Chapter 2 User Authentication, Authorization, and Security（5）：使用固定伺服器角色，authentication

Chapter 2 User Authentication, Authorization, and Security（5）：使用固定伺服器角色，authentication
原文出處：http://blog.csdn.net/dba_huangzj/article/details/38844999，專題目錄：http://blog.csdn.net/dba_huangzj/article/details/37906349

未經作者同意，任何人不得以“原創”形式發布，也不得已用於商業用途，本人不負責任何法律責任。

        前一篇：http://blog.csdn.net/dba_huangzj/article/details/38817915

 

前言：

 

登入帳號允許你連到SQL Server，並且如果有資料庫使用者映射到這個帳號，那麼這個帳號也可以訪問對應的資料庫。預設情況下，他們沒有伺服器層面的管理操作權。固定伺服器角色允許你簡化授權和回收許可權的操作。

 

實現：

 

1. 開啟登入屬性框，然後選擇【伺服器角色】頁：

會看到有下面的伺服器角色：

 

它們的功能說明如下：

角色名稱	描述
bulkadminbulkadmin	固定伺服器角色的成員可以運行 BULK INSERT 語句。
dbcreator	固定伺服器角色的成員可以建立、更改、刪除和還原任何資料庫。
diskadmin	固定伺服器角色的成員可以管理磁碟檔案。
processadmin	固定伺服器角色的成員可以終止在資料庫引擎執行個體中啟動並執行進程。
public	預設情況下，所有 SQL Server 使用者、組和角色都屬於 public 固定伺服器角色。
securityadmin	固定伺服器角色的成員可以管理登入名稱及其屬性。 他們可以 GRANT、DENY 和 REVOKE 伺服器層級的許可權。 他們還可以 GRANT、DENY 和 REVOKE 資料庫層級的許可權。 此外，他們還可以重設 SQL Server 登入名的密碼。
serveradmin	固定伺服器角色的成員可以更改伺服器範圍的配置選項和關閉伺服器。
setupadmin	固定伺服器角色成員可以添加和刪除連結的伺服器，並可以執行某些系統預存程序。
sysadmin	固定伺服器角色的成員可以在資料庫引擎中執行任何活動。

 

2. 可以用下面語句添加伺服器角色成員：

ALTER SERVER ROLE <role_name> ADD MEMBER <login>;

 

3. 可以使用下面語句查看角色成員：

 

SELECT  role.name AS role ,         role.is_fixed_role ,         login.name AS login FROM    sys.server_role_members srm         JOIN sys.server_principals role ON srm.role_principal_id = role.principal_id         JOIN sys.server_principals login ON srm.member_principal_id = login.principal_id;

原理：

 

通過新增成員到伺服器角色中，可以使用裡面的預設系統管理權限。其中public角色，從2005引入，每個登入帳號自動添加到這個角色中，不能移除這個角色及其成員。與其他固定伺服器角色不同，你可以修改public的許可權，從而“初始化”所有帳號的預設許可權，用下面語句可以查看public的角色許可權：

 

SELECT permission_name, state_desc, SUSER_NAME(grantor_principal_id) grantor FROM sys.server_permissions WHERE grantee_principal_id = SUSER_ID('public');

下一篇：http://blog.csdn.net/dba_huangzj/article/details/38867489

怎設定伺服器

置RADIUS伺服器

找到一篇關於在Linux上搭建RADIUS伺服器的文章

請笑納:

Linux上構建一個RADIUS伺服器詳解

為一名網路系統管理員，您需要為您所需管理的每個網路裝置存放用於管理的使用者資訊。但是網路裝置通常只支援有限的使用者管理功能。學習如何使用Linux上的一個外部RADIUS伺服器來驗證使用者，具體來說是通過一個LDAP伺服器進行驗證，可以集中放置儲存在LDAP伺服器上並且由RADIUS伺服器進行驗證的使用者資訊，從而既可以減少使用者管理上的管理開銷，又可以使遠程登入過程更加安全。

資料安全作為現代系統中網路安全的一部分，與系統安全一樣的重要，所以保護資料--確保提供機密性、完整性和可用性--對管理員來說至關重要。

在本文中，我將談到資料安全性的機密性方面：確保受保護的資料只能被授權使用者或系統訪問。您將學習如何在Linux系統上建立和配置一個Remote Authentication Dial-In User Service 伺服器（RADIUS），以執行對使用者的驗證、授權和記帳（AAA）。

