Oracle Profile使用詳解(轉)

一、目的：

　　Oracle系統中的profile可以用來對用戶所能使用的數據庫資源進行限制，使用Create Profile命令創建一個Profile，用它來實現對數據庫資源的限制使用，如果把該profile分配給用戶，則該用戶所能使用的數據庫資源都在該profile的限制之內。

　　prfile文件可以控制：CPU的時間 、I/O的使用 、IDLE TIME（空閑時間） 、CONNECT TIME（連接時間） 、並發會話數量 、口令機制。 

二、DEFAULT PROFILE： 
　　1、所有的用戶創建時都會被指定這個PROFILE 
　　2、DEFAULT PROFILE的內容為空，無限制 

三、PROFILE的划分： 
　　1、CALL級LIMITE： 
　　對象是語句。

　　當該語句資源使用溢出時： 
　　A、該語句終止 
　　B、事物回退 
　　C、SESSION連接保持 
　　2、SESSION級LIMITE： 
　　對象是整個會話過程 
　　溢出時：連接終止 

四、如何管理一個PROFILE 
　　1、CREATE PROFILE 。創建profile必須要有CREATE PROFILE的系統權限。
　　2、分配給一個用戶 
　　3、象開關一樣打開限制。 

五、條件：

　　為用戶指定資源限制，必須：

　　1．動態地使用alter system或使用初始化參數resource_limit使資源限制生效。該改變對密碼資源無效，密碼資源總是可用。

　　SQL> show parameter resource_limit

　　NAME                                 TYPE        VALUE

　　------------------------------------ ----------- ------------------------------

　　resource_limit                       boolean     FALSE

 

　　SQL> alter system set resource_limit=true;

　　系統已更改。

　　SQL> show parameter resource_limit;

　　NAME                                 TYPE        VALUE

　　------------------------------------ ----------- ------------------------------

　　resource_limit                       boolean     TRUE

 

　　2．使用create profile創建一個定義對數據庫資源進行限制的profile。

　　3．使用create user 或alter user命令把profile分配給用戶。 

六、語法：
CREATE PROFILE profile LIMIT { resource_parameters | password_parameters }[ resource_parameters | password_parameters ]... ;


resource_parameters： {{ SESSIONS_PER_USER | CPU_PER_SESSION | CPU_PER_CALL | CONNECT_TIME | IDLE_TIME | LOGICAL_READS_PER_SESSION | LOGICAL_READS_PER_CALL | COMPOSITE_LIMIT } { integer | UNLIMITED | DEFAULT }| PRIVATE_SGA { integer [ K | M ] | UNLIMITED | DEFAULT }}

 

password_parameters ： {{ FAILED_LOGIN_ATTEMPTS | PASSWORD_LIFE_TIME | PASSWORD_REUSE_TIME | PASSWORD_REUSE_MAX | PASSWORD_LOCK_TIME | PASSWORD_GRACE_TIME } { expr | UNLIMITED | DEFAULT }| PASSWORD_VERIFY_FUNCTION  { function | NULL | DEFAULT }}

七、語法解釋：

       Oracle數據庫以以下方式強迫資源限制：

       1．如果用戶超過了connect_time或idle_time的會話資源限制，數據庫就回滾當前事務，並結束會話。用戶再次執行命令，數據庫則返回一個錯誤，

       2．如果用戶試圖執行超過其他的會話資源限制的操作，數據庫放棄操作，回滾當前事務並立即返回錯誤。用戶之后可以提交或回滾當前事務，必須結束會話。

       提示：可以將一條分成多個段，如1小時(1/24天)來限制時間，可以為用戶指定資源限制，但是數據庫只有在參數生效后才會執行限制。

       Unlimited：分配該profile的用戶對資源使用無限制，當使用密碼參數時，unlimited意味着沒有對參數加限制。 

       Default：指定為default意味着忽略對profile中的一些資源限制，Default profile初始定義對資源不限制，可以通過alterprofile命令來改變。 

