%22%20gradientUnits%3D%22userSpaceOnUse%22%3E%3Cstop%20stop-color%3D%22%23fd0a02%22%20offset%3D%220%22%2F%3E%3Cstop%20stop-color%3D%22%23fd3703%22%20offset%3D%22.27%22%2F%3E%3Cstop%20stop-color%3D%22%23fffb17%22%20offset%3D%221%22%2F%3E%3C%2FlinearGradient%3E%3CradialGradient%20id%3D%22IDa%22%20cx%3D%22226.87%22%20cy%3D%22227.78%22%20r%3D%22226.77%22%20gradientTransform%3D%22matrix(1%200%200%20.99928%204.5%20.16398)%22%20gradientUnits%3D%22userSpaceOnUse%22%20spreadMethod%3D%22reflect%22%3E%3Cstop%20stop-color%3D%22%23fffb17%22%20offset%3D%22-99%22%2F%3E%3Cstop%20stop-color%3D%22%23fd3703%22%20style%3D%22stop-color%3A%23d6d6d6%3Bstop-opacity%3A.80992%22%20offset%3D%22-25.96%22%2F%3E%3Cstop%20stop-color%3D%22%23fd0a02%22%20style%3D%22stop-color%3A%23640401%22%20offset%3D%221%22%2F%3E%3C%2FradialGradient%3E%3Cfilter%20id%3D%22IDc%22%20x%3D%22-.073393%22%20y%3D%22-.073446%22%20width%3D%221.1468%22%20height%3D%221.1469%22%20style%3D%22color-interpolation-filters%3AsRGB%22%3E%3CfeGaussianBlur%20stdDeviation%3D%2213.661255%22%2F%3E%3C%2Ffilter%3E%3C%2Fdefs%3E%3Cg%20transform%3D%22translate(28.187%2031.614)%22%3E%3Cpath%20d%3D%22m144.36%20418.24c-31.519-36.408-42.174-117.36-35.104-140.33%209.9544-32.345%2021.049-46.054%2052.91-61.14%2012.171-5.7629%2030.369-9.7087%2040.618-16.999%209.6275-6.8485%2011.103-20.882%200.3031-30.555-11.374-10.186-25.905-6.8539-44.714-1.9463-0.8293%200.2163-2.2371%201.2415-2.4517%202.0893-0.5764%202.2763%200.3517%204.8404%201.55%207.9654-13.009-4.9358-26.833-14.752-28.839-21.314-6.3773-20.865%2017.573-38.445%2048.266-37.644-3.4102-17.273-3.4635-26.602%2018.537-25.134%2032.366%202.1593%2053.818%2013.086%2085.84%2021.325%202.5911%200.6668%2015.302%204.2674%2017.351%202.4455%201.3911-1.2363%202.2548-6.8008%204.1746-11.352%201.7884%205.7771%203.6412%2013.171%201.3306%2018.928-3.601%208.9701-42.338%200.4436-49.836-0.4936-1.4719%202.0873-0.7547%206.4248%201.0548%206.9152%2021.778%205.9031%2040.947%2025.511%2046.258%2034.455%208.8055%2014.832%2010.521%2029.513%207.7741%2042.707-2.5105%2012.06-21.178%2036.296-31.757%2050.233-13.891%2018.301-22.03%2028.984-9.0675%2043.421%206.6796%207.4391%2040.824%2010.557%2075.278-3.6384%2030.204-12.444%2075.735-59.108%2075.527-110.4-0.4087-100.65-83.111-169.04-176.17-181.35-4.1817-0.6355-4.2058-5.2511-0.0238-5.2514%2085.729-8e-3%20214.98%2078.833%20214.98%20226.49%202e-4%20127-105.71%20226.72-223.18%20226.72-46.871%200-69.584-11.872-90.603-36.151zm-139.76-190.62c0-147.17%20129.41-226.45%20214.98-226.45%204.2192%200%204.2282%204.6119%209e-3%205.2304-94.354%2010.94-163.61%2072.376-180.2%20163.11-13.135%2071.848%2014.501%20141.16%2066.086%20182.98%206.8172%2036.501%2027.251%2073.534%2052.047%2089.504-97.014-32.749-152.92-124.89-152.92-214.38zm189.2-109.32c-1.0982-0.0895-5.4887-5.9834-1.2128-6.6405%2010.982-1.6874%2021.989%202.9859%2027.148%206