Discussion :

[ducho]

Bonjour,

une application que je dois migrer en oracle 11gr2 gere les uitilisateurs via des roles .

chaque utilisateur a le même rôle, ce role possede le privilège SYSTEM
CREATE SESSION

Si les rôles sont authentifiés, l'utilisateur possédant le rôle a une erreur
ORA_01045

exemple :

SQL> create user toto identified by toto ;

Utilisateur crÚÚ.

SQL> create role toto_r identified by toto_r ;

R¶le crÚÚ.

SQL> grant toto_r to toto ;

Autorisation de privilÞges (GRANT) acceptÚe.

SQL> grant create session to toto_r ;

Autorisation de privilÞges (GRANT) acceptÚe.

SQL> spool off ;
SQL> quit ;
DÚconnectÚ de Oracle Database 11g Release 11.2.0.1.0 - Production

C:\Users\duchossoir>sqlplus toto/toto@appt11g

SQL*Plus: Release 11.2.0.1.0 Production on Mar. Oct. 11 10:41:39 2011

Copyright (c) 1982, 2010, Oracle. All rights reserved.

ERROR:
ORA-01045: l'utilisateur TOTO n'a pas le privilÞge CREATE SESSION ; connexion
refusÚe



C:\Users\duchossoir>sqlplus system/****@appt11g

SQL*Plus: Release 11.2.0.1.0 Production on Mar. Oct. 11 10:41:56 2011

Copyright (c) 1982, 2010, Oracle. All rights reserved.


ConnectÚ Ó :
Oracle Database 11g Release 11.2.0.1.0 - Production



SQL> drop role toto_r ;

R¶le supprimÚ.

SQL> drop user toto ;

Utilisateur supprimÚ.

SQL> create user toto identified by toto ;

Utilisateur crÚÚ.


SQL> create role toto_r ;

R¶le crÚÚ.

SQL> grant toto_r to toto ;

Autorisation de privilÞges (GRANT) acceptÚe.

SQL> grant create session to toto_r ;

Autorisation de privilÞges (GRANT) acceptÚe.

SQL> quit ;
DÚconnectÚ de Oracle Database 11g Release 11.2.0.1.0 - Production

C:\Users\duchossoir>sqlplus toto/toto@appt11g

SQL*Plus: Release 11.2.0.1.0 Production on Mar. Oct. 11 10:45:03 2011

Copyright (c) 1982, 2010, Oracle. All rights reserved.


ConnectÚ Ó :
Oracle Database 11g Release 11.2.0.1.0 - Production

SQL>

Le comportement est différent en Oracle9 (l'utilisateur se connecte tout le temps)

En oracle11 , l'utilisateur ne se connecte pas .

Je ne sais pas ce qu'il faut faire pour que l'utilisateur toto puisse se connecter
via ce rôle .

J'ai dû raté quelque chose, je ne trouve rien dans la doc non plus .

Cordialement

[Heaven93]

bonjour,

ta commande me laisse perplexe :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

create role toto_r identified by toto_r ;

essaie simplement un

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
create role toto_r;
grant create session to toto_r;
grant toto_r to toto;

[ducho]

Bonjour,

S'il n y a pas d'authentification du rôle, cela fonctionne
(vois l'exemple que j'ai joint) .

donc le but est que la connexion fonctionne avec :

CREATE role toto_r IDENTIFIED BY toto_r ;

en oracle 9 et 10 cela fonctionne .

peux-tu essayer de ton côté en oracle 11.2 ?

cdlt

[Heaven93]

désolée, j'avais mal lu.
ben conceptuellement, c'est un petit peu surprenant... est-ce que le create session ne devrait pas être donné juste par un role qui ne soit pas identified by afin que son effet soit immédiat?

[ducho]

D'apres la doc, l'utilisateur a le role attribué avec les priviléges associés dés sa connexion.

je ne sais pas si c'est un bug ou non .

l'authentification, d'apres ce que j'ai compris, est utilisé pour que le rôle soit protégé et donné à des utilisateurs à des moments précis .

de toute façon, si je ne m'en sors pas, je créerai les rôles sans authentification , en epérant que l'application concernée fonctionne correctement (cela va nécessiter plus de tests dans tous les sens,
cette appli étant constituée en pl/sql à 100%)

cdlt

[Dajon]

Hello,

Je comprends la doc sur ce point comme cela:

Un role protégé par un password n'est plus automatiquement activé pour un utilisateur, mais doit être activé via la commande

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

SET ROLE myrole IDENTIFIED BY mypass

On ne peut utiliser cette commande SET ROLE que si on a le role en question.

Avant cela, aucun des grant du role n'est effectif. Donc, dans le cas particulier du GRANT CREATE SESSION, cela ne peut plus fonctionner car il faut être connecté pour utiliser SET ROLE, mais tu ne peux pas te connecter sans le ROLE actif...

Liens:
http://download.oracle.com/docs/cd/E...htm#SQLRF01311

et

http://download.oracle.com/docs/cd/E...4.htm#i2135600


En conclusion, je pense que le grant create session ne peut être granté via un rôle que si ce rôle n'est pas "protégé"

[Heaven93]

je viens de lire la doc oracle. (pas de base sous la main pour tester);
il semblerait que pour que le role soit effectif, lorsqu'il est authentifié par password, il faille faire une petite manip après sa création :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

set role toto_r identified by toto_r;

c'est ainsi depuis la 10.2.0.5. amélioration de la sécurité

[Heaven93]

désolée Arnaud, je n'avais pas vu ta réponse

[ducho]

Bonjour,

je vais donc créer les rôles sans authentification .
Je vous remercie pour vos réponses .

cordialement