Quản lý User và Security
Trang 1Bài 4
Quản lý User và Security
Trang 2Nhắc lại
Nhắc lại về Transaction và Lock:
Transactions
Property, classification, isolation và isolation
level của transaction
Locks và database deadlock
Giải quyết các deadlock
Trang 3Mục tiêu
Mô tả tính bảo mật của SQL Server
Các chế độ đăng nhập(login) của SQL Server
Sử dụng T-SQL để quản lý login
Diễn tả các khái niệm về database user
Sử dụng system stored procedure để quản lý
database user
Diễn tả các khái niệm về database role
Sử dụng system stored procedure để quản lý role
Diễn tả khái niệm permission
Diễn tả cách thực thi một authorization đơn giản
Diễn tả cách lấy lại các permission trên các đối tượng
Trang 4Giới thiệu về bảo mật của
Trang 7Tạo các login sử dụng
Enterprise Manager
Trang 8Những Stored procedure
để thêm và xóa các login
Để tạo một login, chúng ta có thể sử dụng câu lệnh sau:
EXEC sp_addlogin 'Arwen', 'princess'
Để xóa một login khi không cần thiết chúng ta có
thể viết như sau:
EXEC sp_droplogin 'Arwen'
Trang 9db_owner fixed database role.
user ID, chứ không phải là login ID
truy nhập đến các đối tượng trong các
database
Trang 10Ví dụ
Ví dụ dưới đây chỉ ra cách gắn một Windows 2000 account
với một login và cách gán quyền truy nhập:
USE master GO
sp_grantlogin 'OnlineDOMAIN\Arwen' GO
sp_defaultdb @loginame = 'OnlineDOMAIN\
Arwen', defdb = 'books' GO
USE books GO
sp_grantdbaccess 'OnlineDOMAIN\Arwen', 'Arwen'
GO
Trang 11Các stored procedure để
quản lý login và user
sp_grantlogin: cho phép Windows
NT/2000 user hoặc group account kết nối
với SQL Server sử dụng Windows
authentication
sp_defaultdb: thay đổi database mặc
định của một login.
sp_grantdbaccess: thêm một database
security account và gán quyền truy nhập
sp_revokedbaccess: xóa một security
account khỏi database.
Users
Trang 13Public Role
A public role là một loại database role đặc biệt.
Nó luôn có trong tất cả các database.
Không thể xóa nó.
Tất cả các user đều thuộc về Public role, kể cả sa
account.
Trang 16Thêm các thành viên vào một
Trang 17Thêm các thành viên vào một
Trang 18Các Permission
Permission là các cho phép đối với user khi
truy nhập CSDL Có hai kiểu permission:
Trang 19Các kiểu Permission
Object permissions điều khiển
việc truy nhập dữ liệu trong
bảng, view và quyền thực thi các
stored procedure
Statement permissions
điều khiển quyền tạo và xóa các
đối tượng trong database.
Trang 20Các Object permission
Kiểu đối tượng Thao tác được phép
Table SELECT, UPDATE,
DELETE, INSERT, REFERENCE
Column SELECT, UPDATE
INSERT, DELETE Stored procedure EXECUTE
Trang 21Các đối tượng của SQL
Server Database
Trang 22Database và object owner
User tạo ra một database được gọi là object owner User này phải có quyền tạo database
Trang 24Tóm tắt
SQL Server kiểm tra user ở hai mức:
Login authentication
Quyền truy nhập trên user database.
Authentication identifies là người sử dụng login account để kết
nối với SQL Server
SQL Server có ba cơ chế xác nhận sau:
SQL Server authentication
Windows NT authentication
Mixed mode authentication.
Sử dụng Enterprise Manager có thể quản lý các login bằng
Wizard
Có thê tạo các login bằng sp_addlogin stored procedure.
SQL Server có 2 kiểu user accounts: System user và Database
user
Trang 25Tóm tắt (tiếp )
sp_grantdbaccess và sp_revokedbaccess thêm và
xóa quyền truy nhập
Role là cách để phân quyền
SQL Server có các database role và server role
Mặc định, SQL Server 2000 có 10 database roles
Có thể tạo database role sử dụng Enterprise Manager
hoặc sử dụng system stored procedures.
Có thể thêm Role bằng Enterprise Manager hoặc system
stored procedure sp_addrole Có thể thêm thành viên
Trang 26Tóm tắt (tiếp)…
Các đối tượng của Database giúp cấu trúc dữ iiệu và
dịnh nghĩa các toàn vẹn dữ liệu.
Permission cho phép user truy nhập database Có hai
kiểu permission: Object và Statement
Object permissions điều khiển việc truy nhập dữ
liệu trong bảng, view và quyền thực thi các stored
procedure
Statement permissions điều khiển quyền tạo và
xóa các đối tượng trong database.
User tạo database gọi là object owner
SQL Server sử dụng các lệnh GRANT, REVOKE, và
DENY để quản lý permission.
