په ایس ایس ایل کې د کارنانو او رولونو لپاره د لاسرسی کنټرول

امنیت د ډیټابیس مدیرانو ته د پام وړ دی چې غواړي د حیاتي کاروباري معلوماتو خپل ګایګابایټونه د غیرقانوني بهرنیانو له سترګو او داخلي اشخاصو څخه د خپل واک څخه د تیریدو هڅه کوي. د ټول اړونده ډیټابیس مدیریت سیسټمونه د دې ګواښونو د کمولو لپاره ډیزاین امنیتي میکانیزمونه چمتو کوي. دا د ساده پټن ځای څخه ساتل کیږي چې د مائیکروسافټ لاسرسی پیچلي کارن / رول جوړښت لخوا وړاندې شوي وړاندیز شوي د پرمختللي اړیکو ډیټابیسونو لکه Oracle او Microsoft مایکروسافټ سرور لخوا مالتړ کیږي. دا مقاله د ټولو میکانیزمونو سره یوځای د امنیتي میکانیزمونو تمرکز کوي چې د جوړ شوي پوښتنو ژبه ) یا SQL (تطبیق کوي. یوځای، موږ به د معلوماتو لاسرسۍ کنترولونو پیاوړتیا او ستاسو د معلوماتو مصؤنیت د پروسې له لارې پرمخ یوسو.

کارنان

د سرور پر بنسټ ډاټابيسز ټول د يو کاروونکي مفهوم ملاتړ کوي چې ورته د کمپيوټر په سيسټمونو کې کارول کيږي. که تاسو د کاروونکي / ډلې د ادارې دارالشا سره واقف یاست نو د مایکروسافټ ونډوز NT او وینډوز 2000 کې موندل شوي، تاسو به ومومئ چې د ایسیل سرور او اورایکل لخوا مالتړ شوي د کارن / رول ګروپونه ورته ورته دي.

دا خورا سپارښتنه کیږي چې تاسو د هر شخص لپاره د انفرادي ډیټابیس کاروونکي حسابونه جوړ کړئ چې ستاسو ډاټابیس ته لاسرسۍ به ولري. دا د تخنیکي لحاظه ممکنه ده چې د کاروونکو تر منځ حسابونه شریک کړئ یا په آسانۍ سره د هر یو کارن کارن لپاره د یو کارن حساب کارولو ته اړتیا ولري چې ستاسو ډیټابیس ته السرسی ته اړتیا لري، مګر زه په دې ټینګار کوم چې دغه دوسیه د دوو دلیلونو لپاره وهم. لومړی، دا د انفرادي احتساب له منځه وړل - که چیرته یو کارن ستاسو د ډیټابیس کې بدلون راوړي) اجازه راکړئ چې خپل ځان ته $ 5،000 لوړ کړي (، نو تاسو به د دې توان نه لرئ چې دا د ځانګړي کس ته د پلټنې د لوبو په کارولو سره وټاکئ. سربېره پر دې، که یو ځانګړی کاروونکی ستاسو سازمان پریږدي او تاسو غواړئ چې د ډاټابیس څخه د هغه لاسرسي لیرې کړئ، تاسو به مجبور شئ چې هغه پټنوم بدل کړئ چې ټول کارونکي یې تکیه کوي.

د کاروونکو حسابونو د جوړولو لپاره لارښوونې د پليټینټ څخه پلي کولو څخه توپیر لري او تاسو به د سمه کړنالرې لپاره د DBMS-ځانګړي اسناد سره مشوره وکړئ. د مایکروسافټ SQL Server کاروونکي باید د سپ_adduser ذخیره شوي پروسیجر کارولو پلټنه وکړي. د اورینټل ډیټابیس مدیران به د CREATE USER کمانډ ګټور ومومي. تاسو ممکن هم وغواړئ چې د بدیل تصدیق کولو سکیمونو پلټنه وکړي. د بیلګې په توګه، د مایکروسافټ ایس ایس ایل سرور د وینډوز NT انډول شوي امنیت کارولو ملاتړ کوي. د دې سیسټم الندې، کاروونکي د دوی د ډیټابیس NT کارنان حسابونو لخوا د ډیټابیس ته پیژندل شوي او د ډیټابیس ته د لاسرسی لپاره د اضافي کارن پیژند او پاسورډ داخل کولو ته اړتیا نلري. دا تګلاره د ډیټابیس د مدیرانو ترمنځ خورا مشهوره ده ځکه چې دا د حساب مدیریت د شبکې ادارې کارمندانو ته لیږدوي او د پای کاروونکي لپاره دا د یو واحد نښان اسانتیا برابروي.

رولونه

که تاسو په یو چاپیریال کې یاست د لږو کاروونکو سره، نو تاسو به د کارن کارن حسابونو پیدا کول او په مستقیم ډول دوی ته اجازه ورکړئ چې ستاسو اړتیاوې پوره وي. په هرصورت، که تاسو ډیری کاروونکي لرئ، تاسو به تر ډیره حده د حسابونو او مناسب اجازاتو د ساتلو په واسطه ډیریږي. د دې بار د اسانتیا لپاره، اړونده ډاټابیسز د رول احساسات ملاتړ کوي. د ډیټابیس رولونه ورته ورته وینډوز NT ګروپ ته کار کوي. د کارن حسابونه د رول (او) لپاره ټاکل شوي دي او بیا اجازه د انفرادي کاروونکو حسابونو په پرتله د ټولیز رول ته ګمارل کیږي. د بیلګې په توګه، موږ کولی شو د DBA رول رامینځ ته کړو او بیا د دې رول لپاره زموږ اداري کارکوونکو کاروونکي حسابونه اضافه کړو. یوځل چې موږ دا کار کړی دی، موږ کولی شو د ټولو حاضر (او راتلونکي) مدیرانو لپاره یو ځانګړی اجازې په ساده ډول د رول اجازه درکړو. یوځل بیا، د رول د رامینځته کولو پروسیجرونه د پلي کولو څخه پلی کولو ته توپیر لري. د MS SQL Server Administrators باید د SP_addrole ذخیره شوي پروسیجر پلټنه وکړي پداسې حال کې چې Oracle DBAs باید د CREATE ROLE نحو څخه کار واخلي.

د اجازې اجازه ورکول

اوس چې موږ خپل کاروونکي ته کاروونکي زیات کړل، دا د وخت وخت دی چې د امنیت پیاوړتیا پیل کړي د اجازې زیاتولو له لارې. زموږ لومړی ګام زموږ د کاروونکو لپاره مناسب ډیټابیس اجازه ورکول دي. موږ به دا د SQL GRANT د بیان په کارولو سره ترلاسه کړو.

دلته د بیان نښې دي:

ګرانه <اجازې>
[ON

]
<کارن / رول> ته
[د ګران انتخاب سره]

اوس، راځئ چې د دې بیان کرښه وګورو. لومړنۍ کرښه، GRANT <اجازې>، موږ ته اجازه راکوي چې د ځانګړو میزونو اجازه وټاکو چې موږ یې ورکوو. دا کیدای شي د میز سطحه اجازه ولري (لکه څنګه چې انتخاب، INSERT، تازه حال او حذف کړئ) یا د ډیټابیس اجازه لیکونه (لکه د CREATE جدول، د معلوماتو ډاټا او ګرمې). د یو څخه زیات اجازه د GRAN په بیان کې ورکول کیدی شي، مګر د میز کچې کچې اجازه او د ډیټابیس کچې کچې اجازه ممکن په یوه بیان کې ګډ نه شي.

دویمه کرښه، پر <میز>، د میز لیټی اجازه لپاره د اغېزمن میز مشخص کولو لپاره کارول کیږي. دا لیک لرې شو که چیرې موږ د ډیټابیس - کچه اجازه اجازه ورکوو. دریم کرښه یو کارن یا رول مشخص کوي کوم چې اجازه ورکړل شوې وي.

په پای کې، د ګران انتخاب سره څلورم کرښه، اختیاري ده. که چیرې دا لیک په بیان کې شامل شي، کارول شوی کار هم د دې کاروونکو لپاره د نورو کاروونکو ته اجازه ورکوي. په یاد ولرئ چې د ګرانتوب اختیار شتون نلري کله چې اجازه په یو رول سره ټاکل شوې وي.

بېلګې

راځئ چې یو څو مثالونه وګورو. زموږ په لومړي سناریو کې، موږ په دې وروستیو کې د 42 معلوماتو د انټرنټ کاروونکو یو ډله استخدام کړې چې د پیرودونکو ریکارډونو اضافه او ساتنه به ورسره وکړي. دوی اړتیا لري چې د ګمرکي جدول په اړه معلوماتو ته السرسې، دا معلومات تعدیل کړي او میز ته نوې اسناد اضافه کړي. دوی باید ونشي کولی چې په بشپړ ډول د ډاټابیس څخه ریکارډ ړنګ کړي. لومړی، موږ باید د هر کاروونکي لپاره د کارن حسابونو جوړونه وکړو او بیا وروسته دوی ټول د نوي معلومات، DataEntry ته اضافه کړئ. بل، موږ باید د لاندې SQL SQL بیان وکاروو چې دوی مناسب اجازه ورکړي:

د ګناه انتخاب، اندیښنه، تازه حال
په ګمرکونو
د ډاټا ایټریټ ته

او دا ټول دا دی! اوس راځئ چې داسې قضیه وڅیړو چې موږ د ډیټابیس-کچه کچه اجازه ورکوو. موږ غواړو چې د DBA رول غړو ته اجازه درکړو چې زموږ نوي ډیټا په ډاټابیس کې اضافه کړي. سربېره پردې، موږ غواړو چې د دوی د ترسره کولو لپاره نورو کاروونکو ته اجازه درکړو. دلته د ایس ایس ایل بیان دی:

ډالۍ جدول چمتو کوي
DBA ته
د ګران ځای سره

په یاد ولرئ چې موږ د ګرانې د انتخاب لین کې شامل یو ترڅو دا ډاډه کړي چې زموږ DBA دا اجازه د نورو کاروونکو لپاره معرفي کولی شي.

