Tjo och hej!

Ännu en gång söker jag svar via ett beprövat forum :)

Jag håller på att utveckla ett system för tidsredovisning och håller just nu på med att implementera säkerhet på användarnivå. Dock har jag stött på några frågetecken som jag vill reda ut...

Först, lite bakgrund.

Systemet kommer användas på ett företag som kör Novell nätverk. Inloggning sker mot en server som kör Novell Netware 6.5 som operativsystem. Databasen till systemet ligger på en SQL Server 2000.

SQL server authentication (mixed-mode) används nu på SQL-servern då det inte funkar med windows authentication pga novell.

För att ansluta till SQL servern finns en krypterad connectionstring på alla klienter med ett användarnamn och lösenord (SQL Security). Alla klienter ansluter alltså mot SQL servern med samma användarnamn.

IT-avdelningen på företaget vill inte att varje användare har ett eget SQL login pga administrationsorsaker, därför är det nödvändigt att samma användarnamn avänds på samtliga klienter för anslutning mot servern.

Användarsäkerhet på applikationsnivån kommer att hanteras i databasen genom en tabell 'UserProfile' där användarnamn och lösenord sparas krypterat. Det finns även tabeller för roller, säkerhetsfeatures och länktabeller mellan dessa. Se hur databasen och detta är uppbyggt nedan...

http://www.tfd.chalmers.se/~johansss/misc/060525-10xx_SD5k_database_design.pdf

Nu till da problem. Skulle någon få tillgång till användarnamnet och lösenordet har han full åtkomst till databasen t.ex genom excel. Inte så bra.

Hur löser man detta snyggt?

En idé är att begränsa åtkomst till endast vissa views och stored proceduress och sedan på något sätt
skicka med användarid och lösenord (som matchar tabellen 'UserProfile') och sedan kolla om användaren har åtkomst till just den stored procedure eller view som körs... Men hur???

En annan idé är att använda en application role och därefter kontrollera åtkomst i VB.net koden istället.

Någon som har någon bra idé? Jag tycker jag lagt ganska mycket tid på att surfa och leta info, men det är rätt knepigt (eller så är det jag som är dålig på att hitta rätt...).

/Mvh Stefan Johansson

Som du redan har föreslagit så kan du göra all dataaccess genom SP:s som du skickar med inloggningsuppgifterna till. Det enda alternativet jag känner till (som jag tycker är mer rätt) är att bygga någon form av serverapplikation (webservice kanske?) som sköter all kommunikation med databasen. Klienterna pratar istället med serverapplikationen som hanterar rättigheterna.

/Johan

Du kan gärna kolla på Application Roles i SQL Server. Kanske de kan ge dig ett par tips. Sedan skulle jag krypterat (ifrån applikationen) det som sparas i databasen.

/micke

Den andra metoden du förslår känns mer rätt, men i dagsläget har jag absolut ingen erfarenhet av programmering av serverapplikationer så därför får det bli ett senare projekt. Därför känns det som att metoden med SP:s är den jag får köra på.

Har du några mer tips vad gäller detta? ska jag bara skicka med användarnamn och lösenord och sedan kontrollera genom att exempelvis anropa en SP som verifierar rättigheterna i varje SP där användarrättigheter ska kontrolleras?

För att få det riktigt säkert bör jag väl också se till att kryptera all data med SSL, annars finns det väl en potentiell risk att någon sniffar nätverkstrafiken och på så sätt kan finna lösenord (visserligen i krypterad form, men ändå)?

Du har inga exempel du kan dela med dej av?

Trial and error i all ära, men exempel lär man sig också mycket av...

Som du märker är jag fruktansvärt grön på detta område.

/Mvh Stefan

Hello Mikael,

Mmm, jag har kollat upp Application Roles lite och det känns som ett alternativ.

Jag måste ändå på nåt sätt kontrollera användarrättigheter, helst genom att endast ge åtkomst till vissa views och stored procedures och sedan i SP:na kontrollera rättigheter mot mina tabeller för roles och säkerhetsfeatures. Några tips?

Vad menar du med det sista du skrev?

/Mvh Stefan

Har tyvärr inget exempel på hyllan. Men du har ju "tänket" klart, så det är ju bara att sätta igång och koda! :)

Vad ska du utveckla klientapplikationen i för språk/miljö?

/Johan

Okido, det var synd.

Mmm, tänket är kanske rätt, men just hur man ska implementera det bra är inte helt klart... Just säkerhetsgrejer med olika roller och olika accessnivåer är jag helt värdelös på. Ska se om jag kan hitta några böcker som BARA tar upp just såna saker. Du vet ingen bra?

Klientapplikationen utvecklas helt i VB.net 2003. Tanken är att det i ett senare stadie även ska gå att rapportera vissa saker genom en webapplikation...

/Stefan