Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Zugriff auf OLAP-Cube (MS SQL Server 2005) unterbinden

Mitglied: Fritz0609

Fritz0609 (Level 1) - Jetzt verbinden

03.12.2007, aktualisiert 04.12.2007, 6454 Aufrufe, 4 Kommentare

Hallo,

ich hoffe mir kann jemand auf die Sprünge helfen. Ich muss vorab sagen, dass ich kein DB-Pro bin sondern aus einer ganz anderen Schiene komme. Sollten also wichtig Informationen fehlen, dann bitte nochmal nachfragen.

Kollegen von mir betreiben einen OLAP-Cube auf einem MS SQL Server. Neben dem DB-Server gibt es einen Web-Server, der für unsere User entsprechende Berichte zur Verfügung stellt. Die Nutzer melden sich dort an der Web-Oberfläche an. Die Berichte werden in Echtzeit vom DB-Server bereitgestellt (so weit ich das verstanden habe). Die User haben also auch Rechte auf der Datenbank, damit die Berichte erzeugt werden können.

Das Problem ist jetzt folgendes:
Die User können den Cube auch am Web-Server vorbei abfragen. Sie können ihn z.B. per Excel als Pivot-Tabelle importieren und sich dann eigene Berichte basteln. Dies ist nicht erwünscht.

Das Problem liegt jetzt bei mir mit der Bitte den Zugriff auf den DB-Server netzwerktechnisch von den Clients aus zu unterbinden. Das ist kein größeres Problem, aber ich kann mir einfach nicht vorstellen, dass es keine andere Möglichkeit gibt! Es muss doch möglich sein, das ganze SQL Server intern zu lösen, oder???

Gruß
Fritz0609
Mitglied: bastel
03.12.2007 um 19:34 Uhr
so wie ich das verstanden habe willst du den clients nur einen Einblick in bestimmte bereiche (Daten) deiner DB geben. Würde dir spontan vorschlagen "Visionen" zu erstellen. Dies sind die Abfragen die der User (je nach Zugriffsrecht) sieht und nur diese kann er verwenden.
Bitte warten ..
Mitglied: Biber
03.12.2007 um 19:41 Uhr
Moin Fritz0609,

da geht gedanklich etwas durcheinander, glaube ich.

Der Webserver ist (lässt man/frau die unnötigen Schnörkel weg) eine Applikation.
Dieser hat sicher auch einen Prozessuser, das heißt eine UserID/Passwort, welches die Endbenutzer nicht kennen müssen oder dürfen.
Mit dieser UserID darf sich die Applikation 1) an der DB authentifizieren und 2) alles das tun, wofür dieser User Rechte hat.
Letzteres war und ist ein manueller Akt, jemand muss diese Rechte für diesen Application-User vergeben haben. --> mit dem DB-Admin schimpfen, wenn das zu viele Rechte sind.

Wenn diese Daten in Grids präsentiert werden, die per Copy & Paste markiert/kopiert werden können oder gar den Export ins XLS erlauben--> mit den Appz-Entwicklern schimpfen.
Dann muss das weiter eingeschränkt werden.

Wenn sich User DIREKT mit der DB verbinden (können) und das aber eben nicht sein soll: -> allen Usern (außer Admistrativen Usern und Application-Usern) das Recht zum Connect wegnehmen.

Wenn die Application-EndUser die Daten nur sehen dürfen und auch kopieren, aber nienichtaufkeinenFall ändern/bearbeiten/manipulieren:
-> Daten nur als Grafik anbieten oder im PDF-Format mit Wasserzeichen.

Grüße
Biber
Bitte warten ..
Mitglied: Fritz0609
04.12.2007 um 20:13 Uhr
Erstmal vielen Dank für die schnellen Antworten. Leider komme ich dennoch noch nicht weiter
Ich glaube mein Problem liegt hier:

Der Webserver ist (lässt man/frau die
unnötigen Schnörkel weg) eine
Applikation.
Dieser hat sicher auch einen Prozessuser,
das heißt eine UserID/Passwort, welches
die Endbenutzer nicht kennen müssen oder
dürfen.
Mit dieser UserID darf sich die Applikation
1) an der DB authentifizieren und 2) alles
das tun, wofür dieser User Rechte hat.
Letzteres war und ist ein manueller Akt,
jemand muss diese Rechte für diesen
Application-User vergeben haben. --> mit
dem DB-Admin schimpfen, wenn das zu viele
Rechte sind.

Bei uns ist es so, dass sich nicht der Web-Server an der DB authentifiziert sondern der Web-Server nur die ADS-Account-Informationen an die DB weitergibt. In der DB hat der ADS Benutzer die entsprechenden Rechte, damit er sich die Daten auf dem Web-Server anschauen kann. Der User soll die Daten aber auch wirklich nur über diesen Weg anschauen dürfen und nicht sich mit Excel zur DB connecten können.

Fritz0609
Bitte warten ..
Mitglied: Biber
04.12.2007 um 23:54 Uhr
Moin Fritz0609,

tja.

