|
|
|
Авторизация
|
|||
|---|---|---|---|
|
#18+
Здравствуйте! Столкнулся в разговоре с некими IT администраторами на странную для меня интерпретацию принципов авторизации в MySQL. А именно ситуации с именем пользователя и хоста. Я не часто пользуюсь MySQL. Но вот появилась задача: один сервер базы данных и три сервиса, которые к нему обращаются. Каждый сервис имеет свой собственный IP адрес. Что я делал (знаю не правильно давать полные привилегии, а также использовать root, но это было сделано для теста). CREATE USER 'root'@'172.15.15.15' IDENTIFIED BY 'Pa$$w0rd$'; GRANT ALL PRIVILEGES ON *.* TO 'root'@'172.15.15.15' WITH GRANT OPTION; CREATE USER 'root'@'172.15.15.17' IDENTIFIED BY 'Pa$$w0rd$'; GRANT ALL PRIVILEGES ON *.* TO 'root'@'172.15.15.17' WITH GRANT OPTION; CREATE USER 'root'@'172.15.15.18 ' IDENTIFIED BY 'Pa$$w0rd$'; GRANT ALL PRIVILEGES ON *.* TO 'root'@'172.15.15.18' WITH GRANT OPTION; Т.е. в таблице users появились следующие пары: root 172.15.15.15 root 172.15.15.17 root 172.15.15.18 В итоге мне один специалист говорит, что сервисы работать не будут, т.к. сервер MySQL при обращении к нему с машины 172.15.15.15 пользователя root может выбрать запись не root 172.15.15.15, а любую другую, например root 172.15.15.18 и не предоставит доступ к базам данных. Для меня эти заявления являются странными, но я не специалист в области MySQL. Поэтому прошу сообщество разъяснить данную ситуацию. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 03.06.2019, 16:41 |
|
||
|
Авторизация
|
|||
|---|---|---|---|
|
#18+
HomosumВ итоге мне один специалист говорит, что сервисы работать не будут, т.к. сервер MySQL при обращении к нему с машины 172.15.15.15 пользователя root может выбрать запись не root 172.15.15.15, а любую другую, например root 172.15.15.18 и не предоставит доступ к базам данных.Походу он тоже не специалист в MySQL... не верьте. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 03.06.2019, 16:43 |
|
||
|
Авторизация
|
|||
|---|---|---|---|
|
#18+
AkinaПоходу он тоже не специалист в MySQL... не верьте. В отличие от меня он не сомневается в своих знаниях... А может быть можете дать конкретную ссылку где это описано? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 03.06.2019, 16:46 |
|
||
|
Авторизация
|
|||
|---|---|---|---|
|
#18+
HomosumА может быть можете дать конкретную ссылку где это описано? Лехко. https://dev.mysql.com/doc/refman/8.0/en/account-names.html The server performs matching of host values in account names against the client host using the value returned by the system DNS resolver for the client host name or IP address. Ваш же "специалист" убеждён в том, что сервер полный идиот, и вместо того конкретного IP-адреса, с которого к нему обращается клиент, может для его аутентификации выбрать учётную запись с другой хостовой частью. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 03.06.2019, 20:50 |
|
||
|
Авторизация
|
|||
|---|---|---|---|
|
#18+
HomosumВ итоге мне один специалист говорит, что сервисы работать не будут, т.к. сервер MySQL при обращении к нему с машины 172.15.15.15 пользователя root может выбрать запись не root 172.15.15.15, а любую другую, например root 172.15.15.18 и не предоставит доступ к базам данных.Маловероятно, но вдруг это какой-то баг, о котором знает только он? Он может предоставить какие-то пруфы со своей стороны? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 03.06.2019, 21:10 |
|
||
|
Авторизация
|
|||
|---|---|---|---|
|
#18+
Homosumсервер MySQL при обращении к нему с машины 172.15.15.15 пользователя root может выбрать запись не root 172.15.15.15, а любую другую, например root 172.15.15.18 и не предоставит доступ к базам данныхЭммм... сервер не только слепоглухонемой клинический идиот, который не способен разобраться, с какого IP-адреса к нему обращаются, но ещё и непроходимый скупердяй, отказывающий всем и во всем да? С чего вдруг можно не предоставить доступ для аккаунта имеющего максимальные привилегии... Точно такие же, как и у другого аккаунта. Либо Вы даете совершенно некорректный пример, либо что-то очень сильно путаете. Например, сервер по IP-адресу может запросом к DNS определить имя хоста источника (это отключаемая фича) и опираться на него при определении пользователя, а уже не на IP-адрес. Тогда получится вовсе не 'root'@'172.15.15.15', а какой-нибудь 'root'@'service-1.company.org' и тут вполне может возникнуть проблема, если для пользователей заданы именно айпишники. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 03.06.2019, 22:48 |
|
||
|
Авторизация
|
|||
|---|---|---|---|
|
#18+
Всем огромная благодарность! Всегда скептически оцениваю свои знания и выводы, поэтому и обратился к сообществу. Благодаря вам понял, что у меня с логикой еще все в порядке. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.06.2019, 00:22 |
|
||
|
Авторизация
|
|||
|---|---|---|---|
|
#18+
vkleТогда получится вовсе не 'root'@'172.15.15.15', а какой-нибудь 'root'@'service-1.company.org' и тут вполне может возникнуть проблема, если для пользователей заданы именно айпишники.Для этого должна существовать учётная запись 'root'@'service-1.company.org'. А вот обратного преобразования (DNS-host -> IP) сервер не выполняет никогда. Потому цепочки, которую вроде можно предположить, типа 'root'@'172.15.15.15' -> 'root'@'service-1.company.org' -> 'root'@'172.15.15.18', быть не может в принципе. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.06.2019, 07:35 |
|
||
|
|
start [/forum/topic.php?fid=47&fpage=35&tid=1829117]: |
0ms |
get settings: |
9ms |
get forum list: |
14ms |
check forum access: |
4ms |
check topic access: |
4ms |
track hit: |
42ms |
get topic data: |
9ms |
get forum data: |
2ms |
get page messages: |
46ms |
get tp. blocked users: |
1ms |
| others: | 13ms |
| total: | 144ms |
| 0 / 0 |
