conectarse con autentic Windows ó SQL ?

01/04/2004 - 23:13 por Hernán Castelo | Informe spam
hola, estoy algo confundido con la autenticación Windows

estoy utilizando 4 inicios de sesión distintos en el SQL server
por lo tanto en algún lado tengo los string de conexión
que incluyen usuario y password de cada uno

he leido recientemente (en la página de MS) que es conveniente
utilizar la autenticación integrada de Windows
ya que la existencia de strings de conexión en texto plano
y los usuarios de SQL server pueden ser algo inseguros

Pero yo me pregunto :
si me conecto con un único usuario, el "IUSR_equipo"
y el usuario y contraseña están ok
entonces ese usuario tiene permitido hacer algunas consultas sql
Luego, para cada consulta me voy a conectar con el mismo usuario...
yo hasta ahora cada consulta que hago tiene un usuario definido
y luego, en el sql, una función definida con permisos para ciertos stored_proc
...Ahora, si me conecto con un único usuario integrado de windows
debo mantener , como lo hago ahora (en una variable de sesión) el tipo de usuario,
es como que el usuario podría hacer cualquier cosa
nada más que no hace cualquier cosa porque yo le pido solo las cosas apropiadas
que tienen que ver con la función que le compete
...eso quiere decir que cualquiera de mis stored_proc podrían ser ejecutados con el mismo usuario???
...si alguien puede interceptar la conexión, gana permiso para todas las funciones,... o no?

gracias

atte,
Hernán Castelo
UTN Buenos Aires
. . . . . . . . . . . . . . . . . . . . . . . . . .

Preguntas similare

Leer las respuestas

#6 Javier Loria
03/04/2004 - 19:47 | Informe spam
Hola Hernan:
Si es una aplicacion WEB hay grandes 3 alternativas:
a) Intranet: el que autentica es el IIS. Para lograr esto te vas a
la administrador del IIS, navegas en la aplicacion, clic derecho
propiedades, seguridad de directorio, y en autenticacion eliminas todas las
autenticaciones excepto la de Windows.
Cuando los usuarios navegen desde otra computadora si estan autenticados
al dominion/arbol entre el Internet Explorer y el IIS se intercambian la
identidad. Si no estan autenticados el Internet Explorer le ofrece una
pantalla para que hagan login. Los strings de conexion no necesitan usuario
ni clave, solo indicar que son seguridad integrada.
Esta implementacion es muy segura pero tiene un costo en desempeno y
escalabilidad, de primera entrada el Conexion Pooling sufre mucho.
b) Internet (Seguridad de Aplicacion): Se cambia la aplicacion para que
permita usarios anonimos y se asocia la aplicacion con un usuario de Windows
que en realidad es el usuario "Aplicacion". La aplicacion tiene los permisos
y el MS SQL solo ve un usuario. El desarrollador debe construir su "propia"
seguridad dentro del programa, para manejar los roles.
c) Internet (Impersonation): Igual que el anterior pero la aplicacion
pregunta el usuario y clave de Windows y dentro del codigo autentica al
Usuario en el Windows, "hace login" y corre en el contexto de seguridad del
Usuario. Es casi igual que el a) pero tiene la ventaja que no requiere que
los usuarios usen IE.
Saludos,


Javier Loria
Costa Rica
Se aprecia la inclusion de DDL (CREATE, INSERTS, etc.)
que pueda ser copiado y pegado al Query Analizer.
La version de SQL y Service Pack tambien ayuda.

Hernán Castelo escribio:
Mostrar la cita
#7 Hernán Castelo
07/04/2004 - 15:18 | Informe spam
gracias por la respuesta,
conoces algún link "revelador"
para el tema de "impersonation" ??

atte,
Hernán Castelo
UTN Buenos Aires
. . . . . . . . . . . . . . . . . . . . . . . . . .
"Javier Loria" escribió en el mensaje news:
Mostrar la cita
#8 Javier Loria
07/04/2004 - 19:23 | Informe spam
Hola Hernan:
No, no lo tengo talvez en el foro de ASP.NET.
En todo caso puedes revisar la documentacion de la biblioteca del MSDN
sobre la clase Windows Identity, en el metodo Impersonate.
Saludos,

Javier Loria
Costa Rica
Se aprecia la inclusion de DDL (CREATE, INSERTS, etc.)
que pueda ser copiado y pegado al Query Analizer.
La version de SQL y Service Pack tambien ayuda.
"Hernán Castelo" wrote in message
news:
Mostrar la cita
.
Mostrar la cita
news:
Mostrar la cita
a
Mostrar la cita
las
Mostrar la cita
autenticados
Mostrar la cita
usuario
Mostrar la cita
que
Mostrar la cita
Windows
Mostrar la cita
permisos
Mostrar la cita
"propia"
Mostrar la cita
aplicacion
Mostrar la cita
del
Mostrar la cita
que
Mostrar la cita
#9 Jose Mariano Alvarez \(MUG\)
08/04/2004 - 16:27 | Informe spam
La cosa se complica un poco ya que lo que funcinaba simplemente modificando
las propiedades del IIS en ASP.NET hay que hacer unas cuantas cosas mas.
Ademas del impersonate tienes delegation, y deberias distinguir entre
autenticacion y autorizacion. Sugiero uses los foros de ASP.NET que te van a
poder dar una mejor ayuda.

Igualmente aqui tienes alguna ayuda

Crear aplicaciones ASP .NET seguras,
http://www.microsoft.com/Spanish/ms...ngPage.asp
Crear aplicaciones ASP .NET seguras, Capítulo 9: Seguridad de la aplicación
de Servicios Empresariales
http://www.microsoft.com/spanish/ms...pter09.asp

Y en ingles
Authentication in ASP.NET: .NET Security Guidance
http://msdn.microsoft.com/library/d...dotnet.asp
Building Secure ASP.NET Applications: Authentication, Authorization, and
Secure Communication
http://msdn.microsoft.com/security/...lpmsdn.asp
.NET Data Access Architecture Guide
http://msdn.microsoft.com/library/d...l/daag.asp
HOW TO: Configure an ASP.NET Application for a Delegation Scenario
http://support.microsoft.com/defaul...-us;810572

Jose Mariano Alvarez
Comunidad de base de datos
Grupo de Usuarios Microsoft
www.mug.org.ar



"Javier Loria" wrote in message
news:
Mostrar la cita
.
Mostrar la cita
vas
Mostrar la cita
todas
Mostrar la cita
la
Mostrar la cita
y
Mostrar la cita
para
Mostrar la cita
al
Mostrar la cita
seguridad
Mostrar la cita
pedis
Mostrar la cita
usas
Mostrar la cita
.
Mostrar la cita
me
Mostrar la cita
Dominio,
Mostrar la cita
usuario
Mostrar la cita
compete
Mostrar la cita
ser
Mostrar la cita
#10 Hernán Castelo
12/04/2004 - 15:13 | Informe spam
mmhh.. entonces creo que no estamos
al alcance de este tema
ya que no contamos con tecnología .Net


atte,
Hernán Castelo
UTN Buenos Aires
. . . . . . . . . . . . . . . . . . . . . . . . . .
"Jose Mariano Alvarez (MUG)" <jose.alvarez * *Arroba* * mug.org.ar> escribió en el mensaje
news:
Mostrar la cita
Ads by Google
Search Busqueda sugerida