Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Microsoft SQL Server Новый топик    Ответить
 синонимы + ownership chain = не работает?  [new]
Crimean
Member

Откуда:
Сообщений: 13148
синонимы как-то "вываливаются" из общей концепции? или я не все грабли собрал? :)
6 окт 09, 17:54    [7749736]     Ответить | Цитировать Сообщить модератору
 Re: синонимы + ownership chain = не работает?  [new]
pkarklin
Member

Откуда: Москва (Муром)
Сообщений: 74927
Crimean
синонимы как-то "вываливаются" из общей концепции? или я не все грабли собрал? :)


Судя по этому:

BOL->CREATE SYNONYM...

You do not need permission on the base object to successfully compile the CREATE SYNONYM statement, because all permission checking on the base object is deferred until run time

"вываливаются".
6 окт 09, 18:10    [7749864]     Ответить | Цитировать Сообщить модератору
 Re: синонимы + ownership chain = не работает?  [new]
Crimean
Member

Откуда:
Сообщений: 13148
то есть пробовать к синонимам применять подход как к "динамике"?
6 окт 09, 20:07    [7750312]     Ответить | Цитировать Сообщить модератору
 Re: синонимы + ownership chain = не работает?  [new]
Crimean
Member

Откуда:
Сообщений: 13148
Crimean
то есть пробовать к синонимам применять подход как к "динамике"?


ой.. заработался.. то есть доступ к базе с оригинальным объектов дать все равно надо? и это не обойти никак?
6 окт 09, 20:30    [7750356]     Ответить | Цитировать Сообщить модератору
 Re: синонимы + ownership chain = не работает?  [new]
Гавриленко Сергей Алексеевич
Member

Откуда: Moscow
Сообщений: 36829
Crimean
Crimean
то есть пробовать к синонимам применять подход как к "динамике"?


ой.. заработался.. то есть доступ к базе с оригинальным объектов дать все равно надо? и это не обойти никак?
Походу.
6 окт 09, 20:37    [7750367]     Ответить | Цитировать Сообщить модератору
 Re: синонимы + ownership chain = не работает?  [new]
Mnior
Member

Откуда: Кишинёв
Сообщений: 6723
Встретились три гуру...

Хоть какие грабли то? Зачем в заголовке "ownership chain" я пока не въехал. Да и отличий у SYNONYM-ов то почти никаких.
6 окт 09, 20:47    [7750384]     Ответить | Цитировать Сообщить модератору
 Re: синонимы + ownership chain = не работает?  [new]
Crimean
Member

Откуда:
Сообщений: 13148
> Хоть какие грабли то

есть несколько баз. основная - одна. на нее все ходят, с нее все вызывают. там роли, гранты и т.д. на другие базы народ "не допущен" вообще. но! работать с другими базами по ряду причин удобно именно через "синонимы". если обращаться к объектам другой базы напрямую, без синонимов, из хранимых объектов, то "овнершип чейн" срабатывает и нет нужды пускать пользователей в "чуждые" им базы. но тогда имя базы - хардкодом в хранимом объекте. а с синонимами - засада с правами, но нет имен баз в хардкоде
6 окт 09, 21:24    [7750454]     Ответить | Цитировать Сообщить модератору
 Re: синонимы + ownership chain = не работает?  [new]
Mnior
Member

Откуда: Кишинёв
Сообщений: 6723
Crimean
засада с правами
Извини, это уже было понятно, но как конкретно высказано не ясно/чётко.

Проверка прав в иерархии вызова основывается на понятии цепочки владения. Проверки делаются на доступ к непосредственно вызываемым объектам и когда происходит "смена контекста" "внутри" них - обращение к другой схеме. Соответственно это работает даже между базами, если включены меж-базовые цепочки владения на эти базы или на весь сервер.

Но для синонимов это не работает. Т.е. независимо от "контекста вызова" в той же схеме или нет - права обязательно дополнительно проверяются. Т.е. цепочка "сбивается", "сбрасывается контекст".

Чёрт, не думаю что расписал понятнее.

Блин, в BOL-е лучше бы расписали на два предложения. И затронули бы мимолётно в документе Ownership Chains.
6 окт 09, 23:11    [7750726]     Ответить | Цитировать Сообщить модератору
 Re: синонимы + ownership chain = не работает?  [new]
DeColo®es
Member

Откуда: Москва
Сообщений: 5499
Блог
Crimean
> Хоть какие грабли то

есть несколько баз. основная - одна. на нее все ходят, с нее все вызывают. там роли, гранты и т.д. на другие базы народ "не допущен" вообще. но! работать с другими базами по ряду причин удобно именно через "синонимы". если обращаться к объектам другой базы напрямую, без синонимов, из хранимых объектов, то "овнершип чейн" срабатывает и нет нужды пускать пользователей в "чуждые" им базы. но тогда имя базы - хардкодом в хранимом объекте. а с синонимами - засада с правами, но нет имен баз в хардкоде
Мы синонимами как раз с такой целью пользуемся.
Вроде хватает того, что владельцы баз совпадают и владельцы всех объектов в обоих базах - замаплены на один логин. Ну и еще всключен db_chaining на обоих базах. На синонимы права не раздаем никакие.
6 окт 09, 23:31    [7750770]     Ответить | Цитировать Сообщить модератору
 Re: синонимы + ownership chain = не работает?  [new]
Crimean
Member

Откуда:
Сообщений: 13148
2 DeColo®es

да на синонимы прав и не надо, надо пускать пользователей в остальные базы! в этом проблема
7 окт 09, 10:55    [7751910]     Ответить | Цитировать Сообщить модератору
 Re: синонимы + ownership chain = не работает?  [new]
DeColo®es
Member

Откуда: Москва
Сообщений: 5499
Блог
Так нет никакой проблемы! ;)

Есть cross-database db chaining, особенности настройки описал выше.
7 окт 09, 11:31    [7752186]     Ответить | Цитировать Сообщить модератору
 Re: синонимы + ownership chain = не работает?  [new]
pkarklin
Member

Откуда: Москва (Муром)
Сообщений: 74927
Crimean

да на синонимы прав и не надо, надо пускать пользователей в остальные базы! в этом проблема


А все ли условия для межбазовой цепочки выполнены? Кроме указанных DeColo®es, есть ли пользователь Guest в этих бд?
7 окт 09, 11:34    [7752206]     Ответить | Цитировать Сообщить модератору
 Re: синонимы + ownership chain = не работает?  [new]
DeColo®es
Member

Откуда: Москва
Сообщений: 5499
Блог
pkarklin
А все ли условия для межбазовой цепочки выполнены? Кроме указанных DeColo®es, есть ли пользователь Guest в этих бд?
Хм.. Что-то не задумывался... А надо?
7 окт 09, 11:39    [7752251]     Ответить | Цитировать Сообщить модератору
 Re: синонимы + ownership chain = не работает?  [new]
pkarklin
Member

Откуда: Москва (Муром)
Сообщений: 74927
DeColo®es
А надо?


А как по другому логин может получить доступ к другой бд?! Или через Guestа или через явную раздачу доступа.
7 окт 09, 11:48    [7752336]     Ответить | Цитировать Сообщить модератору
 Re: синонимы + ownership chain = не работает?  [new]
DeColo®es
Member

Откуда: Москва
Сообщений: 5499
Блог
А, в этом смысле... Логично. Просто у нас такой проблемы не стояло - логины по-любому регистрируются в обоих базах, от админов этого добиться проще, чем включения гостя. ;)
7 окт 09, 12:05    [7752479]     Ответить | Цитировать Сообщить модератору
Все форумы / Microsoft SQL Server Ответить