рефераты конспекты курсовые дипломные лекции шпоры

Реферат Курсовая Конспект

Компоненты структуры безопасности

Работа сделанна в 2000 году

Компоненты структуры безопасности - раздел Связь, - 2000 год - SQL Server 2000 Компоненты Структуры Безопасности. Фундаментом Системы Безопасности Sql Serve...

Компоненты структуры безопасности. Фундаментом системы безопасности SQL Server 2000 являются учетные записи login, пользователи user, роли role и группы group . t Пользователь, подключающийся к SQL Server, должен идентифицировать себя, используя учетную запись.

После того как клиент успешно прошел аутентификацию, он получает доступ к SQL Server. Для получения доступа к любой базе данных учетная запись пользователя login отображается в пользователя данной базы данных user. Объект пользователь базы данных применяется для предоставления доступа ко всем объектам базы данных таблицам, представлениям, хранимым процедурам и т. д. В пользователя базы данных может отображаться О учетная запись Windows NT О группа Windows NT О учетная запись SQL Server.

Подобное отображение учетной записи необходимо для каждой базы данных, доступ к которой хочет получить пользователь. Отображения сохраняются в системной таблице sysusers, которая имеется в любой базе данных. Такой подход обеспечивает высокую степень безопасности, предохраняя от предоставления пользователям, получившим доступ к SQL Server, автоматического доступа ко всем базам данных и их объектам. Пользователи баз данных, в свою очередь, могут объединяться в группы и роли для упрощения управлением системой безопасности.

В ситуации, когда учетная запись не отображается в пользователя базы данных, клиент все же может получить доступ к базе данных под гостевым именем guest, если оно, разумеется, имеется в базе данных. Обычно пользователю guest предоставляется минимальный доступ только в режиме чтения. Но в некоторых ситуациях и этот доступ необходимо предотвратить. Если в сети имеется небольшое количество пользователей, то достаточно легко предоставить доступ каждому пользователю персонально.

Однако в больших сетях с сотнями пользователей подобный подход займет много времени. Гораздо более удобным и эффективным является подход, когда доступ к SQL Server 2000 предоставляется целым группам пользователей. Как раз такой подход возможен при аутентификации средствами Windows NT 2000, когда на уровне домена создается несколько групп, каждая из которых предназначена для решения специфических задач. На уровне SQL Server 2000 такой группе разрешается доступ к серверу, предоставляются необходимые права доступа к базам данных и их объектам.

Достаточно включить учетную запись Windows NT в одну из групп, и пользователь получит все права доступа, предоставленные этой группе. Более того, одна и та же учетная запись может быть включена во множество групп Windows NT, что даст этой учетной записи возможность пользоваться правами доступа, предоставленными всем этим группам. Администратор SQL Server 2000 должен сам решить, как удобнее предоставлять доступ к серверу персонально каждой учетной записи или группе в целом.

ПользователиПосле того как пользователь прошел аутентификацию и получил идентификатор учетной записи login ID , он считается зарегистрированным и ему предоставляется доступ к серверу. Для каждой базы данных, к объектам которой пользователю необходимо получить доступ, учетная запись пользователя login ассоциируется с пользователем user конкретной базы данных. Пользователи выступают в качестве специальных объектов SQL Server, при помощи которых определяются все разрешения доступа и владения объектами в базе данных.

Имя пользователя может использоваться для предоставления доступа как конкретному человеку, так и целой группе людей в зависимости от типа учетной записи. При создании базы данных определяются два стандартных пользователя d b о и guest. Если учетная запись login не связывается явно с пользователем user, последнему предоставляется неявный доступ с использованием гостевого имени guest.

То есть все учетные записи, получившие доступ к SQL Server 2000, автоматически отображаются в пользователей guest во всех базах данных. Если вы удалите из базы данных пользователя guest, то учетные записи, не имеющие явного отображения учетной записи в имя пользователя, не смогут получить доступа к базе данных. Тем не менее, guest не имеет автоматического доступа к объектам. Владелец объекта должен сам решать, разрешать пользователю guest этот доступ или нет. Обычно пользователю guest предоставляется минимальный доступ в режиме только чтение. Для обеспечения максимальной безопасности можно удалить пользователя guest из любой базы данных, кроме системных баз данных master и Tempdb.

