【正文】 LE low_manager_role IDENTIFIED BY lowrole。 ? 在數據庫運行過程中，可以為角色增加權限，也可以回收其權限。 ? 示例 ? GRANT CONNECT,CREATE TABLE,CREATE VIEW TO low_manager_role。 Oracle 10g數據庫基礎教程 ? GRANT CONNECT,RESOURCE,DBA TO high_manager_role。 ? REVOKE CONNECT FROM low_manager_role。 ? REVOKE UPDATE,DELETE ,INSERT ON FROM high_manager_role。 ?修改角色的語法 ? ALTER ROLE role_name ? [NOT IDENTIFIED]|[IDENTIFIED BY password]； ?示例 ? ALTER ROLE high_manager_role IDENTIFIED BY highrole。 Oracle 10g數據庫基礎教程 （ 4）角色的生效與失效 ?概念 ? 所謂角色的失效是指角色暫時不可用。因此，通過設置角色的生效或失效，可以動態(tài)改變用戶的權限。 Oracle 10g數據庫基礎教程 ? 語法 ? SET ROLE [role_name[IDENTIFIED BY password ]]|[ALL [EXCEPT role_name]]|[NONE]。 Oracle 10g數據庫基礎教程 ?示例 ? SET ROLE NONE。 ? SET ROLE middle_manager_role,low_manager_low IDENTIFIED BY lowrole。 Oracle 10g數據庫基礎教程 （ 5）刪除角色 ?語法結構 ? DROP ROLE role_name。角色被刪除后，用戶通過該角色獲得的權限被回收。 ? GRANT CONNECT,high_manager_role TO user1。 Oracle 10g數據庫基礎教程 （ 2）從用戶或角色回收角色 ?語法為 ? REVOKE role_list FROM user_list|role_list； ?例如，回收角色 middle_manager_role的RESOURCE， CONNECT角色。 Oracle 10g數據庫基礎教程 （ 3）用戶角色的激活或屏蔽 ?語法為 ? ALTER USER user_name DEFAULT ROLE ? [role_name]|[ALL [EXCEPT role_name]]| ? [NONE]。 ? ALTER USER user1 DEFAULT ROLE CONNECT,DBA。 ? ALTER USER user1 DEFAULT ROLE ALL EXCEPT DBA。 。 ? SELECT * ? FROM ROLE_SYS_PRIVS ? WHERE ROLE=39。 ?查詢 DBA角色被授予的角色信息。DBA39。 ? 利用概要文件，可以限制用戶對數據庫和系統(tǒng)資源的使用，同時還可以對用戶口令進行管理。如果沒有為用戶顯式地指定一個概要文件，系統(tǒng)默認將 DEFAULT概要文件作為用戶的概要文件 。 ? 調用級資源限制：對一條 SQL語句在執(zhí)行過程中所能使用的資源進行限制。 Oracle 10g數據庫基礎教程 （ 3）啟用或停用資源限制 ?在數據庫啟動前啟用或停用資源限制 ? 將數據庫初始化參數文件中的參數RESOURCE_LIMIT的值設置為 TRUE或 FALSE（默認），來啟用或停用系統(tǒng)資源限制。 ? ALTER SYSTEM SET RESOURCE_LIMIT=TRUE。當達到該時間限制后，用戶就不能在會話中執(zhí)行任何操作了，必須斷開連接，然后重新建立連接。當一個 SQL語句執(zhí)行時間達到該限制后，該語句以錯誤信息結束。當數據庫連接持續(xù)時間超出該設置時，連接被斷開。當會話空閑時間超過該設置時，連接被斷開。 ? LOGICAL_READS_PER_SESSION：允許一個會話讀取數據塊的最大數量，包括從內存中讀取的數據塊和從磁盤中讀取的數據塊的總和。 Oracle 10g數據庫基礎教程 ? PRIVATE_SGA：在共享服務器操作模式中，執(zhí)行 SQL語句或 PL/SQL程序時， Oracle將在 SGA中創(chuàng)建私有 SQL區(qū)。 ? COMPOSITE_LIMIT：稱為 “ 綜合資源限制 ” ，是一個用戶會話可以消耗的資源總限額。 