SQL Server (και άλλες databases)

Re: How to use Trusted Connection when SQL server and web Server are on two separate machines

Aris — Tue, 14 Jun 2005 20:35:48 GMT

Για να εξαφανίσεις το userName/password:
1. Φτιάξε ένα domain account και δώσε τα απαραίτητα δικαιώματα στον SQL.
2. Χρησιμοποίησε αυτό το account για να τρέξεις το ASP.NET worker process (ρυθμίζεις το machine.config, section <processModel> ).
3. Μην παραλείψεις να δώσεις στο account ότι άλλα δικαιώματα χρειάζεται για να τρέχει η ASP.NET εφαρμογή (τα ίδια με το APSNET account + ότι άλλα χρειάζεται, π.χ σε directories εντός site).
4. Αποθηκεύεις userName/password αυτού του account στο registry
Περισσότερα στο link (κάνε κλικ στο "Process Identity for ASP.NET").

Το παραπάνω μπορεί να λειτουργήσει επειδή ο web server τρέχει μόνο αυτή την εφαρμογή (αναφέρεις ότι είναι dedicated).
Αλλοιώς, κάνεις fixed identity impersonation, για την εφαρμογή σου (στο web.config - δες το link).

Άλλη λύση είναι να κρατήσεις στο web.config ένα μερικό (partial, για να είμαστε .Net 2.0 compatible ) connection string και να το συμπληρώνεις με userName/password που τα αποθηκεύεις κάπου (DPAPI ?). Δεν το έχω κάνει, μου φαίνεται κάπως φασαρία...
Η πλήρης εξαφάνιση απαιτεί hard-coding του connection string στην εφαρμογή Web, πράγμα που θα δημιουργήσει πρόβλημα σε μετακόμιση της DB.

Η λογική του πλήρους impersonation θα είναι καταστροφική από διάφορες άποψεις (πολλαπλά connections στον SQL, άδειες χρήσης, διαχείριση δικαιωμάτων κλπ). Εάν απαιτείται, γίνεται (το παραπάνω link λέει πως).

Τώρα, το θέμα της ταυτοποίησης & εκχώρησης δικαιωμάτων (authentication & authorization) για την web εφαρμογή.
- Αναφέρεις "smart client". Μήπως εννοείς "web client"; Έχεις μιά απλή ASP.NET εφαρμογή ή κάτι περισσότερο πολύπλοκο; Web Services & smart client με caching δεδομένων;
- Πως συνδέονται οι internet χρήστες; Τι χρησιμοποιούν; Browser; Windows clients, PocketPC clients;
- Έχεις δυνατότητα SSL, VPN;

Υπάρχουν πολλά σενάρια, θα πρέπει να δώσεις περισσότερες πληροφορίες.

Άρης

Re: How to use Trusted Connection when SQL server and web Server are on two separate machines

Χρήστος Γεωργακόπουλος — Tue, 14 Jun 2005 19:56:43 GMT

Ναι όντως, τώρα που το λες, έχω παίξει κι εγώ μερικές φορές με τέτοια vpns.... Έχω στήσει και στο γραφείο ένα serveράκο και έκανα δοκιμές από το σπίτι... Απλά δεν ξέρω γιατί τα vpns μου φέρνουν στο μυαλό πιο χοντρές καταστάσεις.

Είναι όντως μια λύση που βελτιώνει αρκετά την κατάσταση... θα το εξετάσω...

Re: How to use Trusted Connection when SQL server and web Server are on two separate machines

George J. Capnias — Tue, 14 Jun 2005 17:55:46 GMT

cgeo wrote:
Έχω χρήστες από internet που δεν μπορώ/θέλω να τους επιβαρύνω με vpn, μισθωμένες κλπ. Πρέπει με το απλό dial-up με την κάρτα από το περίπτερο να μπορούν να έχουν πρόσβαση σε πληθώρα δεδομένων.

Το VPN παίζει πάνω από μια σύνδεση σαν αυτή που περιγράφεις.

