manejo de contraseñas en sql server

Hola:

Tengo una duda de como diseñar la parte de seguridad para una aplicación
que
usa SQL Server.

Para un sistema que estamos construyendo es parte de los requerimientos de
alguna forma manejar usuarios y contraseñas de acceso al programa, donde
además los usuarios y contraseñas tienen que caducar cada cierto tiempo
configurable, y que cuando las contraseñas hayan caducado, el sistema le
pueda ofrecer al usuario cambiar la contraseña.

Este sistema hace uso de SQL Server 2000 para almacenar/recuperar los
datos.
Los datos van a ser principalmente un registro (una especie de "log" ) de
operaciones llevadas a cabo por los usuarios. La aplicación va a correr en
un conjunto chico de PCs dedicados que usan un SQL server para acceder a
los
datos.
Para todos los registros de la base de datos se tiene que tener el usuario
que ejecuto la operacion (el registro "registra" esa operación).
Como dije, los PCs son dedicados y no existe un servidor de dominio en la
red. Todas las máquinas tendrían Windows XP.

La duda me surge es cuál es la mejor forma de hacer este manejo de
usuarios/contraseñas tanto para el acceso al sistema como para la base de
datos. No tengo mucha experiencia en estas cosas, asì que agradezco su
ayuda.

Se me ocurren por ejemplo:
1) Que la autenticación al sistema sea a través del sistema operativo, que
el acceso a la base de datos sea un acceso "integrado" y que el manejo de
la
caducidad de usuarios y contraseñas se haga en el servidor (Windows XP).
2) Que la autenticación al sistema se haga contra el SQL Server, que en
SQL
Server se haga todo el manejo de usuarios/contraseñas. El tema de la
caducidad no sé como sería (no sé si se puede hacer ese control en SQL
Server).
3) Que todo el tema de usuarios/permisos/caducidad sea manejado por la
aplicación (lo que no implica que no sea almacenado en la base de datos) y
el acceso a la base de datos sea con un usuario y contraseña
"hardcodeados"
(fijos para la aplicación).

Saludos,
Juan Carlos

Hola:

Tengo una duda de como diseñar la parte de seguridad para una aplicación
que
usa SQL Server.

Para un sistema que estamos construyendo es parte de los requerimientos de
alguna forma manejar usuarios y contraseñas de acceso al programa, donde
además los usuarios y contraseñas tienen que caducar cada cierto tiempo
configurable, y que cuando las contraseñas hayan caducado, el sistema le
pueda ofrecer al usuario cambiar la contraseña.

Este sistema hace uso de SQL Server 2000 para almacenar/recuperar los
datos.
Los datos van a ser principalmente un registro (una especie de "log" ) de
operaciones llevadas a cabo por los usuarios. La aplicación va a correr en
un conjunto chico de PCs dedicados que usan un SQL server para acceder a
los
datos.
Para todos los registros de la base de datos se tiene que tener el usuario
que ejecuto la operacion (el registro "registra" esa operación).
Como dije, los PCs son dedicados y no existe un servidor de dominio en la
red. Todas las máquinas tendrían Windows XP.

La duda me surge es cuál es la mejor forma de hacer este manejo de
usuarios/contraseñas tanto para el acceso al sistema como para la base de
datos. No tengo mucha experiencia en estas cosas, asì que agradezco su
ayuda.

Se me ocurren por ejemplo:
1) Que la autenticación al sistema sea a través del sistema operativo, que
el acceso a la base de datos sea un acceso "integrado" y que el manejo de
la
caducidad de usuarios y contraseñas se haga en el servidor (Windows XP).
2) Que la autenticación al sistema se haga contra el SQL Server, que en
SQL
Server se haga todo el manejo de usuarios/contraseñas. El tema de la
caducidad no sé como sería (no sé si se puede hacer ese control en SQL
Server).
3) Que todo el tema de usuarios/permisos/caducidad sea manejado por la
aplicación (lo que no implica que no sea almacenado en la base de datos) y
el acceso a la base de datos sea con un usuario y contraseña
"hardcodeados"
(fijos para la aplicación).

Saludos,
Juan Carlos

Hola, mira lo mejor seria usar seguridad integrada y darle al SO el manejo
que estas comentando. Esto es valido si todas las estaciones de trabajo

clientes Windows, de lo contrario no podras aprovechar esta ventaja :(

Otro tema es la autentificacion a la aplicacion ( o sea, que cosas puede o
no hacer dicho usuario dentro de esta ), esto tambien lo podrias hacer con
seguridad integrada o bien guardar los registros en una tabla y ahi
establecer los permisos.


