Policy-Based Management(Login’lere Password Policy ve Expiration Uygulanmış mı?-Login Facet)
Policy-Based Management SQL Server 2008 ile gelen bir özelliktir. Sistemlerimizde istediğimiz kuralları koymamıza, standartlarımızı belirlememize ve kontrollerimizi otomatik olarak yapmamıza olanak sağlar. Örneğin stored procedure’lerimizin isimlerinin rakam ile başlamaması ya da veritabanı recovery modellerinin simple olmaması için kontrol amaçlı olarak policy oluşturabiliriz.
Bu makaleyi okumadan önce “SQL Server Parola Politikası” isimli makaleyi okumanızı tavsiye ederim.
Policy Based Management(PBM)’ı kavramak için bazı kavramları anlamanız gerekir.
Facet: PBM tarafından yönetilebilen bir özelliktir. Örneğin Login isminde bir facet vardır. Ve bu facet’ı kullanarak Loginlere parola politikası uygulanıp uygulanmadığını kontrol eden bir policy oluşturabilirsiniz.
Tüm facet’ların listesine aşağıdaki gibi SSMS üzerinden erişebilirsiniz. Facet detayı için üzerine çift tıklamalısınız.
Condition: ilgili facet’ların alt özelliklerinin belirlenen koşulu sağlayıp sağlamadığını kontrol eder.
Loginlere parola politikası uygulanıp uygulanmadığını kontrol eden bir policy oluşturalım.
Aşağıdaki gibi Management > Policy Management > Policies sekmelerinden New Policy diyoruz.
Karşımıza çıkan ekranda Policy’e bir isim veriyoruz ve Check Condition kısmından bir condition oluşturmamız gerekiyor.
New Condition’a tıklıyoruz.
Karşımıza çıkan ekranda Name kısmından condition’a bir isim veriyoruz.
Facet kısmından loginlerle ilgili kontrol yapacağımız için Login facet’ını seçiyoruz.
Expression kısmında … ‘ya tıklayarak Login facet’ının alt özelliği olan @PasswordPolicyEnforced ‘ı ve @PasswordExpirationEnabled’ı seçerek True olmasını gerektiğini aşağıdaki şekilde belirtiyoruz.
Evaluation Mode kısmından On Schedule’ı seçerek policy hangi aralıklarla kontrol’ü yapacağını belirliyoruz ve daha sonra Enable kutucuğuna tıklıyoruz.
On Demand’ı seçersek, sadece policy’i çalıştırdığımızda kontrolleri yapar.
Server restriction kısmında server bazında bir koşulunuz varsa server bazında bir condition oluşturarak koşulunuzun kontrolünü yapabilirsiniz.
Belirli aralıklarla otomatik kontrol etmesini istiyorsak Schedule kısmından new diyoruz ve policy’nin kontrol’ü yapacağı sıklığı belirliyoruz. Biz aşağıda her gün 00:00:000’da bir kere çalışacak şekilde set ettik.
Againts targets kısmından hangi login’ler için LoginCondition’ın çalışacağı default olarak Every gelir.
Sadece SQL Login’leri kontrol edecek şekilde ayarlayalım. Every’nin sağındaki işarete tıklayarak New Condition diyelim.
Sadece SQL Login’leri kontrol etmek istediğimiz için Facet kısmından Login’i seçelim ve sonrasında Login Facet’ının alt özelliği olan LoginType’ı aşağıdaki gibi SqlLogin’e eşitleyerek ok diyelim.
Target’imizi değiştirdikten sonra asıl ekranımız aşağıdaki gibi değişecektir. Gördüğünüz gibi Every yerine OnlySqlLogins condition’ı geldi.
Policy’mizi bu şekilde oluşturduk. Manual olarak çalıştırmak için aşağıdaki gibi Evaluate diyoruz.
Benim sistemimde aşağıdaki gibi bir sonuç çıktı.
Fail eden sql login’lerden bir tanesinin üzerindeki view’e tıkladığımda da aşağıdaki gibi bir sonuç gördüm.
Instance üzerinde refresh yaptığınızda Instance’ın yanında aşağıdaki gibi mektuba benzeyen bir kutucuğun üstünde kırmızı renki x işareti çıkıyor. Bunun sebebi instance üzerinde tanımlı olan ve hatalı biten bir policy’nin var olduğunun sql server’ın bize bildirmek istemesi. Bu işareti gördüğünüzde tanımlı policy’lere bakıp gerekliliklerini yerine getirmeniz gerekir.
Örneğimizle ilişkilendirecek olursak Login’lerin policy ayarlarında gerekli düzeltmeleri yaptıktan sonra policy’i yukarda anlattığım gibi tekrar evaluate ettiğimizde bu işaret kaybolacaktır. Login’lerin policy ayarlarının nasıl yapılacağını “Login oluşturmak ve yetkilendirmek” isimli makalemde daha önce anlattım.
Policy Based Management ile SQL Server üzerinde yapabileceğiniz bir çok kontrol vardır. Ve profesyonel bir veritabanı yöneticisi bence SQL Server’ın bize sunduğu bu özelliği bütün detaylarıyla kullanmalı. Policy Based Management ile yapabileceğiniz diğer kontrolleri sitemizdeki menüden MSSQL’in altındaki POLICY-BASED MANAGEMENT alt menüsünden erişebileceğiniz makalelerde bulabilirsiniz.