Lic.

Vladimir Cotaquispe Gutierrez

ADMINISTRACIN DE
SEGURIDAD DEL USUARIO

6-1 Copyright 2005, Oracle. Todos los derechos reservados.

 Objetivos

Al finalizar esta leccin, debera estar capacitado para lo

siguiente:
Crear y gestionar cuentas de usuario de base de datos
Autenticar usuarios
Asignar reas de almacenamiento por defecto
(tablespaces)
Otorgar y revocar privilegios
Crear y gestionar roles
Crear y gestionar perfiles
Implementar funciones estndar de seguridad de
contrasea
Controlar el uso de recursos por los usuarios

6-2 Copyright 2005, Oracle. Todos los derechos reservados.

 > Usuario
Autenticacin
Cuentas de Usuario Privilegio
Rol
de Base de Datos Perfil
Seguridad con
Contrasea
Cuota

Cada cuenta de usuario de base de datos tiene lo

siguiente:
Nombre de usuario nico
Mtodo de autenticacin
Tablespace por defecto
Tablespace temporal
Perfil de usuario
Grupo de consumidores
Estado de bloqueo

6-3 Copyright 2005, Oracle. Todos los derechos reservados.

 Cuentas de Usuario de Base de Datos
(slo Notas)

6-4 Copyright 2005, Oracle. Todos los derechos reservados.

 Cuentas Predefinidas: SYS y SYSTEM

La cuenta SYS:
Tiene el rol DBA otorgado
Tiene todos los privilegios con ADMIN OPTION
Es necesaria para el inicio, el cierre y para algunos
comandos de mantenimiento
Es propietaria del diccionario de datos
Es propietaria del repositorio de carga de trabajo
automtica (AWR)
La cuenta SYSTEM tiene otorgado el rol DBA.
Estas cuentas no se utilizan para operaciones
rutinarias.

6-5 Copyright 2005, Oracle. Todos los derechos reservados.

 Creacin de un Usuario

Seleccionar Administration > Schema > Users &

Privileges > Users y, a continuacin, hacer clic en el
botn Create.

6-6 Copyright 2005, Oracle. Todos los derechos reservados.

 Autenticacin de Administradores
Seguridad del Sistema Operativo
Los DBA deben tener privilegios del sistema operativo
para crear y suprimir archivos.
Los usuarios tpicos de base de datos no deben tener
privilegios del sistema operativo para crear o suprimir
archivos de base de datos.
Seguridad del Administrador
Las conexiones SYSDBA y SYSOPER se autorizan mediante
un archivo de contraseas o el sistema operativo.
La autenticacin del archivo de contraseas registra el
usuario DBA por el nombre.
La autenticacin del sistema operativo no registra el usuario
concreto.
La autenticacin del sistema operativo tiene prioridad sobre
la autenticacin del archivo de contraseas para SYSDBA y
SYSOPER.

6-7 Copyright 2005, Oracle. Todos los derechos reservados.

 Usuario
> Autenticacin
Autenticacin de Usuarios Privilegio
Rol
Perfil
Seguridad con
Contrasea
Cuota
Password
External
Global

6-8 Copyright 2005, Oracle. Todos los derechos reservados.

 Autenticacin de Usuarios
(slo Notas)

6-9 Copyright 2005, Oracle. Todos los derechos reservados.

 Desbloqueo de Cuentas de Usuario y
Restablecimiento de Contraseas

Seleccionar el usuario y hacer clic en Unlock User.

6-10 Copyright 2005, Oracle. Todos los derechos reservados.

 Sintaxis
CREATE USER NOMBRE_USUARIO
IDENTIFIED BY {CLAVE_ACCESO |EXTERNALLY |GLOBALLY }
[DEFAULT TABLESPACE ESPACIO_TABLA]
[TEMPORARY TABLESPACE ESPACIO_TABLA]
[QUOTA {ENTERO {K | M } | UNLIMITED } ON ESPACIO_TABLA
[PROFILE PERFIL]
[PASSWORD EXPIRE]
[ACCOUNT {LOOK/UNLOCK}];

6-11 Copyright 2005, Oracle. Todos los derechos reservados.

