如何设置PDB容器数据库中限制本地Common与Local用户权限的方法?

2026-04-30 14:062阅读0评论SEO基础
  • 内容介绍
  • 相关推荐

本文共计1067个文字,预计阅读时间需要5分钟。

如何设置PDB容器数据库中限制本地Common与Local用户权限的方法?

相关专题

Common 用户在 PDB 中为什么不能被删除或禁用

common 用户(如 c##admin)是在 cdb 根容器中创建、以 c## 或其他指定前缀开头、且带有 container=all 的用户。它们自动存在于所有 pdb 中,但**无法在 pdb 级别单独删除、锁定或修改密码**——任何这类操作都会报错 ora-65048: error encountered when processing the current ddl statement in pluggable database

真正能控制其行为的只有 CDB$ROOT 中的 DROP USERALTER USER ... ACCOUNT LOCK,而且必须加 CONTAINER=ALL 才生效。

  • 在 PDB 中执行 ALTER USER c##foo ACCOUNT LOCK → 报 ORA-65048
  • 在 CDB$ROOT 中执行 ALTER USER c##foo ACCOUNT LOCK CONTAINER=ALL → 成功,所有 PDB 中该用户均被锁
  • 想让某个 PDB “看不见” Common 用户?做不到。它始终存在,只是权限受限

Local 用户在 PDB 中如何创建与权限隔离

Local 用户只存在于当前 PDB,名字不能带 C## 前缀,在 CDB$ROOT 中查不到,也完全不受 CDB 级策略影响。这是实现“PDB 级账号隔离”的实际手段。

创建时务必显式指定 CONTAINER=CURRENT(虽然默认就是,但写明更防误):

CREATE USER app_user IDENTIFIED BY pwd123 CONTAINER=CURRENT;

接着只授予该 PDB 内需要的权限,例如:

  • GRANT CREATE SESSION, CREATE TABLE TO app_user;
  • 避免 GRANT DBA TO app_user —— 这会让 Local 用户意外获得跨容器能力(如果 DBA 角色含 SET CONTAINER 权限)
  • 检查角色是否含 INHERIT PRIVILEGES ON USER,否则 Local 用户可能通过被授权者间接访问其他 PDB 对象

限制 Common 用户在特定 PDB 中的权限:靠角色 + 条件性授权

不能删、不能锁(除非全局锁),那怎么限制它在某个 PDB 里“干不了事”?答案是:不给权限,且确保它没被隐式授予高危角色。

Common 用户默认只有 CREATE SESSION,但若 DBA 曾在 CDB$ROOT 中执行过类似 GRANT CONNECT TO c##foo CONTAINER=ALL,那它在所有 PDB 都有 CONNECT 角色——而该角色在 12.2+ 默认含 CREATE VIEWCREATE SYNONYM 等。

  • 查清它在当前 PDB 实际有哪些权限:SELECT * FROM SESSION_PRIVS;SELECT * FROM ROLE_ROLE_PRIVS WHERE ROLE='CONNECT';
  • 若不需要,可在 CDB$ROOT 中回收:REVOKE CONNECT FROM c##foo CONTAINER=ALL;
  • 不要依赖 PDB 中的 REVOKE —— 会报 ORA-65048
  • 特别注意:GRANT UNLIMITED TABLESPACE TO c##foo CONTAINER=ALL 会让它在每个 PDB 都能无节制建对象,务必按需收回

PDB 级密码策略与账户状态:Common 用户不适用

PDB 可以设置自己的密码复杂度策略(SEC_CASE_SENSITIVE_LOGONPASSWORD_VERIFY_FUNCTION 等),但这些**对 Common 用户无效**。它的密码规则、过期时间、失败登录锁定等,全部由 CDB$ROOT 的 PROFILE 控制。

比如你在 PDB 中执行:

ALTER PROFILE default LIMIT FAILED_LOGIN_ATTEMPTS 3;

这个限制只作用于 Local 用户;C##ADMIN 的失败次数仍走 CDB$ROOT 的 profile 设置。

  • 查 Common 用户用哪个 profile:SELECT username, profile FROM dba_users WHERE username LIKE 'C##%'; → 看到的是 CDB$ROOT 中定义的 profile 名
  • 改 profile 必须在 CDB$ROOT 中做,且加 CONTAINER=ALL 才同步到所有 PDB
  • Local 用户可以用 PDB 自己的 profile,且可独立设 ALTER PROFILE pdb_profile ...;

CDB 和 PDB 的用户模型不是“父子继承”,而是“全局声明 + 局部不可见修改”。Common 用户的管控点永远在 CDB$ROOT,任何想在 PDB 里“单独处理”它的尝试,基本都会撞上 ORA-65048。真正可控的,只有 Local 用户的生命周期和权限粒度。

相关推荐

134849文心一言5.1预览版在LMSYS竞技场表现如何,全球排名多少?134850Python中__init__.py文件是用于初始化模块的,如何理解其作用?134855Python中Tuple的起源及其设计理念是怎样的?134856小红书新任总裁柯南领衔,AI部门成立背后的组织大调整有何新动向?134859Python如何检测变量的数据类型及结构格式?134863如何通过SEO优化技巧全面提升延平区的网络曝光度?134864如何使用Python进行文件读写操作及识别不同文件的打开模式?134865如何用Canva AI教程快速制作小红书热门封面?134867人民日报AIGC春节片《这就是春节》海外播放量超亿,有何独特魅力?134868文心一言4.5版各型号定价及与3.5版费用差异如何?134869如何用VScode详细步骤创建Django项目工程?134881Python列表有哪些常用的排序方法?134885Python中如何详细解析返回函数实例的函数式编程技巧?134896如何将Python转换WRF输出数据为网页可视化的JSON格式?134900Python如何使用matplotlib进行详细的数据可视化分析?134901Emby插件功能无限,融合新境界,能开启怎样的长尾体验新境界呢?

本文共计1067个文字,预计阅读时间需要5分钟。

如何设置PDB容器数据库中限制本地Common与Local用户权限的方法?

相关专题

Common 用户在 PDB 中为什么不能被删除或禁用

common 用户(如 c##admin)是在 cdb 根容器中创建、以 c## 或其他指定前缀开头、且带有 container=all 的用户。它们自动存在于所有 pdb 中,但**无法在 pdb 级别单独删除、锁定或修改密码**——任何这类操作都会报错 ora-65048: error encountered when processing the current ddl statement in pluggable database

真正能控制其行为的只有 CDB$ROOT 中的 DROP USERALTER USER ... ACCOUNT LOCK,而且必须加 CONTAINER=ALL 才生效。

  • 在 PDB 中执行 ALTER USER c##foo ACCOUNT LOCK → 报 ORA-65048
  • 在 CDB$ROOT 中执行 ALTER USER c##foo ACCOUNT LOCK CONTAINER=ALL → 成功,所有 PDB 中该用户均被锁
  • 想让某个 PDB “看不见” Common 用户?做不到。它始终存在,只是权限受限

Local 用户在 PDB 中如何创建与权限隔离

Local 用户只存在于当前 PDB,名字不能带 C## 前缀,在 CDB$ROOT 中查不到,也完全不受 CDB 级策略影响。这是实现“PDB 级账号隔离”的实际手段。

创建时务必显式指定 CONTAINER=CURRENT(虽然默认就是,但写明更防误):

CREATE USER app_user IDENTIFIED BY pwd123 CONTAINER=CURRENT;

接着只授予该 PDB 内需要的权限,例如:

  • GRANT CREATE SESSION, CREATE TABLE TO app_user;
  • 避免 GRANT DBA TO app_user —— 这会让 Local 用户意外获得跨容器能力(如果 DBA 角色含 SET CONTAINER 权限)
  • 检查角色是否含 INHERIT PRIVILEGES ON USER,否则 Local 用户可能通过被授权者间接访问其他 PDB 对象

限制 Common 用户在特定 PDB 中的权限:靠角色 + 条件性授权

不能删、不能锁(除非全局锁),那怎么限制它在某个 PDB 里“干不了事”?答案是:不给权限,且确保它没被隐式授予高危角色。

Common 用户默认只有 CREATE SESSION,但若 DBA 曾在 CDB$ROOT 中执行过类似 GRANT CONNECT TO c##foo CONTAINER=ALL,那它在所有 PDB 都有 CONNECT 角色——而该角色在 12.2+ 默认含 CREATE VIEWCREATE SYNONYM 等。

  • 查清它在当前 PDB 实际有哪些权限:SELECT * FROM SESSION_PRIVS;SELECT * FROM ROLE_ROLE_PRIVS WHERE ROLE='CONNECT';
  • 若不需要,可在 CDB$ROOT 中回收:REVOKE CONNECT FROM c##foo CONTAINER=ALL;
  • 不要依赖 PDB 中的 REVOKE —— 会报 ORA-65048
  • 特别注意:GRANT UNLIMITED TABLESPACE TO c##foo CONTAINER=ALL 会让它在每个 PDB 都能无节制建对象,务必按需收回

PDB 级密码策略与账户状态:Common 用户不适用

PDB 可以设置自己的密码复杂度策略(SEC_CASE_SENSITIVE_LOGONPASSWORD_VERIFY_FUNCTION 等),但这些**对 Common 用户无效**。它的密码规则、过期时间、失败登录锁定等,全部由 CDB$ROOT 的 PROFILE 控制。

比如你在 PDB 中执行:

ALTER PROFILE default LIMIT FAILED_LOGIN_ATTEMPTS 3;

这个限制只作用于 Local 用户;C##ADMIN 的失败次数仍走 CDB$ROOT 的 profile 设置。

  • 查 Common 用户用哪个 profile:SELECT username, profile FROM dba_users WHERE username LIKE 'C##%'; → 看到的是 CDB$ROOT 中定义的 profile 名
  • 改 profile 必须在 CDB$ROOT 中做,且加 CONTAINER=ALL 才同步到所有 PDB
  • Local 用户可以用 PDB 自己的 profile,且可独立设 ALTER PROFILE pdb_profile ...;

CDB 和 PDB 的用户模型不是“父子继承”,而是“全局声明 + 局部不可见修改”。Common 用户的管控点永远在 CDB$ROOT,任何想在 PDB 里“单独处理”它的尝试,基本都会撞上 ORA-65048。真正可控的,只有 Local 用户的生命周期和权限粒度。