Oracle Secure Backup管理員指南 第2章 管理用戶和類

作者: 不剪發(fā)的Tony老師
畢業(yè)于北京航空航天大學(xué),十多年數(shù)據(jù)庫管理與開發(fā)經(jīng)驗,目前在一家全球性的金融公司從事數(shù)據(jù)庫架構(gòu)設(shè)計。CSDN學(xué)院簽約講師以及GitChat專欄作者。csdn上的博客收藏于以下地址:https://tonydong.blog.csdn.net

2.1 理解用戶與類

Oracle安全備份用戶是一個管理域范圍內(nèi)的標識,與用戶名相關(guān)聯(lián)。類是一個賦予用戶的命名權(quán)限集合。
2.1.1 Oracle安全備份用戶與口令

Oracle安全備份在管理服務(wù)器上存儲關(guān)于用戶與權(quán)限的信息,允許Oracle安全備份在管理域中維護一份一致的用戶標識。

Oracle安全備份管理域中的每個用戶擁有存儲在管理服務(wù)上的一個賬戶和一個加密的口令。操作系統(tǒng)用戶可以在Oracle安全備份Web工具或者obtool中輸入他或她的Oracle安全備份用戶名和口令??蛻舳顺绦蛲ㄟ^一個加密的SSL連接將口令發(fā)送到管理服務(wù)器以進行主機認證。
2.1.1.1 操作系統(tǒng)賬戶

Oracle安全備份用戶的命名空間與已有的UNIX、Linux以及Windows用戶的命名空間不同。因此,如果使用操作系統(tǒng)用戶johndoe登錄主機,并且管理域中的一個Oracle安全備份用戶名也為johndoe,那么這些賬戶將會分別管理,即使名稱相同。

創(chuàng)建一個Oracle安全備份用戶時,可以將它與Linux、UNIX以及Windows賬戶進行關(guān)聯(lián)。可以使用這些賬戶之一執(zhí)行非root特權(quán)的備份操作,即非特權(quán)份操作。相反,特權(quán)備份與還原操作使用Linux和UNIX的root權(quán)限或者Windows的本地系統(tǒng)權(quán)限在客戶端上運行。

假設(shè)創(chuàng)建了Oracle安全備份用戶jdoe并將其與UNIX賬戶x_usr以及Windows賬戶w_usr關(guān)聯(lián)。當(dāng)jdoe使用backup --unprivileged命令備份客戶端時,該作業(yè)使用與jdoe關(guān)聯(lián)的操作系統(tǒng)賬戶運行。因此,jdoe只能備份UNIX客戶端上x_usr可以訪問的文件以及Windows客戶端上w_usr可以訪問的文件。

如果擁有modify administrative domain's configuration權(quán)限,可以配置Oracle安全備份用戶的預(yù)授權(quán)屬性??梢灶A(yù)先授予操作系統(tǒng)用戶執(zhí)行RMAN備份或者登錄Oracle安全備份命令行工具的權(quán)限。例如,可以預(yù)先授予UNIX用戶x_usr作為Oracle安全備份用戶jdoe登錄obtool的權(quán)限。
2.1.1.2 NDMP主機

創(chuàng)建一個Oracle安全備份用戶賬戶時,可以配置用戶到NDMP主機的訪問。NDMP主機是一種設(shè)置,例如本地不運行NDMP的網(wǎng)絡(luò)數(shù)據(jù)設(shè)備(filer)。NDMP主機的口令與主機而不是用戶關(guān)聯(lián)??梢耘渲弥鳈C使用默認的NDMP口令、用戶定義的文本口令或者空口令。還可以配置口令認證方法,例如文本或者MD5加密。
2.1.1.3 關(guān)于用戶配置

在管理服務(wù)器上運行installob時,Oracle安全備份默認創(chuàng)建admin用戶。除非選擇創(chuàng)建用于備份和恢復(fù)Oracle數(shù)據(jù)庫的oracle用戶,管理域中不存在其他用戶。