د اجازې لرې کول

یوځل چې موږ ته اجازه درکړل شوه، نو دا ډیری وخت په دې وروستیو کې دوی ته د رد کولو لپاره اړین ثابتوي. په خوشبختۍ سره، ایس ایس ایل موږ ته د ریووکو کمانډ چمتو کوي چې مخکې اجازه ورکړل شوي اجازهونه لرې کړي. دلته نخشه ده:

ځواب [د غوښتنځای اختیار] د اجازې <اجازهونه>
پر <میز>
<کارن / رول> څخه

تاسو به وګورئ چې د دې قوماندې نښې د ګران کمانډ ته ورته وي. یوازینۍ توپیر دا دی چې د ګران انتخاب سره د قوماندانۍ په پای کې د رییوکو ایډیشن لیک کې مشخص شوی. د مثال په توګه، راځئ تصور وکړو چې موږ غواړم د مریم پخوانۍ غوښتنه رد کړم چې د ګمرکونو ډیټابیس د ریکارډونو له لرې کولو اجازه ورکړم. موږ لاندې لارښوونې کاروو:

بیاکتنه حذف کړئ
په ګمرکونو
د مریم څخه

او دا ټول دا دی! دلته یو اضافي میکانیزم شتون لري چې د مائیکروسافټ اسالمي سرور لخوا مالتړ شوی چې د یادونې وړ - DENY کمانډ دی. دا قومانده د کاروونکي لپاره اجازه چې په واضح ډول د اوسني یا راتلونکي رول غړیتوب له لارې ولري لري ردولو لپاره کارول کیدی شي. دلته نخشه ده:

د <اجازې>
پر <میز>
د کارن / رول لپاره

بېلګې

زموږ پخوانۍ بیلګې ته بیرته راګرځیدو، اجازه راکړئ چې مریم د مدیرانو رول هم و چې د پیرود میز ته السرسي هم درلود. د پخوانی رییوکیو بیان به میز ته د هغې لاسرسی رد کولو لپاره کافي ندي. دا به د هغې د کارن حساب په نښه کولو لپاره د GRANT بیان له لارې اجازه ورکړي چې له مدیرانو سره یې د هغې د غړیتوب له الرې ترلاسه شوي اجازهونه اغیزمن نه کړي. که څه هم، که موږ د دوسیې بیان بیان کړو نو دا به د هغې میراث د اجازې مخه ونیسي. دلته قومانده ده:

دننه ړنګول
په ګمرکونو
مریم ته

د DENY قوم په اصل کې د ډیټابیس لاسرسی کنټرول کې "منفي اجازه" رامنځته کوي. که موږ وروسته بیا پریکړه وکړو چې د مراجعینو د میز څخه د قطارونو لرې کولو اجازه ورکړئ، موږ نشی کولی د ساده ګرام کمانډ استعمال کړو. دا قومانده به په سملاسي توګه د DENY لخوا تکرار شي. پرځای یې، موږ به لومړی د REVOKE کمانډ څخه کار واخلو ترڅو د منفي اجازې داخليدو لاندینې ډول لرې کړي:

بیاکتنه حذف کړئ
په ګمرکونو
د مریم څخه

تاسو به وګورئ چې دا قومانده په عین حال کې ده لکه څنګه چې د مثبت اجازت لرې کولو لپاره کارول کیږي. په یاد ولرئ چې DENY او GRANT دواړه ورته ورته ورته امر کوي * mdash؛ دوی دواړه دواړه اجازه ورکوي) مثبت یا منفي (د ډیټابیس لاسرسی کنترول میکانیزم کې. د REVOKE کمانډ د مشخص کارونکي لپاره ټول مثبت او منفي اجازه لرې کوي. کله چې دا قوماندې خپور شو، مریم به وکولی شي د میز څخه قطارونه حذف کړي که چیرې هغه د هغه رول غړی وي چې اجازه یې لري. په عین حال کې، د برنامو قوماندې کولی شي د DELETE اجازه په مستقیم ډول د هغه حساب ته چمتو کړي.

د دې مقالې په اوږدو کې، تاسو د لاسرسۍ د کنترول میکانیزمونو په اړه چې د معیاري پوښتنو ژبې لخوا یې مالتړ شوي د ښه معاملې زده کړې کړې. دا پیژندنه باید تاسو ته یو ښه پیل ټکي چمتو کړئ، مګر زه تاسو ته هڅوم چې د خپل DBMS سندونو ته مراجعه وکړئ ترڅو ستاسو د سیسټم لخوا مالتړ شوي امنیتي تدابیرونو زده کړي. تاسو به ومومئ چې ډیری ډاټابیسونه د السرسی د پرمختللي پرمختللي میکانیزمونو مالتړ کوي، لکه د ځانګړي کالمونو اجازه ورکول.