如何控制common user在cdb里对于pdb信息的访问-mysql教程-PHP中文网

首页

数据库

mysql教程

如何控制common user在cdb里对于pdb信息的访问

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jun 07, 2016 pm 04:33 PM

研究common user要在不同的pdb间切换所需具有的权限；研究common user在cdb上查询container_data_objects时如何限制其只能访问到

本文目的：
研究common user要在不同的pdb间切换所需具有的权限；
研究common user在cdb上查询container_data_objects时如何限制其只能访问到某几个pdb对应的信息或者在某个特定的container_data_object对象上限制其只能访问到某几个pdb对应的信息，common user一般都有比较大的权限，但有的时候我们不想让common user通过cdb里的视图去访问到某些pdb的信息

先解释一下container_data_object的概念：Dba_table、dba_views中container_data=’Y’对应的表或视图，因为这些视图中包含了来自不同pdb的信息，所以被称作container_data_object

1、只有common user才能使用alter session set container=PDBX在各个pdb间进行切换，前提是这个common user必须在这些pdb里至少具有create session 和 set container权限：

---在cdb里创建一个common user，赋予create session权限

SQL> show con_name

CON_NAME

------------------------------

CDB$ROOT

SQL> create user c##guser2 identified by 773946 container=all;

User created.

SQL> grant create session to c##guser2;

Grant succeeded.

---以刚创建的c##guser2用户登陆cdb，，set container到orapdba提示权限不足

oracle@ora12c1:/home/oracle>sqlplus c##guser2/773946

SQL*Plus: Release 12.1.0.1.0 Production on Thu Dec 12 21:22:44 2013

Connected to:

Oracle Database 12c Enterprise Edition Release 12.1.0.1.0 - 64bit Production

With the Partitioning, Real Application Clusters, Automatic Storage Management, OLAP,

Advanced Analytics and Real Application Testing options

SQL> alter session set container=orapdba;

ERROR:

ORA-01031: insufficient privileges

--[C1] -在orapdba里，grant set container权限给c##guser2

SQL> show con_name

CON_NAME

------------------------------

ORAPDBA

SQL> grant set container,create session to c##guser2;

Grant succeeded.

--- set container到orapdba成功

SQL> show con_name

CON_NAME

------------------------------

CDB$ROOT

SQL> alter session set container=orapdba;

Session altered.

结论：common user用户要在不同的pdb间实现切换，必须在这些pdb上拥有create session和set container的权限，最简单的方法是在cdb上执行grant create session,set container to c##guser2 container=all进行全局的赋权

2、通过alter user中的container_data_clause 进行container_data_objects访问权限控制：

---全局授权c##guser2查询系统视图的权限

SQL> grant select_catalog_role to c##guser2 container=all;

Grant succeeded.

---[C2] 以c##guser2登陆cdb$root查询cdb_data_files、v$session两个视图的内容

SQL> show user

USER is "C##GUSER2"

SQL> show con_name

CON_NAME

------------------------------

CDB$ROOT

SQL> select distinct con_id from v$session;

CON_ID

----------

SQL> select distinct con_id from cdb_data_files;

CON_ID

----------

---开放给c##guser2用户查询特定pdb上信息的权限

SQL> show user

USER is "SYS"

SQL> show con_name

CON_NAME

------------------------------

CDB$ROOT

SQL> alter user c##guser2 set container_data=(CDB$root[C3] ,orapdba,orapdbb) container=current;

User altered.

---查询cdb_container_data可以看到c##guser2用户具有在部分pdb上查询container_data_object的权限

select * from CDB_container_data where username='C##GUSER2';

Grant succeeded.

---再次以c##guser2登陆cdb$root查询cdb_data_files、v$session两个视图的内容，能查到除了0、1之外的其它pdb的信息了

SQL> select distinct con_id from v$session;

CON_ID

----------

SQL> select distinct con_id from cdb_data_files;

CON_ID

----------

---对于v$session视图限制c##guser2只能访问orapdba相关的信息

SQL> alter user c##guser2 set container_data=(CDB$root,orapdba) for v$session container=current;

---cdb_container_data中又增加了两行基于特定对象的控制信息

select * from CDB_container_data where username='C##GUSER2'

---以c##guser2登陆Root查询cdb_data_files、v$session两个视图的内容，发现还是能查到con_id=4，即orapdbb的记录

SQL> select distinct con_id from v$session;

CON_ID

----------

SQL> select distinct con_id from cdb_data_files;

CON_ID

----------

---原因在于红色的部分还是生效的

---去除对于orapdbb的访问权限

SQL> alter user c##guser2 remove container_data=(orapdbb) container=current;

User altered.

