Paramétrage en environnement multi-utilisateurs

Christophe Charron · 16/02/2008, 16h07

Bonjour,
je voudrai partager l'accès à phpmyadmin à certains utilisateurs et avec certains droits.
Je garderai l'exclusivité de la création des bases et a priori également l'exclusivité de la gestion des privilèges.
Ils auront accès via phpmyadmin uniquement à leur base.

Constatant qu'il n'y avait pas de .htaccess dans le répertoire phpmyadmin, j'en ai déduis en lisant dans http://www.phpmyadmin.net/pma_locali...tation.fr.html particulièrement la faq 135 que je devais être en mode authentification http mais je n'en suis pas sur car je ne sais pas ou chercher

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
RewriteEngine On
RewriteRule .* - ['E=REMOTE_USER:%{HTTP:Authorization},L']

Mais comme, à chque fois que je cree un utilisateur, je peux l'utiliser pour me connecter à phpmyadmin, je dois être sur la bonne voie.
Par contre et mon gros souci est ici, je n'arrive pas à limiter à une seule base son accès et sa vision. Bien que ne lui ayant pas, a priori, donné de droit grant, il peut même aller jouer avec ceux du superutilisateur-gestionnaire !!
Cette gestion des utilisateurs peut-elle donc se faire via phpmyadmin ou doit-elle se faire à travers des requete hors de phpmuadmin ?
D'avance, merci pour vos suggestions.

julp · 16/02/2008, 17h26

Pourquoi y aurait-il un fichier htaccess pour gérer les utilisateurs ? Toute l'utilité de phpMyAdmin est aussi d'être multi-utilisateur et de gérer ses accès (s'il est configuré en ce sens - authentification http ou cookie et non config) sur les tables "système" de MySQL. La première chose à faire est de configurer phpMyAdmin convenablement : soit manuellement (fichier config.inc.php) soit à l'aide du script prévu depuis peu (à noter qu'il faudra créer spécialement un utilisateur MySQL pour phpMyAdmin avec les droits en lecture sur les tables adéquates pour une configuration multi-utilisateurs : se reporter au manuel de phpMyAdmin ou à un tutoriel).

En ce qui concerne les accès aux bases par rapport à chaque utilisateur : phpMyAdmin ne listera pas les bases sur lesquelles l'utilisateur n'a aucun droit (mis à part, encore une fois, les bases d'information - comme information_schema - que vous pouvez éventuellement cacher). Tout est donc relatif à la création initiale de vos utilisateurs MySQL et des droits qui leurs sont attribués.

Christophe Charron · 16/02/2008, 18h39

Citation:

Envoyé par julp

Pourquoi y aurait-il un fichier htaccess pour gérer les utilisateurs ? Toute l'utilité de phpMyAdmin est aussi d'être multi-utilisateur et de gérer ses accès (s'il est configuré en ce sens - authentification http ou cookie et non config) sur les tables "système" de MySQL. La première chose à faire est de configurer phpMyAdmin convenablement : soit manuellement (fichier config.inc.php) soit à l'aide du script prévu depuis peu (à noter qu'il faudra créer spécialement un utilisateur MySQL pour phpMyAdmin avec les droits en lecture sur les tables adéquates pour une configuration multi-utilisateurs : se reporter au manuel de phpMyAdmin ou à un tutoriel).

Je suis tout à fait d'accord. Sauf que j'arrive après la bataille et que phpmyadmin est déjà installé.
Je viens de découvrir que c'était dans le config.inc.php qu'était indiqué le mode d'authentification

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
 
/* Server localhost (http) [1] */
$i++;
$cfg['Servers'][$i]['host'] = 'localhost';
$cfg['Servers'][$i]['extension'] = 'mysql';
$cfg['Servers'][$i]['connect_type'] = 'tcp';
$cfg['Servers'][$i]['compress'] = false;
$cfg['Servers'][$i]['auth_type'] = 'http';

Désolé donc d'avoir posé une question stupide ...

Citation:

Envoyé par julp

En ce qui concerne les accès aux bases par rapport à chaque utilisateur : phpMyAdmin ne listera pas les bases sur lesquelles l'utilisateur n'a aucun droit (mis à part, encore une fois, les bases d'information - comme information_schema - que vous pouvez éventuellement cacher). Tout est donc relatif à la création initiale de vos utilisateurs MySQL et des droits qui leurs sont attribués.

Je n'arrive pas à faire le lien entre ce que vous indiquez dans votre faq et les interdictions propres à chaque utilisateur. En fait, je vais poser la question différement : faut-il explicitement enlever les droits à un nouvel utilisateur pour une base de données déjà créée ?
Car je viens de me connecter en super-utilisateur, je viens de créer un nouvel utilisateur, en ne lui conservant comme droits que select update delete.
Je viens d'explicitement lui attribuer des droits restreints sur une seule base.

Je me suis déconnecté.
Je me suis reconnecté avec ce nouvel utilisateur et je vois toutes les bases et je peux droper une table d'une base sur laquelle, a priori, je pensais qu'il n'avait aucun droit puisque je ne lui en ai pas explicitement donné.
Donc il y a quelque chose que je fais mal, mais je ne vois pas où !!

Christophe Charron · 16/02/2008, 18h52

Mea culpae, mea maxima culpae

un petit message d'erreur m'avait tout à fait échappé !!!!
Je n'ai pas dropé la table comme je l'affirmais.

Toutes mes excuses

Ne me reste qu'à arriver, à ne montrer, à chaque utilisateur, uniquement "ses" bases (et je ne comprends comment votre faq le fait, utilisateur par utilisateur)

julp · 16/02/2008, 19h55

Le lien indiqué n'intervient nullement dans cette gestion : c'est une méthode pour cacher les bases visibles de tous (essentiellement), rien de plus. Vous avez certainement attribué des droits globaux sur les bases à vos utilisateurs puisque c'est sur les droits MySQL que s'appuie phpMyAdmin. D'ailleurs, si vous arrivez à effectuer des opérations sur une base où vous n'êtes pas censé pouvoir le faire il y a vraiment un problème (phpMyAdmin ou non) : droits incorrects, droits qui n'ont pas été rechargés, etc.

A noter, qu'il y a potentiellement un bug au niveau d'un changement d'utilisateur avec phpMyAdmin : la frame de gauche, n'est pour moi, jamais réactualisée (donc j'ai la liste des bases de l'utilisateur précédent).

Christophe Charron · 16/02/2008, 22h08

En supprimant des utilisateurs et en les recréant, j'arrive presque à mes fins.
Il me reste deux problèmes :
l'accès à une base actuellement vide reste possible bien qu'aucun utilisateur n'y soit rattaché. Vous me direz, ils ne pourraient pas en faire grand chose puisqu'ils n'ont pas de possibilité de grant ... mais ça fait désordre quand même dans la liste.
Et surtout, la visibilité de information_schema. La cacher dans le config.inc.php est une solution mais un

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

show databases

et hop, on la voit !!
Il n'y a pas de solution pour qu'elle ne soit vraiment pas accessible ?

16/02/2008, 18h52	#4
Christophe Charron Membre éprouvé Christophe Charron Développeur informatique Inscription : juillet 2005 Messages : 768 Détails du profil Informations personnelles : Nom : Christophe Charron Âge : 51 Localisation : France, Rhône (Rhône Alpes) Informations professionnelles : Activité : Développeur informatique Secteur : High Tech - Éditeur de logiciels Informations forums : Inscription : juillet 2005 Messages : 768 Points : 492 Points : 492	Mea culpae, mea maxima culpae un petit message d'erreur m'avait tout à fait échappé !!!! Je n'ai pas dropé la table comme je l'affirmais. Toutes mes excuses Ne me reste qu'à arriver, à ne montrer, à chaque utilisateur, uniquement "ses" bases (et je ne comprends comment votre faq le fait, utilisateur par utilisateur) __________________ Cordialement, Christophe Charron Pour consulter mon site professionnel, vous pouvez cliquer sur le bouton prévu à cet effet, juste sous la signature .
	00

16/02/2008, 22h08	#6
Christophe Charron Membre éprouvé Christophe Charron Développeur informatique Inscription : juillet 2005 Messages : 768 Détails du profil Informations personnelles : Nom : Christophe Charron Âge : 51 Localisation : France, Rhône (Rhône Alpes) Informations professionnelles : Activité : Développeur informatique Secteur : High Tech - Éditeur de logiciels Informations forums : Inscription : juillet 2005 Messages : 768 Points : 492 Points : 492	En supprimant des utilisateurs et en les recréant, j'arrive presque à mes fins. Il me reste deux problèmes : l'accès à une base actuellement vide reste possible bien qu'aucun utilisateur n'y soit rattaché. Vous me direz, ils ne pourraient pas en faire grand chose puisqu'ils n'ont pas de possibilité de grant ... mais ça fait désordre quand même dans la liste. Et surtout, la visibilité de information_schema. La cacher dans le config.inc.php est une solution mais un Code : Sélectionner tout - Visualiser dans une fenêtre à part show databases et hop, on la voit !! Il n'y a pas de solution pour qu'elle ne soit vraiment pas accessible ? __________________ Cordialement, Christophe Charron Pour consulter mon site professionnel, vous pouvez cliquer sur le bouton prévu à cet effet, juste sous la signature .
	00

16/02/2008, 17h26	#2
julp En attente de confirmation mail Inscription : juin 2002 Messages : 6 164 Détails du profil Informations forums : Inscription : juin 2002 Messages : 6 164 Points : 6 404 Points : 6 404	Pourquoi y aurait-il un fichier htaccess pour gérer les utilisateurs ? Toute l'utilité de phpMyAdmin est aussi d'être multi-utilisateur et de gérer ses accès (s'il est configuré en ce sens - authentification http ou cookie et non config) sur les tables "système" de MySQL. La première chose à faire est de configurer phpMyAdmin convenablement : soit manuellement (fichier config.inc.php) soit à l'aide du script prévu depuis peu (à noter qu'il faudra créer spécialement un utilisateur MySQL pour phpMyAdmin avec les droits en lecture sur les tables adéquates pour une configuration multi-utilisateurs : se reporter au manuel de phpMyAdmin ou à un tutoriel). En ce qui concerne les accès aux bases par rapport à chaque utilisateur : phpMyAdmin ne listera pas les bases sur lesquelles l'utilisateur n'a aucun droit (mis à part, encore une fois, les bases d'information - comme information_schema - que vous pouvez éventuellement cacher). Tout est donc relatif à la création initiale de vos utilisateurs MySQL et des droits qui leurs sont attribués.
	00

16/02/2008, 19h55	#5
julp En attente de confirmation mail Inscription : juin 2002 Messages : 6 164 Détails du profil Informations forums : Inscription : juin 2002 Messages : 6 164 Points : 6 404 Points : 6 404	Le lien indiqué n'intervient nullement dans cette gestion : c'est une méthode pour cacher les bases visibles de tous (essentiellement), rien de plus. Vous avez certainement attribué des droits globaux sur les bases à vos utilisateurs puisque c'est sur les droits MySQL que s'appuie phpMyAdmin. D'ailleurs, si vous arrivez à effectuer des opérations sur une base où vous n'êtes pas censé pouvoir le faire il y a vraiment un problème (phpMyAdmin ou non) : droits incorrects, droits qui n'ont pas été rechargés, etc. A noter, qu'il y a potentiellement un bug au niveau d'un changement d'utilisateur avec phpMyAdmin : la frame de gauche, n'est pour moi, jamais réactualisée (donc j'ai la liste des bases de l'utilisateur précédent).
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email