Chapter 2 User Authentication, Authorization, and Security（5）：使用固定服务器角色，authentication

原文出处：http://blog.csdn.net/dba_huangzj/article/details/38844999，专题目录：http://blog.csdn.net/dba_huangzj/article/details/37906349

未经作者同意，任何人不得以“原创”形式发布，也不得已用于商业用途，本人不负责任何法律责任。

        前一篇：http://blog.csdn.net/dba_huangzj/article/details/38817915

 

前言：

 

登录帐号允许你连到SQL Server，并且如果有数据库用户映射到这个帐号，那么这个帐号也可以访问对应的数据库。默认情况下，他们没有服务器层面的管理操作权。固定服务器角色允许你简化授权和回收权限的操作。

 

实现：

 

1. 打开登录属性框，然后选择【服务器角色】页：

会看到有下面的服务器角色：

 

它们的功能说明如下：

角色名	描述
bulkadminbulkadmin	固定服务器角色的成员可以运行 BULK INSERT 语句。
dbcreator	固定服务器角色的成员可以创建、更改、删除和还原任何数据库。
diskadmin	固定服务器角色的成员可以管理磁盘文件。
processadmin	固定服务器角色的成员可以终止在数据库引擎实例中运行的进程。
public	默认情况下，所有 SQL Server 用户、组和角色都属于 public 固定服务器角色。
securityadmin	固定服务器角色的成员可以管理登录名及其属性。 他们可以 GRANT、DENY 和 REVOKE 服务器级别的权限。 他们还可以 GRANT、DENY 和 REVOKE 数据库级别的权限。 此外，他们还可以重置 SQL Server 登录名的密码。
serveradmin	固定服务器角色的成员可以更改服务器范围的配置选项和关闭服务器。
setupadmin	固定服务器角色成员可以添加和删除链接服务器，并可以执行某些系统存储过程。
sysadmin	固定服务器角色的成员可以在数据库引擎中执行任何活动。

 

2. 可以用下面语句添加服务器角色成员：

ALTER SERVER ROLE <role_name> ADD MEMBER <login>;

 

3. 可以使用下面语句查看角色成员：

 

SELECT  role.name AS role , 
        role.is_fixed_role , 
        login.name AS login 
FROM    sys.server_role_members srm 
        JOIN sys.server_principals role ON srm.role_principal_id = role.principal_id 
        JOIN sys.server_principals login ON srm.member_principal_id = login.principal_id;

原理：

 

通过添加成员到服务器角色中，可以使用里面的预设管理权限。其中public角色，从2005引入，每个登录帐号自动添加到这个角色中，不能移除这个角色及其成员。与其他固定服务器角色不同，你可以修改public的权限，从而“初始化”所有帐号的默认权限，用下面语句可以查看public的角色权限：

 

SELECT permission_name, state_desc, SUSER_NAME(grantor_principal_id) 
grantor 
FROM sys.server_permissions 
WHERE grantee_principal_id = SUSER_ID('public');

下一篇：http://blog.csdn.net/dba_huangzj/article/details/38867489

置RADIUS服务器

找到一篇关于在Linux上搭建RADIUS服务器的文章

请笑纳:

Linux上构建一个RADIUS服务器详解

为一名网络管理员，您需要为您所需管理的每个网络设备存放用于管理的用户信息。但是网络设备通常只支持有限的用户管理功能。学习如何使用Linux上的一个外部RADIUS服务器来验证用户，具体来说是通过一个LDAP服务器进行验证，可以集中放置存储在LDAP服务器上并且由RADIUS服务器进行验证的用户信息，从而既可以减少用户管理上的管理开销，又可以使远程登录过程更加安全。

数据安全作为现代系统中网络安全的一部分，与系统安全一样的重要，所以保护数据--确保提供机密性、完整性和可用性--对管理员来说至关重要。

在本文中，我将谈到数据安全性的机密性方面：确保受保护的数据只能被授权用户或系统访问。您将学习如何在Linux系统上建立和配置一个Remote Authentication Dial-In User Service 服务器（RADIUS），以执行对用户的验证、授权和记帐（AAA）。

