Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Microsoft SQL Server Новый топик    Ответить
 Applicaion Role - преимущества и недостатки  [new]
Winnipuh
Member [заблокирован]

Откуда: Київ
Сообщений: 10428
В каких случаях использовать?
Каковы преимущества и недостатки?
20 окт 09, 12:02    [7810475]     Ответить | Цитировать Сообщить модератору
 Re: Applicaion Role - преимущества и недостатки  [new]
aleks2
Guest
Winnipuh,

Использовать, только если нет физического доступа к приложению (скопировать клиента низзя).
Т.е. киоски оплаты и т.п. хрень.

Преимущества отсутствуют, одни недостатки.
20 окт 09, 12:22    [7810630]     Ответить | Цитировать Сообщить модератору
 Re: Applicaion Role - преимущества и недостатки  [new]
Ken@t
Member

Откуда: 大地
Сообщений: 3264
Вот они все эти недостатки и приемущества.

1.A user executes a client application.

2.The client application connects to an instance of SQL Server as the user.

3.The application then executes the sp_setapprole stored procedure with a password known only to the application.

4.If the application role name and password are valid, the application role is enabled.

5.At this point the connection loses the permissions of the user and assumes the permissions of the application role.
20 окт 09, 12:33    [7810730]     Ответить | Цитировать Сообщить модератору
 Re: Applicaion Role - преимущества и недостатки  [new]
aleks2
Guest
Ken@t
Вот они все эти недостатки и приемущества.

1.A user executes a client application.

2.The client application connects to an instance of SQL Server as the user.

3.The application then executes the sp_setapprole stored procedure with a password known only to the application.

4.If the application role name and password are valid, the application role is enabled.

5.At this point the connection loses the permissions of the user and assumes the permissions of the application role.


Низзя ли показать пальцем на преимущества?
20 окт 09, 12:37    [7810759]     Ответить | Цитировать Сообщить модератору
 Re: Applicaion Role - преимущества и недостатки  [new]
Ken@t
Member

Откуда: 大地
Сообщений: 3264
aleks2
[quot Ken@t]Низзя ли показать пальцем на преимущества?

может быть и можно приминить гденить в N Tier, но для этого есть другие методы, так что низзя.
20 окт 09, 12:42    [7810797]     Ответить | Цитировать Сообщить модератору
 Re: Applicaion Role - преимущества и недостатки  [new]
Влом регистрироваться
Guest
Winnipuh,

несколько лет назад изучал вопрос использования approle'й в классическом 2-х-звенном приложении с WinForms-клиентом - все сделано шиворот-навыворот. Подробностей сейчас уже не помню, но только одного лостаточно было, чтобы отказаться - пароль роли надо зашивать в клиента, активизировать роль надо тоже из клиента, хотя хотелось бы через logon-триггер...
20 окт 09, 12:43    [7810805]     Ответить | Цитировать Сообщить модератору
 Re: Applicaion Role - преимущества и недостатки  [new]
Winnipuh
Member [заблокирован]

Откуда: Київ
Сообщений: 10428
Ken@t
aleks2
[quot Ken@t]Низзя ли показать пальцем на преимущества?

может быть и можно приминить гденить в N Tier, но для этого есть другие методы, так что низзя.


мне для этого и надо что-то подобное.

Скажем юзер логинится в вебсервисе, причем юзер не в домене, и не хотелось бы давать ему sql server-ный логин пароль
Вот и подумал, что юзер может иметь некий логин , а пароль от роли, и сервис будет коннектиться с фиксированным логином и включаться в роль.
Чтобы не хранить в сервисе пароли...
20 окт 09, 13:18    [7811132]     Ответить | Цитировать Сообщить модератору
 Re: Applicaion Role - преимущества и недостатки  [new]
Ken@t
Member

Откуда: 大地
Сообщений: 3264
Winnipuh
Ken@t
aleks2
[quot Ken@t]Низзя ли показать пальцем на преимущества?

может быть и можно приминить гденить в N Tier, но для этого есть другие методы, так что низзя.


мне для этого и надо что-то подобное.

Скажем юзер логинится в вебсервисе, причем юзер не в домене, и не хотелось бы давать ему sql server-ный логин пароль
Вот и подумал, что юзер может иметь некий логин , а пароль от роли, и сервис будет коннектиться с фиксированным логином и включаться в роль.
Чтобы не хранить в сервисе пароли...

