Discussion :

[DBA_OCP]

Bonjour,

Je cherche à créer un ROLE qui permet à son utilisateur de tout faire sauf modifier ou supprimer quelque chose de la table. C'est à dire uniquement la sélection dans les tables et l’exécution des procédures/fonctions.

Pour le moment j'ai pu mettre dans le role les privilèges

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

SELECT ANY TABLE et SEQUENCE puis EXECUTE

pour les procédures et les fonctions. Le problème qui se pose c'est que je peux sélectionner dans des tables et vues d'un autre schéma mais j'arrive pas a exécuter ses procédures...

Je me demande s'il y a un privilège spéciale à donner ?

Cordialement.

[Scriuiw]

As-tu bien mis les droits suivants :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
GRANT EXECUTE ON ANY PACKAGE;
GRANT EXECUTE ON ANY PROCEDURE;
GRANT EXECUTE ON ANY FUNCTION;
GRANT EXECUTE ON ANY TRIGGER;

[Pomalaix]

...Je me demande s'il y a un privilège spéciale à donner ?...

Le plus efficace serait de donner les commandes exactes que vous avez utilisées pour donner les droits, et de nous montrer un exemple concret de l'erreur.

[Pomalaix]

GRANT EXECUTE ON ANY TRIGGER;

Une nouveauté de la V12 ??

[Scriuiw]

GRANT EXECUTE ON ANY TRIGGER;

Une nouveauté de la V12 ??

Oui prochainement à venir... ou pas !

[DBA_OCP]

Est ce que le fait que la procédure contient des update par exemple peut nécessiter de donner le privilège UPDATE à l'utilisateur ?

[Scriuiw]

J'ai bien envie de dire Oui

As-tu essayé un GRANT ALL dans un premier temps ?
Puis après tu REVOKE et tu attribues juste les droits nécessaires

[DBA_OCP]

GRANT ALL ? Je ne connais pas...pas sur la 10gR2 en tout cas.

Je viens de supprimer mon ancien ROLE et créer un nouveau tout frais qui permettra de faire uniquement la selection et l'execution des requêtes/procédure...etc aucune modification.

Je me connecte avec l'utilisateur en question et j’exécute les requêtes suivantes:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
 
select 'GRANT SELECT ANY TABLE '||table_name||' to dev;' from user_tables;
select 'GRANT SELECT ANY SEQUENCE '||table_name||' to dev;' from user_tables;
select 'GRANT EXECUTE ON ANY PACKAGE '||object_name||' to dev;' from user_objects;
select 'GRANT EXECUTE ON ANY PROCEDURE '||object_name||' to dev;' from user_objects;
select 'GRANT EXECUTE ON ANY FUNCTION '||object_name||' to dev;' from user_objects;
select 'GRANT EXECUTE ON ANY TRIGGER '||object_name||' to dev;' from user_objects;
GRANT dev TO mon_user;

Le problème ? il ne reconnait pas les tables de mon utilisateur après avoir appliquer le role DEV...

[DBA_OCP]

Alors la nouveauté est que la clause SELECT passe avec mon role mais toujours pas pour les procédures...

[DBA_OCP]

Je sais pas si quelqu'un a une explication logique, mais que je fais

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

SELECT * FROM sessions_privs;

Je n'ai pas la liste de privilèges que normallement j'ai appliqué sur 8500 tables mais uniquement le SELECT ANY !

De toute façon j'ai résolu le problème avec des privilèges ANY pour toutes mes tables et ça fonctionne sans soucis.

[Pomalaix]

Je sais pas si quelqu'un a une explication logique,...

De toute évidence, vous ne maîtrisez ni les concepts, ni les syntaxes de la gestion des privilèges sous Oracle, par conséquent vous faites n'importe quoi, avec les résultats qui en découlent.

La bonne solution, c'est de lâcher le clavier un moment, et de se plonger dans la doc ou un livre d'administration pour prendre les choses depuis zéro.

Il faut notamment avoir les idées claires sur :

• la différence entre privilèges système et objet
• la signification de ANY (et pourquoi il ne faut pas l'utiliser en général)
• la notion de "privilèges du créateur" (definer right) pour les vues et objets PL/SQL et la conséquence pour les objets sous-jacents
• les rôles

A partir de là, vos erreurs devraient vous sauter aux yeux.

[DBA_OCP]

Merci pour la leçon

Je connais bien les rôles Oracle et comment ça marche, sauf que tout le monde peut avoir des ambiguïtés des fois c'est tout à fait normal.

Ce n'est pas parce que ANY n'est pas conseillé à utiliser que je vais pas le faire. Je connais mon besoin mieux que quiconque.

Pas la peine de traiter une autre personne d'ignorant alors qu'on ne s'ait pas ce qu'on vaux nous même déjà.

Le problème est résolu en tout cas.