Comments 17
Довести бы до идеала, и будет просто конфетка!
Чтобы сделать из этого конфетку надо в начале поработать с этим с пол годика и понять, где все камни. Ввиду того, что решение новое и до 5.5.7 его не было, не успел. Потестирую с репликой, посмотрю ещё пару интересных мне моментов, тогда можно будет оборачивать. А пока, пишу что есть, в надежде, что надутся добрые люди которые заюзают эту фичу и можно будет пообщаться.
Поработать будет мало. Очень велика вероятность создать дыры как в безопасности так и в стабильности. И тут надо широкое использование. К сожалению, в описанной в статье схеме это надо очень мало где :( И потому такое распределенное тестирование не получится.
я как понял всю прелесть этого рашения сказал java девелоперам, что хочу интеграцию с нашим SSO, они посмотрели и сказали куда тебе ещё одна дыра в безопасности, нам и своих много. Так что тут да главное аккуратность, чтоб горе от ума излишнего не было.
описанный в статье плагин это плагин для нужд разработчика БД чтоб других не ждать. Чтобы можно было тестировать необходимые вещи не отвлекая других от поставленных задач. Люди у нас ресурс самый ценный.
описанный в статье плагин это плагин для нужд разработчика БД чтоб других не ждать. Чтобы можно было тестировать необходимые вещи не отвлекая других от поставленных задач. Люди у нас ресурс самый ценный.
> Для большего понимания можно почитать листинг юнит тестов правда он староват и немного не актуален, но новее я не нашел
Они же входят в поставку MySQL! Скачивайте новый пакет (5.5.14) и смотрите.
> вообще очень мало инфы по теме GRANT PROXY
Фича называется «Pluggable Authentication» Вот официальная инфа по ней: dev.mysql.com/doc/refman/5.5/en/pluggable-authentication.html
Они же входят в поставку MySQL! Скачивайте новый пакет (5.5.14) и смотрите.
> вообще очень мало инфы по теме GRANT PROXY
Фича называется «Pluggable Authentication» Вот официальная инфа по ней: dev.mysql.com/doc/refman/5.5/en/pluggable-authentication.html
От комментария у меня двойственное впечатление… толи плакать толи смеяться.
Первый — все по делу. Все мои исправления действительны относительно сорцов MySQL 5.5.15. Можно поподробнее рассказать, что именно я нашел и почему это должно входить в какой-то пакет поставки?
А вот ссылка но официальную документацию просто умиляет :) судя по статье я похож на человека который не удосужился залезть в первую выдаваемую ссылку с гугла на GRANT PROXY? Если поискать в документе слово «тынц» можно будет найти практически ту же самую ссылку. Официальная документация безбожно уныла. Мало информации это значит никто пока её не заюзал. Нету плагинов для ldap. Нету комментариев где и что падает и не работает, нету людей которые этим реально пользовались. Вот что хочеться увидеть.
Первый — все по делу. Все мои исправления действительны относительно сорцов MySQL 5.5.15. Можно поподробнее рассказать, что именно я нашел и почему это должно входить в какой-то пакет поставки?
А вот ссылка но официальную документацию просто умиляет :) судя по статье я похож на человека который не удосужился залезть в первую выдаваемую ссылку с гугла на GRANT PROXY? Если поискать в документе слово «тынц» можно будет найти практически ту же самую ссылку. Официальная документация безбожно уныла. Мало информации это значит никто пока её не заюзал. Нету плагинов для ldap. Нету комментариев где и что падает и не работает, нету людей которые этим реально пользовались. Вот что хочеться увидеть.
На тему pluggable auth у меня вообще двойственное впечатление. Для nss я модуль рисовал просто по примерам. Никакой вменяемой документации не нашел вообще нигде.
Хотя уж сколько лет прошло, и сколько готовых модулей есть.
А у мускула это новое — я очень надеюсь, что пойдёт в массу. Очень хочется иметь коннектор в mysql auth (нет, я не извращенец, но хочется авторизовывать мускул из таблички в другом мускуле, или даже в этом же но в другой базе и по другой структуре размещения их) и ldap.
Хотя уж сколько лет прошло, и сколько готовых модулей есть.
А у мускула это новое — я очень надеюсь, что пойдёт в массу. Очень хочется иметь коннектор в mysql auth (нет, я не извращенец, но хочется авторизовывать мускул из таблички в другом мускуле, или даже в этом же но в другой базе и по другой структуре размещения их) и ldap.
Лучше смеяться =)
У меня тоже профессиональная деформация: я увидела ссылку на старую версию и удивилась комментарию, что более новых не нашлось.
Также долго втыкала почему широко рекламируемая фича называется как-то по-другому, чем рекламируется. Сейчас погуглила «grant proxy mysql» и «pluggable authentication mysql». По второму запросу чуть полуше результаты, но пока да, уныло. Вы, можно сказать, первопроходец =)
У меня тоже профессиональная деформация: я увидела ссылку на старую версию и удивилась комментарию, что более новых не нашлось.
Также долго втыкала почему широко рекламируемая фича называется как-то по-другому, чем рекламируется. Сейчас погуглила «grant proxy mysql» и «pluggable authentication mysql». По второму запросу чуть полуше результаты, но пока да, уныло. Вы, можно сказать, первопроходец =)
широко рекламируемая фича
гы, после выхода эта фича на столько широко рекламируется, что даже те кто в ней нуждается ничего о ней не знают. Месяц два назад я ответственно всем заявил, что в MySQL это реализовать штатными средствами невозможно, а сегодня (ой уже вчера) ночью я нарыл нарыл эту секретную информацию в каком-то интервью и очень удивился…
не там они её пиарят :) где надо видимо, надо рекламщиков менять…
> Официальная документация безбожно уныла.
