Details zu den Mindestkriterien für die Impersonierung

Ein Benutzer kann nur dann erfolgreich einen anderen Benutzer impersonieren, wenn die Mindestkriterien erfüllt sind. Die Validierung der Kriterien erfolgt, wenn eine SETUSER-Anweisung ausgeführt wird, nicht beim Erteilen des SET USER-Systemprivilegs. Wenn ein Benutzer beim Absetzen der SETUSER-Anweisung nicht alle Kriterien erfüllt, schlägt die Impersonierung fehl und ein Fehler wird zurückgegeben.

Es gibt vier Kriterien für eine erfolgreiche Impersonierung:

Dem impersonierenden Benutzer wurde das Recht erteilt, den Zielbenutzer zu impersonieren.
Der impersonierende Benutzer hat mindestens alle Rollen und Privilegien, die dem Zielbenutzer erteilt wurden.
Dem impersonierenden Benutzer wurden die Rollen und Systemprivilegien mit ähnlichen oder mehr Administrationsrechten erteilt.

In Bezug auf die Erfüllung der Kriterien zu Administrationsrechten gelten die Klauseln WITH ADMIN OPTION und WITH ADMIN ONLY OPTION als Erteilung ähnlicher Administratorberechtigungen. Außerdem gelten sie als Erteilung von mehr Administrationsrechten als bei der WITH NO ADMIN OPTION-Klausel. Beispiel: Benutzer1 wird Rolle1 mit der WITH ADMIN OPTION-Klausel erteilt, Benutzer2 wird Rolle1 mit der WITH ADMIN ONLY-Klausel erteilt und Benutzer3 wird Rolle1 mit der WITH NO ADMIN OPTION-Klausel erteilt. Benutzer1 und Benutzer2 gelten dann als Benutzer mit Rolle1 und ähnlichen dazugehörigen Administrationsrechten. Außerdem gelten Benutzer1 und Benutzer2 als Benutzer mit mehr Administrationsrechten für Rolle1 als Benutzer3.
Falls dem Zielbenutzer ein Systemprivileg erteilt wurde, das zusätzliche Parameter unterstützt (auch als Erweiterungen bezeichnet, z.B. können Sie beim Erteilen des SET USER-Systemprivilegs eine Liste von Benutzer-IDs angeben), sind die Klauseln, die verwendet werden, um das Systemprivileg dem impersonierenden Benutzer zu erteilen, eine Obermenge derjenigen, die für den Zielbenutzer verwendet werden.

Derzeit unterstützen nur die Systemprivilegien SET USER und CHANGE PASSWORD Erweiterungen. Die beim Erteilen von SET USER und CHANGE PASSWORD an den impersonierenden Benutzer angegebenen Erweiterungen müssen denjenigen entsprechen, oder eine Obermenge davon sein, die angegeben wurden, als SET USER bzw. CHANGE PASSWORD dem Zielbenutzer erteilt wurden. Dies wird folgendermaßen ausgewertet:
- Die ANY-Erweiterung gilt als Obermenge der Erweiterungen role-list (Rollenliste) und users-list (Benutzerliste). Wenn der Zielbenutzer das SET USER-Systemprivileg mit ANY-Erweiterung hat (z.B. GRANT SET USER ANY TO user1), muss der impersonierende Benutzer ebenfalls die ANY-Erweiterung haben.
- Falls der Zielbenutzer das SET USER-Systemprivileg sowohl mit der role-liste-Erweiterung als auch mit der users-list-Erweiterung hat, muss der impersonierende Benutzer ebenfalls das Systemprivileg mit beiden Erweiterungen haben und die Liste für jede Erweiterung muss der betreffenden Erweiterung des Zielbenutzers entsprechen oder eine Obermenge davon sein. Wenn beispielsweise die Erweiterungslisten sowohl beim impersonierenden Benutzer als auch beim Zielbenutzer Benutzer1 und Benutzer2 bzw. Rolle1 und Rolle2 enthalten, gelten die erteilten Ziellisten für jede der Klauseln als gleich. Alternativ gilt: Wenn die users-list für den impersonierenden Benutzer Benutzer1 und Benutzer2 bzw. Rolle1 und Rolle2 enthalten, während die users-list für den Zielbenutzer nur Benutzer1 bzw. Rolle2 enthalten, gilt die jeweilige users-list des impersonierenden Benutzers als Obermenge der Liste des Zielbenutzers.
- Falls der Zielbenutzer das SET USER-Systemprivileg mit einer einzelnen Listenerweiterung hat, muss die Erweiterungsliste des impersonierenden Benutzers der Liste des Zielbenutzers entsprechen oder eine Obermenge davon sein. Wenn beispielsweise die Benutzerliste sowohl beim impersonierenden Benutzer als auch beim Zielbenutzer Benutzer1 und Benutzer2 enthält, gelten beide als gleich. Wenn die Benutzerliste beim impersonierenden Benutzer Benutzer1 und Benutzer2 enthält, während die Benutzerliste beim Zielbenutzer nur Benutzer2 enthält, gilt die Benutzerliste des impersonierenden Benutzers als Obermenge der Benutzerliste des Zielbenutzers.
Daraus folgt: Wenn der impersonierende Benutzer die Systemprivilegien SET USER und CHANGE PASSWORD mit Erweiterungen hat, die ihre Verwendungsmöglichkeiten einschränken, aber der Zielbenutzer die Systemprivilegien ohne Einschränkungen hat, schlägt die Impersonierung fehl, weil die Mindestkriterien im Hinblick auf Erweiterungen nicht erfüllt sind.

