Oracle 11g 中按角色授予的权限发生了变化吗？

Question

我尝试通过角色向用户授予 CONNECT 权限：

CREATE ROLE my_role IDENTIFIED BY "passwd";
GRANT CONNECT TO my_role;

CREATE USER my_user IDENTIFIED BY "passwd";
GRANT my_role TO my_user;

当我在 10g 中尝试此操作时，它工作正常，而在 11g 中登录被拒绝：

ORA-01045:用户 MY_USER 缺少 CREATE SESSION特权;登录被拒绝

向角色授予CREATE SESSION 不会产生任何影响。
我只能在直接向用户授予 CONNECT （或 CREATE SESSION）后才能登录。

Oracle 改变了这种行为还是我做错了什么？

Answer 1

我认为您可能已经摆脱了 10g 中的安全“功能”。我阅读 11g 的 SQL 参考和安全指南的方式表明，启用密码的角色需要使用 SET ROLE my_role IDENTIFIED BY passwd 才能使该角色授予的任何权限生效。

在拥有该角色之前，您无法CREATE SESSION，并且在发出SET ROLE 之前，您无法拥有该角色。

第 22 条军规。

Answer 2

Oracle 知识库 [ID 745407.1] 对此进行了解释。

DEFAULT 子句中：

alter user default Roles；
指定用户登录时默认授予的角色。该子句只能包含使用 GRANT 语句直接授予用户的角色，或由用户使用 CREATE ROLE 权限创建的角色。您不能使用 DEFAULT ROLE 子句启用：

1. 未授予用户的角色

2. 通过其他角色授予的角色

3. 角色由外部服务（例如操作系统）或 Oracle Internet Directory 管理

4. 作为密码的角色经过身份验证。

5. 作为安全应用程序角色实现的角色。

对于密码身份验证的角色，已在版本 10.2.0.5 和 11.1.0.7 中引入了更改。
对于安全应用程序角色，Oracle 版本 10.2.0.4 和 11.1.0.7 中引入了更改
这些更改将适用于所有未来版本。上述限制将在未来的文档中引入。

通过运行以下脚本，可以轻松地将启用密码的角色转换为标准角色：

select 'alter role '||role||'未识别；'来自 dba_roles，其中，password_required='YES' 并且角色不在（从 dba_application_roles 中选择角色）；

Answer 3

激活默认角色（作为默认授予用户），这些角色也受密码保护，在 Oracle 10g 版本 10.2.0.5 中进行了更改（至少对于我们的副本而言）。在版本 10.2.0.5 中，默认情况下将不再激活受密码保护的角色。必须使用适当的密码专门打开它。

据我们所知，这没有记录在案。但是，当我们的系统从 10.2.0.4 升级到 10.2.0.5 时，此更改破坏了我们的多个系统，我们必须为功能帐户创建并行的非受保护角色，这些帐户没有任何机制来激活默认角色。我们基本上创建了没有密码的 old_role_batch 作为受密码保护的 old_role 的副本。