Серверные роли. Разрешения на уровне сервера.

↑

▷ Содержание

⇐ ПредыдущаяСтр 5 из 11Следующая ⇒

Роли базы данных объединяют нескольких пользователей в административную единицу и позволяют назначать права доступа к объектам базы данных для роли, наделяя этими правами всех участников этой роли.

Различают пользовательские и встроенные роли. Встроенные роли создаются автоматически при установке сервера СУБД (и не могут меняться). Различают встроенные роли уровня СУБД и уровня конкретной базы данных. Так, например, в SQL Server есть такие роли сервера:

Дополнительные возможности работы с правами на уровне сервера доступны из свойств сервера на вкладке Разрешения.

На этой вкладке вы можете:

-более точно настроить права для каждого логина (если набор серверных ролей вас не устраивает);

-предоставить права всем пользователям сразу (при помощи специальной серверной роли public);

-посмотреть, кто предоставил данные права пользователю (значение в столбце Grantor);

- посмотреть итоговые права для данного пользователя на уровне сервера. Для этой цели предназначена кнопка Effective Permissions (Действующие разрешения).

Еще одна возможность предоставить пользователю разрешения на объекты сервера - воспользоваться вкладкой Защищаемые объекты свойств логина. При помощи этой вкладки вы можете предоставить пользователю разрешения на:

- объект сервера (то же самое, что и из свойств сервера);

- объекты подключений по HTTP (HTTP Endpoints);

- объекты других логинов.

Пользователи базы данных

Каждый пользователь проходит два этапа проверки системы безопасности при попытке доступа к данным:

— Этап 1 – аутентификация,

— Этап 2 – получение доступа к данным

Первый этап относится к уровню работы всего сервера СУБД. На первом этапе пользователь идентифицирует себя с помощью логического имени (login) и пароля (password).

Логическое имя и пароль хранятся на сервере СУБД в виде учетной записи (account).

Если данные были введены правильно, то считается, что процедура аутентификации пройдена, и данный сервер СУБД разрешает попытку доступа к конкретной базе данных.

Однако сама по себе аутентификация не дает пользователю права доступа к каким бы то ни было данным. Для получения доступа к данным необходимо, чтобы учетной записи пользователя соответствовал некоторый пользователь базы данных (database user).

Пользователь базы данных – совокупность разрешений и запретов на работу с данными в конкретной базе данных.

На втором этапе (авторизации) учетная запись пользователя отображается в пользователя базы данных, и получает все привилегии, соответствующие этому пользователю базы данных. Второй этап задействует систему безопасности конкретной базы данных, а не всего сервера СУБД.

В разных базах данных одной и той же учетной записи могут соответствовать одинаковые или разные имена пользователя базы данных с разными правами доступа.

В том случае, когда учетная запись пользователя не отображается в пользователя базы данных, клиент все же может получить доступ к базе данных под гостевым именем guest (если оно не запрещено администратором БД). Гостевой вход позволяет минимальный доступ к данным только в режиме чтения.

Пользователи баз данных могут объединяться в роли (группы) для упрощения управления системой безопасности.

Познавательные статьи:



Техника прыжка в длину с разбега

Организация работы процедурного кабинета

Области применения синхронных машин

Оптимизация по Винеру и Калману