.8763%200.9582%200.7226%200.4686%203.0838-0.2361%202.9402-5.5378-1.1299-24.15-3.05-25.699-3.176z%22%20style%3D%22fill-rule%3Aevenodd%3Bfill%3Aurl(%23IDa)%3Bfilter%3Aurl(%23IDc)%3Bmix-blend-mode%3Anormal%3Bopacity%3A.61733%3Bstroke-width%3A.99975%3Bstroke%3A%23000000%22%2F%3E%3Cpath%20d%3D%22m139.76%20417.07c-31.519-36.408-42.174-117.36-35.104-140.33%209.9544-32.345%2021.049-46.054%2052.91-61.14%2012.171-5.7629%2030.369-9.7087%2040.618-16.999%209.6275-6.8485%2011.103-20.882%200.3031-30.555-11.374-10.186-25.905-6.8539-44.714-1.9463-0.8293%200.2163-2.2371%201.2415-2.4517%202.0893-0.5764%202.2763%200.3517%204.8404%201.55%207.9654-13.009-4.9358-26.833-14.752-28.839-21.314-6.3773-20.865%2017.573-38.445%2048.266-37.644-3.4102-17.273-3.4635-26.602%2018.537-25.134%2032.366%202.1593%2053.818%2013.086%2085.84%2021.325%202.5911%200.6668%2015.302%204.2674%2017.351%202.4455%201.3911-1.2363%202.2548-6.8008%204.1746-11.352%201.7884%205.7771%203.6412%2013.171%201.3306%2018.928-3.601%208.9701-42.338%200.4436-49.836-0.4936-1.4719%202.0873-0.7547%206.4248%201.0548%206.9152%2021.778%205.9031%2040.947%2025.511%2046.258%2034.455%208.8055%2014.832%2010.521%2029.513%207.7741%2042.707-2.5105%2012.06-21.178%2036.296-31.757%2050.233-13.891%2018.301-22.03%2028.984-9.0675%2043.421%206.6796%207.4391%2040.824%2010.557%2075.278-3.6384%2030.204-12.444%2075.735-59.108%2075.527-110.4-0.4087-100.65-83.111-169.04-176.17-181.35-4.1817-0.6355-4.2058-5.2511-0.0238-5.2514%2085.729-8e-3%20214.98%2078.833%20214.98%20226.49%202e-4%20127-105.71%20226.72-223.18%20226.72-46.871%200-69.584-11.872-90.603-36.151zm-139.76-190.62c0-147.17%20129.41-226.45%20214.98-226.45%204.2192%200%204.2282%204.6119%209e-3%205.2304-94.354%2010.94-163.61%2072.376-180.2%20163.11-13.135%2071.848%2014.501%20141.16%2066.086%20182.98%206.8172%2036.501%2027.251%2073.534%2052.047%2089.504-97.014-32.749-152.92-124.89-152.92-214.38zm189.2-109.32c-1.0982-0.0895-5.4887-5.9834-1.2128-6.6405%2010.982-1.6874%2021.989%202.9859%2027.148%206.8763%200.9582%200.7226%200.4686%203.0838-0.2361%202.9402-5.5378-1.1299-24.15-3.05-25.699-3.176z%22%20style%3D%22fill-rule%3Aevenodd%3Bfill%3Aurl(%23IDb)%3Bstroke-width%3A.32475%3Bstroke%3A%23909090%22%2F%3E%3C%2Fg%3E%3C%2Fsvg%3E%0A){kind=small}
RDB$ADMIN in einer regulären DatenbankUm seine RDB$ADMIN-Privilegien auszuüben, muss der Stipendiat die Rolle bei der Verbindung mit der Datenbank in die Verbindungsattribute aufnehmen oder später mit SET ROLE angeben.
AUTO ADMIN MAPPINGWindows-Administratoren werden nicht automatisch RDB$ADMIN-Berechtigungen gewährt, wenn sie sich mit einer Datenbank verbinden (natürlich wenn Win_Sspi aktiviert ist)Der Schalter AUTO ADMIN MAPPING bestimmt nun datenbankweise, ob Administratoren über automatische RDB$ADMIN-Rechte verfügen.Wenn eine Datenbank erstellt wird, ist sie standardmäßig deaktiviert.