Хм. мне кажется или это так, что вы не различете скульный логин, доменного пользователя, токенов безопасности, олицетворение, отличие веб сервиса от всф сервиса ?
20 окт 09, 13:34    [7811317]     Ответить | Цитировать Сообщить модератору
 Re: Applicaion Role - преимущества и недостатки  [new]
Winnipuh
Member [заблокирован]

Откуда: Київ
Сообщений: 10428
Ken@t
Winnipuh
Ken@t
aleks2
[quot Ken@t]Низзя ли показать пальцем на преимущества?

может быть и можно приминить гденить в N Tier, но для этого есть другие методы, так что низзя.


мне для этого и надо что-то подобное.

Скажем юзер логинится в вебсервисе, причем юзер не в домене, и не хотелось бы давать ему sql server-ный логин пароль
Вот и подумал, что юзер может иметь некий логин , а пароль от роли, и сервис будет коннектиться с фиксированным логином и включаться в роль.
Чтобы не хранить в сервисе пароли...

Хм. мне кажется или это так, что вы не различете скульный логин, доменного пользователя, токенов безопасности, олицетворение, отличие веб сервиса от всф сервиса ?


и с чего ж вы такое взяли?

какие токены безопасности или доменный логин, елси у сервиса кроме жоменных юзеров будут и свосем "чужие", подключающиеся через интернет...
20 окт 09, 13:47    [7811447]     Ответить | Цитировать Сообщить модератору
 Re: Applicaion Role - преимущества и недостатки  [new]
Ken@t
Member

Откуда: 大地
Сообщений: 3264
Winnipuh

и с чего ж вы такое взяли?

с собственно самого вашего поста и поста в 34 форуме - не владеете тематикой. Отсюда начните
20 окт 09, 13:53    [7811482]     Ответить | Цитировать Сообщить модератору
 Re: Applicaion Role - преимущества и недостатки  [new]
Winnipuh
Member [заблокирован]

Откуда: Київ
Сообщений: 10428
Ken@t
Winnipuh

и с чего ж вы такое взяли?

с собственно самого вашего поста и поста в 34 форуме - не владеете тематикой. Отсюда начните


Конечно не владею, иначе не задавал бы вопрос.Да, кстати, и раскидал в разных форумах, потому что ответов нету.

Но рад, что общаюсь с человеком, который владеет.

Спасибо за ссылку. Но вопрос остается: если клиент из-под линукса, как быть с авторизацией и моим вопросом?

клиеyт(линукс, Java ...) ->WCF->SQLServer

Как авторизовать юзеров?
20 окт 09, 14:00    [7811540]     Ответить | Цитировать Сообщить модератору
 Re: Applicaion Role - преимущества и недостатки  [new]
Ken@t
Member

Откуда: 大地
Сообщений: 3264
Winnipuh
клиеyт(линукс, Java ...) ->WCF->SQLServer

Как авторизовать юзеров?

линуксом не владею ))) К WCF для вас проще авторизовать с помощью логина и пароля(SqlMembershipProvider). Сообщения и трафик шифровать, но для этого необходим сертификат со стороны сервиса. По большому счёту передача сообщений в хмл идёт, со стороны линуха и явы это не вызовет проблем, транспорт SSL - то же известно, а вот шифрование сообщений - надо реализовывать со стороны явы. WCF->SQL как сможете, скульной либо виндовс .
20 окт 09, 14:17    [7811686]     Ответить | Цитировать Сообщить модератору
 Re: Applicaion Role - преимущества и недостатки  [new]
Winnipuh
Member [заблокирован]

Откуда: Київ
Сообщений: 10428
Ken@t
Winnipuh
клиеyт(линукс, Java ...) ->WCF->SQLServer

Как авторизовать юзеров?

линуксом не владею ))) К WCF для вас проще авторизовать с помощью логина и пароля(SqlMembershipProvider). Сообщения и трафик шифровать, но для этого необходим сертификат со стороны сервиса. По большому счёту передача сообщений в хмл идёт, со стороны линуха и явы это не вызовет проблем, транспорт SSL - то же известно, а вот шифрование сообщений - надо реализовывать со стороны явы. WCF->SQL как сможете, скульной либо виндовс .


