Avoir les droits pour créer des vues sur un seul schéma

**mbellouti** · 21/06/2018, 10h56

Bonjour,

Nous avons un schéma bac à sable dans notre SI. Notre IT nous a fermé nos comptes génériques pour des comptes individuels.
Sur le principe, c'est une bonne idée sauf qu'aujourd'hui ne nous pouvons plus créer de vues par exemple.

Notre DBA nous dit qu'il n'est pas possible de donner ce type de droit uniquement sur un schéma, cela me surprenant un peu.
Sinon n'est ce pas plus judicieux de créer un rôle, puis des users utilisant ce rôle? nous sommes 3 a avoir le même usage de ce schéma.

Merci par avance.

**Ikebukuro** · 21/06/2018, 11h26

Salut,

En cherchant sur Google je vois qu'effectivement Oracle ne permet pas de donner des droits directement sur un schéma, il faut soit donner les droits sur tous les objets à la main, un par un, soit faire un programme :
https://community.oracle.com/ideas/2333

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
FOR x IN (SELECT * FROM user_tables)
LOOP   
     EXECUTE IMMEDIATE 'GRANT SELECT ON ' || x.table_name || ' TO <<someone>>'; 
END LOOP;
 
ou bien 
 
declare
cursor c1 is select table_name from user_tables;
cmd varchar2(200);
begin
for c in c1 loop
cmd := 'GRANT SELECT ON '||c.table_name|| <<TO YOURUSERNAME>>;
execute immediate cmd;
end loop;
end;

Après, d'un point de vue sécurité, c'est pas plus mal que ce soit ainsi car autrement tu donnes à un user le droit de faire des actions sur TOUS les objets d'un autre schéma, existants ET à venir : donc tu ne contrôle pas les objets sur lesquels tu donnes des droits.

Je ne comprends pas la remarque
"aujourd'hui nous ne pouvons plus créer de vues" : il faut que le DBA donne ce droit aux users, mais sans faire référence à un schéma.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
GRANT CREATE ANY VIEW TO Scott; --> création de vue dans n'importe quel schéma
GRANT CREATE VIEW TO Scott; --> création de vue dans le schéma du user

**Fabien Celaia** · 21/06/2018, 17h09

Votre DBA a raison... ça fait mal, hein ?

C'est une faiblesse originelle d'Oracle : c'est très légèrement pallié par l'utilisation des bases multitenant depuis la 12... mais cela reste un problème.

Il y a bien l'option bourrin de créer un trigger sur ddl et de checker/refuser chaque fois... mais c'est plus que péjorant...

**Ikebukuro** · 21/06/2018, 20h17

Bonjour Fabien,

Peux-tu détailler ta remarque "c'est très légèrement pallié par l'utilisation des bases multitenant depuis la 12... mais cela reste un problème"?

Je ne connaissais pas le mot "péjorant", j'aime bien

Par avance merci.