|
|
|
Права пользователей informix
|
|||
|---|---|---|---|
|
#18+
Здравствуйте, Есть SQL сервер Informix 11.5, и на нем БД "Test", при подключении к серверу используется созданный при установке СУБД пользователь "informix". Теперь стоит задача создать еще пару пользователей с ограниченными правами. К примеру одного только для чтения данных БД "Test" и еще одного только с правами для создания резервной копии той же базы (к примеру ontape -s -L 0),вот не знаю как это сделать...поделитесь своими идеями пожалуйста:) Попробовал создать пользователя в БД с правами CONNECT но как его связать с пользователем Windows так и не понял,соответственно ограничения не сработали ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.06.2014, 14:57 |
|
||
|
Права пользователей informix
|
|||
|---|---|---|---|
|
#18+
Удалил пользователя Public из БД "Test", после этого создал еще одного пользователя с именем "readonly" и сделал ему grant CONNECT to readonly . Права "CONNECT" заработали на этом пользователе, но мне этого мало, так как у "readonly" по прежнему осталась возможность править данные в таблицах. Решил назначить права на уровне таблицы revoke all on 'table1' from readonly а затем grant select on 'table1' to readonly , но ничего не получилось,так как не смотря на удаление пользователя Public, все его гранты остались ( dbschema -d Test -ss -p public ).Теперь не знаю как удалить все эти гранты, так как таблиц в база очень много не хотелось бы руками каждый грант удалять, и я так понимаю есть такие которые удалить нельзя? P.S Если я наворотил фигни, направьте пожалуйста на путь истинны:) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.06.2014, 10:20 |
|
||
|
Права пользователей informix
|
|||
|---|---|---|---|
|
#18+
Informix использует системную авторизацию - то есть, пользователь операционной системы и является пользователем Informix, так что заботиться о сопоставлении нет необходимости. У разработчиков были планы поддержки собственной авторизации, но, во всяком случае, в версии 11.50 запрос CREATE USER не поддерживается. Я не понял, как вы удаляли и создавали пользователей? Пользователя public не существует. Это встроенное имя пользователя (роли), означающее "любой пользователь". Общая схема: 1. Создать пользователей, например, с именами user1 и user2, в операционной системе 2. Дать пользователю право на подключение к базе Код: sql 1. 2. 3. Дать пользователю необходимые права для чтения данных Код: sql 1. 2. Имейте в виду, что права может выдать либо владелец таблицы, либо DBA. Отобрать права доступа к данным у кого попало (то есть у public) - при этом права, выданные пользователям персонально, не отбираются: Код: sql 1. При этом запрос REVOKE должен выполняться от имени владельца соответствующей таблицы. Если REVOKE выполняется не от имени владельца таблицы, а от имени DBA (например, informix), перед выполнением REVOKE нужно выдать запрос Код: sql 1. - это позволяет DBA "замаскироваться" под другого пользователя ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.06.2014, 18:29 |
|
||
|
Права пользователей informix
|
|||
|---|---|---|---|
|
#18+
Юрий ШакудаТеперь не знаю как удалить все эти гранты, так как таблиц в база очень много Запустите в dbaccess скрипт Код: sql 1. 2. В файле file1.sql получите список запросов REVOKE. Полученный скрипт загрузить в dbaccess и выполнить. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.06.2014, 18:45 |
|
||
|
Права пользователей informix
|
|||
|---|---|---|---|
|
