Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Microsoft SQL Server Новый топик    Ответить
Топик располагается на нескольких страницах: Ctrl  назад   1 [2]      все
 Re: MS авторизация и логин Windows  [new]
nerv
Member

Откуда:
Сообщений: 711
Кот Матроскин
автор

Нет, такое не пройдет. Присваивать всем пользователям какой-либо роли нельзя! Это жестко оговорено.

Это противоречивое условие, Вы понимаете это? Вы хотите, что с любого компьютера(а следовательно, и аккаунта) водитель мог просмотреть данные (причем никак не показывая, что это он, а не владелец аккаунта, не вводя пароля), но при этом многим аккаунтам доступ давать к базе нельзя. Соблюсти и то и другое - невозможно, в принципе.

Доступ именно к этой базе давать можно и даже нужно. Но не к другим базам. И не добавляя пользователей в группы, роли и т.д.
6 июн 06, 14:17    [2745181]     Ответить | Цитировать Сообщить модератору
 Re: MS авторизация и логин Windows  [new]
DeColo®es
Member

Откуда: Москва
Сообщений: 5481
Блог
nerv
Доступ именно к этой базе давать можно и даже нужно. Но не к другим базам. И не добавляя пользователей в группы, роли и т.д.
Мда.... Чукча не читатель - чукча писатель, видимо...
Есть такая роль - public.
В каждой базе она "своя"
Предоставление логину доступа к базе тождественно равно включению его в эту роль базы. Если это не удастся понять, лучше переквалифицироваться в грузчики. Вместе в "ведущим".
6 июн 06, 14:51    [2745374]     Ответить | Цитировать Сообщить модератору
 Re: MS авторизация и логин Windows  [new]
ё
Guest
nerv

В этом случае теоретически обычный пользователь сможет видеть и VIP

ну так сделай что-бы это "теоритически" не осушествилось.
для app-роли - доступны всего 2 процедуры -1 определить по номеру телефона - vip или не vip , и если не вип - 2 выдать список звонков.
если вип - переконект и работай с windows - авторизацией.
6 июн 06, 15:52    [2745744]     Ответить | Цитировать Сообщить модератору
 Re: MS авторизация и логин Windows  [new]
LSV
Member

Откуда: Киев
Сообщений: 25625
Зачем так усложнять ???????????? ПРИЧЁМ ТУТ ТИП АВТОРИЗАЦИИ ????????

Прога конектится по только ей известному паролю SQL auth.
При запросе номера определяет ВИП-ность номера и затем определяет вин-логин юзера (есть табличка юзеров с признаком ВИП-ности). Далее решает выдать инфу или нет. Можно при желании спросить дополнительный пароль, лежащий в шифр.виде(MD5) в базе.
Пароль на соединение можно хранить шифр. виде в Readonly табличке. И менять его хоть ежечасно.
Эта модель запросто отделит всё что нужно от тех, кому это не нужно.

Что не так ?????????????
6 июн 06, 16:34    [2746081]     Ответить | Цитировать Сообщить модератору
 Re: MS авторизация и логин Windows  [new]
nerv
Member

Откуда:
Сообщений: 711
LSV
Зачем так усложнять ???????????? ПРИЧЁМ ТУТ ТИП АВТОРИЗАЦИИ ????????

Прога конектится по только ей известному паролю SQL auth.
При запросе номера определяет ВИП-ность номера и затем определяет вин-логин юзера (есть табличка юзеров с признаком ВИП-ности). Далее решает выдать инфу или нет. Можно при желании спросить дополнительный пароль, лежащий в шифр.виде(MD5) в базе.
Пароль на соединение можно хранить шифр. виде в Readonly табличке. И менять его хоть ежечасно.
Эта модель запросто отделит всё что нужно от тех, кому это не нужно.

Что не так ?????????????

Именно так я хотел сделать первоначально. Совершенно верно.
По условию никаких дополнительных паролей запрашивать не нужно.
Проблема при таком подходе была только одна. Поскольку прога коннектиться по SQL auth, то логин пользователя в windows отличается от логина, под которым законнектилась прога. Вот и проблема была только в том, чтобы определить вин-логин юзера. Хотел средствами самого SQL.
Подсказал Glory, что нужно использовать PipeName протокол.
А второй вариант определить win-логин средствами API в самой программе и передавать в базу.
7 июн 06, 09:49    [2747916]     Ответить | Цитировать Сообщить модератору
 Re: MS авторизация и логин Windows  [new]
nerv
Member

Откуда:
Сообщений: 711
DeColo®es
nerv
Доступ именно к этой базе давать можно и даже нужно. Но не к другим базам. И не добавляя пользователей в группы, роли и т.д.
Мда.... Чукча не читатель - чукча писатель, видимо...
Есть такая роль - public.
В каждой базе она "своя"
Предоставление логину доступа к базе тождественно равно включению его в эту роль базы. Если это не удастся понять, лучше переквалифицироваться в грузчики. Вместе в "ведущим".

