conectarse con autentic Windows ó SQL ?

Hola Hernan:
Si es una aplicacion WEB hay grandes 3 alternativas:
a) Intranet: el que autentica es el IIS. Para lograr esto te vas a
la administrador del IIS, navegas en la aplicacion, clic derecho
propiedades, seguridad de directorio, y en autenticacion eliminas todas las
autenticaciones excepto la de Windows.
Cuando los usuarios navegen desde otra computadora si estan autenticados
al dominion/arbol entre el Internet Explorer y el IIS se intercambian la
identidad. Si no estan autenticados el Internet Explorer le ofrece una
pantalla para que hagan login. Los strings de conexion no necesitan usuario
ni clave, solo indicar que son seguridad integrada.
Esta implementacion es muy segura pero tiene un costo en desempeno y
escalabilidad, de primera entrada el Conexion Pooling sufre mucho.
b) Internet (Seguridad de Aplicacion): Se cambia la aplicacion para que
permita usarios anonimos y se asocia la aplicacion con un usuario de Windows
que en realidad es el usuario "Aplicacion". La aplicacion tiene los permisos
y el MS SQL solo ve un usuario. El desarrollador debe construir su "propia"
seguridad dentro del programa, para manejar los roles.
c) Internet (Impersonation): Igual que el anterior pero la aplicacion
pregunta el usuario y clave de Windows y dentro del codigo autentica al
Usuario en el Windows, "hace login" y corre en el contexto de seguridad del
Usuario. Es casi igual que el a) pero tiene la ventaja que no requiere que
los usuarios usen IE.
Saludos,


Javier Loria
Costa Rica
Se aprecia la inclusion de DDL (CREATE, INSERTS, etc.)
que pueda ser copiado y pegado al Query Analizer.
La version de SQL y Service Pack tambien ayuda.

Hernán Castelo escribio:

sí sí, yo hablo de una aplicación web

el usuario entra a una página, ingresa uid+pwd
hago una consulta, es correcto
entonces me guardo su uid+tipo_usuario
porque después, al saber el tipo de usuario utilizo
un string diferente que solo cambia el usuario y passw ("sql" ambos)

ok, cuando el IUSR_ es válido el SqlSvr lo acepta
pero cómo hago para que ese usuario no posea
permiso para todos los 4 roles ??
es decir, para que pueda hacer cualquier cosa?
no me parece bueno que la posibilidad y responsabilidad
de ejecutar cualquier stored_proc
quede del lado de las páginas .asp

lei el vínculo que mandaste
pero al parecer no puedo conectarme con SSPI
con diferentes roles

bueno, a ver si podés darme otra guía, gracias
hasta luego

Hola una cosa es Web y otra es Windows!! en la web generalmente pedis
User_id y pass, luego por algun metodo lo envias (yo recomiendo
componentes COM+ donde puedas encriptar y todo ello)

En windows podes usar o autentificacion Sql o la de Windows, si usas
la primera te pedira User y pass, si usas la segunda usara el login
de NT que este en ese momento o sea la sesion :-D

Bye


Salu2
Maxi
Buenos Aires Argentina
Desarrollador Microsoft 3 Estrellas .NET
[Maxi_accotto[arroba]speedy[punto]com[punto]ar
MSN:


"Hernán Castelo" escribió en el mensaje
news:

gracias,
o sea que :
consulto uid+pwd
si está bien me guardo el tipo de usuario
y código en variables de sesión
(para saber qué mené mostrarle)
y luego cada página se conecta con
validación integrada de Windows

está bien así ???
(creo que ahora me expliqué
algo más claro...no)

gracias
no sabía cómo hacerme entender
porque estaba algo confundido

chau



atte,
Hernán Castelo
UTN Buenos Aires
. . . . . . . . . . . . . . . . . . . . . . .
. . . "Maximiliano D. A." <maxi_accotto[arroba]speedy[.]com[.]ar>
escribió en el

mensaje news:%

Hola, bueno vayamos por partes.

La diferencia es que Windows ayuda a la autentificacion y
controles.

O sea si tenes un solo usuario es porque tenes una sola maquina me
explico? o sea en tu red tenes usuarios que inician en un Dominio,
entonces:

para que a un usuario que se logeo ya con un dominio volver a
preguntarle user_id y pass no? ademas windows tiene mas control
verdad?

pero como veras es un entorno esto coorporativo!! si vos siempre
decis que se inicia con el mismo user es porque en una maquina
tenes mas de un usuario y no tienen sus sesiones ;).

Bye


Salu2
Maxi
Buenos Aires Argentina
Desarrollador Microsoft 3 Estrellas .NET
[Maxi_accotto[arroba]speedy[punto]com[punto]ar
MSN:


"Hernán Castelo" escribió en el mensaje
news:

hola, estoy algo confundido con la autenticación Windows

estoy utilizando 4 inicios de sesión distintos en el SQL server
por lo tanto en algún lado tengo los string de conexión
que incluyen usuario y password de cada uno

he leido recientemente (en la página de MS) que es conveniente
utilizar la autenticación integrada de Windows
ya que la existencia de strings de conexión en texto plano
y los usuarios de SQL server pueden ser algo inseguros

Pero yo me pregunto :
si me conecto con un único usuario, el "IUSR_equipo"
y el usuario y contraseña están ok
entonces ese usuario tiene permitido hacer algunas consultas sql
Luego, para cada consulta me voy a conectar con el mismo
usuario... yo hasta ahora cada consulta que hago tiene un usuario
definido
y luego, en el sql, una función definida con permisos para
ciertos stored_proc ...Ahora, si me conecto con un único usuario
integrado de windows debo mantener , como lo hago ahora (en una
variable de sesión) el tipo de usuario, es como que el usuario
podría hacer cualquier cosa
nada más que no hace cualquier cosa porque yo le pido solo las
cosas apropiadas que tienen que ver con la función que le compete
...eso quiere decir que cualquiera de mis stored_proc podrían ser

ejecutados con el mismo usuario???

