mai utile privilegii se pot aminti:
- create session (fără acest privilegiu nu se poate face conectarea la server)
- create table
- create view
- create procedure
- create sequence
- create synonym
- create trigger
obiect: dreptul de a efectua o acţiune asupra unei componente particulare (un obiect) dintr-o altă schemă (de la alt utilizator).
Aceste privilegii se referă la următoarele componente din altă schemă:
- Tables, la instrucţiunile: select, insert, update, delete, alter, debug, flashback, on commit refresh, query rewrite, references, all
- Views, la instrucţiunile: select, insert, update, delete, under, references, flashback, debug
- Sequence, la instrucţiunile: alter, select
- Packeges, Procedures, Functions (Java classes, sources...), la instrucţiunile: execute, debug
- Materialized Views, la instrucţiunile: delete, flashback, insert, select, update
- Directories, la instrucţiunile: read, write
- Libraries, la instrucţiunea: execute
- User defined types, la instrucţiunile: execute, debug, under
- Operators, la instrucţiunea: execute
- Indextypes, la instrucţiunea: execute

Privilegiile se pot asocia utilizatorilor (precizati prin nume), sau rolurilor (precizate prin nume).

Crearea/modificarea unui rol

Rolurile sunt folosite pentru a uşura administrarea privilegiilor pe care utilizatorii le primesc pentru gestiunea bazei de date. In general un rol utilizator este creat pentru a fi acordat unui grup de utilizatori care au aceleaşi privilegii. Atunci c? privilegiile unui rol se modifică, se modifică şi privilegiile utilizatorilor care au primit acest rol.

Crearea unui rol care nu cere parolă la utilizare:

CREATE ROLE nume_rol NOT IDENTIFIED

Crearea unui rol care cere o autentificare la utilizare:

CREATE ROLE nume_rol IDENTIFIED BY parola

După definire, rolul este vid, deci trebuie să i se adauge privilegii.

Modificarea unui rol

Schimbarea parolei asociate rolului:

ALTER ROLE nume_rol IDENTIFIED BY parola

Elimină parola asociată unui rol:

ALTER ROLE role NOT IDENTIFIED

Stergerea unui rol

 DROP ROLE nume_rol

Set Role

Un utilizator poate să aibă asociate mai multe roluri. La un moment dat se pot alege rolurile pe care la va folosi prin instrucţiunea SET ROLE:

Alegerea unei liste de roluri:

SET ROLE nume_rol [IDENTIFIED BY parola][,...]

Se poate alege lista tuturor rolurilor, sau se pot elimina roluri din listă:
```
SET ROLE ALL [EXCEPT nume_rol,...]
```
Se pot dezactiva toate rolurile:
```
SET ROLE NONE;
```

Atribuirea privilegiilor

Privilegiile sistem se pot atribui utilizatorilor şi rolurilor:

GRANT {privilegiu_sistem | nume_rol} [, {privilegiu_sistem | nume_rol}] ... 
TO {nume_utilizator | nume_rol | PUBLIC} 
[IDENTIFIED BY parola] [WITH ADMIN OPTION]

GRANT ALL PRIVILEGES TO {nume_utilizator | nume_rol | PUBLIC} 
[IDENTIFIED BY parola] [WITH ADMIN OPTION]

Privilegiile obiect se pot atribui rolurilor şi utilizatorilor astfel:

GRANT priv_obiect [(coloana, coloana,...)]
ON [schema.]nume_obiect
TO {nume_utilizator | nume_rol | PUBLIC} 
[WITH GRANT OPTION] [WITH HIERARCHY OPTION]

GRANT ALL PRIVILEGES [(coloana, coloana,...)]
ON [schema.]nume_obiect
TO {nume_utilizator | nume_rol | PUBLIC} 
[WITH GRANT OPTION] [WITH HIERARCHY OPTION]

GRANT priv_obiect [(coloana, coloana,...)]
ON DIRECTORY directory_name
TO {nume_utilizator | nume_rol | PUBLIC} 
[WITH GRANT OPTION] [WITH HIERARCHY OPTION]

GRANT priv_obiect [(coloana, coloana,...)]
ON JAVA [RE]SOURCE [schema.]nume_obiect
TO {nume_utilizator | nume_rol | PUBLIC} 
[WITH GRANT OPTION] [WITH HIERARCHY OPTION]

Clauza "WITH ADMIN OPTION" precizează că un utilizator care a primit un privilegiu poate să-l acorde la alţi utilizatori.

