Добрый день всем
давно не занимался FB и тут потребовалось...

1. Есть сервер CentOS8, он добавлен в домен через winbind(если надо - могу через sssd)
и все доменные пользователи откликаются по id username
2. Установлен firebird (dnf -y install firebird), запущен
firebird -z
Firebird TCP/IP server version LI-V3.0.5.33220 Firebird 3.0

3. создан алиас на БД и создана база.
test = /CORP/db/test.fdb
{
RemoteAccess = true
LockMemSize = 32M
LockHashSlots = 10000
}
4. С базой ничего не делал, но при открытии SEC$USERS получаю Incorrect values within SQLDA structure.
После недолгих ковыряний определил что это выдается при
select SEC$ACTIVE, SEC$ADMIN from SEC$USERS - что с этими полями может быть не так
если исключить эти поля из запроса - то отображает 2 ??? записи SYSDBA, ANDREY

Так вот -....
1. как побороть эту ошибку
2. откуда там 2 записи? (в домене порядка 50 учеток и учетка ANDREY ничем от других не отличается)
3. подскажите как тут сделать маппинг на пользователей.... (пользователи в домене на другом сервере, отображаются на этом сервере нормально)

Чем открываешь?

1. Использовать isql и клиента соответствующей версии.
2. Вероятно остались от предыдущей инсталляции. Доменные пользователи там не светятся. А
линуксовая версия Firebird вообще не поддерживает trusted auth.


Использую IBExper 2020.4.21.2

Да, через isql-fb select работает нормально...
но почему блин отказался локально коннектится, пока я был подсоединен удаленно к базе....
...еще чето нахимичили.... будем разбираться :-)

Использую последний IBExpert




Спасибо, почитаю, но внятной информации крайне мало.... по этому и пишу тут...

Что такое доверенная атентификация? - там надо вводить пароль или надо использовать библиотеку, которая подхватит текущий кэш пароля и отправит его для перепроверки сервером FB? (подозреваю что именно так, но четкой инструкции нет)

Если проще - пользователь залогинившийся в домен должен еще раз вводить пароль(тот же?) при работе с программой БД?

Или маппинг позволяет серверу просто знать что такой пользователь существует, но ему также необходимо назначать пароль в БД?
Надо что-нибудь делать с сервером FB если в домен добавляется новый пользователь?
Как сервер FB различает домен пользователя? или этим занимается плагин?

Как работает SRP? и почему SRP.DLL есть а WIN_SSPI.DLL нет?
Как SRP работает под линуксом? (пошагово....)

(Вот сейчас как раз необходимо заставить работать сервер FB с учетками в домене, на сервере линукс.)


вопросов много, а в инете какой-то шлак....

и как быть если плагин неправильно интерпретирует регистр логина???

Спасибо, полезная инфа.

какой клиент Фб прописан в алиасе БД в IBE? может, "не тот"?

тут я вообще подвис, сначала стоял 2,5, и в режиме "сервер 2,5" все более-менее работало

снес, поставил 3,0,5 и IBE вообще перестал подключатся к любым базам, говорит чо-то там неправильно установлено или недоустановлено
пробовал и fbclient указывать и gds32.... что-то блин не работает

есть рекомендация?


вообще пока не критично, потому как все на виртуалках, но буду ковыряться

и что же там будет написано про эту ошибку в IBExpert ?

Install incomplete, please read the Compatibility chapter in the release notes for this version.

Там будет написано почему она возникает и как её исправить. Этого Вам недостаточно?..


Если бы там было что-то воде "если у вас появляется ошибка с таким текстом - идите курите такую-то главу или раздел"

Но там просто нет описания этой ошибки, как и самого текста ошибки.

Где можно почитать про принцип работы win_sspi и srp? в тонкостях, только рыться в исходниках не предлагайте :)

Еще интересует вывод в лог информации о логинах, типа пользователь такой-то не подключен по тем-о причинам
это можно включить в логах?

Да не утруждайтесь.... там нет описания ошибки (а это главное - люди ищут ответ по тексту ошибки) и тем более того что мне надо.

Мне хватило первого ответа, а дальше это просто стёб, по поводу тщательной документированности FB(например win_sppi и WinSppi в том самом релиз нотес).

для вашего ликбеза сообщу, что установка firebird в RHEL отличается от документации, опубликованной на сайтах и документацияй firebird
кратко установка заключается в команде
dnf -y install firebird

Лично для вас я поясняю - там пакет rpm, в котором есть СКРИПТ установки, который тоже писали люди....
в нём есть баги... например я установил FB потом снес и снова установил... в первом случае логи были,
во втором пропали... я опытный чел и решил проблему сразу - сменил владельца на /var/log/firebird и логи пошли

потом они (логи) срочно сообщили мне
Database: security.db
unavailable database

и на этом информативность логов закончилась.....

Это после того как я поигрался с конфигом... кстати не подскажете мне эквивалент testparm от самбы для FB?
я могу долго продолжать.. но ни к чему это

Я вообще сюда пришел по поводу Trusted Authentication...

Dimitry Sibiryakov в общем сообщил мне направления движения - "обломись"

Но я не хочу обламыватся, т.к.вполне (к примеру) сам в состоянии написать плагин... (чем периодически занимаюсь)
Сейчас мне надо точно знать в каком виде логины приходят к серверу, к какому сервису обращаются по поводу валидности.

отказы по неверному юзер-пароль никуда не пишутся.
сетевые ошибки пишутся в firebird.log (они имеют номерные значения, т.к. приходят к ФБ извне)
любые другие регистрации логинов делаются вручную через триггер on connect.

По крайней мере раньше - логины отрубаются еще до соединения с базой(года 4 назад я об этом тут писал) , сейчас подозреваю что по другому, но всё равно мимо сервера FB они пройти никак не могут, неужели нельзя в лог их пихнуть?
( а также ченить типа post_event mega_event_||'123', а подписываться на них так mega_event_%)


Вот мне надо найти вредителя, который пытается подобрать пароль к БД - как я могу об этом вообще узнать?



:)

Ни в каком и ни к какому. Вся аутентификация в тройке строится на плагине аутентификации,
чья клиентская половина общается с серверной. Пример смотреть в примерах четвёрки,
описание - там же.


Я всё давно понял, я просто хочу лог от плагина увидеть :-)

Ну реально, он решает 60% проблем минимум.....