Кто как решает вопросы GRANT ?

← →
kaif (2002-04-19 02:56) [0]

Заканчиваю универсальную бухгалтерскую программу. Нужно теперь придумать нетяжелую систему администрирования привилегий. Возможно 2 решения:
1. Привилегии на уровне интерфейса, как в 1С v7.7 (там dbf-база)
2. На уровне сервера, при помощи команд GRANT (у меня IB)
Но моя практика показала, что редко кто из пользователей хочет даже пароль администратора masterkey на что-то менять...
-------
Предоставить полный набор всех функций раздачи привилегий вплоть до таблиц, колонок и т.п. по-моему сильно напряжет того, кто это все будет конфигурировать... Да и кончается это, как правило, нажатием кнопки Select All. Слишком все взаимозависимо в таких системах...
-------
Кто как подходит к решению такого рода проблем?
Видел ли кто-нибудь приятную во всех отношениях систему конфигурирования привилегий пользователя?

← →
Виктор Щербаков (2002-04-19 09:05) [1]

Я решал такую задачу для IB. Привилегии раздавались на уровне сервера, т.к. у пользователей была теоретическая возможность отправить запрос на сервер (например Delete from SomeTable).

> Но моя практика показала, что редко кто из пользователей
> хочет даже пароль администратора masterkey на что-то менять...

Это вроде задача администратора приложения, а ежели не хотят, то пусть не меняют - их проблемы.

> Предоставить полный набор всех функций раздачи привилегий
> вплоть до таблиц, колонок и т.п. по-моему сильно напряжет
> того, кто это все будет конфигурировать...

Нужно предоставить администратору приложения набор заранее определенных групп. Тогда всё администрирование сведется к добавлению пользователя в ту ил иную группу. А права группам можно заранее дать самому. В IB это удобно делать с помощью ролей.

По-моему такой подход упростит администрирование и сохранит данные от несанкционированного доступа.

← →
kaif (2002-04-19 11:09) [2]

>Виктор Щербаков ©
В общем, согласен с таким подходом. Сам применял нечто похожее в жестких программах:
1. Некоторые наборы команд GRANT ассоциирую с функциями программы, например с функцией "Создание счетов-фактур" ассоциирую все необходимые для этой функции GRANT.
2. Администрирующий создает юзеров, роли, приписывает функции ролям, а юзерам - роли. Утилита администратора, зная, какие GRANT каким функциям соответствуют, посылает соответствующие команды GRANT или REVOKE на сервер.
------
Однако все это достаточно сложно реализовать в гибкой системе, в которой нет предопределенных понятий типа "Счет-фактура".
Вот я и в думках...

Кто как решает вопросы GRANT ? Найти похожие ветки