各組成元素介紹

首先讓我們談一談RADIUS協議、AAA組件以及它們如何工作，另外還有LDAP協議。

Remote Authentication Dial-In User Service 協議是在IET的RFC 2865中定義的（請參閱參考資料獲得相關連結）。它允許網路存取伺服器（NAS）執行對使用者的驗證、授權和記帳。RADIUS是基於UDP的一種客戶機/伺服器協議。RADIUS客戶機是網路存取伺服器，它通常是一個路由器、交換器或無線訪問點（訪問點是網路上專門配置的節點；WAP是無線版本）。RADIUS伺服器通常是在UNIX或Windows 2000伺服器上啟動並執行一個監護程式。

RADIUS和AAA

如果NAS收到使用者串連請求，它會將它們傳遞到指定的RADIUS伺服器，後者對使用者進行驗證，並將使用者的配置資訊返回給NAS。然後，NAS接受或拒絕串連請求。

功能完整的RADIUS伺服器可以支援很多不同的使用者驗證機制，除了LDAP以外，還包括：

PAP（Password Authentication Protocol，密碼驗證通訊協定，與PPP一起使用，在此機制下，密碼以明文形式被發送到客戶機進行比較）；

CHAP（Challenge Handshake Authentication Protocol，挑戰握手驗證協議，比PAP更安全，它同時使用使用者名稱和密碼）；

本地UNIX/Linux系統密碼資料庫（/etc/passwd）；

其他本機資料庫。

在RADIUS中，驗證和授權是組合在一起的。如果發現了使用者名稱，並且密碼正確，那麼RADIUS伺服器將返回一個Access-Accept響應，其中包括一些參數（屬性-值對），以保證對該使用者的訪問。這些參數是在RADIUS中配置的，包括訪問類型、協議類型、使用者指定該使用者的IP地址以及一個存取控制清單（ACL）或要在NAS上應用的靜態路由，另外還有其他一些值。

RADIUS記帳特性（在RFC 2866中定義；請參閱參考資料獲得相關連結）允許在串連會話的開始和結束髮送資料，表明在會話期間使用的可能用於安全或開單（billing）需要的大量資源--例如時間、包和位元組。

輕量級目錄訪問協議

輕量級目錄訪問協議（Lightweight Directory Access Protocol，LDAP）是一種開放標準，它定義了用於訪問和更新類X.500 目錄中......餘下全文>>
 
VMware Authorization Service服務項不可以啟動

VMware Authorization Service 服務因 6000002 服務性錯誤而停止。本條錯誤涉及到的WIN應用程式LOG錯誤有：1.Failed to retrieve token for VMware user: 登入失敗: 未授予使用者在此電腦上的請求登入類型。 (1385) 2.Failed to retrieve token for VMware user: 登入失敗: 禁用當前的帳戶。 (1331) 3.Could not choose a '__vmware_user__' password long enough (min length 0). Aborting.
首先，在啟動VM虛擬機器的時候，有時我們會碰到The VMware Authorization Service is not running.。錯誤，導致虛擬機器無法啟動，實際上意思就是說在WINDOWS下的相關VM服務進程VMware Authorization ServiceAuthorization and authentication service for starting and accessing virtual machines沒有開啟，而這個時候，很有可能就是因為各種原因導致VM的此服務無法啟動。一般情況下，在手動啟動時，會報出如：VMware Authorization Service 服務因 6000002 服務性錯誤而停止。 類型的錯誤。同時，在這個錯誤出現後系統會在事件檢視器的應用程式中產生相關無法啟動的具體原因，如引言，一般常見的為此三種情況：1.Failed to retrieve token for VMware user: 登入失敗: 未授予使用者在此電腦上的請求登入類型。 (1385) 此類情況一般由於組策略造成，可以在開始，運行處輸入GPEDIT.MSC,然後進入“電腦配置”，“WINDOWS設定”，“安全設定”，“本地策略”，“使用者權利指派”在此處右部明細視窗內找到在 本地登陸 策略中加入__vmware_user__使用者或相關使用者組，並在 拒絕本地登陸 策略中，刪除__vmware_user__或相關使用者組。修改完畢後，服務可正常啟動。2.Failed to retrieve token for VMware user: 登入失敗: 禁用當前的帳戶。 (1331) 如果系統記錄中出現此類錯誤記錄，__vmware_user__已經被禁用，在使用者管理中解除__vmware_user__使用者禁用即可。3.Could not choose a '__vmware_user__' password long enough (min length 0). Aborting.此類錯誤表示可能已經將__vmware_user__使用者刪除，在使用者管理欄下建立立使用者 __vmware_user__即可。需要說明的是使用者建立後為了作業系統的安全應設定比較複雜的密碼，並在組策略處 拒絕從網路訪問這台電腦策略中添加 __vmware_user__ 使用者。防止系統被其他人非法進入。