Permisos en SQL Dinámico

Jul 16, 2022 | Seguridad, TSQL | 0 comments

El otro día en un grupo de Facebook un participante hizo una pregunta relacionada a un caso en donde tenia un Procedimiento Almacenado con SQL Dinámico y que al ejecutarlo le daba errores de permisos sobre los objetos que usaba ese procedimiento.

Esto técnicamente se da porque el SQL Dinámico pasa las credenciales del contexto de ejecución del SP el cual es Caller por defecto, para mas información puedes acceder al siguiente enlace

En este post voy a hacer una demostración paso a paso de este caso y cual seria la forma de resolverlo.

Paso 1: Creamos los logins y usuarios en nuestra base de datos

En este primer paso vamos a crear dos (2) logins y usuarios a nuestra base de datos, uno de ellos con permisos restringidos y el otro con mas permisos.

USE AdventureWorks2019 
GO
-- CREAMOS UN NUEVO LOGIN
CREATE LOGIN TRIGGERDB WITH PASSWORD ='PASSW@RD'
GO
CREATE LOGIN TRIGGERDB_FULL WITH PASSWORD ='PASSW@RD'
GO
-- CREAMOS EL USUARIO EN LA BASE DE DATOS
CREATE USER TRIGGERDB 
GO
CREATE USER TRIGGERDB_FULL 
GO

ALTER ROLE [db_owner] ADD MEMBER [TRIGGERDB_FULL]  -- PERMISO DE DBOWNER
GO

Paso 2: Creación de Procedimientos almacenados

En este paso vamos a crear dos procedimientos almacenados , uno de ellos común y el otro usando SQL Dinámico

Luego al login TRIGGERDB le vamos a dar permisos de ejecución sobre los SP pero no así sobre las tablas

CREATE OR ALTER PROC DBO.USP_CUSTOMER AS
 SELECT * FROM SALES.Customer 
GO
-- CREAMOS OTRO STORE QUE CONSUME LA TABLA PERO CON SQLDINAMICO
CREATE OR ALTER PROC DBO.USP_CUSTOMER_DINAMICO AS
 DECLARE @N NVARCHAR(50)
 SET @N = N'SELECT * FROM SALES.Customer'
 EXECUTE SP_EXECUTESQL @N 
GO
-- TRIGGERDB SOLO TIENE PERMISOS A LOS STORES
GRANT EXECUTE ON DBO.USP_CUSTOMER TO TRIGGERDB
GRANT EXECUTE ON DBO.USP_CUSTOMER_DINAMICO TO TRIGGERDB 
GO

Paso 3: Pruebas de funcionalidad

Ahora probaremos los dos procedimientos almacenados usando el login TRIGGERDB y además los permisos

EXECUTE AS LOGIN = 'TRIGGERDB'
SELECT SUSER_SNAME()

Hacemos un Select a la tabla con Triggerdb

SELECT * FROM SALES.Customer 

Ejecutamos el primer procedimiento normal y vemos que funciona porque el login tiene permisos.

Msg 229, Level 14, State 5, Line 78
The SELECT permission was denied on the object ‘Customer’, database ‘AdventureWorks2019’, schema ‘Sales’.

EXEC DBO.USP_CUSTOMER

Ejecutamos el otro SP con SQL Dinámico sobre la misma tabla y falla por mas que tengamos permisos sobre el mismo , al ser SQL Dinámico se pasan las credenciales del Caller (TRIGGERDB) al objeto que usa el SP_executeSQL y como este login no tiene permisos sobre dicha tabla va a dar error


EXEC DBO.USP_CUSTOMER_DINAMICO

Msg 229, Level 14, State 5, Line 78
The SELECT permission was denied on the object ‘Customer’, database ‘AdventureWorks2019’, schema ‘Sales’.

REVERT 

Paso 4: Resolviendo el problema

Para poder resolver estos problemas sin la necesidad de darle permisos al Login TRIGGERDB sobre la tabla al usar SQL Dinámico lo que debemos hacer es cambiar el contexto de ejecución del SP de caller a Owner o Login , yo lo voy a cambiar indicándole un login que si tiene permisos sobre la tabla por mas que luego lo llame otro que no tiene permisos.

ALTER PROC DBO.USP_CUSTOMER_DINAMICO
WITH EXECUTE AS 'TRIGGERDB_FULL' -- CAMBIO DE CONTEXTO A OWNER
AS
DECLARE @N NVARCHAR(50)
SET @N = N'SELECT * FROM SALES.Customer'
EXECUTE SP_EXECUTESQL @N 

Ahora solo nos toca volver a probar (correr el código por partes)

EXECUTE AS LOGIN = 'TRIGGERDB'
SELECT SUSER_SNAME()

SELECT * FROM SALES.Customer  -- FALLA PORQUE NO TENEMOS PERMISO

EXEC DBO.USP_CUSTOMER -- FUNCIONA
EXEC DBO.USP_CUSTOMER_DINAMICO -- FUNCIONA

REVERT

Conclusiones

Si usamos SQL Dinámico y nuestro user que llama al SP no tiene permisos sobre los objetos del mismo y no queremos darlos, entonces lo que debemos hacer es cambiar el contexto de ejecución de ese SP, Función o Trigger

Acerca del autor

Maximiliano Accotto

Con mas de 20 años de experiencia y trayectoria trabajando con bases de datos SQL Server y BI.

Fui Microsoft MVP desde el 2005 al 2019 y soy orador frecuente para distintos eventos de Microsoft y comunidades técnicas.

Me especializado en temas de tuning, administración, performance, diseño y BI en el mundo Microsoft ya sea para ambientes locales como nube.

 

Asesoramiento

¿Necesitas resolver problemas de SQL Server o Micosoft BI?

De ser así te puedo ayudar con mi asesoramiento totalmente personalizado

0 Comments