 Usuario
Autenticacin
Privilegios > Privilegio
Rol
Perfil
Seguridad con
Hay dos tipos de privilegios de usuario: Contrasea
Cuota
Sistema: Permite a los usuarios realizar
acciones concretas en la base de datos
Objeto: Permite a los usuarios acceder y
manipular un objeto concreto

HR_DBA

Privilegio de objeto: Privilegio del sistema:

Actualizar empleados. Crear sesin.

6-12 Copyright 2005, Oracle. Todos los derechos reservados.

 Privilegios del Sistema

6-13 Copyright 2005, Oracle. Todos los derechos reservados.

 Privilegios del Sistema
(slo Notas)

6-14 Copyright 2005, Oracle. Todos los derechos reservados.

 Privilegios de Objeto

Para otorgar privilegios de

objeto, realice estas tareas:
1. Seleccione el tipo de objeto.
2. Seleccione objetos.
3. Seleccione privilegios.

6-15 Copyright 2005, Oracle. Todos los derechos reservados.

 Revocacin de Privilegios del Sistema
con ADMIN OPTION
DBA Jeff Emi
Usuario

OTORGAR
Privilegio

Objeto

DBA Jeff Emi

REVOCAR

REVOKE CREATE
TABLE FROM jeff;

6-16 Copyright 2005, Oracle. Todos los derechos reservados.

 Revocacin de Privilegios de Objeto
con GRANT OPTION
Bob Jeff Emi
OTORGAR

REVOCAR Bob Jeff Emi

6-17 Copyright 2005, Oracle. Todos los derechos reservados.

 Usuario
Autenticacin
Ventajas de los Roles Privilegio
> Rol
Perfil
Seguridad con
Contrasea
Cuota
Gestin de privilegios ms sencilla
Gestin de privilegios dinmica
Disponibilidad selectiva de privilegios

6-18 Copyright 2005, Oracle. Todos los derechos reservados.

 Asignacin de Privilegios a Roles y de
Roles a Usuarios

Usuarios
Jenny David Rachel

Roles HR_MGR HR_CLERK

Privilegios Suprimir Seleccionar Actualizar

empleados. empleados. empleados.

Insertar
empleados.

6-19 Copyright 2005, Oracle. Todos los derechos reservados.

 Roles Predefinidos

CONNECT CREATE SESSION

RESOURCE CREATE CLUSTER, CREATE INDEXTYPE,

CREATE OPERATOR, CREATE PROCEDURE,
CREATE SEQUENCE, CREATE TABLE, CREATE
TRIGGER, CREATE TYPE
SCHEDULER_ CREATE ANY JOB, CREATE EXTERNAL JOB,
ADMIN CREATE JOB, EXECUTE ANY CLASS, EXECUTE
ANY PROGRAM, MANAGE SCHEDULER
DBA Tiene la mayora de privilegios del sistema,
otros muchos roles. No otorgar a usuarios que
no sean administradores.
SELECT_ No tiene privilegios del sistema, pero s
CATALOG_ HS_ADMIN_ROLE y ms de 1.700 privilegios de
ROLE objeto en el diccionario de datos

6-20 Copyright 2005, Oracle. Todos los derechos reservados.

 Creacin de un Rol

Seleccionar Administration > Schema > Users & Privileges > Roles.

6-21 Copyright 2005, Oracle. Todos los derechos reservados.

 Roles Seguros
Los roles pueden no ser roles por defecto.
SET ROLE vacationdba;

Los roles se pueden proteger mediante la autenticacin.

