Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Microsoft SQL Server Новый топик    Ответить
 Политика мешает, но и без неё нельзя  [new]
sposad
Member

Откуда:
Сообщений: 62187
Дурацкое положение, припёрся забугорный аудит и начал проверять наши приложения на безопасность, вроде по всем параметрам отбились, но остался один момент, который админы, сами не в силах отмазаться, свалили на логику приложения, которое я вёл.
А дело в том, что в приложении кроме win-логинов используются ещё и стандартные для удалённых юзеров, которых нецелесообразно включать в домен. Аудиторы потребовали применить к ним корпоративную политику и сделать так, чтобы при первом заходе нового пользователя система требовала смены пароля. В принципе сложного не было, так как приложение отслеживало срок действия пароля само по себе и потребовалось только сэмулировать просроченный пароль, а вот дальше последовал супризс:) Оказывается по нашей корпоративной политике пароль не должен меняться ранее, чем через сутки после последней смены, о чём мне не преминул сообщить сервер. Вот и получается, что политика должна быть, но как-то должна допускать раннюю смену пароля. Как бы заставить сервер временно наплевать на это ограничение?
sql2005, для смены пароля юзером используется sp_password с клиента, завтра аудиторы придут смотреть как это реализовано, а это, блин, реализовано никак ...
5 окт 11, 21:58    [11391545]     Ответить | Цитировать Сообщить модератору
 Re: Политика мешает, но и без неё нельзя  [new]
pkarklin
Member

Откуда: Москва (Муром)
Сообщений: 74930
Не совсем понял, если требование смены пароля при первом входе и просрочки эмулируется приложением, то зачем у логина нужно было включать опцию CHECK_POLICY в ON?
5 окт 11, 22:13    [11391588]     Ответить | Цитировать Сообщить модератору
 Re: Политика мешает, но и без неё нельзя  [new]
AndreTM
Member

Откуда: Где-то в вологодских лесах...
Сообщений: 6900
А в этом случае - достаточно не напрягать бедные мозги железяк (тем более, сисадминов), а написать/изменить одну бумажку.
То есть все политики действуют, как есть, НО! - в документацию в пункте "заведение/подключение нового _удаленного_ пользователя" внесено требование, "чтобы при подключении нового _удаленного_ пользователя производилось заведение его имени и пароля администратором прикладной системы, с соответствующим извещением пользователя по внутрикорпоративным каналам связи". То есть не "требовать смену пароля при первом входе", а "вот вам выдан первоначальный доступ, а далее вы подчиняетесь требованиям политики"...
5 окт 11, 22:15    [11391598]     Ответить | Цитировать Сообщить модератору
 Re: Политика мешает, но и без неё нельзя  [new]
sposad
Member

Откуда:
Сообщений: 62187
pkarklin
Не совсем понял, если требование смены пароля при первом входе и просрочки эмулируется приложением, то зачем у логина нужно было включать опцию CHECK_POLICY в ON?

желание такое у них и ещё чтобы логин лочился, согласно политике на час, если пять раз набрал неправильно пароль
5 окт 11, 22:16    [11391600]     Ответить | Цитировать Сообщить модератору
 Re: Политика мешает, но и без неё нельзя  [new]
sposad
Member

Откуда:
Сообщений: 62187
AndreTM
А в этом случае - достаточно не напрягать бедные мозги железяк (тем более, сисадминов), а написать/изменить одну бумажку.
То есть все политики действуют, как есть, НО! - в документацию в пункте "заведение/подключение нового _удаленного_ пользователя" внесено требование, "чтобы при подключении нового _удаленного_ пользователя производилось заведение его имени и пароля администратором прикладной системы, с соответствующим извещением пользователя по внутрикорпоративным каналам связи". То есть не "требовать смену пароля при первом входе", а "вот вам выдан первоначальный доступ, а далее вы подчиняетесь требованиям политики"...

