Сделай Сам Свою Работу на 5

Режимы работы безопасности SQL Server





Ректор университета

__________А.В. Лагерев

“__”________ 2007 г.

 

БАЗЫ ДАННЫХ

АДМИНИСТРИРОВАНИЕ СЕРВЕРА

И СИСТЕМЫ БЕЗОПАСНОСТИ.

АВТОМАТИЗАЦИЯ АДМИНИСТРИРОВАНИЯ.

УПРАВЛЕНИЕ ПРАВАМИ ДОСТУПА.

 

 

Методические указания к выполнению

Лабораторной работы № 11

для студентов дневной формы обучения

Специальности 230105 «Программное обеспечение ВТ и АС»

 

БРЯНСК 2007

УДК 004.65

 

 

Базы данных: Администрирование сервера и системы безопасности. Автоматизация администрирования. Управление правами доступа: методические указания к выполнению лабораторной работы № 11 для студентов дневной формы обучения специальности 230105 «Программное обеспечение ВТ и АС». – Брянск: БГТУ, 2007 – 16 с.

 

Разработал:

Д.И. Копелиович

доцент, канд. техн. наук

 

 

Рекомендовано кафедрой «Информатика и программное обеспечение» БГТУ (протокол № 10 от 06.06.07)

 


 

ЦЕЛЬ РАБОТЫ

Изучить вопросы администрирования SQL сервера и системы безопасности, научиться управлять правами доступа к базам данных. Приобрести практические навыки по управлению пользователями в Microsoft SQL Server 2000.



Продолжительность работы – 4 часа.

ПОРЯДОК ВЫПОЛНЕНИЯ РАБОТЫ

 

Последовательность выполнения лабораторной работы:

1) изучение теоретических вопросов;

2) выполнение практических заданий;

3) защита лабораторной работы.

ТЕОРЕТИЧЕСКИЕ СВЕДЕНИЯ

 

После установки SQL сервера, в первую очередь необходимо обеспечить пользователям доступ к базам данных. На этом этапе следует грамотно спланировать права доступа к данным.

Планируя права доступа, необходимо исходить из принципа, что пользователь должен иметь доступ только к той информации, которая ему необходима в соответствии с его обязанностями. Не стоит предоставлять главному бухгалтеру доступ к информации технического отдела. Также как не нужно главному инженеру предоставлять доступ к информации о заработной плате его сотрудников. Несоблюдение этого простого правила может привести к плачевным последствиям.

 

Архитектура системы безопасности

 

SQL Server 2000 является системой, удовлетворяющей самым жестким требованиям к безопасности информации. Система безопасности строится на основе двух фундаментальных концепций: аутентификации и авторизации. Аутентификация – это процедура подтверждения личности пользователя. Авторизация – это процесс подтверждения определенных прав или разрешений пользователя.



Условно система безопасности может быть разделена на два уровня:

· уровень сервера;

· уровень базы данных.

 

На уровне сервера разрешается или отклоняется доступ пользователей к самому серверу. На уровне базы данных пользователи, имеющие доступ на уровне сервера, получают доступ к объектам базы данных. Такой подход позволяет более гибко управлять доступом пользователей к базам данных.

В SQL Server используются следующие понятия:

Имя учетной записи (login name или login ID) – идентификационное имя пользователя.

Пользователь (user или user account) – идентификатор пользователя в базе данных. Когда пользователь подключается к SQL Server, его имени учетной записи ставятся в соответствие имена пользователя в базах данных, к которым разрешен доступ.

Роль (role) – объект, содержащий идентификатор и другие атрибуты набора пользователей.

Пользователи проходят два этапа проверки системой безопасности. На первом этапе пользователь идентифицируется по имени учетной записи и паролю, то есть проходит аутентификацию. Если данные введены правильно, пользователь подключается к SQL Server. Регистрация не дает автоматического доступа к базам данных. Для каждой базы данных сервера регистрационное имя должно отображаться в имя пользователя базы данных. На втором этапе, на основе прав, выданных пользователю, его регистрационное имя получает доступ к соответствующей базе данных. В разных базах данных одно регистрационное имя может иметь разные имена пользователя с разными правами доступа.



Пользователи баз данных могут объединяться в группы и роли для упрощения управления системой безопасности.

 

Роли в SQL Server

 

Роли — это средство объединения учетных записей в группы с целью упрощения администрирования. Включив учетную запись в ту или иную роль сервера, можно предоставить ей определенный набор прав по администрированию сервера и доступа к базе данных.

Роли SQL Server делятся на три группы:

 

· фиксированные серверные роли;

· фиксированные роли в базах данных;

· пользовательские роли в базах данных.

 

Ни одну из фиксированных ролей нельзя удалить.

В SQL Server определено восемь фиксированных серверных ролей. Каждой из них назначены разрешения, позволяющие выполнять определенные действия на уровне сервера: управлять учетными записями, создавать базы данных и т.д. Разрешения фиксированной серверной роли нельзя изменить; невозможно также создать новую серверную роль. Если учетная запись принадлежит некоторой роли, она имеет все ее разрешения.