#18+
Leonid Belov Запустите в dbaccess скрипт unload to 'file1.sql' delimiter ';' select 'revoke all on table ' || trim(tabname) || ' from public' from systables where tabid > 99 and tabtype = 'T' В файле file1.sql получите список запросов REVOKE. Полученный скрипт загрузить в dbaccess и выполнить. Спасибо вроде получилось:) Теперь пытаюсь настроить аудитинг: 1. Запустил onaudit с такими параметрами (на Windows Server 2008 R2): ADTMODE = 3 ADTERR = 0 ADTPATH = C:\Database\Informix\aaodir ADTSIZE = 50000 Audit file = 1 " 2. Роли не разделялись, то есть пользователь "informix" является DBSSO и AAO одновременно. 3. Выполнил команду для удаления всех масок аудита ( onaudit -d ) 4. Создал маску с именем informixtest и включил для него Full-аудит ( onaudit -a -u informixtest -e +ACTB,ADCK,ADLG,ALFR,ALIX,ALME,ALOP,ALTB,BGTX,CLDB,CMTX,CRAG,CRAM,CRBS,CRBT,CRCT,CRDB,CRDS,CRDT,CRIX,CRME,CROC,CROP,CRRL,CRRT,CRSN,CRSP,CRTB,CRTR,CRVW,DLRW,DNCK,DNDM,DRAG,DRAM,DRBS,DRCK,DRCT,DRDB,DRDS,DRIX,DRLG,DRME,DROC,DROP,DRRL,DRRT,DRSN,DRSP,DRTB,DRTR,DRTY,DRVW,EXSP,GRDB,GRDR,GRFR,GRRL,GRTB,INRW,LGDB,LKTB,LSAM,LSDB,MDLG,ONAU,ONBR,ONCH,ONIN,ONLG,ONLO,ONMN,ONMO,ONPA,ONPL,ONSP,ONST,ONTP,ONUL,OPDB,RDRW,RLOP,RLTX,RMCK,RNDB,RNDS,RNTC,RSOP,RVDB,RVFR,RVRL,RVTB,SCSP,STCN,STDF,STDP,STDS,STEX,STIL,STLM,STOM,STOP,STPR,STRL,STRS,STRT,STSA,STSC,STSN,STTX,TMOP,ULTB,UPAM,UPCK,UPDM,UPRW,USSP,USTB ) И вот в чем проблема: в журнале аудита кроме событий пользователя informixtest есть еще и события пользователя informix , подскажите как полностью избавится от аудита пользователя informix, и почему в журнале появляются эти события? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.06.2014, 14:36 |
|
||
|
Права пользователей informix
|
|||
|---|---|---|---|
|
#18+
Юрий Шакуда, Если нет разделения ролей, то не очень понятен параметр ADTMODE=3. Выполните onaudit -o -y. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.06.2014, 14:49 |
|
||
|
Права пользователей informix
|
|||
|---|---|---|---|
|
#18+
Ikir Выполните onaudit -o -y. Виполнение этой команды возвращает то же самое что и onaudit -o (informixtest - ACTB,ADCK,ADLG,ALIX,ALOP,ALTB,BG TX,CLDB,CMTX,CRAM,CRBS,CRDB,CRDS,CRIX,CROP,CRSN,CRSP,CRTB,CRTR,CRVW,DLRW,DNCK,DN DM,DRAM,DRBS,DRCK,DRDB,DRDS,DRIX,DRLG,DROP,DRSN,DRSP,DRTB,DRTR,DRVW,EXSP,GRDB,GR TB,INRW,LGDB,LKTB,LSAM,LSDB,MDLG,ONAU,ONCH,ONIN,ONLG,ONLO,ONMO,ONPA,ONSP,ONST,ON TP,ONUL,OPDB,RDRW,RLOP,RLTX,RMCK,RNTC,RSOP,RVDB,RVTB,SCSP,STCN,STDF,STEX,STIL,ST LM,STSN,TMOP,ULTB,UPAM,UPCK,UPDM,UPRW,USSP,USTB,ALFR,STDS,STPR,STTX,STOM,STRT,ST OP,GRFR,RVFR,CRRL,DRRL,GRRL,RVRL,STDP,STRL,STSA,ONMN,RNDB,ONBR,ONPL,CRRT,DRRT,CR DT,CRCT,DRCT,CRBT,DRTY,CRME,DRME,ALME,CROC,DROC,STRS,CRAG,DRAG,STSC,RNDS,GRDR) Судя по всему я неправильно выбрал тип аудитинга? 3 тип как раз таки предполагает аудит DBSSO? А какой тип будет правельныи для аудита всех кроме DBSSO(то есть пользователя informix)? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.06.2014, 14:59 |
|
||
|
Права пользователей informix
|
|||
|---|---|---|---|
|
#18+
Юрий Шакуда, ADTMODE=1 ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.06.2014, 15:12 |
|
||
|
|
start [/forum/topic.php?fid=44&msg=38670473&tid=1606947]: |
0ms |
get settings: |
24ms |
get forum list: |
15ms |
check forum access: |
4ms |
check topic access: |
4ms |
track hit: |
198ms |
get topic data: |
12ms |
get forum data: |
3ms |
get page messages: |
187ms |
get tp. blocked users: |
2ms |
| others: | 320ms |
| total: | 769ms |
| 0 / 0 |