требовать внесения изменений в политику безопасности сети пяти весьма известных зарубежных корпораций из-за работы одного приложения - это фантастека, бумажке писать замучаешься
5 окт 11, 22:21    [11391613]     Ответить | Цитировать Сообщить модератору
 Re: Политика мешает, но и без неё нельзя  [new]
pkarklin
Member

Откуда: Москва (Муром)
Сообщений: 74930
автор
для смены пароля юзером используется sp_password с клиента


А если вместо этого цепочку

USE [master]
GO
ALTER LOGIN [test] WITH CHECK_POLICY=OFF
GO
ALTER LOGIN [test] WITH PASSWORD = 'NewPassword'
GO
ALTER LOGIN [test] WITH CHECK_POLICY=ON
GO
5 окт 11, 22:30    [11391671]     Ответить | Цитировать Сообщить модератору
 Re: Политика мешает, но и без неё нельзя  [new]
pkarklin
Member

Откуда: Москва (Муром)
Сообщений: 74930
Боюсь не прокатит под правами обычного смертного. Попробуйте вместо sp_password только это

ALTER LOGIN [test] WITH PASSWORD = 'NewPassword'
5 окт 11, 22:33    [11391689]     Ответить | Цитировать Сообщить модератору
 Re: Политика мешает, но и без неё нельзя  [new]
sposad
Member

Откуда:
Сообщений: 62187
pkarklin
Боюсь не прокатит под правами обычного смертного. Попробуйте вместо sp_password только это

ALTER LOGIN [test] WITH PASSWORD = 'NewPassword'


спасибо, попробую, отпишусь. Я тоже думал сначала сдёрнуть галочку с клиента скриптом и поставить потом обратно, но права обычного юзера встали колом
5 окт 11, 22:37    [11391711]     Ответить | Цитировать Сообщить модератору
 Re: Политика мешает, но и без неё нельзя  [new]
AndreTM
Member

Откуда: Где-то в вологодских лесах...
Сообщений: 6900
Всё-таки отпишусь, хотя и немного не туда...

То есть стандартная задача на третью часть ТРИЗ... В системе нельзя менять никаких из вышестоящих и нижестоящих частей, и при этом все "должно быть в шоколаде". Решение придумать можно, но сделать это "до утра" можете только вы, ибо видите её только вы перед глазами
Вообще, эти "аудиторы" хоть понимают, что своим требованием они уже "нарушают корпоративную политику безопасности", требуя принудительной смены параметров аутентификации без извещения пользователя? То есть тогда вами составляется бумага именно по этому поводу. Повторяю - _бумага_, а не попытки исправления отсутствующих недостатков ПО и системы...
Давайте так:
- если проблема именно в "договоренности с сервером", то обсуждение надо перенести в ветку по Windows. При этом надо будет раскрыть, как подключаются и что именно такое "удаленные пользователи" с точки зрения ОС и SQL-сервера
- если проблема именно в "новых пользователях" приложения - так разъясните нам полный смысл этого понятия...
- попытки править приложение, чтобы "подстроиться" под "внезапно возникшие" требования - и вы наворОтите в приложении/SP функционал, к нему отношения не имеющий...
5 окт 11, 22:51    [11391741]     Ответить | Цитировать Сообщить модератору
 Re: Политика мешает, но и без неё нельзя  [new]
sposad
Member

Откуда:
Сообщений: 62187
pkarklin
Боюсь не прокатит под правами обычного смертного. Попробуйте вместо sp_password только это

ALTER LOGIN [test] WITH PASSWORD = 'NewPassword'

не, под обычным юзером не катит

AndreTM,

Удалённые пользователи - это те, кто подключается по VPN с машин, не входящих в домен и под SQL-аутентификацией
Новый юзер - это тот, что получил только что от админа логин с паролем и должен как-бы при первом входе сразу его сменить
править клиента я не собираюсь ибо бред, я предполагал где-то покрутить в серверных процедурах, но вижу, что это, кажется, не прокатит

Вообще, склоняюсь к тому, чтобы отослать к той же политике и пусть админы сами разбираются с тем, что наврали вчера, хотя это и не по товарищески
6 окт 11, 09:09    [11392486]     Ответить | Цитировать Сообщить модератору
 Re: Политика мешает, но и без неё нельзя  [new]
pkarklin
Member

