Пользовательские права доступа в базах геоданных Oracle
В зависимости от задач, стоящих перед пользователями базы данных Oracle, им должны быть предоставлены определенные права доступа. Некоторые права доступа могут быть предоставлены ролям, но другие должны быть предоставлены напрямую пользователю.
В первой секции данного раздела перечислены пакеты прав доступа, необходимые для всех пользователей. Эти права доступа должны быть предоставлены роли public для создания и обновления баз геоданных. Однако они могут быть предоставлены всем отдельным пользователям после создания или обновления базы геоданных, если вы хотите запретить им роль public.
Во второй секции перечислены минимальные требуемые права в базе данных для основных типов пользователей: просматривающих данные, редакторов данных, создателей данных и администраторов базы геоданных. Эти права доступа необходимы дополнительно к тем, которые перечислены в первой секции.
В третьей секции перечислены права доступа, необходимые администратору базы геоданных для создания или обновления базы геоданных. И эти права доступа также необходимы дополнительно к тем, которые перечислены в первой секции.
В последней секции перечислены дополнительные, необязательные права доступа, которые обычно предоставляются пользователям в базах геоданных в Oracle.
Для администрирования прав доступа можно использовать Enterprise Manager в Oracle. Вы также можете использовать выражения SQL для предоставления или отмены прав.
Пакет прав доступа (Privileges Package)
Права доступа на выполнение требуются для следующих пакетов:
- dbms_lob
- dbms_lock
- dbms_pipe
- dbms_utility
- dbms_sql
- utl_raw
Права доступа на выполнение этих пакетов должны быть предоставлены роли public для создания или обновления базы геоданных.
GRANT EXECUTE ON dbms_pipe TO public;
GRANT EXECUTE ON dbms_lock TO public;
GRANT EXECUTE ON dbms_lob TO public;
GRANT EXECUTE ON dbms_utility TO public;
GRANT EXECUTE ON dbms_sql TO public;
GRANT EXECUTE ON utl_raw TO public;
Подсказка:Права доступа на выполнение: dbms_utility, dbms_sql и utl_raw предоставлены роли public в Oracle по умолчанию. Однако вам необходимо предоставить право EXECUTE на эти пакеты, если вы явно запретили их для роли public.
После того как вы создали или обновили базу геоданных, вы можете ужесточить права доступа к этим пакетам, запретив их для роли public и предоставив их каждому отдельному пользователю, который зарегистрирован в базе геоданных, включая администратора базы геоданных.
Внимание:Вы не можете предоставить права доступа на выполнение для роли и затем предоставить эту роль всем пользователям, поскольку права доступа, полученные через роли пользователей, не применимы, если используются пакеты Oracle.
После предоставления прав доступа на выполнение отдельным пользователям, перекомпилируйте схему sde:
EXEC dbms_utility.compile_schema( 'SDE' );
Минимальные привилегии
Дополнительно к правам доступа, перечисленным в предыдущей секции, следующие права доступа необходимы для каждого типа пользователя ниже:
|
Тип пользователя |
Привилегии в базе данных |
Привилегии для наборов данных |
Примечания |
|---|---|---|---|
|
Пользователь, имеющий право просматривать данные |
|
SELECT для объектов базы данных |
Если база данных настроена на использование таблиц файла отчёта ArcSDE с общим доступом (по умолчанию), то могут потребоваться дополнительные права. Для получения более подробной информации см. Опции конфигурации таблицы файлов журнала ArcSDE для Oracle. |
|
Редактирование данных |
|
SELECT, INSERT, UPDATE и DELETE для других пользовательских наборов данных |
Если база геоданных использует таблицы файлов отчетов ArcSDE с общим доступом (по умолчанию), могут потребоваться дополнительные права. Для получения более подробной информации см. Опции конфигурации таблицы файлов журнала ArcSDE для Oracle. Если пользователь редактирует версионные данные через версионное представление, ему должны быть выданы также права SELECT (Выборка), UPDATE (Обновление), INSERT (Вставка) и DELETE (Удаление) в версионном представлении. При использовании диалогового окна Права доступа (Privileges) в ArcGIS для выдачи прав SELECT (Выборка), UPDATE (Обновление), INSERT (Вставка) и DELETE (Удаление) версионных классов объектов, эти права автоматически выдаются в соответствующем версионном представлении. |
|
Пользователь, имеющий право на создание данных |
|
||
|
Администратор базы геоданных |
|
Примечание:Начиная с версии Oracle 10g Release 2, доступ к ORACLE_HOME стал более строгим из соображений секретности. Чтобы предоставить администратору базы геоданных доступ к файлам в ORACLE_HOME без выдачи ему прав доступа на выполнение, установите совместимый клиент Oracle под учетной записью SDE в операционной системе. В UNIX/Linux установите клиентский ORACLE_HOME в оболочке SDE пользователя. Для получения дополнительной информации см. статью базы знаний 34824.
Права доступа, необходимые для создания или обновления базы геоданных
Для создания или обновления базы геоданных ArcSDE администратору базы геоданных должны быть предоставлены права доступа, перечисленные в таблицах далее. Основания для прав доступа или групп прав доступа также приведены в таблицах. Некоторые из этих прав доступа могут быть запрещены после того, как создание или обновление завершено, как указано в поле Цель (Purpose) и как показано в минимальных правах доступа администратора базы геоданных, приведенных в предыдущей таблице.
В первой таблице приведен список прав доступа, необходимых для пользователя SDE, чтобы создать базу геоданных в схеме пользователя SDE. Это называется основной базой геоданных SDE.
Во второй таблице перечислены права доступа, необходимые для пользователя SDE, чтобы обновить основную базу геоданных SDE.
