Discussion :

[Isabella]

Bonjour à tous

En tant que administrateur j'ai essayé d'accorder le privilège SELECT sur la table EMPLOYEES du schéma HR à l'utilisateur USER1,
en procédant comme suit,

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
 
CONNECT SYSTEM/*****
GRANT SELECT ON HR.EMPLOYEES TO USER1

jusque là tout se passe bien,
mon souci est le suivant (problème de compréhension)
à l'affichage de la liste des privilèges objet accordés à l'utilisateur U1,
c-à-d :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
SELECT
PRIVILEGE, TABLE_NAME, OWNER, GRANTOR
WHERE
GRANTEE = 'USER1';

il m'affiche, entre autres :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
PRIVILEGE    TABLE_NAME   OWNER                     GRANTOR
------------ ------------   -----------------        ------------
ALTER        EMPLOYEES      HR                            HR
 ...................

Pourquoi est ce que dans la colonne GRANTOR, c'est HR que je trouve au lieu de SYSTEM ?

Merci à tous.

[sgora]

Parce qu'Oracle considère que c'est toujours le propriétaire d'un objet qui donne les droits sur celui-ci.
Et puis tu nous montres des droits alter, alors que tu fais un grant select, y aurait pas un petit problème ?

[Isabella]

Merci de la réponse.

Pour ce qui est de Alter et Select , je me suis trompé de COPIER/COLLER
désolée.
pour ce qui est de ta réponse,

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
Parce qu'Oracle considère que c'est toujours le propriétaire d'un objet qui donne les droits sur celui-ci.

je peut te dire que ce n'est pas le cas lorsque c'est un autre utilisateur (hormis l'administrateur) qui effectue la même opération, c'est son nom qui figurera dans la colonne GRANTOR et pas celui du propriétaire,
ex :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
 
CONN SCOTT/***
GRANT SELECT ON HR.EMPLOYEES TO USER1

Bien entendu, SCOTT est censé être bénficiaire de même privilège avec "GRANT OPTION"
et puis, sémantiquement parlant, quelle serait l'utilité d'une colonne appelée GRANTOR alors que c'est toujours

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

le propriétaire qui est censé accroder des privilèges sur ces propres objets

Merci

[sgora]

Tu as parfaitement raison, lorsque le donneur de droits est dba, c'est par défaut le propriétaire de l'objet qui est mentionné dans le champs grantor, par contre c'est bien l'user concerné qui est mentionné dans le cas où l'user en question a reçu ses droits directement par grant option. C'est sans doute un effet du rôle dba, mais je n'ai pas d'explication valable.

Au temps pour moi !

[Isabella]

Alors les gars !
du nouveau ?

[mydb_server]

La réponse est dans la doc Oracle :

When you exercise the GRANT ANY OBJECT PRIVILEGE system privilege to grant an object privilege to a user, if you already possess the object privilege with the GRANT OPTION, then the grant is performed in the usual way. In this case, you become the grantor of the grant. If you do not possess the object privilege, then the object owner is shown as the grantor, even though you, with the GRANT ANY OBJECTPRIVILEGE system privilege, actually performed the grant.

Rachid A.

[Isabella]

MERCI mydb_server, pour cette réponse définitive, quoique décevante !

Donc, finalement, à aucun moment, on peut savoir, si c'est l'administrateur ou bien le propriétaire qui a accordé un privilège objet !
c'est un peu drôle , non ?
de la part de ORACLE le géant des SGBDs !

[mydb_server]

Encore une référence à la doc Oracle :

The audit record generated by the GRANT statement will always show the real user who performed the grant.

voili voilou

Rachid A.

[Isabella]

Quel précieux commentaire Rachid

Merci.