PDF de programación - Unidad 2: Control del acceso a la base de datos DCL

(2)



(3)

administración de bases de datos
(Unidad 2) control del acceso a la base de datos



índice

(2.2.1) cuentas administrativas
(2.2.2) privilegios administrativos

(2.5.1) creación de usuarios en Oracle
(2.5.2) modificación de usuarios
(2.5.3) borrado de usuarios
(2.5.4) consultar usuarios

(2.6.1) privilegios de sistema
(2.6.2) conceder privilegios
(2.6.3) revocar
(2.6.4) privilegios de objeto
(2.6.5) quitar privilegios de objeto
(2.6.6) mostrar información sobre privilegios

(2.4.1) autentificación por el sistema operativo
(2.4.2) autentificación por archivo de contraseñas
(2.4.3) autentificación por contraseña
(2.4.4) autentificación externa
(2.4.5) autentificación global

(2.1) introducción ____________________________________________________ 7
(2.2) cuentas y permisos administrativos _______________________________ 7
7
8
(2.3) características de los usuarios de Oracle ___________________________ 8
(2.4) autentificación __________________________________________________ 9
9
9
10
10
10
(2.5) control de usuarios en Oracle ____________________________________ 10
10
11
11
11
(2.6) control de privilegios en Oracle __________________________________ 12
12
17
18
18
19
19
(2.7) administración de roles en Oracle________________________________ 19
19
20
20
20
20
21
21
21
(2.8) administración de perfiles de Oracle _____________________________ 21
23
23
23
23

(2.7.1) creación de roles
(2.7.2) asignar y retirar privilegios a roles
(2.7.3) asignar roles
(2.7.4) roles predefinidos
(2.7.5) activar y desactivar roles
(2.7.6) asignar a un usuario un rol por defecto
(2.7.7) borrar roles
(2.7.8) información sobre roles

(2.8.1) crear perfiles
(2.8.2) modificar perfiles
(2.8.3) borrar perfil
(2.8.4) asignar un perfil a un usuario

(4)

2º curso de administración de sistemas informáticos en red
autor: Jorge Sánchez – www.jorgesanchez.net

(2.9) APÉNDICE: usuarios y privilegios en MySQL _____________________ 24
24
24
25
25
25
25
26
28
29

(2.9.1) cuentas de usuario en MySQL
(2.9.2) creación de usuarios
(2.9.3) borrado de usuarios
(2.9.4) consulta de los usuarios de MySQL
(2.9.5) modificar usuarios de MySQL
(2.9.6) cambiar de nombre a un usuario
(2.9.7) concesión de privilegios en MySQL
(2.9.8) revocación de permisos
(2.9.9) mostrar información sobre usuarios y privilegios

(5)

(2)

control de acceso a

la base de datos.

DCL

(2.1) introducción

Todo acceso a una base de datos requiere conectar mediante un usuario y contraseña.
Dicho usuario dará derecho a utilizar ciertos objetos de la base de datos, pero se puede
restringir el uso de otros.

A los usuarios se les asigna una serie de privilegios que son los que dan permiso de
uso a ciertos objetos. Para organizarse mejor la mayoría de Sistemas Gestores de Bases
de Datos permiten agrupar permisos que normalmente se aplican conjuntamente en
estructuras llamadas perfiles y roles, que en definitiva son un conjunto de permisos.

Por ello cuando un usuario conecta debe probar que es quien dice ser (normalmente
mediante una contraseña), es decir se autentifica. Por otro lado esta autentificación
dará lugar a unos privilegios (unos derechos) y unas restricciones.

Todo lo que se explica en este tema se refiere a la gestión de usuarios en la base de

datos Oracle 11g.

(2.2) cuentas y permisos administrativos

(2.2.1) cuentas administrativas

Durante la instalación de Oracle se instalan dos cuentas administrativas y otras dos con
permisos especiales para tareas de optimización y monitorización de la base de datos:

SYS. Inicialmente posee la contraseña CHANGE_ON_INSTALL que, lógicamente
hay que cambiar inmediatamente en la istalación. SYS toma rol de DBA y en su
esquema se crea el diccionario de datos, por lo que no conviene de ninguna
manera crear otro tipo de elementos en su esquema.

SYSTEM. Posee también el rol DBA y se crea durante la instalación. Como
antes, la contraseña MANAGER que tiene por defecto se debería cambiar en la

(7)

administración de bases de datos
(Unidad 2) control del acceso a la base de datos



instalación. En su esquema se suelen crear tablas y vistas administrativas (pero
no se deberían crear otro tipo de tablas).

SYSMAN. Usado para realizar tareas administrativas con

la aplicación

Enterprise Manager.

DBSMNP. Monitoriza Enterprise Manager.

(2.2.2) privilegios administrativos

Oracle posee dos privilegios de sistema asociados a tareas administrativas, son:

SYSDBA. Con capacidad de parar e iniciar (instrucciones SHUTDOWN y
STARTUP) la instancia de base de datos; modificar la base de datos (ALTER
DATABASE), crear y borrar bases de datos (CREATE y DROP DATABASE), Crear
el archivo de parámetros (CREATE SPFILE), cambiar el modo de archivado de la
base de datos, recuperar la base de datos y además incluye el privilegio de
sistema RESTRICTED SESSION. En la práctica es usar el usuario SYS.