Wenn AUTO ADMIN MAPPING in der Datenbank aktiviert ist, wird es immer wirksam, wenn ein Windows-Administrator eine Verbindung herstellt:
mit Win_Sspi-Authentifizierung und
ohne eine Rolle anzugeben
Nach einer erfolgreichen auto admin-Verbindung wird die aktuelle Rolle auf RDB$ADMIN gesetzt.
Wenn beim Connect eine explizite Rolle angegeben wurde, kann die Rolle RDB$ADMIN später in der Sitzung mit SET TRUSTED ROLE übernommen werden.
So aktivieren und deaktivieren Sie die automatische Zuordnung in einer regulären Datenbank:
ALTER ROLE RDB$ADMIN
SET AUTO ADMIN MAPPING; -- aktivieren
ALTER ROLE RDB$ADMIN
DROP AUTO ADMIN MAPPING; -- deaktivierenBeide Anweisungen müssen von einem Benutzer mit ausreichenden Rechten ausgegeben werden, d. h.:
Der Datenbankbesitzer
Ein Administrator
Ein Benutzer mit der Berechtigung ALTER ANY ROLE
|
Note
|
Die Anweisung ist eine vereinfachte Form einer Dementsprechend ist die Anweisung gleichbedeutend zum Statement Für weitere Details, siehe auch [fblangref40-security-mapping-de] |
In einer regulären Datenbank wird der Status von AUTO ADMIN MAPPING nur zur Verbindungszeit überprüft.Wenn ein Administrator die Rolle "RDB$ADMIN" hat, weil die automatische Zuordnung bei der Anmeldung aktiviert war, behält er diese Rolle für die Dauer der Sitzung bei, auch wenn er oder eine andere Person die Zuordnung in der Zwischenzeit deaktiviert.
Ebenso ändert das Einschalten von "AUTO ADMIN MAPPING" die aktuelle Rolle für Administratoren, die bereits verbunden waren, nicht in RDB$ADMIN.
Die Anweisung ALTER ROLE RDB$ADMIN kann AUTO ADMIN MAPPING in der Sicherheitsdatenbank nicht aktivieren oder deaktivieren.Sie können jedoch ein globales Mapping für die vordefinierte Gruppe DOMAIN_ANY_RID_ADMINS auf die Rolle RDB$ADMIN wie folgt erstellen:
CREATE GLOBAL MAPPING WIN_ADMINS
USING PLUGIN WIN_SSPI
FROM Predefined_Group DOMAIN_ANY_RID_ADMINS
TO ROLE RDB$ADMIN;Außerdem können Sie gsec verwenden:
gsec -mapping set gsec -mapping drop
|
Note
|
Abhängig vom administrativen Status des aktuellen Benutzers können beim Aufruf von gsec weitere Parameter benötigt werden, z. |
Nur SYSDBA kann AUTO ADMIN MAPPING aktivieren, wenn es deaktiviert ist, aber jeder Administrator kann es deaktivieren.
Wenn AUTO ADMIN MAPPING in gsec deaktiviert wird, schaltet der Benutzer den Mechanismus selbst aus, der ihm den Zugriff gewährt hat, und somit wäre er nicht in der Lage, AUTO ADMIN MAPPING wieder zu aktivieren.Auch in einer interaktiven gsec-Sitzung wird die neue Flag-Einstellung sofort wirksam.
Als allgemeine Beschreibung ist ein Administrator ein Benutzer mit ausreichenden Rechten zum Lesen, Schreiben, Erstellen, Ändern oder Löschen von Objekten in einer Datenbank, für die der Administratorstatus dieses Benutzers gilt.Die Tabelle fasst zusammen, wie Superuser-Rechte in den verschiedenen Firebird-Sicherheitskontexten aktiviert werden.
