Level Extreme platform
Subscription
Corporate profile
Products & Services
Support
Legal
Français
Estrategia de acceso a usuarios VFP+SQL Server 2000
Message
From
03/10/2005 21:23:35
Martin Salias
Southworks
Argentina
 
General information
Forum:
Visual FoxPro
Category:
Client/server
Title:
Re: Estrategia de acceso a usuarios VFP+SQL Server 2000
Environment versions
Visual FoxPro:
VFP 8 SP1
Database:
MS SQL Server
Miscellaneous
Thread ID:
01055442
Message ID:
01055719
Views:
12
Hola, Ricardo.

>Tenemos que tener información de auditoría.
>Por eso necesitamos que dentro de SQL Server se identifiquen los usuarios que acceden mediante la conexión ODBC (hoy en dia es un único usuario y para peor "sa").

Bueno, ahí tenés uno de los principales problemas. La cuenta sa debería eliminarse directamente, y dejar un usuario específico para tu aplicación, con lo que tu log de auditoría estándar alcanzaría. Por supuesto, esta cuenta debe ser de uso exclusivo de tu sistema.

>Se que se complica el deployment con varios usuarios, pero concretamente el problema, como explicaba al principio del hilo, es la seguridad en el cliente.
>Modifican y eliminan registros sensibles desde nuestra aplicación (con los niveles de acceso sufcientes) y por fuera usando las herramientas de SQL Server.
>Nuestra app maneja una bitacora de transacciones bastante detallada pero perdemos el control cuando los DBA del cliente (que ya no son confiables) acceden a los datos directamente de SQL Server.

Eliminado sa, deberían crear cuentas especiales para cada uno de los administradores, o mejor aún, dejar que se conecten con autenticación de Windows, de manera que queden identificados con su usuario de Active Directory.

>Ademas surge la duda si darle los roles de usuarios a la B.D. o manejarlos por programación dentro de la app.

Con este mecanismo deberías de dejar de tener problemas. Por experiencia, te recomiendo que no fuerces a que cada usuario de tu sistema deba tener un login en SQL server. Recuerda que una de las famosas falacia de Peter Deutsch es "Hay un solo Administrador". Se refiere a que no debes suponer que la situación de ahora no cambiará. Si convences a los Admin actuales para que creen un login para cada usuario, cuando estos cambien pueden dejar de hacerlo, o negarse directamente. Elige un mecanismo que te independice de esto. Tu sistema debe tener un usuario de uso ABSOLUTAMENTE exclusivo, y luego manejas internamente los logs de auditoría con el usuario de AD ó el interno que tengas en tu sistema.

Dime si tienes dudas.

Saludos y suerte,
Martín Salías
Developer and Architect
Agile Alliance member
C# MVP
Previous
Reply
Map
View

Click here to load this message in the networking platform