В первой из них guest используется для выполнения системных хранимых процедур обычными пользователями, тогда как во второй позволяет создавать любым пользователям временные объекты. Владелец базы данных DataBase Owner, DBO - специальный пользователь, обладающий максимальными правами в базе данных.

Любой член роли sysadmin автоматически отображается в пользователя dbo. Если пользователь, являющийся членом роли sys admin, создает какой-нибудь объект, то владельцем этого объекта назначается не данный пользователь, a dbo. Например, если Liliya, член административной группы, создает таблицу ТаЫ еА, то полное имя таблицы будет не Lil iya. ТаЫеА, a dbo. ТаЫ еА. В то же время, если Liliya, не будучи участником роли сервера sysadmin, состоит в роли владельца базы данных db owner, то имя таблицы будет Li I i уа. ТаЫ еА. Пользователя dbo нельзя удалить.

Для связывания учетной записи login с определенным именем пользователя user можно воспользоваться следующей хранимой процедурой sp adduser loginame login, name in db user . grpname role Ниже дается пояснение используемых в ней параметров О login- имя учетной записи, которую необходимо связать с именем пользователя базы данных О user - имя пользователя базы данных, с которым ассоциируется данная учетная запись в базе данных заранее не должно существовать пользователя с указанным именем О role - этот параметр определяет роль, в которую данный пользователь будет включен подробнее о ролях будет рассказано позже. Хранимая процедура sp grantdbaccess позволяет отобразить учетную запись Windows NT в имя пользователя sp grantdbaccess loginame login, name in db user Параметры означают следующее О login- имя учетной записи пользователя или группы пользователей Windows NT, которым необходимо предоставить доступ к базе данных.

Имя должно снабжаться ссылкой на домен, в котором учетная запись определена.

Указанной учетной записи не обязательно должен быть предоставлен персональный доступ к SQL Server. Вполне возможно, что соединение с сервером устанавливается вследствие членства в группе Windows NT, которая имеет доступ к серверу О user - имя пользователя базы данных, с которым ассоциируется данная учетная запись. Пользователь, который создает объект в базе данных, например таблицу, хранимую процедуру или представление, становится владельцем объекта.

Владелец объекта database object owner имеет все права доступа к созданному им объекту. Чтобы пользователь мог создать объект, владелец базы данных dbo должен предоставить пользователю соответствующие права. Полное имя создаваемого объекта включает в себя имя создавшего его пользователя. Если пользователь хочет обратиться к таблице, используя только ее имя и не указывая владельца, SQL Server применяет следующий алгоритм поиска. 1. Ищется таблица, созданная пользователем, выполняющим запрос. 2. Если таблица не найдена, то ищется таблица, созданная владельцем базы данных dbo. Допустим, пользователь Liss пытается обратиться к таблице Lil iya. TableA, просто используя имя Tab! еА. Поскольку таблица, созданная Li I iya, не соответствует ни первому, ни второму критерию поиска, то таблица ТаЫеА найдена не будет и пользователь получит сообщение об ошибке.

Для получения доступа к таблице необходимо ввести имя, включающее владельца объекта, то есть Liliya. TableA. Владелец объекта не имеет никакого специального пароля или особых прав доступа. Он неявно имеет полный доступ, но должен явно предоставить доступ другим пользователям.

SQL Server позволяет передавать права владения от одного пользователя другому. Чтобы удалить владельца объекта из базы данных, сначала необходимо удалить все объекты, которые он создал, или передать права на их владение другому пользователю. Для этого можно использовать хранимую процедуру sp changeobjectowner, имеющую следующий синтаксис sp changeobjectowner objname object , Pnewowner owner Здесь с помощью первого параметра указывается имя объекта, а с помощью второго - имя пользователя, который станет новым владельцем указанного объекта.

Роли сервераРоль - это мощный инструмент, добавленный в SQL Server 7.0, чтобы заменить группы, которые использовались в предыдущих версиях. Роль позволяет объединять пользователей, выполняющих одинаковые функции, для упрощения администрирования системы безопасности SQL Server.

В SQL Server реализовано два вида стандартных ролей на уровне сервера и на уровне баз данных. При установке SQL Server 2000 создается 9 фиксированных ролей сервера и 9 фиксированных ролей базы данных. Эти роли вы не сможете удалить, кроме того, нельзя модифицировать права их доступа. Вы не сможете предоставить пользователю права, которые имеют фиксированные роли сервера, другим способом, кроме как включением его в нужную роль. В предыдущих версиях SQL Server для администрирования сервера можно было использовать только учетную запись sa или ее аналог.