各组成元素介绍

首先让我们谈一谈RADIUS协议、AAA组件以及它们如何工作，另外还有LDAP协议。

Remote Authentication Dial-In User Service 协议是在IET的RFC 2865中定义的（请参阅参考资料获得相关链接）。它允许网络访问服务器（NAS）执行对用户的验证、授权和记帐。RADIUS是基于UDP的一种客户机/服务器协议。RADIUS客户机是网络访问服务器，它通常是一个路由器、交换机或无线访问点（访问点是网络上专门配置的节点；WAP是无线版本）。RADIUS服务器通常是在UNIX或Windows 2000服务器上运行的一个监护程序。

RADIUS和AAA

如果NAS收到用户连接请求，它会将它们传递到指定的RADIUS服务器，后者对用户进行验证，并将用户的配置信息返回给NAS。然后，NAS接受或拒绝连接请求。

功能完整的RADIUS服务器可以支持很多不同的用户验证机制，除了LDAP以外，还包括：

PAP（Password Authentication Protocol，密码验证协议，与PPP一起使用，在此机制下，密码以明文形式被发送到客户机进行比较）；

CHAP（Challenge Handshake Authentication Protocol，挑战握手验证协议，比PAP更安全，它同时使用用户名和密码）；

本地UNIX/Linux系统密码数据库（/etc/passwd）；

其他本地数据库。

在RADIUS中，验证和授权是组合在一起的。如果发现了用户名，并且密码正确，那么RADIUS服务器将返回一个Access-Accept响应，其中包括一些参数（属性-值对），以保证对该用户的访问。这些参数是在RADIUS中配置的，包括访问类型、协议类型、用户指定该用户的IP地址以及一个访问控制列表（ACL）或要在NAS上应用的静态路由，另外还有其他一些值。

RADIUS记帐特性（在RFC 2866中定义；请参阅参考资料获得相关链接）允许在连接会话的开始和结束发送数据，表明在会话期间使用的可能用于安全或开单（billing）需要的大量资源--例如时间、包和字节。

轻量级目录访问协议

轻量级目录访问协议（Lightweight Directory Access Protocol，LDAP）是一种开放标准，它定义了用于访问和更新类X.500 目录中......余下全文>>
 

VMware Authorization Service 服务因 6000002 服务性错误而停止。本条错误涉及到的WIN应用程序LOG错误有：1.Failed to retrieve token for VMware user: 登录失败: 未授予用户在此计算机上的请求登录类型。 (1385) 2.Failed to retrieve token for VMware user: 登录失败: 禁用当前的帐户。 (1331) 3.Could not choose a '__vmware_user__' password long enough (min length 0). Aborting.
首先，在启动VM虚拟机的时候，有时我们会碰到The VMware Authorization Service is not running.。错误，导致虚拟机无法启动，实际上意思就是说在WINDOWS下的相关VM服务进程VMware Authorization ServiceAuthorization and authentication service for starting and accessing virtual machines没有打开，而这个时候，很有可能就是因为各种原因导致VM的此服务无法启动。一般情况下，在手动启动时，会报出如：VMware Authorization Service 服务因 6000002 服务性错误而停止。 类型的错误。同时，在这个错误出现后系统会在事件查看器的应用程序中生成相关无法启动的具体原因，如引言，一般常见的为此三种情况：1.Failed to retrieve token for VMware user: 登录失败: 未授予用户在此计算机上的请求登录类型。 (1385) 此类情况一般由于组策略造成，可以在开始，运行处输入GPEDIT.MSC,然后进入“计算机配置”，“WINDOWS设置”，“安全设置”，“本地策略”，“用户权利指派”在此处右部明细窗口内找到在 本地登陆 策略中加入__vmware_user__用户或相关用户组，并在 拒绝本地登陆 策略中，删除__vmware_user__或相关用户组。修改完毕后，服务可正常启动。2.Failed to retrieve token for VMware user: 登录失败: 禁用当前的帐户。 (1331) 如果系统记录中出现此类错误记录，__vmware_user__已经被禁用，在用户管理中解除__vmware_user__用户禁用即可。3.Could not choose a '__vmware_user__' password long enough (min length 0). Aborting.此类错误表示可能已经将__vmware_user__用户删除，在用户管理栏下新建立用户 __vmware_user__即可。需要说明的是用户建立后为了操作系统的安全应设置比较复杂的密码，并在组策略处 拒绝从网络访问这台计算机策略中添加 __vmware_user__ 用户。防止系统被其他人非法进入。