Chapter 2 User Authentication, Authorization, and Security(10):创建包含数据库

原文出处:http://blog.csdn.net/dba_huangzj/article/details/39473895,专题目录:http://blog.csdn.net/dba_huangzj/article/details/37906349

未经作者同意,任何人不得以“原创”形式发布,也不得已用于商业用途,本人不负责任何法律责任。

        前一篇:http://blog.csdn.net/dba_huangzj/article/details/39003679

 

前言:

 

在SQL Server中,安全性分为两级:服务器级别和数据库级别。服务器的登录名被映射到数据库中的一个用户。身份验证在登录名连接到服务器时发生。如果数据库中有这个登录名所对应的用户,那么这个登录名就能访问数据库。登录名和用户之间的映射是基于一个内部SID,当从一个服务器复制数据库到另外一个服务器,即使用户名相同,如果SID不同,也会打算这个连接关系。从2012开始引入了包含数据库(Contained database)概念,用于解决这种问题。

一个包含数据库并不依赖于任何外部定义,可以在服务器之间自由移动而不需要任何额外配置。SQL Server的包含概念有下面3类:

  • 不包含(Non-contained):数据库基于服务器。
  • 部分包含(Partially-contained):用户是定义在数据库内部,数据库是独立的,但是依旧可以访问数据库外部的资源。
  • 完全包含(Fully-contained):数据库是独立的,用户不能访问外部资源。

SQL Server 2012 仅支持部分包含,这个功能主要解决两个问题:登录名和用户的映射问题,还有就是临时表的排序规则。当在包含数据库范围内创建一个局部临时表时,CHAR/VARCHAR列的排序规则是按照调用的数据库的排序规则而定,而不是tempdb。

 

准备工作:

 

在创建包含数据库前,需要在实例级别启用包含数据库身份验证。右键实例→【属性】→【高级】

也可以使用T-SQL实现:

EXEC sp_configure ‘show advanced options‘, 1; 
RECONFIGURE; 
GO 
EXEC sp_configure ‘contained database authentication‘, 1; 
RECONFIGURE; 
GO 
sp_configure ‘show advanced options‘, 0; 
RECONFIGURE; 
GO


这个配置也要在需要被还原的服务器上启用(假设你的库需要移动到别的服务器)。

 

 

实现:

 

可以按照下面步骤创建部分包含数据库:

1. 在SSMS中右键【数据库】节点,选择【新建数据库】

2. 在【选项】页中选择【包含类型】选项中的【部分】

换成T-SQL就是:

CREATE DATABASE containedDb 
CONTAINMENT = PARTIAL;


 

3. 然后,你可以创建一个数据库里面的用户:

USE containedDb; 
CREATE USER Fred WITH PASSWORD = N‘Strong Password‘, –SQL 身份验证及密码
DEFAULT_SCHEMA = dbo; 
CREATE USER [DOMAIN\Fred];—Windows 身份验证


 

4. 查看包含数据库中的包含用户,可以使用下面语句:

SELECT name, type_desc, authentication_type_desc 
FROM sys.database_principals 
WHERE authentication_type = 2;


 

5. 在DMV sys.dm_exec_sessions中会显示使用的身份验证:

SELECT  session_id , 
        login_time , 
        login_name , 
        DB_NAME(database_id) AS db , 
    IIF( 
        authenticating_database_id = 1, 
        ‘server login‘, 
        QUOTENAME(DB_NAME(authenticating_database_id)) + ‘ user ‘ 
        + QUOTENAME(original_login_name) ) 
    AS authentication_type 
FROM    sys.dm_exec_sessions 
WHERE   is_user_process = 1;


 

 

原理:

 

包含数据库对传统SQL Server安全模式带来了一些改变。在过去,仅有已授权的登录才能连接到SQL Server,现在,用户可以独立于任何登录,而被直接授权。其密码是存储在数据库层面并可以在服务器层面修改。如果包含数据库用户是一个Windows 帐号,整个帐号仅在数据库内部有效,因为它没有在服务器层面有登录名映射。

