Loginleri başka bir instance’ a taşımak

MS SQL YETKİ VE GÜVENLİK
2 Eyl by NURULLAH ÇAKIR

Loginleri başka bir instance’ a taşımak

Veritabanını başka bir instance’a taşıdığınızda contained database kullanmıyorsanız login’lerinizi de taşımanız gerekir. Contained Database ile ilgili detaylı bilgiyi Contained Database makalemde bulabilirsiniz.

Microsoft’un aşağıda belirttiğim sitesinde olan script’i kullanabilirsiniz. Ben uzun süredir bu script’i kullanıyorum.

https://support.microsoft.com/en-us/kb/246133

Bu script master veritabanınız da sp_help_revlogin ve sp_hexadecimal isimlerinde iki tane stored procedure oluşturuyor. Stored Procedure kavramı hakkında bilginiz yoksa Stored Procedure isimli makalemde detaylarına ulaşabilirsiniz. Yukarıda belirttiğim linkteki script’i Login bilgilerini almak istediğiniz kaynak sunucu da çalıştırdıktan sonra sp_help_revlogin sp’sini çalıştırıyorsunuz. Bu script sonuç olarak size taşımak istediğiniz Login’lerin create script’lerini şifreleri kriptolanmış bir şekilde veriyor. Daha sonra bu create script’leri çıkan loginlerden istediklerinizi kopyalayıp hedef sunucu da oluşturabiliyorsunuz. Login’leri bu şekilde taşıdığınız da SID’leri ile birlikte kopyalıyor. Yani Kaynaktaki login adı ve şifresi ile hedefte sıfırdan yeni bir login oluşturmanızla aynı şey değil.

Bir Login’in SID’si login’in parmak izi gibidir. Farklı instance lar üzerinde aynı isimde ve aynı şifre ile oluşturulan iki login aynı logindir anlamına gelmez.

Mesela Kaynak Instance üzerine denemeUser isimli bir login’iniz olsun. Ve bu loginin deneme veritabanında db_owner yetkisi olduğunu düşünelim. Deneme veritabanını başka bir instance’a backup restore yöntemi ile aktarıyoruz. Backup Restore makalemden bu işlemin detaylarına ulaşabilirsiniz. denemeUser login’ini de sp_help_revlogin yöntemiyle taşımak yerine  hedef instance üzerinde aynı isimde ve aynı şifre oluşturuyoruz. Bu işlemlerden sonra hedef instance üzerinde yeni oluşturduğumuz denemeUser isimli login ile deneme veritabanına erişemiyor olacağız.

Normalde bir login’e bir veritabanında user mapping ile veritabanı seviyesinde yetki verdiğimizde veritabanı altında o logine’e ait bir user oluşur ve backup restore sırasında bu user otomatik olarak taşınır. Fakat kaynaktaki login’i SID’si ile hedef’e taşımazsanız veritabanı altında backup yöntemiyle hedefe taşınan user ile hedefte aynı isimde oluşturduğunuz login SID’leri eşleşmeyeceği için hedefteki login veritabanına erişemeyecektir.

SID’leri farklı ama isimleri aynı login’leri eşleştirmek ile ilgili bir yöntem daha var fakat microsoft bu yöntemi önermediği için bu yöntemden bahsetmiyorum. İlgilenenler aşağıdaki linkten erişebilir.

https://msdn.microsoft.com/en-us/library/ms174378.aspx

Linkteki script çalışmazsa aşağıdaki script ile deneyebilirsiniz.

USE [master]
GO
SET ANSI_NULLS ON
GO
SET QUOTED_IDENTIFIER ON
GO
CREATE PROCEDURE [dbo].[sp_help_revlogin] @login_name sysname = NULL AS
DECLARE @name sysname
DECLARE @type varchar (1)
DECLARE @hasaccess int
DECLARE @denylogin int
DECLARE @is_disabled int
DECLARE @PWD_varbinary varbinary (256)
DECLARE @PWD_string varchar (514)
DECLARE @SID_varbinary varbinary (85)
DECLARE @SID_string varchar (514)
DECLARE @tmpstr varchar (1024)
DECLARE @is_policy_checked varchar (3)
DECLARE @is_expiration_checked varchar (3)
DECLARE @defaultdb sysname

IF (@login_name IS NULL)
DECLARE login_curs CURSOR FOR
SELECT p.sid, p.name, p.type, p.is_disabled, p.default_database_name, l.hasaccess, l.denylogin FROM 
sys.server_principals p LEFT JOIN sys.syslogins l
ON ( l.name = p.name ) WHERE p.type IN ( 'S', 'G', 'U' ) AND p.name <> 'sa'
ELSE
DECLARE login_curs CURSOR FOR
SELECT p.sid, p.name, p.type, p.is_disabled, p.default_database_name, l.hasaccess, l.denylogin FROM 
sys.server_principals p LEFT JOIN sys.syslogins l
ON ( l.name = p.name ) WHERE p.type IN ( 'S', 'G', 'U' ) AND p.name = @login_name
OPEN login_curs