...si alguien puede interceptar la conexión, gana permiso para
todas las funciones,... o no?

gracias

atte,
Hernán Castelo
UTN Buenos Aires
. . . . . . . . . . . . . . . . . . . . . .
. . . .

Outgoing mail is certified Virus Free.
Checked by AVG anti-virus system (http://www.grisoft.com).
Version: 6.0.618 / Virus Database: 397 - Release Date: 09/03/2004

Outgoing mail is certified Virus Free.
Checked by AVG anti-virus system (http://www.grisoft.com).
Version: 6.0.618 / Virus Database: 397 - Release Date: 09/03/2004

gracias por la respuesta,
conoces algún link "revelador"
para el tema de "impersonation" ??

atte,
Hernán Castelo
UTN Buenos Aires
. . . . . . . . . . . . . . . . . . . . . . . . . .
"Javier Loria" escribió en el mensaje news:

Hola Hernan:
Si es una aplicacion WEB hay grandes 3 alternativas:
a) Intranet: el que autentica es el IIS. Para lograr esto te vas a
la administrador del IIS, navegas en la aplicacion, clic derecho
propiedades, seguridad de directorio, y en autenticacion eliminas todas las
autenticaciones excepto la de Windows.
Cuando los usuarios navegen desde otra computadora si estan autenticados
al dominion/arbol entre el Internet Explorer y el IIS se intercambian la
identidad. Si no estan autenticados el Internet Explorer le ofrece una
pantalla para que hagan login. Los strings de conexion no necesitan usuario
ni clave, solo indicar que son seguridad integrada.
Esta implementacion es muy segura pero tiene un costo en desempeno y
escalabilidad, de primera entrada el Conexion Pooling sufre mucho.
b) Internet (Seguridad de Aplicacion): Se cambia la aplicacion para que
permita usarios anonimos y se asocia la aplicacion con un usuario de Windows
que en realidad es el usuario "Aplicacion". La aplicacion tiene los permisos
y el MS SQL solo ve un usuario. El desarrollador debe construir su "propia"
seguridad dentro del programa, para manejar los roles.
c) Internet (Impersonation): Igual que el anterior pero la aplicacion
pregunta el usuario y clave de Windows y dentro del codigo autentica al
Usuario en el Windows, "hace login" y corre en el contexto de seguridad del
Usuario. Es casi igual que el a) pero tiene la ventaja que no requiere que
los usuarios usen IE.
Saludos,


Javier Loria
Costa Rica
Se aprecia la inclusion de DDL (CREATE, INSERTS, etc.)
que pueda ser copiado y pegado al Query Analizer.
La version de SQL y Service Pack tambien ayuda.

Hernán Castelo escribio:
> sí sí, yo hablo de una aplicación web
>
> el usuario entra a una página, ingresa uid+pwd
> hago una consulta, es correcto
> entonces me guardo su uid+tipo_usuario
> porque después, al saber el tipo de usuario utilizo
> un string diferente que solo cambia el usuario y passw ("sql" ambos)
>
> ok, cuando el IUSR_ es válido el SqlSvr lo acepta
> pero cómo hago para que ese usuario no posea
> permiso para todos los 4 roles ??
> es decir, para que pueda hacer cualquier cosa?
> no me parece bueno que la posibilidad y responsabilidad
> de ejecutar cualquier stored_proc
> quede del lado de las páginas .asp
>
> lei el vínculo que mandaste
> pero al parecer no puedo conectarme con SSPI
> con diferentes roles
>
> bueno, a ver si podés darme otra guía, gracias
> hasta luego
>
>
>> Hola una cosa es Web y otra es Windows!! en la web generalmente pedis
>> User_id y pass, luego por algun metodo lo envias (yo recomiendo
>> componentes COM+ donde puedas encriptar y todo ello)
>>
>> En windows podes usar o autentificacion Sql o la de Windows, si usas
>> la primera te pedira User y pass, si usas la segunda usara el login
>> de NT que este en ese momento o sea la sesion :-D
>>
>> Bye
>>
>>
>> Salu2
>> Maxi
>> Buenos Aires Argentina
>> Desarrollador Microsoft 3 Estrellas .NET
>> [Maxi_accotto[arroba]speedy[punto]com[punto]ar
>> MSN:
>>
>>
>> "Hernán Castelo" escribió en el mensaje
>> news:
>>> gracias,
>>> o sea que :
>>> consulto uid+pwd
>>> si está bien me guardo el tipo de usuario
>>> y código en variables de sesión
>>> (para saber qué mené mostrarle)
>>> y luego cada página se conecta con
>>> validación integrada de Windows
>>>
>>> está bien así ???
>>> (creo que ahora me expliqué
>>> algo más claro...no)
>>>
>>> gracias
>>> no sabía cómo hacerme entender
>>> porque estaba algo confundido
>>>
>>> chau
>>>
>>>
>>>
>>> atte,
>>> Hernán Castelo
>>> UTN Buenos Aires
>>> . . . . . . . . . . . . . . . . . . . . . . .
>>> . . . "Maximiliano D. A." <maxi_accotto[arroba]speedy[.]com[.]ar>
>>> escribió en el
>> mensaje news:%
>>>> Hola, bueno vayamos por partes.
>>>>
>>>> La diferencia es que Windows ayuda a la autentificacion y
>>>> controles.
>>>>
>>>> O sea si tenes un solo usuario es porque tenes una sola maquina me
>>>> explico? o sea en tu red tenes usuarios que inician en un Dominio,
>>>> entonces:
>>>>
>>>> para que a un usuario que se logeo ya con un dominio volver a
>>>> preguntarle user_id y pass no? ademas windows tiene mas control
>>>> verdad?
>>>>
>>>> pero como veras es un entorno esto coorporativo!! si vos siempre
>>>> decis que se inicia con el mismo user es porque en una maquina
>>>> tenes mas de un usuario y no tienen sus sesiones ;).
>>>>
>>>> Bye
>>>>
>>>>
>>>> Salu2
>>>> Maxi
>>>> Buenos Aires Argentina
>>>> Desarrollador Microsoft 3 Estrellas .NET
>>>> [Maxi_accotto[arroba]speedy[punto]com[punto]ar
>>>> MSN:
>>>>
>>>>
>>>> "Hernán Castelo" escribió en el mensaje
>>>> news:
>>>>> hola, estoy algo confundido con la autenticación Windows
>>>>>
>>>>> estoy utilizando 4 inicios de sesión distintos en el SQL server
>>>>> por lo tanto en algún lado tengo los string de conexión
>>>>> que incluyen usuario y password de cada uno
>>>>>
>>>>> he leido recientemente (en la página de MS) que es conveniente
>>>>> utilizar la autenticación integrada de Windows
>>>>> ya que la existencia de strings de conexión en texto plano
>>>>> y los usuarios de SQL server pueden ser algo inseguros
>>>>>
>>>>> Pero yo me pregunto :
>>>>> si me conecto con un único usuario, el "IUSR_equipo"
>>>>> y el usuario y contraseña están ok
>>>>> entonces ese usuario tiene permitido hacer algunas consultas sql
>>>>> Luego, para cada consulta me voy a conectar con el mismo
>>>>> usuario... yo hasta ahora cada consulta que hago tiene un usuario
>>>>> definido
>>>>> y luego, en el sql, una función definida con permisos para
>>>>> ciertos stored_proc ...Ahora, si me conecto con un único usuario
>>>>> integrado de windows debo mantener , como lo hago ahora (en una
>>>>> variable de sesión) el tipo de usuario, es como que el usuario
>>>>> podría hacer cualquier cosa
>>>>> nada más que no hace cualquier cosa porque yo le pido solo las
>>>>> cosas apropiadas que tienen que ver con la función que le compete
>>>>> ...eso quiere decir que cualquiera de mis stored_proc podrían ser
>>>> ejecutados con el mismo usuario???
>>>>> ...si alguien puede interceptar la conexión, gana permiso para
>>>>> todas las funciones,... o no?
>>>>>
>>>>> gracias
>>>>>
>>>>> atte,
>>>>> Hernán Castelo
>>>>> UTN Buenos Aires
>>>>> . . . . . . . . . . . . . . . . . . . . . .
>>>>> . . . .
>>>>>
>>>>>
>>>>
>>>>
>>>>
>>>> Outgoing mail is certified Virus Free.
>>>> Checked by AVG anti-virus system (http://www.grisoft.com).
>>>> Version: 6.0.618 / Virus Database: 397 - Release Date: 09/03/2004
>>>>
>>>>
>>>
>>>
>>
>>
>>
>> Outgoing mail is certified Virus Free.
>> Checked by AVG anti-virus system (http://www.grisoft.com).
>> Version: 6.0.618 / Virus Database: 397 - Release Date: 09/03/2004

Hola Hernan:
No, no lo tengo talvez en el foro de ASP.NET.
En todo caso puedes revisar la documentacion de la biblioteca del MSDN
sobre la clase Windows Identity, en el metodo Impersonate.
Saludos,

Javier Loria
Costa Rica
Se aprecia la inclusion de DDL (CREATE, INSERTS, etc.)
que pueda ser copiado y pegado al Query Analizer.
La version de SQL y Service Pack tambien ayuda.
"Hernán Castelo" wrote in message
news:

gracias por la respuesta,
conoces algún link "revelador"
para el tema de "impersonation" ??

atte,
Hernán Castelo
UTN Buenos Aires
. . . . . . . . . . . . . . . . . . . . . . . . .

.

"Javier Loria" escribió en el mensaje

news:

> Hola Hernan:
> Si es una aplicacion WEB hay grandes 3 alternativas:
> a) Intranet: el que autentica es el IIS. Para lograr esto te vas

a

> la administrador del IIS, navegas en la aplicacion, clic derecho
> propiedades, seguridad de directorio, y en autenticacion eliminas todas

las

> autenticaciones excepto la de Windows.
> Cuando los usuarios navegen desde otra computadora si estan

autenticados

> al dominion/arbol entre el Internet Explorer y el IIS se intercambian la
> identidad. Si no estan autenticados el Internet Explorer le ofrece una
> pantalla para que hagan login. Los strings de conexion no necesitan

usuario

> ni clave, solo indicar que son seguridad integrada.
> Esta implementacion es muy segura pero tiene un costo en desempeno y
> escalabilidad, de primera entrada el Conexion Pooling sufre mucho.
> b) Internet (Seguridad de Aplicacion): Se cambia la aplicacion para

que

> permita usarios anonimos y se asocia la aplicacion con un usuario de

Windows

> que en realidad es el usuario "Aplicacion". La aplicacion tiene los

permisos

> y el MS SQL solo ve un usuario. El desarrollador debe construir su

"propia"

> seguridad dentro del programa, para manejar los roles.
> c) Internet (Impersonation): Igual que el anterior pero la

aplicacion

> pregunta el usuario y clave de Windows y dentro del codigo autentica al
> Usuario en el Windows, "hace login" y corre en el contexto de seguridad

del

> Usuario. Es casi igual que el a) pero tiene la ventaja que no requiere

que

> los usuarios usen IE.
> Saludos,
>
>
> Javier Loria
> Costa Rica
> Se aprecia la inclusion de DDL (CREATE, INSERTS, etc.)
> que pueda ser copiado y pegado al Query Analizer.
> La version de SQL y Service Pack tambien ayuda.
>
> Hernán Castelo escribio:
> > sí sí, yo hablo de una aplicación web
> >
> > el usuario entra a una página, ingresa uid+pwd
> > hago una consulta, es correcto
> > entonces me guardo su uid+tipo_usuario
> > porque después, al saber el tipo de usuario utilizo
> > un string diferente que solo cambia el usuario y passw ("sql" ambos)
> >
> > ok, cuando el IUSR_ es válido el SqlSvr lo acepta
> > pero cómo hago para que ese usuario no posea
> > permiso para todos los 4 roles ??
> > es decir, para que pueda hacer cualquier cosa?
> > no me parece bueno que la posibilidad y responsabilidad
> > de ejecutar cualquier stored_proc
> > quede del lado de las páginas .asp
> >
> > lei el vínculo que mandaste
> > pero al parecer no puedo conectarme con SSPI
> > con diferentes roles
> >
> > bueno, a ver si podés darme otra guía, gracias
> > hasta luego
> >
> >
> >> Hola una cosa es Web y otra es Windows!! en la web generalmente pedis
> >> User_id y pass, luego por algun metodo lo envias (yo recomiendo
> >> componentes COM+ donde puedas encriptar y todo ello)
> >>
> >> En windows podes usar o autentificacion Sql o la de Windows, si usas
> >> la primera te pedira User y pass, si usas la segunda usara el login
> >> de NT que este en ese momento o sea la sesion :-D
> >>
> >> Bye
> >>
> >>
> >> Salu2
> >> Maxi
> >> Buenos Aires Argentina
> >> Desarrollador Microsoft 3 Estrellas .NET
> >> [Maxi_accotto[arroba]speedy[punto]com[punto]ar
> >> MSN:
> >>
> >>
> >> "Hernán Castelo" escribió en el mensaje
> >> news:
> >>> gracias,
> >>> o sea que :
> >>> consulto uid+pwd
> >>> si está bien me guardo el tipo de usuario
> >>> y código en variables de sesión
> >>> (para saber qué mené mostrarle)
> >>> y luego cada página se conecta con
> >>> validación integrada de Windows
> >>>
> >>> está bien así ???
> >>> (creo que ahora me expliqué
> >>> algo más claro...no)
> >>>
> >>> gracias
> >>> no sabía cómo hacerme entender
> >>> porque estaba algo confundido
> >>>
> >>> chau
> >>>
> >>>
> >>>
> >>> atte,
> >>> Hernán Castelo
> >>> UTN Buenos Aires
> >>> . . . . . . . . . . . . . . . . . . . . . . .
> >>> . . . "Maximiliano D. A." <maxi_accotto[arroba]speedy[.]com[.]ar>
> >>> escribió en el
> >> mensaje news:%
> >>>> Hola, bueno vayamos por partes.
> >>>>
> >>>> La diferencia es que Windows ayuda a la autentificacion y
> >>>> controles.
> >>>>
> >>>> O sea si tenes un solo usuario es porque tenes una sola maquina me
> >>>> explico? o sea en tu red tenes usuarios que inician en un Dominio,
> >>>> entonces:
> >>>>
> >>>> para que a un usuario que se logeo ya con un dominio volver a
> >>>> preguntarle user_id y pass no? ademas windows tiene mas control
> >>>> verdad?
> >>>>
> >>>> pero como veras es un entorno esto coorporativo!! si vos siempre
> >>>> decis que se inicia con el mismo user es porque en una maquina
> >>>> tenes mas de un usuario y no tienen sus sesiones ;).
> >>>>
> >>>> Bye
> >>>>
> >>>>
> >>>> Salu2
> >>>> Maxi
> >>>> Buenos Aires Argentina
> >>>> Desarrollador Microsoft 3 Estrellas .NET
> >>>> [Maxi_accotto[arroba]speedy[punto]com[punto]ar
> >>>> MSN:
> >>>>
> >>>>
> >>>> "Hernán Castelo" escribió en el mensaje
> >>>> news:
> >>>>> hola, estoy algo confundido con la autenticación Windows
> >>>>>
> >>>>> estoy utilizando 4 inicios de sesión distintos en el SQL server
> >>>>> por lo tanto en algún lado tengo los string de conexión
> >>>>> que incluyen usuario y password de cada uno
> >>>>>
> >>>>> he leido recientemente (en la página de MS) que es conveniente
> >>>>> utilizar la autenticación integrada de Windows
> >>>>> ya que la existencia de strings de conexión en texto plano
> >>>>> y los usuarios de SQL server pueden ser algo inseguros
> >>>>>
> >>>>> Pero yo me pregunto :
> >>>>> si me conecto con un único usuario, el "IUSR_equipo"
> >>>>> y el usuario y contraseña están ok
> >>>>> entonces ese usuario tiene permitido hacer algunas consultas sql
> >>>>> Luego, para cada consulta me voy a conectar con el mismo
> >>>>> usuario... yo hasta ahora cada consulta que hago tiene un usuario
> >>>>> definido
> >>>>> y luego, en el sql, una función definida con permisos para
> >>>>> ciertos stored_proc ...Ahora, si me conecto con un único usuario
> >>>>> integrado de windows debo mantener , como lo hago ahora (en una
> >>>>> variable de sesión) el tipo de usuario, es como que el usuario
> >>>>> podría hacer cualquier cosa
> >>>>> nada más que no hace cualquier cosa porque yo le pido solo las
> >>>>> cosas apropiadas que tienen que ver con la función que le compete
> >>>>> ...eso quiere decir que cualquiera de mis stored_proc podrían ser
> >>>> ejecutados con el mismo usuario???
> >>>>> ...si alguien puede interceptar la conexión, gana permiso para
> >>>>> todas las funciones,... o no?
> >>>>>
> >>>>> gracias
> >>>>>
> >>>>> atte,
> >>>>> Hernán Castelo
> >>>>> UTN Buenos Aires
> >>>>> . . . . . . . . . . . . . . . . . . . . . .
> >>>>> . . . .
> >>>>>
> >>>>>
> >>>>
> >>>>
> >>>>
> >>>> Outgoing mail is certified Virus Free.
> >>>> Checked by AVG anti-virus system (http://www.grisoft.com).
> >>>> Version: 6.0.618 / Virus Database: 397 - Release Date: 09/03/2004
> >>>>
> >>>>
> >>>
> >>>
> >>
> >>
> >>
> >> Outgoing mail is certified Virus Free.
> >> Checked by AVG anti-virus system (http://www.grisoft.com).
> >> Version: 6.0.618 / Virus Database: 397 - Release Date: 09/03/2004
>
>

La cosa se complica un poco ya que lo que funcinaba simplemente modificando
las propiedades del IIS en ASP.NET hay que hacer unas cuantas cosas mas.
Ademas del impersonate tienes delegation, y deberias distinguir entre
autenticacion y autorizacion. Sugiero uses los foros de ASP.NET que te van a
poder dar una mejor ayuda.

Igualmente aqui tienes alguna ayuda

Crear aplicaciones ASP .NET seguras,
http://www.microsoft.com/Spanish/ms...ngPage.asp
Crear aplicaciones ASP .NET seguras, Capítulo 9: Seguridad de la aplicación
de Servicios Empresariales
http://www.microsoft.com/spanish/ms...pter09.asp

Y en ingles
Authentication in ASP.NET: .NET Security Guidance
http://msdn.microsoft.com/library/d...dotnet.asp
Building Secure ASP.NET Applications: Authentication, Authorization, and
Secure Communication
http://msdn.microsoft.com/security/...lpmsdn.asp
.NET Data Access Architecture Guide
http://msdn.microsoft.com/library/d...l/daag.asp
HOW TO: Configure an ASP.NET Application for a Delegation Scenario
http://support.microsoft.com/defaul...-us;810572

Jose Mariano Alvarez
Comunidad de base de datos
Grupo de Usuarios Microsoft
www.mug.org.ar



"Javier Loria" wrote in message
news:

Hola Hernan:
No, no lo tengo talvez en el foro de ASP.NET.
En todo caso puedes revisar la documentacion de la biblioteca del MSDN
sobre la clase Windows Identity, en el metodo Impersonate.
Saludos,

Javier Loria
Costa Rica
Se aprecia la inclusion de DDL (CREATE, INSERTS, etc.)
que pueda ser copiado y pegado al Query Analizer.
La version de SQL y Service Pack tambien ayuda.
"Hernán Castelo" wrote in message
news:
> gracias por la respuesta,
> conoces algún link "revelador"
> para el tema de "impersonation" ??
>
> atte,
> Hernán Castelo
> UTN Buenos Aires
> . . . . . . . . . . . . . . . . . . . . . . . .

.

.
> "Javier Loria" escribió en el mensaje
news:
> > Hola Hernan:
> > Si es una aplicacion WEB hay grandes 3 alternativas:
> > a) Intranet: el que autentica es el IIS. Para lograr esto te

vas

a
> > la administrador del IIS, navegas en la aplicacion, clic derecho
> > propiedades, seguridad de directorio, y en autenticacion eliminas

todas

las
> > autenticaciones excepto la de Windows.
> > Cuando los usuarios navegen desde otra computadora si estan
autenticados
> > al dominion/arbol entre el Internet Explorer y el IIS se intercambian

la

> > identidad. Si no estan autenticados el Internet Explorer le ofrece una
> > pantalla para que hagan login. Los strings de conexion no necesitan
usuario
> > ni clave, solo indicar que son seguridad integrada.
> > Esta implementacion es muy segura pero tiene un costo en desempeno

y

> > escalabilidad, de primera entrada el Conexion Pooling sufre mucho.
> > b) Internet (Seguridad de Aplicacion): Se cambia la aplicacion

para

que
> > permita usarios anonimos y se asocia la aplicacion con un usuario de
Windows
> > que en realidad es el usuario "Aplicacion". La aplicacion tiene los
permisos
> > y el MS SQL solo ve un usuario. El desarrollador debe construir su
"propia"
> > seguridad dentro del programa, para manejar los roles.
> > c) Internet (Impersonation): Igual que el anterior pero la
aplicacion
> > pregunta el usuario y clave de Windows y dentro del codigo autentica

al

> > Usuario en el Windows, "hace login" y corre en el contexto de

seguridad

del
> > Usuario. Es casi igual que el a) pero tiene la ventaja que no requiere
que
> > los usuarios usen IE.
> > Saludos,
> >
> >
> > Javier Loria
> > Costa Rica
> > Se aprecia la inclusion de DDL (CREATE, INSERTS, etc.)
> > que pueda ser copiado y pegado al Query Analizer.
> > La version de SQL y Service Pack tambien ayuda.
> >
> > Hernán Castelo escribio:
> > > sí sí, yo hablo de una aplicación web
> > >
> > > el usuario entra a una página, ingresa uid+pwd
> > > hago una consulta, es correcto
> > > entonces me guardo su uid+tipo_usuario
> > > porque después, al saber el tipo de usuario utilizo
> > > un string diferente que solo cambia el usuario y passw ("sql" ambos)
> > >
> > > ok, cuando el IUSR_ es válido el SqlSvr lo acepta
> > > pero cómo hago para que ese usuario no posea
> > > permiso para todos los 4 roles ??
> > > es decir, para que pueda hacer cualquier cosa?
> > > no me parece bueno que la posibilidad y responsabilidad
> > > de ejecutar cualquier stored_proc
> > > quede del lado de las páginas .asp
> > >
> > > lei el vínculo que mandaste
> > > pero al parecer no puedo conectarme con SSPI
> > > con diferentes roles
> > >
> > > bueno, a ver si podés darme otra guía, gracias
> > > hasta luego
> > >
> > >
> > >> Hola una cosa es Web y otra es Windows!! en la web generalmente

pedis

> > >> User_id y pass, luego por algun metodo lo envias (yo recomiendo
> > >> componentes COM+ donde puedas encriptar y todo ello)
> > >>
> > >> En windows podes usar o autentificacion Sql o la de Windows, si

