ReSQL.ru
     
powered by simpleCommunicator - 2.0.59     © 2026 Programmizd 02
Мобильная версия    Контакт    Правила    FAQ    Помощь
Целевая тема:
Создать новую тему:
Автор:
Закрыть
Цитировать
Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр
Форумы / Informix [игнор отключен] [закрыт для гостей] / Права пользователей (Row Level) & View
41 сообщений из 41, показаны все 2 страниц
  все  
Права пользователей (Row Level) & View
    #34201131
SashaF
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
SashaF
Гость
Задача:
Есть база данных состоящая из трех таблиц – счет(account), хоз. операция, пользователь(users)
Нужно ограничить доступ пользователю или группе пользователей к части данных таблиц. Например, пользователь может видеть определенный список счетов, и может видеть перечень операций связанных с ними за определенный период времени(данные за прошлый месяц ему видеть нельзя).

Для задания таких условий потребуются такие таблички:
Пользователь-Счет(user_account), Пользователь-Разрешенный интервал дат для работы(user_period)

Вопрос: как реализовать такие ограничения на Informix 10?
Как мне кажется было бы удобно все это реализовать на View
Код: plaintext
1.
2.
3.
4.
5.
  create view  useraccount as
      select column1, column2, ….
         from account, user_account
         where ……
                    and date >= ….(значения из user_period)
                    and user_name =   USER_NAME

и вот в этом месте у меня проблема, как задать этот самый USER_NAME? Заводить кучу informix пользователей и пользоваться во view selecta функцией Informix USER мне кажется неудобно, поскольку хочется чтобы пользователи системы могли сами создавать других пользователей и раздавать привилегии. В create view использовать темповую табличку, в которой можно было бы хранить имя текщего пользователя – нельзя.

Я что то не понимаю или в Informix никак не получится организовать row level security пользователей на основе view?
...
Рейтинг: 0 / 0
14.12.2006, 18:45
| Ответить | Цитировать | Написать  
Права пользователей (Row Level) & View
    #34203644
Фотография Тан
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Тан
Участник
У меня пользователи сами регистрируют пользователей и права им раздают.
Причем они не DBA.
Пользуются хранимой процедурой, написанной с использованием Exec BladeLet.
...
Рейтинг: 0 / 0
15.12.2006, 15:57
| Ответить | Цитировать | Написать  
Права пользователей (Row Level) & View
    #34204177
SashaF
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
SashaF
Гость
И это правильное решение? Как это на безопасности скажется? Можно пример из нескольких строчек как добавляют пользователя, если не трудно?
...
Рейтинг: 0 / 0
15.12.2006, 17:51
| Ответить | Цитировать | Написать  
Права пользователей (Row Level) & View
    #34204937
Фотография Журавлев Денис
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Журавлев Денис
Участник
Создаем две процедуры:


Код: plaintext
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
CREATE PROCEDURE login(user, pass)
   DEFINE GLOBAL loggeduser char default '';
   
   Проверяем пользователя/пароль, если неправильно валим эксепшин, если правильно Let loggeduser =user
END PROCEDURE;


CREATE PROCEDURE getusername returning char
   DEFINE GLOBAL loggeduser char default '';
   если loggeduser  = '' валим эксепшин иначе return loggeduser 
END PROCEDURE;

Права на выполнение даем connect.
Пользоваться так:
Код: plaintext
1.
2.
create view ...
 and date >= ….(значения из user_period)
                    and user_name =  getusername()
...
Рейтинг: 0 / 0
16.12.2006, 15:25
| Ответить | Цитировать | Написать  
Права пользователей (Row Level) & View
    #34204950
SashaF
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
SashaF
Гость
так намного красивее. спасибо!
...
Рейтинг: 0 / 0
16.12.2006, 15:45
| Ответить | Цитировать | Написать  
Права пользователей (Row Level) & View
    #34205004
Фотография Журавлев Денис
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Журавлев Денис
Участник
Журавлев Денис
Права на выполнение даем connect.
to public конечно.
...
Рейтинг: 0 / 0
16.12.2006, 16:46
| Ответить | Цитировать | Написать  
Права пользователей (Row Level) & View
    #34206376
Фотография Тан
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Тан
Участник
SashaFИ это правильное решение? Как это на безопасности скажется? Можно пример из нескольких строчек как добавляют пользователя, если не трудно?
Это было осознанное решение - делегировать пользователям функцию раздачи прав. Вы разве не этого же хотите?
Почему оно должно жутким образом сказаться на безопасности?
...
Рейтинг: 0 / 0
18.12.2006, 09:33
| Ответить | Цитировать | Написать  
Права пользователей (Row Level) & View
    #34206557
SashaF
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
SashaF
Гость
второе решение мне нравится больше потому только, что пользователи создают других пользователей и раздают привилегии на уровне приложения, а не Informix'а. Мне кажется такой вариант более гибким.
К тому же использовать динамический SQL мне не нравится (не знаю почему), я никогда его не использовал и не знаю как все это будет работать :)
...
Рейтинг: 0 / 0
18.12.2006, 10:36
| Ответить | Цитировать | Написать  
Права пользователей (Row Level) & View
    #34206632
Фотография Журавлев Денис
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Журавлев Денис
Участник
Местные гуру утверждают что ходить в бд одним пользователем неправильно, что надо пользоваться системой прав встроенной в субд.

