Seminario Taller de administracin de Base de

Datos Corporativas SQL

UNIDAD II

Ing. Juan Carlos Llontop Caldern

Autenticacin de Conexiones a SQL Server

Objetivos:
Describir la seguridad de SQL Server
Implementar las opciones de autenticacin de SQL Server
Proveer acceso a SQL Server para los usuarios y grupos de
Windows
Proveer Acceso a SQL Server para otros usuarios

Vista General de la Seguridad en SQL Server

Autenticacin de Conexiones a SQL Server

Logins Vs Usuarios de BD
Login: usuario o proceso que tiene garantizado un acceso
al SQL Server mediante una de las tres formas posibles.
El Login garantiza acceso a una o ms BD.
Usuario de BD : La asignacin entre un Login y una BD en
particular.
Los usuarios de BD a menudo tienen el mismo nombre que
los login que se asignan, pero pueden ser diferentes.

Autenticacin de Conexiones a SQL Server

Permisos
El usuario de BD necesita permisos dentro de la BD antes
que el Login pueda acceder a los objetos asegurables como
tablas, vistas, funciones y Stored Procedures.
Existe 2 formas para la asignacin de permisos:
Asignando directamente permisos a cada objeto
Mediante la creacin de Roles dentro de la BD.

Opciones de Autenticacin de SQL Server

Administracin de Windows Login

Administracin de Login y polticas en SQL Server

Autorizacin del Login para acceder a la BD

Autenticacin y Autorizacin son comnmente
confundidos .
Autenticacin:
Verificacin de la identidad de un principal(determinar quien eres)

Autorizacin:
Es la asignacin de permisos sobre un objeto asegurable para un
principal(que est permitido hacer)
Puede ser mediante la asignacin del principal a un rol ya definido

Autorizacin del Login para acceder a la BD

Autorizacin del Login para acceder a la BD

Roles
Es un nombre que se da a un grupo de principales
Los roles hacen ms fcil brindar permisos a muchos
principales que necesitan similares niveles de acceso.
Roles en SQL Server son similares a los Grupos dentro del
S.O. Windows

Autorizacin del Login para acceder a la BD

Autorizacin del Login para acceder a la BD

Dbo
El usuario SA y los miembros del rol sysadmin son asignados a la
cuenta dbo junto con el propietario de la base

Guest
Esta cuenta de usuario permite logearse sin una cuenta de usuario
para acceder a una base de datos.
Esta cuenta no puede ser borrada pero se puede deshabilitar con el
siguiente comando: REVOKE CONNECT FROM guest;
Puede ser activada nuevamente con: GRANT CONNECT TO guest

Autorizacin a travs de Servidores

El tipico problema Double hop
Suplantacin vs delegacin
Trabajando con Mis-matched Security IDs

Autorizacin a travs de Servidores

Autorizacin a travs de Servidores

Suplantacin:
Permite suplantar un usuario en una maquina local

Delegacin
Permite suplantar un usuario a travs de la red

Autorizacin a travs de Servidores

Autorizacin a travs de Servidores

Resolviendo el problema:
Hacer coincidir el SID del Usuario de Base de Datos con el
el SID del Login.
Utilizar la sentencia CREATE LOGIN tiene una opcin WTH
SID.
El procedimiento almacenado SP_Helprevlogin