Clauza "WITH HIERARCHY OPTION" atribuie privilegii la toate subobiectele obiectului curent (de exemplu subview-urile unui view).

Rolul PUBLIC se atribuie la toţi utilizatorii bazei de date, deci un rol sau un privilegiu atribuit acestui rol este accesibil tuturor utilizatorilor.

Există câteva roluri predefinite (create cu diverse scripturi), de exemplu:

create role public

create role connect
grant create session to connect

create role resource
grant create table,create cluster,create sequence,create trigger,
 create procedure, create type, create indextype, create operator
 to resource

create role dba
grant all privileges, select any dictionary, analyze any dictionary
  to dba with admin option

Eliminarea privilegiilor

REVOKE nume_rol FROM {nume_utilizator | nume_rol | PUBLIC} 

REVOKE lista_priv_sistem FROM {nume_utilizator | nume_rol | PUBLIC} 

REVOKE ALL FROM {nume_utilizator | nume_rol | PUBLIC} 

REVOKE priv_obiect [(column1, column2..)] ON [schema.]obiect 
FROM {nume_utilizator | nume_rol | PUBLIC} [CASCADE CONSTRAINTS] 

REVOKE priv_obiect [(column1, column2..)] ON JAVA [RE]SOURCE [schema.]obiect
FROM {nume_utilizator | nume_rol | PUBLIC} [CASCADE CONSTRAINTS]

View-uri sistem utile

Pentru a obţine informaţii despre roluri se pot folosi următoarele view-uri:

dba_roles - o listă a tuturor rolurilor existente în baza de date
dba_role_privs - o listă a tuturor rolurilor atribuite utilizatorilor şi rolurilor
user_role_privs - listă a rolurilor atribuite utilizatorilor
role_role_privs - informaţii despre rolurile acordate altor roluri
session_roles - o listă a rolurilor active pentru utilizatorul curent
dba_connect_role_grantees - informaţii despre utilizatorii cu rolul CONNECT
role_sys_privs - o listă a privilegiilor sistem acordate rolurilor
role_tab_privs - lista privilegiilor obiect (pentru tabele) atribuite rolurilor

Exemple:

select * from dba_roles;
select * from dba_role_privs order by 1;
select * from user_role_privs;
select * from role_role_privs;
select * from session_roles;
select * from dba_connect_role_grantees order by 1;
select * from role_sys_privs order by 1;
select * from role_tab_privs order by 3,1;

Informaţii despre utilizatorii unei baze de date se pot obţine cu ajutorul view-urilor:

all_users - o listă cu informaţii despre utilizatorii bazei de date (USERNAME, USER_ID, CREATED)
dba_users - informaţii despre utilizatorii bazei de date (mai multe informaţii ca la all_users)
user_users - informaţii despre toţi utilizatorii curenţi bazei de date. Aceste informaţii includ: user_id şi spaţiile-tabel folosite de fiecare
user_resource_limits - afisează limitele resurselor alocate pentru utilizatorul curent

Exemple:

select * from all_users;
select * from dba_users;
select * from user_users;
select * from user_resource_limits;

Informaţii despre privilegii:

DBA_SYS_PRIVS - lista privilegiilor atribuite rolurilor şi utilizatorilor
USER_SYS_PRIVS - privilegiile atribuite utilizatorului curent
SESSION_PRIVS - privilegiile setate pentru utilizatorul curent
DBA_TAB_PRIVS - lista privilegiilor obiect definite în baza de date
USER_TAB_PRIVS - lista privilegiilor obiect definite de utilizatorul curent
ALL_TAB_PRIVS
ALL_COL_PRIVS
DBA_COL_PRIVS
USER_COL_PRIVS
USER_PASSWORD_LIMITS - limitările pentru parola utilizatorului curent
USER_RESOURCE_LIMITS - limitările de resurse pentru utilizatorul curent
RESOURCE_COST - limitările pentru costul calculat la utilizatorul curent

Exemple:

select * from DBA_SYS_PRIVS order by 1;
select * from USER_SYS_PRIVS order by 1;
select * from SESSION_PRIVS order by 1;

select * from DBA_TAB_PRIVS order by 1;
select * from USER_TAB_PRIVS order by 1;
select * from ALL_TAB_PRIVS order by 1;

select * from USER_PASSWORD_LIMITS order by 1;
select * from USER_RESOURCE_LIMITS order by 1;
select * from RESOURCE_COST order by 1;