Nachstehend finden Sie eine Liste der produktweiten neuen Funktionen, die in Version 16.0 hinzugefügt wurden. Hinweise zu
unterstützten Plattformen und Versionen finden Sie unter ![[external link]](gif/external.gif)
http://www.sybase.com/detail?id=1061806.
Neues Sicherheitsmodell: RBAC (Role-Based Access Control - rollenbasierte Zugriffssteuerung) In SQL Anywhere 16.0 wird ein neues rollen- und privilegbasiertes Sicherheitsmodell eingeführt, das an die Stelle des bisherigen Sicherheitsmodells tritt. Das neue rollenbasierte Sicherheitsmodell ermöglicht Ihnen eine genaue Kontrolle darüber, welche mit Privilegien verbundenen Aufgaben Benutzer ausführen können, und eine einfachere Verwaltung der Zugriffssteuerung.
Für vorhandene SQL Anywhere-Kunden, die ein Upgrade auf Version 16.0 durchführen, wurde Rückwärtskompatibilität bereitgestellt, damit die Anwendungen nach dem Upgrade der Datenbank weiterhin funktionieren. In einem speziellen Kapitel wird erläutert, wo die Unterschiede zwischen den Modellen liegen, was beim Upgrade automatisch geschieht und was Sie möglicherweise tun sollten, wenn Sie Anwendungen haben, die SQL Anywhere verwenden (z.B. Ihre Aufrufe für die Anweisungen GRANT und REVOKE aktualisieren). Siehe Upgrade auf rollenbasierte Sicherheit.
Praktische Einführungen sind verfügbar unter Praktische Einführung: Rollen und Privilegien erteilen (Sybase Central) und Praktische Einführung: Rollen und Privilegien erteilen (SQL).
Im Folgenden finden Sie einen kurzen Überblick über die neuen und geänderten Funktionen zur Unterstützung des neuen rollenbasierten Sicherheitsmodells.
Überblick über das rollenbasierte Sicherheitsmodell Vollständige Systemprivilegien und Rollen wurden hinzugefügt, um die Sicherheit zu erhöhen, indem Sie genau festlegen können, über welche Funktionen Ihre Benutzer verfügen sollen. Für jeden mit Privilegien verbundenen Vorgang, der im System durchgeführt werden kann, wurde ein Systemprivileg erstellt. Mit Rollen werden Privilegien zu logischen Gruppen kombiniert. SQL Anywhere bietet Ihnen zahlreiche vordefinierte Rollen, aber Sie können auch Ihre eigenen Rollen erstellen. Siehe Benutzersicherheit (Rollen und Privilegien).
Wenn Sie ein Upgrade vornehmen, werden Datenbankberechtigungen, Berechtigungen und Gruppen durch Rollen, Privilegien und benutzererweiterte Rollen ersetzt. Siehe Upgrade auf rollenbasierte Sicherheit.
Neues TRUNCATE-Privileg auf Objektebene Ein neues Privileg auf Objektebene, TRUNCATE, wurde hinzugefügt, damit ein Benutzer eine angegebene Tabelle oder materialisierte Ansicht kürzen kann. Dieses Privileg gab es in früheren Versionen der Software nicht als Berechtigung auf Objektebene. Siehe Objektprivilegien.
Neues LOAD-Privileg auf Objektebene Ein neues Privileg auf Objektebene, LOAD, wurde hinzugefügt, damit ein Benutzer eine bestimmte Tabelle laden kann. Dieses Privileg gab es in früheren Versionen der Software nicht als Berechtigung auf Objektebene. Siehe Objektprivilegien.
Automatisches Entsperren von Benutzerkonten Mit den Login-Richtlinienoptionen root_auto_lock_time (nur Root-Login-Richtlinie) und auto_unlock_time können Sie festlegen, nach welcher Zeitspanne Benutzer, die aufgrund fehlgeschlagener Login-Versuche aus der Datenbank ausgesperrt wurden, automatisch entsperrt werden. Diese Optionen sind in den Anweisungen CREATE LOGIN POLICY und ALTER LOGIN POLICY verfügbar. Siehe Automatisches Entsperren von Benutzerkonten.