И то что вы хотите можно добится решением, которое предлагает Таня, т.е. она все правильно говорит.
...
Рейтинг: 0 / 0
18.12.2006, 10:57
| Ответить | Цитировать | Написать  
Права пользователей (Row Level) & View
    #34206683
SashaF
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
SashaF
Гость
а где они это говорят и по какому поводу, я не нашел. можно ссылочку. Или обяъснение вкратце - почему. Если не затруднит.
...
Рейтинг: 0 / 0
18.12.2006, 11:14
| Ответить | Цитировать | Написать  
Права пользователей (Row Level) & View
    #34206742
Фотография Журавлев Денис
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Журавлев Денис
Участник
SashaFа где они это говорят и по какому поводу, я не нашел. можно ссылочку. Или обяъснение вкратце - почему. Если не затруднит.Местные в смысле sql.ruшные в оракловых и делфийных конференциях.
Обяснение простое вы ошибетесь при программировании и однажды пользователи увидят или удалят то что нельзя, ну и еще например админ будет видеть нормальные логины onstat -u
...
Рейтинг: 0 / 0
18.12.2006, 11:31
| Ответить | Цитировать | Написать  
Права пользователей (Row Level) & View
    #34206870
SashaF
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
SashaF
Гость
ТанУ меня пользователи сами регистрируют пользователей и права им раздают.
Причем они не DBA.
Пользуются хранимой процедурой, написанной с использованием Exec BladeLet.

а можно текст этой процедуры или это секрет?
...
Рейтинг: 0 / 0
18.12.2006, 12:03
| Ответить | Цитировать | Написать  
Права пользователей (Row Level) & View
    #34207228
Фотография Тан
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Тан
Участник
SashaFвторое решение мне нравится больше потому только, что пользователи создают других пользователей и раздают привилегии на уровне приложения, а не Informix'а. Мне кажется такой вариант более гибким.
и менее страшным?
А на самом деле пользователи получат одинаковые привилегии, что в одном случае, что в другом.
И пользоваться ими будут через ваше приложение.
Или вы хотите застраховаться на случай применения пользователями eSQLEditor?
SashaFК тому же использовать динамический SQL мне не нравится (не знаю почему), я никогда его не использовал и не знаю как все это будет работать :)
да, тут не поспоришь
...
Рейтинг: 0 / 0
18.12.2006, 13:23
| Ответить | Цитировать | Написать  
Права пользователей (Row Level) & View
    #34207242
Фотография Тан
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Тан
Участник
SashaF ТанУ меня пользователи сами регистрируют пользователей и права им раздают.
Причем они не DBA.
Пользуются хранимой процедурой, написанной с использованием Exec BladeLet.

а можно текст этой процедуры или это секрет?