安裝后,可以創(chuàng)建更多的用戶或者管理用戶的屬性。以下是一些尤其重要的用戶屬性:

    預(yù)授權(quán) 可以預(yù)先授予操作系統(tǒng)用戶登錄Oracle安全備份命令行工具的權(quán)限。必須預(yù)授權(quán)一個操作系統(tǒng)用戶通過RMAN執(zhí)行Oracle數(shù)據(jù)庫SBT備份。一個操作系統(tǒng)用戶的預(yù)授權(quán)與一個特定Oracle安全備份用戶關(guān)聯(lián)。例如,允許Linux用戶johndoe作為Oracle安全備份用戶backup_admin登錄obtool。同時還可以預(yù)先授予johndoe作為backup_admin運行RMAN的權(quán)限。
    用于非特權(quán)備份的操作系統(tǒng)賬戶 非特權(quán)備份是客戶端上非UNIX與Linux的root用戶或者Windows的管理員組成員運行的文件系統(tǒng)備份。必須指定非特權(quán)備份使用的操作系統(tǒng)賬戶。

Oracle建議使用以下步驟創(chuàng)建和管理Oracle安全備份用戶:

    按需添加Oracle安全備份用戶。
    按需修改admin的口令。
    檢查每個用戶的屬性。
    按需配置預(yù)授權(quán)和非特權(quán)備份的賬戶設(shè)置。

2.1.2 Oracle安全備份類與權(quán)限

類(class)定義了一組授予Oracle安全備份用戶的權(quán)限。類與Linux或者UNIX組相似,但是它定義了滿足Oracle安全備份需要的更細粒度訪問權(quán)限。

如圖2-1所示,可以為多個用戶分配一個類,每個用戶只能是一個類的成員。

圖2-1 類與權(quán)限


 

以下是Oracle安全備份關(guān)鍵的用戶類:

 

    admin 該類用于管理域的全面管理。admin類擁有修改管理域配置和執(zhí)行備份與還原操作所需的全部權(quán)限。
    operator 該類用于標準的日常操作。operator類缺少配置權(quán)限,但是擁有備份和還原操作所需的全部權(quán)限。它還允許用戶查詢與控制主要和輔助存儲設(shè)備的狀態(tài)。
    oracle 該類與operator類相似。oracle類擁有修改Oracle數(shù)據(jù)庫配置以及執(zhí)行Oracle數(shù)據(jù)庫備份所需的全部權(quán)限。該類的成員通常是映射為安裝Oracle數(shù)據(jù)庫的操作系統(tǒng)賬戶的Oracle安全備份用戶。
    user 該類的成員能夠與管理域進行有限的交互。該類用于需要瀏覽備份目錄中自身數(shù)據(jù)以及執(zhí)行基于用戶的還原操作的Oracle安全備份用戶。
    reader 該類只允許用戶修改自身賬戶的姓名和口令,以及瀏覽自身的備份目錄。reader類中的用戶必須知道準確的還原路徑,因為他們不能查看管理域中的主機列表。創(chuàng)建reader類中的用戶時,必須將該用戶映射為一個有效的操作系統(tǒng)用戶和組。
    monitor 該類只允許用戶訪問Oracle數(shù)據(jù)庫備份、文件系統(tǒng)備份,顯示管理域配置、列出所有作業(yè),以及顯示設(shè)備信息。該類中的用戶不能執(zhí)行備份或者還原操作,修改管理域,或者接收電子郵件通知。在Oracle EM中注冊的Oracle安全備份目標的OSB username參數(shù)中需要一個monitor類中的用戶。

2.2 配置預(yù)設(shè)值與策略

預(yù)設(shè)值與策略是控制管理域中的Oracle安全備份操作如何執(zhí)行的配置設(shè)置。預(yù)設(shè)值與策略按照控制的功能范圍被分為多個類別。默認的策略通過能夠滿足保護數(shù)據(jù)和網(wǎng)絡(luò)安全的要求。但是如果有特殊的需求、環(huán)境或者備份策略,應(yīng)該查看默認值并進行必要的修改。

不要混淆了策略類與用戶類,前者僅僅是為了組織方便。

可以查看與修改的策略類包括:

    備份加密策略。該策略類控制磁帶備份的加密。例如,可以指定是否強制加密備份、密鑰長度以及密鑰管理。
    設(shè)備策略。該策略類控制在設(shè)備搜索時如何自動檢測設(shè)備。它同時還控制何時產(chǎn)生磁帶設(shè)備寫入警告。
    介質(zhì)策略。該策略類控制管理域范圍內(nèi)的介質(zhì)管理。例如,可以選擇磁帶是否需要條形碼標簽,以及設(shè)置默認介質(zhì)簇中的帶卷的保留期和寫入窗口。
    NDMP策略。這些策略控制使用NDMP訪問模式的主機的設(shè)值。例如,可以配置備份環(huán)境變量或者指定認證用戶的名稱。
    操作策略。該策略類控制備份與還原操作的各個方面。例如,可以設(shè)置調(diào)度隊列中的RMAN備份作業(yè)等待資源可用的時間。
    調(diào)度器策略。該策略類控制調(diào)度器的行為。例如,可以指定調(diào)度器分派備份作業(yè)的頻率。
    安全策略。該策略類控制管理域的安全。例如,可以使用SSL加密傳輸中的備份數(shù)據(jù),或者設(shè)置主機身份認證密鑰長度。
    Vaulting策略。該策略類控制介質(zhì)管理,它包括autovolumerelease策略、每個三方存儲位置的客戶ID、最小可寫帶卷數(shù)以及報告保留時間。參見“第9章 Vaulting”。
    帶卷復(fù)制策略。該策略類控制帶卷復(fù)制的方式。

2.2.1 查看配置的預(yù)設(shè)值與策略

在配置頁面的高級部分,點擊Defaults and Policies鏈接,如圖2-2所示。該頁面列出了策略類。

圖2-2 預(yù)設(shè)值與策略頁面

2.2.2 設(shè)置策略

修改策略設(shè)置之前,閱讀“Oracle安全備份參考”。該參考包含了關(guān)于策略與描述有效設(shè)置的詳細說明。通常不需要修改默認設(shè)置。

執(zhí)行以下步驟修改策略設(shè)置:

    在預(yù)設(shè)值與策略頁面的Policy列點擊策略名。例如,點擊Scheduler。出現(xiàn)policy_name頁面,圖2-3顯示了修改之前的調(diào)度器頁面。
    修改一個或者多個策略的設(shè)置。
    執(zhí)行以下操作之一:點擊Apply保存修改并留在當(dāng)前頁面;點擊OK保存修改并返回預(yù)設(shè)值與默認頁面。

圖2-3 未修改的調(diào)度器頁面


修改策略設(shè)置的默認值后,在重置為默認值列中顯示策略的默認值。圖2-4顯示了備份頻率從默認的5分鐘修改為6分鐘后的調(diào)度器策略頁面。

圖2-4 修改后的調(diào)度器頁面

2.2.3 重置策略

執(zhí)行以下步驟重置策略的默認值:

    在預(yù)設(shè)值與策略頁面的Policy列點擊策略名。
    選擇要重置策略的Reset to Default Value列。
    點擊Apply或者OK。

2.3 配置用戶

Oracle安全備份用戶在他們自己的命名空間中進行管理,與操作系統(tǒng)用戶的命令空間不同。本節(jié)描述如何使用Web工具創(chuàng)建和管理Oracle安全備份用戶。
2.3.1 顯示用戶頁面

在配置頁面,點擊Users鏈接顯示用戶頁面,如圖2-5所示。該頁面顯示了Oracle安全備份認證的所有用戶和他們的類名以及電子郵箱地址??梢詮脑擁撁婊蛘咴擁撁嫔系逆溄訄?zhí)行所有的用戶配置任務(wù)。

