Identifikalsiya va faydalanuvchilarning haqiqiyligini tekshi-
rish.
107
Odatda, MBBTda foydalanuvchilami identifíkatsiyalash va
ulami haqiqiyligini tekshirish uchun operatsion tizimning mos me-
xanizmlari, yoki SQL-CONNECT operatori qo'llaniladi. Masalan,
ORACLE
MBBT holida CONNECT operatori quyidagi ko‘rinishga
ega b o ‘ladi:
CONNECT foydalanuvchi [parol] [@ma’lumotlar_bazasi].
Har holda, ma’lumotlar bazasi serveri bilan ishlash seansining
boshlanishi onida foydalanuvchi o‘zining nomi bilan identifikatsiya-
lanadi, autentifíkatsiya vositasi sifatida esa parol ishlatiladi. Ushbu
jarayonning tafsilotlari ilovaning mijoz qismining amalga oshirilishi
orqali aniqlanadi.
UNIX kabi ba’zi operatsion tizimlar dastur ishga tushirilishi
vaqtida amaldagi foydalanuvchi identifikatorini o‘zgartirishga im-
kon beradi. Ma’lumotlar bazasi bilan ishlovchi ilova odatda, oddiy
foydalanuvchilar imtiyozlariga nisbatan ancha ortiqcha imtiyozlarga
ega. Tabiiyki, bunda ilova puxtalik bilan o‘ylangan, qat’iy belgilan-
gan imkoniyatlar naborini taqdim etadi. Agar foydalanuvchi u yoki
bu usul yordamida ilovani nihoyasiga yetkaza olsa, ammo ma’lu
motlar bazasining serverga ulanishini asray olsa, u ma’lumotlar bi
lan har qanday harakatlami bajarishi mumkin.
Foydalanishni boshqarish.
Foydalanishni boshqarish bilan
bog‘liq masalalami oydinlashtirish uchun
INGRES
MBBT ishla
tiladi.
Odatda MBBTda foydalanishni ixtiyoriy boshqarish qo‘lla-
niladi. Bunda obyekt egasi undan foydalanish huquqini (ko‘pincha
imtiyozini deb yuritishadi) o ‘z ixtiyoricha beradi. Imtiyozlar
subyektlarga (alohida foydalanuvchilarga), guruhlarga, rol larga yoki
barcha foydalanuvchilarga berilishi mumkin.
Rollar imtiyozlari foydalanuvchilar va guruhlar imtiyozlaridan
ustun turadi. Boshqacha aytganda, subyekt sifatidagi foydalanuv-
chining ma’lum rolli ilovalar ishlov beruvchi obyektlardan foydala
nish huquqiga ega bo‘lishi shart emas. Ta’kidlash lozimki,
ORACLE
MBBTda rol deganda imtiyozlar naborí tushuniladi. Bunday rollar
imtiyozlami strukturalash vositasi sifatida xizmat qiladi va ulaming
modifikatsiyalanishini oson lashtiradi.
Barcha foydalanuvchilar majmui PUBLIC deb ataladi.
PUBLICga imtiyozlar berilishi - foydalanishning ko‘zda tutilgan
108
huquqlarini berishning qulay usuli. Turli foydalanuvchilar zimmasi-
ga turli ma’lumotlar bazasini ma’murlashru yuklash ma’noga ega
bo‘ladi, qachonki ushbu bazalar mustaqil va ularga nisbatan imti-
yozlami ajratishning kelishilgan siyosatini yoki rezervli nusxalashni
o‘tkazishga to‘g‘ri kelmasa. Bu holda har bir ma’mur qancha zarur
bo‘lsa, shuncha biladi. Bir tomondan INGRES foydalanuvchisi va
ma’lumot bazas i, ikkinchi tomondan operatsion tizim superfoydala-
nuvchi (OS UNIX holida root) va xizmatchi foydalanuvchilar (OS
UNEXda bu-bin, Ip, UUCP va h. bo‘lishi mumkin) orasidagi o‘x-
shashlikni kuzatish mumkin. Xizmatchi foydalanuvchilaming kiriti-
Iishi superfoydalanuvchi imtiyozlarini olmasdan fimksional qismti-
zimlami ma’murlashga imkon beradi. Xuddi shu tarzda serverda
saqlanuvchi ma’lumotlami bo‘lmalarga ajratish mumkin. Bitta bo‘l-
ma ma’murining obro‘sizlantirilishi, albatta boshqa bo‘lma ma’mu-
rining obro‘sizlantirilishi degani emas.
