SQLRU.net
Разработка приложений баз данных
Начало » Использование СУБД » Firebird, HQbird, InterBase » Доменная авторизация
Доменная авторизация [сообщение #995] Thu, 17 November 2022 09:47 Переход к следующему сообщению
hamelion в настоящее время не в онлайне  hamelion
Сообщений: 3
Зарегистрирован: November 2022
Junior Member
Добрый день, уважаемые
Изучаю вопрос о доменной авторизации в firebird. Вопрос как права и роли БД назначать доменным пользователям.
Те есть обычный пользователь user1 с ролью role1. Теперь же появляется domen/user. В БД его нет, как ему назначить роль role1?

Известить модератора

Re: Доменная авторизация [сообщение #997 является ответом на сообщение #995] Thu, 17 November 2022 10:28 Переход к предыдущему сообщениюПереход к следующему сообщению
sim_84 в настоящее время не в онлайне  sim_84
Сообщений: 330
Зарегистрирован: June 2022
Senior Member
Назначается так же как и обычному пользователю оператором GRANT.

GRANT role1 TO "domen/user"
Другое дело, что использовать права роли несколько сложнее. А версия ФБ какая?

Известить модератора

Re: Доменная авторизация [сообщение #999 является ответом на сообщение #995] Thu, 17 November 2022 10:57 Переход к предыдущему сообщениюПереход к следующему сообщению
stelvic в настоящее время не в онлайне  stelvic
Сообщений: 8
Зарегистрирован: November 2022
Junior Member
При доверенной авторизации (trusted authentication) в винде пользователи, созданные обычным способом не используются.
Для начала нужно создать маппинг инструкцией CREATE MAPPING TRUSTED_AUTH USING PLUGIN WIN_SSPI FROM ANY USER TO USER; TRUSTED_AUTH здесь название маппинга, можете менять на любое. Это даст возможность вообще авторизоваться. Это для конкретной базы. Если нужно для всех баз, то вместо mapping надо писать global mapping.
Ну а уже роли используются обычные. Чтобы предоставить доступ к роли используется инструкция CREATE MAPPING USR_RA_ADM USING PLUGIN WIN_SSPI FROM Group urat_usr_ra_adm TO ROLE ADM;
Тут USR_RA_ADM тоже название маппинга. urat_usr_ra_adm - группа в домене (заменяете на свою). ADM - роль в базе (заменяете на свою).
Подробно надо читать в doc\README.trusted_authentication.txt и doc\sql.extensions\README.mapping.html

Известить модератора

Re: Доменная авторизация [сообщение #1000 является ответом на сообщение #999] Thu, 17 November 2022 11:25 Переход к предыдущему сообщениюПереход к следующему сообщению
stelvic в настоящее время не в онлайне  stelvic
Сообщений: 8
Зарегистрирован: November 2022
Junior Member
Хотя здесь
stelvic писал(а) Thu, 17 November 2022 10:57
При доверенной авторизации (trusted authentication) в винде пользователи, созданные обычным способом не используются.
я соврал немного. Можно и обычных пользователей использовать. Можно доменного пользователя примапить к пользователю firebird. Но тогда такие маппинги нужно делать для всех юзеров с указанием имен юзеров. Наверно может пригодиться для работающих баз с отлаженной системой прав.

Известить модератора

Re: Доменная авторизация [сообщение #1001 является ответом на сообщение #1000] Thu, 17 November 2022 11:54 Переход к предыдущему сообщениюПереход к следующему сообщению
sim_84 в настоящее время не в онлайне  sim_84
Сообщений: 330
Зарегистрирован: June 2022
Senior Member
Кстати не забываем об ещё одной возможности SET ROLE <rolename> и SET TRASTED ROLE

Ну и в 4.0 многие вещи намного проще из-за того что есть GRANT DEFAULT ROLE и GRANT ROLE TO ROLE

