Архитектура системы безопасности SQL Server 2000
Система безопасности SQL Server 2000 базируется на пользователях и учетных записях. Пользователи проходят следующие два этапа проверки системой безопасности. На первом этапе пользователь идентифицируется по имени учетной записи и паролю, то есть проходит аутентификацию. Если данные введены правильно, пользователь подключается к SQL Server. Подключение к SQL Server, или регистрация, не дает автоматического доступа к базам данных. Для каждой базы данных сервера регистрационное имя (или учетная запись — login) должно отображаться в имя пользователя базы данных (user). На втором этапе, на основе прав, выданных пользователю как пользователю базы данных (user), его регистрационное имя (login) получает доступ к соответствующей базе данных. В разных базах данных login одного и того же пользователя может иметь одинаковые или разные имена user с разными правами доступа.
Для доступа приложений к базам данных им также понадобятся права. Чаще всего приложениям выдаются те же права, которые предоставлены пользователям, запускающим эти приложения. Однако для работы некоторых приложений необходимо иметь фиксированный набор прав доступа, не зависящих от прав доступа пользователя. SQL Server 2000 позволяет предоставить такие с применением специальных ролей приложения.
Итак, на уровне сервера система безопасности оперирует следующими понятиями:
О аутентификация (authentication);
О учетная запись (login);
|
|
|
О встроенные роли сервера (fixed server roles).
На уровне базы данных используются следующие понятия: О пользователь базы данных (database user); О фиксированная роль базы данных (fixed database role); О пользовательская роль базы данных (users database role); О роль приложения (application role).
Режимы аутентификации
SQL Server 2000 может использовать два режима аутентификации пользователей: О режим аутентификации средствами Windows NT/2000 (Windows NT Authentication);
О смешанный режим аутентификации (Windows NT Authentication and SQL
Server Authentication).
Смешанный режим позволяет пользователям регистрироваться как средствами Windows NT, так и средствами SQL Server. Кроме того, этот режим предлагает некоторые удобства по сравнению с первым. В частности, при аутентификации только средствами домена Windows NT, если пользователь не имеет учетной записи в домене Windows NT, то он не сможет получить доступа к серверу баз данных. Смешанный режим аутентификации позволяет избежать этой проблемы.
При выборе режима аутентификации следует исходить как из требований обеспечения наибольшей безопасности, так и из соображений простоты администрирования. Если ваша организация небольшая и должности администратора сети и администратора баз данных совмещает один человек, то удобнее использовать аутентификацию Windows NT. Если же в организации сотни пользователей и функции системного администратора и администратора баз данных выполняют различные люди, то может оказаться, что аутентификация средствами SQL Server удобнее. В противном случае человеку, занимающемуся администрированием сервера баз данных, придется постоянно обращаться к системному администратору для создания нового пользователя, смены пароля или для перевода пользователя из одной группы в другую. К тому же системный администратор будет иметь возможность назначать права доступа по своему усмотрению, а это совсем ни к чему.
|
|
|
С другой стороны, каждый пользователь организации, скорее всего, имеет в домене учетную запись, администрированием которой занимается системный администратор. Благодаря аутентификации Windows NT администратор баз данных может использовать уже готовые учетные записи, а не отвлекаться на создание новых.
Обратите внимание, что речь идет только о праве подключения пользователя к серверу баз данных. После регистрации пользователя в SQL Server способ проверки прав доступа к конкретной базе данных одинаков для обоих режимов аутентификации.
Дата добавления: 2019-07-15; просмотров: 191; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!