FETCH NEXT FROM login_curs INTO @SID_varbinary, @name, @type, @is_disabled, @defaultdb, @hasaccess, @denylogin
IF (@@fetch_status = -1)
BEGIN
PRINT 'No login(s) found.'
CLOSE login_curs
DEALLOCATE login_curs
RETURN -1
END
SET @tmpstr = '/* sp_help_revlogin script '
PRINT @tmpstr
SET @tmpstr = '** Generated ' + CONVERT (varchar, GETDATE()) + ' on ' + @@SERVERNAME + ' */'
PRINT @tmpstr
PRINT ''
WHILE (@@fetch_status <> -1)
BEGIN
IF (@@fetch_status <> -2)
BEGIN
PRINT ''
SET @tmpstr = '-- Login: ' + @name
PRINT @tmpstr
IF (@type IN ( 'G', 'U'))
BEGIN -- NT authenticated account/group

SET @tmpstr = 'CREATE LOGIN ' + QUOTENAME( @name ) + ' FROM WINDOWS WITH DEFAULT_DATABASE = [' + @defaultdb + ']'
END
ELSE BEGIN -- SQL Server authentication
-- obtain password and sid
SET @PWD_varbinary = CAST( LOGINPROPERTY( @name, 'PasswordHash' ) AS varbinary (256) )
EXEC sp_hexadecimal @PWD_varbinary, @PWD_string OUT
EXEC sp_hexadecimal @SID_varbinary,@SID_string OUT

-- obtain password policy state
SELECT @is_policy_checked = CASE is_policy_checked WHEN 1 THEN 'ON' WHEN 0 THEN 'OFF' ELSE NULL END FROM sys.sql_logins WHERE name = @name
SELECT @is_expiration_checked = CASE is_expiration_checked WHEN 1 THEN 'ON' WHEN 0 THEN 'OFF' ELSE NULL END FROM sys.sql_logins WHERE name = @name

SET @tmpstr = 'CREATE LOGIN ' + QUOTENAME( @name ) + ' WITH PASSWORD = ' + @PWD_string + ' HASHED, SID = ' + @SID_string + ', DEFAULT_DATABASE = [' + @defaultdb + ']'

IF ( @is_policy_checked IS NOT NULL )
BEGIN
SET @tmpstr = @tmpstr + ', CHECK_POLICY = ' + @is_policy_checked
END
IF ( @is_expiration_checked IS NOT NULL )
BEGIN
SET @tmpstr = @tmpstr + ', CHECK_EXPIRATION = ' + @is_expiration_checked
END
END
IF (@denylogin = 1)
BEGIN -- login is denied access
SET @tmpstr = @tmpstr + '; DENY CONNECT SQL TO ' + QUOTENAME( @name )
END
ELSE IF (@hasaccess = 0)
BEGIN -- login exists but does not have access
SET @tmpstr = @tmpstr + '; REVOKE CONNECT SQL TO ' + QUOTENAME( @name )
END
IF (@is_disabled = 1)
BEGIN -- login is disabled
SET @tmpstr = @tmpstr + '; ALTER LOGIN ' + QUOTENAME( @name ) + ' DISABLE'
END
PRINT @tmpstr
END
FETCH NEXT FROM login_curs INTO @SID_varbinary, @name, @type, @is_disabled, @defaultdb, @hasaccess, @denylogin
END
CLOSE login_curs
DEALLOCATE login_curs
RETURN 0
GO
USE [master]
GO
/****** Object: StoredProcedure [dbo].[sp_hexadecimal] Script Date: 2/28/2017 2:57:22 PM ******/
SET ANSI_NULLS ON
GO
SET QUOTED_IDENTIFIER ON
GO
CREATE PROCEDURE [dbo].[sp_hexadecimal]
@binvalue varbinary(256),
@hexvalue varchar (514) OUTPUT
AS
DECLARE @charvalue varchar (514)
DECLARE @i int
DECLARE @length int
DECLARE @hexstring char(16)
SELECT @charvalue = '0x'
SELECT @i = 1
SELECT @length = DATALENGTH (@binvalue)
SELECT @hexstring = '0123456789ABCDEF'
WHILE (@i <= @length)
BEGIN
DECLARE @tempint int
DECLARE @firstint int
DECLARE @secondint int
SELECT @tempint = CONVERT(int, SUBSTRING(@binvalue,@i,1))
SELECT @firstint = FLOOR(@tempint/16)
SELECT @secondint = @tempint - (@firstint*16)
SELECT @charvalue = @charvalue +
SUBSTRING(@hexstring, @firstint+1, 1) +
SUBSTRING(@hexstring, @secondint+1, 1)
SELECT @i = @i + 1
END
SELECT @hexvalue = @charvalue
GO

 

Loading

ByNURULLAH ÇAKIR

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir