السماح أوراكل ديسيبل تسجيل الدخول فقط إلى تطبيق معين؟
https://stackoverflow.com/questions/1007308
-
06-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
ونحن نريد للسماح بالوصول DB (أوراكل) للمستخدمين لدينا إلا من خلال التطبيق الخاصة بنا - دعنا نسميها "ourTool.exe"، تثبيت محليا على أجهزة المستخدمين. حاليا، يجب على المستخدمين توفير اسم المستخدم / كلمة السر كلما كانت بداية "ourTool". يحصل فك كلمة السر كلمة المرور المقدمة، ونحن استخدام اسم المستخدم / فك كلمة السر للدخول أخيرا في لDB أوراكل. هذا النهج يمنع المستخدمين من الوصول مباشرة DB لدينا باستخدام أدوات طرف ثالث (SQLplus، اكسل، أكسس، ...) ويضمن كل شيء في DB قد دخلت / تحريرها باستخدام "ourTool".
والآن، واحد من عملائنا يريد السماح للمستخدمين "الدخول المفرد" (مع البطاقات المشفرة / أوراكل PKI). مع هذا، وسوف يكون المستخدم قادرا اتصال DB من دون تقديم أي كلمة مرور في كل مرة تبدأ "ourTool". ولكن الشيء نفسه سوف يكون ذلك صحيحا لأدوات يحتمل أن تكون خطرة مثل SQLplus، اكسل، أكسس، الخ.
هل هناك طريقة لمنع ذلك؟ كيف يمكننا التأكد من أن كل سجل في DB لدينا يتم إنشاؤه فقط / تحرير / حذف باستخدام "ourTool" في هذا السيناريو؟
المحلول
وبما أنه من التطبيق الخاص بك، وعليك السيطرة على المصدر، يمكنك استخدام أي كلمة السر المحمية الأدوار قاعدة البيانات أو الأدوار التطبيق الآمنة التي يتم تمكينها من ourTool.exe. (انظر http://www.oracle.com/technology/ OBE / obe10gdb / الأمن / approles / approles.htm ).
وعلى سبيل المثال، مع دور قاعدة البيانات محمية بكلمة مرور، الاتصال الأولي سيكون فقط مع شرف الدورة CREATE، ثم ourTool.exe سيصدر دور SET مع كلمة سر لا يعرفها إلا أنت. لايوجد أي تطبيق آخر المعلومات لتحديد الدور. ومن الواضح أن تمنح امتيازات فقط إلى دور وليس مباشرة إلى المستخدم في هذا التكوين.
نصائح أخرى
وافتراضيا، OCI ينقل اسم EXE تطبيق الاستدعاء ويمكنك الوصول إليه عن طريق الاستعلام v$session:
SELECT program
FROM V$SESSION
والتي يمكنك القيام به في الزناد AFTER LOGON.
ولكن هذا يمكن بسهولة تنقضها، وينبغي عدم الاعتماد عليها.
وأنا سميت بلدي sqlplus.exe إلى myTool.exe وبعد إجراء اتصال مع myTool.exe
SELECT program
FROM V$SESSION
where username = 'SYSTEM';
وإرجاع: myTool.exe
وحتى تكون على علم، كما قال Quassnoi: على الرغم من أن يمكن استخدامها في بعض الظروف انها بالتأكيد ليست بولليت دليل
.