热门标签 | HotTags
当前位置:  开发笔记 > 数据库 > 正文

SQLServer2012的ContainedDatabase认证

SQLServer将认证和授权分散给了不同的对象来完成。SQLServer的登录名用于认证,连接SQLServer的Windows账号或账号所在的组必须在SQLServer中有对应的登录名才能成功登录到SQLServer上。而每个数据库中的用户被授予了操作数据库中对象的相应权限。登录名

SQL Server将认证和授权分散给了不同的对象来完成。SQL Server的登录名用于认证,连接SQL Server的Windows账号或账号所在的组必须在SQL Server中有对应的登录名才能成功登录到SQL Server上。而每个数据库中的用户被授予了操作数据库中对象的相应权限。登录名

SQL Server将认证和授权分散给了不同的对象来完成。SQL Server的“登录名”用于认证,连接SQL Server的Windows账号或账号所在的组必须在SQL Server中有对应的登录名才能成功登录到SQL Server上。而每个中的“用户”被授予了操作中对象的相应权限。登录名和用户之间通过SID联系起来。每个登录名在master数据库中都记录有该登录名所对应的SID。而在用户数据库中,用户名也会和某个SID对应起来。通过SID的连接,登录名被映射到了数据库用户上,于是登录SQL Server的Windows账号也获得了操作数据库的相应权限。

今天看来这个机制带来了如下两个问题:

1. 提高了高可用解决方案的维护成本。举例来说,对于一个启用了数据库镜像的系统,如果你在主体上添加了新的登录名来访问镜像数据库的话,你必须在镜像上也添加相同的登录名,否则一旦发生了故障转移,数据库就无法使用新的登录名进行访问。另外,在镜像服务器上添加登录名时要确保和主体服务器上的登录名使用相同的SID。否则就会破坏登录名到数据库用户之间的对应关系,成为所谓的孤立用户。

2. 增加了迁移应用的复杂程度。应用程序所需要的数据都保存在用户数据库中,但是当你需要将应用从开发坏境迁移到生产环境,或者从老的服务器迁移到新的服务器上的时候,你不能仅仅简单的迁移用户数据库和程序。因为还有一部分和应用相关的数据遗漏在用户数据库之外,其中包括登录名。在迁移应用的时候,登录名需要被单独的从老的环境中提取出来,再部署到新环境上。

为了解决这样的问题,SQL Server 2012引入了新的特性,叫做Contained Database认证。Contained Database认证主要是由两类对象构成整个认证体系,一个叫做Contained Database。另一个是创建在Contained Database中的用户对象,被称为Contained database user。Contained database,顾名思义,就是将应用所需要的所有信息全部“包含”在用户数据库内部,不遗漏在系统数据库中。当应用程序连接contained database的时候,它不需要通过记录在master数据库中的登录名然后再映射到数据库用户,而是直接在contained database上进行验证,然后获得对应的contained database user被授予的权限进行数据库操作。可以说Contained database user就是一个把传统的登录名和数据库用户名的功能揉在一起的一种新的对象类型。有个Contained Database认证,上面谈到的两个问题就能很简单的得到解决。

Contained Database认证并不是独立于传统的Windows认证和SQL认证之外的新的认证方式,而是建立在这两种认证方式之上的新功能。也就是说,登录到SQL Server的账号依旧需要通过Windows认证或SQL Server认证的机制来验明正身,只是一旦验证通过该账号就会直接被转换成一个数据库用户。因此你根本不需要在实例中为该账户建立任何对应的登录名。

你可以通过以下步骤来启用Contained Database。

1. 使用SQL Server Management Studio,从实例的属性中将Enabled Contained Databases选为True。这样就启用例了Contained database功能。

2. 你可以创建一个新的Contained Database,也可以将一个现有的数据库更改为Contained database。

(1) 要创建一个Contained Database,只需要在创建数据库的对话框中将Containment Type选为Partial。

(2) 要将一个数据库更改为Contained database,首先你需要在数据库的属性页中将Containment Type改为Partial(类似于创建一个Contained Database)。其次你要将数据库用户转换为Contained database user,并且需要将数据库用户对应的登录名都禁用掉。你可以使用一下脚本很方便的禁用这些登录名

DECLARE @username sysname ;

DECLARE user_cursor CURSOR

FOR

SELECT dp.name

FROM sys.database_principals AS dp

JOIN sys.server_principals AS sp

ON dp.sid = sp.sid

WHERE dp.authentication_type = 1 AND sp.is_disabled = 0;

OPEN user_cursor

FETCH NEXT FROM user_cursor INTO @username

WHILE @@FETCH_STATUS = 0

BEGIN

EXECUTE sp_migrate_user_to_contained

@username = @username,

@rename = N'keep_name',

@disablelogin = N'disable_login';

FETCH NEXT FROM user_cursor INTO @username

END

CLOSE user_cursor ;

DEALLOCATE user_cursor ;

