La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Universidad del Cauca – FIET – Departamento de Sistemas CAPITULO 13 Controlando el Acceso a los Usuarios.

Presentaciones similares


Presentación del tema: "Universidad del Cauca – FIET – Departamento de Sistemas CAPITULO 13 Controlando el Acceso a los Usuarios."— Transcripción de la presentación:

1 Universidad del Cauca – FIET – Departamento de Sistemas CAPITULO 13 Controlando el Acceso a los Usuarios

2 13-2 Universidad del Cauca – FIET – Departamento de Sistemas Después de este capítulo, usted estará en capacidad de: Crear usuarios Crear roles para facilitar la configuración y el mantenimiento del modelo de seguridad Usar las sentencias GRANT y REVOKE para dar y quitar privilegios sobre los objetos Crear y usar enlaces a bases de datos (data base links) Objetivos

3 13-3 Universidad del Cauca – FIET – Departamento de Sistemas Desarrollar un corto examen de cinco (5) preguntas en modo de aprendizaje (Learning mode), seleccionados en forma aleatoria. Realizar una corta realimentación de cada una de las preguntas. Tema: Controlling User Access Examen previo

4 13-4 Universidad del Cauca – FIET – Departamento de Sistemas Controlando el Acceso a los Usuarios Servidor ORACLE 9i TM Usuarios Barrera de seguridad del Sistema 123 Barrera de seguridad de los datos Acceso seguro a los datos del servidor Por ejemplo: User/password Espacio de disco para un usuario Operaciones que puede realizar Por ejemplo: GRANT SELECT ON Diplo01.Empleados

5 13-5 Universidad del Cauca – FIET – Departamento de Sistemas Son el derecho que tiene un usuario para ejecutar una sentencia SQL El Administrador de la base de datos (DBA) tiene todos los privilegios y puede otorgar privilegios a otros usuarios Los privilegios del sistema dan acceso a la base de datos Los privilegios de objeto dan la capacidad de manipular el contenido de los objetos de la base de datos Los usuarios pueden dar privilegios a otros usuarios o a roles (grupos de usuarios) Privilegios

6 13-6 Universidad del Cauca – FIET – Departamento de Sistemas Privilegios del sistema Más de 100 privilegios. Algunos de ellos son:

7 13-7 Universidad del Cauca – FIET – Departamento de Sistemas Privilegios del sistema

8 13-8 Universidad del Cauca – FIET – Departamento de Sistemas Privilegios del sistema

9 13-9 Universidad del Cauca – FIET – Departamento de Sistemas Privilegios del sistema

10 13-10 Universidad del Cauca – FIET – Departamento de Sistemas Privilegios del sistema

11 13-11 Universidad del Cauca – FIET – Departamento de Sistemas Privilegios del sistema

12 13-12 Universidad del Cauca – FIET – Departamento de Sistemas Privilegios del sistema

13 13-13 Universidad del Cauca – FIET – Departamento de Sistemas Creación de usuarios CREATE USER NombreUsuario IDENTIFIED {BY clave | EXTERNALLY | GLOBALLY AS NombreExterno} [… | ACCOUNT {LOCK | UNLOCK}]; Sólo el administrador del sistema y los usuarios con el privilegio de crear usuarios pueden usar esta sentencia Después de crear el usuario, éste aún no puede hacer nada en el sistema. Es como tener una tarjeta plástica para entrar a un edificio inteligente, pero en el sistema aún NO han dado permiso para entrar al edificio

14 13-14 Universidad del Cauca – FIET – Departamento de Sistemas Otorgando privilegios del sistema GRANT Privilegio [, Privilegio2, …] TO Usuario1 [, Usuario2 | Rol, PUBLIC …] [WITH ADMIN OPTION]; Esta sentencia permite otorgar privilegios a un usuario El privilegio mínimo que un usuario necesita para entrar al sistema es CREATE SESSION. En este momento se activa la tarjeta plástica en el sistema y el usuario puede usarla para entrar al edificio. La vista SESSION_PRIVS muestra los privilegios del usuario conectado La cláusula WITH ADMIN OPTION permite al usuario que recibió el privilegio, concederlo a otros usuarios

15 13-15 Universidad del Cauca – FIET – Departamento de Sistemas Otorgando privilegios del sistema Se recomienda asignar sólo los roles que un usuario necesita (como administrador ser lo más restrictivo posible) Un usuario desarrollador de una aplicación, normalmente necesita crear tablas, vistas, secuencias y procedimientos, pero no crear usuarios o hacer copias de seguridad del sistema, entre otros Para crear objetos (un usuario cree su esquema) debe tener cuotas de espacio en disco o el privilegio UNLIMITED TABLESPACE (Cuidado!!!)

