Administration des bases de données

ChapIV : Administrer la sécurité utilisateur

Faculté des Sciences et techniques –Tanger-

Département –génie informatique-
C.ing LSI2
Comptes utilisateur de base de données

Chaque compte utilisateur de base de données comporte :

• un nom utilisateur unique

• une méthode d'authentification
• un tablespace par défaut
• un tablespace temporaire
• un profil utilisateur
• un groupe de consommateurs de ressources
• un statut de verrouillage
Comptes utilisateur de base de données

• Un nom utilisateur unique : Les noms utilisateur ne peuvent pas dépasser

30 octets, ne doivent pas contenir de caractères spéciaux et doivent
commencer par une lettre.

• Une méthode d'authentification : La méthode la plus courante est

l'authentification par mot de passe, mais Oracle Database 11g prend en
charge plusieurs autres méthodes d'authentification, notamment
l'authentification par biométrie, par certificat ..etc

• Un tablespace par défaut : Il s'agit de l'emplacement dans lequel

l'utilisateur crée des objets s'il n'a pas indiqué d'autre tablespace.

Notez que le fait qu'un utilisateur dispose d'un tablespace par défaut
n'implique pas qu'il bénéficie du privilège permettant de créer des
objets dans ce tablespace, ni qu'il dispose d'un quota d'espace dans ce
tablespace. En effet, les privilèges et les quotas sont accordés
séparément.
Comptes utilisateur de base de données

• Un tablespace temporaire : Il s'agit de l'emplacement dans lequel

l'utilisateur peut créer des objets temporaires, tels que des tris et des tables
temporaires.

• Un profil utilisateur : Il s'agit d'un ensemble de restrictions concernant

les ressources et les mots de passe qui est affecté à l'utilisateur.

• Un groupe de consommateurs de ressources : Il est utilisé par le

gestionnaire de ressources.

• Un statut de verrouillage : Les utilisateurs n'ont accès qu'aux comptes

"déverrouillés".
Comptes prédéfinis : SYS et SYSTEM

• Le compte SYS :

– reçoit le rôle d'administrateur de base de données (DBA)

– dispose de tous les privilèges associés à ADMIN OPTION
– est requis pour les opérations de démarrage, arrêt et maintenance
– est le propriétaire du dictionnaire de données

• Le compte SYSTEM a le rôle d'administrateur de base de données (DBA).

Créer un utilisateur

Administration > Schema > Users & Privileges > Users, bouton Create.
Authentification des utilisateurs
• Password
• External : permet l'identification des utilisateurs via le système d’exploitation
• Global : permet l'identification des utilisateurs via la biométrie, les
certificats x509…etc.
Déverrouiller un compte utilisateur et redéfinir le mot de passe
Creation d’ un compte utilisateur

CREATE USER username IDENTIFIED {BY password | EXTERNALLY | GLOBALLY AS

'external_name'} options;

options:

DEFAULT TABLESPACE tablespace

TEMPORARY TABLESPACE tablespace
QUOTA int {K | M} ON tablespace
QUOTA UNLIMITED ON tablespace
PROFILE profile_name
PASSWORD EXPIRE Examples
ACCOUNT {LOCK|UNLOCK} -- Création d’un user sans droits :
CREATE USER limited IDENTIFIED BY ChangeThis;
-- Création d’un user avec tous les droits de création des objets
et l’enregistrement des données:
DROP USER MySchemaOwner CASCADE;
CREATE USER MySchemaOwner IDENTIFIED BY ChangeThis
DEFAULT TABLESPACE data TEMPORARY TABLESPACE temp
QUOTA UNLIMITED ON data
Modification d’ un compte utilisateur
ALTER USER username options;
ALTER USER username,… {GRANT|REVOKE} proxy_options;

options:

IDENTIFIED BY password [REPLACE old_password]

IDENTIFIED EXTERNALLY
IDENTIFIED GLOBALLY AS external_name
DEFAULT TABLESPACE tablespace
TEMPORARY TABLESPACE tablespace
QUOTA int {K | M} ON tablespace
QUOTA UNLIMITED ON tablespace
PROFILE profile_name DEFAULT
ROLE role [,role,…] DEFAULT
ROLE ALL [EXCEPT role,…] DEFAULT
ROLE NONE Examples
PASSWORD EXPIRE SQL> Alter user JDoe identified by passw0rd1;
ACCOUNT {LOCK|UNLOCK} SQL> Alter user JDoe account lock;
SQL> Alter user JDoe account unlock;
Privilèges

Il existe deux types de privilège utilisateur :

• Système : permet aux utilisateurs d'effectuer des actions particulières dans la base
de données

• Objet : permet aux utilisateurs d'accéder à un objet spécifique et de le manipuler

Privilèges système
Privilèges Objet
Révoquer des privilèges système accordés avec ADMIN OPTION

Scénario

1. L'administrateur de base de données

(DBA) octroie à Jeff le privilège système
CREATE TABLE, avec l'option ADMIN
OPTION.
2. Jeff crée une table.

