理解 Oracle 多租户体系中(12c,18c,19c)Revoke 回收权限作用域范围
本篇探讨以下几个问题:你可提前猜测下面6个场景语句中,哪几个回收可以成功执行?
1. 在CDB级别中对用户进行权限回收,不带 container 子句的效果;
2. 在CDB级别中对用户进行权限回收,带 container=all 子句的效果;
3. 在CDB级别中对用户进行权限回收,带 container=current 子句的效果;
4. 在PDB级别中对用户进行权限回收,不带 container 子句的效果;
5. 在PDB级别中对用户进行权限回收,带 container=all 子句的效果;
6. 在PDB级别中对用户进行权限回收,带 container=current 子句的效果;
请熟悉创建用户作用域、创建角色作用域和授权作用域。本篇将在以上理论基础上进行演示。
演示数据库版本:18.3.0.0.0(18c)
权限回收,针对的是授权,我们回顾下授权的作用域范围:需要注意的是,在考试中,经常考到在CDB级别授权及回收权限的作用域。
1. 在CDB级别中对用户进行授权,不带 container 子句的效果: 仅作用于当前CDB
2. 在CDB级别中对用户进行授权,带 container=all 子句的效果:作用于当前CDB和所有PDB
3. 在CDB级别中对用户进行授权,带 container=current 子句的效果:仅作用于当前CDB
4. 在PDB级别中对用户进行授权,不带 container 子句的效果:仅作用于当前PDB
5. 在PDB级别中对用户进行授权,带 container=all 子句的效果:X错误X PDB级别不能使用 ALL
6. 在PDB级别中对用户进行授权,带 container=current 子句的效果:仅作用于当前PDB
对于授权作用域,我们总结成三句话:也就是授权一共3种情况,仅作用于CDB,作用于全局,仅作用于PDB
仅作用于CDB:CDB级别不带子句或带了 current 都只作用于当前CDB
作用于全局:CDB级别如果带了 ALL,将作用于CDB和所有PDB全局
仅作用于PDB:PDB级别不带子句或带了 current 都只作用于当前PDB,无法带 ALL
注意:以上3种情况的授权,分别又对应3种回收选项(不带子句,带 all,带 current),所以共计9种情况,逐个讨论。
情况一:CDB授权作用于当前CDB,回收不带子句
创建用户 c##r1 并授权。符号 '<>' 代表默认值可省略
SQL> create user c##r1 identified by r1 <container=all>; ---用户默认作用于全局容器 User created. SQL> grant create session to c##r1 <container=current>; ---授权默认作用于当前容器CDB Grant succeeded.
所有容器均存在用户 c##r1 ,但只有CDB级别可以登录,PDB无法登陆。
回收权限,不带子句
SQL> revoke create session from c##r1; Revoke succeeded. SQL> conn c##r1/r1@cdb18c;
ERROR:
ORA-01045: user C##R1 lacks CREATE SESSION privilege; logon denied
不带子句,回收成功,默认作用于当前CDB,回收后,无法登陆。
情况二:CDB授权作用于当前CDB,回收带 ALL
创建用户 c##r2 并授权。
SQL> create user c##r2 identified by r2; User created. SQL> grant create session to c##r2; Grant succeeded.
所有容器均存在用户 c##r2 ,但只有CDB级别可以登录,PDB无法登陆。
回收权限,子句带 ALL
SQL> revoke create session from c##r2 container=all;
revoke create session from c##r2 container=all
*
ERROR at line 1:
ORA-65092: system privilege granted with a different scope to 'C##R2'
子句带 ALL,将报错。因授权只针对当前CDB生效,所以回收无法针对所有容器回收。
情况三:CDB授权作用于当前CDB,回收带 CURRENT
创建用户 c##r3 并授权。
SQL> create user c##r3 identified by r3; User created. SQL> grant create session to c##r3; Grant succeeded.
所有容器均存在用户 c##r3 ,但只有CDB级别可以登录,PDB无法登陆。
回收权限,子句带 CURRENT
SQL> revoke create session from c##r3 container=current; Revoke succeeded. SQL> conn c##r3/r3@cdb18c;
ERROR:
ORA-01045: user C##R3 lacks CREATE SESSION privilege; logon denied
子句带 CURRENT,回收成功,作用于当前CDB,回收后,无法登陆。
情况四:CDB授权作用于全局容器,回收不带子句
创建用户 c##r4 并授权。
SQL> create user c##r4 identified by r4; User created. SQL> grant create session to c##r4 container=all; Grant succeeded.
所有容器均存在用户 c##r4 ,且CDB和所有PDB均可登录。
回收权限,不带子句
SQL> revoke create session from c##r4;
revoke create session from c##r4
*
ERROR at line 1:
ORA-65092: system privilege granted with a different scope to 'C##R4'
不带子句,回收失败。因授权针对的是全局容器生效,所以回收无法针对当前CDB容器进行回收。---OCP考试内容
情况五:CDB授权作用于全局容器,回收带 ALL
创建用户 c##r5 并授权。
SQL> create user c##r5 identified by r5; User created. SQL> grant create session to c##r5 container=all; Grant succeeded.