16 13-16 Universidad del Cauca – FIET – Departamento de Sistemas Roles Usuario Rol Privilegios

17 13-17 Universidad del Cauca – FIET – Departamento de Sistemas CREATE ROLE NombreRol; Un rol es un grupo de privilegios que reciben un nombre, este rol puede ser otorgado posteriormente a un usuario. Usar roles hace más fácil el manejo de los privilegios Un usuario puede tener asignados varios roles y varios usuarios pueden tener el mismo rol Los roles normalmente se crean debido a necesidades de las aplicaciones El DBA o un usuario con privilegios de crear roles, crea el rol y luego a ese rol se le asignan los privilegios Roles

18 13-18 Universidad del Cauca – FIET – Departamento de Sistemas Uso de roles La vista USER_ROLE_PRIVS muestra los roles que se le han asignado a un usuario (el que esta actualmente conectado) En este caso el rol da tres privilegios a DVIVAS y el usuario recibe en forma independiente esos mismos privilegios

19 13-19 Universidad del Cauca – FIET – Departamento de Sistemas Cambiar la clave El DBA crea la cuenta de usuario y asigna una clave inicial El usuario puede cambiar la clave usando la sentencia ALTER USER En iSQL*Plus se recomienda usar la opción Preferences - > Change Password, las claves no se ven en el editor, cuidado con dejar la sesión activa … le pueden cambiar la clave

20 13-20 Universidad del Cauca – FIET – Departamento de Sistemas Privilegios de objeto Es un derecho de realizar una sentencia/acción sobre un objeto especifico (tabla, vista, secuencia …) Existen aproximadamente 35 privilegios de objeto, algunos de ellos son:

21 13-21 Universidad del Cauca – FIET – Departamento de Sistemas GRANTPrivilegioDeObjeto [(Columnas)] ON[Esquema.]Objeto TO{Usuario | Rol | PUBLIC} [WITH GRANT OPTION]; Dependiendo de cada objeto se pueden asignar ciertos privilegios (tabla anterior) El dueño del objeto, por defecto tiene todos los privilegios sobre el objeto El dueño puede otorgar ciertos/todos los privilegios sobre un objeto a un usuario, rol o a PUBLIC La cláusula WITH GRANT OPTION da la posibilidad de que el usuario que recibe los privilegios pueda concederlos a otros usuarios, de otro modo, sólo puede usarlos y no concederlos. Se puede crear una gran cadena NO circular de usuarios con WITH GRANT OPTION Otorgando privilegios de objeto

22 13-22 Universidad del Cauca – FIET – Departamento de Sistemas Otorgando privilegios de objeto Algunos privilegios se pueden asignar sobre las columnas de las tablas y de las vistas La vista USER_TAB_PRIVS_RECD muestra los privilegios que el usuario ha recibido sobre los objetos de otros usuarios La vista USER_COL_PRIVS_RECD muestra los privilegios que el usuario ha recibido sobre las columnas de tablas y vistas de otros usuarios

23 13-23 Universidad del Cauca – FIET – Departamento de Sistemas La palabra clave PUBLIC Use PUBLIC para asignar un privilegio a todos los usuarios de la base de datos (el sistema total) Los privilegios asignados a PUBLIC se pueden consultar a través del esquema SYS en dba_col_privs y dba_tab_privs El usuario Dvivas no tiene un privilegio directo sobre la tabla Departamentos del esquema Diplo01, pero en forma indirecta lo obtiene con PUBLIC

24 13-24 Universidad del Cauca – FIET – Departamento de Sistemas Confirmar los privilegios concedidos VISTA DEL DICCIONARIODESCRIPCIÓN ROLE_SYS_PRIVSPrivilegios del sistema concedidos a los roles ROLE_TAB_PRIVSPrivilegios de objeto concedidos a los roles USER_SYS_PRIVSPrivilegios del sistema concedidos al usuario USER_ROLE_PRIVSRoles accesibles por el usuario USER_TAB_PRIVS_MADEPrivilegios de objeto que el usuario ha concedido a otros sobre sus objetos USER_TAB_PRIVS_RECDPrivilegios de objeto que el usuario ha recibido sobre objetos de otros usuarios USER_COL_PRIVS_MADEPrivilegios de objeto que el usuario ha concedido a otros sobre las columnas de tablas o vistas USER_COL_PRIVS_RECDPrivilegios de objeto que el usuario ha recibido sobre columnas de tablas/vistas de otros usuarios