3. Jeff accorde le privilège système CREATE

TABLE à Emi.
4. Emi crée une table.
5. Le DBA révoque le privilège système CREATE TABLE pour Jeff.
Résultat
La table de Jeff existe toujours mais aucune autre table ne peut être créée.
La table d'Emi existe toujours et Emi conserve le privilège système CREATE
TABLE.
Révoquer des privilèges système accordés avec GRANT OPTION

Scénario

1. Jeff se voit octroyer le privilège objet

SELECT sur la table EMPLOYEES,
avec l'option GRANT OPTION.

2. Jeff accorde à Emi le privilège SELECT

sur la table EMPLOYEES.

3. Ultérieurement, le privilège SELECT

de Jeff est révoqué. Cette révocation
est répercutée sur Emi.
LES ROLES

Avantages des rôles

• Gestion simplifiée des privilèges : Utilisez des rôles pour simplifier la

gestion des privilèges. Plutôt que d'accorder le même ensemble de privilèges à
plusieurs utilisateurs, vous pouvez accorder ces privilèges à un rôle, puis
octroyer ce rôle à chaque utilisateur.

• Gestion dynamique des privilèges : Si les privilèges associés à un rôle sont

modifiés, tous les utilisateurs auxquels ce rôle est accordé bénéficient
automatiquement et immédiatement des privilèges modifiés.

• Disponibilité sélective des privilèges : Les rôles peuvent être activés et

désactivés afin d'activer ou de désactiver temporairement les privilèges
correspondants. L'activation d'un rôle peut également être utilisée pour vérifier
que le rôle a été accordé à un utilisateur.
Affecter des privilèges à des rôles et des rôles à des utilisateurs

les privilèges SELECT et UPDATE sont accordés au rôle HR_CLERK sur la

table employees.
Les privilèges DELETE et INSERT sur la table employees, ainsi que le rôle
HR_CLERK, sont accordés au rôle HR_MGR.
Le rôle HR_MGR est accordé au manager, lequel peut à présent effectuer des
sélections, des suppressions, des insertions et des mises à jour dans la table
employees.
Rôles prédéfinis
Créer un rôle

Administration > Schema > Users & Privileges > Roles.

Créer un rôle
CREATE ROLE role
[ NOT IDENTIFIED
| IDENTIFIED { BY password
| USING [ schema. ] package
| EXTERNALLY
| GLOBALLY
}
];

NOT IDENTIFIED.
le Rôle sera activé sans identification, aucun mot de passe, c'est la valeur par défaut
IDENTIFIED BY password.
Un mot de passe est nécessaire pour activer le Rôle avec la commande SET ROLE (LOCAL ROLE).
IDENTIFIED USING package.
Indique que seul le Package peut activer le Rôle (ROLE APPLICATION).
IDENTIFIED EXTERNALLY.
Indique qu'une identification externe est nécessaire pour activer le Rôle (EXTERNAL ROLE).
IDENTIFIED GLOBALLY.
Indique qu'une identification d'un utilisateur GLOBAL est nécessaire pour activer le Rôle
(GLOBAL ROLE).
Créer un rôle

CREATE ROLE conn;

GRANT CREATE session,

CREATE table,
CREATE view,
CREATE procedure,
CREATE synonym,
ALTER table,
ALTER view,
ALTER procedure,
ALTER synonym,
DROP table,
DROP view,
DROP procedure,
DROP synonym, TO conn;

GRANT conn TO MySchemaOwner;

Rôles sécurisés

• Rendre un rôle inactif par défaut. Lorsque le rôle est affecté à un utilisateur,
désélectionnez la case DEFAULT. L'utilisateur doit à présent activer
explicitement le rôle pour pouvoir exercer les privilèges correspondants.

• Configurer un rôle afin qu'il nécessite une authentification. L'authentification

par défaut d'un rôle est None, mais il est possible de configurer le rôle afin
qu'il ne puisse être activé qu'après authentification.

• Créer des rôles applicatifs sécurisés qui ne peuvent être activés que via
l'exécution d'une procédure PL/SQL. La procédure PL/SQL peut vérifier des
éléments tels que l'adresse réseau de l'utilisateur, le programme exécuté par
l'utilisateur, l'heure ou tout autre élément nécessaire pour sécuriser
correctement un groupe de permissions.
Rôles sécurisés

• Les rôles peuvent ne pas être activés par défaut.

SET ROLE vacationdba;

• Les rôles peuvent être protégés par authentification.

CREATE ROLE secure_application_role

IDENTIFIED USING <security_procedure_name>;
Affecter des rôles aux utilisateurs
Profils et utilisateurs

Les profils :

• contrôlent la consommation des

ressources

• gèrent le statut des comptes et

l'expiration des mots de passe

Un seul profil est affecté à un

utilisateur à un instant donné.

Pour créer un profil, sélectionnez Administration > Schema > Users & Privileges >
Profiles, puis cliquez sur le bouton Create.
Implémenter des fonctionnalités de sécurité utilisant des mots de passe
Implémenter des fonctionnalités de sécurité utilisant des mots de passe

La gestion des mots de passe Oracle est implémentée par l'intermédiaire de profils
utilisateur.
Les profils peuvent fournir de nombreuses fonctionnalités de sécurité standard, telles
que :

Verrouillage des comptes : Permet le verrouillage automatique des comptes pour

une durée définie lorsque les utilisateurs ne parviennent pas à se connecter au
système après un nombre déterminé de tentatives.