Откуда: Москва (Муром)
Сообщений: 74930
sposad
не, под обычным юзером не катит


Просто обязано прокатывать... Какая ошибка?
6 окт 11, 09:38    [11392612]     Ответить | Цитировать Сообщить модератору
 Re: Политика мешает, но и без неё нельзя  [new]
pkarklin
Member

Откуда: Москва (Муром)
Сообщений: 74930
Попробуйте еще OLD_PASSWORD добавить.
6 окт 11, 09:39    [11392615]     Ответить | Цитировать Сообщить модератору
 Re: Политика мешает, но и без неё нельзя  [new]
sposad
Member

Откуда:
Сообщений: 62187
pkarklin
sposad
не, под обычным юзером не катит


Просто обязано прокатывать... Какая ошибка?

в переводе либо пользователя нет, либо разрешений. Ну из-под меня-то прокатывает, а из-под юзера - нет
6 окт 11, 09:50    [11392659]     Ответить | Цитировать Сообщить модератору
 Re: Политика мешает, но и без неё нельзя  [new]
komrad
Member

Откуда:
Сообщений: 5741
sposad
pkarklin
пропущено...


Просто обязано прокатывать... Какая ошибка?

в переводе либо пользователя нет, либо разрешений. Ну из-под меня-то прокатывает, а из-под юзера - нет


внесите свои мысли в системную sp_password
и аудит не заметит
6 окт 11, 10:01    [11392747]     Ответить | Цитировать Сообщить модератору
 Re: Политика мешает, но и без неё нельзя  [new]
sposad
Member

Откуда:
Сообщений: 62187
pkarklin
Попробуйте еще OLD_PASSWORD добавить.

подставил, даже из под себя получил те же грабли

Msg 15114 Level 16 State 1 Line 1
Password validation failed. The password for the user is too recent to change.
6 окт 11, 10:19    [11392865]     Ответить | Цитировать Сообщить модератору
 Re: Политика мешает, но и без неё нельзя  [new]
GIgorS
Member

Откуда: Киев
Сообщений: 2
sposad
...В принципе сложного не было, так как приложение отслеживало срок действия пароля само по себе и потребовалось только сэмулировать просроченный пароль, а вот дальше последовал супризс:) ...


А зачем Вам эмулировать? При создании логина укажите, что при первом входе пользователь должен сменить пароль с помощью "MUST_CHANGE"

CREATE LOGIN [123] WITH PASSWORD=N'123' MUST_CHANGE, DEFAULT_DATABASE=[master], 
CHECK_EXPIRATION=ON, CHECK_POLICY=ON

Или поставив птичку при создании логина из SQL Server Management Studio
User must change password at next login - SQL Server will prompt the user for a new password the first time the new login is used.
6 окт 11, 11:46    [11393479]     Ответить | Цитировать Сообщить модератору
 Re: Политика мешает, но и без неё нельзя  [new]
sposad
Member

Откуда:
Сообщений: 62187
GIgorS
sposad
...В принципе сложного не было, так как приложение отслеживало срок действия пароля само по себе и потребовалось только сэмулировать просроченный пароль, а вот дальше последовал супризс:) ...


А зачем Вам эмулировать? При создании логина укажите, что при первом входе пользователь должен сменить пароль с помощью "MUST_CHANGE"

CREATE LOGIN [123] WITH PASSWORD=N'123' MUST_CHANGE, DEFAULT_DATABASE=[master], 
CHECK_EXPIRATION=ON, CHECK_POLICY=ON

Или поставив птичку при создании логина из SQL Server Management Studio
User must change password at next login - SQL Server will prompt the user for a new password the first time the new login is used.

эмулировать надо потому, что интерфейс приложения по другому не выдаст форму для замены пароля, а с галочкой не прокатывает, поскольку приложение не реагирует на запрос сервера на изменение пароля, он просто сваливается в обработчик ошибок и воспринимается как неправильный логин. Приложение писалось ещё на sql2k, когда такого функционала на сервере не было.
6 окт 11, 12:21    [11393783]     Ответить | Цитировать Сообщить модератору
Все форумы / Microsoft SQL Server Ответить