 |
 |
|
 | Prßva a jejich subjekty | Skupiny uživatel∙ a jejich sprßva |  |
Ochrana dat v databßzi je zalo₧ena na u₧ivatelsk²ch ·Φtech. Ka₧d² klient databßze se p°ihlaÜuje k n∞kterΘmu u₧ivatelskΘmu ·Φtu a na tomto zßklad∞ bude disponovat urΦit²mi prßvy, nap°φklad prßvem Φφst nebo p°episovat n∞kterß data.
Ka₧d² ·Φet je oznaΦen u₧ivatelsk²m jmΘnem. U₧ivatelskΘ jmΘno mß nejv²Üe 31 znak∙ a nerozliÜuje s v n∞m mezi mal²mi a velk²mi pφsmeny.
U₧ivatelskΘ ·Φty obvykle odpovφdajφ "jeden-k-jednΘ" osobßm, kterΘ se do databßze p°ihlaÜujφ. V²jimkou je anonymnφ ·Φet, k n∞mu₧ se m∙₧e p°ihlßsit kdokoliv. Vyu₧itφ tohoto ·Φtu m∙₧e sprßvce zakßzat. K anonymnφmu ·Φtu se p°ihlaÜuje s prßzdn²m u₧ivatelsk²m jmΘnem nebo se jmΘnem ANONYMOUS.
Vytvo°it novΘho u₧ivatele m∙₧e provoznφ nebo bezpeΦnostnφ sprßvce. Tito sprßvcovΘ mohou poskytnout prßvo vklßdat zßznamy do tabulky USERTAB dalÜφm subjekt∙m, a tφm dovolit dalÜφm u₧ivatel∙m nebo skupinßm vytvß°et u₧ivatele. Vytvo°it u₧ivatele lze z klientskΘ strany (krom∞ interaktivnφch nßstroj∙, tj. ╪φdicφ konzole, strßnka SystΘmovΘ objekty / U₧ivatelΘ nebo V²vojovΘho prost°edφ, slo₧ka System / U₧ivatelΘ) funkcφ Create_user a lze mu p°itom zadat heslo. Pro interaktivnφ vytvo°enφ u₧ivatele vypln∞nφm ·daj∙ v dialogu slou₧φ funkce Acreate_user. Na stran∞ SQL serveru u₧ivatele vytvß°φ SQL p°φkaz CREATE USER, takto vytvo°en² u₧ivatel mß prßzdnΘ heslo a musφ si je p°i prvnφm p°ihlßÜenφ zm∞nit.
ZruÜit u₧ivatele m∙₧e provoznφ nebo bezpeΦnostnφ sprßvce. P°ihlßÜen² u₧ivatel takΘ m∙₧e sßm zruÜit sv∙j vlastnφ ·Φet. Pro zruÜenφ u₧ivatele slou₧φ SQL p°φkaz DROP USER nebo API funkce Delete pou₧itß na tabulku USERTAB.
ZruÜenφm a op∞tovn²m zalo₧enφm u₧ivatele se stejn²m jmΘnem nevznikne p∙vodnφ u₧ivatel - prßva p∙vodnφho u₧ivatele nep°ejdou na novΘho u₧ivatele. Proto se provoznφ sprßvce nem∙₧e dostat k soukrom²m dat∙m u₧ivatele tak, ₧e jej zruÜφ a znovu zalo₧φ.
Pokud existuje sysΘmovß domΘna, v nφ₧ budoucφ u₧ivatele databßze ji₧ majφ svΘ ·Φty, pak efektivn∞jÜφ ne₧ vytvß°et u₧ivatele jednotliv∞ je hromadn∞ p°evzφt u₧ivatelskß jmΘna z tΘto domΘny. Tuto akci lze provΘst na ╪φdicφ konzoli serveru na strßnce SystΘmovΘ objekty / P°evzetφ domΘnov²ch u₧ivatel∙ a je t°eba k tomu znßt jmΘno controlleru domΘny. Shodu jmen u₧ivatel∙ v domΘn∞ a v databßzi lze pak vyu₧φt ke snadn∞jÜφmu p°ihlaÜovßnφ se.
┌daje blφ₧e popisujφcφ u₧ivatele (jmΘno, p°φjmenφ atd.) se dajφ nastavit p°i vytvß°enφ novΘho u₧ivatele a pozd∞ji si je m∙₧e upravit vytvo°en² u₧ivatel sßm. Nikdo jin² (s v²jimkou p°φpadnΘho datovΘho sprßvce) k nim nemß prßvo p°episu.
