Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Oracle Новый топик    Ответить
 Про права и роли.  [new]
Valergrad
Member

Откуда:
Сообщений: 704
Недавно возникла одна проблема при раздаче прав доступа.
Понял, что я недопонимаю концепцию оракловых прав.
Какие права надо раздавать напрямую, какие через роли, с какими опциями и т.д.
Не могли бы вы подсказать, какую-нибудь статью, где это четко объяснено?

Сейчас я понимаю так - что права на таблицы можно раздавать через роли, на все остальное - надо напрямую. Но, похоже, это слишком упрощенно.
Сейчас, например, не могу заставить пользователя B видеть вьюху, который создал пользователь A.
При этом пользователь B видит все таблицы, которые входят в эту вьюху, все данные из них, сам способен создать такую же вьюху, посмотреть в ней данные, имеет права на эту вьюху и все таблицы входящие в нее, причем как напрямую, так и через роль. Но все равно выдается ORA01031 при запросе данных из этой вьюхи!
Может кто-нибудь подсказать как такое может быть?
1 июн 10, 15:24    [8869784]     Ответить | Цитировать Сообщить модератору
 Re: Про права и роли.  [new]
JaRo
Member

Откуда:
Сообщений: 1659
Valergrad
Сейчас я понимаю так - что права на таблицы можно раздавать через роли, на все остальное - надо напрямую.
Это не так. Права на всё можно создавать как через роль, так и напрямую.
1) Через роль удобнее (в определенных ситуациях, - гораздо удобнее выдать(и поддерживать изменения потом) пользователю одну роль, чем кучу привилегий).
2) в некоторых ситуациях (FAQ 4) права обязательно надо выдавать напрямую.

Valergrad
Сейчас, например, не могу заставить пользователя B видеть вьюху, который создал пользователь A.
При этом пользователь B видит все таблицы, которые входят в эту вьюху, все данные из них, сам способен создать такую же вьюху, посмотреть в ней данные, имеет права на эту вьюху и все таблицы входящие в нее, причем как напрямую, так и через роль. Но все равно выдается ORA01031 при запросе данных из этой вьюхи!
Может кто-нибудь подсказать как такое может быть?
С вьюхой с чужими объектами - это надо давать право владельцу вьюхи на чужой объект с WITH ADMIN OPTION
1 июн 10, 15:39    [8869956]     Ответить | Цитировать Сообщить модератору
 Re: Про права и роли.  [new]
Elic
Member

Откуда:
Сообщений: 29990
Valergrad
Но все равно выдается ORA01031 при запросе данных из этой вьюхи!
STFF grant option


JaRo
право владельцу вьюхи на чужой объект с WITH ADMIN OPTION
:)
1 июн 10, 15:42    [8869993]     Ответить | Цитировать Сообщить модератору
 Re: Про права и роли.  [new]
JaRo
Member

Откуда:
Сообщений: 1659
Elic
JaRo
право владельцу вьюхи на чужой объект с WITH ADMIN OPTION
:)
Ну э... Бывает..
1 июн 10, 15:44    [8870007]     Ответить | Цитировать Сообщить модератору
 Re: Про права и роли.  [new]
Valergrad
Member

Откуда:
Сообщений: 704
JaRo

Прочитал этот фаг ( читал его, кстати, и до этого )

7. Вопрос. Почему в своем pl/sql-коде (представлении/процедуре/триггере/пакете) не удается использовать чужой объект - выдается ошибка ORA-00942 table or view does not exist - хотя в sql-запросе или в анонимном pl/sql/блоке все нормально, обращение к объекту другого пользователя проходит без проблем?
Ответ. Скорее всего на чужой объект есть привилегия, выданная только через роль. Для использования объектов другого пользователя или системных привелегий в своих процедурах/триггерах и т.д., а также в job-ах необходимо дать на них привилегию напрямую, не через роль.
Так же это правило следует учесть для динамического SQL: FAQ: ORA-01031: insufficient privileges при выполнении динамического SQL в процедурах

Вот самое интересное это как раз "и т.д." Что оно означает?

У меня не процедура, не триггер, а скажем, вьюха. Она входит в это итд? Вот как раз именно принципы я хочу понять. Чтобы не экспериментально проверять, а четко знать основные правила.

А по поводу - with grant option, действительно, в этом было дело, спасибо!
1 июн 10, 15:55    [8870111]     Ответить | Цитировать Сообщить модератору
 Re: Про права и роли.  [new]
semenar
Member

Откуда: Днепропетровск
Сообщений: 3308
Блог
Valergrad,

ТОП популярных вопросов № 4.
1 июн 10, 16:09    [8870290]     Ответить | Цитировать Сообщить модератору
 Re: Про права и роли.  [new]
Valergrad
Member

Откуда:
Сообщений: 704
Нашел системное объяснение у Кайта. Отличная книга. Так что тему можно закрывать :)
6 июн 10, 15:17    [8898551]     Ответить | Цитировать Сообщить модератору
 Re: Про права и роли.  [new]
Elic
Member

Откуда:
Сообщений: 29990
Valergrad
Нашел системное объяснение у Кайта. Отличная книга. Так что тему можно закрывать :)
На будущее: закрытие темы - это весьма репрессивная мера. Так что взвешивай слова.

По поводу Кайта: кто не умеет понимающе читать библию, тот, да, с восхищением слушает проповеди-пересказы каждое воскресенье
6 июн 10, 16:57    [8898635]     Ответить | Цитировать Сообщить модератору
Все форумы / Oracle Ответить