那些遇到过的问题

签名激活过程中的不可信安全上下文

Man*_*eld 5 sql-server stored-procedures linked-server service-broker sql-server-2014

我有一个用于查询链接服务器的服务代理队列的激活过程。我已使用此处找到的方法签署了该程序。但是,我不断在 sql server 日志中看到以下消息:

在队列 'DBName.dbo.TestReceiveQueue' 上运行的激活过程 '[dbo].[TestProc]' 输出以下内容: '访问远程服务器被拒绝,因为当前安全上下文不受信任。

奇怪的是我在同一个数据库中有几个不同的激活程序,由同一个证书签名,也做链接服务器查询,并且工作正常。出于某种原因,这个程序拒绝。

这是一些(主要)重现问题的代码。我已经创建了证书和关联的登录名。

CREATE PROCEDURE TestProc
WITH EXECUTE AS OWNER
AS
BEGIN
    SET NOCOUNT ON;

DECLARE @convHandle UNIQUEIDENTIFIER;
DECLARE @msgTypeName SYSNAME;
DECLARE @status TINYINT;
DECLARE @srvName NVARCHAR(512);
DECLARE @srvConName NVARCHAR(256);
DECLARE @msgTypeValidation AS NCHAR(2);
DECLARE @msgBody NVARCHAR(256);
DECLARE @cmd AS NVARCHAR(50);


RECEIVE TOP(1)
        @convHandle = conversation_handle,
        @msgTypeName =  message_type_name,
        @status = status,
        @srvName = service_name,
        @srvConName = service_contract_name,
        @msgTypeValidation = validation,
        @msgBody = CAST(message_body AS NVARCHAR(256))
        FROM TestReceiveQueue;

    --SELECT @convHandle, @msgBody

    IF (@@ROWCOUNT != 0)
    BEGIN

        SELECT * FROM openquery(LINKEDSERVERNAME, 'SELECT * FROM LINKEDSERVERDB.SCHEMA.TABLE')

        END CONVERSATION @convHandle
    END

END
GO

CREATE MESSAGE TYPE [TestMessageType] VALIDATION = NONE;

CREATE CONTRACT TestContract (TestMessageType SENT BY INITIATOR)

CREATE QUEUE [dbo].[TestReceiveQueue] With STATUS = ON, RETENTION = OFF, ACTIVATION (STATUS = ON, PROCEDURE_NAME = [dbo].[TestProc], MAX_QUEUE_READERS = 1, EXECUTE AS OWNER ), POISON_MESSAGE_HANDLING (STATUS = OFF) ON [PRIMARY]
CREATE QUEUE [dbo].[TestSendQueue] WITH STATUS = ON, RETENTION = OFF, POISON_MESSAGE_HANDLING (STATUS = OFF) ON [PRIMARY]

CREATE SERVICE [TestReceiveService] ON QUEUE [dbo].[TestReceiveQueue] (TestContract)

CREATE SERVICE [TestSendService] ON QUEUE [dbo].[TestSendQueue] (TestContract)


Drop Procedure TestProc

ADD SIGNATURE TO OBJECT::[TestProc]
BY CERTIFICATE [ServiceBrokerProcsCert]
WITH PASSWORD = 'PASSWORDHERE'
GO
Run Code Online (Sandbox Code Playgroud)

有什么办法可以进一步调试,找出为什么我收到这个错误?我在对话中尝试了 ssbdiagnose 并且没有任何配置错误。我还尝试记录CURRENT_USER作为 dbo 返回的激活 sproc的内部。

当我将数据库标记为值得信赖时,它当然可以工作(但这是我试图避免的)。

小智 1

如果数据库是可信关闭的,则过程将仅在签名用户的上下文中运行,而不是如您所期望的在其所有者的上下文中运行。

将链接服务器权限分配给与ServiceBrokerProcsCert关联的用户,这是运行上下文签名激活过程的正确用户。

归档时间:

查看次数:

950 次

最近记录:

10 年,1 月 前
相关归档
为每个类别选择前10条记录 189
sql delete语句,其中日期大于30天 46
script作为通过SSMS创建的表不显示唯一索引 27
在T-SQL UPDATE中,每行的RAND没有区别 18
"找不到存储过程" 16
SQL Server:将存储过程结果集放入表变量中,而不指定其模式 12
为派生表计算SQL Server ROW_NUMBER()OVER() 12
AJAX请求中Azure SQL中的间歇性连接超时 11
基于SQL AAD令牌的身份验证 - 用户'NT AUTHORITY\ANONYMOUS LOGON登录失败 11
将临时表与SQLAlchemy一起使用 7
难疑归档
如何在提交前撤消'git add'? 8567
如何水平居中<div>? 4116
什么是非捕获组?(?:)做什么? 1653
如何在HTTP POST请求中发送参数? 1396
如何使用Sublime Text 2重新格式化HTML代码? 1282
是否有"以前的兄弟"CSS选择器? 1253
在Python中使用大写字母和数字生成随机字符串 1247
window.onload vs $(document).ready() 1205
从不同的文件夹导入文件 1186
我怎样才能用Python代表'Enum'? 1146