文档中心

用户介绍

用户概念

用户是数据库中的账号,可以用来登录和操作数据库。用户登录时需要进行身份鉴别,合法有效的用户才能登录成功;同时每个用户拥有一定的权限,可以在权限允许的范围内对数据库进行操作。

数据库的用户可以分为系统用户和普通用户。系统用户是由数据库本身自动创建的用户,每个系统用户拥有已设定好的权限;非系统用户是指由有权用户手动创建的用户。每个用户都隶属于某个特定的(逻辑)库(以下简称“库”)。例如,每个库中都会有系统用户SYSDBA、SYSAUDITOR、SYSSSO和GUEST;而非系统用户被创建后,仅在当前库中有效。可以在不同库中创建同名但不同密码、不同属性、不同权限的用户。

用户属性

每个用户都拥有标识,即名称和ID号。其中名称和ID号在当前库中唯一,即同一个库中不能有两个及以上同名或同ID号的用户。库的标识和用户标识可以唯一确定一个数据库用户。

每个用户还拥有其他属性,包括用户口令、被授予的角色(角色相关内容参见第三章自主访问控制中的权限和角色相关部分)、账号有效期、口令有效期、锁定标志、信任IP、临时表空间配额等等。属性记载详情查看相关数据字典章节。

说明:

  • 用户可以创建多个实例库,每个实例库下的用户属于当前库,互不影响。

  • 单个实例库下的用户标识唯一,不能存在同名的其他对象,否则创建失败。

  • 首次启动数据库时自动生成管理员用户(SYSDBA、SYSAUDITOR、SYSSSO)及GUEST用户,应及时修改管理员用户信息。

  • 每个实例库在创建时自动生成管理员用户,对实例库进行一对一管理。

用户密码管理

用户密码设置要求:

  • 数据库账号口令应为无意义的字符组,长度至少八位,并且至少包括数字、英文字母、特殊字符等其中两类字符。可设置相应的策略强制复杂的口令。
  • 必须根据安全要求对数据库管理系统的密码策略进行设置和调整,以确保口令符合要求。

应定期或不定期修改数据库管理员口令,在下述几种情况下应修改数据库管理员口令:

  • 数据库正式使用之前
  • 数据库系统或相关的应用系统遭到入侵
  • 数据库管理员轮换
  • 数据库管理员口令泄露
  • 其它修改口令要求

注意:

  • 对于数据库中的敏感字段,如:口令等,要加密保存。
  • 账号口令使用较为复杂的口令策略,同时,口令的变更应通知相关责任人,否则会出现建立连接失败的情况 (口令连续输入错误超过三次会锁定连接访问IP三分钟)。
  • 在现有数据库设计中,数据库用户对其归属对象 (即对象属主为它) 拥有所有权限,即使不赋予 DDL 权限,其对归属对象仍具有 DDL 操作权限。为避免账号用户越权操作,建议不开放模式属主用户对外使用。