所有容器均存在用户 c##r5 ,且CDB和所有PDB均可登录。
回收权限,子句带 ALL
SQL> revoke create session from c##r5 container=all; Revoke succeeded. SQL> conn c##r5/r5@cdb18c; ---CDB无法登陆
ERROR:
ORA-01045: user C##R5 lacks CREATE SESSION privilege; logon denied Warning: You are no longer connected to ORACLE. SQL> conn c##r5/r5@orders; ---PDB无法登陆
ERROR:
ORA-01045: user C##R5 lacks CREATE SESSION privilege; logon denied
子句带 ALL,回收成功。针对所有容器,CDB及PDB将无法登陆。
情况六:CDB授权作用于全局容器,回收带 CURRENT
创建用户 c##r6 并授权。
SQL> create user c##r6 identified by r6; User created. SQL> grant create session to c##r6 container=all; Grant succeeded.
所有容器均存在用户 c##r6 ,且CDB和所有PDB均可登录。
回收权限,子句带 CURRENT
SQL> revoke create session from c##r6 container=current;
revoke create session from c##r6 container=current
*
ERROR at line 1:
ORA-65092: system privilege granted with a different scope to 'C##R6'
带 current 回收失败。因授权针对的是全局容器生效,所以回收无法针对当前CDB容器进行回收。
情况七:PDB自己授权,回收不带子句
CDB创建用户 c##r7
SQL> create user c##r7 identified by r7; User created.
所有容器均存在用户 c##r7 ,且CDB和所有PDB现在都不可以登陆。
PDB单独对 c##r7 用户进行授权。
SQL> alter session set container=orders; Session altered. SQL> grant create session to c##r7; ---PDB级别默认授权为 CURRENT,无法进行 ALL 授权 Grant succeeded.
结果为PDB可登录了,CDB无法登陆
SQL> conn c##r7/r7@cdb18c; ---CDB无法登陆
ERROR:
ORA-01045: user C##R7 lacks CREATE SESSION privilege; logon denied Warning: You are no longer connected to ORACLE. SQL> conn c##r7/r7@orders; ---PDB可登陆
Connected.
CDB尝试回收
SQL> conn / as sysdba
Connected.
SQL> revoke create session from c##r7;
revoke create session from c##r7
*
ERROR at line 1:
ORA-01952: system privileges not granted to 'C##R7'
报错,原因是CDB级别根本没有进行授权。
PDB自己尝试回收
SQL> conn sys/oracle@orders as sysdba
Connected.
SQL> revoke create session from c##r7; Revoke succeeded.
也就是说:PDB级别自己针对公共用户的授权,只能由PDB级别自己管理,CDB无法进行权限回收。
情况八:PDB自己授权,回收带 ALL
CDB创建用户 c##r8,PDB级别自己授权
SQL> conn / as sysdba
Connected.
SQL> create user c##r8 identified by r8; User created. SQL> alter session set container=orders; Session altered. SQL> grant create session to c##r8; Grant succeeded.
结果为PDB可登录,CDB无法登陆
PDB 带子句 ALL 进行回收
SQL> revoke create session from c##r8 container=all;
revoke create session from c##r8 container=all
*
ERROR at line 1:
ORA-65040: operation not allowed from within a pluggable database
报错,在PDB级别操作不被允许,无法使用子句 container=all
情况九:PDB自己授权,回收带 CURRENT
CDB创建用户 c##r9,PDB级别自己授权
SQL> conn / as sysdba
Connected.
SQL> create user c##r9 identified by r9; User created. SQL> alter session set container=orders; Session altered. SQL> grant create session to c##r9; Grant succeeded.
结果为PDB可登录,CDB无法登陆
PDB 带子句 CURRENT 进行回收
SQL> revoke create session from c##r9 container=current; Revoke succeeded.
回收成功,PDB级别默认和CURRENT情况一致。
综上:
情况一:CDB授权作用于当前CDB,回收不带子句 回收当前CDB权限
情况二:CDB授权作用于当前CDB,回收带 ALL X错误X
情况三:CDB授权作用于当前CDB,回收带 CURRENT 回收当前CDB权限
-----------------------------------------------------------------------------------------------------------
情况四:CDB授权作用于全局容器,回收不带子句 X错误X
情况五:CDB授权作用于全局容器,回收带 ALL 回收全局容器权限
情况六:CDB授权作用于全局容器,回收带 CURRENT X错误X
-----------------------------------------------------------------------------------------------------------
情况七:PDB自己授权,回收不带子句 回收当前PDB权限
情况八:PDB自己授权,回收带 ALL X错误X
情况九:PDB自己授权,回收带 CURRENT 回收当前PDB权限
理解 Oracle 多租户体系中(12c,18c,19c)Revoke 回收权限作用域范围的更多相关文章
- 理解 Oracle 多租户体系中(12c,18c,19c)Grant授权作用域范围
本篇探讨以下几个问题:你可提前猜测下面6个场景语句中,哪几个授权可以成功执行? 1. 在CDB级别中对用户进行授权,不带 container 子句的效果: 2. 在CDB级别中对用户进行授权,带 co ...