В третьей таблице приведен список прав доступа, необходимых для пользователя, не являющегося пользователем SDE, чтобы создать базу геоданных в пользовательской схеме. Эти базы геоданных называются базами данных с пользовательской схемой.
В четвертой таблице приведен список прав доступа, необходимых для пользователя, не являющегося пользователем SDE, чтобы обновить базу геоданных с пользовательской схемой.
Права доступа сгруппированы по цели, которой они служат при создании и обновлении базы геоданных.
|
Права доступа |
Цель |
|---|---|
|
Подключение к Oracle. |
|
Создает репозиторий базы геоданных. |
|
Создает последовательности для генерации ID. Данные права доступа могут быть запрещены после создания базы геоданных. |
|
Создает пакеты для управления содержанием системных таблиц базы геоданных. |
| Разрешает функцию создания члена карты для типа ST_Geometry, который вызывается в случае выполнения пространственного объединения или пересечения. |
|
Создает пользовательские типы данных ST_Geometry и ST_Raster, а также типы, используемые для оптимизации запросов. CREATE VIEW необходим для создания системных представлений (видов): GDB_Items_vw и GDB_ItemRelationships_vw. Данные права доступа могут быть запрещены после создания базы геоданных. |
|
Позволяет создать триггеры событий базы данных, необходимые для изменения таблиц ST_GEOMETRY_COLUMNS и ST_GEOMETRY_INDEX, если таблица с ST_Geometry была удалена, изменена или переименована с использованием SQL. Данные права доступа могут быть запрещены после создания базы геоданных. |
|
Права доступа |
Цель |
|---|---|
|
Подключение к Oracle. |
|
Обновляет репозиторий (хранилище) базы геоданных. Право доступа CREATE VIEW может быть запрещено после обновления. |
|
Обновляет пакеты для управления содержанием системных таблиц базы геоданных. |
| Обновляет последовательности генерации ID. Данные права доступа могут быть запрещены после обновления. |
| Обновляет функцию создания члена карты для типа ST_Geometry, который вызывается в случае выполнения пространственного объединения или пересечения. |
|
Обновляет пользовательские типы данных ST_Geometry и ST_Raster, а также типы, используемые для оптимизации запросов. Данные права доступа могут быть запрещены после обновления. |
|
Обновить содержимое базы геоданных. |
|
Позволяет создать триггеры событий базы данных, необходимые для изменения таблиц ST_GEOMETRY_COLUMNS и ST_GEOMETRY_INDEX, если таблица с ST_Geometry была удалена, изменена или переименована с использованием SQL. Данные права доступа могут быть запрещены после обновления. |
Права доступа | Цель |
|---|---|
| Подключение к Oracle. |
| Создает репозиторий базы геоданных. |
| Создает последовательности для генерации ID. Данные права доступа могут быть запрещены после создания базы геоданных. |
| Создает пакеты для управления содержанием системных таблиц базы геоданных. |
| Создание типов, используемых для оптимизации запросов. |
Права доступа | Цель |
|---|---|
| Подключение к Oracle. |
| Обновляет репозиторий (хранилище) базы геоданных. |
| Обновляет последовательности генерации ID. Данные права доступа могут быть запрещены после обновления. |
| Обновить содержимое базы геоданных. |
Дополнительные общие права доступа
Многие организации предпочитают использовать преимущества дополнительных объектов Oracle для дальнейшего улучшения возможностей их баз геоданных. Некоторые дополнительные общие права доступа для администратора базы геоданных и их цели перечислены в таблице далее. Права доступа сгруппированы по цели, которой они служат.
|
Права доступа |
Цель |
|---|---|
|
Включает трассировку SQL, объект SQL*Plus AUTOTRACE и изменение установочных параметров, определенных для данного сеанса, для улучшения производительности и решения проблем; создает роль PLUSTRACE с помощью запуска ORACLE_HOME/sqlplus/admin/plustrce.sql. |
|
Предоставляется администратору базы геоданных, чтобы позволить этому пользователю управлять Oracle и выполнять основные задачи обслуживания. Это также полезно для организаций, где администратор базы геоданных не является Oracle DBA. |
|
Этот инструмент полезен для интеграции базы геоданных с другими непространственными базами данных в многопользовательскую базу данных. |
|
Данные права доступа позволяют администратору базы геоданных выполнять обслуживание, когда база данных включена, но не доступна для конечных пользователей. |
|
Данные права доступа предоставляются администратору базы геоданных для установки и обновления, с гарантией того, что в базе данных существует достаточно места для хранения табличного пространства для администратора, чтобы завершить установку или обновление; эти права доступа можно запретить после установки или обновления базы геоданных, если вы хотите установить ограничения для управления пространством. Для дополнительной информации об использовании ограничения хранения см. Настройка памяти в Oracle. |
|
Пользователь SDE должен иметь эти права доступа, чтобы удалять подключения из базы геоданных. Инструмент геообработки Создать многопользовательскую базу геоданных (Create Enterprise Geodatabase) наделяет пользователя SDE этими правами доступа. Можно отозвать эти права доступа пользователя SDE после выполнения инструмента, но, если вы это сделаете, пользователь SDE не сможет отключать пользователей от базы данных. Или пользователь SDE должен быть добавлен к роли DBA, чтобы иметь возможность отключения пользователей от базы данных. |
Права на набор данных должны быть предоставлены или отозваны владельцем набором данных с помощью диалогового окна Права (Privileges) или инструмента геообработки Изменить права (Change Privileges), который доступен в ArcGIS for Desktop. Инструкции см. в разделах Предоставление и отзыв прав на наборы данных и Изменение прав.