Benutzer |
RDB$ADMIN-Rolle |
Hinweis |
|
Auto |
Existiert automatisch auf Serverebene.Verfügt über alle Berechtigungen für alle Objekte in allen Datenbanken.Kann Benutzer erstellen, ändern und löschen, hat jedoch keinen direkten Fernzugriff auf die Sicherheitsdatenbank |
root-Benutzer unter POSIX |
Auto |
Genau wie |
Superuser unter POSIX |
Auto |
Genau wie |
Windows-Administrator |
Als |
Genau wie
|
Datenbankbesitzer |
Auto |
Wie |
Normaler Benutzer |
Muss vorher erteilt werden;muss beim Login angegeben werden |
Wie |
Benutzer unter POSIX-Betriebssystemen |
Muss vorher erteilt werden;muss beim Login angegeben werden |
Wie |
Windows-Benutzer |
Muss vorher erteilt werden;muss beim Login angegeben werden |
Wie |
Firebird 4.0 gewährte Benutzern nicht nur volle Administratorrechte, sondern führte auch Systemprivilegien ein, die es ermöglichen, normalen Benutzern eine Untergruppe von Administratorrechten zu erteilen, die in der Vergangenheit nur auf SYSDBA und Administratoren beschränkt waren.Beispielsweise:
Führen Sie Dienstprogramme wie gbak, gfix, nbackup usw. aus
Fahren Sie eine Datenbank herunter und bringen Sie sie online
Verfolgen Sie die Anhänge anderer Benutzer
Greifen Sie auf die Überwachungstabellen zu
Führen Sie Management-Anweisungen . aus
Die Implementierung definiert einen Satz von Systemberechtigungen, analog zu Objektberechtigungen, aus denen Listen privilegierter Aufgaben Rollen zugewiesen werden können.
Es ist auch möglich, einem Systemprivileg normale Privilegien zu erteilen, wodurch sich das Systemprivileg wie ein spezieller Rollentyp verhält.
Die Systemprivilegien werden über CREATE ROLE und ALTER ROLE zugewiesen.
|
Warning
|
Beachten Sie, dass jedes Systemprivileg ein sehr geringes Maß an Kontrolle bietet.Für einige Aufgaben kann es erforderlich sein, dem Benutzer mehr als eine Berechtigung zu erteilen, um eine Aufgabe auszuführen.Fügen Sie beispielsweise |
In der folgenden Tabelle sind die Namen der gültigen Systemberechtigungen aufgeführt, die Rollen gewährt und entzogen werden können.
USER_MANAGEMENT
|
Benutzer verwalten (in der Sicherheitsdatenbank angegeben) |
READ_RAW_PAGES
|
Seiten im Rohformat lesen mit |
CREATE_USER_TYPES
|
Hinzufügen/Ändern/Löschen von Nicht-System-Datensätzen in |
USE_NBACKUP_UTILITY
|
Verwenden von nbackup um Datenbankkopien zu erstellen |
CHANGE_SHUTDOWN_MODE
|
Datenbank herunterfahren und online schalten |
TRACE_ANY_ATTACHMENT
|
Verfolgen von Verbindungen anderer Benutzer |
MONITOR_ANY_ATTACHMENT
|
Überwachen (Tabellen |
ACCESS_SHUTDOWN_DATABASE
|
Zugriff auf die Datenbank, wenn sie heruntergefahren ist |
CREATE_DATABASE
|
Neue Datenbanken erstellen (in security.db angegeben) |
DROP_DATABASE
|
Diese Datenbank löschen |
USE_GBAK_UTILITY
|
Verwenden des gbak-Dienstprogramm |
USE_GSTAT_UTILITY
|
Verwenden des gstat-Dienstprogramm |
USE_GFIX_UTILITY
|
Verwenden des gfix-Dienstprogramm |
IGNORE_DB_TRIGGERS
|
Engine anweisen, keine Trigger auf DB-Ebene auszuführen |
CHANGE_HEADER_SETTINGS
|
Parameter auf der DB-Header-Seite ändern |
SELECT_ANY_OBJECT_IN_DATABASE
|
Verwenden von |
ACCESS_ANY_OBJECT_IN_DATABASE
|
Zugriff (auf jede mögliche Weise) auf jedes Objekt |
MODIFY_ANY_OBJECT_IN_DATABASE
|
Beliebiges Objekt ändern (bis zum Ablegen) |
CHANGE_MAPPING_RULES
|
Authentifizierungszuordnungen ändern |
USE_GRANTED_BY_CLAUSE
|
Verwenden von |
GRANT_REVOKE_ON_ANY_OBJECT
|
|
GRANT_REVOKE_ANY_DDL_RIGHT
|
|
CREATE_PRIVILEGED_ROLES
|
Verwenden von |
MODIFY_EXT_CONN_POOL
|
Verwenden des Befehls |
REPLICATE_INTO_DATABASE
|
Verwenden der Replikations-API, um Änderungssets in die Datenbank zu laden |