Windows 集成的身份验证连接SQL Server数据库,打造更安全的连接

更安全的SQL Server连接方式

摘要:今天用C#编写一个Windows 服务程序,其中要连接一个Windows 2003 Server上的SQL Server 2000 数据库,用SQL Server 身份验证。发现普通程序都能联上,但是Windows服务程序就是联不上。  后来查了资料,找到了解决方法。共享给大家。

三步解决:

1、  在服务器上创建一个用户,配置好SQL Server数据库访问权限。

2、  在客户端创建一个一样的用户。

3、  服务程序以刚创建的那个客户端用户登录。

搞定!

 

关键字SSPI, Integrated Security, SQL Server Windows,身份验证,SQL Server不存在,或者拒绝访问。

 

参考文档:Windows 身份验证和 SQL Server

http://msdn.microsoft.com/library/chs/default.asp?url=/library/CHS/f_and_m/html/vxconWindowsAuthenticationSQLServer.asp

 

Visual Studio 示例:Fitch and Mather 7.0

 

Windows 身份验证和 SQL Server

Fitch and Mather 7.0 通过 SQL Server 身份验证访问 SQL Server。虽然它非常简单并提供了易于理解的示例,但它并不是最安全的方法。Fitch and Mather 7.0 将连接字符串(包含数据库凭据)存储在两个位置:Web.config 文件和 COM+ Admin 目录(在 FMStocks7.GAM.7 组件的构造函数字符串中)。默认情况下,任何用户都可以读取这两个位置,因此很容易无意中泄露保密信息(凭据)。

一种更好的解决方案是使用 Windows 集成安全性。首先,需要 Internet 信息服务 (IIS) 服务器和 SQL Server 数据库都能识别的 Windows 标识。有两种方法可供选择:

·                 域帐户
如果服务器是域的一部分,并且管理员可以创建应用程序的域帐户,那么这是最佳方法。

·                 具有同步密码的本地帐户
如果网络的实现不支持域帐户,则通过在两台计算机上创建相同的本地帐户(使用相同的密码),可以安全地访问 IIS SQL Server 数据库。

选择上述方法中的一种,然后创建一个名为 FMStocks_7 Application 的帐户(在域中或在两台计算机上),并使它仅属于“Guest”组。这样,应用程序只需要最低程度的特权即可运行。

然后,更改连接字符串(在 Web.config COM+ admin 目录中),移除显式凭据以便能够使用集成安全性。例如,如果连接字符串如下:

Data Source=MYDBSERVER; User Id=Fitch and Mather 7.0 _login; Password=*********;

    Initial Catalog=Fitch and Mather 7.0 ;

然后将其更改为:

Data Source=MYDBSERVER;Integrated Security=SSPI;

    Initial Catalog=Fitch and Mather 7.0 ;

这一更改意味着,可以使用线程运行所用的标识来访问 SQL Server 数据库。默认情况下,ASP.NETaspnet_wp.exe 进程)在本地 ASPNET 帐户下运行,但是,应用程序代码应在 Fitch and Mather 7.0 应用程序帐户下运行。在 Fitch and Mather 7.0 Application 帐户下运行应用程序代码的优点是,这是一个 Windows 帐户,并且您可以授予它适当的 SQL Server 权限。

下一步,需要将帐户与 Fitch and Mather 7.0 应用程序关联。

将帐户与 Fitch and Mather 7.0 关联

1.             配置 IIS

a.                      开始菜单上指向程序,然后指向管理工具并单击“Internet 服务管理器
“Internet
信息服务窗口随即打开。

b.                     选项卡上,浏览目录树以搜索 FMStocks7 虚拟目录。(此虚拟目录的位置因具体的安装而异。)找到之后,右击“FMStocks7”并选择属性
“FMStocks7
属性对话框随即出现。

c.                      “FMStocks7 属性对话框中,选择目录安全性选项卡。在匿名访问和验证控制下,单击编辑按钮。
随即出现验证方法对话框。

d.                     匿名访问下,单击编辑按钮。
匿名用户帐号对话框随即出现。

e.                      清除允许 IIS 控制密码。这是必需的,因为 IIS 会存储凭据并在针对 SQL Server 进行身份验证时提供这些凭据。

f.                       用户名密码下,将匿名用户帐户替换为 FMStocks7_Application,并且输入它的密码。

g.                     最后,单击三次确定以完成。

2.             通过添加以下行启用 Web.config 中的模拟:

3.                   <system.web>

4.                      <identity impersonate="true" />

      ....

