[2.5] Gsec : possible bug ?

Version imprimable

Bonjour,

Je viens (enfin) de migrer sous FB2.5 et je m'intéresse à la possibilité de déléguer l'administration suite à l'apparition du rôle RDB$ADMIN.

J'ai bien noté que ce rôle pouvait être attribué sur le "serveur" (en fait sur la base security2) ou sur une base "applicative".

Mon message porte sur la base security2. En effet, je m'attendais à ce qu'un utilisateur déclaré administrateur dispose des mêmes possibilités/facilités que SYSDBA; mais ça ne semble pas être le cas avec GSEC, au moins dans sa fonction "display" (et du coup le même constat à porter sur fbsvcmgr ?).

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
 
C:\FB2.5\bin>gsec -user sysdba -password masterkey
GSEC> display
     user name                    uid   gid admin     full name
------------------------------------------------------------------------------------------------
SYSDBA                              0     0           Server Administrator Firebird
PJ                                  0     0 admin     Pierre Pitham
DIVERLIFE                           0     0           Master divemaster Dive
TT                                  0     0
GSEC> quit
 
C:\FB2.5\bin>gsec -user tt -password tt
GSEC> display
     user name                    uid   gid admin     full name
------------------------------------------------------------------------------------------------
TT                                  0     0
GSEC> quit
 
C:\FB2.5\bin>gsec -user pj -password pj
GSEC> display
     user name                    uid   gid admin     full name
------------------------------------------------------------------------------------------------
PJ                                  0     0 admin     Pierre Pitham
GSEC> quit
 
C:\FB2.5\bin>gsec -user pj -password pj -role 'RDB$ADMIN'
GSEC> display
     user name                    uid   gid admin     full name
------------------------------------------------------------------------------------------------
PJ                                  0     0 admin     Pierre Pitham
GSEC> quit
 
C:\FB2.5\bin>gsec -user pj -password pj -role RDB$ADMIN
GSEC> display
     user name                    uid   gid admin     full name
------------------------------------------------------------------------------------------------
PJ                                  0     0 admin     Pierre Pitham
GSEC> add newuser -pw newuser -fname New -lname User
GSEC> display
     user name                    uid   gid admin     full name
------------------------------------------------------------------------------------------------
PJ                                  0     0 admin     Pierre Pitham
GSEC> quit
 
C:\FB2.5\bin>gsec -user sysdba -password masterkey
GSEC> display
     user name                    uid   gid admin     full name
------------------------------------------------------------------------------------------------
SYSDBA                              0     0           Server Administrator Firebird
PJ                                  0     0 admin     Pierre Pitham
DIVERLIFE                           0     0           Master divemaster Dive
TT                                  0     0
NEWUSER                             0     0           New  User
GSEC>

SYSDBA voit tout les users, dont pj déclaré admin.
TT, simple user ne voit que lui
PJ ne voit que lui alors qu'il est admin, PJ peut cependant ajouter 1 utilisateur mais ne le voit pas
SYSDBA voit l'utilisateur créé pas PJ

Dans la foulée:

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
 
C:\FB2.5\bin>gsec -user pj -password pj
GSEC> display
     user name                    uid   gid admin     full name
------------------------------------------------------------------------------------------------
PJ                                  0     0 admin     Pierre Pitham
GSEC> delete newuser
An error occurred while attempting to delete the user record.
no permission for delete/write access to TABLE USERS
GSEC> quit
 
C:\FB2.5\bin>gsec -user pj -password pj -role RDB$ADMIN
GSEC> display
     user name                    uid   gid admin     full name
------------------------------------------------------------------------------------------------
PJ                                  0     0 admin     Pierre Pitham
GSEC> delete newuser
The user name specified was not found in the security database
GSEC>

PJ se connecte sans mentionner son attribut admin
Tentative de suppression d'un utilisateur > échec a priori normal
PJ se connecte en tant qu'admin et tente de supprimer l'utilisateur: mais celui-ci n'existe pas 8O - je pense plutôt qu'il n'est pas "vu" car ensuite

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
 
C:\FB2.5\bin>gsec -user sysdba -password masterkey
GSEC> display
     user name                    uid   gid admin     full name
------------------------------------------------------------------------------------------------
SYSDBA                              0     0           Server Administrator Firebird
PJ                                  0     0 admin     Pierre Pitham
DIVERLIFE                           0     0           Master divemaster Dive
TT                                  0     0
NEWUSER                             0     0           New  User
GSEC> delete newuser
GSEC> display
     user name                    uid   gid admin     full name
------------------------------------------------------------------------------------------------
SYSDBA                              0     0           Server Administrator Firebird
PJ                                  0     0 admin     Pierre Pitham
DIVERLIFE                           0     0           Master divemaster Dive
TT                                  0     0
GSEC>

Avez-vous le même fonctionnement, y compris sous FB3 voire FB4?

25/01/2024, 09h50
SergioMaster

Bonjour,
Il faudra que j'approfondisse la lecture de ton POST pour répondre en détail.

Citation:

Je m'attendais à ce qu'un utilisateur déclaré administrateur

Pour moi le rôle RDB$ADMIN ne fait pas tout, si ce n'est pouvoir déléguer des droits.
Il faut aussi voir en fonction du propriétaire de la base de données (base créée avec un utilisateur particulier, pas SYSDBA)

Il va falloir que je me re-penche sur une base que j'ai construite il y a un bail !

Citation:

Envoyé par qi130

Avez-vous le même fonctionnement, y compris sous FB3 voire FB4?

à partir de FB3 la gestion des utilisateurs change donc l'utilisation de GSEC devra être adapté
25/01/2024, 14h03
qi130

Citation:

Il faut aussi voir en fonction du propriétaire de la base de données

Alors, oui pour avoir le rôle rdb$admin sur une base applicative et granter des droits sur les objets (tables, PS, etc.) de cette base; là, tu auras noté que je ne stipule aucune DB.

Je suis dans le contexte abordé là : https://firebirdsql.org/refdocs/lang...rdbadmin-secdb - partie inférieure.

Suite à test avec la V3, le fonctionnement est celui attendu.

Après création de newuser par SYSDBA:

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
 
C:\Firebird\Firebird_3_0>gsec -user pj -password pj
*** gsec is deprecated, will be removed soon ***
 
GSEC> display
     user name                    uid   gid admin     full name
------------------------------------------------------------------------------------------------
PJ                                  0     0 admin
GSEC> quit
 
C:\Firebird\Firebird_3_0>gsec -user pj -password pj -role RDB$ADMIN
*** gsec is deprecated, will be removed soon ***
 
GSEC> display
     user name                    uid   gid admin     full name
------------------------------------------------------------------------------------------------
SYSDBA                              0     0           Sql Server Administrator
PJ                                  0     0 admin
NEWUSER                             0     0           New  User
GSEC> delete newuser
GSEC> display
     user name                    uid   gid admin     full name
------------------------------------------------------------------------------------------------
SYSDBA                              0     0           Sql Server Administrator
PJ                                  0     0 admin
GSEC>

Il y a donc bien un bug dans la 2.5.

Ceci dit, comme elle n'est plus maintenue, y a-t-il intérêt à ouvrir un ticket ou à signaler ça quelque part?

Et de fait, je pense rapidement passer en V3 :mrgreen:

26/01/2024, 17h37
Artemus24

Salut à tous.

@ QI130 : Je pense qu'il est même préférable que tu passes directement à la version 4.

J'ai fait une petite étude sur la sécurité de Firebird et elle répond bien à mes attentes.
Ne pas oublier que le compte SYSDBA n'est pas un compte ordinaire et que tu ne dois pas le laisser sous ce nom dans tes bases de données.
Je te conseille même vivement de laisser ce compte SYSDBA à la charge de celui qui installe FIREBIRD.
Et de lui demander à déléguer tes bases de données à d'autres comptes qui vont sous-administrer leur partie.
Et faire en sorte que tous les accès se font par le SGBDR, et jamais un accès direct aux bases de données, même en lecture.

@+