Συνδέεσαι πρώτα στο Internet με όποιο τρόπο είναι δυνατόν, παίζει και πάνω από GPRS/3G - ο VPN client είναι default σε όλα 3G μοντέλα τις Nokia, υποστήριξη VPN υπάρχει από τα Pocket PC 2003 και πέρα, για τα smartphones δεν είμαι σίγουρος, ας με συμπληρώσει ο atsouch - και μετά κάνεις μια δεύτερη σύνδεση στον RAS της εταιρείας - ένας απλός windows server που του έχει δωθεί η ιδιότητα, αν υπάρχει στο infrastructure ISA, μπορεί να είναι ο ISA.

Απλά αυτή η δεύτερη σύνδεση είναι κρυπτογραφιμένη και δεν είναι δυνατόν, να υποκλέψεις δεδομένα. Μπορείς να ενεργοποιήσεις IPSec και άλλα καλούδια μιας και ο client είναι πλέον μέσα στο corporate δίκτυο. Θεωρείται ένας από τους πιο ασφαλείς τρόπους για συνδεθείς μέσα σε corporate network από ένα "εχθρικό" δίκτυο.

Πιθανώς ο dpapits είναι πιο ειδικός, σαν MCSE, και μπορεί να δώσει περισσότερες πληροφορίες όσο για την ασφάλεια που μπορεί να προσφέρει το VPN, όσο για τι απαιτήται για να στηθεί ένας VPN/RAS server σε ένα corporate δίκτυο, αλλά σε διαβεβαιώνω ότι δεν υπάρχει έξτρα κόστος, όσο έχει να κάνει με περισσότερα κυκλώματα OTE ή άλλη σύνδεση από την κανονική στο Internet.

George J.

Re: How to use Trusted Connection when SQL server and web Server are on two separate machines

Χρήστος Γεωργακόπουλος — Tue, 14 Jun 2005 17:09:12 GMT

Έχω χρήστες από internet που δεν μπορώ/θέλω να τους επιβαρύνω με vpn, μισθωμένες κλπ. Πρέπει με το απλό dial-up με την κάρτα από το περίπτερο να μπορούν να έχουν πρόσβαση σε πληθώρα δεδομένων.

Re: How to use Trusted Connection when SQL server and web Server are on two separate machines

George J. Capnias — Tue, 14 Jun 2005 08:47:50 GMT

Αυτό το πρόβλημα που παραθέτεις δεν είναι άγνωστο.

Ένας τρόπος να αντιμετωπίσεις αυτό τη κατάσταση θα ήταν μην έβγαζες τον Web Server στο Internet. Από αυτά που λες, μέγάλη ευαισθησία των δεδομένων, ανάγκη authentication στο εταιρικό domain, μόνο για exposure μέσω internet δεν είναι. Είναι μια καθαρή υπόθεση και best practice για VPN.

Με το VPN θα αύξανες στο κατακόρυφο την ασφάλεια των clients που θα έμπαιναν μέσω internet, χωρίς να κάνεις compomize στο security του Web Server. Θα είχες μια μόνο intranet εφαρμογή και από κει και πέρα η δυσκολία του εγχειρήματος πέφτει...

George J.

Re: How to use Trusted Connection when SQL server and web Server are on two separate machines

Χρήστος Γεωργακόπουλος — Tue, 14 Jun 2005 07:36:07 GMT

Το σενάριο: smart clients από internet και intranet, μιλάνε με ένα web server που και αυτός με τη σειρά του μιλάει με έναν sql server. Τα μηχανήματα είναι στο εταιρικό domain, είναι καθαρά (δεν κάνουν άλλες δουλιές) και το load είναι πολύ μεγάλο. Τα δεδομένα είναι αρκετά sensitive. Το development και η διαχείριση γίνονται in-house από ικανοποιητικό στο μέγεθός του team.