Иначе говоря, вы могли дать либо все права, либо никаких. Теперь в SQL Server эта проблема решена путем добавления ролей сервера server role, которые позволяют предоставить операторам сервера только те права, которые администратор посчитает возможным предоставить. Роли сервера не имеют отношения к администрированию баз данных. Можно включить любую учетную запись SQL Server login или учетную запись Windows NT в любую роль сервера.

Стандартные роли сервера fixed server role и их права приведены в табл. Таблица. Фиксированные роли сервера Встроенная Назначение роль сервера Sysadmin Может выполнять любые действия в SQL Server Serveradmin Выполняет конфигурирование и выключение сервера Setupadmin Управляет связанными серверами и процедурами, автоматически запускающимися при старте SQL Server Securityadmin Управляет учетными записями и правами на создание базы данных, также может читать журнал ошибок Processadmin Управляет процессами, запущенными в SQL Server Dbcreator Может создавать и модифицировать базы данных Diskadmin Управляет файлами SQL Server Bulkadmin Эта роль не существовала в SQL Server 7.0. Члены роли Bulkadmin могут Bulk Insert вставлять данные с использованием средств массивного копирования, administrators не имея непосредственного доступа к таблицам Роли баз данныхРоли базы данных database role позволяют объединять пользователей в одну административную единицу и работать с ней как с обычным пользователем.

Можно назначить права доступа к объектам базы данных для конкретной роли, при этом вы автоматически наделяете всех членов этой роли одинаковыми правами.

Вместо того чтобы предоставлять доступ каждому конкретному пользователю, а впоследствии постоянно следить за изменениями, можно просто включить пользователя в нужную роль. Если сотрудник переходит в другой отдел, нужно просто удалить его из одной роли и добавить в другую.

Создайте необходимое количество ролей, которые охватывали бы все многообразие действий с базой данных. Позже, при изменении функций членов одной из ролей, достаточно изменить права доступа для этой роли, а не устанавливать новые права для каждого пользователя. В роль базы данных можно включать О пользователей SQL Server О роли SQL Server О пользователей Windows NT О группы Windows NT, которым предварительно предоставлен доступ к нужной базе данных. Средства Enterprise Manager позволяют добавлять в роль базы данных только пользователей базы данных user. Используйте хранимую процедуру sp addrolemember, чтобы задействовать все возможности SQL Server 2000 sp addrolemember ro1ename role, membername security account Здесь параметры означают следующее О role- название роли SQL Server в текущей базе данных О security account - имя того объекта системы безопасности, который необходимо включить в роль. В качестве такого объекта могут выступать как учетные записи SQL Server, так и пользователи и группы Windows NT, которым предоставлен доступ к серверу баз данных.

При создании базы данных для нее определяются стандартные роли базы данных, которые, так же как и стандартные роли сервера, не могут быть изменены или удалены.

Стандартные роли баз данных fixed database role и их права приведены в табл. Таблица. Фиксированные роли баз данных Встроенная роль Назначение баз данных db owner Имеет все права в базе данных db accessadmin Может добавлять или удалять пользователей db securityadmin Управляет всеми разрешениями, объектами, ролями и членами ролей db ddladmin Может выполнять любые команды DDL, кроме GRANT, DENY и REVOKE db backupoperator Может выполнять команды DBCC, CHECKPOINT и BACKUP db datareader Может просматривать любые данные в любой таблице БД db datawriter Может модифицировать любые данные в любой таблице БД db denydatareader Запрещается просматривать данные в любой таблице dbjjenydatawriter Запрещается модифицировать данные в любой таблице Кроме указанных выше ролей существует еще одна - public.

Эта роль имеет специальное назначение, поскольку ее членами являются все пользователи, имеющие доступ к базе данных.

Нельзя явно установить членов этой роли, потому что все пользователи и так автоматически являются ее членами. Используйте эту роль для предоставления минимального доступа пользователям, для которых права доступа к объектам не определены явно. Если в базе данных разрешен пользователь guest, то установленный для publ i с доступ будут иметь все пользователи, получившие доступ к SQL Server.