SYSOPER. Permite lo mismo que el anterior salvo: crear y borrar la base de
datos y recuperar en todas las formas la base de datos (hay modos de
recuperación que requieren el privilegio anterior).

La vista V$PWFILE_USERS nos permite examinar a los usuarios administrativos.

(2.3) características de los usuarios de Oracle

A los usuarios de Oracle se les puede asignar la configuración referida a:

Nombre de usuario. No puede repetirse y como máximo debe tener 30
caracteres que sólo podrán contener letras del alfabeto inglés,números, el
signo dólar y el signo de guión bajo (_)

Configuración física. Se refiere al espacio asociado al usuario para almacenar
la cuota (límite de

llama tablespace) y

sus datos (lo que Oracle
almacenamiento) que se le asigna.

Perfil asociado. El perfil del usuario indica los recursos y configuración que

tomará el usuario al sistema

Privilegios y roles. Permiten especificar las acciones que se le permiten

realizar al usuario.

Estado de la cuenta de usuario:

 Abierta. El usuario puede conectar y realizar sus acciones habituales

 Bloqueada. EL usuario no podrá conectar mientars siga en estado

bloqueado. El bloqueo lo realiza el DBA:

ALTER USER usuario ACCOUNT LOCK







Expirada. La cuenta agotó el tiempo máximo asignado a ella. Para salir de
este estado, el usuario/a debe resetear su contraseña de usuario.

Expirada y bloqueada.

Expirada en periodo de gracia. Está en los últimos momentos de uso antes
de pasar a estado de expirada

(8)

2º curso de administración de sistemas informáticos en red
autor: Jorge Sánchez – www.jorgesanchez.net

(2.4) autentificación

La autentificación define la forma en la que el usuario verifica quién es. Hay métodos
de autentificación más seguros que otros. Asegurar la autentificación implicaría
asegurar el medio la comunicación entre usuario y base de datos con protocolos de
cifrado. Por otro lado hay que proteger especialmente a los usuarios administradores.

(2.4.1) autentificación por el sistema operativo

Se permite el uso sólo en usuarios con privilegios administrativos. En el sistema
operativo en el que se instale Oracle se crean dos grupos de usuarios relacionados con
los dos privilegios de sistema SYDBA y SYSOPER. En Windows se llaman ORA_DBA y
ORA_OPER respectivamente, en Linux simplemente dba y oper.

Los usuarios de esos grupos conectarían mediante CONNECT / AS SYSDBA o

CONNECT / AS SYSOPER.

Otra posibilidad es conectar con:

CONNECT /@servicioRed AS SYSDBA

En este caso usamos los privilegios del sistema operativo para conectar con una base de
datos remota cuyo nombre de servicio de red se indique. Esta forma sólo vale para
máquinas dentro de un dominio Windows.

(2.4.2) autentificación por archivo de contraseñas

Se usa en los mismos casos que la anterior. Cuando no se considera que el Sistema
Operativo sea muy seguro, se utiliza como opción. Para usar esta forma de
autentificación los usuarios de tipo SYSDBA o SYSOPER indican su nombre de usuario y
contraseña al conectar (opcionalmente indican el host al que se desean conectar) esos
datos se contrastarán con los del archivo de contraseñas utilizado. Esta forma (y la
anterior) permite conectar la base de datos aunque no esté montada todavía la base de
datos.

La utilidad ORAPWD permite crear, si no existe el archivo de contraseñas:

ORAPWD FILE=ruta [ENTRIES=n [FORCE=y|n[IGNORECASE=y|n]]]

Funcionamiento:

FILE. Permite indicar el nombre del archivo de contraseñas
ENTRIES. Indica el máximo número de contraseñas que admitirá el archivo
FORCE. En caso de darle el valor y sobrescribe las contraseñas cuando

asignemos una nueva a un usuario administrativo

IGNORECASE. No tiene en cuenta mayúsculas ni minúsculas en las contraseñas.

Por otra lado el parámetro de sistema REMOTE_LOGIN_PASSWORDFILE (modificable
con ALTER SYSTEM SET…), visto en el tema anterior) permite indicar la forma en la que
funciona el archivo de contraseñas. Valores posibles:

NONE. No permite usar el archivo de contraseñas, las conexiones de usuarios

con privilegios administrativos tendrán que usar otros métodos.

(9)

administración de bases de datos
(Unidad 2) control del acceso a la base de datos



EXCLUSIVE. El archivo de contraseñas se usa sólo en la instancia actual.
SHARED: Se comparte el archivo de contraseñas entre varias instancias de tipo
Real Application Cluster de Oracle (para bases de datos distribuidas). En este
caso no se pueden cambiar las contraseñas de los usuarios administrativos.

(2.4.3) autentificación por contraseña

En este cas