Опция OR REPLACE заставляет в случае, если пользователь существует в БД, удалять и пересоздавать его под тем же именем, но с указанными параметрами.

Опция IF NOT EXISTS отменяет выполнение оператора, если указанный пользователь уже существует в БД.

Для создания нового пользователя необходимо иметь уровень прав DBA.

< Имя пользователя > должно быть уникальным среди имен пользователей, схем и ролей БД.

После отправки клиентским приложением имени и пароля пользователя для его идентификации и аутентификации осуществляется их автоматическое преобразование из кодировки клиентского приложения в кодировку словаря БД. Данная операция критична, например, для русских имён пользователей ('Администратор', 'Гость' и т. п.). В этом случае для словаря СУБД ЛИНТЕР должна быть установлена кодировка, отличная от DEFAULT (кодировки по умолчанию), а в системной таблице $$$CHARSET должна присутствовать кодировка, заданная для ОС клиентского приложения.

Например, аутентификация с русскими именами пользователей на русифицированной ОС Windows будет отработана корректно, если для клиентского приложения установлена кодировка "CP866", "CP1251", "KOI8-R" или другая, поддерживающая русские символы, и эта же кодировка присутствует в таблице кодировок БД.

В процессе авторизации пользователю, созданному командой CREATE USER и прошедшему аутентификацию, присваивается CONNECT-категория (т.е. доступ к БД с возможностью подавать SQL-запросы на манипулирование данными с теми объектами БД, владельцы которых предоставили ему такое право).

< Пароль > не должен превышать 18 символов.

< Пароль > регистрозависимый.

Пример

Это разные пароли:

create or replace user guest identified by 'qwerty123';
create or replace user guest identified by 'Qwerty123';

Восстановить утерянный < пароль > невозможно.

Создание пользователя с аутентификацией средствами ОС (встроенная в ОС аутентификация) возможно только в операционных системах, которые поддерживают эту функциональность (семейство Windows NT, SunOS, FreeBSD, Linux). В этом случае в ОС должна быть учётная запись пользователя с таким именем.

В ОС Windows NT пользователь ОС, для которого в базе данных устанавливается режим аутентификации средствами ОС, должен иметь привилегию SE_TCB_NAME («Act as part of the Operating System» – «Работа в режиме операционной системы»).

Конструкция устанавливает для пользователя режим встроенной аутентификации операционной системы. Это означает, что при доступе к БД надо указывать имя, идентичное имени при регистрации в ОС, и тот же пароль, что и при регистрации в ОС. Пароль при этом не хранится в БД. СУБД ЛИНТЕР выполняет только идентификацию пользователя с указанным именем и дает ему и разрешение на доступ к БД, а аутентификацию выполняет ОС.

В UNIX-системах создание пользователя со встроенной аутентификацией выполняется с помощью разделяемой библиотеки PAM (Pluggable Authentication Modules – подключаемые модули аутентификации). Вследствие этого пользователь ОС, от имени которого запускается ядро СУБД ЛИНТЕР, должен иметь доступ на чтение паролей ОС.

Конструкция задает идентификацию и аутентификацию пользователя при проверке доступа к БД по имени пользователя, зарегистрированного в ОС.

При запуске клиентских приложений, выполняющих соединение с СУБД ЛИНТЕР, имя пользователя надо задавать пустым (пароль в этом случае запрашиваться не будет).

create or replace user "Sakharov" identified by protocol;
inl –u /

или

inl < Enter >
Имя пользователя   : < Enter >
Пароль пользователя: < Enter >
SQL >

Пользователь-владелец БД не может идентифицироваться и аутентифицироваться таким способом.

Доступ к БД будет проверяться от имени текущего пользователя ОС.

Конструкция устанавливает для пользователя парольный режим контроля доступа через LDAP-сервер. Для успешной идентификации и аутентификации требуется соответствие предъявленного имени и пароля соответствующим атрибутам одного из пользователей в БД LDAP-сервера. При неудачной попытке аутентификации по любой причине (несоответствие пароля, отсутствие пользователя или недоступность LDAP-сервера) возвращается код завершения 1026 «Неверный пароль».

При создании пароля на LDAP-сервере необходимо избегать паролей с конечными пробелами, поскольку они интерпретируются СУБД ЛИНТЕР и LDAP-сервером по-разному.

Конструкция устанавливает для пользователя режим идентификации и аутентификации через Kerberos-сервер. Для входа под данным пользователем необходимо указывать пустые имя и пароль пользователя и/или задать специальный флаг в команде соединения с СУБД ЛИНТЕР в интерфейсе нижнего уровня.

Для идентификации и аутентификации по Kerberos-протоколу требуется, чтобы ядро СУБД ЛИНТЕР и «Центр распространения ключей» (KDC) Kerberos-сервера находились в ОС одного типа (либо семейства Windows, либо семейства UNIX-подобных).

Назначаемые < идентификаторами > уровень доступа < RAL > и уровень доверия < WAL > (см. документ «СУБД ЛИНТЕР. Администрирование комплекса средств защиты данных», подпункт «Метка субъекта») должны быть определены в системной таблице $$$LEVEL.

Если < RAL > и < WAL > не заданы, по умолчанию назначаются пустые метки доступа (это означает, что такой пользователь не будет иметь доступ ни к каким защищаемым метками доступа объектам БД).

< Имя группы > должно быть определено до добавления в нее пользователя.

< Имя группы > задает принадлежность пользователя к указанной группе (с соответствующими этой группе правами доступа к объектам БД).