关于 Oracle Schema 级别的权限问题

最新推荐文章于 2025-05-26 07:01:23 发布
最新推荐文章于 2025-05-26 07:01:23 发布
阅读量2.7k 收藏 2
点赞数 1
CC 4.0 BY-SA版权
文章标签: oracle 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/JiekeXu/article/details/130979741

ea2c6e58ea5aac5385e883752cafbf02.gif

作者 | JiekeXu

来源 |公众号 JiekeXu DBA之路(ID: JiekeXu_IT)

如需转载请联系授权 | (个人微信 ID:JiekeXu_DBA)

大家好,我是 JiekeXu,很高兴又和大家见面了,今天和大家一起来看看关于 Oracle Schema 级别的权限问题,欢迎点击上方蓝字“JiekeXu DBA之路”关注我的公众号,标星或置顶,更多干货第一时间到达!

众所周知,在 Oracle 中,一般情况下 B 用户如果需要访问 A 用户下的表、视图、索引等对象,必须要加前缀即 A.object_name 才有权限访问。所以在生产环境中,一般也是 A 用户为业务用户,具有增删改查等业务相关的权限,B 用户一般给予查询 A 用户下表等对象的权限,所以我们可以加一层 Role 角色的权限(我们暂定为 R_SELECT_A),给 B 用户一个特定的角色 R_SELECT_A,然后定期定时通过脚本化的方式对这个角色授权。我们可以这么做:

创建业务用户和业务表空间,赋予相应的权限

Connected to:
Oracle Database 19c Enterprise Edition Release 19.0.0.0.0 - Production
Version 19.15.0.0.0


CREATE TABLESPACE A_DATA DATAFILE '+DATA' SIZE 30G UNIFORM SIZE 1M;
CREATE USER A  IDENTIFIED BY oracle 
DEFAULT TABLESPACE A_DATA  
QUOTA unlimited ON A_DATA
TEMPORARY TABLESPACE temp;


--授权
GRANT "CONNECT" TO "A";
GRANT "RESOURCE" TO "A";
GRANT "PLUSTRACE" TO "A";
GRANT DEBUG CONNECT SESSION TO "A";
GRANT CREATE SEQUENCE TO "A";
GRANT CREATE VIEW TO "A";
GRANT CREATE SYNONYM TO "A";

创建 B 用户及角色

create user B identified by oracle;
create role R_SELECT_A;
grant connect,R_SELECT_A to B;


--然后我们登录 A 用户,将 A 用户下的表对象只读权限给与角色 R_SELECT_A,
--将执行结果再次执行一遍。


SQL> select 'grant select on '||table_name||' to r_select_A;' 
from user_tables where rownum<=3;


'GRANTSELECTON'||TABLE_NAME||'TOR_SELECT_A;'
---------------------------------------------------------------------
grant select on DEPT to r_select_A;
grant select on EMP to r_select_A;
grant select on BONUS to r_select_A;

那么可能有人会问,对于已经存在的表可以这么做,但是如果有新增业务新增表,那么新增表是没有 R_SELECT_A 这个角色的,对于 B 用户而言也是查不到的。那么我们该怎么做呢?

解决办法

两个办法:第一个,如果业务部门有 A 用户使用权限,在建表时直接补一句 grant 授权,当然如果忘记或者事后则需登录 A 用户,可以直接将新增表的只读权限给角色 R_SELECT_A;

create T_NEWTABLE(id int,name varchar2(20));
grant select on T_NEWTABLE to R_SELECT_A;

对于新业务也有可能建表比较多,或者没有合理的开发规范约束,经常忘记给角色赋权,这样拥有 B 用户权限的人员就查不到了,那么就会来找 DBA,通常我们的做法则是统一赋权,对 A 用户下的所有表批量授权,或者通过定时任务来搞定。

vim grantToRole.sh


#!/bin/bash


if [ $# != 1 ] ; then
        echo "USAGE: $0 user_a|user_b|user_c|all"
        exit 1;
fi


task=$1
source /home/oracle/.bash_profile


#Write Logfile
time=`date +%Y%m%d%H%M%S`
basedir=/home/oracle/tmp
logfile=/home/oracle/tmp/grantToRole_${time}.log


