1、第六章 安全性管理,实施身份验证模式 为用户和角色分配登录帐号 为用户和角色分配许可权限 管理SQL SERVER的安全性 管理应用程序安全性 管理企业内部SQL SERVER的安全性,6.1 实施身份验证模式,身份验证处理过程 选择身份验证模式 实施身份验证的步骤 创建登录帐号 演示如何建立登录帐号,身份验证过程,选择身份验证模式,WINDOWS身份验证模式的优点 高级安全特性 能够将组作为单个帐号增加 访问速度快 混合模式的优点 非Windows 2000 和Internet 客户能够通过混合模式建立连接,实现认证模式步骤,创建login account,登录帐号存放:Mastersysl
2、ogins 缺省:Sa and Builtinadministrators 用EM创建登录帐号 2000 User Sp_grantlogin domainntuser No password set 注销windows 2000,重新进入 SQL User Sp_addlogin sqluser , password Password EM 断开连接,重新连接,练习,配置SQL SERVER身份验证模式 授权windows 2000组和用户访问SQL SERVER 2000 废除和拒绝windows 2000组和用户的访问权限,6.2 为用户和角色分配登录帐号,为用户帐号分配登录帐号,在数据
3、库中增加用户 EM:增加用户时选择登录帐号 sp_grantdbaccess 在创建登录帐号时 dbo用户帐号 Guest用户帐号,为角色分配登录帐号,固定服务器角色 固定数据库角色 用户自定义数据库角色 应用角色,固定服务器角色,固定服务器角色,固定服务器角色具有服务器级别上的管理权限,存储在master.syslogins系统标中 为固定服务器角色分配登录帐号: EM:登录帐号属性 系统存储过程:sp_addsrvrolemembers,固定数据库角色,固定数据库角色,为固定服务器角色分配登录帐号: EM:登录帐号属性 系统存储过程:sp_addrolemember,用户自定义数据库角色,
4、用于组织数据库用户的安全 当一组用户在 SQL Server中有相同的权限时,可建用户角色 管理非NT用户,6.3为用户和角色分配许可权限,许可权限类型 授予,拒绝和废除许可权限 授予权限许可访问 拒绝权限禁止访问 废除已授予或已拒绝的权限,许可权限类型,授予,拒绝,废除许可权限,用户最终获得许可的必要条件,1、用户已直接被保证许可或者其已属于某一个角色且该角色已被保证许可。 2、没有DENY过用户或其所属的任何一个角色。,6.4 管理SQL SERVER的安全性,确定默认登录帐号的使用 sa BUILTINAdministrators 确定用户帐号Guest 的职能 确定角色public的许
5、可权限 对角色应用许可权限 创建dbo所属的对象,练习,创建数据库角色并增加成员 分配语句许可权限 分配对象许可权限,6.5 管理应用程序的安全性,利用视图和存储过程管理安全性 利用应用角色管理客户应用程序的安全性,利用视图和存储过程管理安全性,视图和SP的许可机制,机制 视图主要是防止用户访问或修改数据库表中某些敏感列数据。可以通过赋予用户视图权限(SELECT、UPDATE、INSERT、DELETE),而禁止用户访问底层表,来实现数据安全。 存储过程主要是实现数据库的整体一致性,可以通过赋予用户执行存储过程的权限(EXEC),而禁止用户访问底层表或视图,来实现安全。,视图和SP的许可机制
6、,调用链:视图引用其它的表或视图,存储过程引用其它的视图、表及存储过程,形成一个调用链。 一般来说,视图或存储过程的拥有者(Owner)也是被引用对象(表、视图或其它对象)的Owner,并且都属于同一数据库。视图(或存储过程)拥有者只需要将视图对象的许可分配给用户,用户就能执行该视图,不需要用户具有访问被引用对象的许可。 但是,如果视图和存储过程引用了别人的对象,也即所有者不同,则用户提交T_SQL请求时,SQLServer将检查下列许可:1.执行该视图或存储过程的许可;2. 不同所有者被引用对象的许可,应用角色,应用角色,用于应用程序级的安全,不允许用户直接操作表中数据,只能通过定制的应用程序访问 特点: 定义在数据库中,类似于用户定义的数据库角色,可以分配权限 建立时,需提供口令 无成员,应用角色许可机制,通过激活Application Role来获取其权限 Application Role覆盖用户的其它许可 应用的范围是当前数据库 一个Application Role对应一个应用,sp_setApprole 应用角色名,口令,练习,创建并激活应用程序角色 利用视图和存储过程实施许可权限,
