Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Microsoft SQL Server Новый топик    Ответить
 Проблемы с авторизацией через доменную группу  [new]
mutovin
Member

Откуда: Irkutsk
Сообщений: 12
Использую SQL Server 2005. Пытаюсь настроить авторизацию пользователей через доменную группу, явно на сервере логины пользователей при этом не прописываю. Создал в домене универсальную (пробовал и локальную доменную) группу, включил в нее пользователей из различных доменов. Замапил логин группы на определенную базу с определенной database role. При подключении пользователей сервер возвращает сообщения об отказе доступа. Причем, кого-то пускает на сервер, но не пускает на базу, а кого-то не пускает даже на сервер (Msg 18456, Level 14, State 16 или 14). Если юзера явно замапить на сервер и базу (его логин), то проблемы нет.
В чем может быть проблема?
22 июл 11, 07:05    [11010301]     Ответить | Цитировать Сообщить модератору
 Re: Проблемы с авторизацией через доменную группу  [new]
pkarklin
Member

Откуда: Москва (Муром)
Сообщений: 74930
автор
Замапил логин группы на определенную базу с определенной database role.


А теперь вместо "лирики" - скрипты. И точные сообщения об ошибках.
22 июл 11, 08:29    [11010379]     Ответить | Цитировать Сообщить модератору
 Re: Проблемы с авторизацией через доменную группу  [new]
mutovin
Member

Откуда: Irkutsk
Сообщений: 12
Экспериментным путем выяснил, что от приложения это никак не зависит.
Скрипт создания логина:
CREATE LOGIN [Domain1\Group1] FROM WINDOWS WITH DEFAULT_DATABASE=[BASE1], DEFAULT_LANGUAGE=[us_english]
Скрипт маппинга на базу BASE1:
CREATE USER [Domain1\Group1] FOR LOGIN [Domain1\Group1]
Пользователь замапин на базу с ролью dbowner
Доменная группа "Domain1\Group1" универсальная, в нее добавляется пользователь из другого домена Domain2.

При попытке пользователя через оснаску Managment Studio зайти в базу, сервер возвращает ошибку:

The database BASE1 is not accessible. (ObjectExplorer)


An exception occurred while executing a Transact-SQL statement or batch. (Microsoft.SqlServer.ConnectionInfo)

------------------------------

Серверу-участнику "Domain2\Ivanov_II" не удалось обратиться к базе данных "BASE1" в текущем контексте безопасности. (Microsoft SQL Server, Error: 916)
25 июл 11, 05:51    [11020767]     Ответить | Цитировать Сообщить модератору
 Re: Проблемы с авторизацией через доменную группу  [new]
mutovin
Member

Откуда: Irkutsk
Сообщений: 12
Дополнение: MS SQL Server 2005 работает от имени сервисной доменной учетной записи, которой разрешено делегирование полномочий.
Запрос:
select net_transport, auth_scheme from sys.dm_exec_connections where session_id=@@spid
возвращает TCP / KERBEROS
26 июл 11, 05:34    [11026021]     Ответить | Цитировать Сообщить модератору
Все форумы / Microsoft SQL Server Ответить