星期四, 12月 01, 2011

Oracle User profile --使用PROFILE來限制使用者資源


http://www.itpub.net/viewthread.php?tid=752785&highlight=session

可以使用PROFILE來限制使用者資源:

一、目的:
Oracle系統中的profile可以用來對使用者所能使用的資料庫資源進行限制,使用Create
Profile命令創建一個Profile,用它來實現對資料庫資源的限制使用,如果把該profile
分配給使用者,則該使用者所能使用的資料庫資源都在該profile的限制之內。

二、條件:
創建profile必須要有CREATE PROFILE的系統許可權。
為使用者指定資源限制,必須:
1.動態地使用alter system或使用初始化參數resource_limit使資源限制生效。
該改變對密碼資源無效,密碼資源總是可用。
SQL> show parameter resource_limit

NAME                                 TYPE        VALUE
------------------------------------ ----------- ------------------------------
resource_limit                       boolean     FALSE

SQL> alter system set resource_limit=true;

系統已更改。

SQL> show parameter resource_limit;

NAME                                 TYPE        VALUE
------------------------------------ ----------- ------------------------------
resource_limit                       boolean     TRUE

SQL>

2.使用create profile創建一個定義對資料庫資源進行限制的profile。
3.使用create user 或alter user命令把profile分配給使用者。

三、語法:
    CREATE PROFILE profile
LIMIT { resource_parameters
        | password_parameters
        }
          [ resource_parameters
          | password_parameters
          ]... ;


{ { SESSIONS_PER_USER
| CPU_PER_SESSION
| CPU_PER_CALL
| CONNECT_TIME
| IDLE_TIME
| LOGICAL_READS_PER_SESSION
| LOGICAL_READS_PER_CALL
| COMPOSITE_LIMIT
}
{ integer | UNLIMITED | DEFAULT }
| PRIVATE_SGA
{ integer [ K | M ] | UNLIMITED | DEFAULT }
}

< password_parameters >
{ { FAILED_LOGIN_ATTEMPTS
| PASSWORD_LIFE_TIME
| PASSWORD_REUSE_TIME
| PASSWORD_REUSE_MAX
| PASSWORD_LOCK_TIME
| PASSWORD_GRACE_TIME
}
{ expr | UNLIMITED | DEFAULT }
| PASSWORD_VERIFY_FUNCTION
    { function | NULL | DEFAULT }
}

四、語法解釋:
      profile:配置檔的名稱。Oracle資料庫以以下方式強迫資源限制:
      1.如果使用者超過了connect_time或idle_time的會話資源限制,資料庫就回滾當前
      事務,並結束會話。使用者再次執行命令,資料庫則返回一個錯誤,
      2.如果使用者試圖執行超過其他的會話資源限制的操作,資料庫放棄操作,回滾當前
      事務並立即返回錯誤。使用者之後可以提交或回滾當前事務,必須結束會話。
      提示:可以將一條分成多個段,如1小時(1/24天)來限制時間,可以為使用者指定資源
      限制,但是資料庫只有在參數生效後才會執行限制。

      Unlimited:分配該profile的使用者對資源使用無限制,當使用密碼參數時,
      unlimited意味著沒有對參數加限制。

      Default:指定為default意味著忽略對profile中的一些資源限制,Default
      profile初始定義對資源不限制,可以通過alter profile命令來改變。

      Resource_parameter部分

      Session_per_user:指定限制使用者的併發會話的數目。
      Cpu_per_session:指定會話的CPU時間限制,單位為百分之一秒。
      Cpu_per_call:指定一次調用(解析、執行和提取)的CPU時間限制,單位為百分之
      一秒。
      Connect_time:指定會話的總的連接時間,以分鐘為單位。
      Idle_time:指定會話允許連續不活動的總的時間,以分鐘為單位,超過該時間,會
      話將斷開。但是長時間運行查詢和其他操作的不受此限制。
      Logical_reads_per_session:指定一個會話允許讀的資料塊的數目,包括從記憶體
      和磁片讀的所有資料塊。
      Logical_read_per_call:指定一次執行SQL(解析、執行和提取)調用所允許讀的
      資料塊的最大數目。
      Private_sga:指定一個會話(session)可以在共用池(SGA)中所允許分配的最大空間,以位
      元組為單位。(該限制只在使用共用伺服器結構時才有效,會話在SGA中的私有空間
      包括私有的SQL和PL/SQL,但不包括共用的SQL和PL/SQL)。
      Composite_limit:指定一個會話的總的資源消耗,以service units單位表示。
      Oracle資料庫以有利的方式計算cpu_per_session,connect_time,
      logical_reads_per_session和private-sga總的service units


      Password_parameter部分:

      Failed_login_attempts:指定在帳戶被鎖定之前所允許嘗試登陸的的最大次數。
      Password_life_time:指定同一密碼所允許使用的天數。如果同時指定了
      password_grace_time參數,如果在grace period內沒有改變密碼,則密碼會失效\
,連
      接資料庫被拒絕。如果沒有設置password_grace_time參數,預設值unlimited將引
      發一個資料庫警告,但是允許使用者繼續連接。

      Password_reuse_time和password_reuse_max:這兩個參數必須互相關聯設置,
      password_reuse_time指定了密碼不能重用前的天數,而password_reuse_max
      則指定了當前密碼被重用之前密碼改變的次數。兩個參數都必須被設置為整數。
      1.如果為這兩個參數指定了整數,則使用者不能重用密碼直到密碼被改變了
      password_reuse_max指定的次數以後在password_reuse_time指定的時間內。
      如:password_reuse_time=30,password_reuse_max=10,使用者可以在30天以後重用
      該密碼,要求密碼必須被改變超過10次。
      2.如果指定了其中的一個為整數,而另一個為unlimited,則使用者永遠不能重用一
      個密碼。
      3.如果指定了其中的一個為default,Oracle資料庫使用定義在profile中的預設值
     ,默認情況下,所有的參數在profile中都被設置為unlimited,如果沒有改變
      profile預設值,資料庫對該值總是默認為unlimited。
      4.如果兩個參數都設置為unlimited,則資料庫忽略他們。

      Password_lock_time:指定登陸嘗試失敗次數到達後帳戶的縮定時間,以天為單位
      。
      Password_grace_time:指定寬限天數,資料庫發出警告到登陸失效前的天數。如果
      資料庫密碼在這中間沒有被修改,則過期會失效。
      Password_verify_function:該欄位允許將複雜的PL/SQL密碼驗證腳本做為參數傳
      遞到create profile語句。Oracle資料庫提供了一個默認的腳本,但是自己可以創
      建自己的驗證規則或使用第三方軟體驗證。 對Function名稱,指定的是密碼驗證規
      則的名稱,指定為Null則意味著不使用密碼驗證功能。如果為密碼參數指定運算式
      ,則該運算式可以是任意格式,除了資料庫標量子查詢。

五、舉例:
      1.創建一個profile:
      create profile new_profile
             limit password_reuse_max 10
                    password_reuse_time 30;

      2.設置profile資源限制:
      create profile app_user limit
             sessions_per_user unlimited
             cpu_per_session unlimited
             cpu_per_call 3000
             connect_time 45 / unlimited
             idle_time unlimited
             logical_reads_per_session default
             logical_reads_per_call 1000
             private_sga 15k
             composite_limit 5000000;
             總的resource cost不超過五百萬service units。計算總的resource
             cost的公式由alter resource cost語句來指定。

      3.設置密碼限制profile:
      create profile app_users2 limit
             failed_login_attempts 5
             password_life_time 60
             password_reuse_time 60
             password_reuse_max 5
             password_verify_function verify_function
             password_lock_time 1/24
             password_grace_time 10;
             password_reuse_max 5
             password_verify_function verify_function
             password_lock_time 1/24
             password_grace_time 10;

      4.將配置檔分配給使用者:
             SQL> alter user dinya profile app_user;
使用者已更改。
SQL>

             SQL> alter user dinya profile default;
使用者已更改。

沒有留言:

LinkWithin-相關文件

Related Posts Plugin for WordPress, Blogger...