Obdržíte "Oprávnění odepřen" chybovou zprávu při aplikace založené na roli aplikace pokusí vybrat záznamy z libovolné jedné z tabulek systému v hlavní databázi SQL Server 2005

ID článku: 906549 - Produkty, které se vztahují k tomuto článku.
Strojově přeložený článekUPOZORNĚNÍ: TENTO ČLÁNEK BYL STROJOVĚ PŘELOŽEN
Rozbalit všechny záložky | Minimalizovat všechny záložky

Příznaky

Pokud aplikace založené na roli aplikace se pokusí vyberte všechny záznamy z některý systémové tabulky v Microsoft SQL Server 2005 hlavní databáze, můžete zaznamenat jeden z následujících příznaků:
  • Vráceny žádné záznamy.
  • Zobrazí se následující chybová zpráva:
    Oprávnění byla odepřena.
Například tohoto problému může dojít, pokud aplikace používá následující dotaz. 
select * from master.dbo.syslogins
Zpět nahoru | Dejte nám zpětnou vazbu

Příčina

Aplikace založené na rolích jsou navrženy pro práci s konkrétní informace v databázi. Tyto aplikace nemůže získat přístup k systémové tabulky v zobrazení předlohy nebo v zobrazení dynamické správy. Tato zobrazení obsahují informace na úrovni serveru.
Zpět nahoru | Dejte nám zpětnou vazbu

Řešení

Chcete-li tento problém vyřešit, použijte postupy certifikát podepsaný přístup k serveru úroveň systémových tabulek. Certifikát podepsaných postupy nabízejí následující výhody:
  • Nemáte použít příznaky trasování.
  • Méně informací úroveň serveru může být odhaleno. Aplikace založené na rolích aplikace musí používat uložené procedury namísto použití obecné dotazy. Uložené procedury pravděpodobnější vrátit pouze určitá data, která je požadována aplikace.
Zpět nahoru | Dejte nám zpětnou vazbu

Jak potíže obejít

Tento problém vyřešit, povolte příznak trasování globální 4616.
Zpět nahoru | Dejte nám zpětnou vazbu

Další informace

Následující ukázka kódu je příklad procedury certifikát podepsaný. 
USE master
GO

CREATE DATABASE approle_db ;
GO

CREATE LOGIN some_login WITH PASSWORD = 'SomePa$$word!' ;
GO

USE approle_db
GO

CREATE USER some_user FOR LOGIN some_login
GO

EXEC sp_addapprole 'an_approle', 'SomeAppRolePa$$word!' ;
GO

---------------------------------------------------------------------
-- This section shows how to use a certificate to authenticate
-- a signed procedure.
---------------------------------------------------------------------

CREATE LOGIN execute_as_login WITH PASSWORD = 'SomePa$$word!' ;
GO

USE master
GO

GRANT VIEW ANY DEFINITION TO execute_as_login ;
GRANT VIEW SERVER STATE   TO execute_as_login ;
GO

USE approle_db
GO

CREATE USER execute_as_user FOR LOGIN execute_as_login ;
GO

--
-- You must use EXECUTE AS 'authenticator' here because the application role
-- does not have a server identity. Therefore, the application role cannot use
-- the certificate permissions on the server.  Therefore, you
-- need a new execution context to which you can grant
-- the needed VIEW* permissions.
--
CREATE PROC access_server_system_tables
  WITH EXECUTE AS 'execute_as_user'
AS
  SELECT * FROM master.dbo.syslogins    ;
  SELECT * FROM master.dbo.sysprocesses ;
GO

GRANT EXECUTE ON access_server_system_tables TO an_approle ;
GO

CREATE CERTIFICATE signing_cert ENCRYPTION BY PASSWORD = 'SomeCertPa$$word'
    WITH SUBJECT  = 'Signing Cert' ;
GO

BACKUP CERTIFICATE signing_cert TO FILE = 'signing_cert.cer' ;
GO

ADD SIGNATURE TO access_server_system_tables
    BY CERTIFICATE signing_cert WITH PASSWORD = 'SomeCertPa$$word' ;
GO

---------------------------------------------------------------------
-- We must create a copy of the signing certificate in the target
-- database. In this case, the target database is the master database.
-- This copy of the signing certificate can vouch
-- for the execution contexts that enter this database from the
-- signed procedure.
---------------------------------------------------------------------
USE master
GO

CREATE CERTIFICATE signing_cert FROM FILE = 'signing_cert.cer' ;
GO

--
-- Because the VIEW* permissions in question are server-level permissions,
-- we need an AUTHENTICATE SERVER on a login-mapped certificate.
--
CREATE LOGIN signing_cert_login FROM CERTIFICATE signing_cert ;
GO

GRANT AUTHENTICATE SERVER TO signing_cert_login
GO


---------------------------------------------------------------------
-- Now you can open a new connection as "some_login" and
-- set the application role. Then, call the "access_server_system_tables"
-- procedure, and obtain verification that you can access server-level information
-- when the application role-based application runs.  




---------------------------------------------------------------------


---------------------------------------------------------------------
-- Clean up after the procedure.

---------------------------------------------------------------------
USE master
GO

DROP DATABASE approle_db ;
GO

DROP LOGIN some_login;
GO

DROP LOGIN execute_as_login;
GO

DROP LOGIN signing_cert_login ;
GO

DROP CERTIFICATE signing_cert;
GO

--
-- Make sure to delete the certificate file. For example, delete
-- C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Data\signing_cert.cer
--
EXEC sp_configure 'show advanced options', 1 ;
GO
RECONFIGURE ;
GO
EXEC sp_configure 'xp_cmdshell', 1 ;
GO
RECONFIGURE ;
GO

EXEC xp_cmdshell 'del "C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Data\signing_cert.cer"' ;
GO

EXEC sp_configure 'xp_cmdshell', 0 ;
GO
RECONFIGURE ;
GO


-- ============================================================================
-- - Application role access to server information - Demo usage.sql
--
--
--  This code is companion code that shows an example of application role access
--  to server information by using a certificate-signed procedure.
--
-- ============================================================================

--------------------------------------------------
-- Connect as some_login
--------------------------------------------------
USE approle_db
GO

EXEC sp_setapprole 'an_approle', 'SomeAppRolePa$$word!'
GO

EXEC access_server_system_tables
GO
Zpět nahoru | Dejte nám zpětnou vazbu

Vlastnosti

ID článku: 906549 - Poslední aktualizace: 20. listopadu 2007 - Revize: 2.3
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft SQL Server 2005 Developer Edition
  • Microsoft SQL Server 2005 Enterprise Edition
  • Microsoft SQL Server 2005 Enterprise Edition for Itanium Based Systems
  • Microsoft SQL Server 2005 Enterprise X64 Edition
  • Microsoft SQL Server 2005 Express Edition
  • Microsoft SQL Server 2005 Standard Edition
  • Microsoft SQL Server 2005 Standard Edition for Itanium Based Systems
  • Microsoft SQL Server 2005 Standard X64 Edition
  • Microsoft SQL Server 2005 Workgroup Edition
Klíčová slova: 
kbmt kbsql2005engine kbtshoot kbprb KB906549 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:906549
(http://support.microsoft.com/kb/906549/en-us/ )
Zpět nahoru | Dejte nám zpětnou vazbu

Dejte nám zpětnou vazbu

 
Zpět nahoruZpět nahoru