 |
|
|
|
|
| WebMoney: WMZ Z294115950220 WMR R409981405661 WME E134003968233 |
Visa 4274 3200 2453 6495 |
|
|
|
|
|
|
| WebMoney: WMZ Z294115950220 WMR R409981405661 WME E134003968233 |
Visa 4274 3200 2453 6495 |
В этой главе описывается, как управлять доступом к
MySQL Enterprise Monitor. MySQL Enterprise Monitor Access Control
позволяет вам управлять следующим: Видимость актива: права получить доступ к данным, собранным от
хостов или серверов MySQL. Доступ может быть строго ограничен определенными
группами проверенных активов. Администрирование приложения: права смотреть или изменить конфигурацию
MySQL Enterprise Monitor. Определенный доступ к данным: права
смотреть определенные типы потенциально уязвимых данных. Ролевое повторное использование: вместо того, чтобы определять
разрешения для пользователя, наборы полномочий определяются в ролях, и
многочисленных пользователей можно назначить на каждую роль. Система управления доступом основана на пользователях и ролях.
Пользователи не имеют никаких прав, назначенных им непосредственно.
Все права определяются на ролях. Пользователей назначают на роли, и они
наследуют права, определенные в тех ролях. Роли это коллекции разрешений, которые назначают пользователям.
Роли определяют то, что пользователю разрешают видеть и сделать.
Пользователей можно назначить на многие роли. Если пользователей назначают на много ролей, MySQL Enterprise Monitor
всегда берет самое высокое разрешение, определенное в тех ролях для этого
пользователя. Например, если пользователя назначают на роль, где
Advisor Configuration установлен в Read-Only,
и на другую роль, где Advisor Configuration
установлен в Administer, используемое для этого пользователя
разрешение именно Administer. Пользователи это простые определения имени пользователя, пароля и
дополнительного метода аутентификации, такого как Active Directory или
LDAP. Каждого пользователя нужно назначить по крайней мере на одну роль. Невозможно сохранить пользователя без назначенной роли. Эта секция описывает разрешения, доступные в ролях
MySQL Enterprise Monitor. В MySQL Enterprise Monitor есть два различных объема разрешений: System-wide Permissions:
обращаются ко всем активам и группам, определенным в системе.
Роли в масштабе всей системы предоставляют доступ ко
всем проверенным активам. Group-specific Permissions:
дают доступ к определенным группам проверенных активов.
Разрешения, определенные для определенной группы, относятся только к той
группе. Это затрагивает все, что пользователь видит. Например, события
показаны только для членов группы, резюме статуса показывает информацию
только о членах группы и так далее. Невозможно назначить разрешения на группу
All. Если вы авторизовались как определенный для группы пользователь, фильтр
View показывает группу, которую вам назначают, и группу
assigned, and the All, которая содержит только
те активы, к которым у вас есть доступ. Разрешения сгруппированы следующим образом: Core Monitored Assets:
контролирует доступ к проверенным активам и собранным данным. MEM/Service Manager:
контролирует доступ к приложению и его параметрам настройки. Следующие типы могут быть применены: None: никакой доступ к функциональной
области не предоставлен. Read-Only: доступ только для чтения к функциональной области.
Пользователь может смотреть, но не редактировать. Administer: полный доступ к функциональной области.
Пользователь может смотреть и редактировать. Если у вас недостаточные разрешения, чтобы выполнить действие,
следующее сообщение показано: An Error Occurred. Access denied. You do not have sufficient
permissions to perform the requested operation. (U0403) Разрешения Core Monitored Assets определяют доступ к проверенным активам,
группам и данным Query Analyzer. Права Monitoring Services
зависят от этих разрешений. Рис. 22.1. Core Monitored Assets Каждое из прав Monitored Asset зависит от других. Для новой роли
все права по умолчанию None. Установка Server Group в Read-Only
автоматически устанавливает все другие права Monitored Asset в Read-Only.
Точно так же, если вы устанавливаете
Server Group = Administer, MySQL Instances также будет Administer.
Невозможно установить MySQL Instances или любое из разрешений NDB Cluster
в None, если Server Group установлено в Read-Only или выше. Доступ к проверенным активам и группам. Это разрешение должно
использоваться с разрешением
MySQL Instances. None:
никакой доступ к любому проверенному активу не предоставлен.
В результате никакая информация не показана. Read-Only:
Может смотреть Groups активов. Это разрешение или выше требуется для всех
других разрешений, которые используют Groups. Разрешения, такие как
Event Handling и
Server Group Creation,
требуют доступа к определенным группам. Если роль требует доступа к тем
функциональным областям, это разрешение должно быть установлено. Выбор Read-Only автоматически выбирает Server Group = Read-Only. Administer:
Может отредактировать информацию о группе и удалить группы активов, но не
может создать группы. Создание группы требует разрешения
Server Group Creation. Доступ к проверенным экземплярам.
