conectarse con autentic Windows ó SQL ?

01/04/2004 - 23:13 por Hernán Castelo | Informe spam
hola, estoy algo confundido con la autenticación Windows

estoy utilizando 4 inicios de sesión distintos en el SQL server
por lo tanto en algún lado tengo los string de conexión
que incluyen usuario y password de cada uno

he leido recientemente (en la página de MS) que es conveniente
utilizar la autenticación integrada de Windows
ya que la existencia de strings de conexión en texto plano
y los usuarios de SQL server pueden ser algo inseguros

Pero yo me pregunto :
si me conecto con un único usuario, el "IUSR_equipo"
y el usuario y contraseña están ok
entonces ese usuario tiene permitido hacer algunas consultas sql
Luego, para cada consulta me voy a conectar con el mismo usuario...
yo hasta ahora cada consulta que hago tiene un usuario definido
y luego, en el sql, una función definida con permisos para ciertos stored_proc
...Ahora, si me conecto con un único usuario integrado de windows
debo mantener , como lo hago ahora (en una variable de sesión) el tipo de usuario,
es como que el usuario podría hacer cualquier cosa
nada más que no hace cualquier cosa porque yo le pido solo las cosas apropiadas
que tienen que ver con la función que le compete
...eso quiere decir que cualquiera de mis stored_proc podrían ser ejecutados con el mismo usuario???
...si alguien puede interceptar la conexión, gana permiso para todas las funciones,... o no?

gracias

atte,
Hernán Castelo
UTN Buenos Aires
. . . . . . . . . . . . . . . . . . . . . . . . . .

Preguntas similare

Leer las respuestas

#11 Jose Mariano Alvarez \(MUG\)
12/04/2004 - 22:48 | Informe spam
Si NO usas ASP.NET y es una intranet alcanza con solo dejar la opcion de
seguridad integrada tal como te sugirio Javier.

Jose Mariano Alvarez
Comunidad de base de datos
Grupo de Usuarios Microsoft
www.mug.org.ar



"Hernán Castelo" wrote in message
news:
Mostrar la cita
.
Mostrar la cita
escribió en el mensaje
Mostrar la cita
modificando
Mostrar la cita
van a
Mostrar la cita
http://www.microsoft.com/Spanish/ms...ngPage.asp
Mostrar la cita
aplicación
Mostrar la cita
http://www.microsoft.com/spanish/ms...pter09.asp
Mostrar la cita
http://msdn.microsoft.com/library/d...dotnet.asp
Mostrar la cita
http://msdn.microsoft.com/security/...lpmsdn.asp
Mostrar la cita
http://msdn.microsoft.com/library/d...l/daag.asp
Mostrar la cita
MSDN
Mostrar la cita
.
Mostrar la cita
te
Mostrar la cita
intercambian
Mostrar la cita
una
Mostrar la cita
necesitan
Mostrar la cita
desempeno
Mostrar la cita
de
Mostrar la cita
los
Mostrar la cita
autentica
Mostrar la cita
requiere
Mostrar la cita
ambos)
Mostrar la cita
login
Mostrar la cita
.
Mostrar la cita
<maxi_accotto[arroba]speedy[.]com[.]ar>
Mostrar la cita
maquina
Mostrar la cita
control
Mostrar la cita
siempre
Mostrar la cita
maquina
Mostrar la cita
server
Mostrar la cita
conveniente
Mostrar la cita
sql
Mostrar la cita
usuario
Mostrar la cita
una
Mostrar la cita
usuario
Mostrar la cita
las
Mostrar la cita
podrían
Mostrar la cita
para
Mostrar la cita
. .
Mostrar la cita
09/03/2004
Mostrar la cita
09/03/2004
Mostrar la cita
#12 Hernán Castelo
12/04/2004 - 23:10 | Informe spam
sí, gracias...pero es internet


atte,
Hernán Castelo
UTN Buenos Aires
. . . . . . . . . . . . . . . . . . . . . . . . . .
"Jose Mariano Alvarez (MUG)" <jose.alvarez * *Arroba* * mug.org.ar> escribió en el mensaje
news:
Si NO usas ASP.NET y es una intranet alcanza con solo dejar la opcion de
seguridad integrada tal como te sugirio Javier.

Jose Mariano Alvarez
Comunidad de base de datos
Grupo de Usuarios Microsoft
www.mug.org.ar



"Hernán Castelo" wrote in message
news:
Mostrar la cita
.
Mostrar la cita
escribió en el mensaje
Mostrar la cita
modificando
Mostrar la cita
van a
Mostrar la cita
http://www.microsoft.com/Spanish/ms...ngPage.asp
Mostrar la cita
aplicación
Mostrar la cita
http://www.microsoft.com/spanish/ms...pter09.asp
Mostrar la cita
http://msdn.microsoft.com/library/d...dotnet.asp
Mostrar la cita
http://msdn.microsoft.com/security/...lpmsdn.asp
Mostrar la cita
http://msdn.microsoft.com/library/d...l/daag.asp
Mostrar la cita
MSDN
Mostrar la cita
.
Mostrar la cita
te
Mostrar la cita
intercambian
Mostrar la cita
una
Mostrar la cita
necesitan
Mostrar la cita
desempeno
Mostrar la cita
de
Mostrar la cita
los
Mostrar la cita
autentica
Mostrar la cita
requiere
Mostrar la cita
ambos)
Mostrar la cita
login
Mostrar la cita
.
Mostrar la cita
<maxi_accotto[arroba]speedy[.]com[.]ar>
Mostrar la cita
maquina
Mostrar la cita
control
Mostrar la cita
siempre
Mostrar la cita
maquina
Mostrar la cita
server
Mostrar la cita
conveniente
Mostrar la cita
sql
Mostrar la cita
usuario
Mostrar la cita
una
Mostrar la cita
usuario
Mostrar la cita
las
Mostrar la cita
podrían
Mostrar la cita
para
Mostrar la cita
. .
Mostrar la cita
09/03/2004
Mostrar la cita
09/03/2004
Mostrar la cita
#13 Jose Mariano Alvarez \(MUG\)
13/04/2004 - 02:37 | Informe spam
Por que querias usar seguridad de windows entonces?