       Resource_parameter部分：      

       1. Session_per_user：指定限制用戶的並發會話的數目。

       2. Cpu_per_session：指定會話的CPU時間限制，單位為百分之一秒。

       3. Cpu_per_call：指定一次調用（解析、執行和提取）的CPU時間限制，單位為百分之一秒。

       4. Connect_time：指定會話的總的連接時間，以分鍾為單位。

       5. Idle_time：指定會話允許連續不活動的總的時間，以分鍾為單位，超過該時間，會話將斷開。但是長時間運行查詢和其他操作的不受此限制。

       6. Logical_reads_per_session：指定一個會話允許讀的數據塊的數目，包括從內存和磁盤讀的所有數據塊。

       7. Logical_read_per_call：指定一次執行SQL（解析、執行和提取）調用所允許讀的數據塊的最大數目。

       8. Private_sga：指定一個會話可以在共享池（SGA）中所允許分配的最大空間，以字節為單位。（該限制只在使用共享服務器結構時才有效，會話在SGA中的私有空間包括私有的SQL和PL/SQL，但不包括共享的SQL和PL/SQL）。

       9. Composite_limit：指定一個會話的總的資源消耗，以service units單位表示。Oracle數據庫以有利的方式計算cpu_per_session，connect_time，logical_reads_per_session和private-sga總的service units      

       Password_parameter部分：      

       1. Failed_login_attempts：指定在帳戶被鎖定之前所允許嘗試登陸的的最大次數。

       2. Password_life_time：指定同一密碼所允許使用的天數。如果同時指定了password_grace_time參數，如果在grace period內沒有改變密碼，則密碼會失效，連接數據庫被拒絕。如果沒有設置password_grace_time參數，默認值unlimited將引發一個數據庫警告，但是允許用戶繼續連接。

       3. Password_reuse_time和password_reuse_max：這兩個參數必須互相關聯設置，password_reuse_time指定了密碼不能重用前的天數，而password_reuse_max則指定了當前密碼被重用之前密碼改變的次數，即多少次之內不許設置重復密碼。兩個參數都必須被設置為整數。

       1) 如果為這兩個參數指定了整數，則用戶不能重用密碼直到密碼被改變了password_reuse_max指定的次數以后在password_reuse_time指定的時間內。

       如：password_reuse_time=30，password_reuse_max=10，用戶可以在30天以后重用該密碼，要求密碼必須被改變超過10次。

       2) 如果指定了其中的一個為整數，而另一個為unlimited，則用戶永遠不能重用一個密碼。

       3) 如果指定了其中的一個為default，Oracle數據庫使用定義在profile中的默認值，默認情況下，所有的參數在profile中都被設置為unlimited，如果沒有改變profile默認值，數據庫對該值總是默認為unlimited。

       4) 如果兩個參數都設置為unlimited，則數據庫忽略他們。

       4. Password_lock_time：指定登陸嘗試失敗次數到達后帳戶的縮定時間，以天為單位。

       5. Password_grace_time：指定寬限天數，數據庫發出警告到登陸失效前的天數。如果數據庫密碼在這中間沒有被修改，則過期會失效。

       6. Password_verify_function：該字段允許將復雜的PL/SQL密碼驗證腳本做為參數傳遞到create profile語句。Oracle數據庫提供了一個默認的腳本，但是自己可以創建自己的驗證規則或使用第三方軟件驗證。 對Function名稱，指定的是密碼驗證規則的名稱，指定為Null則意味着不使用密碼驗證功能。如果為密碼參數指定表達式，則該表達式可以是任意格式，除了數據庫標量子查詢。

八、舉例：

       1．創建一個profile：

       create profile new_profile limit password_reuse_max 10 password_reuse_time 30;

 

       2．設置profile資源限制：

       create profile app_user limit sessions_per_user unlimited cpu_per_session unlimited

              cpu_per_call 3000 connect_time 45 logical_reads_per_session default logical_reads_per_call 1000

              private_sga 15k composite_limit 5000000;

              總的resource cost不超過五百萬service units。計算總的resource cost的公式由alter resource cost語句來指定。

      

       3．設置密碼限制profile：

       create profile app_users2 limit failed_login_attempts 5 password_life_time 60 password_reuse_time 60

              password_reuse_max 5 password_verify_function verify_function password_lock_time 1/24 password_grace_time 10;

             

       4．將配置文件分配給用戶：

              SQL> alter user dinya profile app_user;          

              SQL> alter user dinya profile default;

　　 5.  修改profiler的內容：

　　　　　SQL> alter profile app_user 參數 新值; （對於當前連接修改不生效）

　　 6.  刪除一個PROFILE ：

　　　　　SQL> drop profile app_user (cascade); 

　　　　　　注意事項: 
 　　　　　　 A、一旦PROFILE被刪除，用戶被自動加載DEFAULT PROFILE 
  　　　　　　B、對於當前連接無影響 
  　　　　　　C、DEFAULT PROFILE不可以被刪除

　　7.   查看用戶的profile名:

　　　　　　SQL> select profile from dba_users where username='GAME';

　　8.   查看profile的內容：

　　　　　　SQL> select * from SYS.DBA_PROFILES;

　　　　　　SQL> select * from SYS.USER_RESOURCE_LIMITS;