Tyto ·daje se p°enesou do ₧ßdosti o certifikßt a objevφ se v certifikßtu u₧ivatele a v digitßlnφch podpisech.
Kdy₧ se klient p°ihlaÜuje na server pod urΦit²m u₧ivatelsk²m jmΘnem, server musφ ov∞°it jeho identitu. M∙₧e tak uΦinit dv∞ma cestami:
Äßdn² sprßvce databßze nem∙₧e zjistit cizφ heslo. Otßzkßm bezpeΦnosti databßze v souvislosti s p°ihlaÜovßnφm u₧ivatel∙ se v∞nuje takΘ strßnka ZabezpeΦenφ databßze proti ·tok∙m.
Sprßva hesel ve 602SQL se opφrß o metodu one-time-password z RFC1938. Jejφ vlastnosti lze shrnout takto:
Nev²hodou tΘto metody je, ₧e heslo lze pou₧φt pouze omezen² poΦet krßt - °ßdov∞ tisφce krßt. Po vyΦerpßnφ tohoto poΦtu si 602SQL server p°i p°ihlaÜovßnφ u₧ivatele vynutφ zadßnφ novΘho hesla.
Existuje t°φda aplikacφ, jim₧ by povinnost periodicky m∞nit heslo p°inesla znaΦnΘ komplikace. Jednß se zejmΘna o neinteraktivnφ klienty 602SQL, nap°. CGI nebo PHP klienta. Pro tyto p°φpady lze pou₧φt trvale platnß hesla.
Trvale platnß hesla majφ vÜechna u₧ivatelskß jmΘna zaΦφnajφcφ znakem _ (podtr₧φtko). Nap°φklad n∞kte°φ internetovφ klienti pou₧φvajφ u₧ivatelskΘ jmΘno __WEB.
P°i volb∞ bezpeΦnostφ politiky databßze m∙₧e bezpeΦnostnφ sprßvce rozhodnout, ₧e vÜechna hesla budou trvale platnß. Toto nastavenφ se provßdφ na ╪φdicφ konzoli serveru na strßnce bezpeΦnostnφch parametr∙.
BezpeΦnostnφ sprßvce m∙₧e urΦit domΘnu, kterΘ d∙v∞°uje do tΘ mφry, ₧e p°ihlßÜenφ do nφ bude pova₧ovat za dostateΦnΘ oprßvn∞nφ pro p°ihlßÜenφ na SQL server. JmΘno takovΘ domΘny je t°eba zadat na ╪φdicφ konzoli serveru na strßnce Parametry / Identifikace a bezpeΦnost.
JmΘno, pod kter²m je u₧ivatel p°ihlßÜen do domΘny, musφ b²t stejnΘ jako u₧ivatelskΘ jmΘno v databßzi. Je proto v²hodnΘ vytvo°it u₧ivatelskΘ ·Φty v databßzi p°evzetφm jmen z domΘny.
Provoznφ nebo bezpeΦnostnφ sprßvce m∙₧e pozastavit platnost u₧ivatelskΘho ·Φtu - p°ihlßÜenφ k tomuto ·Φtu je pak znemo₧n∞no do doby, ne₧ je platnost ·Φtu obnovena. Pozastavovßnφ a obnovovßnφ platnosti ·Φt∙ se provßdφ na °φdicφm panelu V²vojovΘho prost°edφ 602SQL.
ZvlßÜtnφm p°φpadem je povolenφ nebo zakßzßnφ anonymnφho p°ihlßÜenφ, tedy p°φstupu bez jmΘna a hesla. O tom rozhoduje pouze bezpeΦnostnφ sprßvce. Tuto vlastnost lze nastavit takΘ na ╪φdicφ konzoli serveru na strßnce Parametry / Identifikace a bezpeΦnost.
Pokud u₧ivatel svΘ heslo zapomene, neexistuje zp∙sob, jak jej zjistit. V takovΘ situaci u₧ivatel m∙₧e pouze po₧ßdat bezpeΦnostnφho sprßvce, aby mu nastavil novΘ heslo. ╪eÜenφm nenφ zruÜit u₧ivatelsk² ·Φet a zalo₧it jej znovu, proto₧e tφm by u₧ivatel p°iÜel o vÜechna prßva.
Ka₧d² u₧ivatel m∙₧e zm∞nit vlastnφ heslo. Pouze bezpeΦnostnφ sprßvce m∙₧e m∞nit hesla jin²ch u₧ivatel∙. Zm∞nu hesla provßdφ funkce Set_password.
| Prßva a jejich subjekty | Skupiny uživatel∙ a jejich sprßva | |