25 13-25 Universidad del Cauca – FIET – Departamento de Sistemas REVOKE {Privilegio1 [, Privilegio2 …] | Rol | ALL PRIVILEGES} FROM {Usuario1[, Usuario2 …] | Rol | PUBLIC}; La sentencia REVOKE permite quitar/revocar privilegios del sistema otorgados a un usuario, rol o PUBLIC La palabra ALL PRIVILEGES quita/revoca todos los privilegios del sistema otorgados al usuario, rol o PUBLIC Revocar un privilegio de sistema a un usuario no tiene efectos en cascada Revocando privilegios de sistema SYSTEMDiplo01Dvivas CREATE TABLE WITH ADMIN OPTION CREATE TABLE

26 13-26 Universidad del Cauca – FIET – Departamento de Sistemas Revocando privilegios de sistema

27 13-27 Universidad del Cauca – FIET – Departamento de Sistemas REVOKE {Privilegio1 [, Privilegio2 …]| ALL} ON Objeto FROM {Usuario1[, Usuario2 …] | Role | PUBLIC} [CASCADE CONSTRAINTS]; La sentencia REVOKE permite quitar/revocar privilegios de objeto otorgados a un usuario, rol o PUBLIC No importa si el privilegio fue concedido con la opción WITH GRANT OPTION La cláusula CASCADE CONSTRAINTS se requiere para remover restricciones de integridad referencial realizados cuando se poseía el privilegio REFERENCES Revocar un privilegio de objeto tiene efectos en cascada Revocando privilegios de objeto SYSTEMDiplo01Dvivas SELECT ON Tabla1 WITH GRANT OPTION SELECT ON Tabla1

28 13-28 Universidad del Cauca – FIET – Departamento de Sistemas Revocando privilegios de objeto

29 13-29 Universidad del Cauca – FIET – Departamento de Sistemas Un enlace de base de datos (data base link) permite a usuarios locales de una base de datos Oracle acceder datos de una base de datos Oracle remota Un enlace de base de datos es un apuntador en usa sola vía que se almacena en el diccionario de datos. Se pueden consultar en USER_DB_LINKS, DBA_DB_LINKS y ALL_DB_LINKS El usuario de la base de datos local NO necesita ser un usuario de la base de datos remota Normalmente el DBA es el encargado de crear los enlaces de bases de datos PÚBLICOS, aunque los usuarios pueden crear sus propios enlaces de bases de datos PRIVADOS Enlaces a bases de datos

30 13-30 Universidad del Cauca – FIET – Departamento de Sistemas Enlaces a bases de datos Servidor MLEARNING01 Servidor BD9ICAL Diplo01 Tablas Vistas Remota Local SYSTEM Enlace a base de datos SELECT * FROM Departamentos …

31 13-31 Universidad del Cauca – FIET – Departamento de Sistemas En esta lección usted debió aprender: A usar sentencias de control de acceso (DCL, Data Control Language) para: Conceder privilegios de sistema y objeto con la sentencia GRANT Revocar privilegios de sistema y objeto con la sentencia REVOKE A crear usuarios con la sentencia CREATE USER A crear roles con la sentencia CREATE ROLE A cambiar la clave de un usuario con la sentencia ALTER USER Resumen

32 13-32 Universidad del Cauca – FIET – Departamento de Sistemas Realizar una práctica de trece (13) puntos que permite practicar: La concesión de privilegios de objetos a otros usuarios La actualización de datos en tablas que pertenecen a otros usuarios La creación de sinónimos para acceder y modificas objetos que pertenecen a otros usuarios La consulta del diccionario de datos para conocer los privilegios otorgados y recibidos Practica 13

33 13-33 Universidad del Cauca – FIET – Departamento de Sistemas Desarrollar un examen de diez (10) preguntas en modo de aprendizaje (Learning mode), seleccionados en forma aleatoria. Realizar una corta realimentación de cada una de las preguntas. Tema: Controlling User Access Examen posterior


Descargar ppt "Universidad del Cauca – FIET – Departamento de Sistemas CAPITULO 13 Controlando el Acceso a los Usuarios."

Presentaciones similares


Anuncios Google