Организация доступа к БД и средства администрирования БД

← →
_Lucky_ (2005-08-03 14:07) [0]

Имеется следующая проблема. Разрабатывая ранее БД мне не требовалось разделять права пользователей и делать собственные средства администрирования. Но все когда меняется. И вот очередная разработка требует этого. А именно в системе должны быть пользователи разного типа, которые соответственно должны иметь разные права на систему, т.е. например оператор ввода, оператор подтверждения, аналитик, аудитор, руководство, администратор, м.б. еще какие-то. Кроме того, требуется изготовить эффективное средство администрирования, т.е. чтобы не пришлось админу писать SQL код для того чтобы дать пользователю какие либо права, напротив данный инструмент должен иметь графический интерфейс, простой в работе и т.д., ну скажем как WINDOWS.
Ну в общем, требуется помощь в технологии, т.е. как все организовать. Я использую FireBird 1.5, там уже есть поддержка пользователей, но мне ее не достаточно, т.к. требуется реализовать требования по сложности пароля, периодической смене его, блокированию пользователя. У меня лично родилось такое решение, в БД создать ряд дополнительных таблиц отвечающих за разграничение доступа, ну например таблица ПОЛЬЗОВАТЕЛЬ (ЛОГИН, СРОК ДЕЙСТВИЯ ПАРОЛЯ, ПРИЗНАК БЛОКИРОВАНИЯ, КОЛ-ВО НЕ УДАЧНЫХ ВХОДОВ, ФАМИЛИЯ, ИМЯ, ОТЧЕСТВО, …), но тогда получается, что необходимо будет заводить пользователей как в самой ИС, там и на сервере FB, т.е. получается администратору потребуется заводить одного пользователя 2 раза, что крайне не удобно, кроме того, по окончании срока действия пароля, информационная система должна инициировать смену пароля и вот именно как реализовать этот момент с точки зрения кода я не знаю, кроме того я также не знаю как реализовать добавление нового пользователя. Также остается не защищенным пользователь SYSDBA, который имеет полные права, и администратор сможет с его помощью и зная SQL править базу, что не допустимо, как его можно блокировать?
Хотелось бы услышать советы и мнения по данной теме, а м.б. ссылки на ресурсы, или мне просто сменить СУБД, м.б. в FB не возможно реализовать все описано, тогда присоветуйте чего нить, предполагается что система будет не большая.

← →
Sergey13 © (2005-08-03 14:12) [1]

Прочитай про РОЛИ. Это то что тебе нужно.
И не надо наезжать на SYSDBA, с ним дружить надо. 8-)

← →
Johnmen © (2005-08-03 14:17) [2]

http://www.ibase.ru/devinfo/sqlroles.htm
А своё выдумывать неконструктивно, ибо лучше не придумаешь...

← →
_Lucky_ (2005-08-04 13:59) [3]

А как же быть с вопросом о блокировании пользователя полсле 3-х неудачных входов, или оперативного блокирования/разблокирования пользователя администратором, а также контроль пароля, т.е. принудительная смена его через определенный промежуток времени.
И еще 8 символов под пароль мало.

← →
Sergey13 © (2005-08-04 14:07) [4]

2 [3] _Lucky_ (04.08.05 13:59)
Логинься не через стандартный диалог, а через свою форму. И делай в ней что хошь.

> а также контроль пароля, т.е. принудительная смена его через определенный промежуток времени. И еще 8 символов под пароль мало.

А это не того? Не перегиб? По опыту знаю, что узеры это особенно "любят". 8-)

← →
by © (2005-08-04 15:06) [5]

И еще 8 символов под пароль мало
Конечно мало, ставь минимум 40 и еще цифер десяток.
И останется токо ходить между машин пользователей и срывать бумажки с записанными паролями на мониторе )))

← →
Fay © (2005-08-04 15:11) [6]

_Lucky_ (03.08.05 14:07)
>> или мне просто сменить СУБД
MSSQL, Trusted Connection

← →
Sergey13 © (2005-08-04 15:13) [7]

2[5] by © (04.08.05 15:06)
Еще хорошо сделать пароль регистрозависимым и генерить новые какой нить программой. Что бы исключить всякие там "лена", "роза" и т.п. 8-)

Анекдот:
Вот говорят нельзя давать пароль по имени любимой кошки. А я так привык к RfsWW74brq.

← →
Fay © (2005-08-04 15:18) [8]

Надо использовать доменные учётные записи - пусть сисадмин отдувается

← →
_Lucky_ (2005-08-06 16:48) [9]

Ну ваще в организации где я работаю вот такие вот жесткие требования к безопасности, так на пример у меня есть допуски наверное 5-7 информационным системам (включаю домен), и там визде стоит настройки: пароль не менее 8 символов составной из букв и цифр (обычно получается больше чем 8), смена его через 40 дней, после 3-х неудачный входов пользователь блокируется (в некоторые системы разблокировка только через служебку руководству), кроме того система помнит части 2-4 ранее введенных паролей, так что смена пароля с "иван19" на "19иван", обычно не катит. На всех машинах стоит пароль на биос, они опечатаны наклейками, а на некоторых особо уяйзвимых стоят аппаратные средства защиты.
Если я не реализую систему доступа в соответствии с этими правилами, то какая бы система хорошая не была ее использовать не будут.

> Sergey13 © (04.08.05 14:07) [4]
> 2 [3] _Lucky_ (04.08.05 13:59)
> Логинься не через стандартный диалог, а через свою форму.
> И делай в ней что хошь.

Да я и так логинюсь через свой диалог, но особых приимуществ в решении данной ситуации не вижу.

Наверное действительно прийдется перейте на MS SQL, а так не хотелось задача сама по себе не большая.

Переходи полюбишь

> Да я и так логинюсь через свой диалог, но особых приимуществ
> в решении данной ситуации не вижу

Все это решается, посредством "костылей". Например, у меня на сервере IB есть самодельная дополнительная служба, которая мониторит подключения и отбивает клиентов, если они пользуются другим инструментом, отличным от моего клиента.
MSDE - это хорошо, но позволяет ли его лицензия бесплатно использовать этот сервер в коммерческих приложениях?

Позволяет и это полноценный MS SQL сервер, ограницение на количество батчей и отсутствие GUI утилит администрирования. Утилиты можно поставить от других редакций или написать свое в программе.

Организация доступа к БД и средства администрирования БД Найти похожие ветки