УНИВЕРЗИТЕТ У НОВОМ САДУ

ФАКУЛТЕТ ТЕХНИЧКИХ НАУКА

1

Игор Јамбрек

КРЕИРАЊЕ И ОДРЖАВАЊЕ КОРИСНИЧКИХ НАЛОГА

СЕМИНАРСКИ РАД

Нови Сад, 2011.

2

САДРЖАЈ 1. УВОД .................................................................................................................................3

2. КОРИСНИЧКИ НАЛОЗИ .................................................................................................4

3. ПРИВИЛЕГИЈЕ .................................................................................................................6

4. УЛОГЕ ...............................................................................................................................8

5. ПРОФИЛИ .........................................................................................................................9

6. КВОТЕ ............................................................................................................................. 10

7. ЗАКЉУЧАК ..................................................................................................................... 11

8. ЛИТЕРАТУРА ................................................................................................................. 12

3

1. УВОД

Када се говори о креирању и одржавању корисничких налога у системима за управљање базама података, битно је да се познају наредни појмови:

кориснички налог у бази података је начин да се организује посједовање и

право приступа одређеним објектима базе података;

лозинка служи као начин аутентикације корисника;

привилегија је право за извршавање одређених типова SQL наредби или

право приступа објекту другог корисника;

улога је именована група повезаних привилегија које су одобрене

одређеним корисницима или другим улогама;

профил представља именовани скуп ограничења у коришћењу ресурса

базе података и инстанце;

квота је начин да се корисницима ограниче ресурси у неком tablespace-у.

О сваком од наведених појмова ће бити више ријечи у наредним поглављима. Описи одговарају конкретној реализацији креирања и одржавања корисничких налога у Oracle 10g систему за управљање базама података.

4

2. КОРИСНИЧКИ НАЛОЗИ

Да би приступио бази података, корисник мора успјешно да прође аутентикацију која подразумјева унос валидног корисничког имена и лозинке. Препорука је да сваки корисник базе података има свој кориснички налог. Ако то није случај, онда се оперативни систем или апликативни програм морају побринути за заштиту приступа бази података. Сваки кориснички налог има:

уникатно корисничко име – не смије да буде дуже од 30 бајта, не смије да

садржи специјалне знакове и мора почети словом;

метод за аутентикацију – најчешће се користи лозинка, мада Oracle 10g подржава и биометријски метод, сертификате и аутентикацију токеном;

подразумјевани tablespace – мјесто гдје корисник креира своје објекте ако

експлицитно не наведе други tablespace;

привремени tablespace – мјесто на којем корисник креира привремене

објекте;

профил – група ограничења над ресурсима додјељена кориснику;

група потрошача – користи се код менаџера за ресурсе;

статус закључавања – корисник може приступити само откључаним

налозима. SYS и SYSTEM су предефинисани кориснички налози који подразумјевано

имају додјељену улогу администратора БП. Разлика је што SYS налог посједује data dictionary. Сваки корисник који има SYSDBA привилегије може да се конектује на SYS налог користећи клаузулу AS SYSDBA. Налог SYSTEM посједује DBA улогу, али нема SYSDBA привилегије.

сл. 2.1 Креирање корисничког налога

У Oracle-овом алату Enterprise Manager Database Control, селектовањем

Administration > Schema > Users & Privileges > Users добија се страница за ажурирање корисничких налога. Кликом на дугме Create отвара се страна,

5

приказана на слици2.1, која служи за креирање налога. Звјездицом су означена поља која морају бити попуњена (корисничко име и лозинка). На истој страници се додјељује профил корисника, подразумјевани tablespace и привремени tablespace (детаљније о њима у наставку). Ако се не попуне поља везана за tablespace-ове, онда се за налог вежу системски предефинисани tablespace-ови. Аутентикација подразумјева верификацију идентитета некога ко жели да користи податке, ресурсе или апликације. Да би забранили неауторизовани приступ, потребно је одабрати најпогоднији начин аутентикације. Oracle нуди 3 типа:

лозинка – представља метод за аутентикацију на нивоу Oracle БП и подразумјева да сваки корисник при пријави на систем унесе корисничко име и лозинку како би се остварила конекција;

екстерни – аутентикација се обавља на нивоу оперативног система или мреже и не захтјева накнадни унос лозинке за БП;

глобални – користи напредну Oracle-ову заштиту и дозвољава корисницима да се идентификују биометријски, путем х509 сертификата, токен уређајима и Oracle Internet Directory-има.

Посљедња опција при креирању налога је избор статуса. Могуће је откључати или закључати налог. Корисници који посједују закључане налоге не могу извршити пријаву на систем. Могуће је накнадно промијенити лозинку корисника или откључати његов налог преко странице са приказом свих корисника која је представљена на слици 2.2.