Οι αρχικοί στόχοι ήταν:

να εξαφανίσω το connection string από το web.config (και γενικά όσα λιγότερα στον web, τόσο καλύτερα)
να χρησιμοποιώ μόνο windows authentication στον sql για να έχω εννιαία διαχείριση του χρήστη με τον οποίον δουλεύουν τα services στον sql με τους υπόλοιπους τοπικούς μου χρήστες (olap, backup, συντήρηση, deployment)

Την επεξήγηση - εκπαίδευση άλλων developers της εταιρίας τη δίνω σαν παράδειγμα πρακτικού προβλήματος που δεν περιγράφεται στα manuals και ενδεχομένως μόνο κάποιος με αντίστοιχη εμπειρία θα μπορούσε να το αναφέρει. Πάντως είναι και αυτό ένα υπαρκτό πρόβλημα στις λύσεις που υιοθετώ.

Re: How to use Trusted Connection when SQL server and web Server are on two separate machines

KelMan — Tue, 14 Jun 2005 07:07:03 GMT

Χρήστο, αυτό που έχει σημασία είναι το "σενάριο" που ζητάει ο Άρης. Πρόκειται για internet application? Intranet? Extranet? Πως είναι οργανωμένο το infrastructure? Ποιά είναι τα requirements? Ποιά είναι τα resources? Χωρίς αυτές τις πληροφορίες, μπορεί η εμπειρία που ενδεχομένως να έχει κάποιος σε ένα σενάριο να είναι άχρηστη για κάποιο άλλο σενάριο... Μια λύση που μπορεί να είναι άψογη για έναν οργανισμό που έχει DB admin, WEB admin και in-house developers, μπορεί να είναι καταστροφική για κάποιον οργανισμό που έχει απλά έναν "IT manager", και πάει λέγοντας. Ας πούμε, εσύ απ'ότι βλέπω θέτεις ως ένα σοβαρό κριτήριο το κατά πόσο μπορεί να επεξηγηθεί εύκολα η λύση σε άλλους devepers. Ομολογώ ότι δεν το είχα σκεφτεί ποτέ από αυτήν την άποψη.

Re: How to use Trusted Connection when SQL server and web Server are on two separate machines

George J. Capnias — Tue, 14 Jun 2005 05:49:29 GMT

Χμ...

Η αλήθεια είναι ότι πάντα το πρόβλημα είναι αυτό που απαιτεί λύση. Να έχουμε στο μυαλό μας γενικά λύσεις χωρίς να είναι αντιστοιχισμένα σε προβλήματα δεν είναι πρακτικό.

Αν θεωρήσουμε ένα web server που είναι hosted enviroment, και δεν έχουμε πολλά στον server, να κάνεις κάτι καλύτερο από το να γράψεις το connection string στο web.config, δεν μπορείς. Οπότε σε αυτή την περίπτωση να ζητήσεις ο ASPNET χρήστης, να μπορεί να συνδεθεί με Windows Authenication πάνω στον SQL Server είναι σίγουρα η πιο σωστή λύση.

Αν ο έλεγχος είναι πιο μεγάλος επάνω στον Web Server, κάνουμε host τον server μόνοι μας, τότε σίγουρα μπορούμε να κάνουμε περισσότερα, όσο έχει να κάνει με το θέμα της ασφάλειας. Καλό θα ήταν τα connection strings να τα περνάμε στο machine.config, αν είναι να είναι να περιέχουν passwords.

Εδώ θα μπορούσαμε να χρησιμοποιήσουμε τα connection strings στο registry, αλλά σίγουρα θα είναι σε βάρος της ευκολίας του deployment των εφαρμογών, όπως αναφέρθηκε. Σε εξειδικευμένες περιπτώσεις, όταν είναι για εφαρμογές που περιέχουν κρίσιμα δεδομένα, κρίσιμα στην εμπιστευτικότητα, όπως HR δεδομένα είναι μία από τις λύσεις που παίζει πολύ μιας και χειριστής θα είναι και πιθανώς το μοναδικό άτομο που θα μπορεί να χειρίζεται αυτά τα δεδομένα.

