Изучение средств идентификации, аутентификации и управления доступом в СУБД SQL Server 2005 (Лабораторная работа № 7), страница 3

Наиболее простой путь управления учетными записями – использование окна Object Explorer (обычно оно находится в левой части экрана) и рабочей области окна Summary (занимает большую часть экрана с правой стороны, отображает содержимое текущей папки, открытой в окне Object Explorer).

Список учетных записей содержится в папке \Security\Logins. При ее открытии в окне Summary отображается список имеющихся учетных записей.

Создание новой учетной записи предполагает следующую последовательность действий со стороны пользователя.

1. Выбирается опция New Login контекстного меню папки Logins. В результате на экране появляется окно Login – New. Автоматически активизируется вкладка General.

2. Указывается имя учетной записи в поле Login Name.

3. Указывается тип аутентификации. Для внутренних учетных записей SQL Server требуется дважды прописывается пароль.

4. Если SQL Server работает под управлением Windows 2003 Server, можно определить следующие требования к паролю:

·  использование парольной политики Windows, применяемой к локальным учетным записям на данном компьютере (флажок Enforce password policy);

·  включение «устаревания» пароля (флажок Enforce password expiration); означает, что на создаваемую учетную запись распространяются требования по смене пароля по прошествии промежутка времени, определяемого локальной политикой безопасности Windows; данная опция может быть настроена только при установленном флажке Enforce password policy;

·  установка требования смены пароля при каждом входе (флажок User must change password at next logon); настройка этого параметра возможна только в том случае, если установлены два предыдущих флажка.

5. В списке Default database для создаваемой учетной записи выбирается «БД по умолчанию» - та БД, к которой пользователь будет автоматически подключаться при входе в СУБД. Важное замечание: без крайней необходимости не следует указывать в этом пункте системную БД!

6.  Если требуется включить учетную запись в одну или несколько фиксированных ролей сервера, следует перейти на вкладку Server Roles и установить соответствующие флажки.

7. Возможна ситуация, когда создаваемой учетной записи необходимо назначить отдельные административные права, но ни одна роль сервера для этого не подходит. В этом случае можно, не включая учетную запись ни в одну из ролей, перейти на вкладку Securables, выбрать объект доступа (сервер или учетную запись), после чего установить конкретное разрешение. Например, можно наделить создаваемую учетную запись правом изменять пароли других учетных записей; можно разрешить учетной записи выполнение команды createdatabase, но не дать разрешения на использование команд dropdatabase и alterdatabase и т. п.

Система безопасности SQL Server допускает изменение свойств большинства учетных записей. Изменить имя учетной записи можно только средствами Transact-SQL, используя опцию name оператора alterlogin. Все прочие параметры учетных записей настраиваются как языковыми средствами, так и при помощи GUI.

2.2. Защита от НСД на уровне БД

2.2.1. Пользователи и роли БД

Пользователь БД – это административная единица системы безопасности, через которую учетной записи предоставляется доступ к объектам БД. Для любой БД существует свой набор пользователей. Каждый пользователь связывается с одной из имеющихся учетных записей и наделяется правами доступа к объектам БД: таблицам, представлениям, процедурам, функциям. Во многих случаях целой группе пользователей предоставляются одинаковые права. При этом в качестве механизма группирования используются роли БД, которые классифицируются следующим образом:

·  фиксированные роли БД;

·  пользовательские роли БД;

·  роли приложений.

Фиксированные роли БД стандартны, не могут быть удалены или добавлены, невозможно повлиять на права доступа фиксированных ролей к объектам БД.

В табл. 3 приведены названия фиксированных ролей БД и их краткие описания.

Таблица 3 – Фиксированные роли БД