Главная страница Случайная страница
Разделы сайта
АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторикаСоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника
Работа с привилегиями
|
|
Управление работой пользователей
Первой линией защиты от нежелательного проникновения в базы данных является управление доступом к системе. Чтобы пользователь мог соединиться с базой данных, он должен иметь в ней имя (username). Создавать имена пользователей можно при помощи SQL-команды CREATEUSER.
Аутентификация пользователей
Необходимо точно указать, как следует опознавать (аутентифицировать) использование новых учетных сведений (account) для каждого пользователя базы данных. Когда кто-то пытается соединиться с базой данных при помощи некоторого имени пользователя, определяет, имеет ли право человек, употребивший данное имя, использовать эти учетные сведения. Опознавать пользователей может тремя различными способами: по паролю, а также применяя аутентификацию операционной системы и аутентификацию глобального имени пользователя.
Аутентификация по паролю
может опознавать имя пользователя по паролю (password). Когда пользователь запускает приложение, оно требует ввести имя и соответствующий этому имени пароль. Затем проверяет подлинность запроса на соединение с помощью информации, содержащейся в учетных сведениях пользователя, которые управляются базой данных. Аутентификация по паролю распространена в системах клиент/сервер, когда пользователи соединяются с сервером баз данных при помощи клиентских ПК.
Когда применяется аутентификации по паролю, рекомендуется использовать достаточно сложные пароли, а также следить за тем, чтобы пользователи периодически их изменяли.
Аутентификация операционной системы
может опознавать имя пользователя при помощи операционной системы того компьютера, на котором работает сервер баз данных. При запуске приложения оно не запрашивает у пользователя информацию о соединении. Вместо этого приложение передает учетные сведения пользователя, предоставляемые операционной системой. Затем проверяет подлинность запроса на соединение, убеждаясь в том, что пользователь операционной системы зарегистрирован в базе данных. Аутентификация операционной системы распространена в тех средах, которые ориентированы на использование хост-машин, когда пользователи подключаются при помощи терминалов, непосредственно соединенных с сервером баз данных.
Работа с привилегиями
Пользователи системы баз данных не могут соединяться с сервером баз данных или выполнять какие-либо существенные действия, если они не имеют привилегий (privileges) на проведение определенных операций с базами данных. Например, пользователь базы данных не может:
· Соединяться с базой данных, не имея системной привилегии CREATESESSION (установить сеанс)
· Создавать таблицы в соответствующей схеме, не имея системной привилегии CREATETABLE(создать таблицу)
· Удалять строки из какой-либо таблицы другойсхемы, не имея объектной привилегии DELETE (удалить) для этой таблицы
В этом коротком списке приведено лишь несколько из различных привилегий, которые применяются для управления выполнением операций и данными в базах данных. О разных видах привилегий и о том, как предоставлять или отменять их для пользователей, более подробно рассказано в последующих разделах.
|
|