Код: plaintext
1.
2.
3.
4.
5.
6.
7.
8.
create procedure dba_grant_role (who nchar( 32 ), what nchar( 32 ))
define res lvarchar;
   if lower(what) = 'connect' then 
      call exec('grant connect to '||who) returning res;
   else 
      call exec('grant default role '||what||' to '||who) returning res;
   end if;
end procedure;
...
Рейтинг: 0 / 0
18.12.2006, 13:27
| Ответить | Цитировать | Написать  
Права пользователей (Row Level) & View
    #34207574
SashaF
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
SashaF
Гость
извините за занудство, а как пользователя из хр. процедуры создать? я хотел текст вот этой процедуры :)
...
Рейтинг: 0 / 0
18.12.2006, 14:45
| Ответить | Цитировать | Написать  
Права пользователей (Row Level) & View
    #34208085
Фотография Тан
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Тан
Участник
SashaFизвините за занудство, а как пользователя из хр. процедуры создать? я хотел текст вот этой процедуры :)это она и есть
...
Рейтинг: 0 / 0
18.12.2006, 16:52
| Ответить | Цитировать | Написать  
Права пользователей (Row Level) & View
    #34208880
Фотография Журавлев Денис
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Журавлев Денис
Участник
SashaFизвините за занудство, а как пользователя из хр. процедуры создать? я хотел текст вот этой процедуры :)Пользователя в операционке? Можно из хранимой процедуры вызвать шелскрипт ос, а на скрипт суидный бит, и владельцем рута.
...
Рейтинг: 0 / 0
18.12.2006, 21:18
| Ответить | Цитировать | Написать  
Права пользователей (Row Level) & View
    #34208953
Александр Федоренко
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Александр Федоренко
Гость
Журавлев ДенисМестные гуру утверждают что ходить в бд одним пользователем неправильно, что надо пользоваться системой прав встроенной в субд.

Ну вот я расскажу, к чему приводит заведение логинов в базу для каждого пользователя. Работал я как-то до дефолта в Инкомбанке. Достаточно серьезный был тогда банк. И делали мы новую систему для центра международных расчетов. Был у нас свой сервер информикса в проекте и доступ к еще одному на 12-процессорном сане (если память не изменяет) для отладки. Коннектюсь к своей базе, читаю из sysmaster-а список баз и пользователей, а их там многие десятки пользователей. Среди такого количества попался логин с таким же пасом подходящим к одной интересной базе (может слепок лежал с действующе) и узнал я зарплату начальника, его любимца лентяя и еще много интересного :). Когда много пользователей, трудно уследить за пасами.
С тех пор у меня пользователи в сестеме имеют права только на исполнение хранимых процедур, да и то не всех. А пользаватель для всех работающих с системой (простых юзеров я имею в виду) один. А клиент использует виндовую верификацию и передает данные иницилизирующей хранимой процедуре...
...
Рейтинг: 0 / 0
18.12.2006, 22:14
| Ответить | Цитировать | Написать  
Права пользователей (Row Level) & View
    #34209378
Фотография Журавлев Денис
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Журавлев Денис
Участник
Александр ФедоренкоНу вот я расскажу, к чему приводит заведение логинов в базу для каждого пользователя. Работал я
Это все частные случаи. В среднем все не так. Например в оракле год назад нашли баг: пользователь имеющий право на селект таблицы может удалять и апдейтить таблицу, баг во всех версиях оракла, его пока не заткнули. И что? Какой вывод можно сделать? Что встроеной в субд системой авторизации пользоватся не надо?
Я давно не встречал операционок позволяющих совпадение логина и пароля, или пользователь был рут? Это вообще административная проблема.

Александр ФедоренкоС тех пор у меня пользователи в сестеме имеют права только на исполнение хранимых процедур, да и то не всех. А пользаватель для всех работающих с системой (простых юзеров я имею в виду) один. А клиент использует виндовую верификацию и передает данные иницилизирующей хранимой процедуре...Что изменилось? Пароли и логины не совпадают? Они перестали записывать пароли на бумажках и класть их под клавиатуру? Логины имеющиеся в домене трудно узнать?

Я тоже делал n-tier системы которые ходят в бд одним пользователем, потому что очень удобно и красиво хранить пользователей, права и роли в собственной таблице, но я осознаю насколько это опасно и почему в общем случае это плохо. Например в предложенной мною схеме есть дыра, для пользователей с ролью resource, но я осознаю это, а мог бы просто не заметить.