Systemprozeduren Die folgenden Systemprozeduren wurden hinzugefügt, um die rollenbasierte Sicherheit zu unterstützen:
sp_objectpermission-Systemprozedur Diese Prozedur generiert einen Bericht über die Objektprivilegien, die dem angegebenen Element (Objekt, DBSpace, Rolle oder Benutzername) erteilt wurden. Sie müssen vorhandene Datenbanken neu aufbauen, um diese Systemprozedur verwenden zu können. Siehe sp_objectpermission-Systemprozedur.
sp_displayroles-Systemprozedur Gibt alle Rollen zurück, die dem angegebenen Element (Systemprivileg, Systemrolle, benutzerdefinierte Rolle oder Benutzername) erteilt wurden, oder zeigt die gesamte Hierarchiestruktur der Rollen an. Siehe sp_displayroles-Systemprozedur.
sp_has_role-Systemprozedur Gibt die Angabe zurück, ob dem Aufrufer der Prozedur das angegebene Systemprivileg oder die angegebene benutzerdefinierte Rolle erteilt wurde. Siehe sp_has_role-Systemprozedur.
sp_proc_priv-Systemprozedur Gibt die Liste der Systemprivilegien zurück, die zum Ausführen einer Prozedur erforderlich sind. Siehe sp_proc_priv-Systemprozedur.
sp_auth_sys_role_info-Systemprozedur Gibt die Zuordnung von Datenbankberechtigungen aus früheren Versionen von SQL Anywhere zu den entsprechenden Kompatibilitätsrollen zurück. Siehe sp_auth_sys_role_info-Systemprozedur.
sp_sys_priv_role_info-Systemprozedur Gibt die Zuordnung von Systemprivilegien zu den zugrunde liegenden Systemrollen zurück. Siehe sp_sys_priv_role_info-Systemprozedur.
Datenbankoptionen Die folgenden Datenbankoptionen wurden hinzugefügt, um die rollenbasierte Sicherheit zu unterstützen:
min_role_admins-Option Legt die minimale Anzahl von Administratoren fest, die für eine Rolle erforderlich ist. Siehe min_role_admins-Option.
db_publisher-Option Mit dieser Option wird die Benutzer-ID für den Publikationseigentümer der Datenbank gespeichert. Sie kann genauso festgelegt werden wie andere Datenbankoptionen, aber auch mit den Anweisungen GRANT PUBLISH und REVOKE PUBLISH. Siehe db_publisher-Option.
Datenbankserveroptionen Das Verhalten der folgenden Datenbankserveroptionen wurde geändert, um die rollenbasierte Sicherheit zu unterstützen:
Datenbankserveroption -gu Der Wert "DBA" bedeutet, dass nur ein Benutzer mit dem SERVER OPERATOR-Systemprivileg Datenbanken erstellen oder löschen kann. Siehe Datenbankserveroption -gu .
Datenbankserveroption -gk Der Wert "DBA" bedeutet, dass nur ein Benutzer mit dem SERVER OPERATOR-Systemprivileg einen Datenbankserver mit dem Dienstprogramm dbstop herunterfahren kann. Siehe Datenbankserveroption -gk .
Datenbankserveroption -gd Der Wert "DBA" bedeutet, dass nur ein Benutzer mit dem SERVER OPERATOR-Systemprivileg Datenbanken starten kann. Siehe Datenbankserveroption -gd .
Datenbankserveroption -gl Der Wert "DBA" bedeutet, dass nur ein Benutzer mit dem Privileg LOAD ANY TABLE oder ALTER ANY TABLE die LOAD-Anweisung ausführen kann. Der Benutzer muss das SELECT ANY TABLE-Privileg haben, um die UNLOAD-Anweisung ausführen zu können. Siehe Datenbankserveroption -gl .
Neue und geänderte SQL-Anweisungen Die folgenden SQL-Anweisungen wurden hinzugefügt oder geändert, um die rollenbasierte Sicherheit zu unterstützen:
Änderungen der GRANT-Anweisung Die GRANT-Anweisung wurde so erweitert, dass sie das Erteilen von Rollen und Privilegien ermöglicht. Siehe GRANT-Anweisung.