Роль public имеется во всех базах данных, включая системные базы данных master, tempdb, msdb, model, И не может быть удалена. Группы Windows NT могут быть использованы аналогично ролям SQL Server. Можно создать одну учетную запись login для группы Windows NT и включать соответствующих пользователей вместо роли в группу Windows NT. Выбор метода администрирования зависит от вас. Роли приложенияСистема безопасности SQL Server реализована на самом низком уровне - уровне базы данных.

Это наилучший, наиболее действенный метод контроля деятельности пользователей независимо от приложений, используемых ими для подключения к SQL Server. Тем не менее встречаются ситуации, когда необходим постоянный набор прав для доступа к базе данных из приложения. Особенно это касается работы с большими базами данных, имеющими множество сложных взаимосвязанных таблиц с тысячами или миллионами записей.

Чаще всего для работы с такими базами данных создаются специальные приложения. Кроме того, вы можете захотеть, чтобы пользователи получали доступ к базе данных только с помощью определенного приложения, не давая возможности напрямую обращаться к данным. Например, мобильные пользователи могут использовать специальную клиентскую программу, посредством которой они оперируют данными, устанавливая связь с сервером через незащищенные глобальные коммуникации. SQL Server решает перечисленные проблемы путем использования роли приложения, создаваемой на уровне базы данных.

Отличия между стандартными ролями и ролью приложения фундаментальны. Роль приложения не имеет членов. Пользователи SQL Server или Windows NT не могут быть добавлены в эту роль. Роль активизируется, когда приложение устанавливает соединение. Пользователь, работающий в это время с приложением, не является членом роли - только его приложение использует установленное соединение. Перед использованием роли приложения необходимо сначала создать ее. При создании роли укажите ее имя и пароль для доступа.

Создание роли средствами Transact-SQL выполняется с помощью следующей системной хранимой процедуры sp addappro1e rolename role . password password Первый параметр определяет имя, которое будет иметь создаваемая роль приложения, второй - пароль, который будет использоваться для активизации роли. Создание роли приложения средствами Enterprise Manager выполняется с помощью окна Database Role Properties - New Role свойства ролей баз данных - новая роль, которое также используется для создания обычных пользовательских ролей.

Чтобы создаваемая роль являлась ролью приложения, достаточно установить переключатель Application role роль приложения и ввести пароль. Работа с указанным окном будет рассмотрена в одном из следующих разделов этой главы. Приложение может быть спроектировано так, чтобы пользователь, работающий с ним, должен был вводить пароль для активизации роли приложения.

Однако чаще всего пароль вводится самим приложением незаметно для пользователя. Дополнительно, для обеспечения максимальной безопасности, пароль может быть зашифрован перед своей отправкой к SQL Server по сети. В процессе подключения приложение должно активизировать роль, передав пароль, ассоциированный с данной ролью. Для этого приложение использует следующую хранимую процедуру. sp setapprole ЭгоТепате role, password Encrypt N password password . encrypt encrypt style Рассмотрим параметры подробнее О role- имя роли приложения, которое определено в базе данных О password- пароль, который приложение должно передать серверу для активизации роли приложения О encrypt styl e - применяемая схема шифрования паролей.

Данный параметр может иметь два значения попе шифрование не применяется и odbc шифрование с применением функции ODBC encrypt. Когда роль приложения активизируется, все права доступа, установленные в пределах сеанса для пользователя, групп или ролей, теряются до окончания работы приложения.

Соединение получает права, установленные для роли приложения в базе данных, в которой эта роль существует. Временное забывание прав доступа, присвоенных установившему соединение пользователю, требуется для устранения конфликтов доступа. В противном случае, если пользователю запрещено чтение данных, а приложению необходимо считать данные, доступ был бы отклонен, так как запрещение доступа имеет преимущества над предоставлением доступа. Поскольку роль приложения имеет права только в той базе данных, в которой она создана, а все разрешения для учетных записей, групп и ролей, к которым принадлежит пользователь, теряются, то доступ к другим базам данных возможен только под гостевым именем guest.

Следовательно, если имя guest в базе данных не существует, то соединение не сможет получить доступ к данным. Если же имя guest не удалено из базы данных, соединение сможет получить доступ к объектам базы только в том случае, если разрешения явно выданы для пользователя guest.