Szenario 1

Betrachten Sie das folgende Szenario unter der Annahme, dass das zweite und dritte Kriterium erfüllt sind:

Es gibt fünf Benutzer: Benutzer1 Benutzer2, Benutzer3, Benutzer4 und Benutzer5.
Es gibt zwei Rollen: Rolle1 und Rolle2.
Benutzer1 wurde das SET USER-Systemprivileg mit ANY-Klausel erteilt.
Benutzer2 wurde das SET USER-Systemprivileg mit Benutzerliste-Klausel für Benutzer1 und Benutzer4 erteilt.
Benutzer3 wurde das SET USER-Systemprivileg erteilt, und zwar mit Benutzerliste-Klausel für Benutzer1, Benutzer2, Benutzer4 und Benutzer5 sowie mit der Klausel ANY WITH ROLES Rollenliste für Rolle1 und Rolle2.
Benutzer4 wurde das SET USER-Systemprivileg mit ANY-Klausel und mit der Rollenliste-Klausel für Rolle1 erteilt.
Benutzer5 wurde das SET USER-Systemprivileg erteilt, und zwar mit Benutzerliste-Klausel für Benutzer4 und mit der Klausel ANY WITH ROLES Rollenliste für Rolle1.
Benutzer1 und Benutzer4 können Benutzer2, Benutzer3 und Benutzer5 impersonieren, weil beiden das SET USER-Systemprivileg mit ANY-Klausel erteilt wurde (Kriterium 4).

Benutzer2, Benutzer3 und Benutzer5 können weder Benutzer1 noch Benutzer4 impersonieren, weil bei ihnen die Erteilung nicht mit ANY-Klausel erfolgt ist (Kriterium 4).

Benutzer2 kann aus den folgenden Gründen weder Benutzer3 noch Benutzer5 impersonieren:

Benutzer2 wird nicht das Recht erteilt, diese Benutzer zu impersonieren (Kriterium 1).
Das SET USER-Systemprivileg wird Benutzer2 nicht mit Rollenliste-Klausel erteilt (Kriterium 4).

Benutzer3 kann aus den folgenden Gründen Benutzer2 impersonieren:

Benutzer3 wird über die Benutzerliste-Klausel das Recht erteilt, Benutzer2 zu impersonieren (Kriterium 1).
Die Benutzerliste-Klausel für Benutzer3 ist eine Obermenge derjenigen von Benutzer2 (Kriterium 4). Obwohl die Erteilung bei Benutzer3 mit Rollenliste-Klausel erfolgt ist, müssen die Anforderungen für die Impersonierung von Benutzer2 nicht erfüllt werden, weil dieser nicht dieselbe Erteilung hat.

Benutzer3 kann aus den folgenden Gründen Benutzer5 impersonieren:

Benutzer3 wird über die Benutzerliste-Klausel das Recht erteilt, Benutzer5 zu impersonieren (Kriterium 1).
Die Liste in der Benutzerliste-Klausel für Benutzer3 ist eine Obermenge derjenigen von Benutzer5 (Kriterium 4).
Die Listen in den Rollenlisten-Klauseln von Benutzer3 und Benutzer5 sind äquivalent (Kriterium 4).

Benutzer5 kann aus den folgenden Gründen keinen der anderen Benutzer impersonieren:

Bei Benutzer1 und Benutzer4 ist die Erteilung mit ANY-Klausel erfolgt (Kriterium 4).
Bei Benutzer2 und Benutzer3 ist die Erteilung mit einer Benutzerliste-Klausel erfolgt, die keine Teilmenge derjenigen von Benutzer5 ist (Kriterium 4).

Szenario 2

Betrachten Sie das folgende Szenario unter der Annahme, dass das erste und vierte Kriterium erfüllt sind:

Es gibt zwei Benutzer: Benutzer6 und Benutzer7.
Es gibt zwei Rollen: Rolle4 und Rolle5.
Benutzer6 wurden Rolle4 mit WITH ADMIN OPTION-Klausel, Rolle5 mit der WITH ADMIN ONLY OPTION-Klausel und das MANAGE ANY USER-Systemprivileg mit WITH ADMIN OPTION-Klausel erteilt.
Benutzer7 wurden Rolle4 mit WITH ADMIN OPTION-Klausel und Rolle5 mit WITH NO ADMIN OPTION-Klausel erteilt.

Benutzer6 kann aus den folgenden Gründen Benutzer7 impersonieren:

Sowohl Benutzer6 und Benutzer7 werden Rolle4 und Rolle5 erteilt. Es ist unerheblich, dass Benutzer6 zusätzliche Privilegien (MANAGE ANY USER-Systemprivileg) erteilt wurden (Kriterium 2).
Benutzer6 wird Rolle4 mit gleichwertigen Administrationsrechten wie Benutzer7 erteilt. Benutzer6 wird Rolle5 mit mehr Administrationsrechten erteilt als Benutzer7 (Kriterium 3).

Benutzer7 kann aus den folgenden Gründen nicht Benutzer6 impersonieren:

Benutzer7 werden zwar Rolle4 und Rolle5 erteilt, aber nicht das MANAGE ANY USER-Systemprivileg (Kriterium 2).
Benutzer7 wird Rolle5 mit niedrigeren Administrationsrechten erteilt als Benutzer6 (Kriterium 3).

Szenario 3

Betrachten Sie das folgende Szenario:

Es gibt drei Benutzer: Benutzer8, Benutzer9 und Benutzer10.
Es gibt zwei Rollen: Rolle5 und Rolle6.
Benutzer8 wurden Rolle5 mit der WITH ADMIN OPTION-Klausel und das MANAGE ANY USER-Systemprivileg mit der WITH ADMIN OPTION-Klausel erteilt.
Benutzer9 und Benutzer10 wurde Rolle5 mit WITH NO ADMIN OPTION-Klausel erteilt.
Benutzer8 wurde das SET USER-Systemprivileg zum Impersonieren von Benutzer9 und Benutzer10 mit der Benutzerliste-Klausel erteilt.
Benutzer9 wurde das SET USER-Systemprivileg zum Impersonieren von Benutzer10 mit der Benutzerliste-Klausel erteilt.

Benutzer8 kann aus den folgenden Gründen Benutzer9 impersonieren:

Benutzer8 wird über die Benutzerliste-Klausel das Recht erteilt, Benutzer9 zu impersonieren (Kriterium 1).
Die Liste in der Benutzerliste-Klausel für Benutzer8 ist eine Obermenge derjenigen von Benutzer9 (Kriterium 4).
Sowohl Benutzer8 als auch Benutzer9 wird Rolle5 erteilt, wobei Benutzer8 mehr Administrationsrechte für die Rolle erteilt werden als Benutzer9 (Kriterien 2 und 3).

Benutzer8 kann aus den folgenden Gründen Benutzer10 impersonieren:

Benutzer8 wird das Recht erteilt, Benutzer10 zu impersonieren (Kriterium 1).
Da Benutzer10 nicht das SET USER-Systemprivileg erteilt wird, ist Kriterium 4 nicht anwendbar.
Sowohl Benutzer8 als auch Benutzer9 wird Rolle5 erteilt, und zwar mit denselben Administrationsrechten für die Rolle (Kriterien 2 und 3).

Benutzer9 kann aus den folgenden Gründen nicht Benutzer8 impersonieren:

Benutzer9 wird nicht das Recht erteilt, Benutzer8 zu impersonieren (Kriterium 1).
Obwohl Rolle5 sowohl Benutzer8 als auch Benutzer9 erteilt wird, erhält Benutzer9 weniger Administrationsrechte für die Rolle als Benutzer8 (Kriterium 3).

Die Validierung der Kriterien erfolgt beim Ausführen der SETUSER-Anweisung, nicht beim Erteilen des SET USER-Systemprivilegs. Wenn ein Benutzer beim Absetzen der SETUSER-Anweisung nicht alle Kriterien erfüllt, wird eine Meldung angezeigt, dass die Berechtigung verweigert wurde, und die Impersonierung beginnt nicht.

Siehe auch

Kommentieren Sie diese Seite in DocCommentXchange.