在 Oracle 18c 中,一个特殊类型的帐号被引入到数据库当中,这特特性被称为 Schema-Only 帐号,这个帐号通过 NO AUTHENTICATION 语句建立,没有密码,也就不允许直接登录,所以这种帐号类型是 纯模式类型。
帐号不能直接登录也就具备了天然的安全受益:
可以强制通过应用(Application)来访问数据;
保护对象安全,例如阻止可能的误删除(DROP)操作;
Schema-Only账户具有一些限制:
不能被授予系统管理权限,如(SYSDBA、SYSASM)等;
不能通过DB Link访问;
只支持DB实例,不支持ASM实例;
针对这个特性,DBA_USERS 视图增加了一个新的字段 AUTHENTICATION_TYPE 用于标识帐号属性,当创建Schema-Only 帐号时显示为 NONE否则会显示 PASSWORD。
下面让我们通过简单的测试来看看这个新特性,首先在一个 PDB 上创建 NO AUTHENTICATION 的帐号,用户名是 enmotech:
SQL> connect / as sysdba
Connected.
SQL> select name from v$pdbs;
NAME
---------------------------------------
PDB$SEED
ORCLPDB1
SQL> alter pluggable database ORCLPDB1 open;
Pluggable database altered.
SQL> alter session set container=ORCLPDB1;
Session altered.
SQL> create user enmotech NO AUTHENTICATION;
User created.
SQL> grant create session,create any table,create any view to enmotech;
Grant succeeded.
SQL> exec print_table('select username,password,password_versions,account_status,authentication_type from dba_users where username=''ENMOTECH''');
USERNAME : ENMOTECH
PASSWORD :
PASSWORD_VERSIONS :
ACCOUNT_STATUS : OPEN
AUTHENTICATION_TYPE : NONE
-----------------这个帐号没有口令,自然就无法直接登录,我们可以通过用户代理来访问这个用户,代理是很早的一个数据库功能,现在有了新的作用。
我们在 ORCLPDB1 创建一个新的用户 yhem,这个用户仅有 create session 权限;
SQL> create user yhem identified by enmotech;
User created.
SQL> grant create session to yhem;
Grant succeeded.授予用户 yhem 代理权限,通过该用户可以连接到 enmotech 这个受限用户,以下示范中 bethune 是我建立的一个 TNS 连接串名:
SQL> alter user enmotech grant connect through yhem;
User altered.
SQL> connect yhem[enmotech]/enmotech@bethune
Connected.
SQL> show user
USER is "ENMOTECH"
SQL> create table acoug (id number,name varchar2(200));
Table created.
SQL> drop table acoug;
Table dropped.基本上,这就是新特性的基本展示,最核心的功能,是可以将 Schema-Only 用户的对象增删数据权限授予应用用户,就防范了模式用户直接访问可能带来的种种风险。
验证一下,纯模式用户不能被授予 SYSDBA 权限,其角色切换也很简单,授予密码就解除了 NO AUTHENTICATION 状态,回收SYSDBA权限才可以重新NO AUTHENTICATION 。
SQL> grant sysdba to enmotech;
grant sysdba to enmotech
*
ERROR at line 1:
ORA-40366: Administrative privilege cannot be granted to this user.
SQL> alter user enmotech identified by eygle;
User altered.
SQL> grant sysdba to enmotech;
Grant succeeded.
SQL> alter user enmotech no authentication;
alter user enmotech no authentication
*
ERROR at line 1:
ORA-40367: An Administrative user cannot be altered to have no authentication
type.
SQL> revoke sysdba from enmotech;
Revoke succeeded.
SQL> alter user enmotech no authentication;
User altered.当然也可以在 CDB 中创建 COMMON 用户,指定其为 NO AUTHENTICATION :
SQL> connect / as sysdba
Connected.
SQL> create user c##enmo no authentication;
User created.
SQL> set serveroutput on
SQL> exec print_table('select con_id,username,authentication_type from cdb_users where username=''C##ENMO''');
CON_ID : 1
USERNAME : C##ENMO
AUTHENTICATION_TYPE : NONE
-----------------
CON_ID : 3
USERNAME : C##ENMO
AUTHENTICATION_TYPE : NONE
-----------------至于这个小特性在实践中是否能发挥作用,大家可以留言表达一下各自的观点。
原文发布时间为:2018-11-8
本文作者:盖国强
