主页 / dba / 问题 / 197928
Accepted
BradC
Asked: 2018-02-15 09:36:45 +0800 CST

跨数据库权限链是否适用于 sa/dbo 拥有的对象?

  • 772

我有两个数据库,都属于sa. 两个数据库中的所有对象都在 schema 中dbo

我有一个用户需要从连接来自和的表的视图bob中进行选择。我不想向中的那些表授予直接权限,因为它们包含我不想看到的列。dbSafedbSafedbRestrictedbobdbRestrictedbob

我已经授予bob SELECT了视图和SET DB_CHAINING ON两个数据库的权限,但我仍然收到错误消息:

服务器主体“bob”无法在当前安全上下文中访问数据库“dbRestricted”。

我误解了跨数据库链接的作用吗?

如果源数据库中的源对象和目标数据库中的目标对象属于同一登录帐户,则 SQL Server 不会检查目标对象的权限。

数据库链接可以在这种情况下使用数据库所有者sa和模式dbo吗?或者它是否必须是显式登录帐户/非默认架构?

这个问题的公认答案建议在 中创建视图dbRestricted并向 分配直接权限bob,这在这种情况下可行吗?如果向该数据库添加视图对我来说不是一个选项(由于开发人员/供应商限制)怎么办?这不是跨数据库链接的目的吗?

sql-server sql-server-2012

2 个回答

  1. Best Answer

    您需要在 中为 bob 创建一个用户dbRestricted。您不需要授予 bob 访问dbRestricted.

    这个最低限度完整的可验证示例显示了这一点:

    USE master;
CREATE DATABASE db_a;
ALTER DATABASE db_a SET DB_CHAINING ON;
CREATE DATABASE db_b;
ALTER DATABASE db_b SET DB_CHAINING ON;
CREATE LOGIN db_a_login WITH PASSWORD = 'aasdfasdfasdf78723%';
GO

USE db_a;
CREATE TABLE dbo.t
(
    someval varchar(10) NOT NULL
);
INSERT INTO dbo.t (someval) VALUES ('db_a');

CREATE USER db_a_login FOR LOGIN db_a_login;

USE db_b;
CREATE TABLE dbo.t
(
    someval varchar(10) NOT NULL
);
INSERT INTO dbo.t (someval) VALUES ('db_b');
CREATE USER db_a_login FOR LOGIN db_a_login;


USE db_a;
GO
CREATE VIEW dbo.both_t
AS
SELECT *
FROM db_a.dbo.t
UNION ALL
SELECT *
FROM db_b.dbo.t;
GO
GRANT SELECT ON dbo.both_t TO db_a_login;
GRANT SELECT ON dbo.t TO db_a_login;
GO

EXECUTE AS LOGIN = 'db_a_login';
SELECT *
FROM dbo.both_t;
REVERT

    ╔═════════╗
║ 一些 ║
╠═════════╣
║ 数据库 ║
║ 数据库 ║
╚═════════╝

    如果我们删除跨数据库所有权链接,我们会看到失败:

    ALTER DATABASE db_a SET DB_CHAINING OFF;
ALTER DATABASE db_b SET DB_CHAINING OFF;

EXECUTE AS LOGIN = 'db_a_login';
SELECT *
FROM dbo.both_t;
REVERT

    消息 229,级别 14,状态 5,第 50 行
    对对象“t”、数据库“db_b”、架构“dbo”的 SELECT 权限被拒绝。

    之后使用它进行清理:

    USE master;
IF EXISTS (SELECT 1 FROM sys.databases d WHERE d.name = 'db_a') 
DROP DATABASE db_a;
IF EXISTS (SELECT 1 FROM sys.databases d WHERE d.name = 'db_b') 
DROP DATABASE db_b;
IF EXISTS (SELECT 1 FROM sys.server_principals sp WHERE sp.name = 'db_a_login') 
DROP LOGIN db_a_login;
GO
    • 4

  2. bob如果您的用户可以从多语句表值函数 (TVF) 中选择或执行存储过程而不是视图,那么这可以更安全地完成(即无需在任一数据库上启用跨数据库所有权链接,并且没有为bobin创建用户dbRestricted)。

    跨数据库所有权链接的主要问题是您只能通过创建等效用户来限制它dbRestricted(即模拟导致您发布此问题的情况)。但是两个数据库中的任何用户现在都可以在这个数据库中拥有对象访问对象dbRestricted。假设大多数(如果不是全部)对象都在dbo架构中,或者属于 的架构dbo,那么这几乎就是一切。而且,即使这个 View 是dbRestricted今天唯一可以访问的对象,您也无法阻止其他人在将来访问dbRestricted.

    您可以使用模块签名来尽可能安全地实现此目标,而不是在您的系统中创建两个潜在的安全漏洞。我有示例代码显示如何在以下答案中,也在 DBA.SE 上:

    基于另一个数据库中的表访问视图,而没有该其他数据库中的帐户

    • 2

相关问题