Это разрешение должно использоваться с разрешением
Server Group.
Если Server Group = Read-Only или выше,
невозможно установить MySQL Instances = None.
Таким образом, если Server Group = Read-Only
или выше, MySQL Instances
должно быть установлено по крайней мере в Read-Only. MySQL Instances: доступ к данным,
собранным по проверенным серверам MySQL. Возможные значения: None:
Никакой доступ к серверам MySQL или данным, собранным по
ним, не предоставлен. Read-Only:
доступ к серверам, но никаких прав, чтобы создать, изменить или удалить
связи с теми серверами. Administer:
доступ к серверами, а также права
создать, изменить и удалить связи с теми серверами. Administer также требуется, чтобы получать доступ к плохим связям,
недостижимым агентам и непроверенным спискам серверов в панели
MySQL Instances. Administer также требуется
Database File I/O, который требует схемы
Невозможно добавить или начать контролировать новый сервер,
не устанавливая разрешение MySQL
Enterprise Monitor = Administer. Права Query Analysis определяют доступ к странице Query Analysis. Query Analysis Aggregate Data:
получите доступ к данным, собранным для Query Analyzer.
Это разрешение также определяет доступ к событиям, которые содержат данные
Query Analyzer. Возможные значения: None:
Никакой доступ к агрегированным данным, собранным для Query Analyzer, не
предоставлен. Если это разрешение установлено, пользователь может открыть
страницу Query Analyzer, но страница не загружает агрегированных данных.
Это также затрагивает графы Query Analyzer. События, содержащие аналитические данные о запросах, не показаны.
В настоящее время это ограничивается событиями, произведенными
советниками SQL Statement Generates Warnings or Errors
и Average Statement Execution Time
. Read-Only:
Агрегированные данные представлены пользователю, и страница
Query Analyzer наполнена. Administer:
предоставляет право закрыть события, содержащие агрегированные
данные Query Analysis. Query Analysis Example and Explain
Data: доступ к данным для примеров и пояснений планов в
Query Analyzer. Это разрешение зависит от
Query Analysis Aggregate Data.
Это разрешение также определяет доступ к событиям, которые
содержат данные EXPLAIN и EXAMPLE. Возможные значения: None: нет доступа к Query
Analyzer EXAMPLE и EXPLAIN. Read-Only: данные EXAMPLE и EXPLAIN
доступны. Если Query Analysis Aggregate Data
не Read-Only, к данным EXAMPLE и EXPLAIN нельзя получить доступ. Administer:
предоставляет право закрыть события, содержащие данные Query
Analysis EXAMPLE и EXPLAIN. Разрешения Query Analyzer зависят от разрешения MySQL Instances.
Если MySQL Instances = Read-Only, права Query Analyzer тоже Read-Only.
Возможно установить MySQL Instances = Read-Only или выше и вручную установить
оба разрешения Query Analyzer = None. Эта секция описывает следующие разрешения: MySQL NDB Cluster API Nodes (Non-SQL)
: доступ к проверенным узлам MySQL NDB Cluster API.
Read-only разрешает посмотреть детали узлов и событий,
произведенных для узлов. Administer разрешает редактировать детали узла
MySQL NDB Cluster API, действия для узла и закрыть события,
произведенные для узла. MySQL NDB Cluster Data Nodes:
доступ к проверенным узлам MySQL NDB Cluster Data. Read-only разрешает
посмотреть детали узлов и событий, произведенных для узлов.
Administer дает разрешение редактировать детали узла MySQL NDB Cluster Data,
выполнять действия и и закрывать события, произведенные для узла. MySQL NDB Cluster Management Nodes:
доступ к проверенным узлам MySQL NDB Cluster Management. Read-only разрешает
посмотреть детали узлов и событий, произведенных для узлов.
Administer позволяет отредактировать детали узла MySQL NDB Cluster
Management, выполнять действия и закрыть события, произведенные для узла.