Salu2
Maxi


"Juan Carlos" escribió en el mensaje
news:
> Hola:
>
> Tengo una duda de como diseñar la parte de seguridad para una aplicación
> que
> usa SQL Server.
>
> Para un sistema que estamos construyendo es parte de los requerimientos

> alguna forma manejar usuarios y contraseñas de acceso al programa, donde
> además los usuarios y contraseñas tienen que caducar cada cierto tiempo
> configurable, y que cuando las contraseñas hayan caducado, el sistema le
> pueda ofrecer al usuario cambiar la contraseña.
>
> Este sistema hace uso de SQL Server 2000 para almacenar/recuperar los
> datos.
> Los datos van a ser principalmente un registro (una especie de "log" )

> operaciones llevadas a cabo por los usuarios. La aplicación va a correr

> un conjunto chico de PCs dedicados que usan un SQL server para acceder a
> los
> datos.
> Para todos los registros de la base de datos se tiene que tener el

> que ejecuto la operacion (el registro "registra" esa operación).
> Como dije, los PCs son dedicados y no existe un servidor de dominio en

> red. Todas las máquinas tendrían Windows XP.
>
> La duda me surge es cuál es la mejor forma de hacer este manejo de
> usuarios/contraseñas tanto para el acceso al sistema como para la base

> datos. No tengo mucha experiencia en estas cosas, asì que agradezco su
> ayuda.
>
> Se me ocurren por ejemplo:
> 1) Que la autenticación al sistema sea a través del sistema operativo,

> el acceso a la base de datos sea un acceso "integrado" y que el manejo

> la
> caducidad de usuarios y contraseñas se haga en el servidor (Windows XP).
> 2) Que la autenticación al sistema se haga contra el SQL Server, que en
> SQL
> Server se haga todo el manejo de usuarios/contraseñas. El tema de la
> caducidad no sé como sería (no sé si se puede hacer ese control en SQL
> Server).
> 3) Que todo el tema de usuarios/permisos/caducidad sea manejado por la
> aplicación (lo que no implica que no sea almacenado en la base de datos)

> el acceso a la base de datos sea con un usuario y contraseña
> "hardcodeados"
> (fijos para la aplicación).
>
> Saludos,
> Juan Carlos
>
>

Bueno, muchas gracias por la respuesta.

¿Para la parte de registrar quien hizo cada cambio que seria mejor?
¿Uso triggers que setean automáticamente para cada registro quién fue el
usuario que lo originó (a nivel de base de datos) o lo inserto desde la
aplicación (por ejemplo obteniendo el usuario desde la variable de entorno
"USERNAME")?

La parte de autenticacion "en la aplicación" con seguridad integrada sería
definiendo grupos a nivel del sistema operativo y obteniendo el grupo
desde
el sistema operativo?

Gracias,
Juan Carlos.


"Maxi" escribió en el mensaje
news:u1$h$
Mostrar la cita

Hola, mira lo mejor seria usar seguridad integrada y darle al SO el
manejo
que estas comentando. Esto es valido si todas las estaciones de trabajo

son
Mostrar la cita

clientes Windows, de lo contrario no podras aprovechar esta ventaja :(

Otro tema es la autentificacion a la aplicacion ( o sea, que cosas puede
o
no hacer dicho usuario dentro de esta ), esto tambien lo podrias hacer
con
seguridad integrada o bien guardar los registros en una tabla y ahi
establecer los permisos.


Salu2
Maxi


"Juan Carlos" escribió en el mensaje
news:
> Hola:
>
> Tengo una duda de como diseñar la parte de seguridad para una
> aplicación
> que
> usa SQL Server.
>
> Para un sistema que estamos construyendo es parte de los requerimientos

de
Mostrar la cita

> alguna forma manejar usuarios y contraseñas de acceso al programa,
> donde
> además los usuarios y contraseñas tienen que caducar cada cierto tiempo
> configurable, y que cuando las contraseñas hayan caducado, el sistema
> le
> pueda ofrecer al usuario cambiar la contraseña.
>
> Este sistema hace uso de SQL Server 2000 para almacenar/recuperar los
> datos.
> Los datos van a ser principalmente un registro (una especie de "log" )

de
Mostrar la cita

> operaciones llevadas a cabo por los usuarios. La aplicación va a correr

en
Mostrar la cita

> un conjunto chico de PCs dedicados que usan un SQL server para acceder
> a
> los
> datos.
> Para todos los registros de la base de datos se tiene que tener el

usuario
Mostrar la cita

> que ejecuto la operacion (el registro "registra" esa operación).
> Como dije, los PCs son dedicados y no existe un servidor de dominio en

la
Mostrar la cita

> red. Todas las máquinas tendrían Windows XP.
>
> La duda me surge es cuál es la mejor forma de hacer este manejo de
> usuarios/contraseñas tanto para el acceso al sistema como para la base

de
Mostrar la cita

> datos. No tengo mucha experiencia en estas cosas, asì que agradezco su
> ayuda.
>
> Se me ocurren por ejemplo:
> 1) Que la autenticación al sistema sea a través del sistema operativo,

que
Mostrar la cita

> el acceso a la base de datos sea un acceso "integrado" y que el manejo

de
Mostrar la cita

> la
> caducidad de usuarios y contraseñas se haga en el servidor (Windows
> XP).
> 2) Que la autenticación al sistema se haga contra el SQL Server, que en
> SQL
> Server se haga todo el manejo de usuarios/contraseñas. El tema de la
> caducidad no sé como sería (no sé si se puede hacer ese control en SQL
> Server).
> 3) Que todo el tema de usuarios/permisos/caducidad sea manejado por la
> aplicación (lo que no implica que no sea almacenado en la base de
> datos)

y
Mostrar la cita

> el acceso a la base de datos sea con un usuario y contraseña
> "hardcodeados"
> (fijos para la aplicación).
>
> Saludos,
> Juan Carlos
>
>

Hola para tu primer pregunta te envio un articulo que escribi sobre dicho
tema, leelo que seguro te ayuda mucho ;)

Para la segunda pregunta te comento:

Una opcion puede ser la que indicas y la otra que levantes el usuario de
windows y uses ese para definirle los permisos. La recomendacion de Gux es
adecuada si usas :NET, de todas formas miralo antes de implementar porque
ese AP tiene algunos detalles :(

http://www.microsoft.com/spanish/ms...art168.asp

Un abrazo




Maxi

Buenos Aires - Argentina
Desarrollador .NET 3 Estrellas
Microsoft User Group (MUG)
Mail: Maxi_accotto[arroba]speedy.com.ar

Msn Messenger:

"Juan Carlos" escribió en el mensaje
news:
> Bueno, muchas gracias por la respuesta.
>
> ¿Para la parte de registrar quien hizo cada cambio que seria mejor?
> ¿Uso triggers que setean automáticamente para cada registro quién fue el
> usuario que lo originó (a nivel de base de datos) o lo inserto desde la
> aplicación (por ejemplo obteniendo el usuario desde la variable de

> "USERNAME")?
>
> La parte de autenticacion "en la aplicación" con seguridad integrada

> definiendo grupos a nivel del sistema operativo y obteniendo el grupo
> desde
> el sistema operativo?
>
> Gracias,
> Juan Carlos.
>
>
> "Maxi" escribió en el mensaje
> news:u1$h$
>> Hola, mira lo mejor seria usar seguridad integrada y darle al SO el
>> manejo
>> que estas comentando. Esto es valido si todas las estaciones de trabajo
> son
>> clientes Windows, de lo contrario no podras aprovechar esta ventaja :(
>>
>> Otro tema es la autentificacion a la aplicacion ( o sea, que cosas

>> o
>> no hacer dicho usuario dentro de esta ), esto tambien lo podrias hacer
>> con
>> seguridad integrada o bien guardar los registros en una tabla y ahi
>> establecer los permisos.
>>
>>
>> Salu2
>> Maxi
>>
>>
>> "Juan Carlos" escribió en el mensaje
>> news:
>> > Hola:
>> >
>> > Tengo una duda de como diseñar la parte de seguridad para una
>> > aplicación
>> > que
>> > usa SQL Server.
>> >
>> > Para un sistema que estamos construyendo es parte de los

> de
>> > alguna forma manejar usuarios y contraseñas de acceso al programa,
>> > donde
>> > además los usuarios y contraseñas tienen que caducar cada cierto

>> > configurable, y que cuando las contraseñas hayan caducado, el sistema
>> > le
>> > pueda ofrecer al usuario cambiar la contraseña.
>> >
>> > Este sistema hace uso de SQL Server 2000 para almacenar/recuperar los
>> > datos.
>> > Los datos van a ser principalmente un registro (una especie de

> de
>> > operaciones llevadas a cabo por los usuarios. La aplicación va a

> en
>> > un conjunto chico de PCs dedicados que usan un SQL server para

>> > a
>> > los
>> > datos.
>> > Para todos los registros de la base de datos se tiene que tener el
> usuario
>> > que ejecuto la operacion (el registro "registra" esa operación).
>> > Como dije, los PCs son dedicados y no existe un servidor de dominio

> la
>> > red. Todas las máquinas tendrían Windows XP.
>> >
>> > La duda me surge es cuál es la mejor forma de hacer este manejo de
>> > usuarios/contraseñas tanto para el acceso al sistema como para la

> de
>> > datos. No tengo mucha experiencia en estas cosas, asì que agradezco

>> > ayuda.
>> >
>> > Se me ocurren por ejemplo:
>> > 1) Que la autenticación al sistema sea a través del sistema

> que
>> > el acceso a la base de datos sea un acceso "integrado" y que el

> de
>> > la
>> > caducidad de usuarios y contraseñas se haga en el servidor (Windows
>> > XP).
>> > 2) Que la autenticación al sistema se haga contra el SQL Server, que

>> > SQL
>> > Server se haga todo el manejo de usuarios/contraseñas. El tema de la
>> > caducidad no sé como sería (no sé si se puede hacer ese control en

>> > Server).
>> > 3) Que todo el tema de usuarios/permisos/caducidad sea manejado por

>> > aplicación (lo que no implica que no sea almacenado en la base de
>> > datos)
> y
>> > el acceso a la base de datos sea con un usuario y contraseña
>> > "hardcodeados"
>> > (fijos para la aplicación).
>> >
>> > Saludos,
>> > Juan Carlos
>> >
>> >
>>
>>
>
>