CftClub.ru
Клуб специалистов ЦФТ-Банк

Авторизация в ЦФТ.

 
Ответить на тему    Клуб специалистов ЦФТ-Банк (IBSO) -> Администрирование доступа и журналирование
Предыдущая тема :: Следующая тема  
Автор Сообщение
sib
Участник


Вступление в Клуб: 17.06.2009
СообщениеПт Авг 21, 2009 12:58   Авторизация в ЦФТ. Ответить с цитатой
Полезность: Нет оценки
У нас собираются внедрять ЦФТ трехуровневой архитектуры. Хотелось бы узнать как лучше реализовать авторизацию пользователей в ЦФТ?
Darkangelo
Участник со стажем


Вступление в Клуб: 04.07.2007
СообщениеПт Авг 21, 2009 14:08    Ответить с цитатой
Полезность: Нет оценки
на моей памяти авторизация в 3L архитектуре подразумевает использование доменных учетных записей пользователя (в админе доступа делается прямая привязка oracle пользователя к учетной записи)
IBSO
Профи


Вступление в Клуб: 20.08.2009
СообщениеПт Авг 21, 2009 14:22    Ответить с цитатой
Полезность: Нет оценки
Darkangelo пишет:
на моей памяти авторизация в 3L архитектуре подразумевает использование доменных учетных записей пользователя (в админе доступа делается прямая привязка oracle пользователя к учетной записи)


В свойствах пользователя в доступе ставится неперсонифицированное соединение и привязывается домен и имя сетевое пользователя. Тогда он входит с тем же паролем и под тем же именем что и в сеть.
sib
Участник


Вступление в Клуб: 17.06.2009
СообщениеПт Авг 21, 2009 14:45    Ответить с цитатой
Полезность: Нет оценки
Получается если был скомпрометирован пароль входа в домен, то скомпрометирвоан пароль доступа и в ЦФТ, я правильно понимаю?
r00st
Эксперт


Вступление в Клуб: 14.09.2007
СообщениеПт Авг 21, 2009 15:08    Ответить с цитатой
Полезность: Нет оценки
Цитата:
Получается если был скомпрометирован пароль входа в домен, то скомпрометирвоан пароль доступа и в ЦФТ, я правильно понимаю?

В 3-уровневой архитектуре логон под учетной записью Oracle отсутствует как таковой. Его имитирует сессия сервера приложений, получающая доступ к объектам, идентичный доступу пользователя Oracle.
Поэтому ни однократный ошибочный ввод доменного пароля, ни блокирока доменной учетной записи не влияют на учетную запись пользователя Oracle.
sib
Участник


Вступление в Клуб: 17.06.2009
СообщениеПт Авг 21, 2009 15:20    Ответить с цитатой
Полезность: Нет оценки
А причем тут блокировка пользователя в Oracle, если в данной ситуации пользователь логинится аккаунтом с домена и при таком раскладе на сколько я понял пользователи в Oracle не создаются.

Конечный пользователь ЦФТ логинется своим доменным аккаунтом через сервер приложений к базе данных, соответственно если доменный аккаунт был скомпрометирован, то могут получить доступ и в ЦФТ, вопрос стоял в этом.
r00st
Эксперт


Вступление в Клуб: 14.09.2007
СообщениеПт Авг 21, 2009 15:37    Ответить с цитатой
Полезность: Нет оценки
Я не верно трактовал "компрометацию".
Цитата:
если в данной ситуации пользователь логинится аккаунтом с домена и при таком раскладе на сколько я понял пользователи в Oracle не создаются

создаются.
Цитата:
если доменный аккаунт был скомпрометирован, то могут получить доступ и в ЦФТ

могут.
sib
Участник


Вступление в Клуб: 17.06.2009
СообщениеПт Авг 21, 2009 15:49    Ответить с цитатой
Полезность: Нет оценки
Цитата:
если в данной ситуации пользователь логинится аккаунтом с домена и при таком раскладе на сколько я понял пользователи в Oracle не создаются

создаются.

Всмысле, для каждого пользователя будет создаваться пользователь в Oracle? Или все пользователи, после логина на application сервере будут пользоваться одним Oracle пользователем application сервера?
r00st
Эксперт


Вступление в Клуб: 14.09.2007
СообщениеПт Авг 21, 2009 20:00    Ответить с цитатой
Полезность: Нет оценки
1. Доменный логин лишь сопоставляется учетной записи в Oracle.
Без создания последней пользователь не получит доступ в IBSO.

2. В 3-звенке пользователь коннектится к серверу приложений под доменной учеткой. Физически коннект к серверу IBSO происходит под учетной записью сервера приложений (по умолчанию технический пользователь APP_SRV). Созданная сессия наделяется доступом, идентичным доступу пользователя Oracle.
mvg
Участник - экстремал


Вступление в Клуб: 04.12.2008
СообщениеВс Авг 23, 2009 22:53    Ответить с цитатой
Полезность: Нет оценки
авторизация по 3L не подразумевает, а всего-лишь позволяет использовать доменные учетные записи - при этом по желанию вы можете использовать и авторизацию на сервере приложений, но для этого на СП необходимо создавать соответсвующего пользователя, а при наличии резервного СП - нужно создать пользователя и там (что не очень удобно по сравнению с доменной авторизацией).
mvg
Участник - экстремал


Вступление в Клуб: 04.12.2008
СообщениеВс Авг 23, 2009 23:08    Ответить с цитатой
Полезность: Нет оценки
r00st пишет:
1. Доменный логин лишь сопоставляется учетной записи в Oracle.
Без создания последней пользователь не получит доступ в IBSO.


Мало того - если у созданной учетной записи Oracle не снят признак необходимости смены пароля, то по 3L соответсвующего пользователя также не пустит.

Мы для этого заходим по 2L под только что созданным пользователем с дефолтным паролем и вручную ему его меняем.
Все так делают или у кого-то есть более красивое решение?
Показать сообщения:   
Ответить на тему    Клуб специалистов ЦФТ-Банк (IBSO) -> Администрирование доступа и журналирование Часовой пояс: GMT + 3
Страница 1 из 1

 
Перейти:  
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Рейтинг@Mail.ru