Александр ФедоренкоА клиент использует виндовую верификацию и передает данные иницилизирующей хранимой процедуре...А что он передает? Или в смысле хранимая процедура это UDF проверяющая в домене?
...
Рейтинг: 0 / 0
19.12.2006, 09:26
| Ответить | Цитировать | Написать  
Права пользователей (Row Level) & View
    #34209482
Фотография Тан
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Тан
Участник
Александр ФедоренкоКоннектюсь к своей базе, читаю из sysmaster-а список баз и пользователей, а их там многие десятки пользователей. Среди такого количества попался логин с таким же пасом подходящим к одной интересной базе
это конечно все очень страшно, но давайте поподробнее по пунктам, а то не очень понятно.
1. Вы к своей базе коннектитесь или все-таки к sysmaster?
2. Если это sysmaster, то где там список пользователей? Я ни разу не видела
3. Я видела списки пользователей в таблице sysusers. Но паролей там нет. Как вы догадались, что пароль у кого-то куда-то подходящий?
...
Рейтинг: 0 / 0
19.12.2006, 10:07
| Ответить | Цитировать | Написать  
Права пользователей (Row Level) & View
    #34209708
АнатоЛой
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
АнатоЛой
Участник
ТанКак вы догадались, что пароль у кого-то куда-то подходящий?
Думаю, что при наличии БОЛЬШОГО кол-ва пользователей и отсутствии НОРМАЛЬНОЙ политики безопасности просто-напросто оправдалось предположение, что кто-то "не парится" и логинится с паролем, равным логину...

Как писал Том - "срочно меняйте АБД" :)
...
Рейтинг: 0 / 0
19.12.2006, 11:12
| Ответить | Цитировать | Написать  
Права пользователей (Row Level) & View
    #34210100
SashaF
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
SashaF
Гость
Тан SashaFизвините за занудство, а как пользователя из хр. процедуры создать? я хотел текст вот этой процедуры :)это она и есть
я вас не понимаю. grant connect to user_name можно дать только пользователю, который уже существует в ОС и у него уже есть заведенный пароль. Каким образом ваши пользователи создают новых пользователей, у вас из программы (х. пр.) вызывается шелскрипт?
...
Рейтинг: 0 / 0
19.12.2006, 12:35
| Ответить | Цитировать | Написать  
Права пользователей (Row Level) & View
    #34210195
Фотография Тан
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Тан
Участник
SashaFя вас не понимаю. grant connect to user_name можно дать только пользователю, который уже существует в ОС и у него уже есть заведенный пароль. Каким образом ваши пользователи создают новых пользователей, у вас из программы (х. пр.) вызывается шелскрипт?
1. grant connect to user_name можно дать кому угодно, никакой связи с наличием\отсутствием пользователя в ОС здесь нет.
2. Мои пользователи не создают пользователя в операционке, они создают их в базе и раздают им права в базе. Хотите конкретный ответ - задайте конкретный вопрос.
3. Если вдруг (все в жизни бывает) вы используете ОС Windows, и у вас есть домен (так тоже может быть), то вам нет никакой нужды создавать пользователя в операционке.
...
Рейтинг: 0 / 0
19.12.2006, 12:53
| Ответить | Цитировать | Написать  
Права пользователей (Row Level) & View
    #34210309
vasilis
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
vasilis
Участник
Журавлев ДенисЭто все частные случаи. В среднем все не так. Например в оракле год назад нашли баг: пользователь имеющий право на селект таблицы может удалять и апдейтить таблицу, баг во всех версиях оракла, его пока не заткнули. И что? Какой вывод можно сделать? Что встроеной в субд системой авторизации пользоватся не надо?
Как ни странно, но в серьезных системах именно так и поступают (или поступали :))
Для большинства случаев , конечно, достаточно встроенной в СУБД, но они не обладают теми гибкими и мощными возможностями, которые могут понадобиться, когда к вопросу безопасности подходят очень строго.

Журавлев Денис
Я давно не встречал операционок позволяющих совпадение логина и пароля, или пользователь был рут?
Как, Денис, ты уже так давно не видел всеми любимой Windows ? :))
На половине инстансов (при начинающих админах) можно не задумываясь ввести пароль для пользователя informix...
...
Рейтинг: 0 / 0
19.12.2006, 13:26
| Ответить | Цитировать | Написать  
Права пользователей (Row Level) & View
    #34210338
vasilis
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
vasilis
Участник
SashaF Тан SashaFизвините за занудство, а как пользователя из хр. процедуры создать? я хотел текст вот этой процедуры :)это она и есть
я вас не понимаю. grant connect to user_name можно дать только пользователю, который уже существует в ОС и у него уже есть заведенный пароль. Каким образом ваши пользователи создают новых пользователей, у вас из программы (х. пр.) вызывается шелскрипт?
Для таких целей обычно делается сервер приложений (в котором делается своя гибкая система прав и ограничений на доступ к информации в БД), а прямой доступ к БД просто закрыт.
...
Рейтинг: 0 / 0
19.12.2006, 13:32
| Ответить | Цитировать | Написать  
Права пользователей (Row Level) & View
    #34210548
Фотография Журавлев Денис
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Журавлев Денис
Участник
vasilisКак ни странно, но в серьезных системах именно так и поступают (или поступали :))
Для большинства случаев , конечно, достаточно встроенной в СУБД, но они не обладают теми гибкими и мощными возможностями, которые могут понадобиться, когда к вопросу безопасности подходят очень строго.
vasilisДля таких целей обычно делается сервер приложений (в котором делается своя гибкая система прав и ограничений на доступ к информации в БД), а прямой доступ к БД просто закрыт.На форумах sql.ru за такие фразы сильно бьют и обвиняют в ламерстве, и я даже где-то с ними согласен.
Мне же нравятся трехзвенные архитектуры, хотя никакой практической пользы от n-tier нет, одни недостатки. Но любовь и дружба это чувства нелогичные.