Эта секция описывает часть Monitoring
Services страницы Edit Role. Рис. 22.2. Права Monitoring Services Это разрешение для использования только ролями агента. Значения: None: Доступ агенту закрыт. Read-Only: У агента есть доступ к
MySQL Enterprise Service Manager. Если вы определяете роль агента, необходимо установить все другие
разрешения в None. Агент не требует их. Право Web Application Login
предоставляет доступ к интерфейсу приложения. None:
нет доступа к пользовательскому интерфейсу. Read-Only:
доступ к пользовательскому интерфейсу предоставлен. Право MySQL Enterprise Monitor
предоставляет доступ к различным параметрам конфигурации
интерфейса MEM. Возможные значения: None: доступ закрыт вообще. Read-Only: доступ открыт, но
только для просмотра. Параметры настройки уровня аутентификации, такие как
External Authentication и
HTTP Proxy Settings страницы
Settings невидимы, если это
установлено в Read-Only. Administer:
параметры конфигурации видимы и редактируемы. Урегулирование любого из этих значений
автоматически устанавливает то же самое значение для
всех вложенных разрешений. Следующие разрешения требуют Web Application
Login и MySQL Enterprise
Monitor = Read-Only или выше. Advisor Configuration
определяет доступ к странице Advisor и ее параметрам настройки. Советники не работают как пользователь, который создал или включил их,
а как системная роль. Это сделано, чтобы избежать проблем, таких как
пользовательское удаление, видимость топологии репликации (советники
собираются на полной топологии, но пользователь может видеть только часть той
топологии). По сути, советники не могут быть установлены на определенном для
группы уровне, они могут быть установлены только на глобальном уровне. None:
никакой доступ к советникам не предоставлен. Если пользователь пытается
загрузить страницу Advisors, показана ошибка Access Denied. Read-Only:
доступ только для чтения к советникам. Пользователь может смотреть
советников, но не может сохранить изменения. Administer:
у пользователя есть полный доступ к советникам. Перекрытие Advisor на верхнем уровне, не на отдельном активе, перекрывает
того советника глобально, для всех пользователей, независимо от их ролей.
Если график советника изменен или отключен на верхнем уровне, это затрагивает
всех пользователей MySQL Enterprise Service Manager
независимо от их установки группы. Event Blackout: Допустимые значения: None:
нет доступа к меню Event Handler Blackout
на странице MySQL Instances. Administer:
меню Event Handler Blackout работает.
Право Event Handlers
предоставляет доступ к странице Event Handlers
и пункту меню. Возможные значения: None: нет доступа к Event Handlers.
Меню Event Handlers не отображается в меню
Settings. Read-Only: доступ только на чтение к
Event Handlers. Страница
Event Handlers доступна, но невозможно создать,
удалить или отредактировать обработчики событий. Administer:
полный доступ к странице Event Handlers.
Пользователи, связанные с этой ролью, могут создать, отредактировать,
приостановить и удалить обработчики событий. Если пользователю также не установили Server
Group хотя бы в Read-Only, они неспособны добавить
группы к обработчику событий. Право New Group Creation
позволяет создание групп. Возможные значения: None:
нет доступа к созданию группы сервера. Если Server
Group = Administer, назначенные пользователи могут удалить и изменить
существующие группы, но не могут создать новые группы. Administer:
полный доступ к группам сервера. Если
Server Group = Administer,
назначенный пользователь может создать, удалить и отредактировать группы
сервера. Если Server Group = Read-Only,
назначенный пользователь может создать новые группы, но не может
изменить существующие группы. Это разрешение зависит от разрешения Server Group, если Server Group =
None, пользователь, связанный с этой ролью, не может получить доступ к
группам и в результате не может создать или отредактировать группы, даже если
New Group Creation = Administer. Право Settings предоставляет доступ к пункту
меню Settings и странице
Settings. Допустимые значения: None:
меню Settings не отображается. Read-Only:
доступ только для чтения к Settings.
Назначенные пользователи могут открыть страницу Settings, но не
могут изменить настройки. Administer:
полный доступ к параметрам настройки. Назначенные пользователи могут открыть
страницу настроек и отредактировать параметры. Установка этого разрешения в Administer не предоставляет доступ к разделу
External Authentication страницы Settings.
Users and Roles: Допустимые значения: None: без доступа к странице
User or Roles. Read-Only: доступ к странице
Users and Roles только для чтения. Назначенные пользователи могут
смотреть, но не редактировать. Administer: полный доступ к странице
Users and Roles. Назначенные пользователи могут смотреть и редактировать
Users and Roles. Роли по умолчанию позволяют миграцию определенных ролей от более ранних
версий. Невозможно отредактировать роли по умолчанию. Следующие пользователи по умолчанию создаются, когда MySQL Enterprise
Service Manager устанавливается: Agent: определяет имя пользователя и пароль, используемый всеми
агентами, чтобы соединиться с MySQL Enterprise Service Manager.
Этот пользователь автоматически добавляется к роли Agent. Имя пользователя,
определенное на странице начальной настройки, используется. Manager: определяет имя и пароль пользователя менеджера.
