Sistema de seguridad

[Manuel Castro Ruiz]

Hola a todos:

Estamos diseñando un sistema de seguridad integrado para varias aplicaciones que utilizan varios servidores SQL Server.

Se trata de centralizar en una aplicación la gestión de usuarios, perfiles, permisos, etc... de todas estas aplicaciones.

Para ello queremos basarnos en las funciones de aplicación (Para quien no las conozca son una joya, en www.algoritmodigita.com hay un artículo de Luis Miguel Blanco sobre ellas muy bueno "Pase de Backstage para usuarios")

Las funciones de aplicación se adaptan exáctamente a lo que queremos, pero el problema viene en la arquitectura de las aplicaciones que ya existen, ya que estas aplicaciones, tienen acceso cada una a una única base de datos, propia de la aplicación, y hay otras BD comunes, como localidades, intereses, ... a las que se accede mediante vistas desde la B.D. de la aplicación.

El problema radica en que no se pueden asignar permisos a una función de aplicación de otra base de datos, con lo cual para poder acceder a datos de una tabla común, hay que darle permiso de select al usuario guest, y esto es bastante delicado.

La única solución que se nos ocurre es cambiar la arquitectura en el sentido de utilizar una conexión para cada base de datos que se vaya a utilizar y una función de aplicación independiente para cada BD, pero esto son bastantes cambios.

¿Qué opinais? ¿Se os ocurre otro sistema?.

Gracias de antemano.

Pd: Si Fernando o alguien del grupo domina un poco el tema de la gestión de usuarios y permisos, que se anime y escriba un libro, pues apenas hay documentación sobre el tema.

Saludos a todos

[Fernando G. Guerrero]

Carlos Eduardo Rojas y yo estamos escribiendo un libro
(http://www.mcp.com/que/detail_que.cfm?item=0789724499) que, aunque no trata
de seguridad, dará algunas explicaciones al respecto. Me encantaría escribir
algo más completo sobre el tema, ya que el libro no es para usuarios
avanzados, pero por ahora no tengo tiempo. Quizá después de Navidades.

El problema que comentas puede resolverse creando vistas en la base de datos
donde tienes definida la función de aplicación, y asignando permisos en
estas vistas a dicha función de aplicación. También puedes resolverlo con
procedimientos almacenados, por supuesto.

Si el usuario que ha creado la vista, o procedimiento, es el mismo (ambos
nombres de usuarios se corresponden con el mismo login) que ha creado el
objeto en la otra base de datos, la cadena de propiedad no se rompe y SQL
Server no comprobará permisos individuales en cada objeto, sino solamente en
la vista o procedimiento.

Lo único que necesitas en la otra base de datos es disponer del usuario
Guest, pero no necesitas asignar ningún permiso a Guest, ya que simplemente
lo necesita para garantizar acceso a la base de datos desde la función de
aplicación, no a los objetos en cuestión.

--
Fernando G. Guerrero
QA Group Ltd., UK
PASS Spanish Group

"Share what you know, learn what you don't"

"Manuel Castro Ruiz" <mcas...@kkteleline.es> wrote in message
news:OgqcwPhVAHA.256@cppssbbsa05...

[Manuel Castro Ruiz]

Hola Fernando:

Enhorabuena por vuestro futuro libro.

En cuanto se publique pasará a formar parte de nuestra biblioteca, y será de lectura obligatoria para la gente nueva.

Gracias por la respuesta, pero no estoy seguro de haberte entendido.

Te digo como lo he intentado:

Tengo dos bases de datos Donaciones e Interesados.

Accediendo como sa al analizador de consultas he creado una tabla manuel.Interesados2 en la base de datos de Interesados. y una vista también llamada manuel.Interesados2 en la Base de datos de Donaciones. Con lo cual deberían tener el mismo propietario, en ambas me aparece como "owner" manuel.

En la base de datos de donaciones tengo una función de aplicación, que activo desde Visual Basic, con sp_setapprole, pruebo con otras tablas de la base de datos Donaciones y no hay problema.

Pero al acceder a la vista Interesados2, sobre las que tiene establecidos todos los permisos, me da un error de que no tiene permisos sobre la tabla interesados2 de la base de datos de interesados.

El usuario guest esta bien creado, es más si asigno permisos de select a éste usuario, si que accede a la tabla.

Si trato de hacerlo dentro de la misma Base de datos si que funciona.

Es decir, si la vista interesados2 la apunto a la tabla interesados de donaciones, en lugar de a la de interesados, aunque no establezca permisos sobre la tabla, si los establezco sobre la vista funciona.

¿Estoy haciendo algo mal? ¿No se puede hacer entre Bases de datos distintas?

Muchas gracias por todo.

 

 

"Fernando G. Guerrero" <Fer...@GuerreroG.org> escribió en el mensaje news:uyD5r#iVAHA.134@cppssbbsa04...

[Edgar David Magaña Camacho]

> Carlos Eduardo Rojas y yo estamos escribiendo un libro
> (http://www.mcp.com/que/detail_que.cfm?item=0789724499) que, aunque no
trata

Fernando y/o Carlos:

El Libro que estan escribiendo, tambien va a ser en castellano?

Saludos

Edgar

[Fernando G. Guerrero]

Lo estamos escribiendo en Inglés, aunque no perdemos la esperanza de que la
editorial decida pasarlo al castellano cuanto antes. Supongo que dependerá
de las perspectivas de ventas.

--
Fernando G. Guerrero
QA Group Ltd., UK
PASS Spanish Group

"Share what you know, learn what you don't"

"Edgar David Magaña Camacho" <emag...@yahoo.com.mx> wrote in message
news:uPuxW7W...@cppssbbsa02.microsoft.com...

[Salvador Ramos]

Pues decidle que teneis un montón de ventas garantizadas si lo traducen ;-)

(no le digais que también lo compraré en inglés).

Un saludo
Salvador Ramos
sra...@inforges.es

Fernando G. Guerrero <Fer...@GuerreroG.org> escribió en el mensaje de
noticias #Mq009WW...@cppssbbsa02.microsoft.com...

[Carlos Eduardo Rojas]

Segun tenemos entendido, si tienen intenciones de traducirlo al espanol.
Pero tambien puedes practicar el ingles con la primera version :-)
--
Saludos,,
---------------------------------------------------
Carlos Eduardo Rojas
MCSE+I, MCDBA, MCSS
Pass Spanish Group

[Fernando G. Guerrero]

Así se lo hemos dicho. A lo mejor necesitan que más gente les refresque la
memoria en:

http://www.mcp.com/que/service.cfm?item=0789724499

Aunque se asombrarán de tener comentarios sobre un libro que no se ha
publicado aún.

--
Fernando G. Guerrero
QA Group Ltd., UK
PASS Spanish Group

"Share what you know, learn what you don't"

"Salvador Ramos" <sra...@larural.es> wrote in message
news:#QkvdOXW...@cppssbbsa02.microsoft.com...

> Pues decidle que teneis un montón de ventas garantizadas si lo traducen
;-)
>
> (no le digais que también lo compraré en inglés).
>
> Un saludo
> Salvador Ramos
> sra...@inforges.es
>
>
> Fernando G. Guerrero <Fer...@GuerreroG.org> escribió en el mensaje de
> noticias #Mq009WW...@cppssbbsa02.microsoft.com...
> > Lo estamos escribiendo en Inglés, aunque no perdemos la esperanza de que
> la
> > editorial decida pasarlo al castellano cuanto antes. Supongo que
dependerá
> > de las perspectivas de ventas.
> >
> > --
> > Fernando G. Guerrero
> > QA Group Ltd., UK
> > PASS Spanish Group
> >
> > "Share what you know, learn what you don't"
> >
> >

[Fernando G. Guerrero]

Y así de paso tendrán más claro que merece la pena traducirlo ;-)

--
Fernando G. Guerrero
QA Group Ltd., UK
PASS Spanish Group

"Share what you know, learn what you don't"

"Carlos Eduardo Rojas" <carl...@mindspring.com> wrote in message
news:epIhWQXWAHA.301@cppssbbsa04...

> Segun tenemos entendido, si tienen intenciones de traducirlo al espanol.
> Pero tambien puedes practicar el ingles con la primera version :-)
> --
> Saludos,,
> ---------------------------------------------------
> Carlos Eduardo Rojas
> MCSE+I, MCDBA, MCSS
> Pass Spanish Group
>
>