Журавлев ДенисКак, Денис, ты уже так давно не видел всеми любимой Windows ? :))
На половине инстансов (при начинающих админах) можно не задумываясь ввести пароль для пользователя informix...А что виндоус позволяет? Там вроде по умолчанию менять пароль каждые 44(60) дней, и не использовать 10 последних паролей, не короче 6 символов и т.д.
...
Рейтинг: 0 / 0
19.12.2006, 14:25
| Ответить | Цитировать | Написать  
Права пользователей (Row Level) & View
    #34210574
SashaF
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
SashaF
Гость
Тан SashaFя вас не понимаю. grant connect to user_name можно дать только пользователю, который уже существует в ОС и у него уже есть заведенный пароль. Каким образом ваши пользователи создают новых пользователей, у вас из программы (х. пр.) вызывается шелскрипт?
1. grant connect to user_name можно дать кому угодно, никакой связи с наличием\отсутствием пользователя в ОС здесь нет.
2. Мои пользователи не создают пользователя в операционке, они создают их в базе и раздают им права в базе. Хотите конкретный ответ - задайте конкретный вопрос.
....

еще более конкретный вопрос (: как пользователем user_name присоединиться к базе, если его нет в ОС, если у этого пользователя даже нет пароля? Что мне указывать в Informix connect ?
...
Рейтинг: 0 / 0
19.12.2006, 14:33
| Ответить | Цитировать | Написать  
Права пользователей (Row Level) & View
    #34210648
Фотография Тан
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Тан
Участник
SashaF Тан SashaFя вас не понимаю. grant connect to user_name можно дать только пользователю, который уже существует в ОС и у него уже есть заведенный пароль. Каким образом ваши пользователи создают новых пользователей, у вас из программы (х. пр.) вызывается шелскрипт?
1. grant connect to user_name можно дать кому угодно, никакой связи с наличием\отсутствием пользователя в ОС здесь нет.
2. Мои пользователи не создают пользователя в операционке, они создают их в базе и раздают им права в базе. Хотите конкретный ответ - задайте конкретный вопрос.
....

еще более конкретный вопрос (: как пользователем user_name присоединиться к базе, если его нет в ОС, если у этого пользователя даже нет пароля? Что мне указывать в Informix connect ?
Подсоединиться пользователем user_name не удастся, если его не знает ОС.
Но права в базе выдать ему можно, никто не остановит

SashaFЗаводить кучу informix пользователей ... мне кажется неудобно, поскольку хочется чтобы пользователи системы могли сами создавать других пользователей и раздавать привилегии
Вообще я написала вам только для того, чтобы вы знали, что функцию раздачи прав делегировать можно, и некоторые (я) так делают.
Просто чтобы у вас было больше информации для принятия решения
...
Рейтинг: 0 / 0
19.12.2006, 14:53
| Ответить | Цитировать | Написать  
Права пользователей (Row Level) & View
    #34210652
Фотография Журавлев Денис
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Журавлев Денис
Участник
SashaFеще более конкретный вопрос (: как пользователем user_name присоединиться к базе, если его нет в ОС, если у этого пользователя даже нет пароля? Что мне указывать в Informix connect ?Имелось в виду что пользователя в ос создают другие люди, специальные люди -- администраторы ос.
...
Рейтинг: 0 / 0
19.12.2006, 14:54
| Ответить | Цитировать | Написать  
Права пользователей (Row Level) & View
    #34210697
Александр Федоренко
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Александр Федоренко
Гость
Журавлев Денис
Я давно не встречал операционок позволяющих совпадение логина и пароля, или пользователь был рут? Это вообще административная проблема.


Был не рут. Конечно административная, но доступ -то несанкционированный был получен в базу информикса. Я про то, что большое количество юзеров и породило эту административную проблему на уровне базы информикса.


Журавлев Денис
Что изменилось? Пароли и логины не совпадают? Они перестали записывать пароли на бумажках и класть их под клавиатуру? Логины имеющиеся в домене трудно узнать?

Я тоже делал n-tier системы которые ходят в бд одним пользователем, потому что очень удобно и красиво хранить пользователей, права и роли в собственной таблице, но я осознаю насколько это опасно и почему в общем случае это плохо. Например в предложенной мною схеме есть дыра, для пользователей с ролью resource, но я осознаю это, а мог бы просто не заметить.

Александр ФедоренкоА клиент использует виндовую верификацию и передает данные иницилизирующей хранимой процедуре...А что он передает? Или в смысле хранимая процедура это UDF проверяющая в домене?

За доменными паролями следит соответствующая служба. Кроме того существует организационная отвественность за доменный логин у его обладателя.

Схема двухзвенная (для локальных клиентов). Обработка в ХП. Прикладная часть в ХП. Хранятся логины без паролей - не нужны. Передается логин домена. По нему предоставляются настроенные права на прикладном уровне (НЕ к физическим объектам базы). Главное: все пользователи коннектятся под одним пользователем информикса, укоторого прав к объектам базы нет.
Есть и неудобство: разбираться в онстате с сессиями :) - помогают данные о терминале.
...
Рейтинг: 0 / 0
19.12.2006, 15:08
| Ответить | Цитировать | Написать  
Права пользователей (Row Level) & View
    #34210723
Александр Федоренко
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Александр Федоренко
Гость
Тан Александр ФедоренкоКоннектюсь к своей базе, читаю из sysmaster-а список баз и пользователей, а их там многие десятки пользователей. Среди такого количества попался логин с таким же пасом подходящим к одной интересной базе
это конечно все очень страшно, но давайте поподробнее по пунктам, а то не очень понятно.
1. Вы к своей базе коннектитесь или все-таки к sysmaster?
2. Если это sysmaster, то где там список пользователей? Я ни разу не видела
3. Я видела списки пользователей в таблице sysusers. Но паролей там нет. Как вы догадались, что пароль у кого-то куда-то подходящий?
Это было 10 лет назад все-таки, некоторые детали я подзабыл, но "осадок остался" :)
Приконнектился конечно к своей. А уже из нее делал запросы к сисмастерс. Помню точно, что вытащил названия баз и логины пользователей, конечно без пасов. Я тогда информикс изучал, мне было все интересно... Один из пасов совпал с логином что и позволило мне законнектится к другой базе.
...
Рейтинг: 0 / 0
19.12.2006, 15:14
| Ответить | Цитировать | Написать  
Права пользователей (Row Level) & View
    #34210794
vasilis
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
vasilis
Участник
Журавлев Денис vasilisКак ни странно, но в серьезных системах именно так и поступают (или поступали :))
Для большинства случаев , конечно, достаточно встроенной в СУБД, но они не обладают теми гибкими и мощными возможностями, которые могут понадобиться, когда к вопросу безопасности подходят очень строго.
vasilisДля таких целей обычно делается сервер приложений (в котором делается своя гибкая система прав и ограничений на доступ к информации в БД), а прямой доступ к БД просто закрыт.На форумах sql.ru за такие фразы сильно бьют и обвиняют в ламерстве, и я даже где-то с ними согласен..
Ты соединил два моих разных ответа на разные темы. Они не стыкуются друг с другом, хотя и похожи. Поэтому, я не понял, к какому из них относится твой комментарий...
Журавлев ДенисМне же нравятся трехзвенные архитектуры, хотя никакой практической пользы от n-tier нет, одни недостатки. Но любовь и дружба это чувства нелогичные.
А при чем тут нравятся или нет ? Жизнь заставила. Причем на тот момент это было хорошее решение для многих прикладных систем.
Например, масштабирование. Заказчик и объем его БД растет постепенно, но железо не хочет апгрейдить так же быстро. Поэтому вначале сервер приложений со сложной бизнес-логикой крутится вместе с сервером БД на одном компе (его и сервером то назвать трудно :), затем СП выносится на другой такой же комп, что позволяет снова на время вздохнуть, затем, при подключении новых отделов, делается еще 2-3 новых СП все на таких же компах и система живет и дышит. И как обойтись без 3-х звенки ?

