Kaspersky Security Center

Comptes utilisateur pour l'utilisation d'un SGBD

21 mars 2024

ID 156275

Pour installer et utiliser le Serveur d'administration, vous avez besoin d'un compte Windows sous lequel vous allez exécuter le programme d'installation du Serveur d'administration (ci-après également le programme d'installation), d'un compte Windows sous lequel vous lancerez le service du Serveur d'administration et d'un SGBD interne compte utilisateur pour accéder au SGBD. Vous pouvez créer de nouveaux comptes ou utiliser des comptes existants. Tous ces comptes nécessitent des droits spécifiques. L'ensemble des comptes requis et de leurs droits dépend des critères suivants :

  • Type de SGBD :
    • Microsoft SQL Server (avec authentification Windows ou authentification SQL Server)
    • MySQL ou MariaDB
    • PostgreSQL ou Postgres Pro
  • Emplacement du SGBD :
    • SGBD local. Un SGBD local est un SGBD installé sur le même appareil que le Serveur d'administration.
    • SGBD distant. Un SGBD distant est un SGBD installé sur un autre appareil.
  • Méthode de création de la base de données du Serveur d'administration :
    • Automatique. Lors de l'installation du Serveur d'administration, vous pouvez créer automatiquement une base de données du Serveur d'administration (ci-après également appelée base de données du Serveur) à l'aide du programme d'installation.
    • Manuel. Vous pouvez utiliser une application tierce (par exemple, SQL Server Management Studio) ou un script pour créer une base de données vide. Après cela, vous pouvez spécifier cette base de données comme base de données du Serveur lors de l'installation du Serveur d'administration.

Suivez le principe du moindre privilège lorsque vous accordez des droits et des autorisations aux comptes. Cela signifie que les droits accordés doivent être suffisants uniquement pour exécuter les actions requises.

Les tableaux ci-dessous contiennent des informations sur les droits système et les droits SGBD que vous devez accorder aux comptes avant d'installer et de lancer le Serveur d'administration.

Microsoft SQL Server avec authentification Windows

Si vous choisissez SQL Server comme SGBD, vous pouvez utiliser l'authentification Windows pour accéder à SQL Server. Configurez les droits système d'un compte Windows utilisé pour exécuter le programme d'installation et d'un compte Windows utilisé pour lancer le service du Serveur d'administration. Sur SQL Server, créez des connexions pour ces deux comptes Windows. Selon le mode de création de la base de données Serveur, accordez à ces comptes les privilèges SQL Server requis, comme indiqué dans le tableau ci-dessous. Pour plus d'informations sur la configuration des droits des comptes, consultez la section Configuration des comptes pour l'utilisation de SQL Server (authentification Windows).

SGBD : Microsoft SQL Server (y compris Express Edition) avec authentification Windows

 

Création automatique de la base de données (par le programme d'installation)

Création manuelle de la base de données (par l'administrateur)

Compte utilisateur sous lequel est exécuté le programme d'installation

  • SGBD distant : uniquement un compte de domaine de l'appareil distant sur lequel le SGBD est installé.
  • SGBD local : un compte d'administrateur local ou un compte de domaine.
  • SGBD distant : uniquement un compte de domaine de l'appareil distant sur lequel le SGBD est installé.
  • SGBD local : un compte d'administrateur local ou un compte de domaine.

Privilèges du compte utilisateur sous lequel est exécuté le programme d'installation

  • Privilèges système : privilèges d'administrateur local.
  • Privilèges SQL Server :
    • Rôle de niveau serveur : sysadmin.
  • Privilèges système : privilèges d'administrateur local.
  • Privilèges SQL Server :
    • - Rôle de niveau serveur : public.
    • Appartenance au rôle de base de données pour la base de données du serveur : db_owner, public.
    • Schéma par défaut de la base de données du Serveur : dbo.

