CftClub.ru
Клуб специалистов ЦФТ-Банк

Обезличенные пользователи

 
Ответить на тему    Клуб специалистов ЦФТ-Банк (IBSO) -> Администрирование доступа и журналирование
Предыдущая тема :: Следующая тема  
Автор Сообщение
German
Профи


Вступление в Клуб: 25.06.2007
СообщениеВт Июл 03, 2007 18:43   Обезличенные пользователи Ответить с цитатой
Полезность: Нет оценки
Несколько раз приходилось сталкиваться со следующей практикой - все администраторы банка работают под общим обезличенным логином типа CFT, ADMIN или вообще IBS Shocked

Мне кажется, правильнее создать для каждого администратора свой собственный логин для работы как в "Навигаторе", так и в "Администраторе словаря". Кроме очевидных плюсов разбора полетов (когда остался след только пользователя Oracle) это еще и здорово дисциплинирует и страхует от раскрытия администраторского пароля.

Кто что думает?
_________________
Homo homini
timochev
Эксперт


Вступление в Клуб: 02.07.2007
СообщениеЧт Июл 05, 2007 13:17    Ответить с цитатой
Полезность: Нет оценки
Полностью согласен, только сам привык работать под IBS. Very Happy
Все-таки на один пароль меньше помнить приходится! Ведь иногда и напрямую в таблицы лазить приходится, а это без IBS не сделаешь.
Alex2019
Профи


Вступление в Клуб: 02.07.2007
СообщениеЧт Июл 05, 2007 15:00   Re: Обезличенные пользователи Ответить с цитатой
Полезность: Нет оценки
Строго говоря, подход правильный, у каждого должен быть свой логин. Но при входе под владельцем схемы голова не болит о нюансах недоданных прав.
И, конечно про прямой апдейт правильно сказано.

К тому же и в истории состояний в навигаторе, и в администраторе словаря при неких действиях авторство редактировавшего фиксируется не только по ЦФТ-логину, но и по Win-логину, а виндовые имена, подозреваю, у админов все же разные Twisted Evil
aero1530
Профи


Вступление в Клуб: 29.06.2007
СообщениеПт Июл 06, 2007 07:45    Ответить с цитатой
Полезность: Нет оценки
Пробую ввести такую схему работы:
1. Под IBSом никто не работает.
2. Все программисты работают под своим личным логином - права как администраторы системы + возможность работать в словаре данных.
3. Завел отдельный логин для администратора прав.

По поводу группы "Администратор системы" в IBSO - вроде работает корректно, в RBO - были моменты, что каких-то прав не хватало.
timochev
Эксперт


Вступление в Клуб: 02.07.2007
СообщениеПт Июл 06, 2007 07:57    Ответить с цитатой
Полезность: Нет оценки
Вопрос для отказавшихся от работы под IBS:
делите ли Вы пароль IBS на части (например, с безопасниками) для предотвращения единоличного доступа сотрудников автоматизации к таблицам напрямую?
aero1530
Профи


Вступление в Клуб: 29.06.2007
СообщениеПт Июл 06, 2007 08:03    Ответить с цитатой
Полезность: Нет оценки
Я считаю, что чем меньше народу знает пароль IBS - тем лучше!
lom
Участник со стажем


Вступление в Клуб: 01.07.2007
СообщениеПт Июл 06, 2007 11:45    Ответить с цитатой
Полезность: Нет оценки
aero1530 пишет:
Пробую ввести такую схему работы:
2. Все программисты работают под своим личным логином - права как администраторы системы + возможность работать в словаре данных.
3. Завел отдельный логин для администратора прав.


Все это очень здорово, только вот на каждого пользователя нужна лицензия, тем более что ЦФТ скоро выпустит обновление с проверкой на количество лицензий и заведенных пользователей. Мы, по мере возможностей Smile, стараемся не давать работать программистам в реальной базе, а на тестовой у IBS пароль отличается от реальной.
aero1530
Профи


Вступление в Клуб: 29.06.2007
СообщениеПт Июл 06, 2007 11:59    Ответить с цитатой
Полезность: Нет оценки
Можно, конечно, поиграть и с этим вариантом... Но периодически сталкиваешься с ситуациями, которые разрешить может только пользователь с правами админа системы. Это при минимуме прав для обычного пользователя. Вот тут то и нужно разделение по отдельным логинам. Или давать прав больше пользователям, но это чревато последствиями - больше прав, соответственно больше ошибок.

