portier Vision speichert das Datenbank-Passwort standardmäßig verschlüsselt in der Datei portiervision.ini auf dem jeweiligen Rechner. In manchen Umgebungen soll überhaupt kein Datenbank-Passwort abgelegt werden, etwa auf Citrix- und Terminalservern, in geteilten Sitzungen, auf Golden Images oder in sicherheitsgeprüften Umgebungen.
Für diese Fälle gibt es mit Microsoft SQL Server die integrierte Anmeldung. portier Vision meldet sich dann mit der Windows-Identität des angemeldeten Nutzers an der Datenbank an. Es wird kein Passwort gespeichert und keines übertragen.
Nicht zu verwechseln mit der Anmeldung an portier Vision selbst: Wie Sie das Programm über Ihre Windows-Kennung ohne zusätzliches Passwort öffnen, steht unter Single Sign-On (SSO).
Citrix-, Terminalserver- und Golden-Image-Umgebungen, in denen keine Anmeldedaten im Profil liegen sollen
Sicherheitsgeprüfte IT-Umgebungen, die gespeicherte Dienst-Passwörter vermeiden
Organisationen, die den Datenbankzugriff über ihre vorhandenen Windows- bzw. Active-Directory-Gruppen steuern
Der Rechner ist in die Active-Directory-Domäne aufgenommen.
In Microsoft SQL Server ist eine Anmeldung für den Windows-Nutzer oder, besser, für eine AD-Gruppe angelegt.
Diese Anmeldung hat auf der portier-Datenbank die Rollen db_datareader, db_datawriter und db_ddladmin. db_ddladmin erlaubt portier Vision, bei einem Upgrade seine Schema-Aktualisierungen einzuspielen. Nicht sysadmin, nicht db_owner.
Öffnen Sie den portier Vision Companion (den Datenbank-Konfigurator).
Wählen Sie als Datenbanktyp Microsoft SQL Server und tragen Sie Host, Port und Datenbankname wie gewohnt ein. Zum Host-Format siehe Verbindung mit Microsoft SQL Server.
Wählen Sie als Authentifizierung Windows Login statt der normalen SQL-Anmeldung. Die Felder Benutzername und Passwort entfallen.
Führen Sie den Verbindungstest aus. Bei Erfolg speichern.
Der Konfigurator setzt damit DBLOGIN=1 in der portiervision.ini. portier Vision verbindet sich von da an als der angemeldete Windows-Nutzer (Trusted Connection über Kerberos oder NTLM). Ein Passwort wird nicht in die Datei geschrieben.
Öffnen Sie die portiervision.ini. Dort steht DBLOGIN=1 und es gibt keinen Passwort-Eintrag.
Starten Sie portier Vision. Die Datenbankverbindung kommt zustande, ohne dass nach einem Datenbank-Passwort gefragt wird.
Der Zugriff erfolgt unter der Windows-Identität des angemeldeten Nutzers.
Legen Sie die Datenbank-Anmeldung für portier Vision mit den geringstmöglichen Rechten an: db_datareader und db_datawriter für den laufenden Betrieb, dazu db_ddladmin, damit portier Vision bei einem Upgrade seine Schema-Aktualisierungen einspielen kann. sysadmin oder db_owner sind nicht erforderlich und sollten nicht vergeben werden. Ohne db_ddladmin besteht die Anmeldung zwar die Berechtigungsprüfung beim Start, das nächste Versions-Upgrade bleibt aber bei der ersten Schemaänderung stehen. Am einfachsten steuern Sie den Zugriff über eine eigene AD-Gruppe und nehmen die berechtigten Nutzer dort auf.
Die integrierte Anmeldung setzt Microsoft SQL Server und eine Windows-Domänenidentität voraus. In zwei Fällen ist sie nicht möglich:
Firebird: Die mitgelieferte Firebird-Datenbank kennt keine Windows-integrierte Anmeldung. Hier bleibt ein verschlüsselt gespeichertes Passwort in der portiervision.ini.
SQL Server ohne Domäne (Arbeitsgruppe): Ohne Domänenidentität gibt es nichts, womit man sich integriert anmelden könnte. Auch hier bleibt ein verschlüsselt gespeichertes Passwort.
Für den SQL-Server-Fall sollte diese gespeicherte Anmeldung weiterhin minimale Rechte haben: db_datareader, db_datawriter und db_ddladmin.
Mit der integrierten Anmeldung liegt kein wiederherstellbares Datenbank-Passwort vor, weder in der portiervision.ini noch im Arbeitsspeicher des Programms. Die Anmeldung erfolgt allein über die Windows-Identität des Nutzers.
Weiterführend: portier Vision Installationsanleitung und Verbindung mit Microsoft SQL Server.