#Write and Execute SQL Scripts
grantToRole()
{
echo "==============Start to execute batch sql at `date`================" >> ${logfile}
username=$1
password=$2
sqlplus -S /nolog >> ${logfile} << EOF
conn ${username}/${password}
spool ${basedir}/grantToRole_${username}_${time}.sql
set head off
set feedback off
set timing off
set verify off
set pagesize 0
set linesize 200
select 'grant select on '||table_name||' to r_select_${username};' from user_tables;
select 'grant select on '||sequence_name||' to r_select_${username};' from user_sequences;
select 'grant insert,delete,update on '||table_name||' to r_update_${username};' from user_tables;
spool off
@${basedir}/grantToRole_${username}_${time}.sql
EOF
echo "==============End up of executing batch sql at `date`===============" >> ${logfile}
}


############################################################
#             Main                                         #
############################################################


case "${task}" in


"user_a" )
grantToRole user_a passwd_oracle
;;


"user_b" )
grantToRole user_b passwd_oracle
;;


"user_c" )
grantToRole user_c passwd_oracle
;;


"all" )
grantToRole user_a passwd_oracle
grantToRole user_b passwd_oracle
grantToRole user_c passwd_oracle
;;
esac


-- rm -f ${basedir}/grantToRole_*.sql
-- crontab
-- 0 14 * * * /home/oracle/tmp/grantToRole.sh all

通过此脚本可以对单个用户或者所有用户赋权,注意我这里包括查询表及序列以及增删改的权限都有,可按照个人实际情况赋权。

在 Oracle 23c 中的解决办法

当然这样还是稍微有点麻烦,对于新增的表要再次单独授权,不是很方便,于是乎在上个月 Oracle 发布的 23c 中,有一个新特性就是 schema 级别授权,什么意思呢?就是你可以给 B 用户授予查询 A 用户 schema 级别的权限,不再需要单个表、单个对象得授权,对于 23c 的环境你 只需三步快速体验 Oracle 23c 开发版

grant select any table on schema USER_A to USER_B;
示例如下:

让我们一起来看看。

SQL*Plus: Release 23.0.0.0.0 - Developer-Release on Wed May 31 15:55:43 2023Version 23.2.0.0.0Copyright (c) 1982, 2023, Oracle. All rights reserved.Connected to:Oracle Database 23c Free, Release 23.0.0.0.0 - Developer-ReleaseVersion 23.2.0.0.0--创建业务用户并授权CREATE TABLESPACE JIEKEXU_DATA DATAFILE '/opt/oracle/oradata/FREE/FREEPDB1/jiekexu_data01.dbf' SIZE 5G UNIFORM SIZE 1M;CREATE USER jiekexu IDENTIFIED BY Oracle_21c DEFAULT TABLESPACE JIEKEXU_DATA QUOTA unlimited ON JIEKEXU_DATATEMPORARY TABLESPACE TEMP;GRANT "CONNECT","RESOURCE" to jiekexu;--创建查询用户,给予登录权限create user jiekexu_sel IDENTIFIED BY jiekexu_sel; grant create session to jiekexu_sel; set line 240 col profile for a20set pages 999 col username for a25 col ACCOUNT_STATUS for a18 select USERNAME,ACCOUNT_STATUS,CREATED,PROFILE,PASSWORD_VERSIONS,DEFAULT_TABLESPACE from dba_users where account_status='OPEN' order by CREATED asc;

接下来我们登录到业务用户 JIEKEXU,但由于自从 21c 开始强制创建容器数据库,则是 PDB 环境,我们登录 PDB 下需要配置 tns 别名进行登录。

cd $ORACLE_HOME/network/admin


[oracle@jiekexu admin]$ more tnsnames.ora 
# tnsnames.ora Network Configuration File: /opt/oracle/product/23c/dbhomeFree/network/admin/tnsnames.ora
# Generated by Oracle configuration tools.


