Databases Reference
In-Depth Information
7.2 Zugriffsrechte und Rollen
SQL regelt den Zugang zu einer Datenbank, zu einzelnen Tabellen und sogar zu
einzelnen Spalten sehr restriktiv. Im Prinzip gilt: Niemand darf Daten ansehen
oder verändern, wenn er nicht ausdrücklich dazu befugt ist. Der Zugriff auf die
Datenbank überhaupt und auf die in ihr enthaltenen Daten gilt als »Privileg« und
wird bei SQL auch so bezeichnet.
Zunächst muss jeder, der eine SQL-Datenbank nutzen will, dieser namentlich
»bekannt« sein. In einer Anmeldeprozedur wird jeweils eine Benutzeridentität
abgefragt und mit den Einträgen in speziellen Systemtabellen verglichen. Danach
entscheidet sich dann, welche Objekte dem Benutzer zur Verfügung stehen und
welche Operationen er darauf ausführen darf. Die Benutzeridentität ist ein
Bezeich-
ner
; sie kann identisch oder nicht identisch mit der Benutzeridentität für das
Betriebssystem sein. Eine Person kann durchaus über verschiedene Bezeichner
verfügen, mit denen sie sich beim System anmeldet. Umgekehrt kann eine Benut-
zeridentität von mehreren Personen verwendet werden. Wenn wir im Folgenden
vom Benutzer sprechen, ist damit eine dem System bekannte Benutzeridentität
gemeint.
Privilegien sind auf zwei verschiedenen Ebenen angesiedelt:
Der Zugang zur Datenbank überhaupt ist durch allgemeine Zugangsprivile-
gien geregelt.
Die Rechte zur Manipulation einzelner Tabellen und anderer Objekte werden
für jeden Benutzer mit objektbezogenen Privilegien verwaltet.
7.2.1 Allgemeine Zugangsprivilegien
Die allgemeinen Zugangsprivilegien sind herstellerabhängig realisiert und nicht
Gegenstand des SQL-Standards. Der Standard geht davon aus, dass jeder Benutzer
der Datenbank mit einem Benutzernamen und Passwort ausgestattet ist und dass
das Datenbanksystem Benutzern, die keine derartige Autorisierung vorweisen
können, jeglichen Zugriff auf alle seine Funktionen verweigert.
Unter Umständen sind die allgemeinen Zugangsrechte feiner differenziert, bei-
spielsweise in das Recht, die Datenbank abzufragen, und das Recht, eigene Tabel-
len, Datensichten und andere Objekte anzulegen. Meist gibt es eine Unterschei-
dung zwischen normalen Benutzern und Datenbankadministratoren.
Datenbankadministrator
Der Datenbankadministrator darf beispielsweise
3
die von allen anderen Benutzern eingerichteten Datenbankobjekte konsultieren
und jede beliebige SQL-Anweisung darauf anwenden,
3
So bei ORACLE.
