Im Beitrag “SQL Server: Sicherheit und Benutzerverwaltung” haben wir gezeigt, wie Sie grundsätzlich mit Benutzern, Benutzergruppen und den Berechtigungen an den einzelnen Elementen einer SQL Server-Datenbank und dem SQL Server selbst umgehen. Dort sind wir allerdings nur auf den Zugriff per Windows-Authentifizierung eingegangen. Viele Szenarios erfordern es allerdings, dass Sie die SQL Server-Authentifizierung verwenden, was bedeutet, dass Sie unter dem SQL Server eigene Konten für Benutzergruppen und Benutzer anlegen – unabhängig von den Windows-Benutzergruppen und -Benutzern. Dieser Beitrag liefert die Grundlagen rund um die Verwendung der SQL Server-Authentifizierung.
Voraussetzung
Für die Beispiele in diesem Artikel benötigen Sie die Datenbank Suedsturm_SQL, die Sie im Download zu diesem Artikel finden und wie im Beitrag SQL Server-Datenbank kopieren (www.access-im-unternehmen.de/1153) beschrieben installieren können. Dazu benötigen Sie außerdem eine SQL Server-Instanz auf Ihrem Rechner sowie das SQL Server Management Studio.
Warum SQL Server-Authentifizierung
Die im Beitrag SQL Server: Sicherheit und Benutzerverwaltung (www.access-im-unternehmen.de/1154) beschriebene Windows-Authentifizierung setzt voraus, dass es für jedes im SQL Server eingerichtete Konto, sei es ein Benutzer- oder ein Benutzergruppenkonto, ein entsprechendes Konto unter Windows eingerichtet ist. Das ist in Umgebungen, wo der SQL Server auf der gleichen Maschine arbeitet, auf welcher der Benutzer angemeldet ist, ohne Problem möglich. Soll jedoch auch über das Netzwerk auf die Datenbank zugegriffen werden, gelingt dies unter der Windows-Authentifizierung nur, wenn der Zugriff im Kontext einer Windows-Domäne erfolgt. Dies ist jedoch nicht immer möglich. Keinesfalls ist dies der Fall, wenn der Zugriff etwa über das Internet erfolgt – dann und in anderen Fällen gibt es allerdings eine Alternative.
Dabei handelt es sich um die sogenannte SQL Server-Authentifizierung. Hier werden auf dem SQL Server von den Windows-Benutzern und -Benutzergruppen unabhängige Benutzer und Benutzergruppen angelegt (Sie kommen natürlich auch nur mit Benutzern aus). Im Unterschied zur Windows-Authentifizierung, wo es ausreicht, für die Mitglieder einer Windows-Gruppe eine entsprechende Anmeldung für die Gruppe im SQL Server einzurichten, müssen Sie bei der SQL Server-Authentifizierung für jeden Benutzer ein Konto anlegen. Sie können natürlich zusätzlich zum Benutzer auch Benutzergruppen anlegen und die Berechtigungen dann je nach Anforderung für den Benutzer oder auch für die Benutzergruppe eines Benutzers definieren.
Zweistufige Sicherheit
Wie auch bei der Windows-Authentifizierung bietet auch die SQL Server-Authentifizierung ein zweistufiges Sicherheitsverfahren an, bei dem der Benutzer zunächst über die Berechtigung für die Anmeldung am SQL Server und dann noch über die Berechtigungen für die gewünschte Datenbank verfügen muss.
Benutzergruppe im SQL Server anlegen
Wenn Sie eine neue Benutzergruppe im SQL Server anlegen möchten, öffnen Sie über den Kontextmenü-Eintrag Sicherheit|Neu|Anmeldung… den Dialog Anmeldung – Neu (siehe Bild 1). Hier aktivieren Sie zunächst die Option SQL Server-Authentifizierung. Daran, dass nun die Schaltflächen Suchen neben dem Feld Anmeldename verschwindet, erkennen Sie schon, dass wir hier nicht mehr auf die vorhandenen Windows-Benutzerkonten zugreifen können. Also geben wir hier einen benutzerdefinierten Anmeldenamen ein. Da wir im Beitrag SQL Server: Sicherheit und Benutzerverwaltung bereits die Benutzer namens Benutzer1 und Benutzer2 verwendet haben, nutzen wir nun zunächst Benutzer3. Unter der Option SQL Server-Authentifizierung geben Sie außerdem das Kennwort ein – hier haben wir schlicht password verwendet. Unten wählen wir wieder die Zieldatenbank als Standarddatenbank aus, also Suedsturm_SQL. Auf der nächsten Seite unter Serverrollen behalten wir die Serverrolle public bei, da der Benutzer keine weiteren Rechte für die Administration des SQL Servers erhalten soll.
Bild 1: Anlegen eines neuen Benutzers unter der SQL Server-Authentifizierung
Auf der Seite Benutzerzuordnung wählen wir schließlich die Datenbank Suedsturm_SQL aus, auf die der Benutzer zugreifen können soll (siehe Bild 2). Daraufhin erscheinen im unteren Bereich die verschiedenen allgemeinen Datenbankrollen für die Datenbank Suedsturm_SQL. Hier wählen wir zusätzlich zu public noch db_datareader und db_datawriter aus, damit der Benutzer in allen Tabellen lesen und schreiben darf.
Sie haben das Ende des frei verfügbaren Textes erreicht. Möchten Sie ...
Oder bist Du bereits Abonnent? Dann logge Dich gleich hier ein. Die Zugangsdaten findest Du entweder in der aktuellen Print-Ausgabe auf Seite U2 oder beim Online-Abo in der E-Mail, die Du als Abonnent regelmäßig erhältst:
