Oracle ACL (Access Control List)详解

在Oracle11g中，Oracle在安全方面有了很多的改进，而在网络权限控制方面，也有一个新的概念提出来，叫做ACL(Access Control List)， 这是一种细粒度的权限控制。在ACL之前，我们对于有一些程序包，例如UTL_MAIL, UTL_SMTP等这些包，你可以利用这些包连接到外部的主机，而默认情况下，这些包都是都是赋予了public角色，所以可能会导致利用这些PL/SQL程序包的恶意工具，所以Oracle提出了一个新的概念来解决这个问题，那就是ACL。

在开始展开ACL之前，首先明确一些概念。 ACL这个概念不是Oracle首先提出来的，在很多地方的权限管理都用到了ACL，甚至在操作系统上也使用了ACL。一般，我们在做权限管理时，牵扯到一个问题，就是谁要在什么对象上作什么？这个正是对应了我们ACL中的概念。Principal will have what privileges on what object.谁就是principal, 什么对象就是我们的object， 做什么就是我们的privilege。那么如果有了这种细粒度的权限控制，我们就可以定义我们哪些用户拥有哪个远程主机的什么权限了。有了这个概念我们就可以看看如何使用ACL了。我们主要使用的是DBMS_NETWORK_ACL_ADMIN这个自带的包来完成。

　　首先我们需要先去创建一个ACL。

BEGIN
DBMS_NETWORK_ACL_ADMIN.CREATE_ACL(acl         => 'test.xml',
description => 'Just a test for ACL',
principal   => 'COOLMA',
is_grant    => true,
privilege   => 'connect');

END;
/

我们已经创建好了一个ACL，并且加入了connect的权限，并把它赋予给了coolma用户。然后继续下面的步骤，

BEGIN
DBMS_NETWORK_ACL_ADMIN.ADD_PRIVILEGE(acl       => 'test.xml',
principal => 'COOLMA',
is_grant  => true,
privilege => 'resolve');

END;
/

以上是给我们现有的ACL中加入了resolve的权限给COOLMA用户。

BEGIN
DBMS_NETWORK_ACL_ADMIN.ASSIGN_ACL(acl  => 'test.xml',
host => 'www.baidu.com');
END;
/

然后我们把主机www.baidu.com赋予给我们的ACL。

现在我们的用户COOLMA就可以connect, 和resolve我们的主机www.baidu.com。你可以通过dba_network_acls数据字典来看。

COLUMN host FORMAT A30
COLUMN acl FORMAT A30
SET LINESIZE 2000
select * from dba_network_acls;
HOST                   LOWER_PORT UPPER_PORT ACL                ACLID
------------------------------ ---------- ---------- ------------------------------ --------------------------------
www.baidu.com                         /sys/acls/test.xml         FE6427F3AEE81311E0436D01A8C07A8B

如果我们想再加一个用户怎么办，和加入coolma的方法一样。

我们上述相关的ACL只对于UTL_TCP, UTL_SMTP, UTL_MAIL, UTL_HTTP, and UTL_INADDR, the DBMS_LDAP 这些程序包以及HttpUriType类型相关。希望本文能够帮助到你。

-EOF