Известить модератора

Re: Доменная авторизация [сообщение #1031 является ответом на сообщение #1000] Tue, 22 November 2022 12:56 Переход к предыдущему сообщениюПереход к следующему сообщению
hamelion в настоящее время не в онлайне  hamelion
Сообщений: 3
Зарегистрирован: November 2022
Junior Member
stelvic писал(а) Thu, 17 November 2022 11:25
Хотя здесь
stelvic писал(а) Thu, 17 November 2022 10:57
При доверенной авторизации (trusted authentication) в винде пользователи, созданные обычным способом не используются.
я соврал немного. Можно и обычных пользователей использовать. Можно доменного пользователя примапить к пользователю firebird. Но тогда такие маппинги нужно делать для всех юзеров с указанием имен юзеров. Наверно может пригодиться для работающих баз с отлаженной системой прав.
В 2.5 версии вообще мало информации, это видимо c 3 версии доступно?

Известить модератора

Re: Доменная авторизация [сообщение #1034 является ответом на сообщение #1031] Tue, 22 November 2022 13:24 Переход к предыдущему сообщениюПереход к следующему сообщению
stelvic в настоящее время не в онлайне  stelvic
Сообщений: 8
Зарегистрирован: November 2022
Junior Member
hamelion писал(а) Tue, 22 November 2022 12:56

В 2.5 версии вообще мало информации, это видимо c 3 версии доступно?
Да с версии 3. Надо было уточнять версию и мне и вам. Что там в 2.5 честно говоря не разбирался

Известить модератора

Re: Доменная авторизация [сообщение #1039 является ответом на сообщение #1034] Wed, 23 November 2022 10:41 Переход к предыдущему сообщениюПереход к следующему сообщению
sim_84 в настоящее время не в онлайне  sim_84
Сообщений: 330
Зарегистрирован: June 2022
Senior Member
Вообще-то доменная авторизация доступна с firebird 2.1. Но её возможности менялись.

В 2.1 администраторы домена автоматически становились администраторами в БД.
В 2.5 этим можно управлять с помощью ALTER ROLE RDB$ADMIN SET/DROP AUTO ADMIN MAPPING
В 3.0 проявилась полноценная система отображения. Стало возможно настраивать маппинг любых пользователей/групп домена на пользователи/роли Firebird. Появились дополнительные инструкции SET ROLE <rolename> и SET TRUSTED ROLE для переключения ролей на-лету.

Известить модератора

Re: Доменная авторизация [сообщение #1075 является ответом на сообщение #1039] Mon, 28 November 2022 14:52 Переход к предыдущему сообщению
hamelion в настоящее время не в онлайне  hamelion
Сообщений: 3
Зарегистрирован: November 2022
Junior Member
sim_84 писал(а) Wed, 23 November 2022 10:41
Вообще-то доменная авторизация доступна с firebird 2.1. Но её возможности менялись.

В 2.1 администраторы домена автоматически становились администраторами в БД.
В 2.5 этим можно управлять с помощью ALTER ROLE RDB$ADMIN SET/DROP AUTO ADMIN MAPPING
В 3.0 проявилась полноценная система отображения. Стало возможно настраивать маппинг любых пользователей/групп домена на пользователи/роли Firebird. Появились дополнительные инструкции SET ROLE <rolename> и SET TRUSTED ROLE для переключения ролей на-лету.
Меня интересовала именно возможность мапить доменного юзера на юзера в БД, что реализовано в firebird 3 . Спасибо

Известить модератора

Предыдущая тема: Ошибки при старте транзакции
Следующая тема: create user using plugin Srp;
Переход к форуму:
  

[ Сформировать XML ] [ RSS ] [ PDF ]

Текущее время: Fri Nov 22 06:36:35 GMT+3 2024

Общее время, затраченное на создание страницы: 0.00893 секунд
.:: Обратная связь :: Начало ::.

При поддержке: FUDforum 3.1.3.
© 2001-2022 FUDforum Bulletin Board Software