Система безопасности SQL Server 2000 Система безопасности SQL Server представляет собой шестиуровневую модель. Нижний уровень этой модели представлен физической системой безопасности. Она подразумевает защиту доступа к инфраструктуре, содержащей внутренние сетевые компоненты и серверное оборудование, поддерживающее работу SQL Server. На втором уровне обеспечивается безопасность сетевого протокола. Она включает такие компоненты, как изоляция транспортного протокола и шифрование пакетов. Третий уровень - доменная безопасность. Она реализуется в сетях Microsoft с помощью служб каталога Active Directory (AD) и самих доменов. На четвертом уровне обеспечивается безопасность локального компьютера. Это означает аудит средствами ОС, поддержка прав доступа к файлам и реестру, а также служб шифрования. Пятый уровень - система безопасности SQL Server, которая включает аутентификацию, авторизацию, шифрование и службы аудита. Наконец, шестой уровень занимает безопасность приложений. Приложение может расширять возможности системы безопасности SQL Server, дополняя ее собственными функциями безопасности. Аутентификация SQL Server 2000 поддерживает два режима аутентификации: средствами Windows и средствами SQL Server. Первая позволяет локальным или доменным учетным записям Windows (Windows NT или Windows 2000) подключаться к SQL Server. Вторая дает пользователям возможность подключаться к SQL Server с помощью идентификатора SQL Server. Допустимо сконфигурировать метод аутентификации на сервере во время установки SQL Server или позже с помощью диалогового окна SQL Server Properties (Configure) в Enterprise Manager (рис. 1). Параметры режима аутентификации позволяют использовать аутентификацию средствами Windows и SQL Server одновременно или только аутентификацию средствами Windows. Режим, в котором применяются оба метода аутентификации, называется смешанный режим (Mixed Mode). Использование аутентификации средствами Windows позволяет создать интегрированную систему регистрации пользователя, поскольку SQL Server использует ОС локального компьютера или контролера домена для проверки и сопровождения учетной записи пользователя. Также разрешено наделять привилегиями и лишать их группы Windows NT и Windows 2000. Привилегии, предоставленные группе или отобранные у нее, наследуют все ее члены. Явный отказ в предоставлении доступа (deny) заменяет все другие привилегии, назначенные пользователю или любым группам, членом которых он может быть. В Windows NT и Windows 2000 предусмотрены два типа групп, которым могут быть предоставлены права на подключение к серверу: группы на локальном компьютере и доменные группы. Первые хранятся в ОС компьютера, на котором работает SQL Server, и подразделяются на два типа: встроенные и пользовательские. Доменные группы хранятся на контроллерах домена Windows, они бывают трех типов: локальные для домена, глобальные и универсальные.
Рис. 1. Настройка аутентификации средствами Windows и SQL Server в Enterprise Manager Обычно учетные записи пользователей и групп в Windows называют просто учетными записями Windows. Аутентификация выполняется успешно, если учетной записи пользователя или его группе предоставлено право на подключите к SQL Server. При аутентификации средствами Windows пользователь может регистрироваться как на локальном компьютере SQL Server. так и на любом компьютере домена, при этом отдельная регистрация в SQL Server не требуется. Если настроена смешанная аутентификация, то методом по умолчанию для подключения к SQL Server является аутентификация средствами Windows. Случаи, когда аутентификация средствами SQL Server является единственным способом подключения к SQL Server, перечислены ниже: когда клиент и сервер относятся к разным пространствам имен идентификаторов. Если компьютер с SQL Server является автономным сервером, то клиент, зарегистрированный в домене, должен использовать аутентификацию срествами SQL Server. Клиент может использовать аутентификацию средствами Windows, если он зарегистрировался локально, SQL Server сконфигурирован как автономный сервер, а также на клиенте и сервере существуют одинаковые комбинации «учетная запись - пароль»; когда SQL Server работает в Windows 98 или Windows ME: SQL Server, установленный в Windows 98 или Windows ME. поддерживает только аутентификацию средствами SQL Server; если приложение написано специально для использования аутентификации средствами SQL Server. Некоторые учетные имена SQL Server (SQL Server account objects) создаются во время установки SQL Server, например системный администратор SQL Server (sa). Это учетное имя приписывается фиксированной роли на уровне сервера (серверной роли) SysAdmin и его нельзя удалить или модифицировать. Идентификатору sa соответствует особое пользовательское учетное имя: владелец базы данных (dbo), которое создастся в каждой БД. Помимо прочего, это соответствие делает dbo членом группы SysAdmin. О серверных ролях рассказано далее. Другое специальное учетное имя - guest - открывает доступ к БД любому пользователю, проверенному SQL Server. Авторизация Чтобы пользовательское учетное имя получило доступ к БД, одной аутентификации недостаточно. Кроме этого, у учетного имени, группы или роли, прошедшей аутентификацию, должно быть разрешение на исполнение SQL-выражений или на работу с объектами. Как правило, авторизация осуществляется в контексте БД. Таким образом, ограничивается область видимости пользовательского доступа. Например, разрешение на доступ к таблице из БД Pubs не дает пользователю права на доступ к объектам БД Master. Однако есть особые административные разрешения, область видимости которых распространяется на весь SQL Server. Группы и роли Назначение разрешений каждому пользователю в отдельности занимает много времени при сопровождении БД со средним и большим числом пользователей. Для облегчения рутинных административных операций по назначению разрешений пользователям SQL Server 2000 поддерживает группы Windows и роли SQL Server. Все группы, прошедшие аутентификацию, также подлежат авторизации. Роли похожи на группы, но создаются и сопровождаются в рамках SQL Server. Существует два типа ролей: стандартные и прикладные. Стандартным ролям (standard roles) назначаются привилегии, которые могут наследоватся пользователями, получающими членство в роли. Членами групп могут быть пользователи Windows и (в зависимости от типа группы) группы Windows. В отличие от групп стандартные роли могут содержать все типы учетных имен: учетные записи пользователей и групп Windows, идентификаторы SQL Server и другие стандартные роли. Поскольку привилегии являются кумулятивными, то с помощью вложенных групп и стандартных ролей (групп, содержащих другие группы и роли, которые тоже содержат группы и роли) можно построить иерархию привилегий. Например, если пользователю User0l назначена роль Role02, а сама она входит в Role01, то роль Role02 является вложенной для Role0l. Если назначить ролям Role01 и Role02 разные привилегии, то пользователь User01 будет обладать всеми привилегиями, назначенными для обеих ролей. Рис. 2 иллюстрирует описанные иерархические связи.
Содержание
Содержание 1 Система безопасности SQL Server 2000 2 Аутентификация 2 Авторизация 4 Группы и роли 4 Состояния разрешения 6 Разрешения на работу с объектами и выполнение SQL-выражений 7 Безопасность приложений 7 Рекомендации по проектированию системы безопасности 8 Пользователи, группы и роли 8 Разрешения 9 Реализация и администрирование системы безопасности 9 Управление аутентификацией 9 Настройка аутентификации в Enterprise Manager. 9 Настройка аутентификации с помощью Transact-SQL 10 Учетные записи Windows 10 Идентификаторы SOL Server 10 Управление авторизацией 10 Настройка авторизации в Enterprise Manager 11 Настройка авторизации с помощью Transact-SQL 11
тельные, которые напрямую зависят от жанра. Игры бывают самыми разными, но условно их принято делить на стратегии, 3D-Action и квесты.Стратегии развивают способность логически мыслить. 3D-Action и сим
Все файлы и директории имеют свои атрибуты, которые ограничивают к ним доступ с удалённых компьютеров.Клиент - программа, которая работает с сервером и предназначена для подачи запросов серверам и пр
есмотря на более чем полувековую историю вычислительной техники, формально годом рождения теории компиляторов можно считать 1957, когда появился первый компилятор языка Фортран, созданный Бэкусом и да
с интерфейсом 1-Wire заключается в необходимости использования для связи с ними только одной сигнальной линии и общего проводника. Питание и связь осуществляются через одно соединение. Для связи с так
ить следующие задачи:- выбрать подходящие типы данных для хранения информации класса- разработать функциональные методы для работы с данными- разработать функциональные операции для работы с экземпляр