ReSQL.ru
     
powered by simpleCommunicator - 2.0.59     © 2026 Programmizd 02
Мобильная версия    Контакт    Правила    FAQ    Помощь
Целевая тема:
Создать новую тему:
Автор:
Закрыть
Цитировать
Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр
Форумы / Informix [игнор отключен] [закрыт для гостей] / Права пользователей (Row Level) & View
16 сообщений из 41, страница 2 из 2
  2  все
Права пользователей (Row Level) & View
    #34210548
Фотография Журавлев Денис
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Журавлев Денис
Участник
vasilisКак ни странно, но в серьезных системах именно так и поступают (или поступали :))
Для большинства случаев , конечно, достаточно встроенной в СУБД, но они не обладают теми гибкими и мощными возможностями, которые могут понадобиться, когда к вопросу безопасности подходят очень строго.
vasilisДля таких целей обычно делается сервер приложений (в котором делается своя гибкая система прав и ограничений на доступ к информации в БД), а прямой доступ к БД просто закрыт.На форумах sql.ru за такие фразы сильно бьют и обвиняют в ламерстве, и я даже где-то с ними согласен.
Мне же нравятся трехзвенные архитектуры, хотя никакой практической пользы от n-tier нет, одни недостатки. Но любовь и дружба это чувства нелогичные.


Журавлев ДенисКак, Денис, ты уже так давно не видел всеми любимой Windows ? :))
На половине инстансов (при начинающих админах) можно не задумываясь ввести пароль для пользователя informix...А что виндоус позволяет? Там вроде по умолчанию менять пароль каждые 44(60) дней, и не использовать 10 последних паролей, не короче 6 символов и т.д.
...
Рейтинг: 0 / 0
19.12.2006, 14:25
| Ответить | Цитировать | Написать  
Права пользователей (Row Level) & View
    #34210574
SashaF
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
SashaF
Гость
Тан SashaFя вас не понимаю. grant connect to user_name можно дать только пользователю, который уже существует в ОС и у него уже есть заведенный пароль. Каким образом ваши пользователи создают новых пользователей, у вас из программы (х. пр.) вызывается шелскрипт?
1. grant connect to user_name можно дать кому угодно, никакой связи с наличием\отсутствием пользователя в ОС здесь нет.
2. Мои пользователи не создают пользователя в операционке, они создают их в базе и раздают им права в базе. Хотите конкретный ответ - задайте конкретный вопрос.
....

еще более конкретный вопрос (: как пользователем user_name присоединиться к базе, если его нет в ОС, если у этого пользователя даже нет пароля? Что мне указывать в Informix connect ?
...
Рейтинг: 0 / 0
19.12.2006, 14:33
| Ответить | Цитировать | Написать  
Права пользователей (Row Level) & View
    #34210648
Фотография Тан
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Тан
Участник
SashaF Тан SashaFя вас не понимаю. grant connect to user_name можно дать только пользователю, который уже существует в ОС и у него уже есть заведенный пароль. Каким образом ваши пользователи создают новых пользователей, у вас из программы (х. пр.) вызывается шелскрипт?
1. grant connect to user_name можно дать кому угодно, никакой связи с наличием\отсутствием пользователя в ОС здесь нет.
2. Мои пользователи не создают пользователя в операционке, они создают их в базе и раздают им права в базе. Хотите конкретный ответ - задайте конкретный вопрос.
....

еще более конкретный вопрос (: как пользователем user_name присоединиться к базе, если его нет в ОС, если у этого пользователя даже нет пароля? Что мне указывать в Informix connect ?
Подсоединиться пользователем user_name не удастся, если его не знает ОС.
Но права в базе выдать ему можно, никто не остановит

SashaFЗаводить кучу informix пользователей ... мне кажется неудобно, поскольку хочется чтобы пользователи системы могли сами создавать других пользователей и раздавать привилегии
Вообще я написала вам только для того, чтобы вы знали, что функцию раздачи прав делегировать можно, и некоторые (я) так делают.
Просто чтобы у вас было больше информации для принятия решения
...
Рейтинг: 0 / 0
19.12.2006, 14:53
| Ответить | Цитировать | Написать  
Права пользователей (Row Level) & View
    #34210652
Фотография Журавлев Денис
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Журавлев Денис
Участник
SashaFеще более конкретный вопрос (: как пользователем user_name присоединиться к базе, если его нет в ОС, если у этого пользователя даже нет пароля? Что мне указывать в Informix connect ?Имелось в виду что пользователя в ос создают другие люди, специальные люди -- администраторы ос.
...
Рейтинг: 0 / 0
19.12.2006, 14:54
| Ответить | Цитировать | Написать  
Права пользователей (Row Level) & View
    #34210697
Александр Федоренко
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Александр Федоренко
Гость
Журавлев Денис
Я давно не встречал операционок позволяющих совпадение логина и пароля, или пользователь был рут? Это вообще административная проблема.


Был не рут. Конечно административная, но доступ -то несанкционированный был получен в базу информикса. Я про то, что большое количество юзеров и породило эту административную проблему на уровне базы информикса.


Журавлев Денис
Что изменилось? Пароли и логины не совпадают? Они перестали записывать пароли на бумажках и класть их под клавиатуру? Логины имеющиеся в домене трудно узнать?

Я тоже делал n-tier системы которые ходят в бд одним пользователем, потому что очень удобно и красиво хранить пользователей, права и роли в собственной таблице, но я осознаю насколько это опасно и почему в общем случае это плохо. Например в предложенной мною схеме есть дыра, для пользователей с ролью resource, но я осознаю это, а мог бы просто не заметить.

Александр ФедоренкоА клиент использует виндовую верификацию и передает данные иницилизирующей хранимой процедуре...А что он передает? Или в смысле хранимая процедура это UDF проверяющая в домене?

За доменными паролями следит соответствующая служба. Кроме того существует организационная отвественность за доменный логин у его обладателя.

Схема двухзвенная (для локальных клиентов). Обработка в ХП. Прикладная часть в ХП. Хранятся логины без паролей - не нужны. Передается логин домена. По нему предоставляются настроенные права на прикладном уровне (НЕ к физическим объектам базы). Главное: все пользователи коннектятся под одним пользователем информикса, укоторого прав к объектам базы нет.
Есть и неудобство: разбираться в онстате с сессиями :) - помогают данные о терминале.
...
Рейтинг: 0 / 0
19.12.2006, 15:08
| Ответить | Цитировать | Написать  
Права пользователей (Row Level) & View
    #34210723
Александр Федоренко
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Александр Федоренко
Гость
Тан Александр ФедоренкоКоннектюсь к своей базе, читаю из sysmaster-а список баз и пользователей, а их там многие десятки пользователей. Среди такого количества попался логин с таким же пасом подходящим к одной интересной базе
это конечно все очень страшно, но давайте поподробнее по пунктам, а то не очень понятно.
1. Вы к своей базе коннектитесь или все-таки к sysmaster?
2. Если это sysmaster, то где там список пользователей? Я ни разу не видела
3. Я видела списки пользователей в таблице sysusers. Но паролей там нет. Как вы догадались, что пароль у кого-то куда-то подходящий?
Это было 10 лет назад все-таки, некоторые детали я подзабыл, но "осадок остался" :)
Приконнектился конечно к своей. А уже из нее делал запросы к сисмастерс. Помню точно, что вытащил названия баз и логины пользователей, конечно без пасов. Я тогда информикс изучал, мне было все интересно... Один из пасов совпал с логином что и позволило мне законнектится к другой базе.
...
Рейтинг: 0 / 0
19.12.2006, 15:14
| Ответить | Цитировать | Написать  
Права пользователей (Row Level) & View
    #34210794
vasilis
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
vasilis
Участник
Журавлев Денис vasilisКак ни странно, но в серьезных системах именно так и поступают (или поступали :))
Для большинства случаев , конечно, достаточно встроенной в СУБД, но они не обладают теми гибкими и мощными возможностями, которые могут понадобиться, когда к вопросу безопасности подходят очень строго.
vasilisДля таких целей обычно делается сервер приложений (в котором делается своя гибкая система прав и ограничений на доступ к информации в БД), а прямой доступ к БД просто закрыт.На форумах sql.ru за такие фразы сильно бьют и обвиняют в ламерстве, и я даже где-то с ними согласен..
Ты соединил два моих разных ответа на разные темы. Они не стыкуются друг с другом, хотя и похожи. Поэтому, я не понял, к какому из них относится твой комментарий...
Журавлев ДенисМне же нравятся трехзвенные архитектуры, хотя никакой практической пользы от n-tier нет, одни недостатки. Но любовь и дружба это чувства нелогичные.
А при чем тут нравятся или нет ? Жизнь заставила. Причем на тот момент это было хорошее решение для многих прикладных систем.
Например, масштабирование. Заказчик и объем его БД растет постепенно, но железо не хочет апгрейдить так же быстро. Поэтому вначале сервер приложений со сложной бизнес-логикой крутится вместе с сервером БД на одном компе (его и сервером то назвать трудно :), затем СП выносится на другой такой же комп, что позволяет снова на время вздохнуть, затем, при подключении новых отделов, делается еще 2-3 новых СП все на таких же компах и система живет и дышит. И как обойтись без 3-х звенки ?