Журавлев ДенисА что виндоус позволяет?
То, что ты спрашивал - завести пользователя с паролем, совпадающим с логином.
Журавлев Денис
Там вроде по умолчанию менять пароль каждые 44(60) дней, и не использовать 10 последних паролей, не короче 6 символов и т.д. На разных версиях разные политики по умолчанию, к тому же часто их отключают или сильно упрощают.
...
Рейтинг: 0 / 0
19.12.2006, 15:32
| Ответить | Цитировать | Написать  
Права пользователей (Row Level) & View
    #34210815
Фотография Журавлев Денис
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Журавлев Денис
Участник
Александр ФедоренкоБыл не рут. Конечно административная, но доступ -то несанкционированный был получен в базу информикса. Я про то, что большое количество юзеров и породило эту административную проблему на уровне базы информикса.
За доменными паролями следит соответствующая служба. Кроме того существует организационная отвественность за доменный логин у его обладателя.
Можете обижаться конечно, но у Вас некоторые проблемы с логикой.


Александр ФедоренкоСхема двухзвенная (для локальных клиентов). Обработка в ХП. Прикладная часть в ХП. Хранятся логины без паролей - не нужны. Передается логин домена. По нему предоставляются настроенные права на прикладном уровне (НЕ к физическим объектам базы). Главное: все пользователи коннектятся под одним пользователем информикса, укоторого прав к объектам базы нет. Т.е. спошная дыра. Конектимся этим пользователем в информикс (его имя и пароль я узнаю секунд за 20, если получу exe на чтение), вызываем процедуру, передав логин любого суперпользователя (логины из домена может вычитать любой пользователь), теперь я суперпользователь.
Есть еще один способ: поднимаю на отдельной машине (даже виртуальной) домен который называется точно также как корпоративный, закрываю все порты на выход кроме 1521, создаю пользователя с суперкрутым логином, подключаю машину в сеть, теперь можно пользоватся вашей прогой, система примет меня за суперпользователя.
...
Рейтинг: 0 / 0
19.12.2006, 15:38
| Ответить | Цитировать | Написать  
Права пользователей (Row Level) & View
    #34210957
SashaF
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
SashaF
Гость
авторТан:
кажется до меня дошло, что вы хотели сказать. Коннектятся все ваши пользователи одним ОС пользователем у которого по умолчанию минимальные права. Потом, после того как прошла идентификация в приложении, данному пользователю ОС расширяются права путем grant defaul role.
Так, да? Я угадал?
...
Рейтинг: 0 / 0
19.12.2006, 16:21
| Ответить | Цитировать | Написать  
Права пользователей (Row Level) & View
    #34210997
Фотография Журавлев Денис
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Журавлев Денис
Участник
SashaF авторТан:
кажется до меня дошло, что вы хотели сказать. Коннектятся все ваши пользователи одним ОС пользователем у которого по умолчанию минимальные права. Потом, после того как прошла идентификация в приложении, данному пользователю ОС расширяются права путем grant defaul role.
Так, да? Я угадал?Нет, не угадал, см: http://www.sql.ru/forum/actualthread.aspx?tid=374516&pg=2#3555591
...
Рейтинг: 0 / 0
19.12.2006, 16:35
| Ответить | Цитировать | Написать  
Права пользователей (Row Level) & View
    #34211097
Фотография Тан
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Тан
Участник
SashaF авторТан:
кажется до меня дошло, что вы хотели сказать. Коннектятся все ваши пользователи одним ОС пользователем у которого по умолчанию минимальные права. Потом, после того как прошла идентификация в приложении, данному пользователю ОС расширяются права путем grant defaul role.
Так, да? Я угадал?
нет.
У нас все пользователи, каждый со своим логином, регистрируются в ОС админом ОС.
Права этим пользователям в базе данных раздаются другими пользователями, "администраторами информационной системы".
Я не хотела вам рассказывать, как это у нас.
Я хотела вам сказать только, что функцию раздачи прав в Informix делегировать можно
...
Рейтинг: 0 / 0
19.12.2006, 17:10
| Ответить | Цитировать | Написать  
Права пользователей (Row Level) & View
    #34211493
SashaF
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
SashaF
Гость
авторЖуравлев Денис:
авторТан:
Спасибо! Сомнения рассеяны, информации для размышления достаточно :)
...
Рейтинг: 0 / 0
19.12.2006, 19:43
| Ответить | Цитировать | Написать  
Права пользователей (Row Level) & View
    #34211646
Александр Федоренко
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Александр Федоренко
Гость
Журавлев Денис

Можете обижаться конечно, но у Вас некоторые проблемы с логикой.

