一、目的:
Oracle系統中的profile可以用來對用戶所能使用的數據庫資源進行限制,使用Create Profile命令創建一個Profile,用它來實現對數據庫資源的限制使用,如果把該profile分配給用戶,則該用戶所能使用的數據庫資源都在該profile的限制之內。
prfile文件可以控制:
CPU的時間 、
I/O的使用 、
IDLE TIME(空閑時間) 、
CONNECT TIME(連接時間) 、
並發會話數量 、
口令機制。
二、DEFAULT PROFILE:
1、所有的用戶創建時都會被指定這個PROFILE
2、DEFAULT PROFILE的內容為空,無限制
1、所有的用戶創建時都會被指定這個PROFILE
2、DEFAULT PROFILE的內容為空,無限制
三、PROFILE的划分:
1、CALL級LIMITE:
對象是語句。
1、CALL級LIMITE:
對象是語句。
當該語句資源使用溢出時:
A、該語句終止
B、事物回退
C、SESSION連接保持
2、SESSION級LIMITE:
對象是整個會話過程
溢出時:連接終止
A、該語句終止
B、事物回退
C、SESSION連接保持
2、SESSION級LIMITE:
對象是整個會話過程
溢出時:連接終止
四、如何管理一個PROFILE
1、CREATE PROFILE 。創建profile必須要有CREATE PROFILE的系統權限。
2、分配給一個用戶
3、象開關一樣打開限制。
1、CREATE PROFILE 。創建profile必須要有CREATE PROFILE的系統權限。
2、分配給一個用戶
3、象開關一樣打開限制。
五、條件:
為用戶指定資源限制,必須:
1.動態地使用alter system或使用初始化參數resource_limit使資源限制生效。該改變對密碼資源無效,密碼資源總是可用。
SQL> show parameter resource_limit
NAME TYPE VALUE
------------------------------------ ----------- ------------------------------
resource_limit boolean FALSE
SQL> alter system set resource_limit=true;
系統已更改。
SQL> show parameter resource_limit;
NAME TYPE VALUE
------------------------------------ ----------- ------------------------------
resource_limit boolean TRUE
2.使用create profile創建一個定義對數據庫資源進行限制的profile。
3.使用create user 或alter user命令把profile分配給用戶。
六、語法:
CREATE PROFILE profile LIMIT { resource_parameters | password_parameters }[ resource_parameters | password_parameters ]... ;
resource_parameters:
{{ SESSIONS_PER_USER
| CPU_PER_SESSION
| CPU_PER_CALL
| CONNECT_TIME
| IDLE_TIME
| LOGICAL_READS_PER_SESSION
| LOGICAL_READS_PER_CALL
| COMPOSITE_LIMIT
}
{ integer | UNLIMITED | DEFAULT }
| PRIVATE_SGA
{ integer [ K | M ] | UNLIMITED | DEFAULT }
}
password_parameters :
{{ FAILED_LOGIN_ATTEMPTS
| PASSWORD_LIFE_TIME
| PASSWORD_REUSE_TIME
| PASSWORD_REUSE_MAX
| PASSWORD_LOCK_TIME
| PASSWORD_GRACE_TIME
}
{ expr | UNLIMITED | DEFAULT }
| PASSWORD_VERIFY_FUNCTION
{ function | NULL | DEFAULT }
}
七
、語法解釋:
Oracle數據庫以以下方式強迫資源限制:
1.如果用戶超過了connect_time或idle_time的會話資源限制,數據庫就回滾當前事務,並結束會話。用戶再次執行命令,數據庫則返回一個錯誤,
2.如果用戶試圖執行超過其他的會話資源限制的操作,數據庫放棄操作,回滾當前事務並立即返回錯誤。用戶之后可以提交或回滾當前事務,必須結束會話。
提示:可以將一條分成多個段,如1小時(1/24天)來限制時間,可以為用戶指定資源限制,但是數據庫只有在參數生效后才會執行限制。
Unlimited:分配該profile的用戶對資源使用無限制,當使用密碼參數時,unlimited意味着沒有對參數加限制。
Default:指定為default意味着忽略對profile中的一些資源限制,Default profile初始定義對資源不限制,可以通過alterprofile命令來改變。
Resource_parameter部分:
1. Session_per_user:指定限制用戶的並發會話的數目。
2. Cpu_per_session:指定會話的CPU時間限制,單位為百分之一秒。
3. Cpu_per_call:指定一次調用(解析、執行和提取)的CPU時間限制,單位為百分之一秒。
4. Connect_time:指定會話的總的連接時間,以分鍾為單位。
5. Idle_time:指定會話允許連續不活動的總的時間,以分鍾為單位,超過該時間,會話將斷開。但是長時間運行查詢和其他操作的不受此限制。
6. Logical_reads_per_session:指定一個會話允許讀的數據塊的數目,包括從內存和磁盤讀的所有數據塊。