Вы сами читайте мои посты, прежде чем хамить!
[quot DeColo®es]Предоставление логину доступа к базе тождественно равно включению его в эту роль базы. [quot]
Это и ежу понятно. Предоставлять логин доступа к базе (включать его в какую-либо роль) ведущий сказал, что делать этого не будет!
Скажем тот же водитель может попросить поработать с прогой на компьютере диспетчера, а ей эта прога не нужна и ее логин включать в список пользователей базы соответственно не нужно. К тому же время от времени имеется текучка кадров, приходят одни, уходят другие, ставятся новые компы, создаются новые логины. Установкой ПО, созданием логинов занимается отдельная служба и тогда ведущему придется контролировать, чтобы они не забывали новых пользователей включать в роль этой базы. Они частенько забывают то одно, то другое отконфигурировать, а у ведущего своей работы хватает.
Поэтому я и склоняюсь на сервис-логин, под которым при запуске программа коннектится с базой не запрашивая никаких паролей (логин и пароль прописаны в ini-файле в шифрованном виде).
7 июн 06, 09:59    [2747974]     Ответить | Цитировать Сообщить модератору
 Re: MS авторизация и логин Windows  [new]
Glory
Member

Откуда: Estonia
Сообщений: 92854
Скажем тот же водитель может попросить поработать с прогой на компьютере диспетчера, а ей эта прога не нужна и ее логин включать в список пользователей базы соответственно не нужно.
1. Ставите терминальный сервер
2. На машине диспечрера соответственно терминального клиента
3. Пользователь запускает терминального клинета, вводит свое имя и номер телефона в качестве акаунта/пароля
4. Терминальный клиент автоматом стартует ваше приложение, которое уже соединяется с sql-ем не запращивая никаких паролей
7 июн 06, 10:15    [2748054]     Ответить | Цитировать Сообщить модератору
 Re: MS авторизация и логин Windows  [new]
aleks2
Guest
Glory
Скажем тот же водитель может попросить поработать с прогой на компьютере диспетчера, а ей эта прога не нужна и ее логин включать в список пользователей базы соответственно не нужно.
1. Ставите терминальный сервер
2. На машине диспечрера соответственно терминального клиента
3. Пользователь запускает терминального клинета, вводит свое имя и номер телефона в качестве акаунта/пароля
4. Терминальный клиент автоматом стартует ваше приложение, которое уже соединяется с sql-ем не запращивая никаких паролей


Нет смысла - автор сам набьет шишек и поймет: что не имея Windows-авторизации невозможно гарантированно различать Windows-пользователей.
-----------------
а все остальное - дело вкуса. Ну хочется ему шифровать пароль в INI-файле - пусть шифрует: пользователям все равно, а хакерам - приятно.
7 июн 06, 10:43    [2748208]     Ответить | Цитировать Сообщить модератору
 Re: MS авторизация и логин Windows  [new]
DeColo®es
Member

Откуда: Москва
Сообщений: 5481
Блог
nerv
Вы сами читайте мои посты, прежде чем хамить!
[quot DeColo®es]Предоставление логину доступа к базе тождественно равно включению его в эту роль базы. [quot]
Это и ежу понятно. Предоставлять логин доступа к базе (включать его в какую-либо роль) ведущий сказал, что делать этого не будет!
Вот пусть тогда "ведущий" и расскажет, как он это себе "видит". :) А делать вот так -
Поэтому я и склоняюсь на сервис-логин, под которым при запуске программа коннектится с базой не запрашивая никаких паролей (логин и пароль прописаны в ini-файле в шифрованном виде).
- детский сад!
В данной задаче по-барабану, условия какие-то несерьезные: ВИП/не вип, пароль/без пароля но так делать НЕЛЬЗЯ! Это все до первого конфликта с программистом, который знает, как, что и где хранится и захочет дискредитировать систему.