Спорить на эту тему не настроен, обижаться тем более :)

Журавлев Денис

Т.е. спошная дыра. Конектимся этим пользователем в информикс (его имя и пароль я узнаю секунд за 20, если получу exe на чтение), вызываем процедуру, передав логин любого суперпользователя (логины из домена может вычитать любой пользователь), теперь я суперпользователь.

Вы не внимательны. Этим пользователем вы не законектитесь в информикс, потому что его там просто нет.

Журавлев Денис
Есть еще один способ: поднимаю на отдельной машине (даже виртуальной) домен который называется точно также как корпоративный, закрываю все порты на выход кроме 1521, создаю пользователя с суперкрутым логином, подключаю машину в сеть, теперь можно пользоватся вашей прогой, система примет меня за суперпользователя.
На это я отвечу так: это у вас не получится, но почему, я не скажу:) Потому что если скажу, вы придумаете еще чего-нибудь и вас получиться :)

зы. плюсы такого подхода: пользователям не приходится логинится в прикладную систему, система узнает пользователя, пользователей зарегистрированных в базе минимум. Минусы есть везде и я никого не агитирую.
...
Рейтинг: 0 / 0
19.12.2006, 22:08
| Ответить | Цитировать | Написать  
Права пользователей (Row Level) & View
    #34213551
Фотография Журавлев Денис
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Журавлев Денис
Участник
Александр Федоренко
Вы не внимательны. Этим пользователем вы не законектитесь в информикс, потому что его там просто нет.
Я очень внимателен я вот про этого пользователя: Александр ФедоренкоГлавное: все пользователи коннектятся под одним пользователем информикса

Александр ФедоренкоНа это я отвечу так: это у вас не получится, но почему, я не скажу:) Потому что если скажу, вы придумаете еще чего-нибудь и вас получиться :)Вы придумали решение которое обходится в два плевка. Во встроенной системе информикса дыр нет.

Александр Федоренкозы. плюсы такого подхода: пользователям не приходится логинится в прикладную систему, система узнает пользователя, пользователей зарегистрированных в базе минимум. Минусы есть везде и я никого не агитирую.Когда мне понадобились эти плюсы я просто сделал трехзвенку, а не велосипед с квадратными колесами.
...
Рейтинг: 0 / 0
20.12.2006, 15:07
| Ответить | Цитировать | Написать  
Права пользователей (Row Level) & View
    #34214658
Александр Федоренко
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Александр Федоренко
Гость
Журавлев Денис[quot Александр Федоренко]
Я очень внимателен я вот про этого пользователя: [quot Александр Федоренко]Главное: все пользователи коннектятся под одним пользователем информикса
Журавлев Денис
Т.е. спошная дыра. Конектимся этим пользователем в информикс (его имя и пароль я узнаю секунд за 20, если получу exe на чтение), вызываем процедуру, передав логин любого суперпользователя (логины из домена может вычитать любой пользователь), теперь я суперпользователь

И все таки невнимательно.
1. В .exe не прописаны пользователи информикса вообще.
2. какую процедуру? Что передаете?

зы. я ж сказал, не нравится не ешь, чего базар-то разводить?
...
Рейтинг: 0 / 0
20.12.2006, 22:45
| Ответить | Цитировать | Написать  
Права пользователей (Row Level) & View
    #34215935
vasilis
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
vasilis
Участник
Господа Денис и Александр, что то у вас напряжение нарастает и спор перестает быть конструктивным...
Предлагаю закрыть эту тему и не портить друг другу новогоднее настроение :)
...
Рейтинг: 0 / 0
21.12.2006, 13:39
| Ответить | Цитировать | Написать  
41 сообщений из 41, показаны все 2 страниц
  все  
Форумы / Informix [игнор отключен] [закрыт для гостей] / Права пользователей (Row Level) & View
Найденые пользователи ...
Разблокировать пользователей ...
Читали тему (0):
Читали форум (0):
Пользователи онлайн (0):
x
x
Закрыть


Просмотр
0 / 0
Close
Debug Console [Select Text]