Карта сайта

Это автоматически сохраненная страница от 24.03.2014. Оригинал был здесь: http://2ch.hk/b/res/64936139.html
Сайт a2ch.ru не связан с авторами и содержимым страницы
жалоба / abuse: admin@a2ch.ru

Пнд 24 Мар 2014 14:36:56
/r MS SQL 2008 Гуру
/r MS SQL 2008 Гуру Я знаю, тут такие есть! Итак проблема: нужно сделать так, чтобы под логином sa, подключаться к базе могли только с определенных ip. Подключаться именно через managment studio. Желательно бы сделать, чтобы под этим пользователем могло подключатся только определенное приложение. Проблема ясна ? Если нет, могу поподробнее.



Пнд 24 Мар 2014 14:37:37
>>64936139
Наверное хуёво объяснил.

Пнд 24 Мар 2014 14:44:36
Не думаю, что это возможно, решай на уровне фаерволла.

Пнд 24 Мар 2014 14:51:20
>>64936175
>ужно сделать так, чтобы под логином sa, подключаться к базе могли только с определенных ip.
адреса внутренние или внешние?
>Подключаться именно через managment studio.
ms в однйо сети и должно видеть базу? по rdp?
>Желательно бы сделать, чтобы под этим пользователем могло подключатся только определенное приложение.
прога юзает базульку из sql в котором сидит sa?

Пнд 24 Мар 2014 14:53:49
>>64936473
Ну а как примерно то ? Где то можно посмотреть, кто когда с каких ip логинился ? Где это ?

Пнд 24 Мар 2014 14:59:32
>>64936743
>адреса внутренние или внешние?
Надо чтобы нельзя с внешних адресов. Пользователь подключается с внешнего.

>>64936743
>ms в однйо сети и должно видеть базу? по rdp?
Базу должно видеть только одно приложение. Запросы делать в ней. В принципе я могу рассказать, зачем мне такая еблола и как она получилась.

>>64936743
>прога юзает базульку из sql в котором сидит sa?
Давай все таки расскажу. Я поставил клиенту прогу, ей прописано подключаться к бд по sa. Но эти настройки никак не защищены, т.е пароль прописан там в явном виде. Человек сейчас себе просто поставит managment studio введет пароль от sa, который он видит в проге и получит доступ. Мне нельзя этого допустить.

Пнд 24 Мар 2014 15:01:30
>>64936854
В фаерволе прописываешь доступ к порту 1433, помоему это порт MS SQL, только тем айпишникам, которым нужен доступ и все. Сам MS SQL сильно завязан на доменные политики, если конечно в домене ты сможешь настроить такие доступы, то в путь.

Пнд 24 Мар 2014 15:04:33
>>64936854
http://superuser.com/questions/231358/allowing-ip-range-in-windows-firewall

Пнд 24 Мар 2014 15:04:56
>>64937191
А что тогда помешает юзеру залогиниться в мэнеджмент студио ? В том то и дело, мне надо сделать так, чтобы данные шли, а структуру он посмотреть не мог.

Пнд 24 Мар 2014 15:05:37
>>64937347
Анончик, это мне кажется, не то.

Пнд 24 Мар 2014 15:07:38
что мешает сделать отдельных пользователей в БД с правами sa?

Пнд 24 Мар 2014 15:09:07
>>64937486
Ничего не мешает, просто это не решает моей проблемы.

Пнд 24 Мар 2014 15:11:40
>>64937367
В свойствах сервера есть опция View any databases в Permissions, попробуй там галочку денай поставить. Не уверен, что сработает, но может быть и оно.

Пнд 24 Мар 2014 15:11:47
вот блокировка по IP через файервол:
https://www.orcsweb.com/blog/fred/block-ip-addresses-from-access-to-cloud-server/

Пнд 24 Мар 2014 15:12:41
>>64937670
Только поэкспериментируй на другом юзере сперва.

Пнд 24 Мар 2014 15:17:06
http://stackoverflow.com/questions/2493213/sql-server-authentication-limit-access-to-database-to-only-connect-through-app


Пнд 24 Мар 2014 15:23:12
>>64937677
>>64937937
Забыл предупредить, что я не могу в английский.
>>64937670
Сейчас попробую.

Пнд 24 Мар 2014 15:26:24
>>64938230
А вообще я бы посоветовал тебе создать другого юзера, и убрать у него права на control server, на view всего такого в Permissions, над sa некошерно так издеваться. По идее этими доступами можно обрубить получение контроля через менеджмент студио.

Пнд 24 Мар 2014 15:32:05
>>64938394
Так настроено у кучи юзеров локально уже. Именно на sa. Так делал не я, и перестраивать это все геморойно. Конечно, если это будет единственный выход, то придется это сделать.

Пнд 24 Мар 2014 15:34:47
>>64938394
А еще. Может триггер какой-то сделать можно ? Если ip не мой, запрещать логин.

Пнд 24 Мар 2014 15:38:40
>>64938868
Насчет этого не знаю, помоему там нет таких доступов, решай как я выше писал, через фильтр порта 1433.

Пнд 24 Мар 2014 15:45:28
>>64939072
Понял, спасибо. Где посмотреть с какими айпишниками юзеры подключаются подскажешь ?

Пнд 24 Мар 2014 16:05:16


← К списку тредов