Перед установлением соединения с использованием роли приложения пользователю сначала нужно получить доступ к SQL Server. Для этого допустимы оба режима аутентификации пользователей. Если приложение спроектировано для выполнения различных задач с использованием разных прав доступа, необходимо создать отдельную роль для каждой выполняемой задачи. Приложение должно само позаботиться о переключении ролей.

– Конец работы –

Эта тема принадлежит разделу:

SQL Server 2000

В частности, можно выделить два основных раздела работы с сервером, каждый из которых при ближайшем рассмотрении может быть легко разделен на более… Администрирование SQL Server 2000 в свою очередь можно разделить на две части… Таким образом, администрирование баз данных представляет собой отдельную область работы с SQL Server 2000. Оно…

Если Вам нужно дополнительный материал на эту тему, или Вы не нашли то, что искали, рекомендуем воспользоваться поиском по нашей базе работ: Компоненты структуры безопасности

Что будем делать с полученным материалом:

Если этот материал оказался полезным ля Вас, Вы можете сохранить его на свою страничку в социальных сетях:

Все темы данного раздела:

Краткая характеристика редакции
Краткая характеристика редакции. SQL Server 2000 Первый вопрос, который необходимо решить, прежде чем приступить непосредственно к установке SQL Server 2000 это выбор редакции. SQL Server 2000 пост

Возможности редакций
Возможности редакций. Клиентское программное обеспечение для всех редакций SQL Server 2000, за исключением SQL Server Windows CE Edition, запускается на любых версиях Microsoft Windows NT, Microsof

Аппаратные требования
Аппаратные требования. Для установки инструментария и библиотек Microsoft SQL Server 2000 компьютер должен отвечать минимальным требованиям к аппаратному обеспечению компьютера табл. 7.3 . Цифры, п

Взаимодействие с операционными системами
Взаимодействие с операционными системами. Как уже стало ясно при описании редакций SQL Server 2000, каждая из них работает под управлением лишь некоторых операционных систем семейства Windows.

Взаимодействие с программным обеспечением Интернета
Взаимодействие с программным обеспечением Интернета. Для установки всех редакций Microsoft SQL Server 2000 необходимо наличие в операционной системе Microsoft Internet Explorer 5.0. Исключением явл

Планирование конфигурации сервера
Планирование конфигурации сервера. Если в вашей организации предполагается наличие нескольких серверов баз данных, взаимодействующих между собой и обменивающихся данными, то необходимо разработать

Выбор сопоставления
Выбор сопоставления. На одном из этапов установки в окне Collation Settings параметры сопоставления мастер установки SQL Server 2000 предлагает выбрать сопоставление collation, которое будет исполь

Выбор метода установки
Выбор метода установки. SQL Server 2000 поддерживает три способа установки, предоставляя администраторам разные возможности автоматизации и упрощения процесса установки. От выбора того или иного ме

Выбор типа установки
Выбор типа установки. При установке SQL Server 2000 в редакциях Enterprise, Standard, Personal edition мастер установки предложит вам выбрать один из трех типов установки. О Обычный тип установки T

Установка сетевых протоколов в Windows
Установка сетевых протоколов в Windows. В операционной системе Windows 2000 установка и конфигурирование сетевых протоколов несколько иная по сравнению с Windows NT 4.0. Для управления настройками

Сетевая библиотека Описание
Сетевая библиотека Описание. AppleTalk ADSP Позволяет клиентам Apple Macintosh подключаться к серверам SQL Server 2000 по протоколу AppleTalk взамен TCP IP Sockets. Вам не обязательно конфиг

Установка и конфигурирование клиентов
Установка и конфигурирование клиентов. Как уже было сказано, чтобы клиент имел возможность подключаться к SQL Server 2000, на нем должен быть установлен по крайней мере один сетевой протокол и сете

Ручной запуск SQL Server
Ручной запуск SQL Server. Если вы по каким-либо причинам не хотите использовать автозапуск, придется каждый раз при загрузке операционной системы вручную запускать SQL Server. Аналогичные де

Запуск SQL Server в однопользовательском режиме
Запуск SQL Server в однопользовательском режиме. При некоторых обстоятельствах бывает необходимо запустить SQL Server в однопользовательском режиме - например, чтобы выполнить конфигурирование важн