• Le paramètre FAILED_LOGIN_ATTEMPTS indique le nombre d'échecs de

connexion autorisés avant le verrouillage du compte.

• Le paramètre PASSWORD_LOCK_TIME définit le nombre de jours pendant

lesquels le compte est verrouillé une fois le nombre d'échecs de connexion
atteint.
Implémenter des fonctionnalités de sécurité utilisant des mots de passe

Durée de vie des mots de passe et expiration :

Permet de définir la durée de vie des mots de passe utilisateur. Au terme de cette
durée, ils expirent et doivent être modifiés.

• Le paramètre PASSWORD_LIFE_TIME détermine la durée de vie du mot

de passe (en nombre de jours). Au terme de cette durée, le mot de passe expire.

• Le paramètre PASSWORD_GRACE_TIME définit la période de grâce (en

nombre de jours) permettant de changer le mot de passe après la première
connexion réussie suite à l'expiration du mot de passe.
Implémenter des fonctionnalités de sécurité utilisant des mots de passe

Historique des mots de passe : Vérifie le nouveau mot de passe afin de garantir
qu'il n'est pas réutilisé pendant une durée déterminée ou avant un certain nombre
de changements de mot de passe. Ces vérifications peuvent être implémentées via
l'un des paramètres suivants :

• PASSWORD_REUSE_TIME : Indique qu'un utilisateur ne peut pas

réutiliser un mot de passe pendant un nombre déterminé de jours.

• PASSWORD_REUSE_MAX : Indique le nombre de changements de mot de

passe requis avant réutilisation du mot de passe actuel.

lorsqu'une valeur différente de UNLIMITED est affectée à l'un des paramètres, la

valeur UNLIMITED doit être affectée à l'autre paramètre.
Implémenter des fonctionnalités de sécurité utilisant des mots de passe

Vérification de la complexité des mots de passe :

Effectue une vérification de complexité du mot de passe afin de garantir qu'il

respecte certaines règles.

• PASSWORD_VERIFY_FUNCTION nomme une fonction PL/SQL qui

effectue une vérification de complexité avant l'affectation d'un mot de passe.

La fonction applique les restrictions suivantes :

• La longueur minimale est de quatre caractères.

• Le mot de passe doit être différent du nom utilisateur.
• Le mot de passe doit comporter au moins un caractère alphabétique, un
chiffre et un caractère spécial.
• Le mot de passe doit comporter au moins trois lettres différentes du
précédent mot de passe.
Créer un profil de mot de passe
Supprimer un profil de mot de passe

Dans Enterprise Manager, vous ne pouvez pas supprimer un profil dont se servent
des utilisateurs. Toutefois, si vous supprimez un profil à l'aide de l'option
CASCADE (par exemple, dans SQL*Plus), tous les utilisateurs dotés de ce profil
se voient affecter automatiquement le profil DEFAULT.
Affecter des quotas aux utilisateurs

Les utilisateurs qui ne disposent pas du privilège système UNLIMITED

TABLESPACE doivent se voir attribuer un quota pour pouvoir créer des objets
dans un tablespace.

Les quotas peuvent être les suivants :

• Une valeur précise exprimée en mégaoctets ou en kilo-octets
• Unlimited
Affecter des quotas aux utilisateurs

Un quota est une allocation d'espace dans un tablespace donné. Par défaut, un
utilisateur ne dispose d'aucun quota sur aucun des tablespaces. Trois options vous
permettent d'affecter un quota utilisateur sur un tablespace.

• Unlimited : Cette option permet à l'utilisateur d'employer tout l'espace

disponible dans le tablespace.

• Value : Il s'agit de l'espace pouvant être employé par l'utilisateur, exprimé en

kilo-octets ou en mégaoctets. Cette valeur ne garantit cependant pas que l'espace
est réservé pour l'utilisateur. Elle peut être supérieure ou inférieure à l'espace
actuellement disponible dans le tablespace.

• Privilège système UNLIMITED TABLESPACE : Ce privilège système

remplace chaque quota de tablespace et accorde à l'utilisateur un quota illimité sur
tous les tablespaces, y compris SYSTEM et SYSAUX. Il doit être accordé avec
précaution.
Affecter des quotas aux utilisateurs

Quand l'instance Oracle utilise-t-elle des quotas ?

Les quotas sont employés lorsqu'un utilisateur crée ou étend un segment.

• Quelles activités n'ont pas d'incidence sur les quotas ?

Les activités qui n'utilisent pas l'espace disponible dans le tablespace désigné
n'affectent pas les quotas. Il s'agit, par exemple, de la création de vues ou de
l'utilisation du tablespace temporaire.

• Quand le quota est-il renouvelé ?

Le quota est renouvelé lorsque les objets dont l'utilisateur est le propriétaire sont
supprimés à l'aide de la clause PURGE ou lorsque les objets contenus dans la
corbeille sont purgés automatiquement.

35