Erläuterung
Integrierte Sicherheit (Integrated Security) wird im SQL Server
genutzt, um zur Authentifizierung die Windows-Identität eines Benutzer
oder einer Anwendung nutzt.
Damit entfällt der Weg des SQL-Logins mit Kennwort, wodurch die
Sicherheit erhöht, und die Administration des SQL-Servers vereinfacht
wird. Dadurch müssen Kennwörter nicht mehr in der
Verbindungszeichenfolge übergeben werden.
Umstellung des Lexolution-Servers sowie der ADB auf Integrated Security
Für die Umstellung der serverseitigen Datenbankverbindung auf
Integrated Security müssen die Connection Strings in der Lexolution
Server Konfiguration umgestellt werden.
Dabei werden die Attribute “User ID” und “Password” durch das Attribut
“Integrated Security” ersetzt.
Die Lexolution-Server Konfiguration finden Sie für gewöhnlich im
Programmverzeichnis des Lexolution-Servers unter
C:\Program Files (x86)\STP AG\LEXolution.KMS Server.
Sie trägt die Dateibezeichnung
STP.Kms.Server.exe.config.
Beispiel:
Authentifizierung über SQL-Benutzer
<add name="KMS" connectionString="Server=localhost; Initial Catalog=Kms; User ID=KmsReaderWriter; Password=xxxx" />
<add name="KMS_Auswertung" connectionString="Server=localhost; Initial Catalog=Kms_Auswertung; User ID=KmsReaderWriter; Password=xxxx" />Authentifizierung mittels Integrated Security (Windows-Benutzer)
<add name="KMS" connectionString="Server=localhost; Initial Catalog=Kms; Integrated Security=True;" />
<add name="KMS_Auswertung" connectionString="Server=localhost; Initial Catalog=Kms_Auswertung; Integrated Security=True;" />Zusätzlich müssen die Lexolution- und Auswertungs-Datenbanken angepasst werden:
- Übertragen aller Schemas im Besitz von KmsReaderWriter auf dbo
Optional: Übertragen aller Schemas im Besitz eines von KmsReaderWriter abweichenden SQL-Users, der bisher dbo zugeordet war, auf dbo - Anlegen des Logins für den Windows-Benutzer, der für Integrated Security verwendet werden soll (falls noch nicht vorhanden)
- Zuordnung des Windows-Benutzers, der für Integrated Security verwendet werden soll, zum dbo
Empfohlen wird hierfür die Verwendung des Lexolution Datenbank
Updaters (DB-Updater).
Dieser kann diese Anpassungen für die Lexolution Datenbank
übernehmen.
Die Ausführung kann im UI oder silent mittels Parameterübergabe
erfolgen.
Neue Parameter: |Neue Parameter|Wert| |—|—| |postRestoreWindowsUserEnabled| Boolean| |postRestoreDeleteKmsReaderWriter| Boolean| |postRestoreWindowsUsername| String| |postRestoreSqlUsername| String| |postRestoreSqlUserPassword| String|
SqlUsername und Passwort sind bei Umstellung auf Integrated Security
nicht notwendig.
Diese können verwendet werden, um die Datenbank alternativ auf einen
SQL-Benutzer umzustellen.
In diesem Fall ist postRestoreWindowsUserEnabled mit false
bzw. 0 übergeben.
Ein nicht mehr benötigter KmsReaderWriter Benutzer kann für diese
Datenbank gelöscht werden (Parameter
postRestoreDeleteKmsReaderWriter).
🛈 Hinweis
Das bis zur Version 9.3 zur Verfügung gestellte PostRestore-Skript berücksichtigt die Parameter nicht und darf nicht mehr verwendet werden.
Abweichende Benutzer, die bisher als dbo verwendet wurden, müssen bei Bedarf manuell gelöscht werden.
Bitte beachten Sie, dass für die Ausführung des Postrestore Skripts im über einen Silent-Aufruf des DB-Updaters wie auch bisher “executePostRestoreScript” mit true bzw. 1 übergeben werden muss.
Für die Ausführung mit Postrestore-Funktionalität bzw. für alle Aktionen, die über ein einfaches Update der Datenbank hinaus gehen, wird die Nutzung des Lexolution DB Updaters im UI Modus empfohlen.
Für die Auswertungsdatenbank ist kein Automatismus im DB-Updater
vorgesehen, da sich dieser nur auf die Lexolution Datenbank
bezieht.
Hier sind die o.g. Anpassungen (Schemazuordnungen, Benutzeranpassungen-
u. Zuordnungen) manuell durchzuführen.
Das neue PostRestore-Skript kann hierfür zu Hilfe genommen
werden. Ausführung z.B. im SQL Server Management Studio.
Setzen Sie in diesem Fall die benötigten Eingangsparameter direkt im
Skript.
Verknüpfung mit