А у вас тест на сколько отличается от рабочего по дате?
_________________
Александр Евтушенко, Волгопромбанк
AlexV
Гуру


Вступление в Клуб: 29.06.2007
СообщениеПт Июл 06, 2007 12:14    Ответить с цитатой
Полезность: Нет оценки
timochev пишет:
...делите ли Вы пароль IBS на части (например, с безопасниками)...
А есть еще пользователь SYS ... Cool
_________________
IT-Команда предлагает свои услуги:
http://www.cftclub.ru/viewtopic.php?t=909
lom
Участник со стажем


Вступление в Клуб: 01.07.2007
СообщениеПт Июл 06, 2007 12:14    Ответить с цитатой
Полезность: Нет оценки
Конечно, полностью отказаться от работы ИТ специалистов в реальной базе трудно, я в первую очередь хотел сказать что накладно по деньгам каждому программисту заводить отдельную учетную запись.
Что касается теста, то один тест у нас - это вчерашний день, есть еще база где ведутся долгосрочные по времени разработки разработки. Второй обновляется по согласованию со всеми специалистами ИТ.
German
Профи


Вступление в Клуб: 25.06.2007
СообщениеСр Июл 11, 2007 21:52    Ответить с цитатой
Полезность: Нет оценки
timochev пишет:
Вопрос для отказавшихся от работы под IBS:
делите ли Вы пароль IBS на части (например, с безопасниками) для предотвращения единоличного доступа сотрудников автоматизации к таблицам напрямую?

Слышал о подобных прецедентах... живьем не встречал Smile
_________________
Homo homini
timochev
Эксперт


Вступление в Клуб: 02.07.2007
СообщениеЧт Июл 12, 2007 08:06    Ответить с цитатой
Полезность: Нет оценки
timochev пишет:
делите ли Вы пароль IBS на части ...


Встречал такое в Сбере.
Rus6
Участник


Вступление в Клуб: 26.06.2007
СообщениеПн Июл 16, 2007 12:32    Ответить с цитатой
Полезность: Нет оценки
На сайте ЦФТ в "базе знаний" или где-то рядом
лежит документ с политикой администрирования
и с рсписаными ролями сколько и каких админов должно быть
очень полезный документ ....
естественно под IBS работать не рекомендется

по поводу кол-ва лицензий
кол-во разработчиков в любом случае заметно меньше колва пользователей Wink)
Inna
Участник


Вступление в Клуб: 24.12.2007
СообщениеЧт Янв 24, 2008 20:36    Ответить с цитатой
Полезность: Нет оценки
Не вижу реальной проблемы "обезличивания" администраторов. Какая в общем разница под разными логинами работать или под одним?... В журналах всё равно можно отследить любое действие: с какой машины и под каким логином Windows..
А об ограничении прав если это не пользователь IBS.. так эта проблема легко решается, если единственного пользователя, под которым предполагается работа всех администраторов добавить в волшебную дистрибутивную группу !Адм. системы (права этой группы не копируются, но в кодах жёстко зашито то, что любой, кто в ней находится, автоматически преобратает максимальные права).
Ну, а довод о том, что разработчиков (админов, внедренцев) всё равно меньше пользователей... не прокатывает..всё упирается в money..
В общем это моё наболевшее.. так что могу говорить много.. а главное: по делу. Very Happy
aero1530
Профи


Вступление в Клуб: 29.06.2007
СообщениеПт Янв 25, 2008 08:00    Ответить с цитатой
Полезность: Нет оценки
Для ЦФТ-Банк группа !Адм. системы действительно позволяет дать пользователям неограниченные права, но для Ритейла этот метод не работает, т.к. такой группы там нет и метод реализация прав немного другой,требуется наличия дополнительных реквизитов доступа.
_________________
Александр Евтушенко, Волгопромбанк
Показать сообщения:   
Ответить на тему    Клуб специалистов ЦФТ-Банк (IBSO) -> Администрирование доступа и журналирование Часовой пояс: GMT + 3
Страница 1 из 1

 
Перейти:  
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Рейтинг@Mail.ru