Режимы аутентификации. Учетные записи, пользователи и роли

МОСКОВСКИЙ ГОСУДАРСТВЕННЫЙ  УНИВЕРСИТЕТ

ПРИБОРОСТРОЕНИЯ И ИНФОРМАТИКИ (МГУПИ)

 

 

 

 

 

 

 

 

Реферат по предмету

 

Управление большими базами данных

 

 

Тема: «Режимы аутентификации. Учетные записи, пользователи и роли»

 

 

 

 

 

 

 

Выполнил:

студент 3-го курса

группы ИТ4-1006вс

Тихонов Д.И.

 

 

Преподаватель:

Халабия Р.Ф.

 

Управление пользователями базы данных

Стабильная система управления пользователями – обязательное условие безопасности данных, хранящихся в любой реляционной СУБД. В языке SQL не существует единственной стандартной команды, предназначенной для создания пользователей базы данных – каждая реализация делает это по-своему. В одних реализациях эти специальные команды имеют определенное сходство, в то время как в других их синтаксис имеет существенные отличия. Однако независимо от конкретной реализации все основные принципы одинаковы.

 

Управление пользователями на примере среды MS SQL Server

После проектирования логической структуры базы данных, связей между  таблицами, ограничений целостности  и других структур необходимо определить круг пользователей, которые будут иметь доступ к базе данных.

В системе SQL-сервер организована двухуровневая настройка ограничения доступа к данным. На первом уровне необходимо создать так называемую учетную запись пользователя (login), что позволяет ему подключиться к самому серверу, но не дает автоматического доступа к базам данных. На втором уровне для каждой базы данных SQL-сервера на основании учетной записи необходимо создать запись пользователя. На основе прав, выданных пользователю как пользователю базы данных (user), его регистрационное имя (login) получает доступ к соответствующей базе данных. В разных базах данных login одного и того же пользователя может иметь одинаковые или разные имена user с разными правами доступа. Иначе говоря, с помощью учетной записи пользователя осуществляется подключение к SQL-серверу, после чего определяются его уровни доступа для каждой базы данных в отдельности.

В системе SQL-сервер существуют дополнительные объекты – роли, которые определяют уровень доступа к объектам SQL-сервера. Они разделены на две группы: назначаемые для учетных записей пользователя сервера и используемые для ограничения доступа к объектам базы данных.

Итак, на уровне сервера система  безопасности оперирует следующими понятиями:

• аутентификация;
• учетная запись;
• встроенные роли сервера.

На уровне базы данных применяются  следующие понятия;

• пользователь базы данных;
• фиксированная роль базы данных;
• пользовательская роль базы данных.

 

Режимы аутентификации

SQL Server предлагает два режима аутентификации пользователей:

• режим аутентификации средствами Windows NT/2000;
• смешанный режим аутентификации (Windows NT Authentication and SQL Server Authentication).

 

Управление доступом

 

Обычно в СУБД применяется  произвольное управление доступом, когда  владелец объекта передает права  доступа к нему (чаще говорят - привилегии) по своему усмотрению. Привилегии могут  передаваться субъектам (отдельным  пользователям), группам, ролям или  всем пользователям.

Группа - это именованная  совокупность пользователей. Объединение  субъектов в группы облегчает  администрирование баз данных и, как правило, строится на основе формальной или фактической структуры организации. Каждый пользователь может входить  в несколько групп.

Роль - это еще один возможный  именованный носитель привилегий. С  ролью не ассоциируют перечень допустимых пользователей - вместо этого роли защищают паролями. В момент начала сеанса с  базой данных можно специфицировать  используемую роль (обычно с помощью  флагов или эквивалентного механизма) и ее пароль, если таковой имеется.

Привилегии роли имеют  приоритет над привилегиями пользователей  и групп. Иными словами, пользователю как субъекту не обязательно иметь права доступа к объектам, обрабатываемым приложениям с определенной ролью.

 

Основные категории пользователей

 

Пользователей СУБД можно  разбить на три категории:

• администратор сервера баз данных. Он ведает установкой, конфигурированием сервера, регистрацией пользователей, групп, ролей и т.п. Прямо или косвенно он обладает всеми привилегиями, которые имеют или могут иметь другие пользователи.
• администраторы базы данных. К этой категории относится любой пользователь, создавший базу данных, и, следовательно, являющийся ее владельцем. Он может предоставлять другим пользователям доступ к базе и к содержащимся в ней объектам. Администратор базы отвечает за ее сохранение и восстановление. В принципе в организации может быть много администраторов баз данных.
• прочие (конечные) пользователи. Они оперируют данными, хранящимися в базах, в рамках выделенных им привилегий.

 

 

Виды привилегий

 

Привилегии в СУБД можно  подразделить на две категории: привилегии безопасности и привилегии доступа. Привилегии безопасности позволяют  выполнять административные действия. Привилегии доступа, в соответствии с названием, определяют права доступа  субъектов к определенным объектам.

Привилегии безопасности всегда выделяются конкретному пользователю (а не группе, роли или всем) во время  его создания или изменения характеристик.

Привилегии доступа выделяются пользователям, группам, ролям или  всем пользователям. Эти привилегии, как правило, присваивает владелец соответствующих объектов или администратор сервера баз данных.

 

 

 

 

 

Использование представлений  для управления доступом

 

СУБД предоставляют специфическое  средство управления доступом - представления. Представления позволяют сделать  видимыми для субъектов определенные столбцы базовых таблиц (реализовать  проекцию) или отобрать определенные строки (реализовать селекцию). Не предоставляя субъектам прав доступа к базовым  таблицам и сконструировав подходящие представления, администратор базы данных защитит таблицы от несанкционированного доступа и снабдит каждого  пользователя своим видением базы данных, когда недоступные объекты как  бы не существуют.