параметров может оказаться сложным для понимания. Полный синтаксис оператора выглядит следующим образом:

CREATE LOGIN <login name> [ { WITH

PASSWORD = <password> [ HASHED ] [ MUST CHANGE ] [, SID = <sid>

DEFAULT DATABASE = <database> DEFAULT LANGUAGE = <language> CHECK EXPIRATION = { ON OFF} CHECK POLICY = { ON I OFF} [ CREDENTIAL = <credential name> [, - <next option>] ]

} I

{ FROM

WINDOWS

[ WITH DEFAULT DATABASE = <database>

I DEFAULT LANGUAGE = <language> ] CERTIFICATE <certificate name> ASYMMETRIC KEY <asymmetric key name>

Необязательной частью оператора CREATE LOGIN является та часть, которая начинается с ключевого слова WITH или FROM, поэтому данный оператор может применяться в двух основных формах. В первой из них за именем пользователя непосредственно следует ключевое слово WITH, а во второй - FROM. Ниже приведено описание двух указанных форм оператора, наряду с параметрами, относящимися к конструкциям WITH и FROM.

Оператор create login. .. with

в операторе CREATE LOGIN с конструкцией WITH в первую очередь должны быть даны определения параметров, относящихся к учетным записям, предназначенным для аутентификации в СУБД SQL Server, а не к каким-либо другим методам аутентификации. Эти параметры могут применяться, только если разрешено использование средств обеспечения безопасности SQL Server (а не Windows). Очевидно, что количество параметров в конструкции WITH довольно велико, поэтому в табл. 22.1 приведено их подробное описание.

Значительная часть параметров, представленных в табл. 22.1, введено в действие в СУБД SQL Server впервые. Из этого следует, что саму команду CREATE LOGIN не следует рассматривать как совершенно новую. Верно, что вариант CREA.TE LOGIN. . . WITH был предусмотрен с версии SQL Server 2005, но по существу является разновидностью команды CREATE LOGIN, которая заменила устаревшую хранимую процедуру sp addlogin. В версии SQL Server 2005 достигнуто весьма значительное усовершенствование средств обеспечения безопасности, даже в части средств самой СУБД SQL Server, и эти новые возможности нагили свое отражение в параметрах команды CREATE LOGIN. . . WITH, которая не имеет аналога в хранимой процедуре sp addlogin.

Таблица 22.1. Параметры оператора create login

Параметр

Описание

password

hashed

must change

default database

default language

check expiration

check policy

credential

Очевидно, что назначение параметра password соответствует его имени. Один из нюансов, связанных с его применением, состоит в том, что пароль может быть задан в виде открытого текста (и в этом случае СУБД SQL Server шифрует пароль при вводе его в базу данных) или уже зашифрован (в этом случае необходимо задать параметр hashed, который описан далее)

Параметр hashed следует за паролем и используется, только если заданный пароль уже хеширован (зашифрован). В этом случае СУБД SQL Server вводит пароль в базу данных, не шифруя его повторно

Имя параметра must ceange означает подлежит изменению , и назначение данного параметра также соответствует его имени. Кратко можно отметить, что если задан этот параметр, то пользователи получат запрос сменить свой пароль при первой же регистрации

Параметр sid позволяет ввести идентификатор GUID, который должен использоваться в СУБД SQL Server для идентификации данной учетной записи. По мнению автора, этот параметр должен применяться лишь в исключительных случаях. Если он не задан, то СУБД SQL Server формирует идентификатор учетной записи автоматически

Параметр default database обозначает базу данных, которая должна становиться текущей после каждой регистрации пользователя с создаваемой учетной записью

Параметр default language обозначает национальный язык, на котором должны быть представлены сообщения об ошибках и другие системные сообщения, предназначенные для пользователя

Параметр check expiration позволяет указать, должны ли применяться в СУБД SQL Server правила регламентации срока действия пароля. По умолчанию срок действия пароля не истекает. Присваивание этому параметру значения on влечет за собой принудительное применение указанных правил

Параметр check policy позволяет указать, должны ли в СУБД SQL Server применяться правила проверки качества пароля (длины, требований к составу символов и т.д.). По умолчанию пароль должен соответствовать правилам определения паролей Windows. Присваивание этому параметру значения off приводит к тому, что пользователь получает возможность вводить какой угодно пароль

Параметр credential указывает учетные сведения (дополнительная информация об этом приведена ниже), на которые должна отображаться создаваемая учетная запись. Этот параметр отображает учетную запись на набор прав доступа, которые могут дать возможность пользователю выполнять определенные действия вне СУБД SQL Server (например, получать доступа к сети и пр.)

Любой из этих параметров может быть пропущен, а порадок следования определен только для параметров HASHED и MUST CHANGE (которые в случае использования должны быть заданы вслед за параметром PASSWORD).

Оператор create login. .. from

Оператор CREATE LOGIN с конструкцией FROM предназначен для создания учетных записей, для которых при регистрации не используются средства обеспечения безопасности SQL Server. Конструкция FROM определяет источник информации для создаваемой учетной записи. В качестве источника могут применяться несколько разных категорий объектов, описанных ниже.

WINDOWS. При использовании категории WINDOWS обеспечивается отображение создаваемой учетной записи на сугцествующую учетную запись или группу Windows. Применение этой категории равносильно получению сведений о существующей учетной записи (или группе) Windows и передаче ее прав создаваемой учетной записи SQL Server. Из сказанного выше следует, что источником информации может также служить группа Windows. Учетную запись SQL Server можно отобразить на группу Windows, а это означает, что любому члену соответствующей группы будет предоставлен доступ к СУБД SQL Sender на том же уровне. Такая возможность управления пользователями в сети является очень удобной. Например, если требуется, чтобы каждый сотрудник отдела бухгалтерского учета получил определенный набор прав в СУБД SQL Server, можно создать группу Windows, назвать ее Accounting и отобразить на учетную запись SQL Server. После приема на работу нового сотрудника и добавления его учетной записи к группе Accounting ему предоставляется доступ не только ко всем ресурсам Windows, которые находятся в распоряжении группы Accounting, но и ко всем правам доступа к СУБД SQL Server, которые имеет группа Accounting.

Если в качестве источника информации в конструкции FROM используется учетная запись или группа Windows, то появляется также возможность задать конструкцию WITH, подобную той, которая применяется при регистрации с использованием средств обеспечения безопасности SQL Server, но с тем ограничением, что будут использоваться только база данных и национальный язык, предусмотренные по умолчанию.

CERTIFICATE. Этот способ получения информации для создания учетной записи основан на применении сертификата Х.509, который уже связан с конкретным сервером с помощью команды CREATE CERTIFICATE. Сертификаты могут использоваться несколькими разными способами, но в конечном итоге они служат в качестве ключа шифрования, считающегося безопасным. В СУБД SQL Server могут применяться собственные выггущенные сертификаты или импортироваться сертификаты, поступающие из других источников. Предъявление сертификата рассматривается как подтверждение прав на регистрацию в СУБД SQL Server.

ASYMMETRIC KEY. Асимметричные 1слючи являются одной из разновидностей той общей категории средств, к которой относятся также сертификаты. Предъявление ключа рассматривается как свидетельство того, что установлен доверительный доступ к СУБД SQL Server, в связи с чем и предоставляется доступ. Асимметричные ключи - это еще один метод предъявления безопасного ключа.