Этот пользователь автоматически добавляется к роли Manager, которой
предоставили все права. Имя пользователя, определенное на странице
начальной настройки, используется. Эта секция описывает роли по умолчанию. Невозможно отредактировать или удалить роли по умолчанию. Они присутствуют
только, чтобы позволить модернизации от более ранних версий. Следующее это роли по умолчанию и краткое объяснение того, как они
отображаются к пользовательским определениям от более ранних версий: agent:
роль используется агентом. У этой роли есть только право
Agent Services access, потому что агенту не
нужен доступ ни к какой функциональности MySQL Enterprise Service Manager.
dba: отображается к роли dba
от предыдущих версий. Display Query Analyzer: отображается
к View Query Analyzer tab
в предыдущих версиях. Любой пользователь с определенной
View Query Analyzer tab добавляется к роли
Display Query Analyzer. Display Query Analyzer Examples:
отображается к View actual (example) queries
в предыдущих версиях. Любой пользователь с определенной
View actual (example) queries добавляется к
роли Display Query Analyzer Examples.
manager:
отображается к роли менеджера в предыдущих версиях. readonly:
отображается к роли readonly в предыдущих версиях. Пользователи добавляются к ролям по умолчанию на основе прав, назначенных
в более ранней версии MySQL Enterprise Monitor.
Например, если пользователя назначают на роль dba, и он имеет доступ к
View Query Analyzer tab и View actual (example) queries,
то он добавляется к следующим ролям: dba Display Query Analyzer Display Query Analyzer Examples Эта секция описывает, как создать пользователей и роли. Невозможно сохранить нового пользователя без назначенной роли.
Рекомендуется создать роли прежде, чем создать пользователей. Чтобы создать роль, сделайте следующее: Выберите Roles из меню Settings
(символ механизма). Страница Roles показана. На странице Roles нажмите Create.
Откроется страница Create Role. На вкладке Details
введите имя в поле Role Name
и добавьте описание роли. При использовании системы внешней аутентификации, такой как LDAP или
Active Directory, вводите внешнее ролевое имя в поле
External Roles. Отделенные запятой последовательности, такие как
Нажмите Permissions, чтобы открыть вкладку Permissions. Если эта роль относится только к определенной группе, выберите
Group-Specific Permission и
необходимую группу из выпадающего списка. Определите свои разрешения как требуется. Для получения дополнительной
информации посмотрите разделы
22.3 и
22.4. Если пользователи существуют, можно добавить их к этой роли,
используя вкладку Assigned Users. Чтобы добавить пользователя, нажмите на имя пользователя в поле
Available Users. Пользователь будет перемещен в
поле Assigned Users. Эта секция описывает, как создать пользователя. Чтобы создать пользователя, сделайте следующее: Выберите Users из меню
Settings. Откроется страница Users. Нажмите Create. Откроется страница
Create User. Введите следующее: User Login:
имя пользователя. Full Name:
полное имя пользователя. Password: пароль пользователя. Confirm Password:
пароль пользователя. Authenticate this user using LDAP:
выберите, только если вы намереваетесь использовать LDAP, чтобы подтвердить
подлинность этого пользователя. Невозможно сохранить пользователя, не назначая пользователю роль. Выберите вкладку Assign Roles. Назначьте роли пользователю, щелкнув по необходимой роли в поле
Available Roles. Сохраните изменения. Невозможно отредактировать роль пользователя, если пользователь
авторизован через LDAP, и его роль также обеспечивается LDAP.
Глава 22. Права доступа
22.1. Пользователи и роли
Роли
Пользователи
22.2. Разрешения
Объем разрешения
Группировки разрешений
Типы полномочий
ACL-связанные сообщения об ошибках
22.3. Проверенные разрешения активов
22.3.1. Server Group & MySQL NDB Cluster
22.3.2.
MySQL Instances
sys. Чтобы установить схему SYS из
пользовательского интерфейса MySQL Enterprise Monitor,
пользователя нужно назначить на роль с доступом
Administer.
Права Query Analysis
22.3.3. Права MySQL NDB Cluster
22.4. Monitoring Services
Agent Services Access
Web Application Login
22.5. MySQL Enterprise Monitor
Advisor Configuration
Event Blackout
Event Handlers
New Group Creation
Settings
Users and Roles
22.6. Users and Roles по умолчанию
Пользователи по умолчанию
Роли по умолчанию
22.7. Создание пользователей и ролей
Создание роли
CN=mem_manager,CN=mem_dev_manager,
CN=service_manager, поддерживаются.Создание пользователя
| Найди своих коллег! |
Вы можете
направить письмо администратору этой странички, Алексею Паутову.
