3.2、创建安全策略
使用lbacsys用户登陆PLSQL,执行如下命令
SQL> EXEC sa_sysdba.create_policy('TEST_POLICY', 'TEST_LABEL'); 第一个参数TEST_POLICY是安全策略的名称,
第二个参数TEST_LABEL是即将添加到zftang_test_01表中的用于存储标签的字段名,这个字段将在后面apply table policy的时候自动添加,所以不必预先添加。
可以从DBA_SA_POLICIES视图中查询安全策略的情况。 select * from DBA_SA_POLICIES
要禁用、重新启用或者删除一个策略,可利用以下过程: SQL> EXEC sa_sysdba.disable_policy ('TEST_POLICY');
SQL> EXEC sa_sysdba.enable_policy ('TEST_POLICY');
SQL> EXEC sa_sysdba.drop_policy ('TEST_POLICY');
3.3、定义Level
EXEC sa_components.create_level('TEST_POLICY', 111,'READ111', 'Public Level'); EXEC sa_components.create_level('TEST_POLICY', 222,'READ222', 'Internal Level');
第一个参数是上一步创建的安全策略的名字。第二个参数是Level的等级,数字越大表示权限越高,比如此处具有'READ222'等级的就可以同时查看有'READ111'等级的数据。第三个参数是Level的短名,随便定义。第四个参数是Level的长名,只是起到一个说明的作用,随便定义。
可以从DBA_SA_LEVELS视图中查询安全等级的情况。 select * from DBA_SA_LEVELS
3.4、定义Compartment
本步操作是可选项,看的有点晕, 测试了几次没搞透
3.5、定义Group
本步操作是可选项,看的有点晕, 测试了几次没搞透
3.6、创建Label
EXEC sa_label_admin.create_label('TEST_POLICY', '111','READ111', TRUE); EXEC sa_label_admin.create_label('TEST_POLICY', '222','READ222', TRUE);
参数依次是安全策略名,Label Tag,Label值,是否为data label。 其中Label Tag必须是不同于系统中任何策略number的数字。 Label值是最关键的地方,通过组合前面几步中定义的level
是否为data label是一个布尔值,只有为TRUE的时候,这个标签才可以用于控制表数据的安全性。
可以从DBA_SA_LABELS视图中查询安全标签的情况。 select * from DBA_SA_LABELS
3.7、将策略赋予表
exec sa_policy_admin.apply_table_policy(policy_name =>
'TEST_POLICY',schema_name => 'TEST',table_name => 'ZFTANG_TEST_01',table_options => 'LABEL_DEFAULT,READ_CONTROL,WRITE_CONTROL');
前三个参数表示我们将TEST_POLICY策略附加到TEST用户的ZFTANG_TEST_01表上,执行这步操作的时候,Oracle会自动将第二步中定义的列添加到表中,如果这步执行成功,我们立刻用TEST用户检索ZFTANG_TEST_01表,会发现一条记录都没有了,这说明Label Security已经起作用了。
第四个参数用于设定策略如何控制表的安全性。
LABEL_DEFAULT表示如果以后一个用户新增数据的时候没有指定Label那么将会使用该用户的default session label(这个default值在下面一步的用户Label设定中定义);READ_CONTROL,WRITE_CONTROL表示对于表的读写操作都受到安全策略的制约;
HIDE表示不在desc表结构的时候显示TEST_LABEL列名,如果想要显示就省略HIDE字样,
注意,一旦apply策略完成,那么要修改table_options的值,比如想把HIDE去掉,那么就必须先用sa_policy_admin.remove_table_policy函数删除policy定义,然后重新apply。
3.8、将Label赋予用户
使用sa_user_admin.set_user_labels存储过程来将label赋予用户,这个存储过程有不少参数,但是必须输入的只有policy_name,user_name,max_read_label三项,其它参数如果省略的话,都有默认值。
比如def_label参数(用户新增数据的时候没有指定Label时的默认Label)如果没有设定,那么默认为跟max_read_label相同。
我们通过给TEST用户赋予不同的Label,来完成测试的目的。每次用LBACSYS用户设置完TEST用户的label,TEST用户都必须重新登录一次,设置才会生效。
--------这里很重要,前期测试,没有重新登陆,总感觉没效果; 把LABEL=READ111的授于TEST用户
EXEC sa_user_admin.set_user_labels(policy_name=>
'TEST_POLICY',user_name =>'TEST',max_read_label =>'READ111'); 这个时候看查询结果,TEST_LABEL=111的,这个用户才能查询到;
其实表里真实的数据是:
把LABEL=READ222的授于TEST用户