Question

I ve been searching hard to get my head around security related issues in a SQL Server. We re developing a .NET application that targets SQL Server 2008 and we want to use FileStream.

现在我发现, SQL 服务器只允许您使用 Integration 安全, 通过 Win32 API 进行 FileStream 。问题在于我们大约完成了80%的应用程序, 但是它完全基于 SQL 身份验证。因此, 我们正在做 INSERT 的直截了当的应用程序, 并且没有在每次 CRUD 操作中使用存储程序。

这是相对安全的, 因为我可以以加密格式存储 SQL 用户名和密码。我知道密码是用 Clear Text 传送的, 但我愿意接受。

我们希望终端用户能够通过水晶报告等工具与数据连接,

现在,如果我们改用“综合安全 ” ( Integration Security ), 我们就必须赋予个人用户(通过AD集团等)做应用所能做的事情的权利。否则应用程序将无法运作。但是当终端用户直接连接到 DB 时,他也会拥有这些权利。

我看见有人说每次CRUD行动都应该使用存储程序, 并且只给予AD集团 EXEC权利,但我要怎么做呢?

附加的奖金问题:根据我的理解,中介安全不会在工作组中工作。人们如何让FileStream在工作组中工作? 或者这被视为不可能?

Answer 1

综合安全 Will 在一个工作组中工作, 使用遗留机制, 您在两台机器上有一个匹配的用户名和密码。另外, 如果服务器有一个匹配的用户账户, 域名用户也可以使用遗留机制登录到非域服务器。
集成安全甚至可以使用不匹配的用户名和密码。这可能帮助您在您的假想中。

尝试此 :

NET USE \DBSERVER /USER:DOMAINUSERNAME

您的密码会被提示。这将用数据库服务器建立一个 NetBIOS 会话。一旦您在数据库服务器上看到共享文件夹和共享打印机, 您应该能够看到。

一旦在客户计算机和数据库服务器之间建立了网络生物会话,你就可以使用集成安全而无需密码。

您必须指定“ 命名管道” 作为网络使用协议, 如果它与 TCP 无效( 但我认为它会有效 ) 。命名的管道会继承您现有的 NetBIOS 会话, 所以只要您能够列出您可能愿意去的股份。

您也可以使用窗口 API 函数 NetuseAdd 来建立登录会话, 使用 USE_INFO_2 (级别2) 包含密码的信息。

我猜测简短的回答是,您可以为您的应用程序设置一个特殊的 Windows 日志, 并让用户为此进行日志。但是请注意, 用户不能使用自己的用户名和密码连接到同一个服务器。

友情链接