Die alte Syntax zum Erteilen von Datenbankberechtigungen, Berechtigungen und Mitgliedschaft in Gruppen wird zwar weiterhin unterstützt, aber nicht mehr empfohlen. Siehe GRANT-Anweisung (Berechtigungen und Gruppen) (nicht mehr empfohlen).
Änderungen der REVOKE-Anweisung Die REVOKE-Anweisung wurde so erweitert, dass sie das Entziehen von Rollen und Privilegien ermöglicht. Siehe REVOKE-Anweisung.
Die alte Syntax zum Erteilen von Datenbankberechtigungen, Berechtigungen und Mitgliedschaft in Gruppen wird zwar weiterhin unterstützt, aber nicht mehr empfohlen. Siehe REVOKE-Anweisung (Berechtigungen und Gruppen) (nicht mehr empfohlen).
Neue CREATE ROLE-Anweisung Erstellt oder ersetzt eine Rolle, konvertiert einen Benutzer in eine Rolle oder verwaltet Rollenadministratoren für eine Rolle. Siehe CREATE ROLE-Anweisung.
Neue ALTER ROLE-Anweisung Migriert eine Kompatibilitätsrolle (eine der Rollen, die mit SYS_AUTH_ beginnen) in eine benutzerdefinierte Rolle und löscht dann die Kompatibilitätsrolle. Siehe ALTER ROLE-Anweisung.
Neue DROP ROLE-Anweisung Entfernt eine benutzerdefinierte Rolle oder Kompatibilitätsrolle aus der Datenbank oder konvertiert eine benutzererweiterte Rolle in einen normalen Benutzer. Siehe DROP ROLE-Anweisung.
Neue GRANT ROLE SYS_RUN_REPLICATION_ROLE-Anweisung Diese Anweisung erteilt die zum Ausführen der Replikation erforderliche Rolle. Siehe GRANT ROLE SYS_RUN_REPLICATION_ROLE-Anweisung [MobiLink] [SQL Remote].
Neue GRANT ROLE SYS_REPLICATION_ADMIN_ROLE-Anweisung Diese Anweisung erteilt die zum Verwalten der Replikation erforderliche Rolle. Siehe GRANT ROLE SYS_REPLICATION_ADMIN_ROLE-Anweisung [MobiLink] [SQL Remote].
Änderungen der Anweisungen GRANT PUBLISH und REVOKE PUBLISH Bisher wurden mit den Anweisungen GRANT PUBLISH und REVOKE PUBLISH die Publikationseigentümer-Informationen für eine Datenbank in der ISYSAUTHORITY-Systemtabelle aktualisiert. Im Rahmen der rollenbasierten Sicherheit wird jedoch die Benutzer-ID des Publikationseigentümers nun als db_publisher-Datenbankoption gespeichert. Diese Anweisungen aktualisieren nun den Wert der db_publisher-Datenbankoption, statt ISYSUSERAUTHORITY zu aktualisieren. Siehe GRANT PUBLISH-Anweisung [SQL Remote] und REVOKE PUBLISH-Anweisung [SQL Remote].
Änderungen des Katalogs Die im Folgenden beschriebenen Änderungen wurden am Katalog vorgenommen, um die rollenbasierte Sicherheit zu unterstützen. Die Änderungen werden an der Katalogtabelle vorgenommen, aber da Sie nur Zugriff auf die entsprechende Systemansicht haben, wird die Ansicht hier ebenfalls erwähnt.
