Oracle 12c多租户特性详解:全局用户与本地用户的原理与维护

前情回顾:Oracle 12c多租户特性详解:从Schema到PDB的变化与隔离

COMMON 和 Local 用户

无论在 CDB 和 Non-CDB 数据库中,用户都拥有一个 Schema,拥有一系列的 Schema 对象,在 CDB 中由于 PDB 的引入,用户范畴有所不同。

在 CDB 模式下,公用用户(Common User)和本地用户(Local User)两个概念被引入进来,公用用户可以在 CDB 和 PDB中同时存在,能够连接 ROOT 和 PDB 进行操作;而本地用户则只在特定的 PDB 中存在,也只能在特定的 PDB 中执行操作;在 PDB 中不能创建公用用户,而在 CDB 中(CDB$ROOT 中)同样不能创建本地用户。

在 CDB 中创建的公用用户要求以 c##或C## 开头,以下测试以常规方式命名的用户将会创建失败,符合规则的用户可以被创建:

当创建公用用户时,Oracle 会向每个 PDB 中同时创建该用户,如果 PDB 未打开,则创建工作会以任务的方式延后。以下查询显示数据库中只在容器1中存在新创建的用户:

此时打开 PDB,则数据库会自动完成之前挂起的内部创建工作:

下图描述了公用用户和本地用户的区别:

在拥有了 CREATE SESSION 权限后,公用用户能够登陆包括 Root 在内的任何 Container。公用用户一般在每个 PDB 中都存在对应的用户信息,在 PDB 中不能存在与公用用户重名的用户,如初始的 SYS 和 SYSTEM 用户都属于公用用户。也只有公用用户能够授权或被授权相应的公用角色和权限。

公用权限是指对所有 Container 都有效的系统或者对象权限,例如一个公用用户被授予了公用权限 CREATE ANY TABLEWITH ADMIN OPTION 可以将这个权限转授给其他公用用户。公用用户之外的权限被称为本地权限(Local Privilege).

公用角色是指在所有 Container 中都可见的角色,这些角色可能包含全局和本地权限。本地角色只能包含本地权限。授予公用角色的公用权限,对于具有该角色的用户在任何可以连接的 Container 中都将具有该权限。

以下是一些相关的常识性介绍:

  • 一个公用用户在不同 Container 中的 Schema 可以不同;
  • 本地用户只能在各自的 PDB 中进行操作,在不同 PDB 中可以存在同名的本地用户;
  • PDB 中的本地用户不能登陆其他 PDB 或 ROOT;
  • PDB 的本地用户只需要在本 PDB 内保持用户名唯一;
  • 本地用户能否访问一个公用 Schema 中的对象取决于其拥有的具体权限;
  • PDB 能够通过 DB Link 访问其他的 PDB;

在 CDB、PDB 模式下,一个权限在被授权的 Container 中存在。因此,在 PDB 中授予的本地权限和角色和在 Non-CDB 中没有不同,例如,在 PDBHRPDB 中授予本地用户 HR 的 SELECT ANYTABLE 权限,仅在该 PDB 中生效。

相对而言,公用权限和角色可以跨越 Container 生效,当需要跨 Container 进行操作时,需要公用权限或角色,并且这些权限需要在现有和将来创建的 Container 中生效。

在 CDB 中,每个权限或者是在某个 Container 中的本地权限,或者是在所有Container中生效的公用权限。公用权限确保公用用户无需在不同 PDB中重复授权。

类似 CREATE ANYTABLE 的权限,其自身既不是公用权限也不是本地权限,如果一个用户通过 CONTAINER=CURRENT 方式授权,则被授权用户拥有的是本地权限;如果一个权限通过 CONTAINER=ALL 方式授权,则用户获得的是公用权限。因此,一个权限称其为本地或公用权限,完全依赖于其授权方式。

在 CDB 中,每个角色或者是基于 PDB 的本地角色,或者是对全体 PDB 生效的公用角色,所有系统提供的角色(如 DBA)都属于公用角色。

在视图 DBA_USERS 和 CDB_USERS 中都包含了一个字段 COMMON,用于标识公用用户和本地用户。

以下查询显示 SYSTEM 作为公用用户在四个容器中存在:

数据库中存在17个公用用户:

以下查询列出了数据库中的本地用户:

通过指定 CONTAINER 可以限定创建用户的类型,当使用 ALL 选项时,以下命令就创建了一个名为 APPADMIN 的公用用户:

查询 dba_users 视图,可以看到 APPADMIN 的相关用户属性:

注意,在 CDB$ROOT 中不能创建本地用户或角色:

在 PDB 中才可以创建本地用户,以下测试首先连接到 PDB(名称为 ENMO)中,连接用户具备 DBA 权限可以创建用户:

当然在 PDB 中也不允许创建公用用户:

同样在 PDB 中也不能删除公用用户:

以下 SQL 成功在 PDB 下创建了本地用户:

类似的,本地用户不能被授予公用权限或角色,以下尝试在全局授权的命令会返回明确的错误:

在 PDB 内授予本地权限之后,新创建的用户可以登陆本地 PDB 数据库:

下面来研究一下角色。在 CDB_ROLES 视图可以查询 CDB 的角色信息,以下查询可以看到由于 PDB 的引入,角色记录大大增加:

对于 DBA 公用角色来说,在每个 Container 中都存在相应的信息记录:

而对于 PDB_DBA 角色,仅在 PDB 中存在:

同用户管理类似,在 CDB$ROOT 中可以建立公用角色,但是不能创建本地角色,公用角色在每个 PDB 中都存在,同样需要以 c## 为前缀开头:

在 PDB 中,同样不能创建公用角色,仅能创建本地角色:

对于系统权限和对象权限,CDB 相应的增加了对应视图用于存储这些信息:

在 CDB 中可以像在 NON-CDB 的数据库中一样进行权限授予与回收:

COMMON 和 Local 用户的内部隔离

在技术实现上,本地用户和公用用户都存储在底层的 USER$ 字典表,该表的结构如下(内容摘录自 $ORACLE_HOME/rdbms/admin/dcore.bsq 文件):

注意以上结构中的 SPARE1 字段,该字段的注释是“用于 Schema 级别的补充记录”,那么这里补充记录的是什么内容呢?

我们再来查看一下 DBA_USERS 这个视图的内容(摘录内容自$ORACLE_HOME/rdbms/admin/cdenv.sql 文件),其中显示 COMMON 字段内容对应了“decode(bitand(u.spare1,128), 128, 'YES', 'NO')”这一运算结果:

针对在 PDB 中创建的 EYGLE 用户,我们来解析一下 CDB 和 PDB 的用户隔离,由于用户信息是存储在 USER$ 表中,以下查询显示在 PDB 中存在的用户在 CDB 中并不存在,也就是说 PDB 中的用户,仅在 PDB 自己的 SYSTEM 表空间字典表 USER$ 中存在:

首先我们跟踪一下在 PDB 中创建用户的过程:

在跟踪文件目录搜索一下创建用户的语句:

在跟踪文件中记录了创建用户的过程,密码已经被隐藏,摘录主要语句如下,注意 insert 语句将用户信息插入到 USER$ 表中:

如果我们在 CDB 级别创建一个公用用户,那么 Oracle 数据库将如何处理呢?

以下在 CDB 级别进行一次跟踪:

检查跟踪文件,可以发现存在两次 INSERT USER$ 的操作,其中一次是用户进程执行的,另外一次由并行进程执行,也就是将同样的记录插入到 PDB 中:

现在我们再创建一个新的 PDB:

打开两个 PDB:

接下来启用会话和全局的跟踪:

现在可以看到,除了会话进程插入 USER$ 之外,两个并行进程执行了向 PDB 的数据插入,这也就是 CDB 与 PDB 的用户隔离与管理:

原文发布于微信公众号 - 数据和云(OraNews)

原文发表时间:2016-07-08

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏kl的专栏

spring boot动态调整线上日志级别

日志模块是每个项目中必须的,用来记录程序运行中的相关信息。一般在开发环境下使用DEBUG级别的日志输出,为了方便查看问题,而在线上一般都使用INFO级别的日志,...

4046
来自专栏Linux Python 加油站

Linux 之父如何定义 Linux?

来源:马哥教育链接:https://mp.weixin.qq.com/s/wwBt5H68tHmf_lHXrd_eSQ本文是 Linus 写于 1991年10月...

562
来自专栏zhisheng

0Day技术分析-1-基础知识

1 基础知识 本章介绍一些与0Day相关的基本概念及基础知识。 1.1. Bug与漏洞 有一个比较有趣的事件,话说某个软件中存在99个Bug,某一天研发人员心血...

2764
来自专栏杨建荣的学习笔记

Oracle数据库重启后密码失效的问题(r12笔记第91天)

前几天,我和系统运维的同事处理一个看似诡异的问题,他找到我说应用服务器启动的时候报了DB的Error,但是错误信息有限,他也没法完全定位到错误的原因,所以就希...

2884
来自专栏大数据文摘

硬盘数据恢复的神器有哪些?

22815
来自专栏程序员的SOD蜜

使用SQLServer同义词和SQL邮件,解决发布订阅中订阅库丢失数据的问题

最近给客户做了基于SQLServer的发布订阅的“读写分离”功能,但是某些表数据很大,经常发生某几条数据丢失的问题,导致订阅无法继续进行。但是每次发现问题重新做...

2587
来自专栏Netkiller

数据库结构版本控制

数据库结构版本控制 目录 1. 什么是数据库结构版本控制 2. 为什么要做数据库结构本版控制 3. 何时做数据库结构本版控制 4. 在哪里做数据库结构本版控制 ...

3233
来自专栏FreeBuf

Makednslog:让我们来看一看这款能够伪造DNS日志的工具

写在前面的话 2016年8月1日,我曾发表过一篇文章【点击文末的阅读原文查看】并介绍了如何使用哈希算法来提升大型DNS日志文件的搜索效率。但是这篇文章中还存在一...

1966
来自专栏CodeSheep的技术分享

Pipeline As Code With Jenkins2.0

3089
来自专栏杨建荣的学习笔记

一个dg警告发现的硬件问题 (r6笔记第60天)

今天收到一条报警短信,提示dg似乎出了点问题。信息的来源是从v$dataguard_status里面扫描得到的最新错误。 2015-09-15 22:06:19...

2717

扫描关注云+社区