FREE =
  (DESCRIPTION =
    (ADDRESS = (PROTOCOL = TCP)(HOST = jiekexu)(PORT = 1521))
    (CONNECT_DATA =
      (SERVER = DEDICATED)
      (SERVICE_NAME = FREE)
    )
  )


LISTENER_FREE =
  (ADDRESS = (PROTOCOL = TCP)(HOST = jiekexu)(PORT = 1521))


--写入如下信息
[oracle@jiekexu admin]$ vim  tnsnames.ora
FREEPDB1 =
  (DESCRIPTION =
    (ADDRESS = (PROTOCOL = TCP)(HOST = jiekexu)(PORT = 1521))
    (CONNECT_DATA =
      (SERVER = DEDICATED)
      (SERVICE_NAME = FREEPDB1)
    )
  )

然后我们登录进入业务用户创建表并插入数据。

conn jiekexu/Oracle_21c@FREEPDB1
create table test(id int,name varchar2(20));
insert into test values(1,'jiekexu'),(2,'freepdb');  
--注意:如上的新特性,在 values 后面可以跟多个值了,以前 21c 之前只能跟一个。
commit;

接下来我们用 SYS 授权 JIEKEXU_SEL 用户 schema 级别的查询权限。然后我们连接查询用户则是可以查到业务用户下的表的数据。

SQL> alter session set container=FREEPDB1;


Session altered.


SQL> grant select any table on schema jiekexu to jiekexu_sel;


Grant succeeded.


SQL> conn jiekexu_sel/jiekexu_sel@FREEPDB1
Connected.
SQL> select * from jiekexu.test;


        ID NAME
---------- --------------------
         1 jiekexu
         2 freepdb

接下来我们模拟业务新增情况,在业务用户下新建表,再去查询用户下看是否可以查询到数据。

SQL> create table t_new(id number);
SQL> insert into t_new values(1),(2),(3),(4);
4 rows created.
SQL> commit;


--切到查询用户,则可以查询到新建的表 t_new 表的数据。
SQL> conn jiekexu_sel/jiekexu_sel@FREEPDB1
Connected.
SQL> select * from jiekexu.test;


        ID NAME
---------- --------------------
         1 jiekexu
         2 freepdb


SQL> select * from jiekexu.t_new;


        ID
----------
         1
         2
         3
         4


SQL> show user;
USER is "JIEKEXU_SEL"
SQL> col OWNER for a15
SQL> col TABLE_NAME for a10
SQL> select owner,table_name from all_tables where owner not in ('SYS','MDSYS','SYSTEM','XDB','CTXSYS');


OWNER           TABLE_NAME
--------------- ----------
JIEKEXU         TEST
JIEKEXU         T_NEW

f2c59728d93185685483f9fee658b27e.png

授权 “select any table on schema” 后,JIEKEXU_SEL 用户除了原先授予的 “CREAT SESSION” 的系统权限外,没有被授予任何其他系统权限和系统角色。

根据上月初 2023 嘉年华上杨长老的演讲介绍,SCHEMA 级授权是通过对象级的继承权限获得,此时,被授权的用户可以看到原始授权用户下所有的表以及数据授权用户通过 ora_check_sys_privilege 函数获取当前是否具备访问权限,即若返回判断结果为 1,则用户有查看权限,返回结果为 0 则无权限。

SQL> select *  from dba_role_privs where grantee='JIEKEXU_SEL';


no rows selected


SQL> select  *  from dba_sys_privs where  grantee='JIEKEXU_SEL';


GRANTEE     PRIVILEGE                                ADM COM INH
----------- ---------------------------------------- --- --- ---
JIEKEXU_SEL CREATE SESSION                           NO  NO  NO


SQL> conn / as sysdba
SQL> set long 99999 pages 9999 LONGCHUNKSIZE 99999
SQL> select dbms_metadata.get_ddl('VIEW','ALL_TABLES','SYS') from dual;


