Апну. Решил посмотреть работу под доменными (Винда) пользователями. FB3. В firebird.conf аутентификацию прописал. В Эксперте через свою учётку к БД подключился. Я в домене не админ. Как, допустим, мне себе дать права бога? Для начала. И сразу далее. Как остальным пользователям дать какую-то роль? Например, ту же. Надеюсь, можно настроить так, что все пользователи домена автоматически при подключении получат эту роль.

hvlad,

Первым делом прочитал.
Вот такая команда прошла:
create global mapping trusted_auth using plugin win_sspi from any user to role RDB$ADMIN.
Но Эксперт после этого не пускает вообще.
После вот такой команды "create global mapping trusted_auth using plugin win_sspi from any user to user" коннектимся под доменным пользователем. Но прав ни на что нет. Ещё я заметил, что Эксперт пароль не проверяет при опции "Trusted Authentification". Так должно быть?

Симонов ДенисKreatorXXI,

до второго пункта не дочитал




Дочитал. Только что толку? Я не админ. Могу я что-то без виндоусовых админов сделать? Сам? Имея привилегии SYSDBA?

Есть ещё более важный вопрос. Судя по работе Эксперта, при опции "Trusted Authentification" он коннектится под текущим пользователем Винды. Что вообще-то не устраивает. А через ODBC можно законнектиться с "Trusted Authentification"? Что-то я засомневался. Для ODBC UID/PWD то же самое, что и USER/PASSWORD? Это не различие trusted/non trusted?

Симонов Денис,

Ну ладно, Эксперт, обычному пользователю он не нужен. Интересует ODBC. Если логин и пароль в строке коннекта оставить пустыми, законнектится под доменным пользователем?

Dimitry SibiryakovKreatorXXIИнтересует ODBC. Если логин и пароль в строке коннекта оставить пустыми, законнектится под
доменным пользователем?

Ты, видимо, не врубаешься в слово "trusted". Firebird доверяет Windows проверку
пользователя и считает, что раз он вошёл в систему (или домен), значит дальше уже можно не
проверять: этот Вася Пупкин, о котором талдычит Винда, действительно Вася Пупкин.


Неправильно это. Винда туповата. При отсутствии связи с домен-контроллером (например, банально сетевой провод отключен) Винда позволяет зайти под отключенным пользователем и т.д. Получается, ещё плюс, нужно требовать от пользователя выхода не только из проги, но и из системы?
Ладно, мелочи жизни. Всё-таки, есть сценарий (инструкция) как мне приконнектиться к базе через свою доменную учётку и получить какие-нибудь привилегии на работу с таблицами и т.д.? Или sysdba раздать привилегии доменным учёткам?

kdvKreatorXXI,

Trusted Auth умеет клиентская либа, fbclient.dll. Соответственно, ODBC нужен не абы какой, а именно от Firebird, и чтобы там в настройках алиаса тоже была галка use trusted auth.

В упор не вижу галки в настройке ODBC.

Симонов Денис,

Не работает.
При коннекте под доменной учёткой ролей не видно, поэтому, видимо, команда "set role manager" даёт ошибку "Unsuccessful execution caused by system error that does not preclude successful execution of subsequent statements. Role manager is invalid or unavailable." Хотя роль создана.
Kоманда "set trusted role" сообщает, что нет таких ролей. Хотя вроде создал некую роль командой "Create mapping". А где хранятся объекты, созданные "Create mapping"? Может дело в Эксперте? Он что-то не так работает (на самом деле всё нормально)? Он, кстати, игнорирует роль, написанную в коннекте. Может быть дело в отсутствии у меня админских доменных прав?

Симонов Денис,

Ну разжевали! Ну, спасибо! Заработало. Только прокол у меня был в том, что FB почему-то имена домена и пользователя воспринимает только большими буквами. Всё равно спасибо за терпение. Теперь подумаю что делать с кэшированием паролей (можно отключить через политику безопасности, не очень большая проблема, наверно) и с подтверждением доменного пароля при входе в прогу (вроде есть апишная функция).

Ivan_PisarevskyKreatorXXIс подтверждением доменного пароля при входе в прогу (вроде есть апишная функция).Смысл трастед аутентификации сошел в ноль или близко к тому. Выкусить имя юзера можно легко на клиенте, один вызов winapi, и в сервере вообще ничего крутить на надо. Смысл, как по мне, чтоб не заводить кучу паролей в кучу прикладных программ. Разве нет?
Вы абсолютно правы. Заказчик, действительно, хочет именно так. По-хорошему при таком режиме работы доменные пользователи должны быть заведены в базу. Поэтому рассматриваем разные возможности как это сделать.

Симонов ДенисKreatorXXIТолько прокол у меня был в том, что FB почему-то имена домена и пользователя воспринимает только большими буквами

Пожалуйста. Достаточно было посмотреть что выводит current_user.

Я, можно сказать, купился. Эксперт в окне настройки коннекта предупреждает, что в FB3 имя пользователя регистрозависимое, и я Вас уверяю, что мой логин не большими буквами в домене. Ну и плюс при работе с FB привык к регистронечувствительности. А вот почему FB автоматически переводит доменного пользователя в верхний регистр...