11i:如何在11i中检查正确的applsyspub权限

Oracle应用程序使用ApplsySpub帐户最初连接到数据库并建立会话。此帐户通常应具有有限的权限。但是,在审核期间,分配给ApplsySpub和公众的权限通常是安全风险,并且需要纠正。

查看Applsyspub权限

第一步是通过应用程序查看授予ApplsySpub的对象权限。这些补助金由Adadmin中的“重新创建授予和同义词”进行,该脚本执行脚本$ fnd_top / admin / sql / afpub.sql。此SQL将创建正确的赠款,但是,它不会删除任何不必要的拨款。关键补丁更新2005年7月包括Oracle补丁4074867,其在11.5.1到11.5.9中删除了不必要的赠款。

以下SQL语句将列出应用程序的所有拨款到ApplsySpub -

SELECT * FROM dba_tab_privs
WHERE grantee = 'APPLSYSPUB'
AND grantor = 'APPS'
ORDER BY table_name

将结果与下表中所需赠款列表进行比较。删除所有不必要的拨款。

Required APPLSYSPUB Privileges (11.5.1 - 11.5.10.2)

insert on fnd_unsuccessful_logins
insert on fnd_sessions
execute on fnd_disconnected
execute on fnd_message
execute on fnd_pub_message
execute on fnd_security_pkg
execute on fnd_signon
execute on fnd_webfilepub
select on fnd_lookups
select on fnd_application
select on fnd_application_tl
select on fnd_application_vl
select on fnd_languages_tl
select on fnd_languages_vl
select on fnd_product_groups
select on fnd_product_installations

请参阅$ fnd_top / admin / sql / afpub.sql用于确切列表您的实现和Oracle应用程序的版本。

应该删除的常见授权是“在fnd_user_view上选择”。 
fnd_user_view显示加密的基础密码,可能是
解密以揭示应用程序密码。在11i中不再需要fnd_user_view。作为升级的一部分
进程,应该执行fnddold.sql。这脚本是
经常错过并没有作为升级过程的一部分执行,
因此,必须手动撤销fnd_user_view上的权限。值得注意的是,一些旧版本的ADI需要fnd_user_view。有关更多信息,请参阅Metalink Note ID 237917.1。

审查公共特权

授予公众的权限通常是不正确的,特别是对于自定义对象。以下SQL语句将列出对非系统类型对象的所有拨款 -

SELECT * FROM dba_tab_privs
WHERE grantee = 'PUBLIC'
AND owner NOT IN ('SYS', 'SYSTEM', 'CTXSYS', 'OWAPUB', 'MDSYS', 'ORDPLUG', 'ORDSYS', 'ORDPLUGINS', 'CSMIG')
ORDER BY table_name

将列出许多包,类型和Java类。专注于任何自定义开发的对象,尤其是包,程序或功能。

自定义开发的对象 - 除了视图和软件包 - 将驻留在自定义模式中。所有特权都应授予应用程序而不是公共的应用程序。在开发期间,授予公众而不是应用程序,以确保自定义计划将有效。

 Share this post