来了一个新需求

现在又遇到一个新的需求,怎么个情况呢,且听我慢慢道来,新来一业务要求可以仅读取 PROD 业务用户下的表,但是所有程序 JDBC 里配置的都是 READONLY 用户,但是他的程序代码里 SQL 写的全都没有加前缀,类似于“select count(*) from test" 这样访问数据库。这样就 100% 报错了,因为 READONLY 用户是没有 test 表的,业务方又不想改代码中涉及到的表加前缀,那么只能通过创建一个触发器,当登录到 READONLY 用户时则将会立马切到业务用户 PROD,然后再给 READONLY 用户查询业务用户 PROD 的角色 R_SELECT_PROD,则就可以实现登录到 READONLY 用户也不用写前缀便可以查询到 PROD 业务用户数据了。

$ sqlplus / as sysdba 


SQL*Plus: Release 19.0.0.0.0 - Production on Wed May 31 16:13:59 2023
Version 19.15.0.0.0


Copyright (c) 1982, 2022, Oracle.  All rights reserved.


Connected to:
Oracle Database 19c Enterprise Edition Release 19.0.0.0.0 - Production
Version 19.15.0.0.0


SQL> create user READONLY identified by READONLY;
SQL> grant connect,R_SELECT_PROD to READONLY;


SQL> create or replace trigger tri_default_schema_prod
after logon on READONLY.schema
begin
execute immediate 'alter session set current_schema=PROD';
end;
/


--登录只读用户查询业务用户下的表数据
CONN READONLY/READONLY
SELECT COUNT(*) FROM PROD.TEST;
SELECT COUNT(*) FROM TEST;       --均是访问 PROD.TEST 的表

我的临时解决方案是这样的,不知小伙伴们还有其他的方法吗?欢迎添加我微信一起交流讨论。另外:近期新建一个微信交流群,现 150 多人了,最终需要 200 人左右,也算比较活跃,会在群中不定期举行抽奖、红包福利,限时免费开放名额,如有需要的可添加我个人微信【JiekeXu_DBA】,备注:加群。

全文完,希望可以帮到正在阅读的你,如果觉得此文对你有帮助,可以分享给你身边的朋友,同事,你关心谁就分享给谁,一起学习共同进步~~~

欢迎关注我的公众号【JiekeXu DBA之路】,第一时间一起学习新知识!

———————————————————————————
公众号:JiekeXu DBA之路
优快云 :https://blog.youkuaiyun.com/JiekeXu
墨天轮:https://www.modb.pro/u/4347
腾讯云:https://cloud.tencent.com/developer/user/5645107
———————————————————————————

0b01dc83a9a24b01b5132eb042b1304a.gif

分享几个数据库备份脚本

Oracle 表碎片检查及整理方案

OGG|Oracle GoldenGate 基础2022 年公众号历史文章合集整理

 
Oracle 19c RAC 遇到的几个问题

 
OGG|Oracle 数据迁移后比对一致性

 
OGG|Oracle GoldenGate 微服务架构

 
Oracle 查询表空间使用率超慢问题一则

 
 
国产数据库|TiDB 5.4 单机快速安装初体验

 
Oracle ADG 备库停启维护流程及增量恢复

 
Linux 环境搭建 MySQL8.0.28 主从同步环境

 
cd4531c0720fa96798c3f5a69c89c1ba.png



                

        

    

    
  



    

      

        

            

              
                
                  JiekeXu
                
              
            

            

                关注
              
            

        

        

          
      

      










                



	

		

			

				
					
openGauss学习笔记-110 openGauss 数据库管理-管理用户及权限-Schema

				
			

			

				

					超哥的博客
				

				

					10-30
					
					563
					
				

			

		

		

			
				
Schema又称作模式。通过管理Schema,允许多个用户使用同一数据库而不相互干扰,可以将数据库对象组织成易于管理的逻辑组,同时便于将第三方应用添加到相应的Schema下而不引起冲突。
每个数据库包含一个或多个Schema数据库中的每个Schema包含表和其他类型的对象。数据库创建初始,默认具有一个名为public的Schema,且所有用户都拥有此Schema的usage权限,只有系统管理员和初始化用户可以在public Schema下创建普通函数、聚合函数、存储过程和同义词对象,只有初始化用户可以在

			
		

	



                

            
              



	

		

			

				
					
oracle用户schema权限,如何创建Oracle新用户(新schema)

				
			

			

				

					weixin_42539414的博客
				

				

					04-04
					
					1441
					
				

			

		

		

			
				
如何赋予用户权限或角色?可以用grant直接给用户赋予权限, 也可以赋予用户角色, 角色可以看做是权限的集合.注意前面grant仅仅赋予了用户connect role, 这个role仅仅是给予用户的一些常见权利,最基本的, 不包括创建表等privilegesALTER SESSION --修改会话CREATE CLUSTER --建立聚簇CREATE DATABASE...

			
		

	



              


  
              

                


	

		

			

				
					
oracle用户schema权限,Oracle 用户(user)和模式(schema)的区别

				
			

			

				

					weixin_32129187的博客
				

				

					04-04
					
					1486
					
				

			

		

		

			
				
Oracle 用户(user)和模式(schema)的区别概述:sql(一)什么Oracle叫用户(user):A user is a name defined in the database that can connect to and access objects.大意:Oracle用户是用链接数据库和访问数据库对象的。(用户是用来链接数据库访问数据库)。数据库(二)什么叫模式(schema...

			
		

	





	

		

			

				
					
DBA | Oracle 用户与权限配置实践指南

					
最新发布

				
			

			

				

					WeiyiGeek 唯一极客IT知识分享
				

				

					05-26
					
					691
					
				

			

		

		

			
				
在此之前,我们先了解一下数据库模式 scheme 知识,模式是一种命名对象的集合,当一个 Oracle 用户被创建时对应模式也将被创建,并且一个用户仅对应一个模式,实际上用户名等同于模式名。1.业务系统上线,需要创建一个itgeek用户,密码为itgeekpass 默认表空间为 itgeekdata,临时表空间为 itgeektemp,权限设置为DBA,并允许远程。Oracle 创建用户大致流程,创建对象存储所需的表空间(默认,临时),以及限额,创建一个用户,并绑定表空间,然后赋予权限和角色给创建的用户。

			
		

	



		

			
		



	

		

			

				
					
oracle 方案(schema)/权限/profile-学习笔记

				
			

			

				

					Soul_X的宇宙
				

				

					04-25
					
					685
					
				

			

		

		

			
				
方案
每个用户在增加对象实例后,数据库实例(默认名orcl,或者自己创建时另取名称)会自动为该用户创建一个名称与用户名相同的方案。例如用户名为xm ,方案名就为xm。
权限
授予用户1访问用户2的数据实例(表,视图,索引等)。
首先先登录用户2或者系统管理员(只要拥有用户2数据实例权限分配的权限用户都可以)
grant select[update|delete|all]  on 方案名.表名  t...

			
		

	





	

		

			

				
					
第六章  ORacle权限设置、schema、通过profile 限制用户恶意登录、通过profile限制使用期限

				
			

			

				

					Reyn_观极
				

				

					01-14
					
					1614
					
				

			

		

		

			
				
权限机制

1,权限: 系统权限 、 对象权限

系统权限:系统权限适合数据库管理相关的权限; create session 、 cretae table 、 create index 、 create view ......

对象权限:与用户操作数据对象相关的权限; update 、 insert 、delate、 select



报错的原因,



2, 把 sc...

			
		

	





	

		

			

				
					
Oracle 18c 19c 新特性 Schema-Only 对用户级只读权限

				
			

			

				

					jisen_huang的专栏
				

				

					06-28
					
					758
					
				

			

		

		

			
				
Oracle 18c 中一个特殊类型的帐号被引入到数据库当中,这特特性被称为Schema-Only 帐号,这个帐号通过NO AUTHENTICATION语句建立,没有密码,也就不允许直接登录,所以这种帐号类型是纯模式类型。

Schema-Only账户具有一些限制:

不能被授予系统管理权限,如(SYSDBA、SYSASM)等;

不能通过DB Link访问;

只支持DB实例,不支持A...

