Oracle 12c多租户特性详解:全局用户与本地用户的原理与维护

前情回顾:Oracle 12c多租户特性详解:从Schema到PDB的变化与隔离

COMMON 和 Local 用户

无论在 CDB 和 Non-CDB 数据库中,用户都拥有一个 Schema,拥有一系列的 Schema 对象,在 CDB 中由于 PDB 的引入,用户范畴有所不同。

在 CDB 模式下,公用用户(Common User)和本地用户(Local User)两个概念被引入进来,公用用户可以在 CDB 和 PDB中同时存在,能够连接 ROOT 和 PDB 进行操作;而本地用户则只在特定的 PDB 中存在,也只能在特定的 PDB 中执行操作;在 PDB 中不能创建公用用户,而在 CDB 中(CDB$ROOT 中)同样不能创建本地用户。

在 CDB 中创建的公用用户要求以 c##或C## 开头,以下测试以常规方式命名的用户将会创建失败,符合规则的用户可以被创建:

当创建公用用户时,Oracle 会向每个 PDB 中同时创建该用户,如果 PDB 未打开,则创建工作会以任务的方式延后。以下查询显示数据库中只在容器1中存在新创建的用户:

此时打开 PDB,则数据库会自动完成之前挂起的内部创建工作:

下图描述了公用用户和本地用户的区别:

在拥有了 CREATE SESSION 权限后,公用用户能够登陆包括 Root 在内的任何 Container。公用用户一般在每个 PDB 中都存在对应的用户信息,在 PDB 中不能存在与公用用户重名的用户,如初始的 SYS 和 SYSTEM 用户都属于公用用户。也只有公用用户能够授权或被授权相应的公用角色和权限。

公用权限是指对所有 Container 都有效的系统或者对象权限,例如一个公用用户被授予了公用权限 CREATE ANY TABLEWITH ADMIN OPTION 可以将这个权限转授给其他公用用户。公用用户之外的权限被称为本地权限(Local Privilege).

公用角色是指在所有 Container 中都可见的角色,这些角色可能包含全局和本地权限。本地角色只能包含本地权限。授予公用角色的公用权限,对于具有该角色的用户在任何可以连接的 Container 中都将具有该权限。

以下是一些相关的常识性介绍:

  • 一个公用用户在不同 Container 中的 Schema 可以不同;
  • 本地用户只能在各自的 PDB 中进行操作,在不同 PDB 中可以存在同名的本地用户;
  • PDB 中的本地用户不能登陆其他 PDB 或 ROOT;
  • PDB 的本地用户只需要在本 PDB 内保持用户名唯一;
  • 本地用户能否访问一个公用 Schema 中的对象取决于其拥有的具体权限;
  • PDB 能够通过 DB Link 访问其他的 PDB;

在 CDB、PDB 模式下,一个权限在被授权的 Container 中存在。因此,在 PDB 中授予的本地权限和角色和在 Non-CDB 中没有不同,例如,在 PDBHRPDB 中授予本地用户 HR 的 SELECT ANYTABLE 权限,仅在该 PDB 中生效。

相对而言,公用权限和角色可以跨越 Container 生效,当需要跨 Container 进行操作时,需要公用权限或角色,并且这些权限需要在现有和将来创建的 Container 中生效。

在 CDB 中,每个权限或者是在某个 Container 中的本地权限,或者是在所有Container中生效的公用权限。公用权限确保公用用户无需在不同 PDB中重复授权。

类似 CREATE ANYTABLE 的权限,其自身既不是公用权限也不是本地权限,如果一个用户通过 CONTAINER=CURRENT 方式授权,则被授权用户拥有的是本地权限;如果一个权限通过 CONTAINER=ALL 方式授权,则用户获得的是公用权限。因此,一个权限称其为本地或公用权限,完全依赖于其授权方式。

在 CDB 中,每个角色或者是基于 PDB 的本地角色,或者是对全体 PDB 生效的公用角色,所有系统提供的角色(如 DBA)都属于公用角色。

在视图 DBA_USERS 和 CDB_USERS 中都包含了一个字段 COMMON,用于标识公用用户和本地用户。

以下查询显示 SYSTEM 作为公用用户在四个容器中存在:

数据库中存在17个公用用户:

以下查询列出了数据库中的本地用户:

通过指定 CONTAINER 可以限定创建用户的类型,当使用 ALL 选项时,以下命令就创建了一个名为 APPADMIN 的公用用户:

查询 dba_users 视图,可以看到 APPADMIN 的相关用户属性:

注意,在 CDB$ROOT 中不能创建本地用户或角色:

在 PDB 中才可以创建本地用户,以下测试首先连接到 PDB(名称为 ENMO)中,连接用户具备 DBA 权限可以创建用户:

当然在 PDB 中也不允许创建公用用户:

同样在 PDB 中也不能删除公用用户:

以下 SQL 成功在 PDB 下创建了本地用户:

类似的,本地用户不能被授予公用权限或角色,以下尝试在全局授权的命令会返回明确的错误:

在 PDB 内授予本地权限之后,新创建的用户可以登陆本地 PDB 数据库:

下面来研究一下角色。在 CDB_ROLES 视图可以查询 CDB 的角色信息,以下查询可以看到由于 PDB 的引入,角色记录大大增加:

对于 DBA 公用角色来说,在每个 Container 中都存在相应的信息记录:

而对于 PDB_DBA 角色,仅在 PDB 中存在:

同用户管理类似,在 CDB$ROOT 中可以建立公用角色,但是不能创建本地角色,公用角色在每个 PDB 中都存在,同样需要以 c## 为前缀开头:

在 PDB 中,同样不能创建公用角色,仅能创建本地角色:

对于系统权限和对象权限,CDB 相应的增加了对应视图用于存储这些信息:

在 CDB 中可以像在 NON-CDB 的数据库中一样进行权限授予与回收:

COMMON 和 Local 用户的内部隔离

在技术实现上,本地用户和公用用户都存储在底层的 USER$ 字典表,该表的结构如下(内容摘录自 $ORACLE_HOME/rdbms/admin/dcore.bsq 文件):

注意以上结构中的 SPARE1 字段,该字段的注释是“用于 Schema 级别的补充记录”,那么这里补充记录的是什么内容呢?

我们再来查看一下 DBA_USERS 这个视图的内容(摘录内容自$ORACLE_HOME/rdbms/admin/cdenv.sql 文件),其中显示 COMMON 字段内容对应了“decode(bitand(u.spare1,128), 128, 'YES', 'NO')”这一运算结果:

针对在 PDB 中创建的 EYGLE 用户,我们来解析一下 CDB 和 PDB 的用户隔离,由于用户信息是存储在 USER$ 表中,以下查询显示在 PDB 中存在的用户在 CDB 中并不存在,也就是说 PDB 中的用户,仅在 PDB 自己的 SYSTEM 表空间字典表 USER$ 中存在:

首先我们跟踪一下在 PDB 中创建用户的过程:

在跟踪文件目录搜索一下创建用户的语句:

在跟踪文件中记录了创建用户的过程,密码已经被隐藏,摘录主要语句如下,注意 insert 语句将用户信息插入到 USER$ 表中:

如果我们在 CDB 级别创建一个公用用户,那么 Oracle 数据库将如何处理呢?

以下在 CDB 级别进行一次跟踪:

检查跟踪文件,可以发现存在两次 INSERT USER$ 的操作,其中一次是用户进程执行的,另外一次由并行进程执行,也就是将同样的记录插入到 PDB 中:

现在我们再创建一个新的 PDB:

打开两个 PDB:

接下来启用会话和全局的跟踪:

现在可以看到,除了会话进程插入 USER$ 之外,两个并行进程执行了向 PDB 的数据插入,这也就是 CDB 与 PDB 的用户隔离与管理:

原文发布于微信公众号 - 数据和云(OraNews)

原文发表时间:2016-07-08

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏Golang语言社区

配置文件热加载的go语言实现

通常我们更新应用程序的配置文件,都需要手动重启程序或手动重新加载配置。假设一组服务部署在10台机器上,你需要借助批量运维工具执行重启命令,而且10台同时重启可能...

2855
来自专栏大学生计算机视觉学习DeepLearning

c++ 常用的遍历,删除,分割等等文件处理函数代码实现

原文链接:https://www.cnblogs.com/DOMLX/p/9622851.html

922
来自专栏Google Dart

Flutter 构建完整应用手册-持久化

如果我们有一小部分我们想要保存的键值,我们可以使用shared_preferences插件。

872
来自专栏企鹅号快讯

渗透技巧——”隐藏”注册表的创建

0x00 前言 知名恶意软件Poweliks曾使用过的一个后门技术,在注册表启动位置创建一个特殊的注册表键值,通过mshta来执行payload 对于这个特殊的...

1908
来自专栏大内老A

.NET Core采用的全新配置系统[8]: 如何实现配置与源文件的同步

配置的同步涉及到两个方面:第一,对原始的配置文件实施监控并在其发生变化之后从新加载配置;第二,配置重新加载之后及时通知应用程序进而使后者能够使用最新的配置。接下...

17310
来自专栏Young Dreamer

webpack务虚扫盲

打包工具的角色 所谓打包工具在web开发中主要解决的问题是: (1)文件依赖管理。毕竟现在都是模块化开发,打包工具首先就是要梳理文件之间的依赖关系。 (2)资源...

2927
来自专栏Golang语言社区

【Go 语言社区】Go文件操作函数

文件操作 golang的文件操作时在os包中的。 所以用的时候要import os包 包含以下的这些函数 func Create(n...

2746
来自专栏Golang语言社区

Golang入门-- 2D的图形库学习

1、获取源码并安装到本地: 首先要安装git (传送门) : https://git-scm.com/download/ 然后就可...

3024
来自专栏程序员互动联盟

linux设备驱动第四篇:linux驱动调试方法

上一篇我们大概聊了如何写一个简单的字符设备驱动,我们不是神,写代码肯定会出现问题,我们需要在编写代码的过程中不断调试。在普通的c应用程序中,我们经常使用prin...

39015
来自专栏python3

django--图书管理系统(项目)

932

扫码关注云+社区