Sieh es positiv: wir haben die Ursache lokalisiert.

Und Du kannst in Deiner Firma Potentiale und Verbesserungsmöglichkeiten aufzeigen.

Nein, Schadenfreude beiseite: Wenn die UserInnen "Einzel"-Rechte auf der Datenbank bzw einzelnen Views / Zeilen/Spalten selbst haben müssen oder sollen... okay.

Aber das Recht, sich mit der Datenbank zu connecten --- das brauchen sie nicht.

Nimm es ihnen weg, dann müssen sie über den Webserver. und der bekommt eine ConnectionID/einen ProzessUser.

Alles andere ist doch Augenwischerei - wenn sich jede/r Tabellen-seh-berechtigte UserIn mit einem beliebigen Tool/einem beliebigen Client gegen die DB connecten kann, dann werden natürlich die Daten kopiert, die gesehen werden können.

Und zwar gar nicht, um die meistbietend zu versteigern, sondern weil JEDER die Daten, auf die ein flüchtiger Blick erlaubt war, "sicherheitshalber" als lokale Kopie abspeichert (so genanntes "Schäuble-Syndrom").

Grüße
Biber
Bitte warten ..
Ähnliche Inhalte
Server
Zugriff auf MS-SQL aus dem Internet
Frage von syncmasterServer15 Kommentare

Hallo Zusammen. Ich muss den Zugriff auf eine Microsoft SQL-Datenbank Version 2016 realisieren. Dazu habe ich für die entsprechende ...

Windows Server

MS-SQL Server ohne SSL bei Zugriff über TCP 1433

gelöst Frage von lasterWindows Server1 Kommentar

Hallo, ein Java-Programm greift per JDBC (über TCP 1433) auf einen SQL-Server 2016 zu. Dabei wird folgende Exception geworfen: ...

Windows Server

MS SQL Server 2016 - Zugriff auf Instanz fehlgeschlagen

gelöst Frage von luklukWindows Server4 Kommentare

Hallo zusammen, ich habe die Tage einen frischen Windows Server 2016 auf einem Hyper-V aufgesetzt. Darauf habe ich dann ...

Windows Server

Neuer MS-SQL-Server

gelöst Frage von tingelWindows Server1 Kommentar

Hallo, Ich bin gerade dabei, mir Gedanken zu machen, wie ich am besten unseren SQL-Server 2008 SP3 auf eine ...

Neue Wissensbeiträge
Ausbildung

Linux-Ausstieg in Niedersachsen - Windows statt Bugfix

Information von StefanKittel vor 8 StundenAusbildung8 Kommentare

Sind ja nur Steuergelder

Speicherkarten

Neuer Speicherkartentyp - zunächst nur für Huawei-Smartphones (künftig auch für Notebooks u. Tablets?)

Tipp von VGem-e vor 2 TagenSpeicherkarten2 Kommentare

Servus, als ob das "Chaos" i.S. Speicherkarten noch nicht groß genug wäre?! Evtl. kommt dieser neue Kartentyp bald auch ...

Sicherheit

Diverse D-Link-Router durch drei Schwachstellen kompromittierbar

Information von kgborn vor 2 TagenSicherheit

Hat jemand D-Link-Router in Verwendung? Einige Modelle sind sicherheitstechnisch offen wie ein Scheunentor. Äußerst unschöne Sache, aber nichts neues ...

Hardware

100.000 Mikrotik-Router ungefragt von Hacker abgesichert

Information von 7Gizmo7 vor 2 TagenHardware3 Kommentare

Hallo zusammen, da hier ja öfters mal von Mikrotik gesprochen wird. Trotz Updates klafft eine Sicherheitslücke in Hundertausenden Mikrotik-Routern. ...

Heiß diskutierte Inhalte
Off Topic
SysAdmin im öffentlichen Dienst - jemand Erfahrungen?
Frage von JohnDorianOff Topic22 Kommentare

Hallo zusammen, hat jemand Erfahrung wie es so ist als SysAdmin im öffentlichen Dienst (Landkreis) im Südwesten der Republik ...

TK-Netze & Geräte
Low budget TK-Anlage für KMU
Frage von HeinklugTK-Netze & Geräte16 Kommentare

Hallo Admins, ich bin auf der Suche nach eine kostengünstigen Telefonanlage für mein kleines Büro mit 4-5 Mitarbeitern. Dabei ...

SAN, NAS, DAS
Nas mit USB und LAN gleichzeitig zugreifen
gelöst Frage von MarkBeakerSAN, NAS, DAS16 Kommentare

Hallo zusammen, ich suche eine Art NAS, womit ich via LAN und USB zugreifen kann. Folgender Aufbau ist gedacht: ...

Vmware
Offene LDAP-Server in AS
gelöst Frage von obi-wan-kenobiVmware15 Kommentare

Hallo alle Miteinander, ich habe ein Problem, unsere VM-Ware Appliance (Version. 6.5.0.10000) ist scheinbar angreifbar. Wir haben eben die ...