Запуск SQL Server с минимальными требованиями
Запуск SQL Server с минимальными требованиями. В некоторых случаях, например после применения неправильных параметров конфигурации, SQL Server при следующем запуске не сможет стартовать, в результа

Дополнительные режимы запуска
Дополнительные режимы запуска. После установки SQL Server программа установки заносит в реестр набор базовых параметров запуска для SQL Server. Если вы не хотите использовать параметры по ум

Приостановка SQL Server
Приостановка SQL Server. Перед остановкой сервера SQL Server вы можете приостановить его работу и отправить сообщение по сети, предупреждающее пользователей о предстоящей остановке сервера, чтобы о

Правила Безопасности
Правила Безопасности. На любом функционирующем предприятии имеется определенная группа людей, которые обеспечивают принятие решений и контроль их исполнения. Каждый человек должен иметь четко очерч

Общие правила разграничения доступа
Общие правила разграничения доступа. Если ваша база данных предназначена для использования более чем одним человеком, необходимо позаботиться о разграничении прав доступа. В процессе планиро

Архитектура системы безопасности SQL Server
Архитектура системы безопасности SQL Server. Система безопасности SQL Server 2000 базируется на пользователях и учетных записях. Пользователи проходят следующие два этапа проверки системой безопасн

Режимы аутентификации
Режимы аутентификации. SQL Server 2000 может использовать два режима аутентификации пользователей О режим аутентификации средствами Windows NT 2000 Windows NT Authentication О смешанный режим аутен

Режим аутентификации SQL Server
Режим аутентификации SQL Server. Для установки соединения с сервером SQL Server 2000, находящемся в домене, с которым не установлены доверительные отношения, можно использовать аутентификацию SQL S

Защита данных
Защита данных. Как бы хорошо ни была спланирована система безопасности SQL Server 2000, остается возможность копирования файлов с данными и просмотра их на другом компьютере. Кроме того, с и

Ограничение доступа к файлам SQL Server
Ограничение доступа к файлам SQL Server. В своей работе SQL Server создает и использует множество файлов - базы данных, журналы ошибок, резервные копии, файлы для экспорта и импорта данных и многое

Создание и обслуживание баз данных
Создание и обслуживание баз данных. Любая база данных SQL Server 2000 состоит из набора таблиц, содержащих данные, и дополнительных объектов, создаваемых для обработки данных. К таким объект

Использование неформатированных разделов
Использование неформатированных разделов. SQL Server 2000 позволяет использовать для создания файлов базы данных так называемые неформатированные или сырые - raw разделы. Неформатированный р

Управление базами данных
Управление базами данных. К управлению базой данных на физическом уровне относится вся работа по изменению имен, размера, количества, положения файлов базы данных, усечение базы данных и журнала тр

Присоединение и отсоединение базы данных
Присоединение и отсоединение базы данных. SQL Server 2000 позволяет отсоединять detach базы данных от сервера. Пользователи не могут обращаться к отсоединенным базам данных. Описание отсоеди

Передача прав владения
Передача прав владения. Если администратор баз данных вашей компании увольняется и ему на смену приходит другой человек, необходимо передать права владения всеми объектами, включая базы данных, нов

Просмотр свойств базы данных
Просмотр свойств базы данных. Часто бывает необходимо получить исчерпывающую информацию о структуре и параметрах базы данных. В этом разделе будут рассмотрены средства Transact-SQL, с помощь

Управление пользовательскими типами данных
Управление пользовательскими типами данных. В главе 5 в разделе Типы данных были рассмотрены встроенные в SQL Server 2000 типы данных. Эти типы данных всегда имеются в распоряжении пользоват

Управление правилами
Управление правилами. Правила rules являются одним из средств обеспечения целостности данных, хранящихся в базе. Правила оставлены для обеспечения обратной совместимости с предыдущими версиями SQL

Управление умолчаниями
Управление умолчаниями. Умолчание default - это значение, которое будет присвоено столбцу таблицы при вставке строки, если в команде вставки явно не указано значение для этого столбца. Как и

Хотите получать на электронную почту самые свежие новости?
Education Insider Sample
Подпишитесь на Нашу рассылку
Наша политика приватности обеспечивает 100% безопасность и анонимность Ваших E-Mail
Реклама
Соответствующий теме материал
  • Похожее
  • Популярное
  • Облако тегов
  • Здесь
  • Временно
  • Пусто
Теги