Los roles tambin se pueden proteger mediante

programacin.
CREATE ROLE secure_application_role
IDENTIFIED USING <nombre_procedimiento_seguridad>;

6-22 Copyright 2005, Oracle. Todos los derechos reservados.

 Asignacin de Roles a Usuarios

6-23 Copyright 2005, Oracle. Todos los derechos reservados.

 Usuario
Autenticacin
Perfiles y Usuarios Privilegio
Rol
> Perfil
Seguridad con
Contrasea
Cuota
A los usuarios slo
se les asigna un perfil
en un momento
determinado.
Perfiles:
Controlan el
consumo de
recursos
Gestionan el
estado de las
cuentas y el
vencimiento de
las contraseas
6-24 Copyright 2005, Oracle. Todos los derechos reservados.
 Perfiles y Usuarios
(slo Notas)

6-25 Copyright 2005, Oracle. Todos los derechos reservados.

 Usuario
Autenticacin
Implementacin de las Funciones Privilegio
Rol
de Seguridad con Contrasea Perfil
> Seguridad con
Contrasea
Cuota

Verificacin de la
Historial de complejidad de
contraseas las contraseas

Usuario Configuracin
de perfiles

Antigedad y Bloqueo de
vencimiento de cuentas
contraseas
Nota: No utilice perfiles que provoquen el vencimiento de las
contraseas SYS, SYSMAN, y DBSNMP y el bloqueo de las cuentas.

6-26 Copyright 2005, Oracle. Todos los derechos reservados.

 Seguridad con Contrasea
(slo Notas)

6-27 Copyright 2005, Oracle. Todos los derechos reservados.

 Creacin de un Perfil de Contrasea

6-28 Copyright 2005, Oracle. Todos los derechos reservados.

 Funcin de Verificacin de Contraseas
Proporcionadas: VERIFY_FUNCTION

La funcin de verificacin de contraseas proporcionadas

aplica las siguientes restricciones de contrasea:
La longitud mnima es de cuatro caracteres.
La contrasea no puede ser igual que el nombre de
usuario.
La contrasea debe tener al menos un carcter
alfabtico, uno numrico y uno especial.
La contrasea debe ser diferente de la contrasea
anterior en al menos tres letras.
Consejo: Utilice esta funcin como plantilla para crear
su propia verificacin de contraseas personalizada.

6-29 Copyright 2005, Oracle. Todos los derechos reservados.

 Usuario
Autenticacin
Asignacin de Cuota Privilegio
Rol
a Usuarios Perfil
Seguridad con
Contrasea
> Cuota

Se debe asignar una cuota a los usuarios que no

tienen el privilegio del sistema UNLIMITED
TABLESPACE para que puedan crear objetos en un
tablespace. Las cuotas pueden ser:
Un valor concreto en megabytes o kilobytes
Ilimitadas

6-30 Copyright 2005, Oracle. Todos los derechos reservados.

 Asignacin de Cuota a Usuarios
(slo Notas)

6-31 Copyright 2005, Oracle. Todos los derechos reservados.

 Resumen

En esta leccin, debe haber aprendido lo siguiente:

Crear y gestionar cuentas de usuario de base de datos
Autenticar usuarios
Asignar reas de almacenamiento por defecto
(tablespaces)
Otorgar y revocar privilegios
Crear y gestionar roles
Crear y gestionar perfiles
Implementar funciones estndar de seguridad con
contrasea
Controlar el uso de recursos por los usuarios

6-32 Copyright 2005, Oracle. Todos los derechos reservados.

 Visin General de la Prctica:
Administracin de Usuarios

En esta prctica se abordan los siguientes temas:

Creacin de un perfil para limitar el consumo de
recursos
Creacin de dos roles:
HRCLERK
HRMANAGER
Creacin de cuatro usuarios nuevos:
Un superior y dos oficinistas
Un usuario de esquema para la prxima sesin
prctica

6-33 Copyright 2005, Oracle. Todos los derechos reservados.