---以c##guser2登陆Root查询cdb_data_files、v$session两个视图的内容，就不见了

con_id=4的记录

SQL> select distinct con_id from v$session;

CON_ID

----------

SQL> select distinct con_id from cdb_data_files;

CON_ID

----------

---对于v$session视图限制放宽让c##guser2也能访问orapdbb相关的信息

SQL> alter user c##guser2 add container_data=(orapdbb) for v$session

container=current;

User altered.

---以c##guser2登陆Root查询v$session视图又能看见con_id=4的记录，但

cdb_data_files里依然没有con_id=4的记录

User altered.

[C1]此处未授权create session也可以set container成功，实际操作时还是同时附上create session比较好

[C2]由于c##guser2未进行任何的container_data设置，也即相当于设置了set container_data=default，所以只能看到con_id=0、con_id=1的记录，0代表整个CDB，1代表CDB$ROOT

[C3]必须包含Root，否则会报ORA-65057错误

在CentOS 6.4下安装Oracle 11gR2(x64)

Oracle 11gR2 在VMWare虚拟机中安装步骤

Debian 下安装 Oracle 11g XE R2

本文永久更新链接地址：

本站声明

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

热AI工具

Undresser.AI Undress

人工智能驱动的应用程序，用于创建逼真的裸体照片

AI Clothes Remover

用于从照片中去除衣服的在线人工智能工具。

Undress AI Tool

免费脱衣服图片

Clothoff.io

AI脱衣机

Video Face Swap

使用我们完全免费的人工智能换脸工具轻松在任何视频中换脸！

显示更多

热工具

记事本++7.3.1

好用且免费的代码编辑器

SublimeText3汉化版

中文版，非常好用

禅工作室 13.0.1

功能强大的PHP集成开发环境

Dreamweaver CS6

视觉化网页开发工具

SublimeText3 Mac版

神级代码编辑软件(SublimeText3)

显示更多

热门话题

Java教程

1664

CakePHP 教程

1423

Laravel 教程

1321

PHP教程

1269

C# 教程

1249

显示更多

Related knowledge

MySQL的角色：Web应用程序中的数据库 Apr 17, 2025 am 12:23 AM

MySQL在Web应用中的主要作用是存储和管理数据。1.MySQL高效处理用户信息、产品目录和交易记录等数据。2.通过SQL查询，开发者能从数据库提取信息生成动态内容。3.MySQL基于客户端-服务器模型工作，确保查询速度可接受。

说明InnoDB重做日志和撤消日志的作用。 Apr 15, 2025 am 12:16 AM

InnoDB使用redologs和undologs确保数据一致性和可靠性。1.redologs记录数据页修改，确保崩溃恢复和事务持久性。2.undologs记录数据原始值，支持事务回滚和MVCC。

MySQL：世界上最受欢迎的数据库的简介 Apr 12, 2025 am 12:18 AM

MySQL是一种开源的关系型数据库管理系统，主要用于快速、可靠地存储和检索数据。其工作原理包括客户端请求、查询解析、执行查询和返回结果。使用示例包括创建表、插入和查询数据，以及高级功能如JOIN操作。常见错误涉及SQL语法、数据类型和权限问题，优化建议包括使用索引、优化查询和分表分区。

MySQL的位置：数据库和编程 Apr 13, 2025 am 12:18 AM

MySQL在数据库和编程中的地位非常重要，它是一个开源的关系型数据库管理系统，广泛应用于各种应用场景。1）MySQL提供高效的数据存储、组织和检索功能，支持Web、移动和企业级系统。2）它使用客户端-服务器架构，支持多种存储引擎和索引优化。3）基本用法包括创建表和插入数据，高级用法涉及多表JOIN和复杂查询。4）常见问题如SQL语法错误和性能问题可以通过EXPLAIN命令和慢查询日志调试。5）性能优化方法包括合理使用索引、优化查询和使用缓存，最佳实践包括使用事务和PreparedStatemen