Όσο έχει να κάνει με το DAPI καλό είναι να έχετε υπόψη ότι γενικά τα functions που έχουν να κάνουν με το CryptAPI των Windows, απαιτούν και δικαιώματα Administrator. Καλό είναι να αποφεύγεται, λογαριασμοί που ανήκουν στο group των local/domain administrators να τρέχουν Web Applications. Αν θέλουμε να μπούμε στον κόπο για την υλοποίηση κάτι τέτοιου, καλό θα είναι να είναι μέσα στο business layer, που κατά πάσα πιθανότητα είναι μέσα στο component services και η χρήση ενός λογαριασμού με elevated privileges δεν είναι πρόβλημα.

Αν υποθέσουμε ότι ο Web Server και ο SQL Server είναι δύο διαφορετικές μηχανές και θέλουμε να έχουμε trusted connection. Λοιπόν το σημείο είναι λεπτό, αλλά to καλύτερο είναι να έχουμε ένα domain εδώ. Σίγουρα δεν θα είναι το domain που είναι όλοι οι άλλοι servers της εταιρείας, και εξυπηρετεί τους χρήστες, αλλά ένα domain που θα εξυπηρετεί αυτό και μόνο στο σκοπό, την επικοινωνία των 2 αυτών servers. Εκτός ότι οι λογαριασμοί θα ελέγχονται από το domain, μπορούμε να προχωρήσουμε και ένα βήμα πιο πέρα, με IPSec, Certificates και SSL και όλα τα καλά που μπορούμε να έχουμε σε ένα domain.

Αν έχουμε να κάνουμε με μια συστοιχία servers, web farm και έχουμε το πρόβλημα του session και υπάρχει ο session server, και να το πάμε ένα βήμα πιο πέρα, θέλουμε να κάνουμε το deployment και την παρακολούθηση της συστοιχίας με τον Application Server 2000, τότε το domain είναι μονόδρομος.

George J.

Re: How to use Trusted Connection when SQL server and web Server are on two separate machines

Χρήστος Γεωργακόπουλος — Tue, 14 Jun 2005 05:10:54 GMT

Aris wrote:
Έχεις υπ' όψιν σου κάποιο συγκεκριμένο σενάριο;

Άρης

Για να καταλάβεις γιατί το συζητάω εδώ μέσα:

Λύση με connection string στο registry:

Αρκετά ασφαλής
Περιπλοκότερη στην επεξήγηση στους άλλους developers (juniors)
Πιο χρονοβόρα σε αποκατάσταση σε περίπτωση καταστροφής του web server

Λύση με DPAPI:

Ασφαλής
Αρκετό μπλέξιμο
Ούτε που το συζητάμε να το εξηγήσω στους άλλους, αν σκάσει θα πρέπει να τρέχω εγώ και μόνο εγώ

Λύση με Mirrored acounts:

Απλή στην υλοποίηση
Εύκολα επεξηγήσιμη
Φαίνεται λίγο μπακάλικη

Από αυτές τις "πρακτικές" πλευρές το ψάχνω. Εκτός το θέμα ασφάλεια και άλλες θεωρητικούρες, τα manuals δεν σου λένε κάτι άλλο. Γι' αυτό ψάχνω άτομα που να έχουν πετύχει παρόμοιες καταστάσεις και να μου πουν την άποψή τους. Επίσης, ενδεχομένως κάποιος που το έχει ζήσει να μου προτείνει κάποια σημεία στα οποία από την πείρα του ξέρει ότι πρέπει να πέσει περισσότερο βάρος...

Re: How to use Trusted Connection when SQL server and web Server are on two separate machines

Aris — Tue, 14 Jun 2005 04:50:10 GMT

Έχεις υπ' όψιν σου κάποιο συγκεκριμένο σενάριο;

Άρης

Re: How to use Trusted Connection when SQL server and web Server are on two separate machines

Χρήστος Γεωργακόπουλος — Tue, 14 Jun 2005 04:31:36 GMT

Aris wrote:

Φτιάχνεις domain account, σε αυτόν δίνεις τα δικαιώματα στον SQL και αποθηκεύεις τα username & password στο registry.

