Provoz SQL serveru

Provoz a správa 602SQL serveru

Komunikace mezi klientem a serverem a síťové protokoly

Administrování SQL serveru

Oprávnění k administrování serveru uživatel získává tím, že se stane členem některé administrativní skupiny. Jsou to tyto tři skupiny: CONFIG_ADMIN, DB_ADMIN a SECURITY_ADMIN.

Skupina provozních správců CONFIG_ADMIN

Úkolem provozních správců je zajišťovat provoz SQL serveru, zejména nastavovat provozní parametry a řešit nestandardní situace. Mezi jejich oprávnění patří:

• Vypínání SQL serverů z prostředí Server manageru
• Definování logů a zařazování požadavků na trasování do logů (kromě trasování dat)
• Čtení obsahu všech logů (základní log mohou číst všichni uživatelé)
• Nastavení parametrů síťové komunikace, například síťového protokolu
• Nastavení IP adres, ze kterých je povolen nebo zakázán přístup klientů
• Nastavení adresářů pro knihovny externích funkcí, které lze volat ze serveru
• Zvětšování a zkompaktňování databázového souboru
• Nastavení parametrů periodického zálohování
• Spuštění oprav integrity databázového souboru
• Vytváření a rušení uživatelů a skupin uživatelů
• Povolování a zakazování jednotlivých uživatelských účtů
• Násilné odpojování klientů přihlášených na server nebo přerušování akcí prováděných klientem na serveru
• Odstraňování zámků umístěných klienty na objektech na serveru
• Obsazení do role Author a Administrator v aplikaci _sysext, z čehož vyplývá například možnost editovat systémové triggery
• Nastavení řady dalších provozních parametrů

Další oprávnění může provozní správce získat, pokud mu je přidělí bezpečnostní správce. Jde o právo zařazovat a vyřazovat uživatele do a ze skupin uživatelů a skupiny provozních správců.

Skupina datových správců DB_ADMIN

Datový správce má maximální práva ke všem datům a objektům umístěným na serveru. To znamená, že může číst, vkládat, přepisovat a rušit všechny záznamy v databázi a objekty.

Provoz databázových aplikací většinou nevyžaduje existenci datového správce a v některých případech je existence datového správce přímo v rozporu s koncepcí datového soukromí v aplikacích. V typickém stavu proto na serveru nebude žádný datový správce. Části jeho úlohy převezmou administrativní role vytvořené podle potřeby v jednotlivých aplikacích. Existence skupiny datových správců má za účel zachování kompatibility s některými staršími aplikacemi a také poskytnutí "zadních vrátek" pro řešení nestandardních situací na serveru.

Skupina bezpečnostních správců SECURITY_ADMIN

Úkolem bezpečnostního správce je učinit klíčová rozhodnutí týkající se bezpečnosti provozu SQL serveru. Bezpečnostní správce do normálního provozu serveru nezasahuje.

V menších firmách může být bezpečnostním správcem majitel nebo manažer, ve větších firmách pak osoba stojící mimo normální provoz a zodpovídající za bezpečnostní koncepci.

Mezi oprávnění bezpečnostního správce patří:

• Rozhodovat o tom, zda server bude mít datového správce, a zařazovat uživatele do skupiny datových správců
• Nastavovat trasování čtení a zápisu dat do tabulek
• Povolit nebo zakázat přístup anonymního uživatele na server
• Nastavit minimální délku uživatelského hesla a expirační dobu hesel
• Rozhodovat, zda se bude využívat "one-time-password" s omezeným počtem použití
• Rozhodovat o šifrování databázového souboru
• Vybrat doménový server, z něhož se bude přebírat přihlášení, a rozhodnout o automatickém vytváření účtů doménových uživatelů
• Manipulovat s tajným klíčem SQL serveru
• Rozhodovat o šifrování síťové komunikace
• Rozhodovat, zda provozní správcové mohou zařazovat a vyřazovat uživatele do/ze skupiny provozních správců
• Rozhodovat, zda provozní správcové mohou zařazovat a vyřazovat uživatele do/z uživatelských skupin
• Změnit heslo libovolného uživatele

Seznam subsekcí:

• Nastavení bezpečnostní politiky databáze
• Zabezpečení databáze proti útokům
• Principy zabezpečení systému
• Postupy při záchraně poškozené databáze

Provoz SQL serveru

Provoz a správa 602SQL serveru

Komunikace mezi klientem a serverem a síťové protokoly