SQL Server 2000 身份验证与安全控制(1)

SQL Server 2000 身份验证与安全控制(1) - 网络安全 - 电脑教程网

SQL Server 2000 身份验证与安全控制(1)

日期:2006-05-10   荐:
  SQL Server 身份验证模式   

  当 SQL Server 2000 在 Windows NT 或 windows 2000 上运行时,sysadmin 固定服务器角色成员可以指定下面两种身份验证模式之一:    Windows 身份验证模式  只进行 Windows 身份验证。用户不能指定 SQL Server 2000 登录 ID。这是 SQL Server 2000 的默认身份验证模式。不能为在 Windows 98 上运行的 SQL Server 实例指定 Windows 身份验证模式,因为此操作系统不支持 Windows 身份验证。    当用户通过 Windows NT 4.0 或 Windows 2000 用户帐户进行连接时,SQL Server 通过回叫 Windows NT 4.0 或 Windows 2000 以获得信息,重新验证帐户名和密码。    SQL Server 通过使用网络用户的安全特性控制登录访问,以实现与 Windows NT 4.0 或 Windows 2000 的登录安全集成。用户的网络安全特性在网络登录时建立,并通过 Windows 域控制器进行验证。当网络用户尝试连接时,SQL Server 使用基于 Windows 的功能确定经过验证的网络用户名。SQL Server 于是验证此人是否是如其所说的那个人,然后只基于网络用户名允许或拒绝登录访问,而不要求单独的登录名和密码。    登录安全集成在 SQL Server 中任何受支持的网络协议上运行。     说明 如果用户试图通过提供空白登录名称连接到 SQL Server 的实例,SQL Server 将使用 Windows 身份验证。此外,如果用户试图使用特定的登录连接到配置为 Windows 身份验证模式的 SQL Server 实例,则将忽略该登录并使用 Windows 身份验证。    与 SQL Server 身份验证相比,Windows 身份验证有某些优点,主要是由于它与 Windows NT 4.0 和 Windows 2000 安全系统的集成。Windows NT 4.0 和 Windows 2000 安全系统提供更多的功能,如安全验证和密码加密、审核、密码过期、最短密码长度,以及在多次登录请求无效后锁定帐户。    由于 Windows NT 4.0 和 Windows 2000 用户和组只由 Windows NT 4.0 或 Windows 2000 维护,因此当用户进行连接时,SQL Server 将读取有关该用户在组中的成员资格信息。如果对已连接用户的可访问权限进行更改,则当用户下次连接到 SQL Server 实例或登录到 Windows NT 4.0 或 Windows 2000 时(取决于更改的类型),这些更改会生效。    混合模式  如果用户在登录时提供了 SQL Server 2000 登录 ID,则系统将使用 SQL Server 身份验证对其进行验证。如果没有提供 SQL Server 2000 登录 ID 或请求 Windows 身份验证,则使用 Windows 身份验证对其进行身份验证。    当用户用指定的登录名称和密码从非信任连接进行连接时,SQL Server 通过检查是否已设置 SQL Server 登录帐户,以及指定的密码是否与以前记录的密码匹配,自己进行身份验证。如果 SQL Server 未设置登录帐户,则身份验证将失败,而且用户收到错误信息。    提供 SQL Server 身份验证是为了向后兼容性,因为为 SQL Server 7.0 版或更早的版本编写的应用程序可能要求使用 SQL Server 登录和密码。另外,当 SQL Server 实例在 Windows 98 上运行时,必须使用 SQL Server 身份验证,因为在 Windows 98 上不支持 Windows 身份验证模式。因此,SQL Server 在 Windows 98 上运行时使用混合模式(但只支持 SQL Server 身份验证)。    尽管建议使用 Windows 身份验证,但对于 Windows NT 4.0 和 Windows 2000 客户端以外的其它客户端连接,可能需要使用 SQL Server 身份验证。    说明 当使用命名管道连接到在 Windows NT 4.0 或 Windows 2000 上运行的 SQL Server 实例时,用户必须有连接到 Windows NT 命名管道 IPC \\\IPC$ 的权限。如果用户没有连接权限,则不能使用命名管道连接到 SQL Server 实例,除非计算机上的 Windows NT 4.0 或 Windows 2000 guest 帐户已启用(默认情况下禁用),或者给用户帐户授予"从网络访问该计算机"的权限。    设置 SQL Server 2000 身份验证模式  SQL Server 2000 身份验证模式可以在安装过程中指定或使用 SQL Server 企业管理器指定,如下图。     也可以通过修改注册表的方式来改变,如下图,它保存在  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSQLServer\MSSQLServer 节的 LoginMode 中。  LoginMode的键值:1 表示Windows 身份验证模式,2 表示混合模式。     注:改变模式后,必须重新启动 SQL Server 2000 才会生效。    