7. 유저 및 보안 관리

1-1. 유저 속성

- 이름 : 유저명

- 패스워드 : 데이터 딕셔너리에 암호화되어 저장된다. 대문자 소문자 구별된다.

- 디폴트 표영역 : 유저 어카운트를 작성할 때 오브잭트의 표영역을 지정 하지 않았을 경우 사용되는 표영역.

- 임시 표영역 : 임시 세그먼트의 작성을 필요로 하는 SQL문(정렬, 표결합 등)을 실행했을때 사용되는 영역.

- 표영역 할당의 제한 : 유저에 대해서 사용가능한 표영역 용량, 사용가능한 표영역을 지정한다. 임시 표영역과 UNDO는 할당하지 않아도 사용가능.

- 어카운트 스테이터스 : 로그인 가능한 상태(록 해제), 또는 로그인 금지의 상태(록)

- 패스워드 스테이터스 : 패스워드를 무효(기한제한)으로 할지 유효로 할지 지정한다.

1-2. 사전정의 어카운트

- SYS, SYSTEM, SYSMAN, DBSNMP : 4개의 관리자 어카운트는 데이터베이스 작성시 자동적으로 작성된다.

- 샘플스키마를 작성하면 HR, OE, SH등이 샘플스키마유저가 작성된다.

1-3. 유저 작성, 변경, 삭제

- 유저 어카운트를 삭제하면, 그 유저명으로는 로그인 할 수 없게되고 유저어카운트가 소유하고있는 표와 색인 등 몯든 오브젝트도 삭제된다.

- 삭제하고자 하는 유저가 데이터베이스에 접속중인 경우 에러가 표시되고 삭제할 수 없다.

- 삭제하고자 하는 유저가 오브젝트를 소유하고 있는 경우, 소유하고 있는 오브젝트를 모두 삭제하기 위해 cascade를 지정하지 않으면 안된다.

- 유저 어카운트를 록하면, 특정 유저 어카운트에 따른 데이터베이스의 액세스를 일시적으로 거부하는 것이 가능하다.

- 록되어있는 어카운트에 접속하고자 하는 경우 관리자가 록을 삭제할 필요가 있다.

- 프로파일에 따라 유저에게 패스워드 정책이 할당 된다.

- 디폴트로 유저는 DEFAULT프로파일이 할당 된다.

- 디폴트의 패스워드 정책은 다음과 같이 설정이 되어있다.

- 패스워드 기한이 끝난 후 최초 로그인한 7일 후 유저어카운트가 록되기 때문에, 최초 로그인 후 7일 이내에 패스워드를 변경 할 필요가있다.

- 10회 로그인 실패시, 유저어카운트가 1일 록된다.

2-1. 권한의 종류

- 시스템 권한 : 특정 데이터베이스조작의 실행을 허가하기 위해 사용한다.

- 오브젝트 권한 : 특정 데이터베이스 오브젝트의 액세스를 제어하기 위해 사용한다.

- 관리권한은, 데이터베이스의 작성, 인스턴스의 기동, 정지의 실행, 백업/리커버리 등 특별한 관리조작을 실행하기 위해 필요한 권한.

- 관리권한은 SYSDBA, SYSOPER, SYSBACKUP,등 특별한 시스템권한에 따라 부여된다.

- SYSDBA 시스템권한이 가장 강한 관리권한이고, 다른 관리권한은 조작의 일부를 실행할 수 있는 권한이다.

- 관리권한이 부여되어있는 유저는, 데이터베이스가 오픈되어있지 않은경우에도 인스턴스에 액세스하는 것이 허가된다. 

- 관리권한을 사용할 때의 인증은, 데이터딕셔너리 뿐만아니라 데이터베이스 외부에서 실행되 있는 OS인증과 패스워드 파일 인증의 2가지 인증방식이 있다.

- SYSDBA으로 접속할 때는 유저명/패스워드 지정시 AS SYSDBA를 지정한다. 이 경우 지정한 유저명이 아닌 SYS로 접속된다.

- SYS유저는 데이터딕셔너리 표의 소유자로서, 권한이 무제한이기 때문에 관리작업시 주의가 필요.

- WITH ADMIN OPTION 또는 WITH GRANT OPTION을 지정하여 권한을 부여하면 제 3자에 같은 권한을 부여 가능하다.

- WITH ADMIN OPTION이 지정 되어있는 시스템권한을 제거해도, 제3자에 부여된 시스템권한은 유효하다.

- WITH GRANT OPTION이 지정 되어있는 오브젝트 권한을 제거하면, 제 3자에 부여된 오브젝트권한도 동시에 삭제된다.

- 롤은 권한과 다른 롤의 집합으로, 복수의 권한의 롤을 그룹화한 것이다. 유저에 용이하게 권한과 롤을 부여하는 것이 가능하다.

- SYS유저와 SYSTEM유저로서 데이터베이스에 접속하면 DBA롤이 부여된다.

- 관리자가 작성하는 롤 이외에 사전 정의 되어있는 롤도 있다.