是的,确实无法修改。
一、管理用户权限分离机制
1. 三权分立(默认)
| 角色 | 预设账号 | 核心职责 | 权限约束 |
|---|---|---|---|
| 数据库管理员 | SYSDBA | 环境评估、安装升级、结构设计、性能优化、备份恢复 | 拥有系统管理权限 |
| 数据库安全员 | SYSSSO | 制定安全策略、启用强制访问控制(MAC)、管理安全用户 | 禁止数据操作和DDL语句 |
| 数据库审计员 | SYSAUDITOR | 设置审计策略、查看审计记录、追踪非法操作 | 仅审计相关操作 |
特殊用户 :预定义用户
SYS仅存储系统内部对象,不可登录。
2. 四权分立(安全版专属)
sql
-- 建库时启用四权分立
CREATE DATABASE ... PRIV_FLAG = 1;| 新增角色 | 预设账号 | 权限特点 |
|---|---|---|
| 数据库对象操作员 | SYSDBO | 拥有所有对象权限(表/视图/存储过程等),禁止系统管理操作 |
| 调整权限 | SYSDBA | 移除ANY权限和对象操作权限,仅保留库级管理(备份/还原/校验等) |
安全员(SYSSSO)和审计员(SYSAUDITOR)权限与三权分立一致。
在三权或者4权分离下,只能自己修改自己的密码,如果忘记了密码,那么也就找不回来了。只有重搭了。(咨询过原厂)
二、用户管理操作指南
1. 创建用户
安全版本下,创建用户必须经过syssso账户。以下是操作步骤
bash
create user test;
grant dba to test;
create tablepspace 'TEST' datafile '/dmdata/data/DAMENG/class_room/TEST.DBF' size 128 cache = normal;
登录syssso账户
alter user test identified by "TEST" ;
alter user test default tablespace test ;三、六种身份验证模式
1. 数据库验证(默认)
bash
disql username/password@server:port2. 操作系统验证
-
本机验证 :
- 设置参数:
SP_SET_PARA_VALUE(2,'ENABLE_LOCAL_OSAUTH',1); - 绑定OS用户组:
- dmdba组 → SYSDBA
- dmusers组 → 同名DB用户
bashdisql /@localhost:5236 as sysdba # 以SYSDBA登录 - 设置参数:
3. 增强型验证(仅安全版)
| 验证方式 | 配置要点 | 登录示例 |
|---|---|---|
| SSL双因子 | 启用SSL加密:SP_SET_PARA_VALUE(2,'ENABLE_ENCRYPT',1); |
disql user/pwd@ip:port#{ssl_path=...,ssl_pwd=...} |
| LDAP验证 | 配置dm.ini:LDAP_HOST=ldapserver.dameng.com |
用户名格式:/username |
| KERBEROS | 预配置KERBEROS环境 | 用户名格式:///username |
| UKEY验证 | 设置CLIENT_UKEY=1(强制验证) |
需实现UKEY动态库(参考8.3节) |
| RADIUS验证 | 配置dmradius.ini(服务器IP/端口/共享密钥) |
自动与RADIUS服务器交互认证 |