Skip to content
Snippets Groups Projects

ACL

    • Closed Issue created by Yaroslav Dynnikov @rosik

    :globe_with_meridians: RFC — ACL

    Cм. перечень требований к безопасности:

    IA1. Функции безопасности должны обеспечить идентификацию и аутентификацию пользователей на основе уникальных идентификаторов и паролей.

    IA2. Функции безопасности должны обеспечить создание, присвоение, уничтожение уникальных идентификаторов пользователей.

    AC1. Функции безопасности должны обеспечить поддержку управления учетными записями пользователей в части их заведения, активации, блокирования, уничтожения, корректировки.

    Edited
    To upload designs, you'll need to enable LFS and have an admin enable hashed storage. More information

    Child items ...

    • Activity

    • Yaroslav Dynnikov changed milestone to %23.12.0

      changed milestone to %23.12.0

    • Yaroslav Dynnikov added 1 deleted label

      added 1 deleted label

      • Yaroslav Dynnikov
        Yaroslav Dynnikov @rosik ·
        Author Maintainer

        Проговорили тему в составе @gmoshkin @rosik. Попробуем сразу заимплементить его без рфц.

        Примерный план:

        • Начнем с одной функции, например box.schema.user.create
        • Заведем для нее Op::Acl(Acl::CreateUser)
        • Локально создание пользователя происходит на применениии записи.
        • И тут нас ждет нюанс с read_only. По-видимому решать его будем как и ддл через wait_vclock.
        • Надо придумать чем заменить версию схемы для случая с ацлем.

        Есть еще такое соображение. В тарануле креды пользователей лежат в базе. Если listen порт поднят до того, как база полностью восстановилась, то авторизация может не учесть изменение прав. Держим эту мысль в голове, но пока не пытаемся починить.

      • Georgy Moshkin
        Georgy Moshkin @gmoshkin ·
        Maintainer

        почему бы не использовать версию схемы для ацл?

      • Yaroslav Dynnikov
        Yaroslav Dynnikov @rosik ·
        Author Maintainer

        А давай попробуем, глядишь впишется.

      • Please register or sign in to reply
    • Georgy Moshkin assigned to @gmoshkin

      assigned to @gmoshkin

    • Yaroslav Dynnikov changed the description

      changed the description

    • Yaroslav Dynnikov
      Yaroslav Dynnikov @rosik ·
      Author Maintainer

      список всех операций которые нужны для ацл

      1 волна

      • box.schema.user.create() Create a user
      • box.schema.user.drop() Drop a user
      • box.schema.user.grant() Grant privileges to a user or a role
      • box.schema.user.revoke() Revoke privileges from a user or a role
      • box.schema.user.passwd() Associate a password with a user

      2 волна

      • box.schema.role.create() Create a role
      • box.schema.role.drop() Drop a role
      • box.schema.role.grant() Grant privileges to a role
      • box.schema.role.revoke() Revoke privileges from a role

      3 волна (только фасад)

      • box.schema.user.exists() Check if a user exists
      • box.schema.user.info() Get a description of a user’s privileges
      • box.schema.role.exists() Check if a role exists
      • box.schema.role.info() Get a description of a role’s privileges

      Проверка привилегий для кас - не делаем.

      Edited by Yaroslav Dynnikov
    • Georgy Moshkin mentioned in merge request !573 (merged)

      mentioned in merge request !573 (merged)

    • Yaroslav Dynnikov added 1 deleted label

      added 1 deleted label

    • Yaroslav Dynnikov mentioned in merge request !590 (merged)

      mentioned in merge request !590 (merged)

    • Yaroslav Dynnikov
      Yaroslav Dynnikov @rosik ·
      Author Maintainer
      1. пользователи вмержены в !573 (merged)
      2. роли вмержены в !590 (merged)
      3. exists и info не сделали и пока не торопимся
      4. проверка привелегий для CaS пойдет фоллоу-апом #339 (closed)
    • Yaroslav Dynnikov closed

      closed

    • Yaroslav Dynnikov mentioned in issue docs#68 (closed)

      mentioned in issue docs#68 (closed)

    • Yaroslav Dynnikov marked this issue as related to sbroad#492 (closed)

      marked this issue as related to sbroad#492 (closed)

    • Yaroslav Dynnikov marked this issue as related to #339 (closed)

      marked this issue as related to #339 (closed)

    Please register or sign in to reply