Далее приведены фиксированные серверные роли.

 

Bulkadmin – выполняет инструкции BULK INSERT.

Dbcreator – создает и модифицирует базу данных.

Diskadmin – управляет дисковыми файлами.

Processadmin – управляет процессами SQL Server.

Securityadmin – администрирует объекты login.

Serveradmin – настраивает опции сервера.

Setupadmin – настраивает репликацию и управляет расширенными процедурами.

Sysadmin – выполняет на сервере любые операции.

 

По умолчанию, В SQL Server используется учетная запись под именем «sa». Она принадлежит фиксированной серверной роли «sysadmin», имеющей доступ ко всем объектам SQL Server.

Роли базы данных позволяют объединять пользователей в одну административную единицу и работать с ней как с обычным пользователем. Правами доступа к объектам базы данных определенной роли, автоматически наделяются все пользователи, включенные в эту роль.

Для каждой базы данных в SQL Server определено по десять фиксированных ролей. Все системные роли в базе данных, за исключением роли public, имеют фиксированные наборы разрешений, которые нельзя изменять.

Фиксированные роли в базе данных следующие:

 

Db_accessadmin – добавляет новых пользователей базы данных и удалять существующих.

Db_backupoperator – выполняет резервное копирование базы данных.

Db_datareader – читает все данные во всех пользовательских таблицах базы данных.

Db_datawriter – добавляет, обновляет и удаляет данные любых таблиц базы данных.

Db_ddladmin – создает, изменяет и удаляет объекты базы данных

Db_danydatareader – устанавливает запрет на считывание данных, хранящихся в таблице базы данных

Db_danydatawriter – устанавливает запрет на модификацию данных, хранящихся в базе данных

Db_owner – выполняет в базе данных любые операции

Db_securityadmin – управляет всеми разрешениями базы данных

Public – выполняет только те операции, на которые этой роли предоставлены явные разрешения.

 

В любой базе данных автоматически создаются два пользователя:

· dbo (database owner). Это специальный пользователь базы данных, являющийся ее владельцем. Владелец базы данных имеет абсолютные права по ее управлению. Пользователя dbo нельзя удалить. По умолчанию в пользователя dbo отображается учетная запись sa, которой тем самым предоставляются максимальные права в базе данных. Кроме того, все члены роли базы данных db_owner также считаются владельцами базы данных. Пользователь dbo включен в роль db_owner и не может быть удален из нее;

· guest. Если учетной записи явно не предоставлен доступ к базе данных, то она автоматически отображается сервером в пользователя guest. С помощью этого пользователя можно предоставлять разрешения на доступ к объектам базы данных, необходимые любому пользователю. Разрешив доступ пользо­вателю guest, вы, тем самым, даете аналогичные права доступа всем учетным записям, сконфигурированным на SQL Server 2000. Для повышения безопасности хранящейся информации рекомендуется удалять пользователя guest из базы данных.

Владелец базы данных или авторизированный пользователь может создавать пользовательские роли и назначать этим ролям разрешения на доступ к объектам, а также на выполнение инструкций. Каждый новый пользователь базы данных автоматически становится членом системной роли public. Пользовательские роли в базах данных могут быть вложенными.

Каждой роли устанавливаются определенные права на доступ к объектам базы данных. Объектами являются таблицы, столбцы таблиц, представления, хранимые процедуры. Таким образом, контролируется возможность выполнения пользователем команд SELECT, INSERT, UPDATE, DELETE для таблиц и представлений, и команды EXECUTE для хранимых процедур.

 

Режимы работы безопасности SQL Server

 

Подобно Windows NT, SQL Server требует, чтобы каждый пользователь указывал свое идентификационное имя. Однако SQL Server можно настроить так, чтобы он автоматически получал имя пользователя от Windows, не требуя, чтобы пользователь сам явно указывал его. Таким образом, SQL Server можно настроить для работы в одном из двух режимов безопасности:

 

· режим аутентификации Windows;

· режим смешанной аутентификации.

 

В режиме аутентификации Windows для подключения к SQL Server применяется имя пользователя Windows.

Режим смешанной аутентификации позволяет использовать аутентификацию Windows, но в тех случаях, когда она невозможна, пользователь должен явно указать имя учетной записи и пароль.

При выборе режима аутентификации следует исходить как из требований обеспечения наибольшей безопасности, так и из соображений простоты администрирования. В небольшой организации, где функции системного администратора и администратора баз данных выполняет один человек, удобнее использовать аутентификацию Windows. Если же пользователей базы данных более сотни, удобнее может оказаться аутентификация средствами SQL Server.

 

 








Не нашли, что искали? Воспользуйтесь поиском по сайту:



©2015 - 2024 stydopedia.ru Все материалы защищены законодательством РФ.