| Katalogelement | Änderung |
|---|---|
|
ISYSROLEGRANT-Systemtabelle/SYSROLEGRANT-Systemansicht |
Neu. Speichert Informationen zu Rollenmitgliedschaft und Typ der Mitgliedschaft. |
| Konsolidierte Ansicht SYSROLEGRANTS | Neu. Dasselbe wie SYSROLEGRANT, aber enthält zwei weitere Spalten: role_name und grantee_name. |
|
ISYSROLEGRANTEXT-Systemtabelle/SYSROLEGRANTEXT-Systemansicht |
Neu. Speichert die Syntaxerweiterungen für die Privilegien SET USER und CHANGE PASSWORD. |
| SYSGROUP-Kompatibilitätsansicht | Diese Ansicht war bisher eine Systemansicht und ist nun eine Kompatibilitätsansicht. |
| SYSGROUPS-Kompatibilitätsansicht | Diese Ansicht war bisher eine konsolidierte Ansicht und ist nun eine Kompatibilitätsansicht. |
| SYSUSER-Systemansicht | Neue·Spalte: dual_password |
| SYSUSERAUTHORITY-Kompatibilitätsansicht (nicht mehr empfohlen) | Diese Ansicht wurde von einer Systemansicht zu einer Kompatibilitätsansicht geändert. Die zugrunde liegende ISYSAUTHORITY-Systemtabelle wurde zwar entfernt, aber die Ansicht bleibt aus Kompatibilitätsgründen erhalten. |
| SYSTABLEPERM-Systemansicht | Neue Spalten: loadauth und truncateauth |
| Konsolidierte Ansicht SYSTABAUTH | Neue Spalten: loadauth und truncateauth |
Änderungen am SQL Anywhere-Plug-In zur Unterstützung von Rollen und Privilegien An Sybase Central wurden viele Änderungen vorgenommen, um die rollenbasierte Sicherheit zu unterstützen. Beachten Sie, dass mit Privilegien verbundene Datenbankaufgaben, z.B. das Erstellen einer Tabelle, möglicherweise in Sybase Central mehr Privilegien erfordern als beim Ausführen über SQL-Anweisungen. Dies liegt daran, dass Sybase Central bei Verwendung zusätzliche mit Privilegien verbundene Aufgaben ausführt, z.B. das Auffüllen der Ordner (Ansichten, Benutzer usw.) für die Anzeige.
Wenn Sie nicht sicher sind, welche Privilegien für das Ausführen einer Aufgabe erforderlich sind, finden Sie in der Dokumentation weitere Hinweise zum Ausführen der Aufgabe in Sybase Central.
Unterstützung der LDAP-BenutzerauthentifizierungSQL Anywhere bietet nun Unterstützung für die LDAP-Benutzerauthentifizierung. Die folgende Liste enthält Informationen zu den Funktionen, die hinzugefügt oder geändert wurden, um die LDAP-Benutzerauthentifizierung zu unterstützen. Siehe LDAP-Authentifizierung.
Änderungen der Root-Login-Richtlinie Die folgenden Login-Richtlinienoptionen wurden zur Root-Login-Richtlinie hinzugefügt, um die LDAP-Benutzerauthentifizierung zu unterstützen:
Siehe Root-Login-Richtlinie.
Systemprozeduren Die folgenden Systemprozeduren wurden hinzugefügt oder erweitert, um die LDAP-Benutzerauthentifizierung zu unterstützen:
Neue Spalten (user_dn, user_dn_cached_at, password_change_state, password_change_first_user, password_change_second_user) werden durch die sa_get_user_status-Systemprozedur gemeldet.
Datenbankserver- und Datenbankoptionen Die folgenden Datenbankoptionen wurden hinzugefügt oder erweitert, um die LDAP-Benutzerauthentifizierung zu unterstützen:
SQL-Anweisungen Die folgenden SQL-Anweisungen wurden hinzugefügt, um die LDAP-Benutzerauthentifizierung zu unterstützen:
Die folgenden SQL-Anweisungen wurden erweitert, um die LDAP-Benutzerauthentifizierung zu unterstützen:
Katalogänderungen Die folgenden Änderungen wurden am Katalog vorgenommen, um die LDAP-Benutzerauthentifizierung zu unterstützen:
SYSLDAPSERVER-Systemansicht (neu) Die SYSLDAPSERVER-Systemansicht enthält eine Zeile für jedes in der Datenbank konfigurierte LDAP SERVER-Objekt. Siehe SYSLDAPSERVER-Systemansicht.
SYSUSER-Systemansicht Die SYSUSER-Systemansicht hat zwei neue Spalten für die LDAP-Benutzerauthentifizierung: user_dn und user_dn_cached_at. Siehe SYSUSER-Systemansicht.
 |
Kommentieren Sie diese Seite in DocCommentXchange.
|
Copyright © 2013, SAP AG oder ein SAP-Konzernunternehmen. - SAP Sybase SQL Anywhere 16.0 |