Compte utilisateur du service du Serveur d'administration

  • SGBD distant : uniquement un compte de domaine de l'appareil distant sur lequel le SGBD est installé.
  • SGBD local :
    • Un compte Windows choisi par l'administrateur.
    • Un compte au format KL-AK-* que le programme d'installation crée automatiquement.
  • SGBD distant : uniquement un compte de domaine de l'appareil distant sur lequel le SGBD est installé.
  • SGBD local :

Privilèges du compte utilisateur du service du Serveur d'administration

  • Privilèges système : privilèges requis attribués par le programme d'installation
  • Privilèges SQL Server : privilèges requis attribués par le programme d'installation
  • Privilèges système : privilèges requis attribués par le programme d'installation
  • Privilèges SQL Server :
    • - Rôle de niveau serveur : public.
    • Appartenance au rôle de base de données pour la base de données du serveur : db_owner, public.
    • Schéma par défaut de la base de données du Serveur : dbo.

Microsoft SQL Server avec authentification SQL Server

Si vous choisissez SQL Server comme SGBD, vous pouvez utiliser l'authentification SQL Server pour accéder à SQL Server. Configurez les privilèges système d'un compte Windows utilisé pour exécuter le programme d'installation et d'un compte Windows utilisé pour lancer le service du Serveur d'administration. Sur SQL Server, créez un identifiant avec un mot de passe pour l'utiliser pour l'authentification. Ensuite, accordez à ce compte SQL Server les droits requis répertoriés dans le tableau ci-dessous. Pour plus d'informations sur la configuration des droits des comptes, consultez Configuration des comptes pour l'utilisation de SQL Server (authentification SQL Server).

SGBD : Microsoft SQL Server (y compris Express Edition) avec authentification SQL Server

 

Création automatique de la base de données (par le programme d'installation)

Création manuelle de la base de données (par l'administrateur)

Compte utilisateur sous lequel est exécuté le programme d'installation

  • SGBD distant : uniquement un compte de domaine de l'appareil distant sur lequel le SGBD est installé.
  • SGBD local : un compte d'administrateur local ou un compte de domaine.
  • SGBD distant : uniquement un compte de domaine de l'appareil distant sur lequel le SGBD est installé.
  • SGBD local : un compte d'administrateur local ou un compte de domaine.

Privilèges du compte utilisateur sous lequel est exécuté le programme d'installation

Privilèges système : privilèges d'administrateur local.

Privilèges système : privilèges d'administrateur local.

Compte utilisateur du service du Serveur d'administration

  • SGBD distant : uniquement un compte de domaine de l'appareil distant sur lequel le SGBD est installé.
  • SGBD local :
    • Un compte Windows choisi par l'administrateur.
    • Un compte au format KL-AK-* que le programme d'installation crée automatiquement.
  • SGBD distant : uniquement un compte de domaine de l'appareil distant sur lequel le SGBD est installé.
  • SGBD local :
    • Un compte utilisateur Windows choisi par l'administrateur.
    • Un compte au format KL-AK-* que le programme d'installation crée automatiquement.

Privilèges du compte utilisateur du service du Serveur d'administration

Privilèges système : privilèges requis attribués par le programme d'installation

Privilèges système : privilèges requis attribués par le programme d'installation

Droits du login utilisé pour l'authentification SQL Server

Droits SQL Server requis pour créer une base de données et installer le Serveur d'administration :

  • Rôle de niveau serveur : public.
  • Appartenance au rôle de base de données pour la base de données master : db_owner.
  • Schéma par défaut de la base de données master : dbo.
  • Permissions :
    • CONNECT ANY DATABASE
    • CONNECT SQL
    • CREATE ANY DATABASE
    • VIEW ANY DATABASE
    • VIEW SERVER STATE (si l'option Always On est activée)

    Droits SQL Server requis pour utiliser le Serveur d'administration :

  • Rôle de niveau serveur : public.
  • Appartenance au rôle de base de données pour la base de données du serveur : db_owner.
  • Schéma par défaut de la base de données du Serveur : dbo.
  • Permissions :
    • CONNECTER SQL
    • VIEW ANY DATABASE
    • VIEW SERVER STATE (si l'option Always On est activée)