SQL Server 2000 联机丛书:  若要连接到 Microsoft© SQL Server™ 2000 实例,只需给应用程序提供下面中的两条信息:    运行 SQL Server 实例的计算机所在的网络名称。  实例名(可选,只有在连接到命名实例时才需要)。  登录标识符 (ID)。  登录 ID 是帐户标识符,用来控制对任何 SQL Server 2000 系统的访问权限。SQL Server 2000 只有在首先验证了指定的登录 ID 有效后,才完成连接。这种登录验证称为身份验证。  在登录属性中,有一个是默认数据库。当一个登录连接到 SQL Server 时,这个默认数据库就变成该连接的当前数据库,除非该连接请求指定另一个数据库作为当前数据库。  登录 ID 仅能使您连接到 SQL Server 实例。特定数据库内的权限由用户帐户控制。数据库管理员将您的登录帐户映射到您有权访问的任何数据库中的用户帐户。    Windows 身份验证  SQL Server 2000 sysadmin 固定服务器角色成员必须首先向 SQL Server 2000 指定所有允许连接到 SQL Server 2000 的 Microsoft Windows NT® 或 Microsoft Windows® 2000 帐户或组。当使用 Windows 身份验证时,在连接到 SQL Server 2000 时不必指定登录 ID 或密码。用户对 SQL Server 2000 的访问权限由 Windows NT 或 Windows 2000 帐户或组控制,当登录到客户端上的 Windows 操作系统时需接受身份验证。  当连接到 SQL Server 2000 时,SQL Server 2000 客户端软件向 SQL Server 2000 请求 Windows 信任连接。直到客户端使用有效的 Windows 帐户成功登录后,Windows 才打开信任连接。信任连接的属性包括打开连接的客户端的 Windows NT 和 Windows 2000 组及用户帐户。SQL Server 2000 从信任连接属性中得到用户的帐户信息,并将它们与定义为有效 SQL Server 2000 登录的 Windows 帐户相匹配。如果 SQL Server 2000 找到匹配的项,则接受这个连接。当使用 Windows 2000 身份验证连接到 SQL Server 2000 时,用户标识即是 Windows NT 或 Windows 2000 组或用户帐户。  Microsoft Windows Me 和 Windows 98 操作系统不支持服务器端的信任连接 API。SQL Server 在 Windows Me 或 Windows 98 上运行时不支持 Windows 身份验证。用户在连接时必须提供 SQL Server 登录帐户。当 SQL Server 在 Windows NT 或 Windows 2000 上运行时,Windows Me、Windows 98 和 Windows 95 客户端可以使用 Windows 2000 身份验证与其连接。    SQL Server 身份验证  sysadmin 固定服务器角色成员首先向 SQL Server 2000 指定所有有效的 SQL Server 2000 登录帐户和密码。这些登录帐户和密码与用户的 Microsoft Windows 帐户或网络帐户无关。当连接到 SQL Server 2000 时,用户必须提供 SQL Server 2000 登录帐户和密码。系统将通过用户的 SQL Server 2000 登录帐户在 SQL Server 2000 中标识用户。    由此可以看出,SQL Server 2000 安全控制是由登录>>用户>>权限来得到控制的。因此要连接 SQL Server 2000,首先要经过身份验证,要通过身份验证,就必须拥有登录 ID。    一、登录 ID 的获取  SQL Server 2000 使用两类身份验证:Windows 身份验证和 SQL Server 身份验证(注:Microsoft Windows Me 和 Windows 98 操作系统不支持服务器端的信任连接 API,也就是说安装在 Microsoft Windows Me 和 Windows 98 操作系统上的 SQL Server 2000 不支持 Windows 身份验证)。    为 Windows 身份验证的登录 ID 的获取  对于有域的网络,在域用户管理器中添加域用户,设为:UserSQL  对于无域的网络,在用户和组中添加用户,设为:UserSQL    向本地计算机中添加 Windows 用户(以 Windws XP 为例)    下图举例说明在 Windows XP 添加用户,打开 Windows 资源管理器,右键单击 [我的电脑] 选择 [管理] 就打开了 [计算机管理],在 [计算机管理] 中,展开 [本地用户和级] 右键单击 [用户] 选择 [新用户],这时打开 [新用户] 窗口,输入用户名为 UserSQL,描述为 SQL Server 登录 ID(可选,方便以后管理),输入密码,去掉“用户下次登录时必须更改密码”(为了讲解简单点),勾选“用户不能更改密码”和“密码永不过期”,然后点击 [创建] 按钮,这时就为该计算机创建了一个名为 UserSQL 的用户。     到此该用户还不能用来连接 SQL Server 2000 数据库,还必须在 SQL Server 2000 中创建“登录”与刚建的用户相对应。    A. 使用 SQL Server 2000 企业管理器添加 Windows 用户的登录 ID    下面举例说明如何在 SQL Server 2000 的企业管理器中创建“登录”,打开 SQL Server 2000 的企业管理器并以 sa 身份或 Windows 系统管理员的身份(
[1] [2]  

(出处:http://www.sheup.com)


 [1] [2] 

标签: