|
|
|
Разграничение прав
|
|||
|---|---|---|---|
|
#18+
Petro123один этот комплекс чего стоит: http://www.fdc.ru/portal/page?_pageid=41,224959&_dad=portal&_schema=PORTAL интересно, есть ли комании у которых весь комплекс работает? ИМХО есть. ясно, что вся эта портянка не для мелких предприятий (в смысле, у кого денег мало). Но в чём суть моего первого поста (ещё раз): первоначально я прочёл это Petro123...нужен вход ОДИН раз в OS и потом вход в систему или СУБД не требует авторизации., т.е. вход в СУБД . По ссылке - это всё трёхзвенка в чистом виде. Нет штатных средств в Oracle IAM/OESSO для входа в СУБД (толстый клиент, про него по Вашей ссылке ничего не найдёте :)). Т.е. дальнейшие рассуждения про OID и т.п. - неверны, незачем вводить народ в заблуждение. В целом по топику. Существует масса способов организовать разделение доступа. С точки зрения безопасности права доступа не должны зависеть от способа доступа к данным, напр. используемого приложения. Исходя из этого назначение прав средствами клиентского приложения, по сути, не является правильным. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.04.2009, 12:09 |
|
||
|
Разграничение прав
|
|||
|---|---|---|---|
|
#18+
Petro123вы хотите сказать ЭТО будет работать без развёртывания LDAP OID? Это будет (см. ссылку постом выше) Petro123 ... IDENTIFIED EXTERNALLY - определяет аутентификацию внешними средствами. а это нет, т.к. это не аутентификация средствами ОС Petro123 ... IDENTIFIED GLOBALLY AS внешнее_имя - определяет аутентификацию пользователя средствами Oracle Security Service. Что касается Oracle Advanced Security (по-Вашему Oracle Security Service), то эта опция обеспечивает все методы усиленной аутентификации в оракле (SSL, RADIUS, KERBEROS etc), которые могут и не требовать установки службы каталога OID. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.04.2009, 12:19 |
|
||
|
Разграничение прав
|
|||
|---|---|---|---|
|
#18+
Petro123один этот комплекс чего стоит: http://www.fdc.ru/portal/page?_pageid=41,224959&_dad=portal&_schema=PORTAL интересно, есть ли комании у которых весь комплекс работает? ИМХО э.. непонятно, у нас своя такая система не оракал, сами делали. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.04.2009, 12:43 |
|
||
|
Разграничение прав
|
|||
|---|---|---|---|
|
#18+
iehf, спасибо, более менее понятно. Можете прокомментировать? авторОписанные в статье методы могут применяться для аутентификации пользователя в Oracle в гетерогенных сетевых средах. При этом база данных Oracle позволяет не ограничиваться использованием только одного метода, а задействовать набор методов в различных комбинациях. К примеру, при аутентификации пользователя в среде домена Windows 2000 в первую очередь должен применяться метод NTS . Если аутентификация по методу NTS не была успешной, должен быть применен метод RADIUS . Если же и аутентификация по методу RADIUS выполнена не была, необходимо задействовать встроенные механизмы аутентификации пользователей в базе данных Oracle с сохранением данных аутентификации в таблице DBA_USERS. В целом же не существует метода, который можно было бы охарактеризовать как «лучший» или «худший». Например, метод NTS может использоваться исключительно в окружении Windows, тогда как RADIUS может применяться в гетерогенных средах, зато использование RADIUS влечет за собой некоторые проблемы, связанные с безопасностью (например, требование использования разделяемого секрета). Из недостатков KERBEROS можно упомянуть сложность настройки и невозможность задействовать единую с операционной системой учетную запись. Однако при этом KERBEROS может применяться в гетерогенных средах (Windows, UNIX) и допускает использование единой учетной записи с другими базами данных Oracle. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.04.2009, 12:44 |
|
||
|
Разграничение прав
|
|||
|---|---|---|---|
|
#18+
Petro123, комментировать тут особо нечего. По первому абзацу: в оракле можно указать в сетевых настройках клиента несколько протоколов аутентификации (приведен пример) и они будут применятся последовательно в порядке перечисления, пока какой-либо не даст положительный результат (при этом последний метод применяется неявно - логин/пароль с проверкой средствами БД). Второй абзац также очевиден. Любой метод усиленной аутентификации имеет преимущества и недостатки, типа приведенных. Или, например, SSL по надежности и безопасности лучше прочих, но тянет за собой настройки, OID, Certificate Authority ... Плюс регуляторы могут придраться - где ГОСТ? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.04.2009, 12:57 |
|
||
|
Разграничение прав
|
|||
|---|---|---|---|
|
#18+
_модСахават Юсифов Должны быть контексты - система, подсистема, задача,... а не объекты и классификаторы объекты и классификаторы существуют в своих контекстах Сущестувуют то они сами по себе, только приписаны разным контекстам( частично перекрывающимся) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.04.2009, 13:42 |
|
||
|
Разграничение прав
|
|||
|---|---|---|---|
|
#18+
iehf, поразмышлял на досуге. Есть подозрения, что основной недостаток Вашего предложения (при IDENTIFIED EXTERNALLY ограничится керберос и не разворачивать доп.приблуды) будет в необходимости заведения в оракле столько схем-пользователей, сколько их есть реально в АД организации. Мне видится более простым метод маппирования всех пользователей на одну схему в оракле , а права будут идти с метаданными (по типу Web-СУБД). IMHO для этого функционала одного KERBEROS недостаточно. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.04.2009, 09:39 |
|
||
|
Разграничение прав
|
|||
|---|---|---|---|
|
#18+
Petro123, я на самом деле не предлагал ничего, предлагали Вы, вспомните Petro123СергейТТТ, всё ещё проще. На самом деле, с точки зрения пользователя: - нужен вход ОДИН раз в OS и потом вход в систему или СУБД не требует авторизации. Только вот решения такой простой задачи для сиквела называется Windows авторизация в СУБД. И включается парой галок в системе. В оракле это называется SSO и требует героических усилий по развертыванию OID LDAP Global roles ... я просто назвал это своим именем (применительно к ораклу). Petro123 Есть подозрения, что основной недостаток Вашего предложения (при IDENTIFIED EXTERNALLY ограничится керберос и не разворачивать доп.приблуды) будет в необходимости заведения в оракле столько схем-пользователей, сколько их есть реально в АД организации. верно Petro123 Мне видится более простым метод маппирования всех пользователей на одну схему в оракле , а права будут идти с метаданными (по типу Web-СУБД). IMHO для этого функционала одного KERBEROS недостаточно. одного точно недостаточно. Можно пойти по пути enterprise authentication или глянуть на proxy-authentication. Тоже вариант. И все-таки надо помнить, что по классике разделение прав для пользователя не должно зависеть от приложения, через которое он получает доступ. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.04.2009, 12:57 |
|
||
|
Разграничение прав
|
|||
|---|---|---|---|
|
#18+
iehf И все-таки надо помнить, что по классике разделение прав для пользователя не должно зависеть от приложения, через которое он получает доступ. конечно. БЛ и разделение прав на данные - на сервере (указанными выше директивами). А раздача запрограммированного выше - вне СУБД. При втором варианте, надо будет лазить в БД для добавления нового пользователя или роли. Т.е. другие пути - не актуальны (не важно кто их предлагал). ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.04.2009, 15:31 |
|
||
|
|
start [/forum/topic.php?fid=33&msg=35952318&tid=1548555]: |
0ms |
get settings: |
8ms |
get forum list: |
12ms |
check forum access: |
3ms |
check topic access: |
3ms |
track hit: |
155ms |
get topic data: |
9ms |
get forum data: |
2ms |
get page messages: |
46ms |
get tp. blocked users: |
1ms |
| others: | 321ms |
| total: | 560ms |
| 0 / 0 |
