GRANT CREATE TABLE ON ROLE ABC luego: GRANT ABC TO UX pero UX no puede crear tables

Hola.

Creo un rol de nombre ABC:

CREATE ROLE ABC

le doy permisos:

GRANT ALTER PROFILE, ALTER TABLESPACE, CREATE ROLE, CREATE SESSION, CREATE TABLE, CREATE TABLESPACE, CREATE TRIGGER, CREATE USER, DROP TABLESPACE, DROP USER, MANAGE TABLESPACE TO ABC

Creo el usuario UX:

CREATE USER UX IDENTIFIED BY 654 DEFAULT TABLESPACE USERS TEMPORARY TABLESPACE TEMP QUOTA 1000M ON system

Asigno el ROL ABC al usuario UX:

GRANT ABC TO UX

Confirmo que UX tiene ESE rol:

SELECT * FROM DBA_ROLE_PRIVS WHERE GRANTED_ROLE LIKE 'ABC'


Me conecto como UX, y al escribir:
LA respuesta es:
és insegura la configuración de ESE ROL ?
si UX tiene ESE ROL, por que no puede crear tablas?


Gracias!

Gracias por las recomendaciones que puedan brindarme.

Lo resolví eliminando el usuario y creandolo nuevamente con NUEVA opción:

Que opinan ?



Finalmente, que opinan de éste ROL:

Lo ven muy inseguro? es muy pobre y le hacen falta privilegios importantes?


Gracias por sus ayudas.

Efectivamente, tu error inicial era falta de privilegios en el tablespace, mas no para crear tablas.
Lo que hiciste, fue una buena solución.

Con respecto a lo segundo, cada permiso que reciba el rol, debe ser requerido para el tipo de usuarios que lleven ese rol.
Para un usuario DBA encargado de ciertas tareas de mantenimiento en tablespaces, creación de usuarios, de roles etc. me parecen los permisos adecuados.

Debes tener claro a que tipo de usuarios le asignarias este rol

saludos

Ohhh... Precisamente !!!, lo que he pretendido es CREAR UN ROL para un programador; no para un DBA !!!

Podrias por favor obsequiarnos la lísta correcta para un programador no DBA. ¿?

Ése programador solo requerira crear usuarios que LEAN SUS TABLAS, crear tablas, editarlas y crear roles para ESOS usuarios "LECTORES".

Te cuento que tengo Oracle Database 11g Express Edition Release 11.2.0.2.0 - 64bit Production trabajando en PHP 5.5.35 sobre CentOs 6.6

Gracias por tu ayuda!.

:)

Ahh ok!

Según lo que me dices, lo haría de la siguiente forma:


RESOURCE es otro role ya creado por oracle con los siguientes privilegios:
CREATE TRIGGER - CREATE SEQUENCE - CREATE CLUSTER - CREATE TYPE - CREATE PROCEDURE
CREATE TABLE - CREATE INDEXTYPE - CREATE OPERATOR


Ya con el rol creado, solo basta asignarlo a los usuarios que quieras.

ten en cuenta que una vez creas un usuario, dicho usuario es dueño/propietario de todos sus objetos (Tablas, indices, vistas, paquetes, procedimientos etc). Es su propio DBA en todo lo creado y relacionado con
su propio usuario.

Saludos

Suena excelente.

En el ROL que nos haz obsequiado no hay "ALTER TABLE", "DROP TABLE", ni "TRUNCATE TABLE", sin embargo el ROL_PROGRAMADOR podrá hecerlo?


Gracias.

.=)

Exactamente.
Al tener el privilegio de CREATE TABLE, el usuario por defecto es dueño de su tabla. Por lo tanto, al ser dueño, adquiere los permisos de DROP, ALTER y otros relacionados con el objeto.

Hola!
Haces usted:
CREATE USER UX IDENTIFIED BY 654 DEFAULT TABLESPACE USERS TEMPORARY TABLESPACE TEMP QUOTA 1000M ON system
Pero no grant qouta en USERS tablespace
Ha realizar usted "alter user ux quota 1000 M on users"

Y no realiza usted quota en system tablespace para no dba usuarios