最后一步是在 FMStocks7 FMStocks7_GAM 数据库中配置 SQL Server,以授予 Fitch and Mather 7.0 Application 帐户适当的权限(如果这两个数据库在不同的计算机上运行,则需要在每台计算机上重复此过程):

FMStocks7 FMStocks7_GAM 数据库中配置 SQL Server 权限

1.             打开 SQL Server

·                         开始菜单上指向程序,然后指向“Microsoft SQL Server”并单击企业管理器
“SQL Server
企业管理器窗口随即打开。

2.             创建一个 SQL 登录。

a.  选项卡上,浏览目录树以搜索服务器名称下的安全性文件夹,然后展开该文件夹。

b. 右击登录文件夹并选择新建登录
“SQL Server
登录属性新建登录对话框随即出现。

c.  名称框中,输入“FMStocks7 Application”

d. 身份验证下,找到框,并选择本地计算机名(如 MYDBSERVER)或您的域,具体取决于创建 Fitch and Mather 7.0 Application 帐户的位置。

e.  安全性访问设置为允许访问

f.   默认值下,将数据库设置为 FMStocks7

g. 选择数据库访问选项卡,并确保在各自的允许字段中选中 FMStocks7 / FMStocsk7_GAM

h. FMStocks7 / FMSTocks7_GAM 的数据库角色下,选择 db_denydatareader db_denydatawriter 权限,以防止该帐户直接访问表。

3.             删除 FMStocks7_login,因为不再使用它。

 .   仍然是在“SQL Server 企业管理器窗口中的目录树选项卡上,双击安全性文件夹下的登录
各个登录显示在“SQL Server 企业管理器窗口的右窗格中。

a.  找到 FMStocks7_Login 的项,并右击该项然后选择删除将其删除。
出现“FMStocks7_Login”对话框。选择确认删除。

4.             给所有存储过程授予执行权限。

 .   仍然是在“SQL Server 企业级管理器窗口的选项卡上,浏览目录树以搜索位于数据库文件夹中服务器名下的 FMStocks7 数据库。

a.  FMStocks 数据库文件夹中找到并打开存储过程,然后对非系统存储过程执行以下操作:

双击该存储过程(例如 Account_Add 项)。
存储过程属性对话框随即出现。

单击权限按钮。
对象属性 - FMStocks 7” 对话框随即出现。

权限表中,找到“EXEC”列,并选择相应的框,向 FMStocks7 Application 帐户授予“EXEC”权限。

若要验证 SQL Server 权限配置得是否正确,请运行应用程序并使用 SQL 分析器验证所使用的帐户是否为 Fitch and Mather 7.0 Application

对于每一个请求,现在将发生以下情况:

1.             传入一个匿名请求,IIS 模拟您为匿名用户指定的帐户(Fitch and Mather 7.0 Application),并将该请求传递给 aspnet_wp.exe。请注意,虽然 Fitch and Mather 使用 Forms 身份验证,但在 IIS 中,所有请求都是匿名的。

2.             由于您已将应用程序配置为使用模拟(通过更改 Web.config),ASP.NET 在当前线程中模拟 IIS 标识 (Fitch and Mather 7.0 Application)

3.             应用程序打开 SQL 连接时,它在 Fitch and Mather 7.0 Application 登录下,使用集成 Windows 身份验证来执行存储过程。

分布式方案

运行分布式方案时,请注意以下内容:

远程 BLL
上述所有对 Web 服务器的更改需要在应用程序层(运行 BLL 的位置)中完成。

远程 GAM.NET 远程处理)
上述所有对 Web 服务器的更改也需要在应用程序层(运行 GAM 的位置)中完成。

远程 GAM (DCOM)
上述更改只需要在 Web 服务器中进行。另外,在运行 GAM 的计算机(GAM COM+ 服务器应用程序驻留的计算机)上完成以下操作:

设置 GAM

1.             打开组件服务,然后修改 FMStocks7.GAM COM+ 组件的帐户。

a.                      开始菜单上指向程序,然后指向管理工具并单击组件服务
组件服务窗口打开。

b.                     选项卡上,浏览目录树以搜索组件服务”->“计算机”->“我的电脑”->“COM+ 应用程序下的“FMStocks7.GAM”文件夹。

c.                      右击 FMStocks7.GAM 项并选择属性
“FMStocks7.GAM
属性对话框出现。

d.                     选择标识选项卡,选择本用户,然后在用户密码框中提供 FMStocks7 应用程序的 Windows 凭据。单击确定接受更改。

2.             更改 FMStocks7.GAM.7 构造函数字符串。

a.                      组件服务窗口中“FMStocks7.GAM 应用程序组件文件夹下(参见上面的第 1 步),右击“FMStocks7.GAM .7” 组件并选择属性
“FMStocks7.GAM.7
属性对话框出现。

b.                     选择激活选项卡。在对象结构下,找到建立者字符串,将字符串更改为:
Provider=SQLOLEDB;Data Source= MYDBSERVER;Integrated Security=SSPI;Initial Catalog=Fitch and Mather 7.0 _GAM;

请参见

 

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值