usas

> > >> la primera te pedira User y pass, si usas la segunda usara el login
> > >> de NT que este en ese momento o sea la sesion :-D
> > >>
> > >> Bye
> > >>
> > >>
> > >> Salu2
> > >> Maxi
> > >> Buenos Aires Argentina
> > >> Desarrollador Microsoft 3 Estrellas .NET
> > >> [Maxi_accotto[arroba]speedy[punto]com[punto]ar
> > >> MSN:
> > >>
> > >>
> > >> "Hernán Castelo" escribió en el mensaje
> > >> news:
> > >>> gracias,
> > >>> o sea que :
> > >>> consulto uid+pwd
> > >>> si está bien me guardo el tipo de usuario
> > >>> y código en variables de sesión
> > >>> (para saber qué mené mostrarle)
> > >>> y luego cada página se conecta con
> > >>> validación integrada de Windows
> > >>>
> > >>> está bien así ???
> > >>> (creo que ahora me expliqué
> > >>> algo más claro...no)
> > >>>
> > >>> gracias
> > >>> no sabía cómo hacerme entender
> > >>> porque estaba algo confundido
> > >>>
> > >>> chau
> > >>>
> > >>>
> > >>>
> > >>> atte,
> > >>> Hernán Castelo
> > >>> UTN Buenos Aires
> > >>> . . . . . . . . . . . . . . . . . . . . . .

.

> > >>> . . . "Maximiliano D. A." <maxi_accotto[arroba]speedy[.]com[.]ar>
> > >>> escribió en el
> > >> mensaje news:%
> > >>>> Hola, bueno vayamos por partes.
> > >>>>
> > >>>> La diferencia es que Windows ayuda a la autentificacion y
> > >>>> controles.
> > >>>>
> > >>>> O sea si tenes un solo usuario es porque tenes una sola maquina

me

> > >>>> explico? o sea en tu red tenes usuarios que inician en un

Dominio,

> > >>>> entonces:
> > >>>>
> > >>>> para que a un usuario que se logeo ya con un dominio volver a
> > >>>> preguntarle user_id y pass no? ademas windows tiene mas control
> > >>>> verdad?
> > >>>>
> > >>>> pero como veras es un entorno esto coorporativo!! si vos siempre
> > >>>> decis que se inicia con el mismo user es porque en una maquina
> > >>>> tenes mas de un usuario y no tienen sus sesiones ;).
> > >>>>
> > >>>> Bye
> > >>>>
> > >>>>
> > >>>> Salu2
> > >>>> Maxi
> > >>>> Buenos Aires Argentina
> > >>>> Desarrollador Microsoft 3 Estrellas .NET
> > >>>> [Maxi_accotto[arroba]speedy[punto]com[punto]ar
> > >>>> MSN:
> > >>>>
> > >>>>
> > >>>> "Hernán Castelo" escribió en el mensaje
> > >>>> news:
> > >>>>> hola, estoy algo confundido con la autenticación Windows
> > >>>>>
> > >>>>> estoy utilizando 4 inicios de sesión distintos en el SQL server
> > >>>>> por lo tanto en algún lado tengo los string de conexión
> > >>>>> que incluyen usuario y password de cada uno
> > >>>>>
> > >>>>> he leido recientemente (en la página de MS) que es conveniente
> > >>>>> utilizar la autenticación integrada de Windows
> > >>>>> ya que la existencia de strings de conexión en texto plano
> > >>>>> y los usuarios de SQL server pueden ser algo inseguros
> > >>>>>
> > >>>>> Pero yo me pregunto :
> > >>>>> si me conecto con un único usuario, el "IUSR_equipo"
> > >>>>> y el usuario y contraseña están ok
> > >>>>> entonces ese usuario tiene permitido hacer algunas consultas sql
> > >>>>> Luego, para cada consulta me voy a conectar con el mismo
> > >>>>> usuario... yo hasta ahora cada consulta que hago tiene un

usuario

> > >>>>> definido
> > >>>>> y luego, en el sql, una función definida con permisos para
> > >>>>> ciertos stored_proc ...Ahora, si me conecto con un único usuario
> > >>>>> integrado de windows debo mantener , como lo hago ahora (en una
> > >>>>> variable de sesión) el tipo de usuario, es como que el usuario
> > >>>>> podría hacer cualquier cosa
> > >>>>> nada más que no hace cualquier cosa porque yo le pido solo las
> > >>>>> cosas apropiadas que tienen que ver con la función que le

compete

> > >>>>> ...eso quiere decir que cualquiera de mis stored_proc podrían

ser

> > >>>> ejecutados con el mismo usuario???
> > >>>>> ...si alguien puede interceptar la conexión, gana permiso para
> > >>>>> todas las funciones,... o no?
> > >>>>>
> > >>>>> gracias
> > >>>>>
> > >>>>> atte,
> > >>>>> Hernán Castelo
> > >>>>> UTN Buenos Aires
> > >>>>> . . . . . . . . . . . . . . . . . . . . . .
> > >>>>> . . . .
> > >>>>>
> > >>>>>
> > >>>>
> > >>>>
> > >>>>
> > >>>> Outgoing mail is certified Virus Free.
> > >>>> Checked by AVG anti-virus system (http://www.grisoft.com).
> > >>>> Version: 6.0.618 / Virus Database: 397 - Release Date: 09/03/2004
> > >>>>
> > >>>>
> > >>>
> > >>>
> > >>
> > >>
> > >>
> > >> Outgoing mail is certified Virus Free.
> > >> Checked by AVG anti-virus system (http://www.grisoft.com).
> > >> Version: 6.0.618 / Virus Database: 397 - Release Date: 09/03/2004
> >
> >
>
>

mmhh.. entonces creo que no estamos
al alcance de este tema
ya que no contamos con tecnología .Net


atte,
Hernán Castelo
UTN Buenos Aires
. . . . . . . . . . . . . . . . . . . . . . . . . .
"Jose Mariano Alvarez (MUG)" <jose.alvarez * *Arroba* * mug.org.ar> escribió en el mensaje
news:

La cosa se complica un poco ya que lo que funcinaba simplemente modificando
las propiedades del IIS en ASP.NET hay que hacer unas cuantas cosas mas.
Ademas del impersonate tienes delegation, y deberias distinguir entre
autenticacion y autorizacion. Sugiero uses los foros de ASP.NET que te van a
poder dar una mejor ayuda.