Imtiyoz turlari.
MBBTda imtiyozlami ikkita kategoriyaga ajra
tish mumkin: xavfsizlik imtiyozlari va foydalanish imtiyozlari.
Xavfsizlik imtiyozlari doim muayyan foydalanuvchiga uning
yaratilishi (CREATE USER operatori yordamida) yoki xarakteristi-
kalarini o‘zgartirish (ALTER USER operatori yordamida) vaqtida
ajratiladi. Bunday imtiyozlar beshta:
- security — MBBT xavfsizligini boshqarish va foydalanuvchi
harakatlarini kuzatish huquqi. Foydalantivchi ushbu imtiyoz bilan
har qanday ma’lumotlar bazasiga ulanishi, foydalanuvchilar, guruh-
lar va rollar xarakteristikalarini yo‘q qilishi va o‘zgartirishi, ma’lu
motlar bazasidan foydalanish huquqini boshqa foydalanuvchiga be-
rishi, qayd qilinuvchi axborotning yozilishini boshqarishi, boshqa
foydalanuvchilar so‘rovini kuzatishi vanihoyat, boshqa foydalanuv
chilar nomidan INGRES-komandalami ishga tushirishi mumkin. Se
curity imtiyozi ma’lumotlar bazasi serverining ma’muriga hamda
axborot xavfsizligiga shaxsan javobgar shaxsga zarur. Ushbu
imtiyozni boshqa foydalanuvchilarga berish (masalan, ma’lumotlar
bazasi ma’muri tomonidan) ma’lumotlar bazasi serverining
himoyasidagi boMishl mumkin boigan zaif joylarni ko‘paytiradi;
- createdb - m a’lumotlar bazasini yaratish va yo'q qilish
huquqi. Ushbu imtiyozga server ma’muridan tashqari foyda-
109
lanuvchilar ega bo‘lishlari lozim. Foydalanuvchilar ixtiyoriga alo-
hida ma’lumotlar bazasining ma’murlari roli taqdim etiladi;
- operator - odatda operator ixtiyoridagi harakatlami bajarish
huquqi. Servemi ishga tushirish va to‘xtatish, axborotni saqlash va
tiklash k o ‘zda tutiladi. Ushbu imtiyozni server va ma’lumotlar
bazasi m a’muridan tashqari operatsion tizim ma’muriga ham berish
maqsadga muvofiq hisoblanadi;
- maintain locations - ma’lumotlar bazasi serveri ma’muri-
ning bazasi va operatsion tizim o‘mashgan joyni boshqarish huquqi;
- trace - sozlovchi trassirovka flaglari xolatlarini o‘zgartirish
huquqi. Ushbu imtiyoz murakkab, tushunarsiz vaziyatlami tahlil-
lashda m a’lumotlar bazasi serveri ma’muriga va boshqa tajribali
foydalanuvchilarga foydali.
Xavfsizlik imtiyozlari ma’muriy harakatlar bajarishga imkon
beradi.
Foydalanish imtiyozlari, nomiga muvofiq, subyektlaming ma’-
lum obyektlardan foydalanish huquqini belgilaydi va foydalanuvchi
larga, guruhlarga, rollarga yoki barchaga GRANT operatori yorda-
mida ajratiladi va REVOKE operatori yordamida olib qo‘yiladi.
Ushbu imtiyozlar odatda, mos obyekt egasi (ma’lumotlar bazasi
ma’muri) yoki security imtiyoziga ega shaxs (odatda ma’lumotlar
bazasi serveri) tomonidan beriladi.
Guruhlarga va rollarga imtiyozlami berishdan oldin ulami
CREATE GROUP va CREATE ROLE operatorlari yordamida
yaratish lozim.
Guruh tarkibini o‘zgartirish uchun ALTER GROUP operatori
xizmat qiiadi.
DROP GROUP operatori guruhlami yo‘q qilishga imkon bera
di (faqat guruh a’zolari ro‘yxati yo‘q qilinganidan so‘ng).
ALTER ROLE operatori rollar parollarini o‘zgartirishga,
DROP ROLE operatori esa rollami yo‘q qilishga xizmat qiiadi.
