Глава 1.6 Управление пользователями баз данных

ГЛАВА 1
Технологии администрирования баз данных

1.6
Управление пользователями баз данных

Удобным механизмом получения информации о пользователях текущей БД является системная хранимая процедура sp_helpuser (рис. 1.7):

Рис. 1.7. Результат выполнения системной процедуры sp_helpuser

Для первого пользователя указана только часть идентификатора безопасности SID, так как размер страницы не позволил вместить его весь.
CREATE USER добавляет нового пользователя в текущую БД. Далее приведены несколько типов пользователей.
Типы пользователей:
1) пользователи на основе имен входа в БД master — наиболее распространенный тип пользователя. Пользователь с именем входа для проверки подлинности SQL Server:

CREATE USER Mary;

2) пользователи, которые проходят проверку подлинности SQL Server. Проверка рекомендуется для того, чтобы повысить переносимость БД. Допускается только в автономной БД в SQL Server.

CREATE USER Mary WITH PASSWORD='********';
DROP USER — удаляет пользователя из БД.
DROP USER user_name;

Здесь user_name указывает имя, по которому пользователь идентифицируется в этой БД.

Пользователи, которые владеют защищаемыми объектами, не могут быть удалены из БД. Перед удалением пользователя, который владеет защищаемым объектом, необходимо удалить или сменить владельца защищаемого объекта.

Пользователь Guest не может быть удален, однако его можно отключить, отменив разрешение CONNECT с помощью инструкции REVOKE CONNECT FROM GUEST в любой БД, кроме master или tempdb.
Инструкция CREATE ROLE создает новую роль БД в текущей БД:

CREATE ROLE имя_роли [AUTHORIZATION имя_владельца]

где имя_ роли — имя создаваемой роли; AUTHORIZATION имя_владельца — пользователь (или роль) БД, который станет владельцем новой роли.
Если пользователь не указан, владельцем роли станет пользователь, выполнивший инструкцию CREATE ROLE.

Роли — сущности, защищаемые на уровне БД.

После создания роли необходимо настроить для нее разрешения уровня БД с помощью инструкций GRANT, DENY и REVOKE. Чтобы добавить членов роли БД, используется команда ALTER ROLE (Transact-SQL).
Роли БД видны в представлениях каталога sys.database_role_members и sys.database_principals.
Для передачи роли во владение другому пользователю необходимо связанное с этим пользователем разрешение IMPERSONATE.
Для передачи роли во владение другой роли необходимо членство в роли-получателе или связанное с этой ролью разрешение ALTER.
Для передачи роли во владение роли приложения необходимо связанное с прикладной ролью разрешение ALTER.
В примере, приведенном далее, показано создание роли БД buyers, принадлежащей пользователю BenMiller.

USE AdventureWorks2014;
CREATE ROLE buyers AUTHORIZATION BenMiller;
GO

Следующий пример создает роль БД auditors, принадлежащую предопределенной роли БД db_securityadmin.

USE AdventureWorks2014;
CREATE ROLE auditors AUTHORIZATION db_securityadmin;
GO

Следующий пример создает роль БД buyers, принадлежащую пользователю BenMiller.

USE AdventureWorks2014;
CREATE ROLE buyers AUTHORIZATION BenMiller;
GO

Еще один пример создает роль БД auditors, принадлежащую предопределенной роли БД db_securityadmin.

USE AdventureWorks2014;
CREATE ROLE auditors AUTHORIZATION db_securityadmin;
GO

Первоначально роль является пустой, т. е. не имеющей ни одной привилегии. Включение привилегий в роль производится командой GRANT. Роли могут создавать администратор и те пользователи, которым такое право предоставил администратор. Тот, кто создал роль, или тот, кто явно указан при определении роли (стандарт SQL), обладает правами ее администрирования, т. е. может:

предоставлять роль другому пользователю или роли;
аннулировать роль для другого пользователя или роли;
изменять определение роли, например, в целях изменения авторизации доступа к ней;
удалять роль.