Журавлев ДенисА что виндоус позволяет?
То, что ты спрашивал - завести пользователя с паролем, совпадающим с логином.
Журавлев Денис
Там вроде по умолчанию менять пароль каждые 44(60) дней, и не использовать 10 последних паролей, не короче 6 символов и т.д. На разных версиях разные политики по умолчанию, к тому же часто их отключают или сильно упрощают.
...
Рейтинг: 0 / 0
19.12.2006, 15:32
| Ответить | Цитировать | Написать  
Права пользователей (Row Level) & View
    #34210815
Фотография Журавлев Денис
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Журавлев Денис
Участник
Александр ФедоренкоБыл не рут. Конечно административная, но доступ -то несанкционированный был получен в базу информикса. Я про то, что большое количество юзеров и породило эту административную проблему на уровне базы информикса.
За доменными паролями следит соответствующая служба. Кроме того существует организационная отвественность за доменный логин у его обладателя.
Можете обижаться конечно, но у Вас некоторые проблемы с логикой.


Александр ФедоренкоСхема двухзвенная (для локальных клиентов). Обработка в ХП. Прикладная часть в ХП. Хранятся логины без паролей - не нужны. Передается логин домена. По нему предоставляются настроенные права на прикладном уровне (НЕ к физическим объектам базы). Главное: все пользователи коннектятся под одним пользователем информикса, укоторого прав к объектам базы нет. Т.е. спошная дыра. Конектимся этим пользователем в информикс (его имя и пароль я узнаю секунд за 20, если получу exe на чтение), вызываем процедуру, передав логин любого суперпользователя (логины из домена может вычитать любой пользователь), теперь я суперпользователь.
Есть еще один способ: поднимаю на отдельной машине (даже виртуальной) домен который называется точно также как корпоративный, закрываю все порты на выход кроме 1521, создаю пользователя с суперкрутым логином, подключаю машину в сеть, теперь можно пользоватся вашей прогой, система примет меня за суперпользователя.
...
Рейтинг: 0 / 0
19.12.2006, 15:38
| Ответить | Цитировать | Написать  
Права пользователей (Row Level) & View
    #34210957
SashaF
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
SashaF
Гость
авторТан:
кажется до меня дошло, что вы хотели сказать. Коннектятся все ваши пользователи одним ОС пользователем у которого по умолчанию минимальные права. Потом, после того как прошла идентификация в приложении, данному пользователю ОС расширяются права путем grant defaul role.
Так, да? Я угадал?
...
Рейтинг: 0 / 0
19.12.2006, 16:21
| Ответить | Цитировать | Написать  
Права пользователей (Row Level) & View
    #34210997
Фотография Журавлев Денис
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Журавлев Денис
Участник
SashaF авторТан:
кажется до меня дошло, что вы хотели сказать. Коннектятся все ваши пользователи одним ОС пользователем у которого по умолчанию минимальные права. Потом, после того как прошла идентификация в приложении, данному пользователю ОС расширяются права путем grant defaul role.
Так, да? Я угадал?Нет, не угадал, см: http://www.sql.ru/forum/actualthread.aspx?tid=374516&pg=2#3555591
...
Рейтинг: 0 / 0
19.12.2006, 16:35
| Ответить | Цитировать | Написать  
Права пользователей (Row Level) & View
    #34211097
Фотография Тан
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Тан
Участник
SashaF авторТан:
кажется до меня дошло, что вы хотели сказать. Коннектятся все ваши пользователи одним ОС пользователем у которого по умолчанию минимальные права. Потом, после того как прошла идентификация в приложении, данному пользователю ОС расширяются права путем grant defaul role.
Так, да? Я угадал?
нет.
У нас все пользователи, каждый со своим логином, регистрируются в ОС админом ОС.
Права этим пользователям в базе данных раздаются другими пользователями, "администраторами информационной системы".
Я не хотела вам рассказывать, как это у нас.
Я хотела вам сказать только, что функцию раздачи прав в Informix делегировать можно
...
Рейтинг: 0 / 0
19.12.2006, 17:10
| Ответить | Цитировать | Написать  
Права пользователей (Row Level) & View
    #34211493
SashaF
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
SashaF
Гость
авторЖуравлев Денис:
авторТан:
Спасибо! Сомнения рассеяны, информации для размышления достаточно :)
...
Рейтинг: 0 / 0
19.12.2006, 19:43
| Ответить | Цитировать | Написать  
Права пользователей (Row Level) & View
    #34211646
Александр Федоренко
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Александр Федоренко
Гость
Журавлев Денис

Можете обижаться конечно, но у Вас некоторые проблемы с логикой.