圖2-5 用戶頁面


2.3.2 添加用戶

每個Oracle安全備份用戶屬于且只屬于一個類,該類定義了用戶擁有的權(quán)限。執(zhí)行以下操作添加用戶:

    執(zhí)行“2.3.1 顯示用戶頁面”中的步驟,顯示配置:用戶頁面。
    點擊Add,出現(xiàn)配置:用戶 > 新建用戶頁面。
    在User項中輸入用戶名,用戶名必須以字母數(shù)字開頭,只能包含字母、數(shù)字、破折號、下劃線或者點號,最大長度為31個字符。類名必須唯一,它與計算環(huán)境或者管理域中的任何其他名稱都無關(guān)。實際上,選擇一個與操作系統(tǒng)用戶名相同的Oracle安全備份用戶名有助于管理。
    在Password項輸入口令,口令用于登錄到Oracle安全備份,最大長度為16個字符。
    在User class列表中選擇一個類。
    在Given Name項中輸入一個姓名,該步驟可選,姓名僅供參閱。
    在UNIX name項輸入一個UNIX用戶名,該用戶名用于該Oracle安全備份用戶在UNIX系統(tǒng)上執(zhí)行非特權(quán)作業(yè)時的標識。該選項可空。
    在UNIX group項中輸入一個UNIX組名,該組名用于該Oracle安全備份用戶在UNIX系統(tǒng)上執(zhí)行非特權(quán)作業(yè)時的標識。該選項可空。
    在NDMP server user列表中選擇yes,以請求管理域中的NDMP服務(wù)器接受該用戶使用上面的用戶名和口令進行登錄。通常的Oracle安全備份操作不需要該選項,因此通常設(shè)置為no。
    在Email Address項中輸入電子郵箱地址,當(dāng)Oracle安全備份與該用戶通信時,例如發(fā)送作業(yè)匯報或者通知用戶存在等待的輸入請求,它將發(fā)生電子郵件到該地址。
    點擊Apply、OK或者Cancel。
    如果配置的用戶需要從Windows客戶端請求備份與還原操作,參見“2.3.5 設(shè)定Windows賬戶信息”。

2.3.3 編輯或者顯示用戶屬性

要修改Oracle安全備份用戶,必須擁有相應(yīng)的權(quán)限,參見“2.1.2 Oracle安全備份類與權(quán)限”。執(zhí)行以下操作編輯用戶屬性:

    執(zhí)行“2.3.1 顯示用戶頁面”中的步驟,顯示配置:用戶頁面。
    從User Name列表中選擇要修改的用戶。
    點擊Edit,出現(xiàn)配置:用戶 > user_name頁面。
    進行一些修改,不能從該頁面重命名用戶。要重命名用戶,參見“2.3.7 重命名用戶”。
    點擊Apply應(yīng)用修改并保留在配置:用戶 > user_name頁面。
    點擊OK應(yīng)用修改并返回配置:用戶頁面。
    點擊Cancel不應(yīng)用任何修改返回配置:用戶頁面。
    如果配置的用戶需要從Windows客戶端請求備份與還原操作,參見“2.3.5 設(shè)定Windows賬戶信息”。

2.3.4 修改用戶口令

執(zhí)行以下操作修改用戶口令:

    執(zhí)行“2.3.1 顯示用戶頁面”中的步驟,顯示配置:用戶頁面。
    從User Name列表中選擇要修改的用戶。
    點擊Change Password,出現(xiàn)配置:用戶 > user_name頁面。
    輸入口令。
    確認口令。
    點擊OK或者Cancel。

2.3.5 設(shè)定Windows賬戶信息

本節(jié)說明如何為Oracle安全備份用戶配置WIndows賬戶信息,該用戶需要在Windows系統(tǒng)上提交備份與還原操作??梢詫⒁粋€Oracle安全備份用戶與Windows域的多個用戶或者應(yīng)用于所有Windows域的單個用戶進行關(guān)聯(lián)。

執(zhí)行以下操作為Oracle安全備份用戶指定Windows賬戶信息:

    執(zhí)行“2.3.1 顯示用戶頁面”中的步驟,顯示配置:用戶頁面。
    在User Name列表中選擇一個用戶。
    點擊Edit,出現(xiàn)配置:用戶 > user_name頁面。
    點擊Windows Domains,出現(xiàn)配置:用戶 > user_name Windows域頁面。
    在Domain name項輸入一個Windows域名稱,輸入一個星號(*)將該用戶與所有的Windows域進行關(guān)聯(lián)。
    在Username和Password項輸入一個Windows用戶的賬戶信息。
    點擊Add添加,頁面顯示一條成功信息,并且賬戶信息出現(xiàn)在Domain:Username列表中。

2.3.5.1 刪除Windows賬戶

執(zhí)行以下操作刪除Windows賬戶:

    進入Windows域頁面,在Domain:Username列表中選擇一個Windows賬戶。
    點擊Remove,配置:用戶 > user_name Windows域頁面顯示一條成功刪除信息。

2.3.6 設(shè)定預(yù)授權(quán)訪問

本節(jié)說明如何運行一個指定操作系統(tǒng)用戶訪問Oracle安全備份服務(wù)與數(shù)據(jù)??梢灶A(yù)先授予通過RMAN訪問Oracle數(shù)據(jù)庫SBT備份或者登錄用戶調(diào)用的命令行工具的權(quán)限。

Oracle安全備份只預(yù)先授予特定主機上的特定操作系統(tǒng)用戶訪問的權(quán)限。對于管理域中的每個主機,可以定義一個或者多個操作系統(tǒng)用戶與Oracle安全備份用戶之間的一對一映射。

創(chuàng)建預(yù)授權(quán)需要擁有modify administrative domain's configuration權(quán)限。通常只有admin類中的用戶擁有該權(quán)限。

執(zhí)行以下步驟指定預(yù)授權(quán)訪問:

    執(zhí)行“2.3.1 顯示用戶頁面”中的步驟,顯示配置:用戶頁面。
    在User Name列表中選擇一個用戶。
    點擊Edit,出現(xiàn)配置:用戶 > user_name頁面。
    點擊Perauthorized Access,出現(xiàn)配置:用戶 > user_name 預(yù)授權(quán)訪問頁面。
    在Hosts列表中,選擇all hosts或者主機名。
    在OS username項輸入操作系統(tǒng)用戶賬戶,輸入星號(*)或者空白指定所有的操作系統(tǒng)用戶。
    在Windows項輸入Windows域,Windows域只適用于從一個Windows主機登錄的預(yù)授權(quán),輸入星號(*)或者空白指定所有的域。如果在OS username項輸入了一個Windows賬戶,必須在此處輸入星號、空白或者一個指定域。
    在Attributes列表中,選擇cmdline、rman或者兩者,使用shift進行多選。cmdline屬性授予登錄命令行工具的權(quán)限,例如obtool。rman屬性授予通過RMAN執(zhí)行SBT備份的權(quán)限。
    點擊Add,頁面顯示一條成功信息,并且預(yù)授權(quán)的Oracle安全備份用戶出現(xiàn)在列表中。

2.3.6.1 刪除預(yù)授權(quán)訪問

刪除預(yù)授權(quán)需要擁有modify administrative domain's configuration權(quán)限。通常只有admin類中的用戶擁有該權(quán)限。

執(zhí)行以下操作刪除預(yù)授權(quán)訪問:

    進入配置:用戶 > user_name 預(yù)授權(quán)訪問頁面,在主文本窗口中選擇要刪除的預(yù)授權(quán)訪問條目。
    點擊Remove,該預(yù)授權(quán)訪問條目不再顯示在主文本窗口中。

2.3.7 重命名用戶

重命名用戶需要擁有modify administrative domain's configuration權(quán)限。

執(zhí)行以下操作重命名用戶:

    執(zhí)行“2.3.1 顯示用戶頁面”中的步驟,顯示配置:用戶頁面。
    在User Name列表中選擇要修改名稱的用戶。
    點擊Rename,出現(xiàn)另一個頁面。
    在Rename user_name to項中輸入新的名稱并點擊Yes,配置:用戶頁面顯示一條成功信息,并且該用戶在User Name 列表中擁有一個新的名稱。

2.3.8 刪除用戶

刪除用戶需要擁有modify administrative domain's configuration權(quán)限。

執(zhí)行以下操作刪除用戶:

    執(zhí)行“2.3.1 顯示用戶頁面”中的步驟,顯示配置:用戶頁面。
    在User Name列表中選擇要刪除的用戶。
    點擊Remove,出現(xiàn)一個確認頁面。
    點擊Yes刪除該用戶,自動返回配置:用戶頁面,顯示一條刪除成功的信息。

2.4 配置類

類定義了授予用戶的一組權(quán)限。一個類可以包含多個Oracle安全備份用戶,但是每個用戶屬于并且只屬于一個類。大多數(shù)情況下,默認的類已經(jīng)足夠。
2.4.1 顯示類頁面

在配置頁面的高級部分,點擊Classes鏈接顯示配置:類頁面,如圖2-6所示??梢允褂迷擁撁婀芾硪延械念惢蛘吲渲酶嗟念?。

圖2-6 類頁面

2.4.2 添加類

Oracle安全備份在管理域首次初始化時創(chuàng)建默認的類。執(zhí)行以下操作添加一個類:

    執(zhí)行“2.4.1 顯示類頁面”中的步驟,顯示配置:類頁面。
    點擊Add,出現(xiàn)配置:類 > 新建類頁面。該頁面列出了類權(quán)限選項。
    在Class項中輸入一個類名稱。名稱必須以字母數(shù)字開頭,只能包含字母、數(shù)字、破折號、下劃線或者點號,最大長度為127個字符。類名必須唯一,它與計算環(huán)境或者管理域中的任何其他名稱都無關(guān)。
    選擇授予該類的權(quán)限。
    點擊Apply或者OK。配置:類頁面顯示一條成功信息,并且添加的類出現(xiàn)在列表中。

2.4.3 編輯或者顯示類屬性

為了修改已有的類,必須擁有modify administrative domain's configuration權(quán)限。修改用戶所屬的類或者類的權(quán)限時,更改從用戶退出當(dāng)前使用的Oracle安全備份組件后才生效。執(zhí)行以下操作編輯類:

    執(zhí)行“2.4.1 顯示類頁面”中的步驟,顯示配置:類頁面。
    在Class Name列表中選擇要編輯的類。
    點擊Edit,出現(xiàn)配置:類 > class_name頁面。
    進行一些修改。不能從該頁面重命名類。要重命名類,參見“2.4.5 重命名類”。
    點擊Apply應(yīng)用修改并保留在配置:類 > class_name頁面。
    點擊OK應(yīng)用修改并返回配置:類頁面。
    點擊Cancel不應(yīng)用任何修改返回配置:類頁面。

2.4.4 刪除類

不能刪除用戶當(dāng)前所屬的類。相反,必須重新分配或者刪除類當(dāng)前的所有成員才能刪除該類。執(zhí)行以下操作刪除類:

    執(zhí)行“2.4.1 顯示類頁面”中的步驟,顯示配置:類頁面。
    在Class Name列表中選擇要刪除的類。
    點擊Remove,顯示一個確認頁面。
    點擊Yes,配置:類頁面顯示一條成功信息,同時該類從類名列表中消失。

2.4.5 重命名類

重命名類必須擁有modify administrative domain's configuration權(quán)限。執(zhí)行以下操作重命名類:

    執(zhí)行“2.4.1 顯示類頁面”中的步驟,顯示配置:類頁面。
    在Class Name列表中選擇要重命名的類。
    點擊Rename,出現(xiàn)另一個頁面。
    在Rename class_name to輸入新的類名并點擊Yes,配置:類頁面顯示一條成功信息,該類以另一個名稱出現(xiàn)在類名列表中。