Bài giảng Hệ quản trị cơ sở dữ liệu SQL Server: Chương 5 Bảo mật và phân quyền cung cấp cho người học những kiến thức như: Giới thiệu; Login, User Account, User Roles; Kế hoạch phân quyền và bảo mật; Kết nối cơ sở dữ liệu. Mời các bạn cùng tham khảo!
GVPT: NGUYỄN THỊ MỸ DUNG SỐ TC: SỐ TIẾT: LT: 20; TH: 20 Biên soạn: Nguyễn Thị Mỹ Dung Chương 1: Tổng quan SQL Server (LT: 2) Chương 2: Tạo quản trị CSDL (LT: 6; TH: 6) Chương 3: Transact-SQL truy vấn liệu (LT: 6: TH: 8) Chương 4: Lập trình với Transact-SQL (LT: 4: TH: 4) Chương 5: Bảo Mật Phân Quyền (LT: 2; TH: 2) Chương 6: Kết nối CSDL (Tự học) Biên soạn: Nguyễn Thị Mỹ Dung I Giới thiệu II Login, User Account, User Roles III Kế hoạch phân quyền bảo mật IV Kết nối CSDL Biên soạn: Nguyễn Thị Mỹ Dung 1/ Khái niệm Mỗi CSDL có hay nhiều users định quyền truy xuất liệu Người quản trị cấp quyền truy xuất CSDL cách tạo tài khoản (user) đăng nhập (login) gán quyền cho user CSDL Các quyền: - Cấp phát quyền truy cập vào CSDL; - Cấp phát quyền sử dụng câu lệnh, đối tượng CSDL; - Thu hồi quyền người dùng Biên soạn: Nguyễn Thị Mỹ Dung 2/ Các thành phần bảo mật CSDL - Người dùng sở liệu (Database user): thực thi thao tác sở liệu tạo bảng, truy xuất liệu, Mỗi người dùng xác định thơng qua tên người dùng (User ID) nhóm người dùng (User Group) - Các đối tượng sở liệu (Database objects): bảng, khung nhìn, thủ tục, hàm gọi đối tượng sở liệu - Đặc quyền (Privileges): Là tập thao tác cấp phát cho người dùng đối tượng sở liệu Biên soạn: Nguyễn Thị Mỹ Dung 1/ Login user SQL Server cho phép truy nhập vào hệ thống thơng qua login Chỉ có quyền mức độ định bạn tạo thêm login - Login: tên hệ thống (duy nhất) SQL Server cấp phép truy cập hệ thống - User: tên gắn với login name cụ thể SQL cấp phép truy xuất DB xác định Như vậy: - Một login name có nhiều user, user tạo DB phép truy xuất DB - Để tạo nhiều user phải tạo LOGIN NAME trước, sau mở DB tương ứng tạo USER Biên soạn: Nguyễn Thị Mỹ Dung 2/ Authentication SQL Server xác thực đăng nhập hai chế: windows authentication, SQL Server authentication - Nếu chọn windows , bạn cần cung cấp windows account SQL Server lưu tên account danh sách login - Nếu chọn SQL Server , bạn cần cung cấp login name password hai lưu SQL Server Lưu ý: login sử dụng windows authentication, SQL Server lưu login name, không lưu password đăng nhập, hệ thống không xác thực cho bạn Biên soạn: Nguyễn Thị Mỹ Dung 3/ Server role Role thực chất tập hợp nhóm quyền đại diện tên để thuận tiện cho việc quản lý Server role nhóm quyền mức server mà login cấp thực số thao tác định mức server Login tạo có role public, role thực chất khơng có quyền ngồi quyền truy nhập vào server 4/ Database role DB tập hợp quyền truy nhập vào DB thành nhóm để dễ tạo lập sửa đổi Khi user role public, user nhìn thấy tên database mà khơng có quyền khác Biên soạn: Nguyễn Thị Mỹ Dung Phân chia quyền hạn quản trị sử dụng Hệ quản trị CSDL SQL Server Hình thành theo cấu Người đăng nhập (login) Người dùng (user) Quyền hạn (permission) Nhóm quyền (role) Người đăng nhập thể người dùng với số quyền hạn ứng với liệu Biên soạn: Nguyễn Thị Mỹ Dung Đăng nhập (login) a/ Tạo người đăng nhập SP_ADDLOGIN [ @login = ] [,@password =] , [,@defdb =] [ , @deflanguage = ] [ , @sid =] [ ,@encriptopt = 'skip_encription' ] mã hóa pass [,…] VD: Tạo tài khoản tên USER01', mat khau ‘01' vào CSDL 'QLDeTaiSV‘ SP_ADDLOGIN 'USER01','01','QLDETAISV' Biên soạn: Nguyễn Thị Mỹ Dung 10 Cách 2: CREATE LOGIN WITH PASSWORD = , DEFAULT_DATABASE = VD1: Tạo login USER02 CREATE LOGIN USER02 WITH PASSWORD = 'ABC', DEFAULT_DATABASE = QLDETAISV [,…] Biên soạn: Nguyễn Thị Mỹ Dung 11 b/ Thay đổi người đăng nhập ALTER LOGIN { [ENABLE | DISABLE] | WITH {PASSWORD= ‘ ’ | DEFAULT_DATABASE = } VD: ALTER LOGIN [sa] DISABLE c/ Xóa người đăng nhập [EXEC] SP_DROPLOGIN ‘TÊN_LOGIN’ Hoặc: DROP LOGIN TÊN_LOGIN VD: DROP LOGIN USER01 EXEC SP_DROPLOGIN USER02 Biên soạn: Nguyễn Thị Mỹ Dung 12 Người dùng (User) a/ Tạo người dùng EXEC SP_ADDUSER ‘TÊN_LOGIN’, ’TÊN_USER’ [ , ‘TÊN_ROLE’ ] CREATE USER TÊN_USER FOR TÊN_LOGIN VD: EXEC SP_ADDUSER [MDUNG], [HQTCSDL] CREATE USER [IN410501] FOR LOGIN [MDUNG] CREATE USER [IN410502] WITHOUT LOGIN WITH DEFAULT_SCHEMA =[MDUNG] Biên soạn: Nguyễn Thị Mỹ Dung 13 b/ Xoá người dùng [EXEC] SP_DROPUSER ‘TÊN_USER’ DROP USER TÊN_USER VD: DROP USER IN410501 EXEC SP_DROPUSER IN410502 Biên soạn: Nguyễn Thị Mỹ Dung 14 Nhóm quyền hạn (Role) a/ Tạo quyền EXEC SP_ADDROLE TÊN_ROLE CREATE ROLE TÊN_ROLE VD: EXEC SP_ADDROLE [QUANLY] CREATE ROLE [NHANVIEN] b/ Xóa nhóm quyền EXEC SP_DROPROLE TÊN_ROLE DROP ROLE TÊN_ROLE Biên soạn: Nguyễn Thị Mỹ Dung 15 c/ Gắn người dùng với nhóm quyền EXEC SP_ADDROLEMEMBER TÊN_ROLE, TÊN_USER VD: EXEC SP_ADDROLEMEMBER 'QUANLY', 'IN410501' d/ Xóa người dùng với nhóm quyền EXEC SP_DROPROLEMEMBER TÊN_ROLE , TÊN_USER’ VD: EXEC SP_DROPROLEMEMBER 'QUANLY', 'IN410501' Biên soạn: Nguyễn Thị Mỹ Dung 16 Biên soạn: Nguyễn Thị Mỹ Dung 17 Cấp quyền (Permission) a/ Gán quyền GRANT {ALL | PERMISSION} ON TABLE [(COLUMN [, N])] TO { USER | ROLE [, N] } [ WITH GRANT OPTION ] with grant option : phép gán lại quyền mà có cho người khác VD1: GRANT SELECT ON DETAI TO QUANLY Biên soạn: Nguyễn Thị Mỹ Dung 18 VD2: GRANT SELECT INSERT | UPDATE | DELETE | REFERENCES | EXECUTE ON SINHVIEN DETAI | SV_DT TO IN410501 PUBLIC| MDUNG | sa Biên soạn: Nguyễn Thị Mỹ Dung 19 b/ Xóa quyền hạn REVOKE [Grant Option For] {ALL| PERMISSION} ON TABLE[ (COLUMN [, N])] TO { USER | ROLE [, N] } [ CASCADE ] - grant option for : bỏ tính cấp lại quyền cho người khác (quyền giữ lại) - cascade: bỏ tất quyền (ở kế thừa) VD: REVOKE SELECT ON SINHVIEN TO IN410501 REVOKE CREATE TABLE FROM MDUNG Biên soạn: Nguyễn Thị Mỹ Dung 20 Thay đổi mật SP_PASSWORD [ @old = ] [ , @new = ] [ , @LoginName = ] VD: Thay đổi mật ‘USER01’ từ ‘01’ thành ‘SS’ SP_PASSWORD '01','SS','USER01' Biên soạn: Nguyễn Thị Mỹ Dung 21 Cấp quyền truy xuất CSDL cho Login: Sp_GrantDBAccess [ @loginname = ] 'Têndangnhap' [ [, @name_in_db = ] 'TênUser' ] VD: Use QLDeTai Go sp_GrantDBAccess 'user01', 'Anh' Biên soạn: Nguyễn Thị Mỹ Dung 22 Sinh viên tự học Biên soạn: Nguyễn Thị Mỹ Dung 23 - Tổng quan bảo mật - Các khái niệm liên quan phân quyền bảo mật - Kế hoạch phân quyền: + Tạo Login + Tạo User + Tạo Role + Thay đổi mật login user + Cấp phát/thu hồi quyền truy cập CSDL cho user Biên soạn: Nguyễn Thị Mỹ Dung 24 .. .Chương 1: Tổng quan SQL Server (LT: 2) Chương 2: Tạo quản trị CSDL (LT: 6; TH: 6) Chương 3: Transact -SQL truy vấn liệu (LT: 6: TH: 8) Chương 4: Lập trình với Transact -SQL (LT: 4: TH: 4) Chương. .. đối tượng sở liệu - Đặc quyền (Privileges): Là tập thao tác cấp phát cho người dùng đối tượng sở liệu Biên soạn: Nguyễn Thị Mỹ Dung 1/ Login user SQL Server cho phép truy nhập vào hệ thống thơng... ''user01'', ''Anh'' Biên soạn: Nguyễn Thị Mỹ Dung 22 Sinh viên tự học Biên soạn: Nguyễn Thị Mỹ Dung 23 - Tổng quan bảo mật - Các khái niệm liên quan phân quyền bảo mật - Kế hoạch phân quyền: + Tạo