Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Zugriff auf OLAP-Cube (MS SQL Server 2005) unterbinden

Mitglied: Fritz0609

Fritz0609 (Level 1) - Jetzt verbinden

03.12.2007, aktualisiert 04.12.2007, 6450 Aufrufe, 4 Kommentare

Hallo,

ich hoffe mir kann jemand auf die Sprünge helfen. Ich muss vorab sagen, dass ich kein DB-Pro bin sondern aus einer ganz anderen Schiene komme. Sollten also wichtig Informationen fehlen, dann bitte nochmal nachfragen.

Kollegen von mir betreiben einen OLAP-Cube auf einem MS SQL Server. Neben dem DB-Server gibt es einen Web-Server, der für unsere User entsprechende Berichte zur Verfügung stellt. Die Nutzer melden sich dort an der Web-Oberfläche an. Die Berichte werden in Echtzeit vom DB-Server bereitgestellt (so weit ich das verstanden habe). Die User haben also auch Rechte auf der Datenbank, damit die Berichte erzeugt werden können.

Das Problem ist jetzt folgendes:
Die User können den Cube auch am Web-Server vorbei abfragen. Sie können ihn z.B. per Excel als Pivot-Tabelle importieren und sich dann eigene Berichte basteln. Dies ist nicht erwünscht.

Das Problem liegt jetzt bei mir mit der Bitte den Zugriff auf den DB-Server netzwerktechnisch von den Clients aus zu unterbinden. Das ist kein größeres Problem, aber ich kann mir einfach nicht vorstellen, dass es keine andere Möglichkeit gibt! Es muss doch möglich sein, das ganze SQL Server intern zu lösen, oder???

Gruß
Fritz0609
Mitglied: bastel
03.12.2007 um 19:34 Uhr
so wie ich das verstanden habe willst du den clients nur einen Einblick in bestimmte bereiche (Daten) deiner DB geben. Würde dir spontan vorschlagen "Visionen" zu erstellen. Dies sind die Abfragen die der User (je nach Zugriffsrecht) sieht und nur diese kann er verwenden.
Bitte warten ..
Mitglied: Biber
03.12.2007 um 19:41 Uhr
Moin Fritz0609,

da geht gedanklich etwas durcheinander, glaube ich.

Der Webserver ist (lässt man/frau die unnötigen Schnörkel weg) eine Applikation.
Dieser hat sicher auch einen Prozessuser, das heißt eine UserID/Passwort, welches die Endbenutzer nicht kennen müssen oder dürfen.
Mit dieser UserID darf sich die Applikation 1) an der DB authentifizieren und 2) alles das tun, wofür dieser User Rechte hat.
Letzteres war und ist ein manueller Akt, jemand muss diese Rechte für diesen Application-User vergeben haben. --> mit dem DB-Admin schimpfen, wenn das zu viele Rechte sind.

Wenn diese Daten in Grids präsentiert werden, die per Copy & Paste markiert/kopiert werden können oder gar den Export ins XLS erlauben--> mit den Appz-Entwicklern schimpfen.
Dann muss das weiter eingeschränkt werden.

Wenn sich User DIREKT mit der DB verbinden (können) und das aber eben nicht sein soll: -> allen Usern (außer Admistrativen Usern und Application-Usern) das Recht zum Connect wegnehmen.

Wenn die Application-EndUser die Daten nur sehen dürfen und auch kopieren, aber nienichtaufkeinenFall ändern/bearbeiten/manipulieren:
-> Daten nur als Grafik anbieten oder im PDF-Format mit Wasserzeichen.

Grüße
Biber
Bitte warten ..
Mitglied: Fritz0609
04.12.2007 um 20:13 Uhr
Erstmal vielen Dank für die schnellen Antworten. Leider komme ich dennoch noch nicht weiter
Ich glaube mein Problem liegt hier:

Der Webserver ist (lässt man/frau die
unnötigen Schnörkel weg) eine
Applikation.
Dieser hat sicher auch einen Prozessuser,
das heißt eine UserID/Passwort, welches
die Endbenutzer nicht kennen müssen oder
dürfen.
Mit dieser UserID darf sich die Applikation
1) an der DB authentifizieren und 2) alles
das tun, wofür dieser User Rechte hat.
Letzteres war und ist ein manueller Akt,
jemand muss diese Rechte für diesen
Application-User vergeben haben. --> mit
dem DB-Admin schimpfen, wenn das zu viele
Rechte sind.

Bei uns ist es so, dass sich nicht der Web-Server an der DB authentifiziert sondern der Web-Server nur die ADS-Account-Informationen an die DB weitergibt. In der DB hat der ADS Benutzer die entsprechenden Rechte, damit er sich die Daten auf dem Web-Server anschauen kann. Der User soll die Daten aber auch wirklich nur über diesen Weg anschauen dürfen und nicht sich mit Excel zur DB connecten können.