- 理解 Oracle 多租户体系中(12c,18c,19c)创建角色作用域范围
本篇探讨以下几个问题:你可提前猜测下面6个场景语句中,哪几个可以成功创建角色? 1. 在CDB级别中创建公共角色,不带 container 子句的效果: 2. 在CDB级别中创建公共角色,带 cont ...
- 理解 Oracle 多租户体系中(12c,18c,19c)创建用户作用域范围
本篇探讨以下几个问题:你可提前猜测下面6个场景语句中,哪几个可以成功创建用户? 1. 在CDB级别中创建公共用户,不带 container 子句的效果: 2. 在CDB级别中创建公共用户,带 cont ...
- Oracle 12c 多租户家族(12c 18c 19c)如何在 PDB 中添加 HR 模式
Oracle 12c 多租户家族(12c [12.2.0.1].18c [12.2.0.2].19c [12.2.0.3])如何在 PDB 中添加模式:19c (19.3) 手工添加示例 HR 用户 ...
- OCP培训 Oracle 12c/18c/19c OCP认证实战培训【送OCP优惠名额】
一.OCP培训 Oracle 12c/18c/19c OCP认证全套实战培训[送OCP优惠名额],本课程内容 课程目标: 为满足想参加Oracle OCP考证的学员,风哥设计的一套比较全面OCP实战培 ...
- 深入理解Oracle RAC 12c 笔记
深入理解Oracle RAC 12c 跳转至: 导航. 搜索 文件夹 1 概述 2 集群件管理和故障诊断 3 执行实践 4 新特性 5 存储和ASM 6 应用设计上的问题 7 管理和调优一个复杂的RA ...
- 理解oracle中连接和会话
详见:http://blog.yemou.net/article/query/info/tytfjhfascvhzxcytp44 理解oracle中连接和会话 1. 概念不同:概念不同: 连接是指物 ...
- 前端知识体系:JavaScript基础-原型和原型链-理解原型设计模式以及 JavaScript中的原型规则
理解原型设计模式以及 JavaScript中的原型规则(原文地址) 1.原型对象:我们创建的每一个函数(JavaScript中函数也是一个对象)都有一个原型属性 prototype,原型属性实质上是一 ...
- ORACLE--12C--多租户体系架构概念
一,概念 1,何为多租户? 官网链接: 飞机直达>> 多租户这个概念并不是12C的新特性,而是体系架构,多租户架构使得oracle 数据库成为了一个多租户的容器数据库,也就是contain ...
随机推荐
- SpringBoot缓存 --(一)EhCache2.X
简介: Spring 3.1中开始对缓存提供支持,核心思路是对方法的缓存,当开发者调用一个方法时,将方法的参数和返回值作为key/value缓存起来,当再次调用该方法时,如果缓存中有数据,就直接从缓存 ...
- 二次剩余的判定及Cipolla算法
二次剩余 ppp是奇素数.所有的运算都是在群Zp∗Z_{p}^{*}Zp∗中的运算.方程x2=a≠0x^2=a \neq 0x2=a̸=0问是否有解,以及解是什么?若有解,aaa就是模ppp的二次 ...
- 【python基础语法】数据类型:数值、字符串 (第2天课堂笔记)
""" 数据类型: 一.数值类型:整数 浮点数 布尔值 二.序列类型:字符串.列表 元祖 三.散列类型:字典 集合 可变数据类型: 列表 字典 集合,可以改动内存地址数据 ...
- IntelliJ IDEA 2018.3.2 永久破解
PS:动手能力强的来,手残的去淘宝买吧,大概15块钱1年.建议看完后在动手,有一个全局观,浪费不了多少时间 一. 下载破解补丁文件 链接:https://pan.baidu.com/s/1wFp14t ...
- LOJ6287 诗歌
题意 给定一个排列,问是否存在\(\forall a,b,a\neq b\)满足\(2|(a+b)\)且\(\frac{a+b}{2}\)在\(a,b\)间 做法 枚举中点\(a\),即需要存在类似\ ...
- ArcMap 发布地图服务,提示发布工具没有启动
Error: The server is not ready for publishing. Please check if the Publishing Tools on the server ar ...
- CSRF 攻击的应对之道 转载
CSRF 背景与介绍 CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安全隐患之一.其他安全隐患,比如 ...
- Linux分区类型EXT2、EXT3、EXT4详解
一.EXT2与EXT3 Linux之前缺省情况下使用的文件系统为Ext2,ext2文件系统的确高效稳定.但是,随着Linux系统在关键业务中的应用,Linux文件系统的弱点也渐渐显露出来了:其中系统缺 ...
- Java泛型(T)与通配符?
前言:使用泛型的目的是利用Java编译机制,在编译过程中帮我们检测代码中不规范的有可能导致程序错误的代码.例如,我们都知道list容器可以持有任何类型的数据,所以我们可以把String类型和Integ ...
- Python三种注释及分行换行输出
1.单行注释 以#开头,#右边的所有东西都被当成文字说明,而不是真正要执行的程序,只是起到辅助说明作用(#后需要先添加一个空格). 单行注释写到行内代码后边,或者单独一行均可. # 我是单行注释,#号 ...