7. Logical_read_per_call:指定一次執行SQL(解析、執行和提取)調用所允許讀的數據塊的最大數目。
8. Private_sga:指定一個會話可以在共享池(SGA)中所允許分配的最大空間,以字節為單位。(該限制只在使用共享服務器結構時才有效,會話在SGA中的私有空間包括私有的SQL和PL/SQL,但不包括共享的SQL和PL/SQL)。
9. Composite_limit:指定一個會話的總的資源消耗,以service units單位表示。Oracle數據庫以有利的方式計算cpu_per_session,connect_time,logical_reads_per_session和private-sga總的service units
Password_parameter部分:
1. Failed_login_attempts:指定在帳戶被鎖定之前所允許嘗試登陸的的最大次數。
2. Password_life_time:指定同一密碼所允許使用的天數。如果同時指定了password_grace_time參數,如果在grace period內沒有改變密碼,則密碼會失效,連接數據庫被拒絕。如果沒有設置password_grace_time參數,默認值unlimited將引發一個數據庫警告,但是允許用戶繼續連接。
3. Password_reuse_time和password_reuse_max:這兩個參數必須互相關聯設置,password_reuse_time指定了密碼不能重用前的天數,而password_reuse_max則指定了當前密碼被重用之前密碼改變的次數,即多少次之內不許設置重復密碼。兩個參數都必須被設置為整數。
1) 如果為這兩個參數指定了整數,則用戶不能重用密碼直到密碼被改變了password_reuse_max指定的次數以后在password_reuse_time指定的時間內。
如:password_reuse_time=30,password_reuse_max=10,用戶可以在30天以后重用該密碼,要求密碼必須被改變超過10次。
2) 如果指定了其中的一個為整數,而另一個為unlimited,則用戶永遠不能重用一個密碼。
3) 如果指定了其中的一個為default,Oracle數據庫使用定義在profile中的默認值,默認情況下,所有的參數在profile中都被設置為unlimited,如果沒有改變profile默認值,數據庫對該值總是默認為unlimited。
4) 如果兩個參數都設置為unlimited,則數據庫忽略他們。
4. Password_lock_time:指定登陸嘗試失敗次數到達后帳戶的縮定時間,以天為單位。
5. Password_grace_time:指定寬限天數,數據庫發出警告到登陸失效前的天數。如果數據庫密碼在這中間沒有被修改,則過期會失效。
6. Password_verify_function:該字段允許將復雜的PL/SQL密碼驗證腳本做為參數傳遞到create profile語句。Oracle數據庫提供了一個默認的腳本,但是自己可以創建自己的驗證規則或使用第三方軟件驗證。 對Function名稱,指定的是密碼驗證規則的名稱,指定為Null則意味着不使用密碼驗證功能。如果為密碼參數指定表達式,則該表達式可以是任意格式,除了數據庫標量子查詢。
八、舉例:
1.創建一個profile:
create profile new_profile
limit password_reuse_max 10
password_reuse_time 30;
2.設置profile資源限制:
create profile app_user limit
sessions_per_user unlimited
cpu_per_session unlimited
cpu_per_call 3000
connect_time 45
logical_reads_per_session default
logical_reads_per_call 1000
private_sga 15k
composite_limit 5000000;
總的resource cost不超過五百萬service units。計算總的resource cost的公式由alter resource cost語句來指定。
3.設置密碼限制profile:
create profile app_users2 limit
failed_login_attempts 5
password_life_time 60
password_reuse_time 60
password_reuse_max 5
password_verify_function verify_function
password_lock_time 1/24
password_grace_time 10;
4.將配置文件分配給用戶:
SQL> alter user dinya profile app_user;
SQL> alter user dinya profile default;
5. 修改profiler的內容:
SQL> alter profile app_user 參數 新值; (對於當前連接修改不生效)
6. 刪除一個PROFILE :
SQL> drop profile app_user (cascade);
注意事項:
A、一旦PROFILE被刪除,用戶被自動加載DEFAULT PROFILE
B、對於當前連接無影響
C、DEFAULT PROFILE不可以被刪除
A、一旦PROFILE被刪除,用戶被自動加載DEFAULT PROFILE
B、對於當前連接無影響
C、DEFAULT PROFILE不可以被刪除
7. 查看用戶的profile名:
SQL> select profile from dba_users where username='GAME';
8. 查看profile的內容:
SQL> select * from SYS.DBA_PROFILES;
SQL> select * from SYS.USER_RESOURCE_LIMITS;