Άρης

Είναι λύση που έχεις εφαρμόσει; Αν ναι γιατί προτίμησες αυτή έναντι των άλλων; (Στο θεωρητικό είναι γνωστό, αλλά στην πράξη μπαίνουν και άλλοι παράγοντες)

Re: How to use Trusted Connection when SQL server and web Server are on two separate machines

Χρήστος Γεωργακόπουλος — Tue, 14 Jun 2005 04:19:46 GMT

Thanx, είναι χρήσιμα έτσι μαζεμένα.
Anyway αποφάσισα να ακολουθήσω την τακτική mirrored local accounts, το είχε και ο τυπάς στο αρχικό μου post, αλλά το είδα πολύ μπακάλικο... Αφού όμως το προτείνει η microsoft και είναι και βολικό (σε σχέση με τα άλλα)...

Αντιγράφω από το pdf με τις 608 σελίδες :

Use "mirrored" local accounts (that is, accounts with matching usernames and passwords on two computers). You need to use this approach when the computers are in separate domains with no trust relationship or when the computers are separated by a firewall and you cannot open the ports required for NTLM or Kerberos authentication.

The simplest approach is to change the ASPNET account's password to a known value on the Web server and then create an account named ASPNET with the same password on the target computer. On the Web server, you must first change the ASPNET account password in Local Users and Groups and then replace "AutoGenerate" with the new password in machine.config.

Πάντως αν κάποιος έχει λόγους να χρησιμοποιεί κάτι άλλο, ας το πει να το συζητήσουμε...

Re: How to use Trusted Connection when SQL server and web Server are on two separate machines

Aris — Tue, 14 Jun 2005 04:03:31 GMT

cgeo wrote:
!!! Μάλλον δεν με κατάλαβες.... Έστω ότι βάζεις το κλειδί στο web config. Πάμε στον Sql τώρα. Σε ποιον χρήστη θα δώσεις δικαιώματα; στον ASPNET που είναι Local στον IIS και ο SQL δεν τον ξέρει; Μιλάω για περιπτώσεις που ο SQL είναι σε αλλο μηχάνημα από τον IIS, οπότε το locahost πάει περίπατο...

Φτιάχνεις domain account, σε αυτόν δίνεις τα δικαιώματα στον SQL και αποθηκεύεις τα username & password στο registry.

Άρης

Re: How to use Trusted Connection when SQL server and web Server are on two separate machines

KelMan — Tue, 14 Jun 2005 03:33:03 GMT

Αμάν... Παραπλανήθηκα... Η αλήθεια είναι ότι διάβασα πεταχτά το blog-post και μου έμεινε η εντύπωση ότι τι πρόβλημα είναι που αποθηκεύουμε το connection string και όχι πως setάρουμε τον IIS και τον SQL Server...

Πάντως, επί του θέματος που έθεσες, αν έχεις όρεξη για διάβασμα, μπορείς να βρεις πολλές πληροφορίες εδώ: Building Secure ASP.NET Applications. Είναι ένα guide μικρό... 600 περίπου σελίδων... που λέει τα πάντα... IIS+SQL Server σε intranet, σε extranet, σε public access, με ενδιάμεσο proxy, με Enterprise Services, με remoting, με Web services...

Re: How to use Trusted Connection when SQL server and web Server are on two separate machines

Χρήστος Γεωργακόπουλος — Tue, 14 Jun 2005 01:30:14 GMT

!!! Μάλλον δεν με κατάλαβες.... Έστω ότι βάζεις το κλειδί στο web config. Πάμε στον Sql τώρα. Σε ποιον χρήστη θα δώσεις δικαιώματα; στον ASPNET που είναι Local στον IIS και ο SQL δεν τον ξέρει; Μιλάω για περιπτώσεις που ο SQL είναι σε αλλο μηχάνημα από τον IIS, οπότε το locahost πάει περίπατο...

Δεν το διάβασες το αρθράκι που δίνω... μάλλον το post σου πρέπει να πάει κάπου αλλού ξεχωριστά για reference...