SQLServer数据库安详筹划全攻略
|
在改造SQL Server 7.0系列所实现的安详机制的进程中,Microsoft成立了一种既机动又强盛的安详打点机制,它可以或许对用户会见SQL Server处事器体系和数据库的安详举办全面地打点。凭证本文先容的步调,你可觉得SQL Server 7.0(或2000)结构出一个机动的、可打点的安详计策,并且它的安详性经得起检验。 一、验证要领选择 本文对验证(authentication)和授权(authorization)这两个观念作差异的表明。验证是指检讨用户的身份标识;授权是指应承用户做些什么。在本文的接头中,验证进程在用户登录SQL Server的时辰呈现,授权进程在用户试图会见数据或执行呼吁的时辰呈现。 结构安详计策的第一个步调是确定SQL Server用哪种方法验证用户。SQL Server的验证是把一组帐户、暗码与Master数据库Sysxlogins表中的一个清单举办匹配。Windows NT/2000的验证是哀求域节制器搜查用户身份的正当性。一样平常地,假如处事器可以会见域节制器,我们应该行使Windows NT/2000验证。域节制器可所以Win2K处事器,也可所以NT处事器。无论在哪种环境下,SQL Server都吸取到一个会见标志(Access Token)。会见标志是在验证进程中结构出来的一个非凡列表,个中包括了用户的SID(安详标识号)以及一系列用户地址组的SID。正如本文后头所先容的,SQL Server以这些SID为基本授予会见权限。留意,操纵体系怎样构拜会见标志并不重要,SQL Server只行使会见标志中的SID。也就是说,岂论你行使SQL Server 2000、SQL Server 7.0、Win2K照旧NT举办验证都无关紧急,功效都一样。 假如行使SQL Server验证的登录,它最大的甜头是很轻易通过Enterprise Manager实现,最大的弱点在于SQL Server验证的登录只对特定的处事器有用,也就是说,在一个多处事器的情形中打点较量坚苦。行使SQL Server举办验证的第二个重要的弱点是,对付每一个数据库,我们必需别离地为它打点权限。假如某个用户对两个数据库有沟通的权限要求,我们必需手工配置两个数据库的权限,可能编写剧本配置权限。假如用户数目较少,好比25个以下,并且这些用户的权限变革不是很频仍,SQL Server验证的登录或者合用。可是,在险些全部的其他环境下(有一些破例环境,譬喻直接打点安详题目的应用),这种登录方法的打点承担将高出它的利益。 二、Web情形中的验证 纵然最好的安详计策也经常在一种气象前屈服,这种气象就是在Web应用中行使SQL Server的数据。在这种气象下,举办验证的典范要领是把一组SQL Server登录名称和暗码嵌入到Web处事器上运行的措施,好比ASP页面可能CGI剧本;然后,由Web处事器认真验证用户,应用措施则行使它本身的登录帐户(可能是体系打点员sa帐户,可能为了利便起见,行使Sysadmin处事器脚色中的登录帐户)为用户会见数据。 这种布置有几个弱点,个中最重要的包罗:它不具备对用户在处事器上的勾当举办考核的手段,完全依靠于Web应用措施实现用户验证,当SQL Server必要限制用户权限时差异的用户之间不易区别。假如你行使的是IIS 5.0可能IIS 4.0,你可以用四种要领验证用户。第一种要领是为每一个网站和每一个假造目次建设一个匿名用户的NT帐户。从此,全部应用措施登录SQL Server时都行使该安详情形。我们可以通过授予NT匿名帐户吻合的权限,改造考核和验证成果。 第二种要领是让全部网站行使Basic验证。此时,只有当用户在对话框中输入了正当的帐户和暗码,IIS才会应承他们会见页面。IIS依赖一个NT安详数据库实现登录身份验证,NT安详数据库既可以在当地处事器上,也可以在域节制器上。当用户运行一个会见SQL Server数据库的措施可能剧本时,IIS把用户为了赏识页面而提供的身份信息发送给处事器。假如你行使这种要领,应该记着:在凡是环境下,赏识器与处事器之间的暗码传送一样平常是不加密的,对付那些行使Basic验证而安详又很重要的网站,你必需实现SSL(Secure Sockets Layer,安详套接字层)。 在客户端只行使IE 5.0、IE 4.0、IE 3.0赏识器的环境下,你可以行使第三种验证要领。你可以在Web网站上和假造目次上都启用NT验证。IE会把用户登录计较机的身份信息发送给IIS,当该用户试图登录SQL Server时IIS就行使这些登录信息。行使这种简化的要领时,我们可以在一个长途网站的域上对用户身份举办验证(该长途网站登录到一个与运行着Web处事器的域有着信赖相关的域)。 最后,假如用户都有小我私人数字证书,你可以把那些证书映射到当区域的NT帐户上。小我私人数字证书与处事器数字证书以同样的技能为基本,它证明用户身份标识的正当性,以是可以代替NT的Challenge/Response(质询/回应)验证算法。Netscape和IE都自动在每一个页面哀求中把证书信息发送给IIS。IIS提供了一个让打点员把证书映射到NT帐户的器材。因此,我们可以用数字证书代替凡是的提供帐户名字和暗码的登录进程。 由此可见,通过NT帐户验证用户时我们可以行使多种实现要领。纵然当用户通过IIS超过Internet毗连SQL Server时,选择仍然存在。因此,你应该把NT验证作为首选的用户身份验证步伐。 [1] [2] [3] 下一页 (编辑:河北网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
