пропозиції роботи
konto usunięte
konto usunięte
Temat: Blokowanie dostępu do bazy na konkretne połączenia
Pawel Nowak:
Ma ktoś pomysł jak zablokować konkretnym użytkownikom dostęp przez ODBC, ale zezwolić na inne rodzaje połączeń, np JDBC / SQLNET itp?
W v$session jest kolumna PROGRAM ... można byłoby w triggerze ON-LOGON sprawdzać jej zawartość i podejmować jakąś decyzję np. czy zgłosić wyjątek.
Jeśli to nie pomoże, to być może też klient ustawia kolumnę MODULE, ale trzeba mu wówczas pozwolić na połączenie, żeby mógł to zrobić. A v$session przeglądać cyklicznie w jobie i killować niepolitycznych :)
konto usunięte
Temat: Blokowanie dostępu do bazy na konkretne połączenia
Krzysztof P.:Zawsze można zmienić nazwę exeka na taki, który będzie miał dostęp, niestety.
Pawel Nowak:
Ma ktoś pomysł jak zablokować konkretnym użytkownikom dostęp przez ODBC, ale zezwolić na inne rodzaje połączeń, np JDBC / SQLNET itp?
W v$session jest kolumna PROGRAM ... można byłoby w triggerze ON-LOGON sprawdzać jej zawartość i podejmować jakąś decyzję np. czy zgłosić wyjątek.
Polecam: http://asktom.oracle.com/pls/asktom/f?p=100:11:0::::P1..., gdzie jest między innymi odwołanie do FGAC z wykorzystaniem kontekstu, w zależności od którego funkcja wykorzystana w polityce może dla danej aplikacji (łączącej się przez ODBC, JDBC) odfiltrować np. wszystkie rekordy.
Wiem, że to nie do końca to, o co chodziło koledze, ale nie przypominam sobie, żebym słyszał o jakichś mechanizmach, które pozwoliłyby na blokadę połączeń w zależności od protokołu.
konto usunięte
Temat: Blokowanie dostępu do bazy na konkretne połączenia
Z powyżej podanego linku:Hi Tom
You mean to say that we cannot prevent a user from connecting to the database using ODBC? oracle
should come out with a solution for this. I hope you agree with me
Followup March 26, 2002 - 7am US/Eastern:
How could we. ODBC looks no different to us then any other connection. ODBC is just an API on top
of OCI (Oracle's call interface). There is no way for the database to notice the difference
between an ODBC client and sqlplus -- they look EXACTLY the same to us.
That aside, if you put the security in the database, where it belongs (IMHO).... It quite simply
*does not matter* if you connect via odbc, oci, jdbc, etc, etc, etc. If the data is always
protected (and not just protected by some EXTERNAL logic hidden in an application somewhere), it is
always protected. You no longer CARE what people use to connect.
konto usunięte
Temat: Blokowanie dostępu do bazy na konkretne połączenia
Pawel Nowak:I tradycyjnie pytanie, jeśli można. Jaki ma być cel takiego obostrzenia w łączeniu się z bazą?
Ma ktoś pomysł jak zablokować konkretnym użytkownikom dostęp przez ODBC, ale zezwolić na inne rodzaje połączeń, np JDBC / SQLNET itp?
konto usunięte
Temat: Blokowanie dostępu do bazy na konkretne połączenia
Dariusz W.:
I tradycyjnie pytanie, jeśli można. Jaki ma być cel takiego obostrzenia w łączeniu się z bazą?
Np. żeby nie robili ręcznych "apdejtów" ? :)
konto usunięte
Temat: Blokowanie dostępu do bazy na konkretne połączenia
No właśnie nie jest to chyba tak do końca jasne. Ma być możliwość łączenia po SQLNecie, czyli np. z poziomu SQL*Plusa albo T.O.A.D.a (a w TOADzie to nie trzeba nawet updatu pisać, żeby konkretne pole zmodyfikować ;)).Podejrzewam, że bardziej chodzi o znalezienie sposobu na uniemożliwienie modyfikacji danych z poziomu takich aplikacji jak Excel z wykorzystaniem różnych dodatków.Dariusz W. edytował(a) ten post dnia 15.10.08 o godzinie 16:13
konto usunięte
Temat: Blokowanie dostępu do bazy na konkretne połączenia
Dariusz W.:
Podejrzewam, że bardziej chodzi o znalezienie sposobu na uniemożliwienie modyfikacji danych z poziomu takich aplikacji jak Excel z wykorzystaniem różnych dodatków.
Zaimplementować jakiś PL/SQL obowiązkowy do wykonania po zalogowaniu ? Czy z Excela można wykonać dowolną procedurę PL/SQL ? Nie używałem go nigdy do pracy z bazą Oracle.
konto usunięte
Temat: Blokowanie dostępu do bazy na konkretne połączenia
Czy z Excela można wykonać dowolną procedurę PL/SQL ?Okazuje się, że tak: http://www.excel-db.net/menu_overview.htmDariusz W. edytował(a) ten post dnia 15.10.08 o godzinie 16:23
konto usunięte
Temat: Blokowanie dostępu do bazy na konkretne połączenia
Również się zastanawiam nad tymi opcjami. Prawdopodobnie przetestuję TRIGGERA, ale obawiam się o dodatkowy narzut i wydajność bazy. Zobaczymy co pokażą crash-testy na środowisku testowym ;)Krzysztof P.:
Pawel Nowak:
Ma ktoś pomysł jak zablokować konkretnym użytkownikom dostęp przez ODBC, ale zezwolić na inne rodzaje połączeń, np JDBC / SQLNET itp?
W v$session jest kolumna PROGRAM ... można byłoby w triggerze ON-LOGON sprawdzać jej zawartość i podejmować jakąś decyzję np. czy zgłosić wyjątek.
Jeśli to nie pomoże, to być może też klient ustawia kolumnę MODULE, ale trzeba mu wówczas pozwolić na połączenie, żeby mógł to zrobić. A v$session przeglądać cyklicznie w jobie i killować niepolitycznych :)
konto usunięte
Temat: Blokowanie dostępu do bazy na konkretne połączenia
.. tak czy inaczej dzięki za propozycje :)Pawel Nowak edytował(a) ten post dnia 16.10.08 o godzinie 10:12Podobne tematy
-
Oracle DBA » ORACLE 9.2 IMPORT BAZY Z PLIKU -
-
Oracle DBA » Jak zmienić collation bazy -
-
Oracle DBA » Procentowy udział systemów operacyjnych pod bazy Oracle. -
-
Oracle DBA » Jak ściągnać z metalinka (albo skądkolwiek indziej) pełną... -
-
Oracle DBA » Oracle 11g i zmiany w kernelu RedHat 6 - czy potrzebny... -
-
Oracle DBA » Szkolenia z bazy danych Oracle dla administratorów -
-
Oracle DBA » RMAN - problem z odtworzeniem bazy -
-
Oracle DBA » Brak dostępu do web Enterprise Manager -
-
Oracle DBA » Połączenie do bazy z laptopa -
-
Oracle DBA » końcówka miejsca na dysku bazy -
Następna dyskusja:
