与此问题类似,我想知道如何生成GRANT向一组模式中的所有角色发出的所有语句以及名称以“PROXY”结尾的角色列表。我想重新创建如下语句:
GRANT SELECT ON TABLE_NAME TO ROLE_NAME;
GRANT EXECUTE ON PACKAGE_NAME TO ROLE_NAME;
目的是帮助从开发数据库迁移到测试数据库(Oracle 11g)。有一些工具会尝试自动执行此操作,但通常会失败。
有任何想法吗?
问问题
22150 次
4 回答
10
此脚本生成授予角色的所有表权限的列表...
select 'grant '||privilege||' on '||owner||'.'||table_name||' to '||grantee
||case when grantable = 'YES' then ' with grant option' else null end
||';'
from dba_tab_privs
where owner in ('A', 'B')
and grantee in ( select role from dba_roles )
order by grantee, owner
/
请注意,我不限制受让人角色,因为您的问题在这一点上含糊不清。您可能需要在 sub_query 上添加过滤器dba_roles。如果您将角色授予其他角色,您也将希望获得这些角色...
select 'grant '||granted_role||' to '||grantee
||case when admin_option = 'YES' then ' with admin option' else null end
||';'
from dba_role_privs
where grantee in ( select role from dba_roles )
order by grantee, granted_role
/
要获取您的角色列表...
select 'create role '||role ||';'
from dba_roles
where role like '%PROXY'
/
请注意,这些脚本不会为系统权限生成授权。此外,如果您使用目录对象,生活会稍微复杂一些,因为这需要一个额外的关键字......
select 'grant '||privilege||' on '||owner||'.'||table_name||' to '||grantee
||case when grantable = 'YES' then ' with grant option' else null end
||';'
from dba_tab_privs
where owner in ('A', 'B')
and grantee in ( select role from dba_roles )
and table_name not in ( select directory_name from dba_directories )
union all
select 'grant '||privilege||' on directory '||table_name||' to '||grantee
||case when grantable = 'YES' then ' with grant option' else null end
||';'
from dba_tab_privs
where grantee in ( select role from dba_roles )
and table_name in ( select directory_name from dba_directories )
/
编辑
在 9i 中,Oracle 引入了 DBMS_METADATA 包,它将许多此类查询封装在一个简单的 PL/SQL API 中。例如,此调用将产生一个 CLOB,其中包含授予 A 的所有对象权限...
select dbms_metadata.get_granted_ddl('OBJECT_GRANT', 'A') from dual
/
这显然比滚动我们自己的要简单得多。
于 2010-01-21T04:46:04.907 回答
1
您可以使用一些 PL/SQL 代码来做到这一点:
TYPE obj_name_type is TABLE OF ALL_OBJECTS%OBJECT_NAME INDEX BY BINARY_INTEGER;
object_names obj_name_type;
i INTEGER;
BEGIN
SELECT object_name BULK COLLECT INTO object_names FROM ALL_OBJECTS WHERE OWNER = 'whatever' AND object_type = 'PROCEDURE';
FOR i IN 1 .. object_names.last LOOP
EXECUTE IMMEDIATE 'GRANT EXECUTE ON ' object_names(i) ' TO ' role_name
END LOOP;
END;
您可以更通用地将权限类型映射到对象类型或您拥有的东西,但这是基本思想。
您必须使用EXECUTE IMMEDIATE,因为您不能在过程代码中静态运行 DDL。
于 2010-01-20T19:03:21.500 回答
0
这满足了我们的需求:
SELECT
'GRANT ' || p.privilege || ' ON ' || p.table_name || ' TO ' ||
p.grantee || ';' AS generated_grant
FROM
dba_tab_privs p
WHERE
p.grantor IN ( 'SCHEMA_NAME_01', 'SCHEMA_NAME_02' ) AND
p.grantee IN (
SELECT DISTINCT
granted_role
FROM
dba_role_privs
WHERE
grantee LIKE '%PROXY' AND
granted_role NOT IN ('CONNECT','AQ_ADMINISTRATOR_ROLE','RESOURCE')
) AND
p.table_name NOT LIKE 'BIN%' AND
p.table_name NOT LIKE '%$%'
ORDER BY
p.table_name, p.grantee, p.privilege;
于 2010-01-20T19:42:27.133 回答
0
我想解决一个非常像这样的问题。唯一的区别是我想要一个更通用且与 DBMS 无关的工具。我希望能够在生产环境中应用该工具,并且某些目标数据库不是 Oracle。
我想出的是一个 Powershell 函数,它执行参数替换,并生成一个包含一系列 GRANT 语句的重复脚本。输出看起来像
grant ALL
on Employees
to DBA;
grant READ
on Employees
to Analyst;
grant READ, WRITE
on Employees
to Application;
grant ALL
on Departments
to DBA;
grant READ
on Departments
to Analyst, Application;
我的工具有两个输入,一个模板文件和一个 csv 文件。模板文件如下所示:
grant $privs
on $table
to $user;
csv 文件如下所示:
privs,table,user
ALL,Employees,DBA
READ,Employees,Analyst
"READ, WRITE", Employees, Application
ALL,Departments,DBA
READ,Departments,"Analyst, Application"
扩展工具如下所示:
<# This function is a table driven template tool.
It's a refinement of an earlier attempt.
It generates output from a template and
a driver table. The template file contains plain
text and embedded variables. The driver table
(in a csv file) has one column for each variable,
and one row for each expansion to be generated.
5/13/2015
#>
function Expand-csv {
[CmdletBinding()]
Param(
[Parameter(Mandatory=$true)]
[string] $driver,
[Parameter(Mandatory=$true)]
[string] $template
)
Process
{
$OFS = "`r`n"
$list = Import-Csv $driver
[string]$pattern = Get-Content $template
foreach ($item in $list) {
foreach ($key in $item.psobject.properties) {
Set-variable -name $key.name -value $key.value
}
$ExecutionContext.InvokeCommand.ExpandString($pattern)
}
}
}
最后,对该工具的示例调用如下所示:
Expand-csv demo.csv demo.tem > demo.sql
请注意,csv 文件规范排在第一位,模板文件规范排在第二位。请注意,模板文件中使用的“形式参数”看起来像 Powershell 变量。他们就是这样。请注意,模板中使用的名称与 csv 文件标题中出现的名称相匹配。
实际上,我已经使用了该工具的前身与各种 SQL 方言,以及 SQL 以外的目标语言。我什至用它来生成一个重复的 Powershell 脚本,它只不过是用不同的实际参数一遍又一遍地调用另一个 .ps1 脚本。
它不是世界上最优雅的工具,但它对我很有帮助。
于 2015-07-05T13:16:31.527 回答