о різні імена user з різними правами доступу.
Отже, на рівні сервера система безпеки оперує такими поняттями:
· аутентифікація (authentication);
· обліковий запис (login);
· вбудовані ролі сервера (fixed server roles).
На рівні бази даних використовуються такі поняття:
· користувач бази даних (database user);
· фіксована роль бази даних (fixed database role);
· користувацька роль бази даних (users database role);
· роль додатки (application role).
1.2 Компоненти структури безпеки
Фундаментом системи безпеки SQL Server є облікові записи (login), користувачі (user), ролі (role) і групи (group). t
Користувач, що підключається до SQL Server, повинен ідентифікувати себе, використовуючи обліковий запис. Після того як клієнт успішно пройшов аутентифікацію, він отримує доступ до SQL Server. Для отримання доступу до будь-якій базі даних обліковий запис користувача (login) відображається в користувача даної бази даних (user). Об'єкт «користувач бази даних» застосовується для надання доступу до всіх об'єктів бази даних: таблиць, уявленням, збереженим процедурам і т. Д. У користувача бази даних може відображатися:
· обліковий запис Windows NT;
· група Windows NT;
· обліковий запис SQL Server.
Подібне відображення облікового запису необхідно для кожної бази даних, доступ до якої хоче отримати користувач. Відображення зберігаються в системній таблиці sysusers, яка є в будь-якій базі даних. Такий підхід забезпечує високий ступінь безпеки, оберігаючи від надання користувачам, які мають доступ до SQL Server, автоматичного доступу до всіх баз даних та їх об'єктам. Користувачі баз даних, у свою чергу, можуть об'єднуватися в групи і ролі для спрощення управлінням системою безпеки.
У ситуації, коли обліковий запис не відображається в користувача бази даних, клієнт все ж може отримати доступ до бази даних під гостьовим ім'ям guest, якщо воно, зрозуміло, є в базі даних. Зазвичай користувачеві guest надається мінімальний доступ тільки в режимі читання. Але в деяких ситуаціях і цей доступ необхідно запобігти.
1.3 Користувачі
Після того як користувач пройшов аутентифікацію і отримав ідентифікатор облікового запису (login ID), він вважається зареєстрованим і йому надається доступ до сервера. Для кожної бази даних, до об'єктів якої користувачеві необхідно отримати доступ, обліковий запис користувача (login) асоціюється з користувачем (user) конкретної бази даних. Користувачі виступають в якості спеціальних об'єктів SQL Server, за допомогою яких визначаються всі дозволи доступу і володіння об'єктами в базі даних.
При створенні бази даних визначаються два стандартних користувача: dbо і guest.
Рис. 1. Взаємозв'язок атрибутів користувача в SQL Server.
Якщо обліковий запис (login) не пов'язують явно з користувачем (user), останньому надається неявний доступ з використанням гостьового імені guest. Тобто всі облікові записи, які отримали доступ до SQL Server, автоматично відображаються в користувачів guest у всіх базах даних. Якщо ви видалите з бази даних користувача guest, то облікові записи, що не мають явного відображення облікового запису в ім'я користувача, не зможуть отримати доступу до бази даних. Тим не менш, guest не має автоматичного доступу до об'єктів. Власник об'єкта повинен сам вирішувати, дозволяти користувачеві guest цей доступ чи ні. Зазвичай користувачеві guest надається мінімальний доступ в режимі" тільки читання».
1.4 Ролі сервера
Роль - це потужний інструмент, що дозволяє об'єднувати користувачів, що виконують однакові функції, для спрощення адміністрування системи безпеки SQL Server, дозволяють надати операторам сервера тільки ті права, які адміністратор вважатиме за можливе надати. Ролі сервера не мають відношення до адміністрування баз даних. Можна включити будь-який обліковий запис SQL Server (login) або обліковий запис Windows NT в будь-яку роль сервера.
Стандартні ролі сервера (fixed Server roles) та їх права: - Може виконувати будь-які дії в SQL Server. Serveradmin - Виконує конфігурування і вимикання сервера.- Управляє пов'язаними серверами і процедурами, автоматично запускається при старті SQL Server.- Управляє обліковими записами і правами на створення бази даних, також може читати журнал ошібок.- Управляє процесами, запущеними в SQL Server.- Може створювати і модифікувати бази да...
