SQL Server-Benutzer und Anwendungsrollen
Die folgende Beschreibung gibt einen groben Überblick über die in SQL Server benötigten Berechtigungen, sowie über die Verwendung einer Anwendungsrolle. Eine Anwendungsrolle erhöht die Sicherheit, indem sie den operativen Administratoren nur die notwendigen Berechtigungen für die Dauer einer Sitzung zuweist.
Erstellen der Datenbanken
Wir empfehlen, die erforderlichen Datenbanken vor der Installation der Scout Enterprise Management Suite in SQL Server anzulegen.
Bitte beachten Sie folgendes:
-
Zum Erstellen von Datenbanken in SQL Server ist mindestens die SQL Serverrolle dbcreator notwendig.
-
Der Name einer Datenbank ist frei wählbar.
-
Die Tabellen innerhalb der jeweiligen Datenbank werden durch den Installationsprozess der Scout Enterprise Management Suite erstellt.
Löschen Sie beim Sichern und Wiederherstellen nicht die originale Datenbank! Die eindeutige Datenbank-ID muss erhalten bleiben für die Initialisierung der Lizenzdatenbank. Für weitere Informationen siehe Problembehandlung.
Berechtigungen für die Nutzung der Scout Enterprise Management Suite
SQL Serverrolle
Grundsätzlich ist für die Nutzung der Scout Enterprise Management Suite die Serverrolle public ausreichend. Wenn Benutzer zusätzlich Aufgaben in SQL Server durchführen sollen, sind weitergehende Berechtigungen notwendig. Das Wiederherstellen von Datenbanken erfordert beispielsweise die Serverrolle dbcreator.
SQL Datenbankrolle
Auf Datenbankebene ist für die reine Nutzung der Konsole in Standard-Umgebungen die Kombination aus den Datenbankrollen db_datareader und db_datawriter ausreichend.
Die Datenbankrolle db_owner wird beispielsweise für Datenbank-Aktivitäten im Zusammenhang mit der Aktualisierung auf eine neue Scout-Version benötigt, ebenso zur Ausführung von Konfigurations- und Wartungsaktivitäten an der Datenbank.
Die Benutzer müssen dem Standardschema dbo zugeordnet sein.
Für Umgebungen mit SQL Server-Clustern sind zusätzliche Berechtigungen wie VIEW SERVER STATE und VIEW ANY DEFINITION erforderlich.
SQL Anwendungsrolle
Im Falle der Windows-Authentifizierung für SQL Server sind die Benutzer berechtigt, sich auch am SQL Server Management Studio anzumelden. Für solche Szenarien empfehlen wir, eine dedizierte Benutzergruppe für reine Konsolen-Benutzer zu verwenden, die mit beschränkten Datenbankrechten arbeitet.
Die Berechtigungen für den Zugriff auf SQL Server-Tabellen können für alle Datenbanken zusätzlich über eine systemweite SQL-Anwendungsrolle gesteuert und beschränkt werden. Die Anwendungsrolle muss in der jeweiligen Datenbank mit Namen und Kennwort hinterlegt werden.
Ein Konsolen-Benutzer benötigt dann für SQL Server nur die Datenbank-Rolle public, damit die gespeicherte Prozedur zum Aktivieren der Anwendungsrolle der SQL Server-Datenbank ausgeführt werden kann. Sobald die Anwendungsrolle aktiv ist, verliert die Verbindung zu SQL Server die Benutzer-Berechtigungen und nimmt die Berechtigungen der Anwendungsrolle an. Eine Anwendungsrolle kann auf keine anderen Datenbanken zugreifen, sofern deren guest-Konto deaktiviert ist. Die Berechtigungen der Anwendungsrolle bleiben für die Dauer der Sitzung aktiv.
Konsolen-Benutzer und Anwendungsrolle in SQL Server Management Studio konfigurieren
Die folgende Anleitung bezieht sich auf die Scout-Datenbank.
-
Fügen Sie im SQL Server Management Studio unter Sicherheit > Anmeldungen eine neue Benutzergruppe (Beispiel: Konsolen-Benutzer) hinzu mit folgender Konfiguration:
Serverrolle Public Benutzerzuordnung > Mitgliedschaft in Datenbankrolle db_datareader Sicherungsfähige Elemente Setzen Sie nicht erforderliche Berechtigungen auf Deny.
Beispiel auf Server-Ebene: Alter any database > Deny -
Erstellen Sie unterhalb der Scout-Datenbank unter Sicherheit > Schemas ein neues Schema (Beispiel: Konsolen-Benutzer-Schema).
Geben Sie im Feld Schemabesitzer die Konsolen-Benutzer an. -
Erstellen Sie unterhalb der Scout-Datenbank unter Sicherheit > Rollen > Anwendungsrollen eine Anwendungsrolle (Beispiel: Konsolen-Benutzer-Rolle) mit folgender Konfiguration:
Standard-Schema Konsolen-Benutzer-Schema Kennwort frei wählbar Sicherungsfähige Elemente Wählen Sie Ihre Scout-Datenbank und setzen Sie alle Berechtigungen
außer Connect auf Grant
Anwendungsrolle in Scout-Datenbank definieren
-
Um die Daten der Anwendungsrolle verschlüsselt anzugeben, verschlüsseln Sie zunächst Namen und Kennwort der Rolle. Für weitere Informationen siehe Werte verschlüsseln.
- Bearbeiten Sie im SQL Server Management Studio für die Scout-Datenbank die Tabelle System.
- Fügen Sie für Namen und Kennwort der Anwendungsrolle jeweils eine Zeile hinzu. Setzen Sie die verschlüsselten Werte in die Tabelle ein:
SystemID ParamName ParamVal … <n> RNameEx <verschlüsselter Name der Rolle> <n> RPassEx <verschlüsseltes Kennwort der Rolle>
Beim Starten der Scout Console werden die Felder ausgelesen und die Zugriffsberechtigungen der Anwendungsrolle gesetzt.
-
EnvironmentInfoID Key Value … <n> RName <verschlüsselter Name der Rolle> <n> RPass <verschlüsseltes Kennwort der Rolle>
Kontakt
