 |
Администрирование системы безопасности SQL Server 2000
|
|
|
|
При установке SQL Server 2000 имеется возможность выбрать один из двух режимов аутентификации:
· средствами Windows NT или Windows 2000;
· средствами Windows NT/2000 или средствами SQL Server 2000.
В первом случае после успешной аутентификации с помощью Windows SQL Server автоматически обеспечивает доступ пользователя к требуемой экземпляру сервера и к нужной базе данных. Этот метод подключения называется методом установления доверительного подключения. В этом случае член стандартной роли sysadmin или securityadmin должен указать сервера, какие группы или пользователи Windows имеют доступ к серверу. Во время этого подключения пользователя его имя и пароль запрашивается только один раз при входе в систему Windows.
Во втором режиме системным администратором, входящим в роль sysadmin или securityadmin, должна быть создана и сконфигурирована учетная запись в SQL Server 2000 для каждого пользователя. Эта запись будет содержать собственное имя, имя экземпляра сервера и пароль. Две такие записи с именем BULTIN\Administrators и sa создаются автоматически, включаются также во встроенную роль сервера sysadmin, в результате системные администраторы получают полный доступ ко всем базам данных с именем пользователя dbo (DataBase Owner). Если функции системного администратора и администратора баз данных выполняют разные люди, следует исключить учетную запись BULTIN\Administrators. Запись sa не следует использовать, так как она предназначена для совместимости со старыми версиями SQL Server и для входа в сервер, если администратора баз данных создается отдельная учетная запись сервера sysadmin.
Таблица 13. Хранимые процедуры и команды языка Transact-SQL для управления системой безопасности сервера SQL Server 2000.
| sp_addapprole | – создать роль для приложения; |
| sp_addlogin | – создать новую учетную запись сервера; |
| sp_addrole | – создать новую роль в базе данных; |
| sp_addrolemamber | – добавить члена в роль базы данных; |
| sp_addsrvrolemember | – добавить члена в фиксированную роль сервера; |
| sp_addrolepassword | – изменить пароль для роли приложения; |
| sp_defaultdb | – изменить базу данных по умолчанию для учетной записи; |
| sp_defaultlanguage | – изменить язык по умолчанию для учетной записи; |
| sp_denylogin | – запретить доступ пользователю или группе Windows NT/2000; |
| sp_dropapprole | – удалить роль приложения; |
| sp_droplinkedsrvlogin | – удалить отображение учетной записи с другого сервера; |
| sp_droplogin | – удалить учетную запись сервера; |
| sp_droprole | – удалить роль базы данных; |
| sp_droprolemember | – удалить пользователя из роли базы данных; |
| sp_dropsrvrdemember | – удалить члена из роли сервера; |
| sp_grantdbaccess | – разрешить доступ к базе данных учетной записи сервера, пользователям и группам пользователей Windows NT/2000; |
| sp_grantlogin | – разрешить доступ к серверу; |
| sp_helpdbfixedrole | – выдать список фиксированных ролей в базе данных; |
| sp_helplogins | – посмотреть учетную запись; |
| sp_helpntgroup | – посмотреть группы NT в сервере; |
| sp_helprole | – посмотреть роли, определенные в базе данных; |
| sp_helpsrvrole | – выдать список фиксированных ролей сервера; |
| sp_helpsrvrolemember | – выдать информацию о членах роли сервера; |
| sp_helpuser | – посмотреть информацию о пользователе; |
| sp_password | – изменить пароль учетной записи сервера; |
| sp_setapprole | – инициализировать роль приложения; |
| GRANT | – предоставить доступ; |
| DENY | – запретить доступ; |
| REVOKE | – неявно отклонить доступ. |
|
|
|
После того как пользователь прошел аутентификацию и получил идентификатор учетной записи (LoginID), он считается зарегистрированным и ему предоставляется доступ к серверу. Учетная запись при создании была связанна с конкретной базой данных, а пользователь – с конкретным именем пользователя базы данных. Именно пользователи баз данных являются специальными объектами, которым предоставляются права доступа к данным. Если учетная запись не связывается с конкретным пользователем, то такому пользователю предоставляется неявный доступ с использованием гостевого имени guest, которому дается минимальные права владельца баз данных. Все учетные записи связаны с guest. Если в базе данных разрешен пользователь guest, то установленный для роли public доступ будут иметь все пользователи, получившие доступ к SQL Server.
|
|
|
Для управления системой безопасности сервера SQL Server 2000 можно использовать хранимые процедуры и команды языка Transact-SQL, представленные в таблице 13.
Для управления учетными записями SQL Server рекомендуется применять специальный интерфейс Enterprise Manager или системные хранимые процедуры.
В Enterprise Manager список учетных записей, сконфигурированных на сервере, содержится в папке \Security\Logins. Если выбрать эту папку в левой панели Enterprise Manager, то в правой части окна будет выведен список всех пользовательских учетных записей, которые содержатся в представлении syslogins (рисунок 20).
Рисунок 20. Папка Logins в окне Enterprise Manager.
Информация об учетных записях представлена в следующих столбцах:
· Name - имя учетной записи (максимальная длина 128 символов);
· Type - тип учетной записи (допустимые значения: NT User - пользователь WindowsNT, NT Group - группа Windows NT, Standard - пользователь SQL Server);
· Server Access - тип доступа к SQL Server 2000 (допустимые значения: Permit – разрешен, Deny – запрещен);
· Default Database - база данных по умолчанию;
· User - имя пользователя базы данных, в которого отображается данная учетная запись;
· Default Language - язык по умолчанию, установленный для учетной записи.
Для просмотра свойств учетной записи достаточно дважды щелкнуть левой кнопкой мыши на значке нужного пользователя. В ответ откроется диалоговое окно, содержащее информацию об учетной записи.
Для создания новой учетной записи сервера необходимо открыть контекстное меню объекта Logins, щелкнув по нему правой клавишей мыши и выбрать пункт New Login. В появившемся диалоговом окне на вкладке General (Общие) в поле Name ввести имя учетной записи. Выбрать тип аутентификации: Windows NT Authentication или SQL Server Authentication. Если выбрана аутентификация Windows NT, то задать в поле Domain имя домена, в котором учтен пользователь или группа Windows NT. Имя заданного домена добавится впереди имени пользователя также и в поле Name (для выбора домена использовать кнопку «…»). В группе Security Access (безопасный доступ) установить переключатель Grant access (доступ разрешен). Установка переключателя Deny Access навсегда запретит регистрацию пользователя или домена Windows NT. Если выбрана аутентификация SQL Server, то задать только пароль для учетной записи. Задав параметры аутентификации Windows NT или SQL Server, указать в группе Default (умолчание) имя базы данных в поле Database, к которой пользователь будет подключаться автоматически, и язык Language (Russian). Если имя базы данных не задать, то сервер будет автоматически подключать к базе master. Включить создаваемую учетную запись в требуемую встроенную роль сервера, установив флажок против этой роли на вкладке Server Role. На вкладке Database Access выбрать требуемую базу данных, установив флажок слева от ее имени, и задать имя пользователя, в которое будет отображаться рассматриваемая учетная запись, а в нижней части вкладки с помощью флажка включить пользователя в ту или иную роль в зависимости от его работы с базой данных. Щелкнуть по кнопке Properties (Свойства) и просмотреть список пользователей, включенных в выбранную роль рассматриваемой базы данных. Щелкнуть по кнопке Permissions (права) и просмотреть список прав, предусмотренных выбранной роли базы данных.
|
|
|
Рисунок 21. Окно SQL Server Login Properties (Свойства учетной записи), вкладка General (Общие).
Создать учетную запись сервера, используя мастер Create Login Wizard, можно в Enterprise Manager, выполнив команду Run a Wizard/Create Login Wizard. В открывшемся окне мастера ознакомиться с этапами создания учетной записи сервера:
· Select an authentication mode – выбрать режим аутентификации;
· Grant access to security roles – предоставить доступ секретным ролям;
· Grant access to databases – предоставить доступ к базам данных.
В следующем окне выбрать режим аутентификации: Windows NT или SQL Server. Если выбран режим аутентификации Windows NT, то во вновь открывшемся окне в поле Windows NT account задать имя учетной записи ил группы Windows NT и домена и указать тип доступа: Grant access to the server (предоставить доступ к серверу) или Deny access to the server (запретить доступ к серверу). Если выбран режим аутентификации SQL Server, то помимо имени учетной записи, задаваемой в поле LoginID указать пароль в поле Password (пароль) и в поле Confirm Password (подтвердите пароль). Этот пароль пользователь будет использовать при подключении к SQL серверу. Далее включить учетную запись в требуемые фиксированные роли сервера, устанавливая против роли флажок. В следующем окне разрешить для учетной записи доступ к базам данных отмечая их флажками. На последнем шаге Мастер автоматически создаст имена пользователей баз данных.
|
|
|
Для того, чтобы включить учетную запись пользователя или группы пользователей Windows NT/2000 в фиксированную роль сервера с помощью Enterprise Manager, необходимо выбрать требуемый сервер и объект Logins (учетные записи). Дважды щелкнуть по требуемой учетной записи сервера. В открывшемся окне Server Login Properties открыть вкладку Server role. Установить флажки возле тех ролей сервера, в которые требуется включить конфигурированную запись.
Создать нового пользователя базы данных для учетной записи Windows NT/2000 с помощью Enterprise Manager можно, выбрав требуемый сервер и требуемую базу данных. Выбрать в раскрывшемся списке объектов рассматриваемой базы данных объект Users (пользователи). Щелкнуть правой клавишей мыши и открыть контекстное меню объекта Users (пользователи). В контекстном меню исполнить команду New Database User (новый пользователь базы данных). В открывшемся диалоговом окне ввести:
· в поле Login Name – имя учетной записи пользователя или группы пользователей Windows NT/2000$
· в поле User Name – имя нового пользователя рассматриваемой базы данных.
Включить нового пользователя в необходимые роли базы данных. Для этого требуемые роли надо отметить флажками в списке фиксированных ролей базы данных, расположенном в нижней части окна. Щелкнуть по кнопке Properties и, просмотрев список всех пользователей базы данных, убедиться, что новый пользователь включен в этот список. Щелкнуть по кнопке Permission и задать права доступа пользователя к объектам базы данных: select, insert, update, delete, exec, dry. В окне находится полный список объектов базы данных. Щелкнуть по кнопке Columns (столбцы) для выбранной таблицы базы данных и задать права доступа к конкретным столбцам таблицы: select и /или update.
Создать новую пользовательскую роль баз данных с помощью Enterprise Manager, можно выбрав требуемую базу данных и объект Role (роль). Открыть контекстное меню объекта Role (роль). Исполнить команду меню New Database Role (новая роль базы данных). В открывшемся диалоговом окне ввести имя роли в поле Name, которое должно быть уникальным в пределах базы данных. Выбрать тип роли: стандартная роль Standart role или роли приложения Application Role. Если выбрана стандартная роль, то с помощью кнопки «добавить» Add включить в нее нужных пользователей. Если выбрана роль приложения, то ввести в поле Password пароль, который будет использоваться для инициализации данной роли приложения. Нельзя добавлять пользователей в роль приложения. Для создания стандартной роли или роли приложения (для пользовательской роли) задать права доступа к объектам базы данных на вкладке Permissions (права) выделить очередной объект базы данных; а затем для каждого права: select, insert, update, delete, exec, DRI –установить одно из трех состояний доступа: V – GRANT – предоставить; X – Deny – запретить; «пусто» - REVOKE – неявное отклонение.
|
|
|
|
|
|
