Rechteverwaltung - Gruppen?
Robert Loos
ich bin dabei, unsere Betriebsverwaltung auf MySQL umzustellen. Beim
Thema Berechtigungen fï¿œllt mir auf, dass es scheinbar keine Mï¿œglichkeit
gibt, Benutzergruppen anzulegen.
Wenn jetzt z.B. ein neuer Einkï¿œufer kommt mï¿œsste ich dem explizit auf
etwa 100 Tabellen verschiedene Berechtigungen vergeben und wenn ich eine
neue Tabelle hinzufï¿œge mï¿œsste ich bei ca. 30 Benutzern prï¿œfen, welche
Rechte diese benï¿œtigen.
Bisher habe ich einfach nur gesagt "der ist Mitglied von Einkauf" bzw.
"Einkauf darf hier nur lesen" und damit war die Sache erledigt.
Dass sich jeder Einkï¿œufer als Benutzer "Einkauf" anmeldet mï¿œchte ich
auch nicht, da geloggt werden soll, wer bestimmte Aktionen durchfï¿œhrt.
Gibt es sowas nicht unter MySQL oder wie macht man das normalerweise?
Gruᅵ
Robert
Christian Kirsch
Sowas gibt es nicht unter MySQL. Andere Datenbanken kennen "ROLE"s.
Dominik Echterbruch
>
> ich bin dabei, unsere Betriebsverwaltung auf MySQL umzustellen. Beim
> Wenn jetzt z.B. ein neuer Einkï¿œufer kommt mï¿œsste ich dem explizit auf
> etwa 100 Tabellen verschiedene Berechtigungen vergeben und wenn ich eine
Bist du sicher, dass deine Leute direkt auf die DB zugreifen sollen? Das
scheint mir doch eher ungewï¿œhnlich. Normalerweise hat man da ein Stï¿œck
Software davor, dass die Datenbank auf ein (fï¿œr die Benutzer)
verstehbares Niveau abstrahiert. Und dann wï¿œre die Regelung der
Benutzerberechtigungen schnell abgefrï¿œhstï¿œckt.
Grᅵᅵe,
Dominik
--
"Wo kï¿œmen wir hin, wenn alle sagten, wo kï¿œmen wir hin, und niemand
ginge, um einmal zu schauen, wohin man kï¿œme, wenn man ginge."
Kurt Marti
"Nichts ist praktischer, als eine gute Theorie." - Todor Karman
Robert Loos
> Bist du sicher, dass deine Leute direkt auf die DB zugreifen sollen? Das
> scheint mir doch eher ungewï¿œhnlich. Normalerweise hat man da ein Stï¿œck
> Software davor, dass die Datenbank auf ein (fï¿œr die Benutzer)
> verstehbares Niveau abstrahiert. Und dann wï¿œre die Regelung der
> Benutzerberechtigungen schnell abgefrï¿œhstï¿œckt.
Ich hï¿œtt's mir schon so vorgestellt. Bis jetzt war halt Front- und
Backend eine Access-Geschichte. Das Frontend wollte ich lassen und die
Berechtigungen liefen immer ï¿œber das Backend.
Nun ist das Access-Sicherheitssystem sowieso nicht richtig sicher
(deshalb hat es MS mit Access 2007 komplett herausgeschmissen) aber
erstens mï¿œsste ich dann erst eine Rechteverwaltung programmieren und
zweitens wï¿œrde ich es fï¿œr sicherer halten, wenn die Datenbank nur das
hergibt was der Benutzer auch sehen soll.
Wenn ich dich richtig verstanden habe wï¿œrdest du also im Frontend einen
"Allesdï¿œrfer" an die DB anmelden und durch programmtechnisches Entfernen
von Menï¿œs, Ausblenden von Feldern etc. die Zugriffsrechte regeln. Geht
sicherlich genauso aber wenn jemand die internen Anmeldedaten irgendwie
herausbekommt kann er mit anderer Software halt mit Vollzugiff loslegen.
Ich habe schon an ein Perlscript gedacht in das alle Benutzer
eingetragen und gruppiert werden und das dann nach der Holzhammermethode
erst einmal ein Revoke-All und dann fï¿œr jeden User die entsprechenden
Grants wieder neu setzt aber ich scheue mich noch ein bisschen davor,
solche Konstrukte aufzusetzen weil ich meine, etwas so elementares
sollte eine DB von sich aus bieten.
Gruᅵ
Robert
Dominik Echterbruch
> Dominik Echterbruch schrieb:
>> Bist du sicher, dass deine Leute direkt auf die DB zugreifen sollen?
>> Das scheint mir doch eher ungewï¿œhnlich. Normalerweise hat man da ein
>> Stï¿œck Software davor, dass die Datenbank auf ein (fï¿œr die Benutzer)
>> verstehbares Niveau abstrahiert. Und dann wï¿œre die Regelung der
>> Benutzerberechtigungen schnell abgefrï¿œhstï¿œckt.
>
> Ich hï¿œtt's mir schon so vorgestellt. Bis jetzt war halt Front- und
> Backend eine Access-Geschichte. Das Frontend wollte ich lassen und die
> Berechtigungen liefen immer ï¿œber das Backend.
Ach so, Access. Ich dachte, du redest von einer Datenbank ;)
> erstens mï¿œsste ich dann erst eine Rechteverwaltung programmieren und
> zweitens wï¿œrde ich es fï¿œr sicherer halten, wenn die Datenbank nur das
> hergibt was der Benutzer auch sehen soll.
>
> Wenn ich dich richtig verstanden habe wï¿œrdest du also im Frontend einen
> "Allesdï¿œrfer" an die DB anmelden und durch programmtechnisches Entfernen
> von Menï¿œs, Ausblenden von Feldern etc. die Zugriffsrechte regeln.
Naja, ich hï¿œtte eher fï¿œr jede Benutzergruppe einen Benutzer angelegt.
Dann kann dein Berechtigungssystem je nach Gruppe den passenden Benutzer
auswï¿œhlen und hat nur noch Zugriff auf die passenden Tabellen und Spalten.
> Ich habe schon an ein Perlscript gedacht in das alle Benutzer
> eingetragen und gruppiert werden und das dann nach der Holzhammermethode
> erst einmal ein Revoke-All und dann fï¿œr jeden User die entsprechenden
> Grants wieder neu setzt aber ich scheue mich noch ein bisschen davor,
> solche Konstrukte aufzusetzen weil ich meine, etwas so elementares
> sollte eine DB von sich aus bieten.
Tut sie ja im Prinzip auch. Du musst die Werkzeige, die du an die Hand
bekommst, nur richtig nutzen. Es ist natï¿œrlich sinnfrei, fï¿œr jeden
Benutzer deiner Applikation einen Datenbankbenutzer anzulegen. Aber
gegen einen Datenbankbenutzer pro Gruppe spricht nichts. Und damit
hï¿œttest du ja eigentlich genau das, was du ursprï¿œnglich auch in Access
schon hattest.
Robert Loos
...
> Naja, ich hï¿œtte eher fï¿œr jede Benutzergruppe einen Benutzer angelegt.
> Dann kann dein Berechtigungssystem je nach Gruppe den passenden Benutzer
> auswï¿œhlen und hat nur noch Zugriff auf die passenden Tabellen und Spalten.
So werde ich es wohl auch machen. Danke fï¿œr den Tip!
Gruᅵ
Robert