Régénérer les Subventions pour les rôles à travers les schémas

Similaire à cette question, je voudrais savoir comment générer tous les GRANT déclarations émises à tous les rôles dans une série de schémas et d'une liste de rôles dont les noms se terminent par "PROXY". Je veux recréer des déclarations comme:

GRANT SELECT ON TABLE_NAME TO ROLE_NAME;
GRANT EXECUTE ON PACKAGE_NAME TO ROLE_NAME;

Le but est d'aider à migrer à partir d'une base de données de développement d'un test de base de données (Oracle 11g). Il y a quelques outils qui tentent de le faire automatiquement, mais échouent souvent.

Des idées?

  • Je suppose que vous avez à faire à la dure. Boucle à travers le "All_TAB_PRIVS" et de générer ce script. Une question intéressante cependant. Je voudrais savoir si c'est possible.
InformationsquelleAutor Dave Jarvis | 2010-01-20
  1. 8

    Ce script génère une liste de tous les privilèges accordés à des rôles...

    select 'grant '||privilege||' on '||owner||'.'||table_name||' to '||grantee
         ||case when grantable = 'YES' then ' with grant option' else null end
         ||';'
from dba_tab_privs
where owner in ('A', 'B')
and grantee in ( select role from dba_roles )
order by grantee, owner
/

    Noter que je n'ai pas restreindre le bénéficiaire de la subvention rôles, parce que votre question est vague sur ce point. Vous pouvez avoir besoin d'ajouter un filtre à la sub_query surdba_roles. Si vous avez des rôles accordés à d'autres rôles que vous aurez envie de choisir ceux trop ...

    select 'grant '||granted_role||' to '||grantee
         ||case when admin_option = 'YES' then ' with admin option' else null end
         ||';'
from dba_role_privs
where grantee in ( select role from dba_roles )
order by grantee, granted_role
/

    Pour obtenir votre liste de rôles ...

    select 'create role '||role ||';'
from dba_roles
where role like '%PROXY'
/

    Noter que ces scripts ne génèrent pas de subventions pour les privilèges du système. Aussi, la vie est un peu plus compliqué si vous utilisez des objets de l'annuaire, parce que requiert un autre mot-clé...

    select 'grant '||privilege||' on '||owner||'.'||table_name||' to '||grantee
         ||case when grantable = 'YES' then ' with grant option' else null end
         ||';'
from dba_tab_privs
where owner in ('A', 'B')
and grantee in ( select role from dba_roles )
and table_name not in ( select directory_name from dba_directories )
union all
select 'grant '||privilege||' on directory '||table_name||' to '||grantee
         ||case when grantable = 'YES' then ' with grant option' else null end
         ||';'
from dba_tab_privs
where grantee in ( select role from dba_roles )
and table_name  in ( select directory_name from dba_directories )
/

    modifier

    Dans 9i Oracle a introduit le DBMS_METADATA paquet qui emballe beaucoup de ces sortes de requêtes PL/SQL simple API. Par exemple, cet appel sera prorduces CLOB avec tous l'objet de privilèges accordés à Un ...

    select dbms_metadata.get_granted_ddl('OBJECT_GRANT', 'A') from dual
/

    C'est évidemment beaucoup plus simple que le roulement des nôtres.

    InformationsquelleAutor APC
  2. 1

    Vous pouvez le faire avec un peu de code PL/SQL:

    TYPE obj_name_type is TABLE OF ALL_OBJECTS%OBJECT_NAME INDEX BY BINARY_INTEGER;
object_names obj_name_type;
i INTEGER;
BEGIN
   SELECT object_name BULK COLLECT INTO object_names FROM ALL_OBJECTS WHERE OWNER = 'whatever' AND object_type = 'PROCEDURE';
   FOR i IN 1 .. object_names.last LOOP
         EXECUTE IMMEDIATE 'GRANT EXECUTE ON ' object_names(i) ' TO ' role_name
   END LOOP;
END;

    Vous pouvez le rendre plus générique pour cartographier les types d'autorisation pour les types d'objet ou quoi avez-vous mais c'est l'idée de base.

    Vous devez utiliser EXECUTE IMMEDIATE parce que vous ne pouvez pas exécuter DDL de manière statique à l'intérieur du code de procédure.

    • Ce serait juste de subvention des droits de l'exécution de toutes les procédures de votre propriétaire. Comme je comprends la question, il est à propos de l'obtention effective de subventions et de fournir un script pour recréer sur un schéma différent.
    • Je viens de montrer l'idée générale. Vous pouvez ajuster la requête SELECT pour obtenir la liste de droite.
    • Pourquoi ne pas utiliser PL/SQL? Il semble être un bon outil pour cela.
    • PL/SQL ajoute une couche supplémentaire de complexité qui n'est pas nécessaire-ce qui signifie qu'il faut plus de temps pour utiliser en PL/SQL Developer.
    InformationsquelleAutor Dan
  3. 0

    Cela répond à nos besoins:

    SELECT
  'GRANT ' || p.privilege || ' ON ' || p.table_name || ' TO ' ||
  p.grantee || ';' AS generated_grant
FROM
  dba_tab_privs p
WHERE
  p.grantor IN ( 'SCHEMA_NAME_01', 'SCHEMA_NAME_02' ) AND
  p.grantee IN (
    SELECT DISTINCT
      granted_role
    FROM
      dba_role_privs
    WHERE
      grantee LIKE '%PROXY' AND
      granted_role NOT IN ('CONNECT','AQ_ADMINISTRATOR_ROLE','RESOURCE')
  ) AND
  p.table_name NOT LIKE 'BIN%' AND
  p.table_name NOT LIKE '%$%'
ORDER BY
  p.table_name, p.grantee, p.privilege;
    • Hélas, cela ne fonctionne pas. Il ne comprend pas le propriétaire de l'objet dans le script, ce qui est important quand nous sommes la manipulation de plusieurs schémas. Aussi, grantor est le compte qui a délivré l'original grant ... déclaration qui n'est pas le propriétaire du schéma.
    • Juste assez. Je voulais juste souligner le potentiel des zones qui pourraient causer des problèmes pour les futurs chercheurs qui viennent à ce fil par l'intermédiaire d'un résultat de recherche.
    InformationsquelleAutor Dave Jarvis
  4. 0

    Je voulais résoudre un problème beaucoup comme celui-ci. La seule différence est que je voulais un outil qui est plus générique, et aussi SGBD agnostique. Je voulais être en mesure d'appliquer l'outil dans les environnements de production, et certains des bases de données cibles n'étaient pas Oracle.

    que je suis venu avec était une Powershell fonction qui effectue paramètre de substitution, et génère un répétitives script contenant une séquence d'instructions GRANT. La sortie ressemble à 

    grant ALL 
   on Employees 
   to DBA;




grant READ 
   on Employees 
   to Analyst;




grant READ, WRITE 
   on Employees 
   to Application;




grant ALL 
   on Departments 
   to DBA;




grant READ 
   on Departments 
   to Analyst, Application;

    Il y a deux entrées pour mon outil de, un modèle de fichier et un fichier csv. Le modèle de fichier ressemble à ceci:

    grant $privs 
   on $table 
   to $user;

    Et le fichier csv ressemble à ceci:

    privs,table,user
ALL,Employees,DBA
READ,Employees,Analyst
"READ, WRITE", Employees, Application
ALL,Departments,DBA
READ,Departments,"Analyst, Application"

    L'expansion de l'outil ressemble à ceci:

    <#  This function is a table driven template tool. 
    It's a refinement of an earlier attempt.

    It generates output from a template and
    a driver table.  The template file contains plain
    text and embedded variables.  The driver table 
    (in a csv file) has one column for each variable, 
    and one row for each expansion to be generated.

    5/13/2015

#>

function Expand-csv {
   [CmdletBinding()]
   Param(
      [Parameter(Mandatory=$true)]
      [string] $driver,
      [Parameter(Mandatory=$true)]
      [string] $template
   )
   Process
   {
      $OFS = "`r`n"
      $list = Import-Csv $driver
      [string]$pattern = Get-Content $template

      foreach ($item in $list) {
         foreach ($key in $item.psobject.properties) {
            Set-variable -name $key.name -value $key.value
            }
         $ExecutionContext.InvokeCommand.ExpandString($pattern) 
         }
   }
}

    Enfin, un exemple d'appel à l'outil ressemble à ceci:

    Expand-csv demo.csv demo.tem > demo.sql

    noter que le fichier csv spec vient en premier, et le fichier de modèle de spec vient en second.
    notez que la "forme" paramètres utilisés dans le modèle de fichier ressemble Powershell variables. C'est ce qu'ils sont.
    notez que les noms utilisés dans le modèle correspondent aux noms qui apparaissent dans l'en-tête du fichier csv.

    En fait, j'ai utilisé un précurseur de cet outil avec une variété de dialectes SQL, et également à la cible de langues autres que SQL. Je l'ai même utilisé pour générer un répétitives script Powershell qui ne fait rien de plus que d'appeler un autre .ps1 script, encore et encore, avec différents paramètres réels.

    C'est pas le plus élégant de l'outil dans le monde, mais il me sert bien.

    InformationsquelleAutor Walter Mitty