Я запостила баг: bugs.mysql.com/bug.php?id=62241 Оставьте ваши соображения по поводу как её можно улучшить, пожалуйста.
Я запостила баг: bugs.mysql.com/bug.php?id=62241 Оставьте ваши соображения по поводу как её можно улучшить, пожалуйста.
По идее там уже описаны именно те проблемы, с которыми я столкнулся и лучше их описать у меня уже не получиться.
1. Add more details about proxy users, point to «pluggable authentication more aggressively» — абсолютно согласен, при первом ознакомлении с данной технологией, в целый час бился головой об стену пока не понял, что прокси без подмены имени в сишном коде вообще не работает, могли бы её вынести в главу Pluggable Authentication, ибо без этого от команды нет никакого смысла.
2. Add better examples and how-to's. Лично мне было проше открыть исходник работающего тестового плагина и понять, что делается там, ибо в исходниках это 10 строк кода а в доке — 10 страниц, по которым ввиду отсутствия примера не возможно сделать плагин, но думаю это сугубо индивидуально.
3. Take examples from test named plugin_auth and put them there. Тут тоже абсолютно согласен. Пока не увидел юнит тест для plugin_auth.result не мог заставить это работать. Нужен РЕАЛЬНЫЙ живой пример, чтобы запустив 5 строчек указанных в документации я смог получить аутентификацию внешним плагином, с проксированием привелегий. И написать четко — тестовый плагин изменяет имя пользователя на то — что вы ввели после AS при создании пользователя.
Одним словом нужны рабочие примеры, запуская которые я с легкостью сам пойму как это работает.
З.Ы. после того как я самостоятельно с этим разобрался, документация мне уже кажется более понятной и вроде как бы там все есть, но когда я ничего этого не знал — я нифига не понимал о чем там вообще речь :)
З.Ы.Ы. а кого надо убить чтобы баг #61186 хотя бы посмотрели?
1. Add more details about proxy users, point to «pluggable authentication more aggressively» — абсолютно согласен, при первом ознакомлении с данной технологией, в целый час бился головой об стену пока не понял, что прокси без подмены имени в сишном коде вообще не работает, могли бы её вынести в главу Pluggable Authentication, ибо без этого от команды нет никакого смысла.
2. Add better examples and how-to's. Лично мне было проше открыть исходник работающего тестового плагина и понять, что делается там, ибо в исходниках это 10 строк кода а в доке — 10 страниц, по которым ввиду отсутствия примера не возможно сделать плагин, но думаю это сугубо индивидуально.
3. Take examples from test named plugin_auth and put them there. Тут тоже абсолютно согласен. Пока не увидел юнит тест для plugin_auth.result не мог заставить это работать. Нужен РЕАЛЬНЫЙ живой пример, чтобы запустив 5 строчек указанных в документации я смог получить аутентификацию внешним плагином, с проксированием привелегий. И написать четко — тестовый плагин изменяет имя пользователя на то — что вы ввели после AS при создании пользователя.
Одним словом нужны рабочие примеры, запуская которые я с легкостью сам пойму как это работает.
З.Ы. после того как я самостоятельно с этим разобрался, документация мне уже кажется более понятной и вроде как бы там все есть, но когда я ничего этого не знал — я нифига не понимал о чем там вообще речь :)
З.Ы.Ы. а кого надо убить чтобы баг #61186 хотя бы посмотрели?
Спасибо!
> З.Ы. после того как я самостоятельно с этим разобрался, документация мне уже кажется более понятной и вроде как бы там все есть, но когда я ничего этого не знал — я нифига не понимал о чем там вообще речь :)
Мне тоже так кажется, что вроде понятно (я презентации видела вперёд мануала), но если критически посмотреть, то ничего там не понятно =)
> З.Ы.Ы. а кого надо убить чтобы баг #61186 хотя бы посмотрели?
Никого не надо убивать =) Я так думаю, что все подозревают, что это дупликат бага #56299 (в обоих присутствует SHOW PROCESSLIST и backtrace-ы похожи), поэтому имеет смысл его ещё раз протестировать на боевой машине после того, как 56299 будет пофикшен. Сейчас если его повторять, то может получиться, что мы просто 56299 повторим, даже если 61186 происходит по другой причине.
> З.Ы. после того как я самостоятельно с этим разобрался, документация мне уже кажется более понятной и вроде как бы там все есть, но когда я ничего этого не знал — я нифига не понимал о чем там вообще речь :)
Мне тоже так кажется, что вроде понятно (я презентации видела вперёд мануала), но если критически посмотреть, то ничего там не понятно =)
> З.Ы.Ы. а кого надо убить чтобы баг #61186 хотя бы посмотрели?
Никого не надо убивать =) Я так думаю, что все подозревают, что это дупликат бага #56299 (в обоих присутствует SHOW PROCESSLIST и backtrace-ы похожи), поэтому имеет смысл его ещё раз протестировать на боевой машине после того, как 56299 будет пофикшен. Сейчас если его повторять, то может получиться, что мы просто 56299 повторим, даже если 61186 происходит по другой причине.
Doc Team добавили вот этот раздел: dev.mysql.com/doc/refman/5.5/en/writing-authentication-plugins.html#writing-authentication-plugins-proxy-users По-моему, стало намного лучше. Посмотрите и напишите комментарий здесь или в bug report-е, если можно ещё что-то добавить.
Никакой вменяемой документации не нашел вообще нигде.
я пока не прочитал юнит тест вообще не понял как это работает, видимо у разработчиков мозг начинает мыслить на том же языке на котором он пишет, вот и перестаем мы понимать внятную английскую речь…
Sign up to leave a comment.
Аудит и внешняя аутентификация в MySQL