Skip to content
Snippets Groups Projects

CaS requests authorization

    • Closed Issue created by Yaroslav Dynnikov @rosik

    На сегодняшний день у нас есть CaS и есть ACL, но они не дружат. Грант выдается на функцию .proc_cas, но не на отдельные спейсы.

    DoD:

    • Документация на модель доступа (docs#68 (closed)) согласуется с поведением CaS
    • Документация на CaS (RFC - Compare and swap) описывает правила авторизации запросов
    • Все это реализовано в коде
    • И покрыто тестами

    Можно условно разделить на две части:

    • DML - изменения пользовательских глобальных спейсов (pico.cas) !663 (merged)
    • DDL/ACL - проверка привилегий при создании пользователей, спейсов, ролей + grant/revoke
    1 of 2 checklist items completed · Edited
    To upload designs, you'll need to enable LFS and have an admin enable hashed storage. More information

    Child items 0

    • No child items are currently assigned. Use child items to break down this issue into smaller parts.

    Activity

    • Yaroslav Dynnikov changed milestone to %Picodata next

      changed milestone to %Picodata next

    • Yaroslav Dynnikov added 1 deleted label

      added 1 deleted label

    • Yaroslav Dynnikov added 1 deleted label

      added 1 deleted label

    • Yaroslav Dynnikov mentioned in issue #280 (closed)

      mentioned in issue #280 (closed)

    • Yaroslav Dynnikov added 1 deleted label

      added 1 deleted label

    • Yaroslav Dynnikov assigned to @rosik

      assigned to @rosik

    • Yaroslav Dynnikov marked this issue as related to sbroad#492 (closed)

      marked this issue as related to sbroad#492 (closed)

    • Yaroslav Dynnikov marked this issue as related to #280 (closed)

      marked this issue as related to #280 (closed)

    • Yaroslav Dynnikov changed milestone to %23.12.0

      changed milestone to %23.12.0

    • Yaroslav Dynnikov assigned to @d.rodionov and unassigned @rosik

      assigned to @d.rodionov and unassigned @rosik

      • Dmitry Rodionov
        Dmitry Rodionov @d.rodionov ·
        Owner

        По реализации предлагаются следующие изменения:

        pico.cas становится доступна роли public. Т е становится доступна всем пользователям без предварительных проверок. При выполнении операции проверка прав доступа происходит на лидере. В случае ошибки доступа ошибка возвращается клиенту. В случае прохождения проверки запись применяется лидером.

        Ошибка возникает после ответа клиенту, на этапе применения нет возможности зарепортить ее клиенту. Рассматриваю варианты.

        Варианты:

        • В случае ошибки применения записи дописывать ошибку в лог, и чтобы клиент ее выловил. Плохо потому что клиент не знает индекс записи с ошибкой заранее, т е не будет знать надо ли ему ждать следующей записи после получения записи о самом изменении.
        • Попытаться вытащить функцию проверки пермишенов из тарантула, и звать ее на лидере перед propose чтобы была возможность вернуть клиенту ошибку до применения записи. Выглядит так что эта функция подходит: access_check_ddl
        • Аналогично предыдущему, но реализовать проверку собственноручно не затрагивая тарантул на основе _pico_privilege.

        Дополнительно стоит обратит ьвнимание что при проверке в propose необходимо так же проверить непримененные записи, т к иначе возможен рейс с записью revoke. В таком случае при применении cas записи возникнет ошибка.

        В доке сейчас нет описания по CaS в отношении acl. Acl записи CaS сейчас генерируются только функциями нашего lua api. Т е описание необходимых пермишенов должно быть на этих функциях.

        Соответственно в текущею доку доку: Для успешного выполнения операции пользователю необходимы права на запись в указанный спейс.

        План:

        • По умолчанию выдать права роли public на выполнение pico.cas
        • Непривилегированному пользователю для выполнения cas на лидере требуется доступ в системный спейс. Проблему планируется решить повышением привилений в растокоде
        Edited by Dmitry Rodionov
      • Yaroslav Dynnikov
        Yaroslav Dynnikov @rosik ·
        Author Maintainer

        Дополнительно стоит обратит ьвнимание что при проверке в propose необходимо так же проверить непримененные записи, т к иначе возможен рейс с записью revoke. В таком случае при применении cas записи возникнет ошибка.

        В идеальном мире проврка привилегий должна была происходить при вставке записи в лимб. Соответственно и права в лимбе были бы настроены с учетом всех непримененных записей. Но пока лимба нет, придется накодить проверку по-скаутски.

      • Please register or sign in to reply
    • Yaroslav Dynnikov mentioned in merge request picodata/tarantool!101

      mentioned in merge request picodata/tarantool!101

    • Dmitry Rodionov mentioned in merge request tarantool-module!373 (merged)

      mentioned in merge request tarantool-module!373 (merged)

    • Dmitry Rodionov changed the description

      changed the description

    • Yaroslav Dynnikov marked the checklist item DML - изменения пользовательских глобальных спейсов (pico.cas) !663 (merged) as completed

      marked the checklist item DML - изменения пользовательских глобальных спейсов (pico.cas) !663 (merged) as completed

    • Yaroslav Dynnikov mentioned in merge request tarantool-module!413 (merged)

      mentioned in merge request tarantool-module!413 (merged)

    • Dmitry Rodionov mentioned in merge request !746 (merged)

      mentioned in merge request !746 (merged)

    • Dmitry Rodionov mentioned in commit 5a319f3b

      mentioned in commit 5a319f3b

    • Dmitry Rodionov mentioned in commit 5089d025

      mentioned in commit 5089d025

    • Dmitry Rodionov closed with merge request !746 (merged)

      closed with merge request !746 (merged)

    • Dmitry Rodionov closed with commit 5089d025

      closed with commit 5089d025

    • Dmitry Rodionov mentioned in commit 9e00aff2

      mentioned in commit 9e00aff2

    Please register or sign in to reply