none
Nur Smartcard-Logins für SQL-Server zulassen RRS feed

  • Frage

  • Hallo,

    ich habe ein Security-Anforderung, von der ich nicht weiß, ob es dafür eine Lösung gibt.
    Umfeld: Client-Server Anwendung (Visual Basic 6 Clients, SQL-Server 2005 auf Windows Server 2003)
    Auf den SQL-Server 2005/2008 sollen nur Windows-Benutzer zugreifen dürfen, die sich zuvor auf dem Client über eine Smartcard (Stichwort PKI) eingeloggt haben.
    Ein manueller Login über Tastatur am Client soll auch möglich sein; dann soll aber kein Zugriff auf den SQL-Server bzw. die Datenbank möglich sein.
    Sicherheitspriorität hat auf jeden Fall der Server mit seinen sensiblen Daten.

    Die Frage ist also: kann ich den Windows Server bzw. den SQL-Server so konfigurieren, das nur "Smartcard"-Benutzer Zugriff darauf haben? Wie sollte der Server wissen, auf welche Weise sich der Benutzer auf dem Client angemeldet hat (Smartcard- oder manuelle Eingabe von Benutzer/Passwort)?

    Vielen Dank für Eure Tipps!

    Grüße fishman

    Montag, 11. Juli 2011 15:26

Antworten

  • > Die Frage ist also: kann ich den Windows Server bzw. den SQL-Server so
    > konfigurieren, das nur "Smartcard"-Benutzer Zugriff darauf haben? Wie
     
    Nein, das geht nicht. Wenn der User sich erfolgreich angemeldet hat (mit
    welcher Methode auch immer), dann hat er sein TGT, und mit diesem
    erfolgt die weitere Authentifizierung gegenüber anderen Servern. Und in
    dem TGT steht soweit ich jemals gehört hätte nix von der "Art der
    Anmeldung" drin.
     
    mfg Martin
     

    Kein MVP, kein MCSE. Nur ein wenig Erfahrung.
    • Als Antwort markiert fishman273 Dienstag, 12. Juli 2011 12:54
    Montag, 11. Juli 2011 16:22

Alle Antworten

  • > Die Frage ist also: kann ich den Windows Server bzw. den SQL-Server so
    > konfigurieren, das nur "Smartcard"-Benutzer Zugriff darauf haben? Wie
     
    Nein, das geht nicht. Wenn der User sich erfolgreich angemeldet hat (mit
    welcher Methode auch immer), dann hat er sein TGT, und mit diesem
    erfolgt die weitere Authentifizierung gegenüber anderen Servern. Und in
    dem TGT steht soweit ich jemals gehört hätte nix von der "Art der
    Anmeldung" drin.
     
    mfg Martin
     

    Kein MVP, kein MCSE. Nur ein wenig Erfahrung.
    • Als Antwort markiert fishman273 Dienstag, 12. Juli 2011 12:54
    Montag, 11. Juli 2011 16:22
  • Hallo,

    vielen Dank für die Info!
    Das hatte ich schon befürchtet, das die Client-Anmeldungsart nicht an irgendwelche Server mitgegeben wird... :-|.

    Grüße fishman

    Dienstag, 12. Juli 2011 12:57