Как и любой другой объект БД, определение роли можно изменять с помощью команды ALTER ROLE и удалять с помощью команды DROP ROLE:

DROP ROLE имя_роли

Предоставление привилегий производится двумя предложениями. Одно предоставляет привилегии на объекты БД, а другое — на роли.
Предоставление привилегий на объекты производится следующим предложением:

GRANT {ALL PRIVILEGES | список_привилегий} ON объект
ТО {PUBLIC | {пользователь | роль}...}
[WITH HIERARCHY OPTION]
[WITH GRANT OPTION]
[GRANTED BY {CURRENT_USER | CURRENT_ROLE}]

К множеству объектов, для которых определяются привилегии, относят:

таблицы и представления БД;
домены, на которых определяются типы столбцов;
определяемые типы данных;
последовательности;
программы, вызываемые из SQL.

Список привилегий, предоставляемых для работы с объектами БД, включает в себя:

использование предложения SELECT ко всей таблице или только к отдельным ее столбцам;
использование предложения DELETE;
использование предложения INSERT ко всей таблице или только к отдельным ее столбцам. В этом случае одни пользователи могут вводить строки таблицы только со значениями отдельных столбцов, а другие — затем обновить значения других столбцов;
использование предложения UPDATE ко всей таблице или только к отдельным ее столбцам;
ссылки на таблицы или их столбцы любым способом — привилегия REFERENCES, которая позволяет ссылаться на столбцы во внешнем ключе или при задании ограничения целостности CHECK;
использование некоторых из объектов БД способом, отличающимся от описанных ранее, — привилегия USAGE. Если пользователь получит такую привилегию по отношению, например, к домену, он может использовать его для указания типа столбца определяемой таблицы. В противном случае он этого сделать не может;
инициирование триггеров из указанной таблицы — привилегия TRIGGER;
выполнение программы, вызываемой из SQL, — привилегия EXECUTE.

Дополнительные фразы предложения GRANT означают следующее:

WITH HIERARCHY OPTION — передает права указанного объекта всем его подобъектам. Она имеет смысл только для привилегии SELECT, предоставленной объекту в иерархической структуре объектов (иерархическая структура наследования в объектно-ориентированном SQL). В этом случае специфицируемая привилегия распространяется на все производные объекты того объекта, относительно которого специфицировано это полномочие;
WITH GRANT OPTION — означает, что указанному пользователю не только предоставляются специфицированные привилегии, но и права предоставлять эти привилегии другим пользователям;
GRANTED BY — указывает, кто именно передает полномочия; могут быть указаны либо текущий пользователь, либо текущая роль.

Несколько примеров:

GRANT SELECT, UPDATE (Salary. Rise) ON Teacher TO Kostya;
GRANT ALL PRIVILEGES ON Room TO Jones WITH GRANT OPTION;
GRANT SELECT ON Faculty TO Public;
DELETE UPDATE ON Subject TO Ivanov, Petrov;
GRANT REFERENCES (DepPK). UPDATE (Name. Head, Building) ON
Depatment TO Blake;

Предоставление привилегий на роли задается следующим предложением:

GRANT список_ролей
ТО {PUBLIC | {пользователь | роль}...}
[WITH ADMIN OPTION]
[GRANTED BY {CURRENT_USER | CURRENT_ROLE}]

Предоставление роли имеет три варианта:
1) PUBLIC — все имеющиеся в указанных ролях привилегии оказываются доступными всем пользователям;
2) пользователь — получает все привилегии, которые имеются в указанных ролях;
3) роль — получает дополнительно все привилегии указанных ролей.

Фраза WITH ADMIN OPTION указывает, что вторая роль приобретает все права по администрированию первой роли (т. е. предоставлять или отменять ее другим ролям или пользователям, изменять список ее полномочий или даже вообще удалять эту роль). Фраза GRANTED BY имеет тот же смысл, что и в предыдущем предложении.
Роль — единственный системный объект, на который можно предоставлять пользователям привилегии по их использованию:

GRANT SpecialRole TO Smith;

Здесь пользователь Smith получает все полномочия, имеющиеся в роли Special Role;

GRANT Special Role TO AccountGroupRole;

Здесь вторая роль получает все те привилегии, которые имеются в первой роли;

GRANT SpecialRole TO Public;

Все пользователи получают полномочия роли Special Role.
Для получения информации о ролях БД можно применять системную хранимую процедуру sp_helprole:

USE AdventureWorks2014;
EXEC sp_helprole

Будет возвращен результат, показанный на рис. 1.8.

Рис. 1.8. Результат выполнения процедуры sp_helprole

Как видно, процедура выводит сведения об имени роли, ее идентификаторе и флаг, говорящий о том, является ли соответствующая роль ролью приложения.
Получение информации о членстве во всех ролях текущей БД осуществляется следующим образом:

USE AdventureWorks2014;
EXEC sp_helprolemember

Будет получен результат, показанный на рис. 1.9.

Рис. 1.9. Результат выполнения процедуры sp_helprolemember

Получив набор прав, пользователь сможет выполнять разрешенные действия. Но в некоторых случаях бывает необходимо запретить ему выполнять некоторые операции в БД.
В качестве иллюстрации использования хранимой процедуры sp_helprotect получим сведения о правах доступа пользователей к таблице authors:

USE AdventureWorks2014;
EXEC sp_helprotect

Будет получен результат, показанный на рис. 1.10.

Рис. 1.10. Результат выполнения процедуры sp_ helprotect

Информация выводится в нескольких столбцах:

Owner — в этом столбце указывается имя текущего владельца объекта;
Objects — имя объекта, о котором выводится информация;
Grantee — имя пользователя или роли, которым выдано разрешение на доступ к соответствующему объекту;
Grantor — имя пользователя или роли БД, который предоставил другому пользователю соответствующее право доступа;
Protect Type — тип разрешения, выданного пользователю;
Action — тип действия, которое разрешено выполнять пользователю;
Column — если разрешение выдано для определенного столбца таблицы, то будет выведено имя этого столбца. Если разрешение выдано для всех столбцов, то будет указано [All + New].

Пользователь, создавший таблицу (а для этого он должен иметь такое право), является владельцем этой таблицы. Это означает, что он имеет абсолютно все права на эту таблицу, на внешнюю память, вплоть до передачи прав на нее другим пользователям.
Пользователь, создавший представление, становится его владельцем. Но не все привилегии по отношению к нему он получает автоматически. Для создания представления необходимо иметь привилегию SELECT ко всем таблицам. Таким образом, владелец представления получает такую привилегию автоматически. Все другие привилегии он может получить посредством явного предоставления таковых по отношению ко всем базовым таблицам представления.

Отмена ранее переданных привилегий производится командой REVOKE. В стандарте SQL имеется две разновидности этой команды: для отмены полномочий на объекты и отмены роли. Первая разновидность команды REVOKE имеет следующий синтаксис:

REVOKE [{GRANT | HIERARCHY} OPTION FOR] {ALL PRIVILEGES | список_привилегий} ON объект FROM {PUBLIC | {пользователь | роль}...} [GRANTED BY {CURRENT_USER | CURRENT_ROLE}] {CASCADE | RESTRICT}

Это предложение имеет структуру, аналогичную структуре предложения GRANT: оно содержит набор отменяемых привилегий, объект, относительно которого отменяются привилегии, и пользователей, у которых отменяются привилегии. С помощью этой команды можно отменить все ранее предоставленные привилегии или только некоторые. Фраза HIERARCHY OPTION FOR отменяет ту разновидность привилегии, которая предоставляется предложением GRANT с использованием фразы WITH HIERARCHY OPTION. Фраза GRANTED BY имеет тот же смысл, что и в предложении GRANT.
Любой пользователь может отменять только те привилегии, которые он ранее передавал, но не может отменить полномочия, которыми обладает сам.
Многие пользователи могут предоставить одну и ту же привилегию на объект одному и тому же пользователю (или роли). Для аннулирования у пользователя такой привилегии необходимо, чтобы ее отменили все пользователи, которые ее ранее передали. Если хотя бы один из пользователей не отзовет такую привилегию, то ее получатель будет ею обладать.
Например, пользователь Dep_Head предоставил пользователю Andrew полномочия выбирать данные из таблицы Teacher, а также выбирать и обновлять таблицу Sgroup:

GRANT SELECT, UPDATE ON Sgroup TO Andrew;
GRANT SELECT ON Teacher TO Andrew;

После этого еще один пользователь, Dep_Deputy, предоставил Andrew возможность выбирать и удалять данные из таблицы Subject и выбирать данные из таблицы Subject:

GRANT SELECT, DELETE ON Sgroup TO Andrew;
GRANT SELECT ON Subject TO Andrew;

Andrew получил привилегии на таблицу Sgroup от двух лиц, причем привилегия SELECT получена от обоих пользователей. Чуть позже пользователь Dep_ Head решил отменить все ранее переданные им привилегии пользователю Andrew. В связи с этим он инициирует следующее предложение:

REVOKE ALL PRIVILEGES ON Sgroup FROM Andrew;

В связи с этим Andrew лишился права обновлять таблицу Sgroup, однако выбирать из нее данные и удалять их он все же может, так как такое право у него осталось от пользователя Dep_Deputy.
Возможность передавать привилегии вместе с правами на передачу их другим приводит к возможности порождения целой цепочки порожденных привилегий. Например, пользователь Chief передал Andrew привилегию UPDATE на таблицу Faculty с правом передавать ее (привилегию) другим пользователям (WITH GRANT OPTION). Воспользовавшись этим правом, Andrew передал пользователю Valery ту же привилегию на Faculty с тем же правом передавать ее другим пользователям.
В связи с этим возникает следующий вопрос: как поступить в этом случае, если у пользователя Andrew забирается право обновлять таблицу Faculty? Для ответа на этот вопрос в язык SQL включены два альтернативных ключевых слова: CASCADE и RESTRICT. Первое из них означает, что помимо отмены привилегии у Andrew также следует отменить эту же привилегию у Valery и т. д. Второе ключевое слово означает, что нельзя будет отменить привилегию у Andrew, если он уже передал ее другому пользователю. В этом случае необходимо, чтобы сначала Andrew отменил эту привилегию у Valery, и только после этого ее можно будет отменить у Andrew.
Очевидно, если пользователь лишается тех или иных привилегий, он также лишается прав передачи их другим, если они у него имелись. Язык SQL позволяет отменять права предоставления привилегий, сохраняя при этом право пользоваться самими привилегиями. Пусть, например, пользователю Andrew были предоставлены следующие привилегии с правом передачи их другим:

GRANT SELECT, UPDATE, DELETE ON Sgroup TO Andrew WITH GRANT OPTION;

он также лишается прав передавать их другим. Однако можно следующим образом забрать у Andrew права передачи этих привилегий другим, оставляя возможность ими пользоваться:

REVOKE GRANT OPTION FOR SELECT, UPDATE, DELETE ON Sgroup FROM Andrew;

После этого у Andrew все же сохранились права по передаче привилегии SELECT другим пользователям.
Отмена ролей производится следующей командой:

REVOKE [ADMIN OPTION FOR] список_ролей FROM {PUBLIC | {пользователь | роль}...} [GRANTED BY {CURRENT_USER | CURRENT_ROLE}] {CASCADE | RESTRICT}

Фраза GRANTED BY имеет тот же смысл, что и в предложении GRANT. Роль может быть аннулирована у пользователя или другой роли. При отмене роли у пользователя он теряет те привилегии, которые имеются у этой роли. При отмене роли у другой роли вторая роль теряет те привилегии, которые имеются у первой роли.
При отмене роли у PUBLIC привилегии забираются у тех пользователей, которым они были предоставлены с помощью PUBLIC.
Фраза ADMIN OPTION FOR указывает, что у пользователя забираются права администрирования указанной ролью, однако ее привилегии за ним остаются. Альтернативные ключевые слова CASCADE и RESTRICT указывают, как поступать со ссылочным ограничением целостности, если его существование было разрешено привилегией REFERENCES, которая отменяется предложением REVOKE. В этом случае CASCADE означает, что все такие ссылочные целостности должны быть также удалены. В свою очередь, RESTRICT указывает, что привилегию REFERENCES нельзя отменить до тех пор, пока согласно ее существованию имеется ссылочная целостность. Далее приведены примеры отмены ролей.

REVOKE SpecialRole FROM Smith;
REVOKE SpecialRole FROM AccountGroupRole;
REVOKE SpecialRole FROM Public;

Привилегии можно определить и используя представления. Каждый раз, когда предоставляются привилегии относительно базовой таблицы, они автоматически распространяются на все строки и столбцы. Если же создать представление, а затем задать привилегии относительно него, то область действия привилегий ограничивается только теми столбцами и строками, которые видны через представление. Это значительно усиливает возможности команды GRANT.

Чтобы иметь возможность выбора данных из представления, необходимо иметь право выбора данных из всех тех базовых таблиц и (или) представлений, на которых данное представление определено. Если представление модифицируемо, любая привилегия INSERT, UPDATE и DELETE, которую имеет пользователь в базовых таблицах, будет автоматически передаваться представлению. Если пользователь не обладает привилегиями на модификацию в базовых таблицах, то не сможет иметь их и в представлениях, которые создал, даже если они модифицируемые.
Так как внешние ключи не определяются относительно представлений, полномочие REFERENCES никогда не используется при создании представления. Предполагается, что владельцы приводимых представлений имеют соответствующие привилегии во всех базовых таблицах.
Для того чтобы дать пользователю John право видеть только столбцы Name, Head, Building таблицы Department, можно создать представление на этих столбцах:

CREATE VIEW DepForJohn AS
SELECT Name, Head, Building FROM Department;

и предоставить ему привилегию SELECT относительно этого представления:

GRANT SELECT ON DepForJohn TO John;

Привилегию SELECT можно указывать в предложении GRANT вместе со списком столбцов, которые разрешается выбирать. Приведенное ранее решение для ограничения доступа по столбцам с использованием представления можно представить и без него следующим образом:

GRANT SELECT (Name, Head, Building) ON DepForJohn TO John;

Представления оказываются незаменимыми для ограничения действий привилегий на определенные строки базовой таблицы. Для этого определяется представление, содержащее необходимые строки, и относительно него специфицируется привилегия. Например, чтобы предоставить Andrew привилегию обновления только тех строк таблицы Department, которые относятся к факультету информатики, нужно создать следующее представление:

CREATE VIEW DepFromCS AS

SELECT*FROM Department

WHERE FacFK IN (SELECT FacPK FROM Faculty

WHERE LOWER(Name)=‘информатика’) WITH CHECK OPTION;

Затем предоставить пользователю Andrew полномочие UPDATE относительно этого представления:

GRANT UPDATE ON DepFromCS TO Andrew;

Фраза WITH CHECK OPTION в определении представления предохраняет Andrew от изменения столбца FacFK на любое другое значение, которое не является номером факультета информатики.

В некоторых случаях отдельные значения, хранимые в БД, могут носить конфиденциальный характер, и поэтому следует ограничивать к ним доступ. Однако обобщающие данные, базирующиеся на этих значениях, могут быть доступны. С помощью представлений эта проблема разрешима.

Например, если сведения о ставке и надбавке конкретных служащих относятся именно к таким данным, к ним не предоставляются никакие права доступа. Поскольку агрегированные сведения о заработной плате являются обезличенными, их можно делать доступными и в связи с этим определить такое представление:

CREATE VIEW AggregateSal SELECT Sum(Salary), SUM(Rise) FROM Teacher;

Теперь по отношению к этому представлению можно предоставлять привилегии по чтению, например:

GRANT SELECT ON AggregateSal TO PUBLIC;

предыдущая страница

1.5 Права на доступ к объектам базы данных

следующая страница

1.7 Создание схемы базы данных