Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Informix Новый топик    Ответить
 Опять вопросы о ролях  [new]
bk0010
Member

Откуда:
Сообщений: 5002
Есть большое желание сделать так, чтобы пользователи в организации заводились только в домене. Поэтому возникли вопросы:
1) Правильно ли я понимаю, что если в начале работы программы давать команду set role ..., то можно не назначать права пользователям ОС на отдельные таблицы (public-у в базе ничего не доступно).
2) Если первый пункт правильный, то можно ли выдать команду set role пользователю, для которого не был выполнен grant connect ?
3) Кто-нибудь успешно прикручивал доменную авторизацию к Informix на Solaris?
4) Где-нибудь можно посмотреть пример как прикрутить доменную авторизацию к Informix на Solaris (как установить PAM, какие настройки прописывать в Setnet)? Я нашел только статью "LDAP Authentication Support on Windows", хотелось бы что-нибудь еще посмотреть.

И еще вопрос. Недавно добавили таблицы в БД, подцепленные к другим (общим) таблицам с каскадным удалением. Старый софт перестал работать до тех пор, пока пользователям для старого софта не дали прав на удаление данных из новых таблиц (Informix не давал удалить информацию из общих таблиц). Данных, которые бы затрагивались удалением старым софтом из общих таблиц нет. Можно ли что-нибудь сделать, чтобы каскадное удаление работало, а пользователь бы не имел прав на удаление данных из таблиц, к которым он не имеет никакого отношения (эмуляция каскадного удаления триггером от имени informix в данном случае не вариант). Тут вопрос даже не в том, что пользователь сотрет что-то лишнее, а в том, что ситуация с отказом старого софта при добавлении новых таблиц может опять возникнуть у других разработчиков.
30 дек 09, 22:36    [8139549]     Ответить | Цитировать Сообщить модератору
 Re: Опять вопросы о ролях  [new]
bk0010
Member

Откуда:
Сообщений: 5002
up
7 янв 10, 14:41    [8154626]     Ответить | Цитировать Сообщить модератору
 Re: Опять вопросы о ролях  [new]
vasilis
Member

Откуда: Украина, Киев
Сообщений: 2205
bk0010
up

Дай людям праздники отбухать, они еще не у всех закончились :)
И за это время уже сам бы в доках почитал и поиском по форуму воспользовался.
10 янв 10, 14:40    [8161761]     Ответить | Цитировать Сообщить модератору
 Re: Опять вопросы о ролях  [new]
bk0010
Member

Откуда:
Сообщений: 5002
vasilis
И за это время уже сам бы в доках почитал и поиском по форуму воспользовался.

Поиском прошелся, более-менее подходящие темы затрагивались в 2006 году, но они моих вопросов не прояснили. Там говорится только о том, что ведение пользователей информикс можно передать в ведение администраторов AD, но подробностей нет. Доков дома мало, да и непонятно куда в них смотреть (в какой из них).
10 янв 10, 20:21    [8162472]     Ответить | Цитировать Сообщить модератору
 Re: Опять вопросы о ролях  [new]
Andron
Member

Откуда: Cherepovets
Сообщений: 1816
bk0010
Есть большое желание сделать так, чтобы пользователи в организации заводились только в домене. Поэтому возникли вопросы:
1) Правильно ли я понимаю, что если в начале работы программы давать команду set role ..., то можно не назначать права пользователям ОС на отдельные таблицы (public-у в базе ничего не доступно).


В таком случае надо чтобы на отдельные таблицы были выданы права этой роли. Использование роли как раз и удобно когда надо выдать нескольким пользователям одни и те же права. Кроме того начиная с 10 версии информикса для пользователей можно назначить роль по умолчанию, которая будет выдаваться при подключении пользователя к базе.


2) Если первый пункт правильный, то можно ли выдать команду set role пользователю, для которого не был выполнен grant connect ?


чтобы создать пользователя в Informix надо ему выдать connect к базе. Если сделать revoke connect то пользователь будет удален из базы. Значит и set role несуществующему пользователю не сделать.


3) Кто-нибудь успешно прикручивал доменную авторизацию к Informix на Solaris?
4) Где-нибудь можно посмотреть пример как прикрутить доменную авторизацию к Informix на Solaris (как установить PAM, какие настройки прописывать в Setnet)? Я нашел только статью "LDAP Authentication Support on Windows", хотелось бы что-нибудь еще посмотреть.


Я использую PAM в AIX. Тут правильнее задать вопрос как прикрутить доменную аутентификацию к Solaris а не к Informix, потому что Informix проверяет пользователей через ОС.
11 янв 10, 08:54    [8163439]     Ответить | Цитировать Сообщить модератору
 Re: Опять вопросы о ролях  [new]
Журавлев Денис
Member

Откуда: St.John,NB,CA
Сообщений: 5532
Сегодня первый рабочий день. Каникулы были.

bk0010
1) Правильно ли я понимаю, что если в начале работы программы давать команду set role ..., то можно не назначать права пользователям ОС на отдельные таблицы (public-у в базе ничего не доступно).

можно, можно даже set role не делать, я вам уже говорил. Но роль все равно надо грантовать grant role to user

bk0010

2) Если первый пункт правильный, то можно ли выдать команду set role пользователю, для которого не был выполнен grant connect ?
можно сделать grant connect to public; будет ли работать grant role to ....., без connect, не знаю. Да и смысла нет, все равно grant role надо делать.

bk0010

4) Где-нибудь можно посмотреть пример как прикрутить доменную авторизацию к Informix на Solaris (как установить PAM, какие настройки прописывать в Setnet)? Я нашел только статью "LDAP Authentication Support on Windows", хотелось бы что-нибудь еще посмотреть.
Забудьте про ldap. Надо pam+kerberos
https://www.sql.ru/forum/actualthread.aspx?tid=612798


bk0010

Можно ли что-нибудь сделать, чтобы каскадное удаление работало, а пользователь бы не имел прав на удаление данных из таблиц, к которым он не имеет никакого отношения (эмуляция каскадного удаления триггером от имени informix в данном случае не вариант). Тут вопрос даже не в том, что пользователь сотрет что-то лишнее, а в том, что ситуация с отказом старого софта при добавлении новых таблиц может опять возникнуть у других разработчиков.
Как-то это все неправильно. Я бы давал грант. Но с другой стороны констрейнт можно сделать пользователем informix, может поможет.
11 янв 10, 08:58    [8163446]     Ответить | Цитировать Сообщить модератору
 Re: Опять вопросы о ролях  [new]
bk0010
Member

Откуда:
Сообщений: 5002
Большое спасибо за ответы
11 янв 10, 20:59    [8167906]     Ответить | Цитировать Сообщить модератору
Все форумы / Informix Ответить