Discussion :

[jayeffland]

Bonjour,

J’ai une question concernant l’ajout de permission d’un groupe d’utilisateurs sur un serveur lié dans SQL Serveur. Je ne suis pas un spécialiste de la sécurité alors je fais appel à tous.

Voici le topo :

J’ai un logiciel privé que j’appellerai X qui a est installé sur un serveur virtuel Hyper-V. Les utilisateurs de ce logiciel se connectent grâce à des machines virtuelles en utilisant le Remote desktop.
L’application possède sa propre instance de base de données SQL serveur. La sécurité pour cette base de données est Windows Authenticated. Les utilisateurs de l’application X appartiennent tous à un groupe d’utilisateurs dans l’active directory AC de Windows Server 2019.

De l’autre côté, j’ai une application Y (Microsoft Dynamic 365) qui est installé localement sur chaque poste et qui a sa propre instance SQL. L’application utilise une base de données SQL que j’appellerais Y
Comme je voudrais partager de l’information entre les 2 instances SQL, j’ai créé un serveur liée sur l’instance X vers l’instance Y. Je réussi avec quelques requête SQL à insérer, mettre à jour et effacer certaines information dans un base de données de l’instance Y à partir de mon instance X. Pour ce faire, je me suis accordé les droits DB_owner sur la base de données de X et de X.
Je suis rendu à l’étape de permettre au groupe d’utilisateur de X de pouvoir exécuter à partir de l’application X utiliser les mêmes requêtes qui interagissent sur le serveur SQL Y.

Toutefois, je m’aperçois que je dois créer chaque utilisateurs de X dans l’instance SQL de l’application Y à partir du menu Sécurité, Connexion. Mes requêtes fonctionnent lorsque j’accorde les rôles DB_Owner. J’aurais pensé que j’aurais pu utiliser le même groupe utilisé dans l’AD pour mon application X. J’ai bien essayé mais ça ne fonctionne pas.

Je ne sais pas si c’est dû à la configuration de mon serveur lié.

Voici la configuration que j’utilise.





Pourriez-vous m’indiquer qu’est-ce que je devrais faire pour éviter d’avoir à recréer chaque utilisateur de mon AC de de X dans mon instance Y et de simplement lié mon groupe X.

[Michel.Priori]

Bonjour,

La sécurité des serveurs liés est clairement une verrue dans la politique de sécurité de M$.

De plus la présentation dans SSMS n'est pas claire :
1- mapping des logins (hors groupe AD)
2- SINON réponse standard.

Parmi les réponses standard :
1- ne pas être faite => pas de bras, pas de chocolats
2- sans sécurité => utile pour Access et autres OLEDB non sécurisé
3- Avec le même contexte de sécurité => réglage AD nécessaire pour mettre en place le "double hop" https://blogs.msdn.microsoft.com/jor...or-delegation/
4- fait dans ce contexte => hacker ouvert ! (tout compte pouvant se loguer sur le serveur pourra utiliser les droits du login indiqué)

Dans ton cas il faut voir si c'est possible de mettre en place le point n°3 car toutes les autres réponses sont soit trop laxistes soit vont devoir être mises à jour avec l'expiration du mot de passe.

Mon espoir = que M$ comprenne le besoin de créer un type d'objet de base de donnée (et non pas serveur) auquel on puisse accorder des droits via des GRANT/DENY/REVOKE aux rôles et utilisateurs de la base (ce qui n'empêchera pas le besoin de la mise en place du double hop)

[jayeffland]

Je suis d'accord avec votre affirmation :

Mon espoir = que M$ comprenne le besoin de créer un type d'objet de base de donnée (et non pas serveur) auquel on puisse accorder des droits via des GRANT/DENY/REVOKE aux rôles et utilisateurs de la base...

.

J'ai réussi en réglant l'AD comme dans l'option 3 et à démêler tout ça en lisant cet article qui donne un aperçu du contexte de sécurité : https://www.sqlshack.com/how-to-link...with-kerberos/

Merci!