mySQL Datenbank für einen Benutzer readonly
 

Auf einem entfernten Rechner möchte ich gerne dass ein Benutzer auf einer Datenbank nur Leserechte und auf allen anderen Datenbanken Schreibrechte hat. Im Moment hat dieser Benutzer Schreibrechte auf allen Datenbanken (Eintrag in der Tabelle User mit Host = '%'). Leider habe auf dem entfernten Rechner keine mySQLAdministrator.exe oder WorkBench drauf. Von meiner lokalen mySQLAdministrator.exe aus darf ich die Zugriffsrechte auf diesem Server leider nicht ändern.

Das Handbuch bzgl. des Grant-Befehls, verstehe ich irgendwie nicht und im Suchen bin ich heute nicht gut. Wer kann mir den (die) richtigen GRANT-Befehl(e) (oder insert into mysql.User?) nennen?

AW: mySQL Datenbank für einen Benutzer readonly
 

Eigentlich läuft sowas doch in jeder DB gleich, oder?
Grant [INSERT],[UPDATE],[DELETE],[SELECT] on <Tablename> to <auser>;
für alle Tabellen versteht sich

oder

hier ist was Konkretes, Pauschales auf Englisch, passt wahrscheinlich nicht ganz zu Deinen Zugriffsmöglichkeiten. mySQL Reference sollte sicher mehr Details liefern:
http://www.symantec.com/business/sup...&id=HOWTO16962

AW: mySQL Datenbank für einen Benutzer readonly
 

Wäre es vllt. überlegenswert statt die Rechte jedem einzelnen Benutzer zu geben, erst einmal eine Rolle zu definieren und dem Benutzer diese zu geben?
Bei mehreren Benutzern sollte das unter dem Strich effizenter sein.

Gruß
K-H

AW: mySQL Datenbank für einen Benutzer readonly
 

Es handelt sich genau um 1 einzigen Benutzer, der Schreibzugriff auf alle Datenbanken haben soll, nur bei einer einziger Datenbank soll genau dieser eine Benutzer nur Leserechte haben. Wie ich das löse ist eigentlich egal, ob über Rollen oder Rechte. Wichtig ist nur, dass sich die Anmeldung dieses Benutzers an die verschiedenen Datenbanken nicht ändern darf (also keinen anderen Namen).

Wie ist es eigentlich wenn ich einen weiteren Datensatz in die Users-Tabelle aufnehme, z.B.

Im Moment vorhanden:
Host : %
User : MeinBenutzer
Lese-Rechte : Y
Schreib-Rechte : Y

Neu:
Host : %.DBName
User : MeinBenutzer
Lese-Rechte : Y
Schreib-Rechte : N

würde das gehen?

AW: mySQL Datenbank für einen Benutzer readonly
 

Bevor Du da händisch in Systemtabellen herumfummelst, würde ich dem User/der Rolle einfach alle Rechte für die DB entziehen und dann die benötigten (das dürfte ja mindestens SELECT sein) wieder erteilen.

AW: mySQL Datenbank für einen Benutzer readonly
 

Kann ich DeddyH nur zustimmen.
Systemtabellen selbst anfassen ist böse.

Was hindert Dich, das mal eben mit XAMPP auszuprobieren?

Revoke / Grant / flush privileges. Das sieht recht übersichtlich aus.

AW: mySQL Datenbank für einen Benutzer readonly
 

Danke für eure Antworten.

@jobo: auf dem Rechner kann ich von hier aus nichts installieren, also kein XAMPP oder was immer das ist.

@DeddyH : Das Handbuch habe ich schon wie oben gesagt gelesen, allerdings nicht verstanden, aber ich versuche mich einfach nochmals es zu kapieren.

AW: mySQL Datenbank für einen Benutzer readonly
 

jobo meinte wahrscheinlich, Du sollst auf Deinem Rechner XAMPP installieren und damit herumprobieren. Sobald Du dann eine funktionierende Lösung hast, kannst Du das ja beim Kunden anwenden. Das dürfte um Längen ungefährlicher sein, als gleich an der Produktiv-DB zu üben ;)

AW: mySQL Datenbank für einen Benutzer readonly
 

Ich habe hier bei mir im Haus einen mysql-Server laufen auf dem ich das natürlich zuerst ausprobieren werde. Da kann ich das auch ganz leicht über der mySQLAdministrator.exe machen. Beim entfernten Rechner kann ich das halt nicht mit der exe machen, dort ist der Benutzer-Rechte-Bereich ausgegraut. Deswegen denke ich dass ich mit einer anderen Software (wie XAMPP) ebenfalls den Benutzerrechte-Bereich von hier aus nicht ändern darf.

Deswegen brauche ich die GRANT und was weiß ich noch alles Befehle. Ich mach mich jetzt nochmal ans mysql-Handbuch, oder ich finde ich ja doch noch Beispiele in den Weiten des Internets.

AW: mySQL Datenbank für einen Benutzer readonly
 

Wenn mich nicht alles täuscht (ich bin nicht so der mySQL-Experte), müsste es so gehen:
Damit hat der Benutzer zwar Server-global immer noch alle Rechte, auf der angegebenen DB aber keine mehr. Die müssen nun erteilt werden:
Welche Rechte genau benötigt werden, hängt von der DB-Struktur ab, ggf. muss da z.B. noch EXECUTE mit in die Liste, zusätzlich zum SELECT.

AW: mySQL Datenbank für einen Benutzer readonly
 

@baumina

XAMPP ist kein Tool um Benutzerrechte zu ändern, sondern eine komplette Installation mit WebServer, MySQL, ...

Damit kannst du dir eine Testumgebung installieren.

Dass du keine Rechte ändern kannst, liegt an dem Benutzer-Konto unter dem du das versuchst.
Es gibt dort wohl einen Benuter root/% (damit meldest du dich an) und einen root/localhost.

Obwohl die Anmeldung gleich ist, hängt es davon ab, von welchem Rechner die Anmeldung an den MySQL-Server erfolgt. Nur von der gleichen Maschine aus, kannst du damit diese Rechte setzen. Da hilft dann auch kein Tool der Welt, wenn das nicht direkt auf der Maschine läuft :)

AW: mySQL Datenbank für einen Benutzer readonly
 

Ja, ich meine natürlich einen lokalen Test.
XAMPP hab ich nur vorgeschlagen, weil es so schien, als ob keine (brauchbare) Testumgebung vorhanden sei.
Ansonsten weiße ich mal zart auf meinen ersten Link hin, wo schon die entsprechenden Statements beschrieben sind (leider nur mit englischem SQL ;) )

AW: mySQL Datenbank für einen Benutzer readonly
 

So, jetzt hatte ich wohl etwas mehr Geduld mit mir und dem Handbuch. Sollte jemand auch das Problem haben wie ich, hier die Vorgehensweise.

1. Zuerst muss man dem Benutzer seine globalen Rechte entziehen mit , da globale Rechte vor allen anderen Rechten gelten. (Infos gespeichert in Tabelle mysql.User)
2. Dann muss man einzeln für alle Datenbanken, bei dem der Benutzer weiterhin volle Rechte haben soll, die Datenbank-Rechte so hinzufügen: (Infos gespeichert in Tabelle mysql.DB)
3. Für die eine Datenbank, bei der der Benutzer nur Leserechte besitzen soll, kommt dann noch der Befehl (Infos gespeichert in Tabelle mysql.DB)

AW: mySQL Datenbank für einen Benutzer readonly
 

Also ich persönlich mache es ganz anders:

Ich identifiziere den User beim Starten der Applikation anhand seines Windows-Login-Namens und gebe ihm dann innerhalb meiner Applikation die entsprechenden Rechte (aktiviere/deaktiviere Buttons oder TabSheets etc.). Nur die Applikation meldet sich im Hintergrund an der DB an, mit immer dem gleichen DB-User den der Applikations-Anwender ja gar nicht wissen muss.

Würde ich einfach nur die DB-Rechte einschränken, dann würden ja z.B. irgendwelche Editier-/Speicher-Funktionen aktiv sein und dann auf einen (kryptischen MySQL-)Fehler laufen, weil der User keine DB-Schreibrechte hat.

In meiner DB sind zudem die Windows-Login-Namen mit entsprechenden Berechtigungs-Flags für die eigentliche Applikation hinterlegt, sodass ich nicht nur simple Schreib-/Lese-Berechtigungen vergeben kann sondern natürlich noch viel feiner gewissen Funktionen einem User zuweisen kann!

VG

AW: mySQL Datenbank für einen Benutzer readonly
 

Ja Pesi ich mache das genau so, auch meine Anwendung meldet sich im Hintergrund mit einem anderen Benutzer an die Datenbank an als der Anwender. In den einzelnen Datenbanken werden dann die Anwender mit ihren Rechten verwaltet.

Ich habe pro Satellit eine Datenbank. Da ein paar unserer Satelliten bereits erfolgreich im Weltraum schweben, soll in diesen Datenbanken nichts mehr verändert werden können. Mein Programm dient dann nur noch zum Anschauen der Daten. Und wenn bei einem Änderungsversuch nur eine SQL-Fehlermeldung kommt, ist mir da echt egal.

AW: mySQL Datenbank für einen Benutzer readonly
 

Das heißt Du hast eigentlich kein Rechtesystem, sondern ein Verstecksystem, und wenn es dann noch unter XP läuft (unter neueren dann "nur" noch als Admin), kann eigentlich jeder zu neugierige oder gar böswillige User die Tabs/Buttons mit simpelsten Werkzeugen verfügbar machen. Wenn schon obscurity statt security, dann mindestens Tabs gar nicht vorhanden und Event-Handler der deaktivierten Buttons weg, um eine Rechteausweitung per einfachster UI-Manipulation zu verhindern. Aber auch dann kann ein lokaler Admin mit ner Proxy-DLL (gibt's bestimmt auch längst von der Stange) - oder gar Malware - trivialst die mächtigen Login-Daten erlangen.

Klar gibt es oft Anwendungsfälle, wo man tatsächlich nur einen SQL-User hat und die Rechte dann separat verwaltet werden. Das klappt aber nur, wenn man auch weiß, was wo passiert, und nicht ordentlich mit so einem Zusatz:

AW: mySQL Datenbank für einen Benutzer readonly
 

Da bist Du nicht der einzige, der so arbeitet. Nach Möglichkeit wird dann gleich der Owner der DB genommen, weil u.U. noch ein paar Kleinigkeiten zu erledigen sind.

Und wenn dann ein Neugieriger die UID und das zugehörige Passwort findet, ist das Geschrei groß. Und keiner will's gewesen sein.

Ist es denn sooo schwer sich vorher ein paar Gedanken zu machen wer was auf der DB macht?
Und dann für die verschiedenen Tätigkeiten entsprechende Benutzer/Rollen zu definieren?

Gruß
K-H

AW: mySQL Datenbank für einen Benutzer readonly
 

Wie werden in mySQL Rollen definiert?

AW: mySQL Datenbank für einen Benutzer readonly
 

AW: mySQL Datenbank für einen Benutzer readonly
 

Und welches Ergebnis der Google-Suche hilft mir da weiter?

AW: mySQL Datenbank für einen Benutzer readonly
 

Nach einer kurzen Recherche scheint das in MySQL nicht direkt (also per CREATE ROLE) möglich zu sein, sondern nur über MySQL Workbench.