Ок. будем прорабатывать.
Вот видите, а вы ярлыки сразу вешаете

мало того, даже в таком варианте проблема:

Windows, Java Client -> WCF (wshttpBinding)-> sql server

попытался использовать wshttpBinding поскольку в нем предусмотрена передача юзера, так как ни крутил даже в тестовых вызовах SOAPGui3.0.1. - не передает юзера.
NET клиенты передают, все ок...


Кроме всего вот в этом месте тоже проблема (для меня по кр мере, почему и вопрос задал):
WCF->SQL как сможете, скульной либо виндовс

где и как хранить пароли при скл авторизации?
20 окт 09, 14:32    [7811802]     Ответить | Цитировать Сообщить модератору
 Re: Applicaion Role - преимущества и недостатки  [new]
Ken@t
Member

Откуда: 大地
Сообщений: 3264
[quot Winnipuhгде и как хранить пароли при скл авторизации?[/quot]
скульные - в веб конфиге , но лучше виндовая авторизация на учётку с которой запущена служба. Но это зависит от расположения сервиса и скуль сервера.
20 окт 09, 14:38    [7811877]     Ответить | Цитировать Сообщить модератору
 Re: Applicaion Role - преимущества и недостатки  [new]
Winnipuh
Member [заблокирован]

Откуда: Київ
Сообщений: 10428
Ken@t
[quot Winnipuhгде и как хранить пароли при скл авторизации?

скульные - в веб конфиге , но лучше виндовая авторизация на учётку с которой запущена служба. Но это зависит от расположения сервиса и скуль сервера.[/quot]

вот, и в этом месте я думал использовтаь апп роли, чтоб не хранить пароли на сервисной машине.

Потому что мне надо разделять юзеров, т.е. в базе сть прикладная система ограничения доступа к данным, грубо говоря разные датабазе роли (в нынешней реализации) получают разные результаты выборок из вью и т.д..

как еще можно такое реализовать?...
20 окт 09, 14:43    [7811928]     Ответить | Цитировать Сообщить модератору
 Re: Applicaion Role - преимущества и недостатки  [new]
Ken@t
Member

Откуда: 大地
Сообщений: 3264
Winnipuh

вот, и в этом месте я думал использовтаь апп роли, чтоб не хранить пароли на сервисной машине.

Потому что мне надо разделять юзеров, т.е. в базе сть прикладная система ограничения доступа к данным, грубо говоря разные датабазе роли (в нынешней реализации) получают разные результаты выборок из вью и т.д..

как еще можно такое реализовать?...


сервис с скульем соединяется с учёткой виндовс, далее impersonation. Вообще это тема проскакивала и на techdays.ru и на мсдн.
Мы пользуем сопоставление залогиненого юзверя к учётке скуля. Сервис работает под свой учёткой.
20 окт 09, 14:51    [7811997]     Ответить | Цитировать Сообщить модератору
 Re: Applicaion Role - преимущества и недостатки  [new]
Winnipuh
Member [заблокирован]

Откуда: Київ
Сообщений: 10428
Ken@t
Winnipuh

вот, и в этом месте я думал использовтаь апп роли, чтоб не хранить пароли на сервисной машине.

Потому что мне надо разделять юзеров, т.е. в базе сть прикладная система ограничения доступа к данным, грубо говоря разные датабазе роли (в нынешней реализации) получают разные результаты выборок из вью и т.д..

как еще можно такое реализовать?...


сервис с скульем соединяется с учёткой виндовс, далее impersonation. Вообще это тема проскакивала и на techdays.ru и на мсдн.
Мы пользуем сопоставление залогиненого юзверя к учётке скуля. Сервис работает под свой учёткой.


"залогиненого юзверя к учётке скуля"

о, кто сопоставляет- сервис?
у меня тоже один из вариантов такой, но в таком случае сервис должен иметь карту для входящих юзеров и соответствие их скл юзерам и паролям.
Так вот - как хранить пароли в таком случае?
20 окт 09, 15:03    [7812120]     Ответить | Цитировать Сообщить модератору
 Re: Applicaion Role - преимущества и недостатки  [new]
Ken@t
Member

Откуда: 大地
Сообщений: 3264
сопоставляются по ид , все вызовы через хп , ни каких паролей. можно и SETUSER делать, но учётка сервиса должна быть дбо, а это не комильфо.
20 окт 09, 15:07    [7812166]     Ответить | Цитировать Сообщить модератору
Все форумы / Microsoft SQL Server Ответить