Privilèges SQL Server :

  • Rôle de niveau serveur : public.
  • Appartenance au rôle de base de données pour la base de données du serveur : db_owner.
  • Schéma par défaut de la base de données du Serveur : dbo.
  • Permissions :
    • CONNECTER SQL
    • VOIR TOUTES LES BASE DE DONNÉES

Configuration des privilèges du serveur SQL pour la récupération des données du Serveur d'administration

Pour restaurer les données du Serveur d'administration à partir de la sauvegarde, exécutez l'utilitaire klbackup sous le compte utilisateur Windows employé pour installer le Serveur d'administration. Avant de lancer l'utilitaire klbackup, sur SQL Server, accordez à l'identifiant SQL Server les privilèges associés à ce compte Windows. Les privilèges du Serveur SQL différent selon la version du Serveur d'administration. Pour le Serveur d'administration version 14.2 ou suivante, vous pouvez attribuer le rôle au sysadmin au niveau du serveur ou le rôle dbcreator au niveau du serveur.

Privilèges SQL Server pour la récupération de la base de données du Serveur d'administration

Serveur d'administration 14.2 ou versions ultérieures

Autres versions du Serveur d'administration

  • Privilèges SQL Server :
    • Rôle de niveau serveur : sysadmin.
  • Privilèges SQL Server :
    • Rôle de niveau serveur : sysadmin.
  • Privilèges SQL Server :
    • Rôle de niveau serveur : dbcreator.
  • Permissions :
    • VOIR N'IMPORTE QUELLE DÉFINITION

    Avant de lancer l'utilitaire klbackup, indiquez l'indicateur de serveur KLSRV_SKIP_ADJUSTING_DBMS_ACCESS. Exécutez l'invite de commande Windows en utilisant les droits d'administrateur, puis remplacez votre répertoire actuel par celui contenant l'utilitaire klscflag. L'utilitaire klsclag se trouve dans le dossier dans lequel le Serveur d'administration est installé. Chemin d'installation par défaut est <Disk>:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center. Après cela, exécutez la commande suivante dans la ligne de commande :

    klscflag.exe -fset -pv klserver -n KLSRV_SKIP_ADJUSTING_DBMS_ACCESS -t d -v 1

 

MySQL et MariaDB

Si vous choisissez MySQL ou MariaDB comme SGBD, créez un compte interne de SGBD et accordez à ce compte les privilèges requis indiqués dans le tableau ci-dessous. Le programme d'installation et le service du Serveur d'administration utilisent ce compte utilisateur SGBD interne pour accéder au SGBD. Notez que la méthode de création de la base de données n'affecte pas l'ensemble des droits requis. Pour plus d'informations sur la configuration des privilèges du compte, consultez Configuration des comptes pour l'utilisation avec MySQL et MariaDB.

SGBD : MySQL et MariaDB

 

Création automatique ou manuelle de la base de données

Compte utilisateur sous lequel est exécuté le programme d'installation

  • SGBD distant : uniquement un compte de domaine de l'appareil distant avec le SGBD installé.
  • SGBD local : un compte d'administrateur local ou un compte de domaine.

Privilèges du compte utilisateur sous lequel est exécuté le programme d'installation

Privilèges système : privilèges d'administrateur local.

Compte utilisateur du service du Serveur d'administration

  • SGBD distant : uniquement un compte de domaine de l'appareil distant avec le SGBD installé.
  • SGBD local :
    • Un compte Windows choisi par l'administrateur.
    • Un compte au format KL-AK-* que le programme d'installation crée automatiquement.

Privilèges du compte utilisateur du service du Serveur d'administration

Privilèges système : privilèges requis attribués par le programme d'installation

Droits du compte interne du SGBD

Privilèges du schéma :

  • Base de données du Serveur d'administration : ALL (sauf GRANT OPTION).
  • Schémas système (mysql et sys) : SELECT, SHOW VIEW.
  • La procédure stockée sys.table_exists : EXECUTE (si vous utilisez MariaDB 10.5 ou une version antérieure en tant que SGBD, vous n'avez pas besoin d'accorder le privilège EXECUTE).

Privilèges globaux pour tous les schémas : PROCESS, SUPER.

Configuration des privilèges pour la récupération des données du Serveur d'administration

Les droits que vous avez accordés au compte SGBD interne suffisent pour restaurer les données du Serveur d'administration à partir de la sauvegarde. Pour lancer la restauration, exécutez l'utilitaire klbackup sous le compte Windows utilisé pour installer le Serveur d'administration.

PostgreSQL ou Postgres Pro

Si vous choisissez PostgreSQL ou Postgres Pro comme SGBD, vous pouvez utiliser l'utilisateur postgres (le rôle Postgres par défaut) ou créer un nouveau rôle Postgres (ci-après également appelé rôle) pour accéder au SGBD. Selon le mode de création de la base de données Serveur, accordez à ce rôle les privilèges requis, comme indiqué dans le tableau ci-dessous. Pour plus d'informations sur la configuration des privilèges du rôle, consultez la section Configuration des comptes pour l'utilisation avec PostgreSQL ou Postgres Pro.

SGBD : PostgreSQL ou Postgres Pro

 

Création automatique de la base de données

Création manuelle de la base de données

Compte utilisateur sous lequel est exécuté le programme d'installation

  • SGBD distant : uniquement un compte de domaine de l'appareil distant avec le SGBD installé.
  • SGBD local : un compte d'administrateur local ou un compte de domaine.
  • SGBD distant : uniquement un compte de domaine de l'appareil distant avec le SGBD installé.
  • SGBD local : un compte d'administrateur local ou un compte de domaine.

Privilèges du compte utilisateur sous lequel est exécuté le programme d'installation

Privilèges système : privilèges d'administrateur local.

Privilèges système : privilèges d'administrateur local.

Compte utilisateur du service du Serveur d'administration

  • SGBD distant : uniquement un compte de domaine de l'appareil distant avec le SGBD installé.
  • SGBD local :
    • Un compte Windows choisi par l'administrateur.
    • Un compte au format KL-AK-* que le programme d'installation crée automatiquement.
  • SGBD distant : uniquement un compte de domaine de l'appareil distant avec le SGBD installé.
  • SGBD local :
    • Un compte Windows choisi par l'administrateur.
    • Un compte au format KL-AK-* que le programme d'installation crée automatiquement.

Privilèges du compte utilisateur du service du Serveur d'administration

Privilèges système : privilèges requis attribués par le programme d'installation

Privilèges système : privilèges requis attribués par le programme d'installation

Privilèges du rôle Postgres

L'utilisateur postgres n'a pas besoin de privilèges supplémentaires.

Privilèges pour un nouveau rôle : CREATEDB.

Pour un nouveau rôle :

  • Privilèges sur les bases de données du Serveur d'administration : ALL.
  • Privilèges sur toutes les tables du schéma public : ALL.
  • Privilèges sur toutes les séquences du schéma public : ALL.

Configuration des privilèges pour la récupération des données du Serveur d'administration

Pour restaurer les données du Serveur d'administration à partir de la sauvegarde, exécutez l'utilitaire klbackup sous le compte utilisateur Windows employé pour installer le Serveur d'administration. Notez que le rôle Postgres utilisé pour accéder au SGBD doit avoir les privilèges de propriétaire sur la base de données du Serveur d'administration.

Voir également :

Principal scénario d'installation

Cet article vous a-t-il été utile ?
Que pouvons-nous améliorer ?
Merci de nous faire part de vos commentaires. Vous nous aidez à nous améliorer.
Merci de nous faire part de vos commentaires. Vous nous aidez à nous améliorer.