Fritz0609
Bitte warten ..
Mitglied: Biber
04.12.2007 um 23:54 Uhr
Moin Fritz0609,

tja.

Sieh es positiv: wir haben die Ursache lokalisiert.

Und Du kannst in Deiner Firma Potentiale und Verbesserungsmöglichkeiten aufzeigen.

Nein, Schadenfreude beiseite: Wenn die UserInnen "Einzel"-Rechte auf der Datenbank bzw einzelnen Views / Zeilen/Spalten selbst haben müssen oder sollen... okay.

Aber das Recht, sich mit der Datenbank zu connecten --- das brauchen sie nicht.

Nimm es ihnen weg, dann müssen sie über den Webserver. und der bekommt eine ConnectionID/einen ProzessUser.

Alles andere ist doch Augenwischerei - wenn sich jede/r Tabellen-seh-berechtigte UserIn mit einem beliebigen Tool/einem beliebigen Client gegen die DB connecten kann, dann werden natürlich die Daten kopiert, die gesehen werden können.

Und zwar gar nicht, um die meistbietend zu versteigern, sondern weil JEDER die Daten, auf die ein flüchtiger Blick erlaubt war, "sicherheitshalber" als lokale Kopie abspeichert (so genanntes "Schäuble-Syndrom").

Grüße
Biber
Bitte warten ..
Ähnliche Inhalte
Server
Zugriff auf MS-SQL aus dem Internet
Frage von syncmasterServer15 Kommentare

Hallo Zusammen. Ich muss den Zugriff auf eine Microsoft SQL-Datenbank Version 2016 realisieren. Dazu habe ich für die entsprechende ...

Windows Server
SQL Server 2005
gelöst Frage von Jan1986Windows Server4 Kommentare

Hallo zusammen, wir haben in unserem Unternehmen mittlerweile 2 Server auf denen wir verschiedene Server virtualisieren. 1 Server ist ...

Windows Server

MS-SQL Server ohne SSL bei Zugriff über TCP 1433

gelöst Frage von lasterWindows Server1 Kommentar

Hallo, ein Java-Programm greift per JDBC (über TCP 1433) auf einen SQL-Server 2016 zu. Dabei wird folgende Exception geworfen: ...

Windows Server

MS SQL Server 2016 - Zugriff auf Instanz fehlgeschlagen

gelöst Frage von luklukWindows Server4 Kommentare

Hallo zusammen, ich habe die Tage einen frischen Windows Server 2016 auf einem Hyper-V aufgesetzt. Darauf habe ich dann ...

Neue Wissensbeiträge
Drucker und Scanner
HP-MF-Drucker per Fax angreifbsr
Information von Lochkartenstanzer vor 1 TagDrucker und Scanner2 Kommentare

Endlich eine sinnvolle Verwendung für Faxe: Damit kann man offensichtlich den Drucker übernehmen. lks

Router & Routing

Das pfSense Buch ist jetzt für jeden kostenlos zu beziehen

Tipp von magicteddy vor 2 TagenRouter & Routing2 Kommentare

Bisher war das Buch nur für zahlende Unterstützer verfügbar, jetzt steht für Jedermann kostenlos zur Verfügung. Siehe auch The ...

Firewall

Möglicherweise neue Sicherheitslücke in Mikrotik-Firmware

Information von LordGurke vor 4 TagenFirewall3 Kommentare

Hallo zusammen, vor ein paar Monaten gab es ja bereits eine Sicherheitslücke in der Firmware von Mikrotik-Routern, über welche ...

Erkennung und -Abwehr
Rechner hacken mit Cortana, auch Remote
Information von Lochkartenstanzer vor 5 TagenErkennung und -Abwehr3 Kommentare

heise berichtet über den Vortrag von der Blackhat Open Sesame: Picking Locks with Cortana. Einige Fehler sind schon gefixt, ...

Heiß diskutierte Inhalte
Firewall
PfSense blockt Webseite nicht
Frage von matze2090Firewall27 Kommentare

Hallo, ich habe bei mir pfSense laufen. Das erste ist was ich machen möchte eine Webseite zu blocken. Könnt ...

Windows 10
WIN 10 1803 - LTE Stick kein Internetzugriff
Frage von killtecWindows 1023 Kommentare

Hallo, ich habe mit einem Windows 10 1803 Probleme mit einem LTE-Stick. Das gleiche Problem ist bei mehreren Rechnern ...

CPU, RAM, Mainboards
Xeon E5620: noch schnell genug?
Frage von ahussainCPU, RAM, Mainboards19 Kommentare

Hallo allerseits, ich habe die Möglichkeit, aus Restbeständen einen Tower mit Xeon E5620 CPU und 24 GB RAM zu ...

Datenbanken
MySQL Datenbank Import Aufgabe für mehrere .csv dateien
Frage von Marcel1989Datenbanken18 Kommentare

Hi, ich komm nicht weiter. Ich hab auf einem Windows Server 2012 r2 eine MariaDB/MySQL laufen. Nun soll diese ...