Jose Mariano Alvarez
jose (.) alvarez * *Arroba* * mug (.) org (.) ar
Comunidad de base de datos
Grupo de Usuarios Microsoft
www.mug.org.ar


.
"Hernán Castelo" wrote in message
news:
Mostrar la cita
.
Mostrar la cita
escribió en el mensaje
Mostrar la cita
.
Mostrar la cita
mas.
Mostrar la cita
http://www.microsoft.com/Spanish/ms...ngPage.asp
Mostrar la cita
http://www.microsoft.com/spanish/ms...pter09.asp
Mostrar la cita
http://msdn.microsoft.com/library/d...dotnet.asp
Mostrar la cita
and
Mostrar la cita
http://msdn.microsoft.com/security/...lpmsdn.asp
Mostrar la cita
http://msdn.microsoft.com/library/d...l/daag.asp
Mostrar la cita
del
Mostrar la cita
.
Mostrar la cita
esto
Mostrar la cita
eliminas
Mostrar la cita
ofrece
Mostrar la cita
mucho.
Mostrar la cita
aplicacion
Mostrar la cita
usuario
Mostrar la cita
su
Mostrar la cita
generalmente
Mostrar la cita
recomiendo
Mostrar la cita
si
Mostrar la cita
.
Mostrar la cita
a
Mostrar la cita
consultas
Mostrar la cita
(en
Mostrar la cita
#14 Hernán Castelo
13/04/2004 - 17:39 | Informe spam
bueno, quería cubrir las alternativas

lo que haría entonces es:

conectarme desde asp con un usuario de "login"
que solo tiene acceso a un stored proc: validar uid+pwd
me devuelve el código de usuario y a qué grupo pertenece
esos 2 datos los guardo en variables de sesión

saber el grupo me indica qué string de conexión utilizar
ahora, si alguien (intruso) obtiene el string de conexión
conocerá usuario y password
y fácilmente se conectará

pensé en dar permiso de ejecución a ese sp
para el IUSR y denegarlo para todos los demás
incluso el mismo sp podría llevar un parámetro
además de uid+pwd, el IP del cliente
de tal forma que tras x intentos, lo bloqueo

ves algún defecto o contra en esto?

atte,
Hernán Castelo
UTN Buenos Aires
. . . . . . . . . . . . . . . . . . . . . . . . . .
"Jose Mariano Alvarez (MUG)" <jose.alvarez * *Arroba* * mug.org.ar> escribió en el mensaje
news:
La cosa se complica un poco ya que lo que funcinaba simplemente modificando
las propiedades del IIS en ASP.NET hay que hacer unas cuantas cosas mas.
Ademas del impersonate tienes delegation, y deberias distinguir entre
autenticacion y autorizacion. Sugiero uses los foros de ASP.NET que te van a
poder dar una mejor ayuda.

Igualmente aqui tienes alguna ayuda

Crear aplicaciones ASP .NET seguras,
http://www.microsoft.com/Spanish/ms...ngPage.asp
Crear aplicaciones ASP .NET seguras, Capítulo 9: Seguridad de la aplicación
de Servicios Empresariales
http://www.microsoft.com/spanish/ms...pter09.asp

Y en ingles
Authentication in ASP.NET: .NET Security Guidance
http://msdn.microsoft.com/library/d...dotnet.asp
Building Secure ASP.NET Applications: Authentication, Authorization, and
Secure Communication
http://msdn.microsoft.com/security/...lpmsdn.asp
.NET Data Access Architecture Guide
http://msdn.microsoft.com/library/d...l/daag.asp
HOW TO: Configure an ASP.NET Application for a Delegation Scenario
http://support.microsoft.com/defaul...-us;810572

Jose Mariano Alvarez
Comunidad de base de datos
Grupo de Usuarios Microsoft
www.mug.org.ar



"Javier Loria" wrote in message
news:
Mostrar la cita
.
Mostrar la cita
vas
Mostrar la cita
todas
Mostrar la cita
la
Mostrar la cita
y
Mostrar la cita
para
Mostrar la cita
al
Mostrar la cita
seguridad
Mostrar la cita
pedis
Mostrar la cita
usas
Mostrar la cita
.
Mostrar la cita
me
Mostrar la cita
Dominio,
Mostrar la cita
usuario
Mostrar la cita
compete
Mostrar la cita
ser
Mostrar la cita
Ads by Google
Search Busqueda sugerida