			
		

	





	

		

			

				
					
Oracle23ai新特性SCHEMA授权

				
			

			

				

					zxrhhm的博客
				

				

					05-21
					
					926
					
				

			

		

		

			
				
Oracle 23ai新特性Schema级别授权相关的功能

			
		

	





	

		

			

				
					
Oracle schema 级别的数据迁移

				
			

			

				

					甲骨虫的家
				

				

					10-18
					
					8788
					
				

			

		

		

			
				
Oracle schema 级别的数据迁移
 
    最近一段时间,跟着两个项目组,做ORACLE DB相关的支持工作,因为项目属于开发阶段,总有一些数据库的复制工作,比较了几种方法,感觉用EXPDP/IMPDP还不错,能顺利实现开发人员的需求。
    需求:实现user/schema级别的数据迁移。
    版本:Oracle Enterprise 11g R2

   总体来说

			
		

	





	

		

			

				
					
oracle运维系列1:导出某个schema下全部数据

				
			

			

				

					本博客纯属个人学习记载,不对外负责,若有错误,请批评指正
				

				

					11-19
					
					2657
					
				

			

		

		

			
				
背景

最近做银行数据库迁移相关项目,涉及到oracle数据库备份与恢复。现有备份方案是厂商给部署的,使用一个脚本进行调用rman进行全量数据备份。导致备份数据特别大(高达15G以上),要将这些数据文件进行跨广域网传输(海外 → 内地)再恢复那更是让人头疼,于是思索思考解决方案,找到本文导出schema方案。

专业术语

rman:Recovery Manager,恢复管理器。oracle提供数...

			
		

	





	

		

			

				
					
Oracle到PG-PostgreSQL中的用户权限注意点

				
			

			

				

					AkenGan的博客
				

				

					10-17
					
					548
					
				

			

		

		

			
				
Oracle中的对象权限,通常指schema(或user)下面具体对象的权限,如schema(或user)下的表、索引等。
但在postgresql中,集簇内的tablespace、database、scheme、table等都统称对象。所以,pg权限包括user或role、tablespace、database、schema、表、索引等层级。
更多的权限对象,通过grant语句查看:
(post...

			
		

	





	

		

			

				
					
oracle创建用户以及授权

				
			

			

				

					12-04
				

			

		

		

			
				
oracle创建用户以及授权命令,可在toad等工具下执行创建用户以及相应的权限设置。

			
		

	





	

		

			

				
					
Oracle User、Schema、Default Tablespace

				
			

			

				

					田攀的日志
				

				

					11-28
					
					3693
					
				

			

		

		

			
				
User和Schema并不是同一个东西,人们很容易把这两个概念混淆:Oracle User :Oracle数据库的账户。Oracle SchemaOracle User + Oracle User所拥有的数据库对象集合。ASKTOM:LinkYou should consider a schema to be the user account and collection of all obj

			
		

	





	

		

			

				
					
schema权限控制

				
			

			

				

					weixin_43084715的博客
				

				

					01-11
					
					640
					
				

			

		

		

			
				
还允许用户在其他人的模式中创建对象。要允许这样做,需要授予模式上的CREATE特权。注意,默认情况下,每个人在公共模式上都有CREATE和USAGE特权。这允许所有能够连接到给定数据库的用户在其公共模式中创建对象。默认情况下,用户不能访问不属于他们的模式中的任何对象。要允许这样做,模式的所有者必须授予该模式的USAGE特权。为了允许用户使用模式中的对象,可能需要为对象授予额外的权限

			
		

	





	

		

			

				
					
oracle查看所有schema_一文看懂performance_schema/information_schema授权机制

				
			

			

				

					weixin_39806679的博客
				

				

					02-03
					
					1518
					
				

			

		

		

			
				
概述今天主要分享下关于performance_schema/information_schema授权问题,最近在对performance_schema授权时发现了一个比较有趣的现象,下面一起来看看吧~1、查看授权这里可以看到root@'%'没有with grant option权限mysql日志如下:2、查看mysql.user表mysql> select host,user,Grant_...

