Auntenticación

Consulta

Porque quieres por medio de Autentificación Windows?, te resultaría mucho
más simple crear un Usuario SQL y listo, no te recomendaría para nada darle
acceso a los usuarios anónimos a tu SQL (aunque sea de consulta), preferiría
crear este usuario que te comento.

Por otra parte, si quieres tener autentificación windows, te recomiendo que
utilices un componente de por medio y que este componente sea ejecutado por
el usuario que quieras (puedes crear un usuario cualquiera exclusivo y que
este utilice el componente, por ende, será este usuario el que acceda a la
base de datos), para esto deberías tomar este componente y llevarlo a COM+,
lo configuras, le dices con que usuario trabajará y listo.

No tengo argumentos para decirte del porqué no dejar el usuario anónimo con
acceso directo al SQL Server, pero pienso que los usuarios anónimos son
usuario desde afuera, es decir cualquier logueo al IIS lo toma este usuario,
cualquier cosa que en donde te puedan hackear lo podrían hacer por ahí... es
remota la posibilidad, creo que imposible, pero nunca hay que fiarse.


Saludos,
Jhonny Vargas P.



"Martín Rivas" escribió en el mensaje
news:#

Necesito poder conectarme de un ASP a un SQL con un string de conexión,

pero

sin utilizar usuario de SQL, unicamente de NT, sería factible sacando la
opción de anonimo al IIS y dandole permiso en la base al usuario que

prontea

la web o unicamente se hace por usuario de SQL, desde ya muchas gracias!!
Martín Rivas

Hola Jhonny
Ante todo Feliz Año Nuevo, y espero seguir leyéndote en el
2004

Bueno, yendo al tema, entiendo que la autenticación SQL no
es recomendada, por varios motivos es más segura la de
Windows.
La de SQL se rompe probando diferentes cadenas, luego
tienes que "guardar" la cadena con usuario y contraseña, y
además para cambiar la contraseña periódicamente deberías
cambiar la cadena de la aplicación cada vez...

Puede crear un inicio de sesión para el usuario ASP, y
este solo tendrá permiso para ejecutar los Stored
Procedures que corresponda y ningun permiso de select,
insert, delete, update sobre ninguna tabla/vista.
Demás esta decir que SQL dinámico "no existe"...
Las aplicaciones y los programadores no tienen por qué
conocer ni los nombres de los campos, de las tablas, y ni
siquiera el nombre de la BD si la pones como inicio
predeterminado. Simplemente tienes una cadena de conexión
con el servidor "." y seguridad SSPI
Si alguien se entromete por allí, solamente podrá hacer lo
que la aplicación permite en sus respectivos SP.

Así es como yo lo veo, cualquier consejo/sugerencia sobre
este tema tán importante será bienvenida.
Suerte
Manuel

Consulta

Porque quieres por medio de Autentificación Windows?, te

resultaría mucho

más simple crear un Usuario SQL y listo, no te

recomendaría para nada darle

acceso a los usuarios anónimos a tu SQL (aunque sea de

consulta), preferiría

crear este usuario que te comento.

Por otra parte, si quieres tener autentificación windows,

te recomiendo que

utilices un componente de por medio y que este componente

sea ejecutado por

el usuario que quieras (puedes crear un usuario

cualquiera exclusivo y que

este utilice el componente, por ende, será este usuario

el que acceda a la

base de datos), para esto deberías tomar este componente

y llevarlo a COM+,

lo configuras, le dices con que usuario trabajará y listo.

No tengo argumentos para decirte del porqué no dejar el

usuario anónimo con

acceso directo al SQL Server, pero pienso que los

usuarios anónimos son

usuario desde afuera, es decir cualquier logueo al IIS lo

toma este usuario,

cualquier cosa que en donde te puedan hackear lo podrían

hacer por ahí... es

remota la posibilidad, creo que imposible, pero nunca hay

que fiarse.

Saludos,
Jhonny Vargas P.



"Martín Rivas" escribió en el mensaje
news:#

Necesito poder conectarme de un ASP a un SQL con un

string de conexión,

pero

sin utilizar usuario de SQL, unicamente de NT, sería

factible sacando la

opción de anonimo al IIS y dandole permiso en la base

al usuario que

prontea

la web o unicamente se hace por usuario de SQL, desde

ya muchas gracias!!

Martín Rivas

.