Oracle ACL (Access Control List)详解
2014-07-17 21:19
387 查看
在Oracle11g中,Oracle在安全方面有了很多的改进,而在网络权限控制方面,也有一个新的概念提出来,叫做ACL(Access Control List), 这是一种细粒度的权限控制。在ACL之前,我们对于有一些程序包,例如UTL_MAIL, UTL_SMTP等这些包,你可以利用这些包连接到外部的主机,而默认情况下,这些包都是都是赋予了public角色,所以可能会导致利用这些PL/SQL程序包的恶意工具,所以Oracle提出了一个新的概念来解决这个问题,那就是ACL。
在开始展开ACL之前,首先明确一些概念。 ACL这个概念不是Oracle首先提出来的,在很多地方的权限管理都用到了ACL,甚至在操作系统上也使用了ACL。一般,我们在做权限管理时,牵扯到一个问题,就是谁要在什么对象上作什么?这个正是对应了我们ACL中的概念。Principal will have what privileges on what object.谁就是principal, 什么对象就是我们的object, 做什么就是我们的privilege。那么如果有了这种细粒度的权限控制,我们就可以定义我们哪些用户拥有哪个远程主机的什么权限了。有了这个概念我们就可以看看如何使用ACL了。我们主要使用的是DBMS_NETWORK_ACL_ADMIN这个自带的包来完成。
首先我们需要先去创建一个ACL。
我们已经创建好了一个ACL,并且加入了connect的权限,并把它赋予给了coolma用户。然后继续下面的步骤,
以上是给我们现有的ACL中加入了resolve的权限给COOLMA用户。
然后我们把主机www.baidu.com赋予给我们的ACL。
现在我们的用户COOLMA就可以connect, 和resolve我们的主机www.baidu.com。你可以通过dba_network_acls数据字典来看。
如果我们想再加一个用户怎么办,和加入coolma的方法一样。
我们上述相关的ACL只对于UTL_TCP, UTL_SMTP, UTL_MAIL, UTL_HTTP, and UTL_INADDR, the DBMS_LDAP 这些程序包以及HttpUriType类型相关。希望本文能够帮助到你。
-EOF
在开始展开ACL之前,首先明确一些概念。 ACL这个概念不是Oracle首先提出来的,在很多地方的权限管理都用到了ACL,甚至在操作系统上也使用了ACL。一般,我们在做权限管理时,牵扯到一个问题,就是谁要在什么对象上作什么?这个正是对应了我们ACL中的概念。Principal will have what privileges on what object.谁就是principal, 什么对象就是我们的object, 做什么就是我们的privilege。那么如果有了这种细粒度的权限控制,我们就可以定义我们哪些用户拥有哪个远程主机的什么权限了。有了这个概念我们就可以看看如何使用ACL了。我们主要使用的是DBMS_NETWORK_ACL_ADMIN这个自带的包来完成。
首先我们需要先去创建一个ACL。
BEGIN DBMS_NETWORK_ACL_ADMIN.CREATE_ACL(acl => 'test.xml', description => 'Just a test for ACL', principal => 'COOLMA', is_grant => true, privilege => 'connect'); END; /
我们已经创建好了一个ACL,并且加入了connect的权限,并把它赋予给了coolma用户。然后继续下面的步骤,
BEGIN DBMS_NETWORK_ACL_ADMIN.ADD_PRIVILEGE(acl => 'test.xml', principal => 'COOLMA', is_grant => true, privilege => 'resolve'); END; /
以上是给我们现有的ACL中加入了resolve的权限给COOLMA用户。
BEGIN DBMS_NETWORK_ACL_ADMIN.ASSIGN_ACL(acl => 'test.xml', host => 'www.baidu.com'); END; /
然后我们把主机www.baidu.com赋予给我们的ACL。
现在我们的用户COOLMA就可以connect, 和resolve我们的主机www.baidu.com。你可以通过dba_network_acls数据字典来看。
COLUMN host FORMAT A30 COLUMN acl FORMAT A30 SET LINESIZE 2000 select * from dba_network_acls; HOST LOWER_PORT UPPER_PORT ACL ACLID ------------------------------ ---------- ---------- ------------------------------ -------------------------------- www.baidu.com /sys/acls/test.xml FE6427F3AEE81311E0436D01A8C07A8B
如果我们想再加一个用户怎么办,和加入coolma的方法一样。
我们上述相关的ACL只对于UTL_TCP, UTL_SMTP, UTL_MAIL, UTL_HTTP, and UTL_INADDR, the DBMS_LDAP 这些程序包以及HttpUriType类型相关。希望本文能够帮助到你。
-EOF
相关文章推荐
- Oracle ACL(Access Control List)
- Oracle ACL(Access Control List)
- 如何在.net程序中访问 ACL(Access Control List)
- Access Control List and Process(如何设置DACL)
- ACL(Access Control List)访问控制列表(一)
- ListControl 点击列头排序 详解
- List Control 控件 详解2
- Linux的新权限机制——ACL(Access Control List)
- Access_Control_List
- 访问控制列表(Access Control List,ACL)
- 记一次ORA-24247: network access denied by access control list (ACL)
- 访问控制列表(Access Control List,ACL)
- access-list命令详解
- acl access control listadd
- oracle 发送邮件(job,ORA-24247: network access denied by access control list (ACL))
- Access Control List and Process(如何设置DACL)
- Access Control List and Process(如何设置DACL)
- acl的access-list命令使用详解
- access control list (ACL)