Смысл create role identifide by пароль

Gooddy
Дата: 12.12.2007 16:10:10
Что это дает?
Дубовая голова
Дата: 12.12.2007 16:13:33
Gooddy
Что это дает?


Чукча не читатель ?

CREATE ROLE

автор

Use the IDENTIFIED clause to indicate that a user must be authorized by the specified method before the role is enabled with the SET ROLE statement.
Gooddy
Дата: 12.12.2007 16:25:42
Дубовая голова
Gooddy
Что это дает?


Чукча не читатель ?

CREATE ROLE

автор

Use the IDENTIFIED clause to indicate that a user must be authorized by the specified method before the role is enabled with the SET ROLE statement.


И что такое "specified method"?
_Alex_SMIRNOV_
Дата: 12.12.2007 16:27:25
Gooddy
Что это дает?


Как пример: делать SET ROLE с паролем из клиентского приложения (пароль явно или неявно прописан в приложение), что позволяет пользователям работать тока через приложение, а не подключится напрямую к базе через SQLPlus
Viewer
Дата: 12.12.2007 16:30:28
Gooddy
И что такое "specified method"?

Навскидку в приводимой выше же ссылке
If you create a role that is NOT IDENTIFIED or is IDENTIFIED EXTERNALLY or BY password, then Oracle Database grants you the role with ADMIN OPTION. However, if you create a role IDENTIFIED GLOBALLY, then the database does not grant you the role.
Elic
Дата: 12.12.2007 16:32:06
_Alex_SMIRNOV_
Как пример: делать SET ROLE с паролем из клиентского приложения (пароль явно или неявно прописан в приложение), что позволяет пользователям работать тока через приложение, а не подключится напрямую к базе через SQLPlus
Это защита только от дурака :)
Дубовая голова
Дата: 12.12.2007 16:33:25
Gooddy
И что такое "specified method"?


Прочитать документацию не хватило сил ?
Надо разжевать и в рот положить ?

автор

BY password
The BY password clause lets you create a local role and indicates that the user must specify the password to the database when enabling the role. The password can contain only single-byte characters from your database character set regardless of whether this character set also contains multibyte characters.

USING package
The USING package clause lets you create an application role, which is a role that can be enabled only by applications using an authorized package. If you do not specify schema, then the database assumes the package is in your own schema.

Caution:

When you grant a role to a user, the role is granted as a default role for that user and is therefore enabled immediately upon logon. To retain the security benefits of an application role, you must ensure that the role is not a default role. Immediately after granting the application role to a user, issue an ALTER USER statement with the DEFAULT ROLE ALL EXCEPT role clause, specifying the application role. Doing so will enforce the rule that, in subsequent logons by the user, the role will not be enabled except by applications using the authorized package.
See Also:

Oracle Database Security Guide for information on creating a secure application role
EXTERNALLY
Specify EXTERNALLY to create an external role. An external user must be authorized by an external service, such as an operating system or third-party service, before enabling the role.

Depending on the operating system, the user may have to specify a password to the operating system before the role is enabled.

GLOBALLY
Specify GLOBALLY to create a global role. A global user must be authorized to use the role by the enterprise directory service before the role is enabled at login.
Viewer
Дата: 12.12.2007 16:36:10
_Alex_SMIRNOV_
Gooddy
Что это дает?


Как пример: делать SET ROLE с паролем из клиентского приложения (пароль явно или неявно прописан в приложение), что позволяет пользователям работать тока через приложение, а не подключится напрямую к базе через SQLPlus

Маленькая поправка:
Если при выходе из приложения все роли по дефолту будут отключены, это не позволит использовать привилегии ролей при подключении к базе вне приложения через какое либо инструментальное средство.
Viewer
Дата: 12.12.2007 16:38:46
Elic
_Alex_SMIRNOV_
Как пример: делать SET ROLE с паролем из клиентского приложения (пароль явно или неявно прописан в приложение), что позволяет пользователям работать тока через приложение, а не подключится напрямую к базе через SQLPlus
Это защита только от дурака :)

Ммм ... а как недурак может включить роль не зная ее пароля и не имея соответствующих прав?
_Alex_SMIRNOV_
Дата: 12.12.2007 16:39:55
Viewer
_Alex_SMIRNOV_
Gooddy
Что это дает?


Как пример: делать SET ROLE с паролем из клиентского приложения (пароль явно или неявно прописан в приложение), что позволяет пользователям работать тока через приложение, а не подключится напрямую к базе через SQLPlus

Маленькая поправка:
Если при выходе из приложения все роли по дефолту будут отключены, это не позволит использовать привилегии ролей при подключении к базе вне приложения через какое либо инструментальное средство.


А у пользователя нет ни одной дефалтной роли.