сл. 2.2 Откључавање/закључавање налога и промјена лозинке

6

3. ПРИВИЛЕГИЈЕ

Привилегија представља право да би се извршио одређен тип SQL наредби или да би се приступило објектима другог корисника. Oracle-ова БП омогућује да се контролише шта корисници могу или не могу да раде у оквиру БП. Привилегије су подијељене у двије категорије:

системске привилегије – свака системска привилегија омогућава

кориснику да извршава одређене операције, или класе операција, над БП и могу бити додијељене само од стране администратора БП;

привилегије везане за објекте – омогућавају корисницима да извршавају одређене акције над одређеним објектима (као нпр. табелама, погледима, секвенцама, процедурама, функцијама или пакетима) и могу бити додјељене од стране власника објекта, администратора или онога коме је експлицитно дата дозвола да дијели привилегије за тај објекат.

На слици 3.1 приказана је додјела системских привилегија кориснику.

сл. 3.1 Системске привилегије

Након избора корисника, под картицом System Privileges могуће је бирати које системске привилегије желимо да додјелимо одабраном кориснику. Одабиром Edit List долази се до странице на којој се са лијеве стране налазе све привилегије, а са десне само привилегије које су већ додјељене кориснику. Могуће је ажурирати листу додјељених привилегија.

7

На слици 3.2 приказана је додјела привилегија везаних за објекте.

сл. 3.2 Привилегије везане за објекте

Као и код додјеле системских привилегија, прво се одабере корисник па се

селектује картица Object Privileges. Одабиром типа објекта чије привилегије желимо да додјелимо, отвара се страница на којој се са лијеве стране налазе све привилегије везане за објекат а са десне само привилегије које су већ додјељене кориснику. Могуће је ажурирати листу додјељених привилегија.

8

4. УЛОГЕ Да би се лакше управљало додјелом привилегија, у Oracle-овој БП постоје улоге, које представљају именовани скуп привилегија. Када имамо више корисника којима треба додјелити исте привилегије, лакше је привилегије додјелити улози, па онда ту улогу додјелити сваком кориснику. Ако се било која привилегија у улози промијени, свим корисницима којима је додјељена та улога ће се аутоматски ажурирати листа привилегија. Улоге се могу укључити и искључити ако желимо да привремено уклонимо неке привилегије од корисника.

сл. 4.1 Додјела привилегија улогама и улога корисницима

На слици 4.1 приказан је однос привилегија->улога->корисник. Може се примјетити како се више привилегија додјељује улози па улога кориснику. Улоге доста олакшавају посао администраторима и смањују могућност прављења грешке при додјели привилегија. Могуће је и улоге додјељивати улогама, што је добро када имамо више улога са сличним привилегијама.

9

5. ПРОФИЛИ Представљају именовани скуп ограничења над ресурсима инстанце и БП. У било ком временском тренутку, кориснику може бити додијељен само један профил. Страница за креирање профила у Enterprise Manager-у је приказана на слици 5.1.

сл. 5.1 Креирање профила

Ограничења на приступ процесору могу бити реализована и по приступу процесору по сесији и по приступу процесору по позиву. Ако се поље CPU/Session подеси на вриједност 1000, то значи да ће свака сесија, која користи овај профил, ако заузима више од 10 секунди процесорског времена, добити поруку о грешци и биће излогована. Ако ограничавамо корисника за кориштење процесора по позиву, значи да ниједна команда не смије да заузима одређено процесорско вријеме. Такође је могуће намјестити аутоматско прекидање сесије ако је корисник неактиван одређено вријеме. Управљање лозинкама корисника се рјешава преко профила. Подешава се аутоматско закључавање налога након одређеног броја неуспјешних пријава, као и временско важење лозинки. Могуће је подесити одређена мјерила за комплексност лозинке како би натјерали кориснике да праве сложеније лозинке.

10

6. КВОТЕ Представљају дозвољен простор за коришћење tablespace-а. Подразумјева се да корисник нема квоту ни на један tablespace. Постоје три опције при додјели квоте одређеном кориснику:

неограничено – омогућава кориснику да користи онолико простора колико је слободно у tablespace-у;

вриједност – број килобајта или мегабајта које корисник може да заузме;

UNLIMITED TABLESPACE системска привилегија – преклапа све индивидуалне квоте tablespace-а и даје кориснику неограничену квоту на све tablespace-ове, укључујући и SYSTEM и SYSAUX.

Посљедња опција треба да се додјељује са великом пажњом. На слици 6.1 је приказана страница за додјелу квота одређеном кориснику.

сл 6.1 Додјела квота кориснику

11

7. ЗАКЉУЧАК У системима база података се мора водити рачуна о сигурности да не би неко неауторизовано мијењао туђе податке. Из тог разлога и постоји креирање корисника како би се омогућила подјела одређених привилегија одређеним корисницима. Често се један сервер БП користи од стране више апликација, тако да би препорука била да свака апликација има бар један кориснички налог преко кога успоставља везу са БП, како не би дошло до логичке неконзистентности. Овдје је представљено руковање корисничким налозима у Oracle-овом систему за управљање базама података, мада се концепти не разликују ни код других произвођача.

12

8. ЛИТЕРАТУРА 1. Oracle Database 10g: Administration Workshop I, Volume I - Student Guide, Edition 3.0, November 2005., Oracle