3. 要创建一个Contained database user,你可以通过SQL Server Management Studio来完成。只需要将User type设置为SQL User this Password或者Windows user即可。

Contained Database除了能够使得认证过程“跳过”登录名这个对象之外,还带来了一些其他的好处。比如说,使用了Contained Database,你就不用担心数据库的collation和系统数据库的collation不一致的问题了。当你对于Contained database进行的SQL操作时,如果产生了临时表的话,临时表的collation全部是和Contained database的collation一致,而不是和tempdb一致。另外,Contained database还引入了一个新的概念叫做 Catalog collation,并且所有的Contained database都使用同一种Catalog Collation - Latin1_General_100_CI_AS_WS_KS_SC。这种catalog collation被用于Contained database中各种对象的元数据,也能带来很多的便利,这里碍于篇幅就不具体展开了。

推荐阅读
  • 云计算的优势与应用场景
    本文详细探讨了云计算为企业和个人带来的多种优势,包括成本节约、安全性提升、灵活性增强等。同时介绍了云计算的五大核心特点,并结合实际案例进行分析。 ... [详细]
  • 本文探讨了使用C#在SQL Server和Access数据库中批量插入多条数据的性能差异。通过具体代码示例,详细分析了两种数据库的执行效率,并提供了优化建议。 ... [详细]
  • 如何将本地Docker镜像推送到阿里云容器镜像服务
    本文详细介绍将本地Docker镜像上传至阿里云容器镜像服务的步骤,包括登录、查看镜像列表、推送镜像以及确认上传结果。通过本文,您将掌握如何高效地管理Docker镜像并将其存储在阿里云的镜像仓库中。 ... [详细]
  • 阿里云ecs怎么配置php环境,阿里云ecs配置选择 ... [详细]
  • 本文介绍了如何利用 Spring Boot 和 Groovy 构建一个灵活且可扩展的动态计算引擎,以满足钱包应用中类似余额宝功能的推广需求。我们将探讨不同的设计方案,并最终选择最适合的技术栈来实现这一目标。 ... [详细]
  • Windows 7 64位系统下Redis的安装与PHP Redis扩展配置
    本文详细介绍了在Windows 7 64位操作系统中安装Redis以及配置PHP Redis扩展的方法,包括下载、安装和基本使用步骤。适合对Redis和PHP集成感兴趣的开发人员参考。 ... [详细]
  • 本文介绍了数据库体系的基础知识,涵盖关系型数据库(如MySQL)和非关系型数据库(如MongoDB)的基本操作及高级功能。通过三个阶段的学习路径——基础、优化和部署,帮助读者全面掌握数据库的使用和管理。 ... [详细]
  • 本文详细介绍了如何在不同操作系统和设备上设置和配置网络连接的IP地址,涵盖静态和动态IP地址的设置方法。同时,提供了关于路由器和机顶盒等设备的IP配置指南。 ... [详细]
  • 福克斯新闻数据库配置失误导致1300万条敏感记录泄露
    由于数据库配置错误,福克斯新闻暴露了一个58GB的未受保护数据库,其中包含约1300万条网络内容管理记录。任何互联网用户都可以访问这些数据,引发了严重的安全风险。 ... [详细]
  • 本文详细介绍了优化DB2数据库性能的多种方法,涵盖统计信息更新、缓冲池调整、日志缓冲区配置、应用程序堆大小设置、排序堆参数调整、代理程序管理、锁机制优化、活动应用程序限制、页清除程序配置、I/O服务器数量设定以及编入组提交数调整等方面。通过这些技术手段,可以显著提升数据库的运行效率和响应速度。 ... [详细]
  • 本文深入探讨了SQL数据库中常见的面试问题,包括如何获取自增字段的当前值、防止SQL注入的方法、游标的作用与使用、索引的形式及其优缺点,以及事务和存储过程的概念。通过详细的解答和示例,帮助读者更好地理解和应对这些技术问题。 ... [详细]
  • 探索新一代API文档工具,告别Swagger的繁琐
    对于后端开发者而言,编写和维护API文档既繁琐又不可或缺。本文将介绍一款全新的API文档工具,帮助团队更高效地协作,简化API文档生成流程。 ... [详细]
  • 本文详细介绍了Linux系统中软链接和硬链接的概念、创建方法及其应用场景。通过实例解释了两者的区别,包括如何防止误删文件及软链接在跨文件系统时的优势。 ... [详细]
  • ZooKeeper集群脑裂问题及其解决方案
    本文深入探讨了ZooKeeper集群中可能出现的脑裂问题,分析其成因,并提供了多种有效的解决方案,确保集群在高可用性环境下的稳定运行。 ... [详细]
  • Coursera ML 机器学习
    2019独角兽企业重金招聘Python工程师标准线性回归算法计算过程CostFunction梯度下降算法多变量回归![选择特征](https:static.oschina.n ... [详细]
author-avatar
gunnerliang_851
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有