Сделайте лучше отдельную "кнопку" для перехода в ВИП - режим. А в ней переходите в WA или что-то еще. А вообще - предоставлять доступ кому угодно откуда угодно через собственного клиента - это уже бардак. Или счет ВИП-номера - это единственная информация, которую не предприятии стоит беречь от посторонних глаз, а вот то, что на время "работы" водилы с компа диспетчера он может что-то другое сделать - нам по-барабану? ;)

Я работал в конторе, когда единственным способом узнать свой "баланс" было спросить у кадровика. Он от этого мягко говоря не был перегружен работой. Да и не спрашивал особо никто. Ну 1 человек в день. МАКСИМУМ.
7 июн 06, 11:25    [2748498]     Ответить | Цитировать Сообщить модератору
 Re: MS авторизация и логин Windows  [new]
Estets
Member

Откуда: Химки
Сообщений: 604
Не очень понимаю в чем спор. Насколько я знаю однозначно определить пользователя windows можно двумя путями:

1) Используя Win авторизацию на SQL сервере.
2) Используя АПИ GetUserNameA на клиенте и передавая имя пользователя в SQL в качестве аргумента.

Первый подход требует административного решения, второй достаточно легко обходится передачей фальсифицированного аргумента из "Query Analyzer".

Что выбрать решать автору.
7 июн 06, 11:52    [2748663]     Ответить | Цитировать Сообщить модератору
 Re: MS авторизация и логин Windows  [new]
nerv
Member

Откуда:
Сообщений: 711
DeColo®es
Это и ежу понятно. Предоставлять логин доступа к базе (включать его в какую-либо роль) ведущий сказал, что делать этого не будет!
А делать вот так -
Поэтому я и склоняюсь на сервис-логин, под которым при запуске программа коннектится с базой не запрашивая никаких паролей (логин и пароль прописаны в ini-файле в шифрованном виде).
- детский сад!
В данной задаче по-барабану, условия какие-то несерьезные: ВИП/не вип, пароль/без пароля но так делать НЕЛЬЗЯ! Это все до первого конфликта с программистом, который знает, как, что и где хранится и захочет дискредитировать систему.
[/quot]
Да я согласен с Вами полностью. Но это не мое дело. Если просят сделать так, то так и сделаю. Ответственность лежит на ведущем.
В конечном счете разработчиком проекта на бумаге является он, я лишь исполнитель.
7 июн 06, 12:20    [2748836]     Ответить | Цитировать Сообщить модератору
 Re: MS авторизация и логин Windows  [new]
ROI
Member

Откуда:
Сообщений: 4
nerv
Поставили задачу написать небольшую программу по расходам за мобильную связь. В общем наше предприятие на корпоративном тарифе одного сотового оператора. Раз в месяц будет специальный человек скачивать файл в xls о расходах за всех сотрудников по фамилиям за месяц и закачивать в базу данных.
Программа просто отображает расходы человека за период, который он может выбирать сам. Поскольку есть лимиты на оплату сотовой связи и превышение лимита ведет за собой оплату с кармана работника, программа крайне актуальна.
Все просто, но есть некоторые НО.
* Программа не должна запрашивать никаких паролей, то есть запустил программу, выбрал диапазон дат, номер интересующего телефона и пожалуйста - получи детализацию.
* Все пользователи условно разделены на две категории VIP и обычные пользователи. К первой категории относится директор, руководство, ИТР. Они имеют на рабочем месте свой компьютер и естественно входят в Windows под своим логином.
Вторая категрия - это обычные пользователи. К ним относятся водители. Они не имеют своего компьютера и у них нет своего логина на Windows. Обычный пользователь может подойти к любому компу заводскому, запустить программу, ввести свой номер телефона, диапазон и просмотреть свою информацию. Причем win-логин на этом компе может быть и не иметь доступа к MSSQL - базам.

Поэтому, задача стоит следующим образом:
1) Если пользователь VIP (то есть вошел в Windows под своим именем), он может смотреть свои данные и данные обычных пользователей. VIP пользователь не должен видеть данные других VIP пользователей.
2) Данные обычных пользователей должны быть видны с любого компьютера вне зависимости под каким именем вошли в Windows.

Какие есть советы как это сделать?
Ниже опишу, как мне это видится, а вы покритикуйте.


причем тут авторизация написали клиента который спокойно подключается к базе ну а, дальше обработка на клиенте VIP не VIP задаем на клиенте бизнес правило и в перед с песней можно наворотить любую сложность
8 июн 06, 12:16    [2753477]     Ответить | Цитировать Сообщить модератору
Топик располагается на нескольких страницах: Ctrl  назад   1 [2]      все
Все форумы / Microsoft SQL Server Ответить