Databases Reference
In-Depth Information
tet, dass die REVOKE-Anweisung nicht durchgeführt wird, wenn der betreffende
Nutzer seine Privilegien an andere weitergegeben hat. Durch Angabe von
CASCADE
werden auch alle weitergegebenen Privilegien zurückgenommen.
7.2.4 Rollen und Gruppen
Die Verwaltung von Benutzerrechten kann in größeren Organisationen recht auf-
wändig sein. Unter Umständen müssen ganzen Gruppen von Benutzern identi-
sche Privilegien für eine Vielzahl von Tabellen zugeteilt werden. Um dies zu
erleichtern, hat man in den Standard das Rollenkonzept eingeführt; in Sybase, DB2
und anderen Systemen gibt es hierfür Gruppen (von Benutzern).
Privilegien können statt an einzelne Benutzer an Rollen bzw. an Gruppen vergeben
werden. Die Möglichkeiten, die sich durch die Benutzung von Rollen oder Grup-
pen ergeben, sind gleich. Allerdings ist die Philosophie, die hinter diesen beiden
Begriffen steckt, unterschiedlich: Während
Rollen
Zusammenfassungen von Privi-
legien darstellen, sind
Gruppen
Zusammenfassungen von Benutzern. Die Rolle
personalbearbeitung
könnte alle Privilegien enthalten, die für die Bearbeitung von
Personaldaten notwendig sind. Diese Rolle kann dann einzelnen Benutzern
gewährt werden. Die Gruppe
personalabteilung
(in Sybase u. a.) enthält dagegen
die Benutzer, die die Rechte für die Personalbearbeitung benötigen. Hieraus erge-
ben sich unterschiedliche Anweisungen - die Effekte bei beiden Konzepten sind
identisch.
Eine gewisse Anzahl von Rollen ist in einem ORACLE-System vordefiniert. Dazu
gehören die »alten« (und in früheren Versionen einzigen) Rollen
CONNECT
(Zugang
zur Datenbank überhaupt),
RESOURCE
(Recht zur Anlage eigener Datenbankob-
jekte),
DBA
(unbeschränkter Zugriff auf alle Datenbankobjekte, Export der gesam-
ten Datenbank etc.).
Um das Rollenkonzept produktiv einzusetzen, sind zwei Schritte erforderlich:
1) die Zuweisung von Rechten an Rollen,
2) die Zuweisung von Rollen an Benutzer.
Beim Gruppenkonzept werden die Gruppen ähnlich wie Benutzer dem Daten-
banksystem bekannt gegeben. Rechte können an Gruppen wie an Benutzer verge-
ben werden, und alle Benutzer, die das Recht zur Teilnahme an einer Gruppe
haben, erben die Rechte der Gruppe.
7.3 Prozedurale Konzepte in SQL
Über Datensichten ist es möglich, auf einfache Weise dem Benutzer komplexe
Zusammenhänge darzustellen. Des Weiteren kann der lesende Datenzugriff über
Datensichten und Zugriffsrechte recht detailliert geregelt werden. Es ist ziemlich
einfach, einem Benutzer das Recht zu geben, abgeleitete Daten zu sehen (z.B. das
