Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Microsoft SQL Server Новый топик    Ответить
 Администрирование. Разрешение доступа только через конкретное приложение.  [new]
Wisky
Member

Откуда: Москва
Сообщений: 158
Пользователь авторизуется доверительно (win-авторизацией).
Можно ли создать ограничение, чтоб доступ к серверу был разрешен для него только через конкретное приложение?
2 апр 14, 15:56    [15822269]     Ответить | Цитировать Сообщить модератору
 Re: Администрирование. Разрешение доступа только через конкретное приложение.  [new]
Владислав Колосов
Member

Откуда:
Сообщений: 7871
Файрвол (встроенный брандмауэр Windows, например).
2 апр 14, 16:01    [15822310]     Ответить | Цитировать Сообщить модератору
 Re: Администрирование. Разрешение доступа только через конкретное приложение.  [new]
Wisky
Member

Откуда: Москва
Сообщений: 158
CREATE TRIGGER RestrictAccessPerApplication
ON ALL SERVER
FOR LOGON
AS
BEGIN
IF
(PROGRAM_NAME() = ‘Microsoft® Access’ AND HOST_NAME() = ‘WORKSTATION_01')
BEGIN
ROLLBACK;
END
END


Сообщение было отредактировано: 2 апр 14, 16:23
2 апр 14, 16:09    [15822383]     Ответить | Цитировать Сообщить модератору
 Re: Администрирование. Разрешение доступа только через конкретное приложение.  [new]
Гавриленко Сергей Алексеевич
Member

Откуда: Moscow
Сообщений: 37069
Wisky
CREATE TRIGGER RestrictAccessPerApplication
ON ALL SERVER
FOR LOGON
AS
BEGIN
IF
(PROGRAM_NAME() = ‘Microsoft® Access’ AND HOST_NAME() = ‘WORKSTATION_01')
BEGIN
ROLLBACK;
END
END
А ничего, что пользователь волен написать в ApplicationName в строке подключения все, что угодно, в т.ч. и ‘Microsoft® Access’?
2 апр 14, 16:23    [15822508]     Ответить | Цитировать Сообщить модератору
 Re: Администрирование. Разрешение доступа только через конкретное приложение.  [new]
Владислав Колосов
Member

Откуда:
Сообщений: 7871
Именно по этой причине предлагается использовать только ХП для доступа к данным.
2 апр 14, 17:13    [15822921]     Ответить | Цитировать Сообщить модератору
 Re: Администрирование. Разрешение доступа только через конкретное приложение.  [new]
Albatross
Member

Откуда:
Сообщений: 998
Wisky,

публикуйте приложение в Citrix и давайте доступ к серверу SQL через файерволы только с соответствующего хоста.
2 апр 14, 18:19    [15823311]     Ответить | Цитировать Сообщить модератору
 Re: Администрирование. Разрешение доступа только через конкретное приложение.  [new]
Mnior
Member

Откуда: Кишинёв
Сообщений: 6723
Роли приложений
2 апр 14, 23:29    [15824389]     Ответить | Цитировать Сообщить модератору
 Re: Администрирование. Разрешение доступа только через конкретное приложение.  [new]
aleks2
Guest
Mnior
Роли приложений

Опять плохому учишь?

"Творцы приложений" обычно не дочитывают до рекомендации "использовать роль приложения только при отсутствии физического доступа пользователя к программе".
3 апр 14, 07:38    [15824966]     Ответить | Цитировать Сообщить модератору
 Re: Администрирование. Разрешение доступа только через конкретное приложение.  [new]
Mnior
Member

Откуда: Кишинёв
Сообщений: 6723
[quot aleks2]
Mnior
Опять плохому учишь?

"Творцы приложений" обычно не дочитывают до рекомендации "использовать роль приложения только при отсутствии физического доступа пользователя к программе".
Возможно и плохому, но сказано:
BOL
5. На этом этапе соединение утрачивает разрешения пользователя и приобретает разрешения роли приложения.
Т.е. если пользователь не имеет никакого явного доступа кроме CONNECT, то только приложение даст ему необходимый доступ на нужные объекты.
Разве не так?

Другое дело если надо разделять пользователя по группам. Тогда этот принцип не работает, или надо как-то синхронить группы юзверей и группы ролей приложений.

aleks2
"использовать роль приложения только при отсутствии физического доступа пользователя к программе"
О ши... Вот вы к чему.
1. И откуда вы знаете что у ТС не трёхзвенка.
2. И откуда вы знаете что ТС нужна такая эктра-защита?
Может у него приложение защищёно и соединение закриптовано.

И самое главное, какая разница, если челу надо так сделать, то не надо впадать в крайности. Или всё или ничего.
Заборчики у дорог не ставят же железобетонные в 3 метра, чтоб пешеходы не перебегали, хватает сделать малое неудобство, чтобы сбить тенденцию.
3 апр 14, 20:00    [15829525]     Ответить | Цитировать Сообщить модератору
 Re: Администрирование. Разрешение доступа только через конкретное приложение.  [new]
Владислав Колосов
Member

Откуда:
Сообщений: 7871
Товарищ хочет использовать доменную учетку.
4 апр 14, 00:00    [15830495]     Ответить | Цитировать Сообщить модератору
 Re: Администрирование. Разрешение доступа только через конкретное приложение.  [new]
Mnior
Member

Откуда: Кишинёв
Сообщений: 6723
Владислав Колосов,

В явном виде это не сказано, может быть домыслом.


2. Ещё как хорошим (лучшим?) решением задачи - ForceEncryption
5 апр 14, 01:36    [15836080]     Ответить | Цитировать Сообщить модератору
Все форумы / Microsoft SQL Server Ответить