Yuqorida aytib o‘tilganidek, imtiyozlaming nomlangan eltuv-
chilarini yaratish va yo‘q qilish hamda ulaming xarakteristikalarini
o‘zgartirish, faqat security imtiyoziga ega foydalanuvchi tomonidan
amalga oshirilishi mumkin. Bunday harakatlar amalga oshirilganda,
taricibida subyektlar va ulaming imtiyozlari saqlanuvchi ma’lumot
lar bazasiga ulanishga ega bo‘lish lozim.
11
a
Foydalanish imtiyozlarini ular taalluqli obyektlar turi bo‘yicha
ajratish mumkin. INGRES MBBTda bunday turlar beshta:
- jadvallar va tasavvurlar;
- muolajalar;
- ma’lumotlar bazasi;
- ma’lumotlar bazasi serveri;
- hodisalar.
Foydalanish imtiyozlarini berish GRANT operatori yordamida
amalga oshiriladi. GRANT operatori umumiy ko‘rinishda quyidagi
formatga ega:
- GRANT imtiyozlar;
- ON obyektlar;
- TO kimga.
Jadvallar v a tasavvurlarga muvofiq quyidagi foydalanish hu-
quqlarini boshqarish mumkin:
SELECT - ma’lumotlami tanlash huquqi;
INSERT - ma’lumotlami qo‘shish huquqi;
DELETE - ma’lumotlami yo‘q qilish huquqi;
UPDATE- ma’lumotlami yangilash huquqi (yangilanishga
ruxsat boigan m a’lum ustunlami ko‘rsatish mumkin);
REFERENCES - berilgan jadvalga (ma’lum ustunlami ko‘rsa-
tish mumkin) havola qiluvchi tashqi kalitlardan foydalanish huquqi.
Odatda, foydalanuvchi jadvallardan va tasavvurlardan foyda-
lanishning hech qanday huquqiga ega emas. Bu huquqlami GRANT
operatorlari yordamida berish mumkin.
Muolajalarga nisbatan bajarish huquqi berilishi mumkin. Bun-
da muolajalar ishlov beruvchi obyektlardan foydalanish huquq-
larining ajratilishi xususida o‘ylash kerak emas, ulaming mavjudligi
shart emas. Shunday qilib, ma’lumotlar bazasi muolajalari ma’lu
motlar ustida qat’iy belgilangan harakatlami bajarish uchun nazo-
ratti foydalanisirni taqdim etishning qulay vositasi hrsoblanadi.
Ma’lumotlar bazasidan foydalanish huquqlarini uning ma’muri
yoki security imtiyoziga ega foydalanuvchi taqdim etishi mumkin.
Ushbu “huquqlar” aslida ma’lumotlar bazasidan foydalanishga qator
cheklashlar o‘matadi, ya’ni mohiyatan taqiqlovchi hisoblanadi. Kiri-
tish/chiqarish amallar soniga yoki bitta so'rov bilan qaytariluvchi
qator soniga cheklash, jadvallar va muolajalar va h. yaratish
i l l
huquqiga chekzlash ko'zda tutiladi. Odatda foydalanuvchi miqdoriy
limitlar bilan qoniqmaydi va bazada obyektlar yaratish huquqini
oladi.
Ta’kidlash lozimki, ma’lumotlar bazasini yaratishda uning ma-
qomi (umumiy yoki shaxsiy) ko‘rsatiladi. Bu bazadan nazarda tutil-
gan foydalanish huquqiga ta’sir etadi. Odatda umumiy bazaga ula-
nish huquqi barchaga beriladi. Shaxsiy bazaga ulanish huquqi osh-
kora ravishda berilishi lozim. Ulanishga huquq baza va undagi
obyektlar bilan boshqa barcha amallami bajarish uchun kerak.
QUERY_IO_LIMIT va QUERYROWLIMIT imtiyozlar (bu
holda cheklashlar deb atash to‘g‘riroq bo Mar edi) so‘rovlar opti-
mizatori bergan baho asosida tekshiriladi. Agar optimizator oldin-
dan so‘rov kiritish/chiqarish amaliga yoki qaytariluvchi qatorga
ajratilgan limit sonidan oshganini aytsa, so‘rov rad etiladi. Bu xil-
dagi miqdoriy cheklashlaming qo‘yilishi serveming bitta mijoz
tomonidan monopoliya qilinishiga to‘sqinlik qiladi va yuqori tay-
yorlikni madadlash instrumentining biri sifatida ishlatilishi mumkin.
Oldin berilgan imtiyozlami (ruxsat beruvchi va taqiqlovchi)
bekor qilishda REVOKE operatori xizmat qiladi.
Dostları ilə paylaş: |