			
		

	





	

		

			

				
					
oracle grant revoke

				
			

			

				

					zhoutianzhe的专栏
				

				

					02-25
					
					369
					
				

			

		

		

			
				
一、权限是用户对一项功能的执行权力。在Oracle 中,根据系统管理方式不同,将权限分为系统权限 与实体权限 两类。

系统权限 是指是否被授权用户可以连接到数据库上,在数据库中可以进行哪些系统操作。

实体权限 是指用户对具体的模式实体 (schema)所拥有的权限。这样讲可以有些模糊。

举个例子来说:select any table是系统权限,它表示可以查看任何表。而select...

			
		

	





	

		

			

				
					
oracle给用户授权查询权限

				
			

			

				

					qq_44021627的博客
				

				

					12-05
					
					8287
					
				

			

		

		

			
				
oracle中,角色是一种用户组。将角色授权给用户,用户便拥有了角色对应的权限,方便权限的管理。是要授权的角色名,这样以后只要修改角色权限,角色对应的用户的权限也会被批量修改。授权是授予用户对数据库对象的某些操作权限,一般需要用。等管理员账户才能实现对其他数据库用户的授权。所以首先需要用管理员账号登录数据库系统。也可以实现多个表的权限撤销。是要授权被查询的表名,是要授权被查询的视图名。

			
		

	





	

		

			

				
					
schema权限和角色

				
			

			

				

					还不算晕的专栏
				

				

					09-06
					
					3682
					
				

			

		

		

			
				
一。模式schema是一个命名的对象集合。

如表、视图、序列号。用户被创建时对应的模式创建。
一个用户只能与一个模式相关。
模式由数据库用户所拥有并与用户名字相同。实际使用中模式和用户是一回事。
只有DBA用户可以创建用户。




二、权限详解 

权限是指执行特定类型sql命令或是访问其它方案对象的权利,包括系统权限和对象权限两种。
1.系统权限介绍 

  系

			
		

	





	

		

			

				
					
Oracle如下批量授权schema下的table

				
			

			

				

					hbhe0316的专栏
				

				

					10-14
					
					706
					
				

			

		

		

			
				
很多时候,诸如在使用datax抄写的时候,我们需要抄写某schmea下的所有的表,如下的SQL可以批量生成所有表的授权语句。
 
  https://www.cndba.cn/hbhe0316/article/4929
 https://www.cndba.cn/hbhe0316/article/4929
 
  https://www.cndba.cn/hbhe0316/arti...

			
		

	





	

		

			

				
					
ogg 开启schema级别附加日志

				
			

			

				

					04-30
				

			

		

		

			
				
<think>好的,我现在需要帮助用户解决在Oracle GoldenGate中开启schema级别附加日志功能的问题。用户提到了“schematrandata”这个命令,所以我得先回忆一下相关的配置步骤。

首先,用户的问题是关于如何为特定schema启用附加日志,也就是补充日志。补充日志在OGG中非常重要,因为它确保在捕获数据变更时,日志中包含足够的列信息,尤其是主键或唯一键,以便正确复制数据。如果没有正确配置,可能会出现数据不一致或复制错误。

我记得在Oracle GoldenGate中,启用补充日志通常使用ADD SCHEMATRANDATA命令。这个命令是针对整个schema的,所以需要指定schema名称。但具体步骤可能包括几个关键点:首先确保数据库处于归档模式,并且补充日志已经启用;其次,可能需要配置适当的权限,比如授予用户FLASHBACK权限,如引用[3]中提到的。另外,UNDO_RETENTION参数的设置也很重要,以确保Flashback Query可以正常工作。

接下来,我需要检查用户提供的引用内容。引用[1]提到OGG依赖重做日志,并且需要正确配置源系统的redo日志。引用[3]详细说明了使用Flashback Query以及如何设置UNDO参数。引用[4]则提到了创建REPLICAT进程的配置,但可能和补充日志关系不大。不过这些引用提醒我需要确保数据库的日志配置正确,包括补充日志级别。

用户可能已经知道基本配置,但需要具体的命令步骤。所以正确的步骤应该是:

1. 确保数据库级别的附加日志已启用。通常需要执行ALTER DATABASE ADD SUPPLEMENTAL LOG DATA;。
2. 使用GGSCI命令行工具执行ADD SCHEMATRANDATA命令,指定schema名称。
3. 验证配置是否生效,可以使用INFO SCHEMATRANDATA命令查看状态。

另外,需要注意权限问题。用户需要有足够的权限执行这些操作,比如需要授予GG用户适当的系统权限,如引用[3]中提到的FLASHBACK权限。同时,确保UNDO_RETENTION设置足够大,避免快照过旧错误。

可能的疑问点:是否需要为每个表单独添加附加日志?根据我的知识,ADD SCHEMATRANDATA会自动为该schema下的所有表启用,但如果有新增表,可能需要重新执行。或者是否需要在表级别额外配置?不过根据OGG文档,通常schema级别就足够,但如果有特别的表需要更多日志信息,可能需要单独处理。

用户的问题可能还涉及到如何确认配置是否成功,所以需要说明验证步骤。例如,使用INFO SCHEMATRANDATA schema_name来检查状态是否为ENABLED,并查看是否有警告或错误。

另外,可能还需要考虑OGG版本的不同,是否存在差异。用户提到的是Oracle GoldenGate 19C,所以配置步骤应该适用。但需要确认是否有版本特定的注意事项,例如是否需要设置ENABLE_GOLDENGATE_REPLICATION参数,如引用[2]中出现的错误,但那个错误是关于该参数未设置为true,可能是在配置捕获进程时的要求,而补充日志的配置可能不需要这个参数,但为了全面性,可能需要提醒用户检查相关参数是否已设置,避免后续步骤出错。

总结步骤:

1. 确认数据库级别补充日志已开启。
2. 在GGSCI中执行ADD SCHEMATRANDATA命令。
3. 验证配置并处理可能的权限和参数问题。

最后,生成相关问题时要围绕补充日志的配置、验证、常见问题处理等方面,帮助用户扩展了解可能遇到的后续问题。</think>在Oracle GoldenGate中开启schema级别的附加日志(Supplemental Logging)需使用`ADD SCHEMATRANDATA`命令。以下是具体配置步骤:

---

### **配置步骤**
1. **开启数据库级最小补充日志**  
   在数据库层面启用基础补充日志,确保重做日志包含必要信息:
   ```sql
   ALTER DATABASE ADD SUPPLEMENTAL LOG DATA;
   ```

2. **通过GGSCI启用schema级补充日志**  
   使用GoldenGate命令行工具执行以下命令,为指定schema(如`IT_MES`)启用附加日志:
   ```bash
   GGSCI> ADD SCHEMATRANDATA IT_MES
   ```
   此操作会为`IT_MES`下的所有表自动添加主键/唯一键的补充日志[^3]。

3. **验证补充日志状态**  
   检查schema级别的补充日志是否成功启用:
   ```bash
   GGSCI> INFO SCHEMATRANDATA IT_MES
   ```
   输出中应显示`ENABLED`状态。

4. **权限与参数配置(可选)**  
   - 授予GoldenGate用户Flashback权限(若使用Flashback Query):
     ```sql
     GRANT FLASHBACK ANY TABLE TO ogg_user;
     ```
   - 调整`UNDO_RETENTION`确保数据一致性:
     ```sql
     ALTER SYSTEM SET UNDO_RETENTION = 86400; --至少24小时
     ```
     详见引用[3]。

---

### **注意事项**
- **新增表的处理**:`ADD SCHEMATRANDATA`会自动为新表启用补充日志,但需确保GoldenGate进程重启后生效。
- **表级覆盖**:若需为个别表添加更多日志(如全字段日志),可单独执行`ADD TRANDATA`[^3]。
- **双向复制场景**:若为双向同步配置,需同时在两端数据库启用补充日志[^4]。

---

### **常见问题排查**
- **错误OGG-02091**:检查`ENABLE_GOLDENGATE_REPLICATION`参数是否为`TRUE`(引用[2])。
- **日志不足**:确认数据库级补充日志已启用,且GoldenGate用户有足够权限。

---



			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

  
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值