Спорить на эту тему не настроен, обижаться тем более :)

Журавлев Денис

Т.е. спошная дыра. Конектимся этим пользователем в информикс (его имя и пароль я узнаю секунд за 20, если получу exe на чтение), вызываем процедуру, передав логин любого суперпользователя (логины из домена может вычитать любой пользователь), теперь я суперпользователь.

Вы не внимательны. Этим пользователем вы не законектитесь в информикс, потому что его там просто нет.

Журавлев Денис
Есть еще один способ: поднимаю на отдельной машине (даже виртуальной) домен который называется точно также как корпоративный, закрываю все порты на выход кроме 1521, создаю пользователя с суперкрутым логином, подключаю машину в сеть, теперь можно пользоватся вашей прогой, система примет меня за суперпользователя.
На это я отвечу так: это у вас не получится, но почему, я не скажу:) Потому что если скажу, вы придумаете еще чего-нибудь и вас получиться :)

зы. плюсы такого подхода: пользователям не приходится логинится в прикладную систему, система узнает пользователя, пользователей зарегистрированных в базе минимум. Минусы есть везде и я никого не агитирую.
...
Рейтинг: 0 / 0
19.12.2006, 22:08
| Ответить | Цитировать | Написать  
Права пользователей (Row Level) & View
    #34213551
Фотография Журавлев Денис
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Журавлев Денис
Участник
Александр Федоренко
Вы не внимательны. Этим пользователем вы не законектитесь в информикс, потому что его там просто нет.
Я очень внимателен я вот про этого пользователя: Александр ФедоренкоГлавное: все пользователи коннектятся под одним пользователем информикса

Александр ФедоренкоНа это я отвечу так: это у вас не получится, но почему, я не скажу:) Потому что если скажу, вы придумаете еще чего-нибудь и вас получиться :)Вы придумали решение которое обходится в два плевка. Во встроенной системе информикса дыр нет.

Александр Федоренкозы. плюсы такого подхода: пользователям не приходится логинится в прикладную систему, система узнает пользователя, пользователей зарегистрированных в базе минимум. Минусы есть везде и я никого не агитирую.Когда мне понадобились эти плюсы я просто сделал трехзвенку, а не велосипед с квадратными колесами.
...
Рейтинг: 0 / 0
20.12.2006, 15:07
| Ответить | Цитировать | Написать  
Права пользователей (Row Level) & View
    #34214658
Александр Федоренко
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Александр Федоренко
Гость
Журавлев Денис[quot Александр Федоренко]
Я очень внимателен я вот про этого пользователя: [quot Александр Федоренко]Главное: все пользователи коннектятся под одним пользователем информикса
Журавлев Денис
Т.е. спошная дыра. Конектимся этим пользователем в информикс (его имя и пароль я узнаю секунд за 20, если получу exe на чтение), вызываем процедуру, передав логин любого суперпользователя (логины из домена может вычитать любой пользователь), теперь я суперпользователь

И все таки невнимательно.
1. В .exe не прописаны пользователи информикса вообще.
2. какую процедуру? Что передаете?

зы. я ж сказал, не нравится не ешь, чего базар-то разводить?
...
Рейтинг: 0 / 0
20.12.2006, 22:45
| Ответить | Цитировать | Написать  
Права пользователей (Row Level) & View
    #34215935
vasilis
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
vasilis
Участник
Господа Денис и Александр, что то у вас напряжение нарастает и спор перестает быть конструктивным...
Предлагаю закрыть эту тему и не портить друг другу новогоднее настроение :)
...
Рейтинг: 0 / 0
21.12.2006, 13:39
| Ответить | Цитировать | Написать  
16 сообщений из 41, страница 2 из 2
  2  все
Форумы / Informix [игнор отключен] [закрыт для гостей] / Права пользователей (Row Level) & View
Найденые пользователи ...
Разблокировать пользователей ...
Читали тему (0):
Читали форум (0):
Пользователи онлайн (0):
x
x
Закрыть


Просмотр
0 / 0
Close
Debug Console [Select Text]