Oracle 10g數據庫基礎教程 （ 2）口令管理參數 ? FAILED_LOGIN_ATTEMPTS：限制用戶在登錄 Oracle數據庫時允許失敗的次數。 ? PASSWORD_LOCK_TIME：設定當用戶登錄失敗后，用戶賬戶被鎖定的時間長度。達到限制的天數后，該口令將過期，需要設置新口令。在這幾天中，用戶將接收到一個關于口令過期需要修改口令的警告。 ? PASSWORD_REUSE_TIME：指定一個用戶口令被修改后，必須經過多少天后才可以重新使用該口令。 ? PASSWORD_VERIFY_FUNCTION：設置口令復雜性校驗函數。 Oracle 10g數據庫基礎教程 ?創(chuàng)建概要文件 ?將概要文件分配給用戶 ?修改概要文件 ?刪除概要文件 ?查詢概要文件 Oracle 10g數據庫基礎教程 （ 1）創(chuàng)建概要文件 ?語法為 ? CREATE PROFILE profile_name LIMIT ? resource_parameters|password_parameters。 ? profile_name：用于指定要創(chuàng)建的概要文件名稱； ? resource_parameter：用于設置資源限制參數，形式為 ? resource_parameter_name integer|UNLIMITED|DEFALUT ? password_parameters：用于設置口令參數，形式為 ? password_parameter_name integer|UNLIMITED|DEFALUT Oracle 10g數據庫基礎教程 ? 創(chuàng)建一個名為 res_profile的概要文件，要求每個用戶最多可以創(chuàng)建 4個并發(fā)會話；每個會話持續(xù)時間最長為 60分鐘；如果會話在連續(xù) 20分鐘內空閑，則結束會話；每個會話的私有 SQL區(qū)為 100 KB；每個 SQL語句占用 CPU時間總量不超過 10秒。 ? 創(chuàng)建一個名為 pwd_profile的概要文件，如果用戶連續(xù) 4次登錄失敗，則鎖定該賬戶， 10天后該賬戶自動解鎖。 ?也可以在修改用戶時為用戶指定概要文件。 Oracle 10g數據庫基礎教程 （ 3）修改概要文件 ?語法為 ? ALTER PROFILE profile_name LIMIT ? resource_parameters|password_parameters。 ?修改 pwd_profile概要文件，將用戶口令有效期設置為 10天。 Oracle 10g數據庫基礎教程 （ 4）刪除概要文件 ?語法 ? DROP PROFILE profile_name [CASCADE]。 ? 如果為用戶指定的概要文件被刪除，則系統(tǒng)自動將DEFAULT概要文件指定給該用戶。 ? DROP PROFILE pwd_profile CASCADE。 ? USER_RESOURCE_LIMITS：包含通過概要文件為用戶設置的資源限制參數。 Oracle 10g數據庫基礎教程 審計 ?審計的概念 ?審計分類 ?審計的啟動 Oracle 10g數據庫基礎教程 ?審計是監(jiān)視和記錄用戶對數據庫所進行的操作，以供 DBA進行統(tǒng)計和分析。 ? 監(jiān)視和收集特定數據庫活動的數據。 Oracle 10g數據庫基礎教程 ?語句審計（ Statement Auditing）：對特定的SQL語句進行審計，不指定具體對象。 ?對象審計（ Object Auditing）：對特定的模式對象上執(zhí)行的特定語句進行審計。 Oracle 10g數據庫基礎教程 ?根據用戶執(zhí)行的語句是否成功，審計分為： ? 成功執(zhí)行語句的審計 ? 不成功執(zhí)行語句的審計 ? 無論語句是否執(zhí)行成功都進行審計 ?根據對同一個語句審計次數的不同，審計分為： ? 會話級審計：對某一個用戶或所有用戶的同一個語句只審計一次，形成一條審計記錄； ? 存取方式審計：對某一個用戶或所有用戶的同一個語句每執(zhí)行一次便審計一次，即同一條語句形成多個審計記錄。 ? AUDIT_TRAIL參數可以取值：為 DB， OS， NONE，TRUE， FALSE， DB_EXTENDED， XML或 EXTENDED。 Oracle 10g數據庫基礎教程 ?通過 SQL*Plus環(huán)境啟動數據庫的審計功能。DB39。 ? SHUTDOWN IMMEDIATE ? STARTUP ?通過 OEM數據庫控制臺啟動數據庫的審計功能。 ?對角色的管理過程與用戶管理過程基本相似，可以參考用戶