Skocz do zawartości

Subiekt nexo

Rachmistrz nexo

Rewizor nexo

Gratyfikant nexo

Gestor nexo

Biuro nexo

Subiekt 123

Subiekt GT

Rachmistrz GT

Rewizor GT

Gratyfikant GT

Gestor GT

Biuro GT

Autentykacja Windows, blokada dostępu do bazy SQL i do SQL management Studio

dodany przez Łukasz Kierus,
w Sprawy techniczne

Polecane posty

Łukasz Kierus

Łukasz Kierus 0

Napisano
Napisano w Autentykacja Windows, blokada dostępu do bazy SQL i do SQL management Studio

Witam

 

Zapewne okaże się, że niezbyt dokładnie szukałem ale póki co nie znalazłem rozwiązania problemu. Dążymy do tego, żeby każdy użytkownik dobijał się do bazy swoim loginem z AD czyli chcemy zacząć używać autentykacji Windows a nie jednego wspólnego loginu. Problematyczne dla nas jest to, że takiemu loginowi trzeba dać uprawnienie dbowner a bardzo nie chcemy tego robić, ponieważ w skrajnym przypadku ktoś może namieszać nam w bazie inaczej niż przez Subiekta czy Rewizora. Mamy środowisko domenowe i w teorii nikt sam sobie nie zainstaluje SQLyoga czy SQL management studio ale chcemy do minimum ograniczyć dostęp użytkowników do bazy inaczej niż przez Subiekta. Przykładowo 

DENY VIEW ANY DATABASE TO 'loginName' powoduje, że user nie widzi żadnego podmiotu. Myśleliśmy też o blokadzie od strony sieci, to znaczy że wszystkie inne porty których używa SQL a nie używa Subiekt zablokować ale nie jesteśmy pewni czy da się te porty jednoznacznie oddzielić od siebie.

 

Będziemy wdzięczni za pomoc.

Link to postu
Daniel Kozłowski

Daniel Kozłowski 1 171

Napisano
Napisano w Autentykacja Windows, blokada dostępu do bazy SQL i do SQL management Studio
8 minut temu, Łukasz Kierus napisał:

Dążymy do tego, żeby każdy użytkownik dobijał się do bazy swoim loginem z AD czyli chcemy zacząć używać autentykacji Windows a nie jednego wspólnego loginu.

Loginów SQL'owych też można założyć wiele, nie ma obowiązku pracy na jednym ?

 

12 minut temu, Łukasz Kierus napisał:

Problematyczne dla nas jest to, że takiemu loginowi trzeba dać uprawnienie dbowner a bardzo nie chcemy tego robić, ponieważ w skrajnym przypadku ktoś może namieszać nam w bazie inaczej niż przez Subiekta czy Rewizora. Mamy środowisko domenowe i w teorii nikt sam sobie nie zainstaluje SQLyoga czy SQL management studio ale chcemy do minimum ograniczyć dostęp użytkowników do bazy inaczej niż przez Subiekta.

Proszę sobie odpowiedzieć na pytanie - jakie uprawnienia powinien mieć użytkownik SQL, aby programy Insertu po zalogowaniu się na niego mogły dodawać i usuwać dokumenty / kartoteki, a nie mogły zrobić tego innego aplikacje logujące się na tego samego użytkownika, aby nie "namieszać" ?

 

Proszę pamiętać, że nie trzeba instalować aplikacji w systemie operacyjnym, aby móc ją uruchomić, podłączyć się do bazy danych i wykonać na niej operację, aplikację taką wystarczy skopiować, może to również zrealizować skrypt vba, itp.

 

W efekcie autentykacja Windows otwiera wiele furtek, a nie zamyka.

 

15 minut temu, Łukasz Kierus napisał:

Zapewne okaże się, że niezbyt dokładnie szukałem ale póki co nie znalazłem rozwiązania problemu.

Z tego co mi się przypomina to dyskutowaliśmy o tym na jednym ze spotkań.

Link to postu
Przejdź do listy tematów
×
×
  • Dodaj nową pozycję...