Серверные роли. Разрешения на уровне сервера.

Роли базы данных объединяют нескольких пользователей в административную единицу и позволяют назначать права доступа к объектам базы данных для роли, наделяя этими правами всех участников этой роли.

Различают пользовательские и встроенные роли. Встроенные роли создаются автоматически при установке сервера СУБД (и не могут меняться). Различают встроенные роли уровня СУБД и уровня конкретной базы данных. Так, например, в SQL Server есть такие роли сервера:

 

Встроенная роль сервера	Назначение
Sysadmin	Может выполнять любые действия в SQL Server
Serveradmin	Выполняет конфигурирование и выключение сервера
Setupadmin	Управляет связанными серверами и процедурами, автоматически запускающимися при запуске SQL Server
Securityadmin	Управляет учетными записями и правами на создание базы данных, также может читать журнал ошибок.
Processadmin	Управляет процессами, запущенными в SQL Server
Dbcreator	Может создавать и модифицировать базы данных
Diskadmin	Управляет файлами SQL Server
Bulkadmin	Может вставлять данные с использованием средств массового копирования, не имея непосредственного доступа в таблицам.

 

 

Дополнительные возможности работы с правами на уровне сервера доступны из свойств сервера на вкладке Разрешения.

 

На этой вкладке вы можете:

 

-более точно настроить права для каждого логина (если набор серверных ролей вас не устраивает);

-предоставить права всем пользователям сразу (при помощи специальной серверной роли public);

-посмотреть, кто предоставил данные права пользователю (значение в столбце Grantor);

- посмотреть итоговые права для данного пользователя на уровне сервера. Для этой цели предназначена кнопка Effective Permissions (Действующие разрешения).

 

Еще одна возможность предоставить пользователю разрешения на объекты сервера - воспользоваться вкладкой Защищаемые объекты свойств логина. При помощи этой вкладки вы можете предоставить пользователю разрешения на:

 

- объект сервера (то же самое, что и из свойств сервера);

- объекты подключений по HTTP (HTTP Endpoints);

- объекты других логинов.

 

 

Пользователи базы данных

 

Каждый пользователь проходит два этапа проверки системы безопасности при попытке доступа к данным:

— Этап 1 – аутентификация,

— Этап 2 – получение доступа к данным

Первый этап относится к уровню работы всего сервера СУБД. На первом этапе пользователь идентифицирует себя с помощью логического имени (login) и пароля (password).

Логическое имя и пароль хранятся на сервере СУБД в виде учетной записи (account).

Если данные были введены правильно, то считается, что процедура аутентификации пройдена, и данный сервер СУБД разрешает попытку доступа к конкретной базе данных.

Однако сама по себе аутентификация не дает пользователю права доступа к каким бы то ни было данным. Для получения доступа к данным необходимо, чтобы учетной записи пользователя соответствовал некоторый пользователь базы данных (database user).

Пользователь базы данных – совокупность разрешений и запретов на работу с данными в конкретной базе данных.

На втором этапе (авторизации) учетная запись пользователя отображается в пользователя базы данных, и получает все привилегии, соответствующие этому пользователю базы данных. Второй этап задействует систему безопасности конкретной базы данных, а не всего сервера СУБД.

В разных базах данных одной и той же учетной записи могут соответствовать одинаковые или разные имена пользователя базы данных с разными правами доступа.

В том случае, когда учетная запись пользователя не отображается в пользователя базы данных, клиент все же может получить доступ к базе данных под гостевым именем guest (если оно не запрещено администратором БД). Гостевой вход позволяет минимальный доступ к данным только в режиме чтения.

Пользователи баз данных могут объединяться в роли (группы) для упрощения управления системой безопасности.