В СУБД Tibero реализованы две модели контроля за действиями привилегированных пользователей.
1. Стандартное существование аккаунта SYS, который обладает всем набором прав и из которого, конечно, можно раздавать права другим администраторским аккаунтам. Но при этом пользователь SYS принципиально существует в БД (и может быть скомпрометирован) а его использование может быть ограничено только административными методами (например, когда каждый из двух администраторов знает только половину пароля). Впрочем, большинство пользователей СУБД административными методами не заморачиваются.
2. Концепция разделения обязанностей (Separation of duties). В этом, случае разделение прав реализовано на уровне СУБД Tibero. Аккаунт SYS заблокирован (без возможности разблокировки), зато есть аккаунты Администратора БД (SYSADM), Администратора Безопасности (SYSSEC) и Аудитора (SYSAUD).
- Пользователь с правами SYSADM администрирует объекты в Базе Данных, управляет резервными копиями и выдаёт базовый набор прав на доступ (access permission) и на использование ресурсов (resource usage permission).
- Пользователь с правами SYSSEC может управляет настройками безопасности и занимается раздачей прав и ролей.
- Пользователь с правами SYSAUD имеет доступ к журналам аудита базы данных. (DBA_AUDIT_TRAIL).
Выбор модели контроля осуществляется при создании БД и не может быть изменён.
Подробнее можно прочитать в документации, в "Tibero_6_Administrator's_Guide" версии 2.1.4 или старше.
 |
| "Tibero 6 Administrator's Guide" |
Комментариев нет:
Отправить комментарий