一个包含用户没有默认数据库,所以如果数据库没有在连接时被显式定义将会导致连接不能创建,可以通过SSMS的连接属性或者在应用程序中的连接字符串中定义,如使用SQL Server Native Client ODBC驱动:

Driver={SQL Server Native Client 11.0};Server=SERVER\SQL2012;Database=ContainedDB;Uid=Fred;Pwd=iamaweakpassword;


在创建包含数据库时,由于目标服务器可能已经存在相同的登录名,可能导致一些安全隐患或者权限冲突,这时候可以使用DDL触发器应对现有数据库的包含类型修改。详细内容可以看下面博客:

http://blogs.msdn.com/b/sqlsecurity/archive/2010/12/06/contained-database-authentication-how-to-control-which-databases-are-allowed-to-authenticate-users-using-logon-triggers.aspx

 

更多:

 

由于一些视图、存储过程可能依赖于其他数据库的表,或者同义词、服务器级别的系统对象,所以真正的包含数据库是很难实现的。所以SQL Server 2012中,包含数据库是部分包含。可以从sys.dm_db_uncontained_entities 这个DMV中查询:

 
SELECT  e.feature_name , 
        [object] = COALESCE(QUOTENAME(SCHEMA_NAME(o.[schema_id])) + ‘.‘ 
                            + QUOTENAME(o.[name]), 
                            QUOTENAME(SCHEMA_NAME(s.[schema_id])) + ‘.‘ 
                            + QUOTENAME(s.[name])) , 
        [line] = COALESCE(e.statement_line_number, 0) , 
        [statement / synonym target / route / user/login] = COALESCE(s.[base_object_name], 
                                                              SUBSTRING(m.[definition], 
                                                              e.statement_offset_begin 
                                                              / 2, 
                                                              e.statement_offset_end 
                                                              / 2 
                                                              - e.statement_offset_begin 
                                                              / 2) COLLATE CATALOG_DEFAULT, 
                                                              r.[name], 
                                                              ‘User : ‘ 
                                                              + p.[name] 
                                                              + ‘ / Login : ‘ 
                                                              + sp.[name]) 
FROM    sys.dm_db_uncontained_entities AS e 
        LEFT JOIN sys.objects AS o ON e.major_id = o.object_id 
                                      AND e.class = 1 
        LEFT JOIN sys.sql_modules AS m ON e.major_id = m.object_id 
                                          AND e.class = 1 
        LEFT JOIN sys.synonyms AS s ON e.major_id = s.object_id 
                                       AND e.class = 1 
        LEFT JOIN sys.routes AS r ON e.major_id = r.route_id 
                                     AND e.class = 19 
        LEFT JOIN sys.database_principals AS p ON e.major_id = p.principal_id 
                                                  AND e.class = 4 
        LEFT JOIN sys.server_principals AS sp ON p.[sid] = sp.[sid];


 

如何转换数据库成为包含数据库:

 

可以使用下面语句把一个数据库转换成包含数据库:

USE [master] 
GO 
ALTER DATABASE [marketing] SET CONTAINMENT = PARTIAL;


 

如果有用户映射到SQL登录,可以使用sp_migrate_user_to_contained系统存储过程转换包含数据库用户,如果需要自动化,可以查看微软文档:http://msdn.microsoft.com/en-us/library/ff929275.aspx ,也可以使用下面脚本:

SELECT ‘EXEC sp_migrate_user_to_contained @username = N‘‘‘ + dp.name + 
‘‘‘, 
  @rename = N‘‘keep_name‘‘, 
  @disablelogin = N‘‘do_not_disable_login‘‘ ;‘ 
FROM sys.database_principals AS dp 
JOIN sys.server_principals AS sp 
ON dp.sid = sp.sid 
WHERE dp.authentication_type = 1 AND sp.is_disabled = 0;

下一篇:

郑重声明:本站内容如果来自互联网及其他传播媒体,其版权均属原媒体及文章作者所有。转载目的在于传递更多信息及用于网络分享,并不代表本站赞同其观点和对其真实性负责,也不构成任何其他建议。