Discussion :

[oadin]

Bonjour,

j'ai un petit soucis de sécurité avec des serveurs lié ou même 2 bases de données différente sur le même serveur.

J'ai d'abord fait tout mes tests en tant que 'sa' (et nous utilisons sa aussi en production, ça fait partie des corrections que je dois apporter a notre logiciel).
Et mon scénario est assez simple.

J'ai un trigger en insertion qui rajouter la ligne qu'il a reçu dans une base de donnée distante.

Le problème est que en tant qu'utilisateur sa tout marche très bien vu que je peux tout faire, mais si je prend un utilisateur 'guest' membre de public il ne peut plus écrire sur le serveur distant.

Première astuce que j'ai, impersonnalisé sa et donc faire un execute as sa, mais si qq'un s'en rend compte il pourra le faire aussi et je perds de nouveau ma sécurité.

Deuxième problème notre utilisateur utilise un application role (qui lui donne des droits en écriture), mais qd mon utilisateur a son application role, je ne peux plus utiliser mon impersonnalisation.

Ma question est donc comment puis je règler mon soucis de sécurité pour que cela fonctionne?

Merci de votre aide

[SQLpro]

Il faut créer des comptes utilisateurs spécifique et au niveau du mappage entre les serveur lié définir la correspondance des comptes par la procédure sp_addlinkedsrvlogin.

A +

[oadin]

Merci je n'avais plus pensé a cela vendredi

Mais un problème se pose toujours.

Mon utilisateur est un compte sans droit, il peut lire des données mais pas en écrire.

Il peut écrire grâce a un application role que l'on lui définit (drole de stratégie j'en conviens).

Donc de mon coté si j'utilise cet utilisateur des 2 cotés, en supposant qu'il le retrouve une fois l'application role associé a mon login, il n'aura aucun droit en écriture sur l'autre serveur.
Donc qd mon trigger du serveur A va essayer de faire un insert into serveurB.dbb.dbo.matable .... il va me dire que je n'ai pas de droit en écriture.

Ce que je voudrais faire en fait c'est un utilisateur A se connecte sur ma db A il fait des actions qui déclenche un trigger sur une table du serveur A. Ce même trigger va exécuter son code comme un utilisateur B et donc faire mes insert sur mon serveur B.
Je vais essayer lundi par une procédure stockée si je peux impersonnalisé le code de celle-ci, semblerait que l'on peut. (mais j'ai toujours mon problème d'impersonnalisation d'un utilisateur avec un application role actif) (mon dieu que celui ci m'embete)

[SQLpro]

Oui dans ce cas au niveau du trigger utilise le EXECUTE AS.

A +