DV_OWNER`在根目录中具有角色的用户可以控制本地PDB用户是否可以在普通用户的本地对象上创建Oracle Database Vault控件。
如果本地用户可以将Oracle Database Vault控件(例如领域或命令规则)应用于普通用户拥有的本地对象或应用程序普通用户拥有的对象,则该普通用户或应用程序普通用户可能会被阻止访问其在PDB中以其自己的模式的本地数据。这可能会阻止它们运行维护数据库或应用程序所需的常见操作。此外,本地用户可以在普通用户上创建CONNECT命令规则,从而可以防止该普通用户登录到普通用户对象所在的PDB。
为了防止本地用户能够阻止常见操作,DV_OWNER在根目录中被授予角色的普通用户可以在根目录中执行该DBMS_MACADM.ALLOW_COMMON_OPERATION过程。
要查找如何DBMS_MACADM.ALLOW_COMMON_OPERATION设置的当前状态,具有DV_OWNER或DV_ADMIN角色的用户可以查询DVSYS.DBA_DV_COMMON_OPERATION_STATUS数据字典视图。
为防止本地用户阻止常规操作,请DBMS_MACADM.ALLOW_COMMON_OPERATION在根目录中执行该过程。
设置ALLOW COMMON OPERATION为时TRUE,将限制本地用户在普通用户对象上创建Oracle Database Vault控件。此设置适用于在普通用户对象上创建的现有本地PDB Database Vault控件,因此不会在普通用户上强制执行。
-
以已被授予
DV_OWNER根角色的用户身份登录到根。例如:
sqlplus c##sec_admin_owen_root Enter password: password
执行该DBMS_MACADM.DISABLE_APP_PROTECTION过程。
-
要为CDB环境中的所有PDB禁用Database Vault操作控制,请执行以下操作:
EXEC DBMS_MACADM.DISABLE_APP_PROTECTION;
要禁用特定PBB(例如HRPDB)的Database Vault操作控制,请执行以下操作:
EXEC DBMS_MACADM.DISABLE_APP_PROTECTION ('HRPDB');