Igualmente aqui tienes alguna ayuda

Crear aplicaciones ASP .NET seguras,
http://www.microsoft.com/Spanish/ms...ngPage.asp
Crear aplicaciones ASP .NET seguras, Capítulo 9: Seguridad de la aplicación
de Servicios Empresariales
http://www.microsoft.com/spanish/ms...pter09.asp

Y en ingles
Authentication in ASP.NET: .NET Security Guidance
http://msdn.microsoft.com/library/d...dotnet.asp
Building Secure ASP.NET Applications: Authentication, Authorization, and
Secure Communication
http://msdn.microsoft.com/security/...lpmsdn.asp
.NET Data Access Architecture Guide
http://msdn.microsoft.com/library/d...l/daag.asp
HOW TO: Configure an ASP.NET Application for a Delegation Scenario
http://support.microsoft.com/defaul...-us;810572

Jose Mariano Alvarez
Comunidad de base de datos
Grupo de Usuarios Microsoft
www.mug.org.ar



"Javier Loria" wrote in message
news:
> Hola Hernan:
> No, no lo tengo talvez en el foro de ASP.NET.
> En todo caso puedes revisar la documentacion de la biblioteca del MSDN
> sobre la clase Windows Identity, en el metodo Impersonate.
> Saludos,
>
> Javier Loria
> Costa Rica
> Se aprecia la inclusion de DDL (CREATE, INSERTS, etc.)
> que pueda ser copiado y pegado al Query Analizer.
> La version de SQL y Service Pack tambien ayuda.
> "Hernán Castelo" wrote in message
> news:
> > gracias por la respuesta,
> > conoces algún link "revelador"
> > para el tema de "impersonation" ??
> >
> > atte,
> > Hernán Castelo
> > UTN Buenos Aires
> > . . . . . . . . . . . . . . . . . . . . . . . .
.
> .
> > "Javier Loria" escribió en el mensaje
> news:
> > > Hola Hernan:
> > > Si es una aplicacion WEB hay grandes 3 alternativas:
> > > a) Intranet: el que autentica es el IIS. Para lograr esto te
vas
> a
> > > la administrador del IIS, navegas en la aplicacion, clic derecho
> > > propiedades, seguridad de directorio, y en autenticacion eliminas
todas
> las
> > > autenticaciones excepto la de Windows.
> > > Cuando los usuarios navegen desde otra computadora si estan
> autenticados
> > > al dominion/arbol entre el Internet Explorer y el IIS se intercambian
la
> > > identidad. Si no estan autenticados el Internet Explorer le ofrece una
> > > pantalla para que hagan login. Los strings de conexion no necesitan
> usuario
> > > ni clave, solo indicar que son seguridad integrada.
> > > Esta implementacion es muy segura pero tiene un costo en desempeno
y
> > > escalabilidad, de primera entrada el Conexion Pooling sufre mucho.
> > > b) Internet (Seguridad de Aplicacion): Se cambia la aplicacion
para
> que
> > > permita usarios anonimos y se asocia la aplicacion con un usuario de
> Windows
> > > que en realidad es el usuario "Aplicacion". La aplicacion tiene los
> permisos
> > > y el MS SQL solo ve un usuario. El desarrollador debe construir su
> "propia"
> > > seguridad dentro del programa, para manejar los roles.
> > > c) Internet (Impersonation): Igual que el anterior pero la
> aplicacion
> > > pregunta el usuario y clave de Windows y dentro del codigo autentica
al
> > > Usuario en el Windows, "hace login" y corre en el contexto de
seguridad
> del
> > > Usuario. Es casi igual que el a) pero tiene la ventaja que no requiere
> que
> > > los usuarios usen IE.
> > > Saludos,
> > >
> > >
> > > Javier Loria
> > > Costa Rica
> > > Se aprecia la inclusion de DDL (CREATE, INSERTS, etc.)
> > > que pueda ser copiado y pegado al Query Analizer.
> > > La version de SQL y Service Pack tambien ayuda.
> > >
> > > Hernán Castelo escribio:
> > > > sí sí, yo hablo de una aplicación web
> > > >
> > > > el usuario entra a una página, ingresa uid+pwd
> > > > hago una consulta, es correcto
> > > > entonces me guardo su uid+tipo_usuario
> > > > porque después, al saber el tipo de usuario utilizo
> > > > un string diferente que solo cambia el usuario y passw ("sql" ambos)
> > > >
> > > > ok, cuando el IUSR_ es válido el SqlSvr lo acepta
> > > > pero cómo hago para que ese usuario no posea
> > > > permiso para todos los 4 roles ??
> > > > es decir, para que pueda hacer cualquier cosa?
> > > > no me parece bueno que la posibilidad y responsabilidad
> > > > de ejecutar cualquier stored_proc
> > > > quede del lado de las páginas .asp
> > > >
> > > > lei el vínculo que mandaste
> > > > pero al parecer no puedo conectarme con SSPI
> > > > con diferentes roles
> > > >
> > > > bueno, a ver si podés darme otra guía, gracias
> > > > hasta luego
> > > >
> > > >
> > > >> Hola una cosa es Web y otra es Windows!! en la web generalmente
pedis
> > > >> User_id y pass, luego por algun metodo lo envias (yo recomiendo
> > > >> componentes COM+ donde puedas encriptar y todo ello)
> > > >>
> > > >> En windows podes usar o autentificacion Sql o la de Windows, si
usas
> > > >> la primera te pedira User y pass, si usas la segunda usara el login
> > > >> de NT que este en ese momento o sea la sesion :-D
> > > >>
> > > >> Bye
> > > >>
> > > >>
> > > >> Salu2
> > > >> Maxi
> > > >> Buenos Aires Argentina
> > > >> Desarrollador Microsoft 3 Estrellas .NET
> > > >> [Maxi_accotto[arroba]speedy[punto]com[punto]ar
> > > >> MSN:
> > > >>
> > > >>
> > > >> "Hernán Castelo" escribió en el mensaje
> > > >> news:
> > > >>> gracias,
> > > >>> o sea que :
> > > >>> consulto uid+pwd
> > > >>> si está bien me guardo el tipo de usuario
> > > >>> y código en variables de sesión
> > > >>> (para saber qué mené mostrarle)
> > > >>> y luego cada página se conecta con
> > > >>> validación integrada de Windows
> > > >>>
> > > >>> está bien así ???
> > > >>> (creo que ahora me expliqué
> > > >>> algo más claro...no)
> > > >>>
> > > >>> gracias
> > > >>> no sabía cómo hacerme entender
> > > >>> porque estaba algo confundido
> > > >>>
> > > >>> chau
> > > >>>
> > > >>>
> > > >>>
> > > >>> atte,
> > > >>> Hernán Castelo
> > > >>> UTN Buenos Aires
> > > >>> . . . . . . . . . . . . . . . . . . . . . .
.
> > > >>> . . . "Maximiliano D. A." <maxi_accotto[arroba]speedy[.]com[.]ar>
> > > >>> escribió en el
> > > >> mensaje news:%
> > > >>>> Hola, bueno vayamos por partes.
> > > >>>>
> > > >>>> La diferencia es que Windows ayuda a la autentificacion y
> > > >>>> controles.
> > > >>>>
> > > >>>> O sea si tenes un solo usuario es porque tenes una sola maquina
me
> > > >>>> explico? o sea en tu red tenes usuarios que inician en un
Dominio,
> > > >>>> entonces:
> > > >>>>
> > > >>>> para que a un usuario que se logeo ya con un dominio volver a
> > > >>>> preguntarle user_id y pass no? ademas windows tiene mas control
> > > >>>> verdad?
> > > >>>>
> > > >>>> pero como veras es un entorno esto coorporativo!! si vos siempre
> > > >>>> decis que se inicia con el mismo user es porque en una maquina
> > > >>>> tenes mas de un usuario y no tienen sus sesiones ;).
> > > >>>>
> > > >>>> Bye
> > > >>>>
> > > >>>>
> > > >>>> Salu2
> > > >>>> Maxi
> > > >>>> Buenos Aires Argentina
> > > >>>> Desarrollador Microsoft 3 Estrellas .NET
> > > >>>> [Maxi_accotto[arroba]speedy[punto]com[punto]ar
> > > >>>> MSN:
> > > >>>>
> > > >>>>
> > > >>>> "Hernán Castelo" escribió en el mensaje
> > > >>>> news:
> > > >>>>> hola, estoy algo confundido con la autenticación Windows
> > > >>>>>
> > > >>>>> estoy utilizando 4 inicios de sesión distintos en el SQL server
> > > >>>>> por lo tanto en algún lado tengo los string de conexión
> > > >>>>> que incluyen usuario y password de cada uno
> > > >>>>>
> > > >>>>> he leido recientemente (en la página de MS) que es conveniente
> > > >>>>> utilizar la autenticación integrada de Windows
> > > >>>>> ya que la existencia de strings de conexión en texto plano
> > > >>>>> y los usuarios de SQL server pueden ser algo inseguros
> > > >>>>>
> > > >>>>> Pero yo me pregunto :
> > > >>>>> si me conecto con un único usuario, el "IUSR_equipo"
> > > >>>>> y el usuario y contraseña están ok
> > > >>>>> entonces ese usuario tiene permitido hacer algunas consultas sql
> > > >>>>> Luego, para cada consulta me voy a conectar con el mismo
> > > >>>>> usuario... yo hasta ahora cada consulta que hago tiene un
usuario
> > > >>>>> definido
> > > >>>>> y luego, en el sql, una función definida con permisos para
> > > >>>>> ciertos stored_proc ...Ahora, si me conecto con un único usuario
> > > >>>>> integrado de windows debo mantener , como lo hago ahora (en una
> > > >>>>> variable de sesión) el tipo de usuario, es como que el usuario
> > > >>>>> podría hacer cualquier cosa
> > > >>>>> nada más que no hace cualquier cosa porque yo le pido solo las
> > > >>>>> cosas apropiadas que tienen que ver con la función que le
compete
> > > >>>>> ...eso quiere decir que cualquiera de mis stored_proc podrían
ser
> > > >>>> ejecutados con el mismo usuario???
> > > >>>>> ...si alguien puede interceptar la conexión, gana permiso para
> > > >>>>> todas las funciones,... o no?
> > > >>>>>
> > > >>>>> gracias
> > > >>>>>
> > > >>>>> atte,
> > > >>>>> Hernán Castelo
> > > >>>>> UTN Buenos Aires
> > > >>>>> . . . . . . . . . . . . . . . . . . . . . .
> > > >>>>> . . . .
> > > >>>>>
> > > >>>>>
> > > >>>>
> > > >>>>
> > > >>>>
> > > >>>> Outgoing mail is certified Virus Free.
> > > >>>> Checked by AVG anti-virus system (http://www.grisoft.com).
> > > >>>> Version: 6.0.618 / Virus Database: 397 - Release Date: 09/03/2004
> > > >>>>
> > > >>>>
> > > >>>
> > > >>>
> > > >>
> > > >>
> > > >>
> > > >> Outgoing mail is certified Virus Free.
> > > >> Checked by AVG anti-virus system (http://www.grisoft.com).
> > > >> Version: 6.0.618 / Virus Database: 397 - Release Date: 09/03/2004
> > >
> > >
> >
> >
>
>