使用密码激活Dbroles

2020-09-28 02:27发布

点击此处---> 群内免费提供SAP练习系统(在群公告中)加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)嗨, 在对我们的Sybase ...

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


嗨,

在对我们的Sybase ASE环境进行审核之后,我们得出了一些发现。 一种是为角色启用密码。 这样可以防止用户将自己的已授予角色授予其他用户。 它以为这只是向现有角色添加密码,而且这是透明的,不需要用户采取任何行动。 发生的事情是用户获得了拒绝访问角色中定义的对象的权限。 我当时以为sa或具有sa_role/sso_role的用户可以做到这一点,但是在深入研究之后,似乎必须由用户自己通过使用密码'somepw'来运行set role 来由用户自己激活密码 。 这打破了密码应该是用户秘密的想法。 一种选择是使用用户密码登录并激活角色,但这当然是一个重大的安全漏洞,实际上并不可行。 我查看了登录配置文件,但并未真正找到实现此目的的方法。 还查看了细化权限,但这需要我们没有的ASE_PRIVACY许可证。

任何解决此问题的建议将不胜感激。

3条回答
My梦
2020-09-28 02:53

您好

撇开密码问题,我认为这句话是不正确的:

"用户能够将自己授予的角色授予其他用户。"

据我所知,没有级联权限,具有角色的登录名可以分配该角色。 需要sso_role来分配角色。

请参见下面的示例:

isql -Usa(具有sa_role/sso_role的sa)

sp_addlogin test_role,sybase
go
sp_addlogin测试,sybase
go
创建角色role1 将角色role1授予test_role
go 更改登录test_role 添加自动激活的角色role1
go
-登录test_role已自动激活role1


isql -Utest_role

sp_activeroles
开始

角色名称
------------------------------
角色1

授予角色role1进行测试

消息10353,级别14,状态2:
服务器'SP139',第1行:
您必须具有以下任何角色才能执行此命令/过程:
'sso_role' 。 请与具有适当角色的用户联系以寻求帮助。

亲切的问候

Bart van Kuijk

一周热门 更多>