зователей операционной системы и выполняют регистрацию, исходя из
текущего идентификатора пользователя, указанного им при регистрации
в системе. Это предотвращает попытки пользователей зарегистрировать-
ся в среде СУБД под идентификатором, отличным от того, который они
использовали при регистрации в системе.
Использование паролей является наиболее распространенным мето-
дом аутентификации пользователей. Однако этот подход не дает абсо-
лютной гарантии, что данный пользователь является именно тем, за кого
себя выдает.
Как только пользователь получит право доступа к СУБД, ему могут
автоматически предоставляться различные другие
привилегии, связанные
с его идентификатором. В частности, эти привилегии могут включать
разрешение на доступ к определенным БД, таблицам, представлениям и
индексам или же право запуска различных утилит СУБД. Некоторые ти-
пы СУБД
функционируют как закрытые системы, поэтому пользовате-
лям помимо разрешения на доступ к самой СУБД потребуется иметь от-
дельные разрешения и на доступ к конкретным ее объектам. Эти разре-
шения выдаются либо АБД, либо владельцами определенных объектов
системы. В противоположность этому открытые системы по умолчанию
предоставляют авторизированным пользователям полный доступ ко всем
объектам БД. В этом случае привилегии устанавливаются посредством
явной отмены тех или иных прав конкретных пользователей. Типы при-
вилегий, которые могут быть предоставлены авторизированным субъек-
там, включают, например, право доступа к указанным БД, право выборки
данных, право создания таблиц и других объектов.
Некоторыми объектами в среде СУБД владеет сама СУБД. Обычно
это владение организуется посредством использования специального
идентификатора особого
суперпользователя – например, с именем Data-
base Administrator. Как правило, владение некоторым объектом предос-
тавляет его владельцу весь возможный набор привилегий в отношении
этого объекта. Это правило применяется ко всем авторизированным
пользователям, получающим права владения определенными объектами.
Любой вновь созданный объект автоматически передается во владение
его создателю, который и получает весь возможный набор привилегий
для данного объекта. Тем не менее, хотя пользователь может быть вла-
дельцем некоторого представления, единственной привилегией, которая
будет предоставлена ему в отношении этого объекта, может оказаться
право выборки данных из этого представления. Принадлежащие вла-
дельцу привилегии могут быть переданы им другим авторизированным
пользователям. В некоторых типах СУБД всякий раз, когда пользовате-
82
лю предоставляется определенная привилегия, дополнительно может
указываться, передается ли ему право предоставлять эту привилегию
другим пользователям (уже от имени этого пользователя). Естественно,
что в этом случае СУБД должна контролировать всю цепочку предостав-
ления привилегий пользователям с указанием того, кто именно ее пре-
доставил, что позволит поддерживать корректность всего набора уста-
новленных в системе привилегий. В частности, эта информация будет
необходима в случае отмены предоставленных ранее привилегий для ор-
ганизации каскадного распространения вносимых изменений среди це-
почки пользователей.
Если СУБД поддерживает несколько различных типов идентификато-
ров авторизации, с каждым из существующих типов могут быть связаны
различные приоритеты. В частности, если СУБД поддерживает исполь-
зование идентификаторов как отдельных пользователей, так и их групп,
то, как правило, идентификатор пользователя будет иметь более высокий
приоритет, чем идентификатор группы.
Очень важно освоить все механизмы авторизации и другие средства
защиты, предоставляемые целевой СУБД. Это особенно важно для тех
систем, в которых существуют различные типы идентификаторов и до-
пускается передача права присвоения привилегий. Это позволит кор-
ректно выбирать типы привилегий, предоставляемых отдельным пользо-
вателям, исходя из исполняемых ими обязанностей и набора используе-
мых прикладных программ.
Достарыңызбен бөлісу: